비즈니스 연속성 계획 체크리스트

튜토리얼

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

업무 연속성 계획(BCP)을 강력하게 갖추는 것은 위험 관리 전략의 일부로서 중요한 기능을 장애 발생 시 유지하거나 신속히 복구할 수 있도록 합니다. BCP는 또한 회사의 인프라를 보호하며 사건에 적절히 대응하기 위한 개요 역할을 합니다.

이 게시물에서는 업무 연속성 계획 체크리스트의 필수 요소를 나열하고 있습니다. 최소한의 영향으로 운영을 성공적으로 재개할 수 있는 최적의 조치를 발견하기 위해 계속 읽어보세요.

업무 연속성 계획이 필요한 이유

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

업무 연속성 계획의 주요 목적은 비상 대비를 보장하여 장애적 상황에서 필요한 단계를 체계적으로 완료할 수 있도록 하는 것입니다. 이 체크리스트가 없는 기업은 정상적인 비즈니스 프로세스를 유지하기 어려울 뿐만 아니라 데이터, 시스템 또는 고객을 영구적으로 상실할 위험을 안게 됩니다.

7단계 업무 연속성 계획

7단계 체크리스트는 기본 프레임워크를 구성하여 조직에 맞는 업무 연속성 계획을 작성하는 데 도움이 됩니다. 위기 상황에서 비즈니스 운영을 유지하기 위해 필요한 모든 절차를 포함할 수 있습니다. 구체적인 세부 사항은 비즈니스 규모, 산업 및 위협 유형 등 다양한 측면에 따라 각 회사마다 달라집니다.

표준 업무 연속성 계획은 일반적으로 다음 단계를 포함합니다:

  1. 재난 대응 팀 구성
  2. 필수 업무 서비스 식별
  3. 위험 평가 및 비즈니스 영향 분석 수행
  4. 회복 계획 개발
  5. 회복 목표 설정 및 재해 복구 사이트 지정
  6. 모든 비즈니스 중요 워크로드가 보호되도록 보장
  7. 비즈니스 연속성 계획을 테스트하고 업데이트

이러한 단계 각각을 자세히 살펴보면 BCP 체크리스트의 중요 요소임을 이해할 수 있습니다.

1. 재난 대응 팀 구성

비즈니스 연속성 계획을 수립하기 위한 첫 번째 단계는 긴급 상황 발생 시 회사를 유지하는 책임을 지는 팀을 구성하는 것입니다. BCP 팀은 일상적인 운영에 관여하는 각 부서의 구성원과, 비즈니스 연속성 계획 노력을 이끌어낼 담당자가 포함되어야 합니다.

주요 BCP 인원을 식별할 때는 조직에 가장 큰 위협을 제공하는 재해의 폭넓은 목록을 만들어서 올바른 인력을 채용해야 합니다. IT 시스템 장애, 전력 장애 또는 시설 손상과 같은 다양한 유형의 긴급 상황은 그것들을 적절하고 빠르게 처리할 수 있는 특정 지식과 전문 기술을 가진 스태프들이 필요합니다.

응답 팀 구성원에 관한 필요한 정보를 기록하기 위한 표를 작성하여 필요할 때 쉽게 연락할 수 있도록 합니다. 표에는 이름, 직책, 응답 팀 역할 및 연락처 정보가 포함될 수 있습니다. 팀의 모든 역할에 대해 적어도 한 명의 대체 인원을 지정해야 합니다. 이렇게 하면 주요 대리인이 책임을 수행하지 못할 경우 병목 현상을 피할 수 있습니다.

2. 필수 비즈니스 서비스 식별

비즈니스 연속성 계획의 주요 목적 중 하나는 귀하의 조직 기능에 중요한 프로세스, 장비 및 자원을 식별하는 데 도움을 주는 것입니다. 이러한 중요한 인프라 기능 및 서비스를 중심으로 비즈니스 연속성 계획을 구축해야 합니다.

이러한 주요 서비스 및 인프라 구성 요소는 아마도 다음을 포함할 것입니다:

  • 전원 시스템 및 발전기
  • 통신 장치 – WAN, LAN, 전화, 컴퓨터
  • IT 시스템 및 서버
  • 건물 인프라 및 시설
  • 특수 장비 또는 비즈니스에 중요한 공급품

이러한 요소를 가능한 빨리 복구하여 영업을 재개하고 자산을 보호하는 것이 매우 중요합니다.

3. 리스크 평가 및 비즈니스 영향 분석

핵심 비즈니스 서비스를 식별한 후 핵심 시스템, 활동 및 자원과 관련된 취약점을 발견하기 위해 위험 영향 평가를 수행해야 합니다. 위험 평가는 각 위협의 발생 가능성을 추정하고 재난이 발생할 가능성을 반영합니다.

