1. 비즈니스 영향 분석(Business Impact Analysis)의 개념
비즈니스 영향 분석(BIA)은 재해, 사고 또는 긴급 상황으로 인해 중요한 비즈니스 운영이 중단될 때 발생할 수 있는 잠재적 영향을 확인하고 평가하는 체계적인 프로세스이다. BIA에 대해 공부한 적이 있다면, 조직의 비즈니스 연속성 계획(BCP)에서 BIA가 필수 구성 요소임을 알고 있을 것이다. 여기에는 위협과 취약점을 밝히는 탐색의 과정과 위험을 최소화하기 위한 전략을 개발하기 위한 계획의 과정이 포함된다. 그리하여 총 결과는 조직에 특정한 잠재적 위험을 설명하는 비즈니스 영향 분석 보고서로 나오게 된다.
BIA의 기본적인 가정 중 하나는 조직의 모든 구성 요소가 다른 모든 구성 요소의 지속적인 기능에 의존한다는 것이다. 그러나 그중 일부는 당연히 다른 것보다 더 중요하며, 재해 발생 시 더 많은 자금과 운영 자원을 할당해야 한다. 모든 것에는 우선순위라는 것이 있으니까 말이다.
예를 들어, 구내식당이 문을 닫게 된다 해도 조직은 정상적으로 업무를 할 수 있을 테지만, 정보 시스템과 IT 인프라가 충돌하면 조직의 업무는 완전히 중단될 수 있다.
BIA를 예시로 들어서 설명을 해보자. 행, 열에 들어가는 내용들은 모두 내가 임의로 작성한 것이다. 중요한 것은 아래의 표 내용을 채워나가는 일이 될 것이다.
데이터 센터 화재 | 특정 연구원들의 대거 이직 및 사직 | 건물 출입구 주변에 초대형 교통사고 발생 | 가동하는 공장의 메인 생산 라인에 중대한 결함 발생 | 코로나 같은 질병의 재유행으로 많은 직원들의 병가 발생 | |
영향을 받는 비즈니스 범위 | |||||
잠재적인 운영 상의 손실 | |||||
잠재적인 재정적 손실 | |||||
회복까지의 최소 시간 |
2. BIA 수행 방법
BIA 수행을 위한 국제 표준이 존재하더라도, 사용되는 방법론은 당연히 조직마다 다르기 마련이다. 그렇지만 BIA는 일반적으로 다음의 단계를 포함하는 프로세스라고 할 수 있다.
① 고위 경영진으로부터 BIA 승인 확보
② BIA를 수행할 수 있는 훈련된 직원 모집
③ BIA 계획 준비
④ 분석과 관련된 설문지, 인터뷰 및 문서에서 정보 수집
⑤ 수집된 정보 및 인터뷰 데이터 평가
⑥ 목표에 치명적인 비즈니스 프로세스, 해당 프로세스가 의존하는 기술, 해당 프로세스를 수행할 수 없는 경우의 영향, 복구 시간 목표(RTO) 및 복구 지점 목표(RPO) 와 같은 특정 성능 지표를 식별하기 위한 분석 수행
⑦ 조사 결과를 문서화하기 위한 보고서 준비
⑧ 결과를 고위 경영진에게 제시
⑨ 목표에 치명적인 프로세스의 복구 및 복원 전략을 정의하는 데 도움이 되도록 BIA 결과를 RA 결과와 조정
⑩ 이 결과를 사용하여 BCP 개발
BIA를 수행하는 직원은 프로세스를 준비하기 위해 여러 소스에서 제공되는 자료를 검토해야 한다. 특히나 국제표준화기구에서 개발한 글로벌 표준인 ISO 22317, 비즈니스 영향 분석(BIA) 지침을 검토해야 할 것이다.
3. BIA 결과 분석
BIA에는 많은 목표가 있다. 이는 운영을 최적으로 실행하는 데 필요한 가장 중요한 비즈니스 기능, 시스템, 직원 및 기술 자원을 결정하는 데 사용될 것이다. 또한, 조직이 운영을 정상적인 작업 상태로 복원하기 위해 기능을 복구해야 하는 기간을 평가하는 데에도 사용된다. 분석은 수동으로 수행될 수도 있고, PC를 통해 수행될 수도 있을 것이다.
