비즈니스 연속성 대 재해 복구: 어떤 계획이 귀하에게 적합합니까? – IBM 블로그

비즈니스 연속성 및 재해 복구 계획은 기업이 예상치 못한 사고에 대비하기 위해 의존하는 위험 관리 전략입니다. 두 용어는 밀접하게 관련되어 있지만 귀하에게 적합한 용어를 선택할 때 고려해야 할 몇 가지 주요 차이점이 있습니다.

• 비즈니스 연속성 계획(BCP): BCP는 재해 발생 시 조직이 정상적인 비즈니스 기능으로 복귀하기 위해 취하는 단계를 간략하게 설명하는 세부 계획입니다. 다른 유형의 계획은 복구 및 중단 방지(예: 자연 재해 또는 사이버 공격)의 특정 측면에 중점을 둘 수 있지만 BCP는 광범위한 접근 방식을 취하고 조직이 가능한 한 광범위한 위협에 직면할 수 있도록 보장하는 것을 목표로 합니다.
• 재해 복구 계획(DRP): BCP보다 본질적으로 더 자세하며, 재해 복구 계획 기업이 중단 중에 IT 시스템과 중요한 데이터를 구체적으로 보호하는 방법에 대한 비상 계획으로 구성됩니다. BCP와 함께 DR 계획은 기업이 대규모 정전, 자연 재해, 랜섬 및 악성 코드 공격 및 기타 여러 가지.
• 비즈니스 연속성 및 재해 복구(BCDR): 비즈니스 연속성 및 재해 복구(BCDR) 비즈니스 요구에 따라 함께 접근하거나 별도로 접근할 수 있습니다. 최근에는 두 가지 원칙을 함께 실천하는 방향으로 나아가는 기업이 많아지고 있으며, 경영진에게 개별적으로 업무를 수행하기보다는 BC 및 DR 사례에 대해 협력할 것을 요구하고 있습니다. 이로 인해 두 용어가 하나로 결합된 BCDR이 탄생했습니다., 그러나 두 가지 관행의 본질적인 의미는 변함이 없습니다.

조직에서 BCDR 개발에 어떻게 접근하기로 선택했는지에 관계없이 이 분야가 전 세계적으로 얼마나 빠르게 성장하고 있는지 주목할 가치가 있습니다. 데이터 손실 및 가동 중지 시간과 같은 나쁜 BCDR의 결과로 인해 비용이 점점 더 많이 들기 때문에 많은 기업이 기존 투자에 추가하고 있습니다. 지난해 전 세계 기업들은 사이버 보안과 솔루션에 219억 달러를 지출할 것으로 예상했는데, 이는 전년도보다 12% 증가한 수치입니다. IDC(International Data Corporation)의 최근 보고서에 따르면 (링크는 ibm.com 외부에 있음)

비즈니스 연속성 및 재해 복구 계획이 중요한 이유는 무엇입니까?

BCP(비즈니스 연속성 계획) 및 DRP(재해 복구 계획)는 조직이 계획되지 않은 광범위한 사고에 대비하는 데 도움이 됩니다. 효과적으로 배포되면 좋은 DR 계획은 이해관계자가 특정 위협이 초래할 수 있는 일반 비즈니스 기능에 대한 위험을 더 잘 이해하는 데 도움이 될 수 있습니다. BCDR(비즈니스 연속성 재해 복구)에 투자하지 않는 기업은 예상치 못한 사고로 인해 데이터 손실, 가동 중지 시간, 금전적 불이익, 평판 손상을 경험할 가능성이 더 높습니다.

비즈니스 연속성 및 재해 복구 계획에 투자하는 기업이 기대할 수 있는 몇 가지 이점은 다음과 같습니다.