비즈니스 영향 분석(BIA)은 일반적으로 위험 평가와 함께 실시되며 비즈니스 운영에 대한 영향의 중요성과 심각성을 평가할 수 있도록 합니다. BIA의 주요 목표는 위험이 현실화될 경우 발생하는 재정 및 운영 비용을 분석하는 것입니다. 이는 중요한 프로세스 및 의존성(고객 및 파트너와 같은)의 허용 수준을 결정하는 데 도움이 됩니다. 중요한 비즈니스 기능이 저하되거나 중단되거나 완전히 중단될 경우입니다.

여기에 귀하의 분석 초안 작성을 시작할 수 있는 간단한 템플릿이 있습니다:

비즈니스 프로세스 영향 범주 심각도 최대 허용 다운타임 (MTD) 예상 비용 의존성

다중 사이트를 가진 조직은 각 위치에 대해 별도의 위험 평가 및 BIA를 수행해야 함을 유의하십시오. 이러한 사이트가 지리적으로 멀리 떨어져 있으면 도전과 위험이 다를 수 있습니다. 견고한 업무 지속성 계획은 또한 서로 다른 위치 간의 관계와 의존성을 고려합니다.

4. 복구 계획 개발

이전 단계를 완료했다면, 이제 재해 발생 후 운영을 복구하기 위한 계획을 작성하는 시간입니다. 비즈니스 연속성과 재해 복구는 특히 재해 복구(DR) 계획이 비즈니스 연속성 계획의 중요한 부분이기 때문에 서로 밀접하게 관련되어 있습니다. 더 자세한 재해 복구 템플릿을 원하신다면, 저희의 무료 화이트 페이퍼 재해 복구 핸드북 및 템플릿을 다운로드하세요.

DR 계획은 가능한 빨리 핵심 서비스를 복구하기 위해 수행해야 할 기술적 단계를 개요로 제시합니다. 복구 계획은 데이터뿐만 아니라 기계, 작업 부하 및 프로세스도 포함되어야 함을 기억하세요.

귀하의 복구 계획은 다음과 같은 전략을 활용할 수 있습니다.

  • 대안 비즈니스 절차 – 예를 들어, 시스템이 다시 가동될 때까지 기계화 또는 자동화된 프로세스에 대한 수동 우회 방법
  • A secondary or alternate site to resume business operations
  • 사이트 수준의 네트워크 및 서버 장애 조치
  • 비즈니스 중요 데이터의 오프사이트 백업 복구
  • “핫-스페어” 또는 대기 중인 리소스, 주요 구성 요소가 실패할 경우 즉시 서비스에 투입할 수 있음

아래 비디오에서는 NAKIVO 백업 & 복제를 사용하여 완전한 재해 복구를 수행하는 방법을 설명합니다.

5. 복구 목표 설정 및 DR 사이트 지정

복구 시간 목표(RTO)는 비즈니스 프로세스나 서비스가 복원되기 전에 기업이 합리적으로 견딜 수 있는 IT 시스템 다운타임을 결정합니다. 복구 지점 목표(RPO)는 기업이 견딜 수 있는 데이터 손실의 양을 정의합니다. RTO와 RPO는 모든 비즈니스 연속성 계획에서 중요한 지표입니다.

네트워크/데이터 장애 조치를 위한 재해 복구(DR) 사이트를 지정하는 것은 중요합니다. 왜냐하면 이것은 기본 생산 사이트가 오프라인 상태가 될 경우 즉시 대체할 수 있는 것을 제공하기 때문입니다. 또한, 복구 목표가 충족되는 것을 보장하는 데 도움이 됩니다.

다른 지리적 위치에 있는 DR 시설은 가상 머신(VM)과 같은 자원의 “웜 스탠바이” 복사본으로 작동합니다. 생산 네트워크를 마비시키는 사이트 전체의 실패가 발생할 경우, 트래픽은 DR 위치로 장애 조치될 수 있습니다. “웜 스탠바이” VM은 본질적으로 생산 워크로드가 되어 비즈니스 운영을 복원하고 비즈니스 연속성을 효율적으로 보장합니다.

고급 타사 데이터 보호 솔루션을 사용하여 생산 VM을 오프사이트 DR 위치로 복제하고 RPO와 일치하도록 복제 간격을 설정할 수 있습니다. 복제 VM은 원본 기계의 정확한 복사본이며 재해 복구 계획을 구현할 때 자동 장애 조치 프로세스에서 사용될 수 있습니다.

6. 모든 비즈니스 핵심 워크로드가 보호되는지 확인하십시오.

재난의 영향을 심각하게 완화할 수 있습니다. 비즈니스에 중요한 데이터를 적절히 보호하는 것으로 백업을 견고하게 만들어 보세요. 3-2-1 규칙을 적용하여 백업을 구축하세요: 최소 3개의 백업을 2종류의 다른 저장 매체에 저장하고 적어도 1개의 사본은 오프사이트에 저장합니다.

가능한 최단의 RPO 및 RTO를 달성하려면 3-2-1 백업 방법론을 따라 비즈니스 데이터 백업을 수행하세요. 이렇게 하면 제작 네트워크에 영향을 미치는 동일한 재난이 백업 데이터에도 영향을 미치지 않도록 할 수 있습니다.