조직의 과제에는 비즈니스 기능이 수익에 미치는 영향을 결정하고 시장 점유율, 비즈니스 평판 또는 고객 손실의 장기적인 영향을 정량화하는 것이 포함될 것이다. 그런 것들의 예시로는 판매 또는 수입 지연, 인건비 증가, 규제로 인한 벌금, 계약상의 처벌, 고객의 불만 등이 있을 것이다.
비즈니스 영향 분석 보고서에는 일반적으로 요약, 데이터 수집 및 분석 방법론에 대한 정보, 다양한 사업부 및 기능 영역에 대한 세부 결과, 잠재적 손실을 설명하는 차트 및 다이어그램, 복구 권장 사항이 포함된다.
이 보고서는 가장 중요한 비즈니스 기능의 우선순위를 지정하고, 비즈니스 중단의 영향을 조사하고, 법적 및 규제 요구 사항을 지정하고, 허용 가능한 다운타임 및 손실 수준을 자세히 설명 하고, RTO 및 RPO를 나열한다. 또한, 비즈니스를 복원하는 데 필요한 활동 순서, 운영을 복구하는 데 필요한 최소 직원 수, 복구에 필요한 대략적인 자금, 조직의 원래 위치나 대체 사이트 등 복구가 발생할 장소를 나열할 수도 있을 것이다.
고위 관리자는 보고서를 검토하여 BC 및 재해 복구 계획(DRP) 개발 전략을 고안할 것이다. 여기서는 중요한 비즈니스 기능에 허용되는 최대 가동 중지 시간과 데이터, 재정, 평판과 같은 영역에서 허용되는 손실을 고려해야 한다. 관리자는 최소한, 정말 최소한으로 1년에 한 번은 실시해야 한다. 그리고 비즈니스 운영에 중대한 변화가 발생할 때마다 BIA 데이터를 검토하고 업데이트해야 할 것이다.
※ BIA vs RA
비즈니스 영향 분석 및 위험 평가를 완료하는 것은 BCP 또는 DRP를 준비하는 데 필수적이다. 일반적으로 BIA는 RA 전에 진행되는 경우가 많다. 그리고 두 가지 평가는 당연하게도 서로 다른 영역을 다룬다. 그러나 둘 모두 DR을 결정하며, RTO 및 RPO의 영향은 물론 비즈니스 복구 및 재개에 필요한 리소스와 자료를 분석하기 위한 출발점이 될 수 있을 것이다.
그러니까 사람들이 이 둘을 헷갈려 하는 이유는 둘다 비슷한 포지션에, 비슷한 중요성을 갖고 있는 것처럼 보이기 떄문이다. 그렇기에 정확히 어느 평가를 다루는지를 확인해야 한다. RA는 기업의 지속적인 운영에 대한 잠재적 위험, 위협 및 취약성을 식별한다. 여기에는 태풍, 지진, 화재, 정전을 비롯한 여러 자연 재해와 같은 위협이 포함될 수 있다. 그밖에 공급업체의 문제 발생, 사이버 공격 등도 있을 테고 말이다. 평가에서는 위험이 발생할 경우 실패 지점과 같은 취약점 영역을 식별한다.
위험에 처한 자산에는 사람, 재산, 공급망 , IT, 규정 준수, 비즈니스 평판 및 계약 의무가 포함된다. 자산이 식별된 위험으로 인해 피해를 입기 쉽게 만드는 약점이 평가되는 것이다. 따라서 위험이 중대한 영향을 미칠 가능성을 줄이기 위해 완화 전략을 개발할 수 있을 것이다.
RA 단계에서는 다양한 위협 시나리오에 대해 조사해야 한다. 잠재적인 비즈니스 중단은 사건의 발생 가능성과 비즈니스 운영에 부정적인 영향을 미칠 가능성을 기준으로 우선순위를 정해야 한다. BIA 및 RA 결과는 예방 및 완화는 물론이거니와, 재해 복구 및 비즈니스 연속성 전략에 대한 투자를 정당화하는 데 사용될 수 있을 것이다.
'보안 > 개념' 카테고리의 다른 글
웹 보안 고려사항 총정리 (0) | 2024.02.06 |
---|---|
SET(Secure Electronic Transaction) 총정리 (1) | 2024.02.03 |
리눅스 배포판 정리 (0) | 2024.01.31 |
DRM(Digital Rights Managemnet) 총정리 (0) | 2024.01.31 |
ISO 27001 총정리 (0) | 2024.01.30 |