• 가동 중지 시간 단축: 재해로 인해 정상적인 비즈니스 운영이 중단되면 기업이 다시 복구하고 운영하는 데 수억 달러의 비용이 발생할 수 있습니다. 주목받는 사이버 공격 특히 해를 끼치며 종종 원치 않는 관심을 끌고 투자자와 고객이 더 짧은 가동 중지 시간을 광고하는 경쟁사로 도망가게 만듭니다. 강력한 BCDR 계획을 구현하면 직면한 재해 종류에 관계없이 복구 기간을 단축할 수 있습니다.
• 재정적 위험 감소: 에 따르면 IBM의 최근 데이터 침해 비용 보고서, 4.45년 데이터 침해의 평균 비용은 2023만 달러로 15년보다 2020% 증가했습니다. 강력한 비즈니스 연속성 계획을 갖춘 기업은 가동 중지 시간을 단축하고 고객 및 투자자의 신뢰를 높여 이러한 비용을 크게 줄일 수 있음을 보여주었습니다.
• 처벌 감소: 데이터 위반으로 인해 고객의 개인 정보가 유출되면 큰 처벌을 받을 수 있습니다. 의료 및 개인 금융 분야에서 운영되는 기업은 처리하는 데이터의 민감성으로 인해 더 높은 위험에 처해 있습니다. 강력한 비즈니스 연속성 전략을 마련하는 것은 이러한 부문에서 사업을 운영하는 기업에게 필수적이며, 무거운 재정적 처벌을 받을 위험을 상대적으로 낮게 유지하는 데 도움이 됩니다.

비즈니스 연속성 재해 복구 계획을 수립하는 방법

BCDR(비즈니스 연속성 재해 복구) 계획은 기업이 별도로 조정된 접근 방식을 취할 때 가장 효과적입니다. BCP(비즈니스 연속성 계획)와 DRP(재해 복구 계획)는 유사하지만 별도로 개발하는 것이 유리하다는 중요한 차이점이 있습니다.

• 강력한 BCP는 재해 이전, 도중, 직후에 정상적인 운영을 유지하기 위한 전술에 중점을 둡니다. 
• DRP는 사고에 대응하고 모든 것을 백업하고 원활하게 실행하는 방법을 간략하게 설명하면서 보다 대응적인 경향이 있습니다.

효과적인 BCP 및 DRP를 구축하는 방법을 알아보기 전에 두 가지 모두에 관련된 몇 가지 용어를 살펴보겠습니다.

• RTO(복구 시간 목표): RTO는 예상치 못한 사고 발생 후 비즈니스 프로세스를 복원하는 데 걸리는 시간을 나타냅니다. 합리적인 RTO를 설정하는 것은 기업이 BCP나 DRP를 생성할 때 가장 먼저 해야 할 일 중 하나입니다. 
• RPO(복구 지점 목표): 비즈니스의 복구 지점 목표(RPO)는 재해로 인해 손실되더라도 복구할 수 있는 데이터의 양입니다. 데이터 보호는 많은 현대 기업의 핵심 기능이므로 일부 기업에서는 데이터를 원격 장치로 지속적으로 복사합니다. 데이터 센터 대규모 침해가 발생한 경우 연속성을 보장합니다. 다른 사람들은 백업 시스템에서 비즈니스 데이터를 복구하기 위해 몇 분(또는 몇 시간)의 허용 가능한 RPO를 설정하고 해당 시간 동안 손실된 모든 것을 복구할 수 있다는 것을 알고 있습니다.

비즈니스 연속성 계획(BCP)을 구축하는 방법 

비즈니스 연속성을 계획할 때 각 기업마다 약간씩 다른 요구 사항이 있지만 규모나 산업에 관계없이 강력한 결과를 얻을 수 있는 널리 사용되는 4가지 단계가 있습니다.

1. 비즈니스 영향 분석 실행 

BIA(비즈니스 영향 분석)는 조직이 직면한 다양한 위협을 더 잘 이해하는 데 도움이 됩니다. 강력한 BIA에는 모든 잠재적 위협과 노출될 수 있는 취약성에 대한 강력한 설명 작성이 포함됩니다. 또한 BIA는 각 사건의 가능성을 추정하여 조직이 이에 따라 우선순위를 정할 수 있도록 합니다.