비즈니스 연속성 계획을 테스트하고 업데이트하세요.

비즈니스 연속성 계획이 완료되면 엄격한 테스트가 필요합니다. 이를 위한 최선의 방법은 직원들을 훈련시켜 역할과 책임을 완전히 이해하도록 하는 것입니다. 정기적인 훈련과 교육을 실시하지 않으면 긴급 대비가 보장되지 않습니다. 더 중요한 것은 전체 시뮬레이션을 진행하여 계획 내의 약점을 식별하고 수정할 수 있습니다.

실제 재해 시나리오의 흐름을 모방하기 위한 모든 절차를 실행하십시오. 이러한 유형의 테스트는 주요 팀 구성원이 프로세스에 익숙한 상태로 유지되도록 분기별로 실시하는 것이 가장 좋습니다. 또한, 인프라, 환경, 프로토콜, 작업 부하 및/또는 인력에 대한 변경 사항은 계획에 복잡성을 도입할 수 있습니다. 이러한 잠재적인 문제는 전체 실행 중에만 발견되는 경우가 많습니다.

시뮬레이션은 모든 취약점을 기록할 수 있는 독립적인 관찰자가 지켜보아야 합니다. 각 시행 후에 데브리핑을 실시한 후, 기록된 약점과 제안된 업데이트를 문서화한 보고서를 작성할 수 있습니다. 보고서와 업데이트된 비즈니스 연속성 계획은 모든 팀원과 공유되어야 합니다.

비즈니스 연속성 계획 체크리스트

이것은 비상 대비를 보장하기 위해 필요한 단계를 진행할 수 있는 단순화된 BCP 체크리스트입니다.

재난 대응 팀 구성

  • BCP 수석 매니저 지정
  • 비즈니스 연속성 위원회 구성
  • 대응 팀 구성원 선택
  • 역할 및 책임 정의
  • 각 팀원에 대한 보조 대리인 선택
  • 모든 구성원 간 명확한 커뮤니케이션 확립

필수 비즈니스 서비스 식별

  • 모든 전력 시스템 맵핑
  • 통신 장비 식별
  • IT 시스템 및 서버 식별
  • 시설 및 특수 장비 식별
  • 서비스 간의 상호 의존성 식별
  • 비상 서비스 점검

위험 평가 및 비즈니스 영향 분석 실시

  • 위협 및 취약점 식별
  • 위험 허용 수준 설정
  • 중요한 비즈니스 프로세스 결정
  • 각 서비스의 최대 허용 가동 중지 시간 계산
  • 재무, 법률, 규제 및 고객 영향을 분석하십시오
  • 핵심 비즈니스 기능 간의 상호 의존성을 식별하십시오

복구 계획 개발              

  • 운영 지속 계획 (COOP)을 작성하십시오
  • 자동화된 프로세스에 대한 수동 대안을 초안 작성하십시오
  • 사이트 수준의 네트워크 및 서버 장애 조치에 대비하십시오
  • 중요한 데이터의 오프사이트 백업을 테스트하십시오
  • 대기 리소스가 사용 가능한지 확인하십시오

복구 목표를 설정하고 DR 사이트를 지정하십시오

  • 비즈니스 운영을 재개하기 위한 보조 사이트를 지정하십시오
  • 복구 지점 목표 (RPO)를 설정하십시오
  • 복구 시간 목표 (RTO)를 설정하십시오
  • 재해 복구 프로세스를 관리하십시오

비즈니스 중요 데이터를 보호하십시오

  • 비즈니스 중요 데이터를 위한 백업을 수행하십시오
  • 온사이트 및 오프사이트 저장 장치에 데이터를 저장하십시오
  • 공기 간격 백업을 저장하십시오
  • 특정 백업에 대한 불변성을 활성화하십시오

비즈니스 연속성 계획을 테스트하고 업데이트하십시오

  • 매년, 반기별, 분기별 테스트를 수행하십시오
  • 매년 완전한 BCP 시뮬레이션을 수행하십시오
  • 감사 프로세스를 생성하십시오
  • 취약점을 식별하고 계획을 업데이트하십시오
  • 귀하의 직원을 교육하십시오

결론

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

이 체크리스트는 최악의 시나리오에도 견딜 수 있는 효과적인 업무 연속성 계획의 프레임워크를 제공합니다. BCP는 NAKIVO Backup & Replication과 같은 고급 데이터 보호 솔루션 없이 완전할 수 없다는 점을 명심하십시오. NAKIVO 솔루션에는 백업 및 복구 프로세스를 수행하는 데 필요한 모든 도구, 자동화된 DR 워크플로우, 비파괴적인 DR 테스트를 실시하여 회복 목표를 충족시키는 데 필요한 모든 도구가 포함되어 있습니다.

Source:
https://www.nakivo.com/blog/business-continuity-plan-checklist/