업무연속성계획(BCP) 구축
업무연속성계획 수립을 위한 프로세스는 비즈니스 위험 평가, 취약성 분석, 업무영향분석, 업무복구전략수립, 상세계획수립, 계획실행, 테스트 및 유지관리(모니터링 포함)의 반복적인 사이클 구성할 수 있다. 관리체계는 조직에 발생하는 재난 관리 체계를 개발, 수행, 개선, 유지와 업무 연속성 확보 체계를 위한 책임 의무사항 제공과 함께 재난예방, 재난대비, 재난대응, 재난복구를 위한 재난관리체계를 평가할 수 있다. 따라서 본 논문에서는 업무연속성계획 관점에서의 위기관리통합체계 구축을 검토하고자 한다.
BCP는 비즈니스 운영의 연속성을 유지하기 위한 방법론으로 자연, 인간, 기술에 관련된 각종 요인으로 인하여 발생하는 사고 또는 비상사태로 비즈니스 운영상에 문제가 생길 경우, 적정 시간 안에 순차적으로 업무 비즈니스 사이클을 회복하기 위한 체계를 수립하는 프로세스이다. 이러한 BCP가 잘 구축되어 있는 조직은 재해·재난을 당할 경우에도 적절한 비상계획에 따라 손실의 범위를 최소화 시킬 수 있으나, 그렇지 못한 조직은 즉흥적인 임시방편으로 대처할 수밖에 없으며 이로 인한 손실은 그 조직의 생존까지 위협할 수 있다. KPMG 컨설팅회사는 공식적인 장애복구 계획 없이 재해를 당한 기업의 75%가 얼마가지 않아서 파산한다고 보고하고 있다. 따라서 보다 체계적으로 BCP구축을 수행해야 할 것은 당연한 일이다. 이러한 배경에서 조직의 피해를 최소화 하고, 우리의 조직 문화에 적합한 BCP시스템의 개발 필요성은 절실하다고 할 수 있다.
국내기업의 BCP에 대한 인식은 일반적으로 정보시스템을 중심으로 한 데이터 자동 백업과 시스템 장애 진단에 초점이 맞추어져 있다. 대부분의 재해 복구 솔루션은 데이터 분산을 통한 이중관리를 기본으로 하는 자동 백업시스템으로 주로 서버 또는 저장 장치 수준에서 운용되는 것이 일반적이다. 그러나 BCP는 사업적 관점에서 전반적인 위기관리를 다루어야 하기 때문에 리스크 평가, 비상계획, 대응 및 복구활동, 훈련, 학습, 위기전달 등을 포함하여야 한다. 구체적으로 BCP를 구성하고 있는 주제들은 다음과 같다. 첫 번째는 재해·재난과 관련하여 리스크를 도출하고 취약성 분석, 그리고 위험의 발생 빈도와 영향의 크기를 예상하는 리스크 평가이다. 두 번째는 비즈니스 업무 영향력 분석인데, 위험으로 인한 사업 프로세스 상실 확률을 산출하고 프로세스 상실로 인한 업무 영향의 크기를 분석하여 전략적 계획을 세운다. 세 번째는 위험을 최소화 할 수 있는 전략을 수립하고 대비·대응 차원의 대안을 준비하여 최선의 대안을 선정하며, 대안에 따른 시스템을 설정하는 리스크 관리이다. 네 번째는 안전과 보안인데 주로 인적·물적 자원에 관련된 안전성과 정보 등에 관한 보안문제를 다룬다. 다섯 번째는 재해·재난으로 인한 대응, 복구, 커뮤니케이션, 훈련계획을 세우는 비상계획이다. 여섯 번째는 재해·재난으로 인한 인적·물적 자원 긴급조치와 사업 프로세스를 복구하는 대응·복구이다. 일곱 번째는 위기전달로써 조직 내·외부에 위기상황을 알림으로써 적극적인 위기상황을 대처하는 것이다. 여덟 번째는 평상시 비상계획에 따른 모의 훈련과 훈련 내용을 평가하고 비상계획 내용을 피드백 하는 훈련ㆍ학습이다. 마지막 주제는 경험했던 재해·재난 혹은 다른 사례들의 시사점을 통하여 BCP 역할을 평가하고 피드백 하는 조직학습이다.