2. 잠재적인 응답 만들기

BIA에서 식별한 각 위협에 대해 비즈니스에 대한 대응을 개발해야 합니다. 다양한 위협에는 다양한 전략이 필요하므로 직면할 수 있는 각 재해에 대해 잠재적인 복구 방법에 대한 자세한 계획을 세우는 것이 좋습니다.

3. 역할과 책임 할당

다음 단계는 재해 발생 시 재해 복구 팀의 모든 구성원에게 필요한 것이 무엇인지 파악하는 것입니다. 이 단계에서는 기대치를 문서화하고 계획되지 않은 사고 발생 시 개인이 어떻게 의사소통할지 고려해야 합니다. 많은 위협이 셀룰러 및 Wi-Fi 네트워크와 같은 주요 통신 기능을 차단하므로 신뢰할 수 있는 통신 대체 절차를 마련하는 것이 좋습니다.

4. 계획을 연습하고 수정하세요.

대비한 각 위협에 대해 BCDR 계획이 원활하게 운영될 때까지 지속적으로 연습하고 개선해야 합니다. 누구도 실제 위험에 빠뜨리지 않고 최대한 현실적인 시나리오를 연습하여 팀원들이 자신감을 갖고 비즈니스 연속성이 중단될 경우 어떻게 수행할 수 있는지 알아낼 수 있습니다.

재해 복구 계획(DRP)을 구축하는 방법

BCP와 마찬가지로 DRP는 주요 역할과 책임을 식별하며 효과적이려면 지속적으로 테스트하고 개선해야 합니다. 다음은 DRP 생성에 널리 사용되는 4단계 프로세스입니다.

1. 비즈니스 영향 분석 실행

BCP와 마찬가지로 DRP는 회사가 직면할 수 있는 각 위협과 그 영향에 대한 신중한 평가로 시작됩니다. 각 잠재적인 위협으로 인해 발생할 수 있는 피해와 일상적인 비즈니스 운영이 중단될 가능성을 고려하십시오. 추가 고려 사항에는 수익 손실, 가동 중지 시간, 평판 복구 비용(홍보), 나쁜 언론으로 인한 고객 및 투자자 손실 등이 포함될 수 있습니다.

2. 자산 목록 작성

효과적인 DRP를 위해서는 기업이 무엇을 소유하고 있는지 정확히 알아야 합니다. 이러한 인벤토리를 정기적으로 수행하면 하드웨어, 소프트웨어, IT 인프라 및 조직에서 중요한 비즈니스 기능에 의존하는 모든 것을 쉽게 식별할 수 있습니다. 다음 레이블을 사용하여 각 자산을 분류하고 보호 우선순위(중요, 중요, 중요하지 않음)를 지정할 수 있습니다.

• 위독한: 일반적인 비즈니스 운영을 위해 자산에 의존하는 경우 중요 자산에 레이블을 지정하십시오.
• 중요 사항: 하루에 한 번 이상 사용하고 중단될 경우 중요한 작업에 영향을 미칠 수 있는 모든 항목에 이 라벨을 부여하십시오(완전히 종료하지는 않음).
• 중요하지 않음: 이는 귀하의 기업이 소유하고 있지만 정상적인 운영에 필수적이지 않을 정도로 자주 사용하지 않는 자산입니다.

3. 역할과 책임 할당

BCP와 마찬가지로 책임을 설명하고 팀원이 해당 책임을 수행하는 데 필요한 것을 갖추고 있는지 확인해야 합니다. 고려해야 할 널리 사용되는 역할과 책임은 다음과 같습니다.