재해·재난 발생에 대비할 수 있는 비상계획은 리스크 평가, 비즈니스 영향력 분석, 위험 관리 그리고 안전ㆍ보안 관리를 바탕으로 수립되어야 한다. 그리고 비상사태가 발생하면 수립된 비상계획을 가지고 위기 상황 전달을 통하여 대응과 복구가 이루어져 정상 업무가 가동된다. 아울러 평상시에는 비상계획을 가지고 교육과 모의 훈련을 하여 항상 살아있는 계획서로 유지해야 한다.
BCP는 모든 조직이 생존을 위하여 끊임없는 업무연속을 갖추기 위한 체계이기 때문에 조직 최상위 층에서부터 우선적으로 관심을 갖고 있어야 한다. 즉, 최상위 층의 의사결정자의 적극적인 참여, 강렬한 지원, 리더십 발휘, 전략적 의사결정 등을 필요로 하는데, 이는 발생될 수도 있는 잠재적 피해의 최소화 및 조직 생존을 위하여 최고 경영층이 다양한 위험에 의한 업무 중단 가능성을 예측하고 복구 우선순위를 최종적으로 결정하기 위한 것이다. BCP는 조직 내에서만 국한되는 것은 아니고 이해관계자는 물론, 업무 연속성을 위한 외부의 조직과도 깊은 연관성이 있기 때문에, BCP를 구축할 때는 업무 연속성 확보 측면에서 조직 외적인 부분도 고려하여야 한다. 그림 3은 BCP를 구축 시 수행할 일반적인 단계로서 작 조직 별로 업무의 특성에 따라 이 흐름에 추가 또는 수정하여 활용하면 조직에 적합한 BCP를 구축할 것으로 본다[1].
1단계는 조직 현황 분석, 업무연속성관리 프로그램 관리, 정책 그리고 승인을 하는 단계로서, 업무기능 및 업무 프로세스 영역 분석, 조직 업무에 프로그램을 반영하기 위한 정책수립, 그리고 최상의 층으로부터의 검토 및 승인을 거치는 과정이다[5].
2단계는 조직이해와 함께 재무, 전략, 운영, 위험요소 등에 대한 취약성 분석을 한다. 3단계는 업무활동 분석 및 평가로 업무 및 프로세스를 식별하고 내외 선후 의존도를 분석하는 단계로서, BIA 설문으로 업무영향 분석을 하고, 사건과 재난발생 시 우선 복구할 핵심 업무 선정과 복구 시 필요한 자원을 도출한다. 4단계는 우선관리 대상을 도출하기 위한 위험분석을 한다.
5, 6단계에서는 위험경감, 비상대응, 복구, 업무연속성에 대한 전략수립과 계획수립을 한 후 이들 계획 간의 선후 관계를 조정하여 수립한다. 이때, 최악의 상황에 대한 시나리오를 포함하여 준비한다. 7단계는 테스트 및 유지보수 단계로서 구축한 프로그램에 대한 가동여부를 점검 및 보완한다. 8단계는 교육, 훈련, 그리고 내부감사 단계로서 구축된 체계에 대하여 관련조직과 일반 임직원에 대한 수시교육을 하며, 시나리오별 훈련으로 사전에 대비 및 대응능력을 강화한다. 그리고 이러한 과정은 내부감사를 통하여 자체적으로 점검한다. 9단계는 BCP가 조직의 문화로서 장착하기 위하여 관련 정책 및 전략을 검토 수정하고 위험 발생 시 보호할 주요자산에 대한 정책수립과 변경관리를 하는 단계이다[2].
현재 미국과 유럽을 중심으로 각종 재해·재난과 관련하여 비즈니스 상시 운영을 위한 연구가 활발히 진행되고 있으며 이를 근간으로 다양한 위기관리 시스템개발이 이루어지고 있다. 구체적으로 위에서 제시된 주제들이 건설, 교통, 해양, 환경, 의료, 복지, 생산, 서비스, 물류, 금융, 정보통신, 국방, 행정 등 각 분야와 관련해서 연구되어 학회와 학술지, 잡지를 통하여 발표되고 있다. 또한 자연 재해나 기업 위기에 연관된 조직이슈, 사회과학, 국제간 협력관계를 다루고 최신 정보 기술을 활용하여 위기 예방 및 효율적 대응 방안을 연구하고 있다.
참고 문헌
[1] 장덕성, “BCP 구축과 이해”, 재난포커스, pp. 86-89, April 2008.
[2] 이희준, 업무연속성계획의 중요성, 디지털타임스, 2008.
[5] 민승규, 기업의 위기관리, 삼성경제연구소, 2000.
재난포커스(http://www.dI-focus.com) - 목원대학교 컴퓨터공학부 강희조 교수