• 사건 보고자: 관련 당사자의 연락처 정보를 유지하고 파괴적인 사건이 발생할 때 비즈니스 리더 및 이해관계자와 소통하는 사람입니다.
• DRP 감독자: 사고 발생 시 팀 구성원이 할당된 작업을 수행하도록 하는 사람입니다. 
• 자산 관리자: 재난이 닥쳤을 때 중요한 자산을 확보하고 보호하는 일을 맡은 사람입니다. 

4. 계획을 연습해 보세요

BCP와 마찬가지로 DRP가 효과적이려면 지속적으로 연습하고 업데이트해야 합니다. 정기적으로 연습하고 필요한 의미 있는 변경 사항에 따라 문서를 업데이트하세요. 예를 들어, DRP가 형성된 후 회사에서 새로운 자산을 획득한 경우 이를 향후 계획에 포함해야 합니다. 그렇지 않으면 재해 발생 시 보호되지 않습니다.

강력한 비즈니스 연속성 및 재해 복구 계획의 예

BCP(비즈니스 연속성 계획), DRP(재해 복구 계획)가 필요하거나 함께 또는 별도로 작업해야 하는 경우 다른 기업이 대비를 강화하기 위해 계획을 어떻게 마련했는지 살펴보는 것이 도움이 될 수 있습니다. 다음은 기업의 BC 및 DR 준비에 도움이 된 몇 가지 계획의 예입니다.

• 위기 관리 계획: 좋은 위기 관리 계획은 비즈니스 연속성 또는 재해 복구 계획의 일부가 될 수 있습니다. 위기 관리 계획은 특정 위협을 관리하는 방법을 간략하게 설명하는 세부 문서입니다. 정전, 사이버 범죄 또는 자연 재해와 같은 특정 종류의 위기에 조직이 어떻게 대응할 것인지에 대한 자세한 지침을 제공합니다. 구체적으로, 이벤트가 진행되는 동안 시간별, 분별 압박감을 어떻게 처리할 것인지. 비즈니스 연속성 및 재해 복구 계획에 필요한 많은 단계, 역할 및 책임은 훌륭한 위기 관리 계획과 관련이 있습니다.
• 커뮤니케이션 계획: 통신 계획(또는 통신 계획)은 비즈니스 연속성과 재해 복구 노력에 동일하게 적용됩니다. 계획되지 않은 사고 발생 시 조직이 PR 문제를 구체적으로 어떻게 해결할 것인지 간략히 설명합니다. 좋은 커뮤니케이션 계획을 세우기 위해 비즈니스 리더는 일반적으로 커뮤니케이션 전문가와 협력하여 커뮤니케이션 계획을 수립합니다. 일부는 발생 가능성이 높고 심각하다고 간주되는 재해에 대한 구체적인 계획을 마련해 두고 있습니다., 그래서 그들은 자신들이 어떻게 반응할지 정확히 알고 있습니다.
• 네트워크 복구 계획: 네트워크 복구 계획은 조직이 인터넷 액세스, 셀룰러 데이터, LAN(근거리 통신망) 및 WAN(광역 네트워크)을 포함한 네트워크 서비스 중단을 복구하는 데 도움이 됩니다. 네트워크 복구 계획은 일반적으로 기본적이고 필수적인 요구 사항인 통신에 초점을 맞추고 재해 복구보다 비즈니스 연속성 측면에서 더 많이 고려해야 하기 때문에 범위가 넓습니다. 비즈니스 운영에 있어 많은 네트워크 서비스의 중요성을 고려하여 네트워크 복구 계획은 중단 후 서비스를 신속하고 효과적으로 복원하는 데 필요한 단계에 중점을 둡니다.
• 데이터 센터 복구 계획: 데이터 센터 복구 계획은 데이터 보안과 IT 인프라에 대한 위협에 중점을 두기 때문에 DRP보다 BCP에 포함될 가능성이 높습니다. 데이터 백업에 대한 일반적인 위협으로는 과도한 인력, 사이버 공격, 정전, 규정 준수 요구 사항 준수의 어려움 등이 있습니다. 
• 가상화된 복구 계획: 데이터 센터 계획과 마찬가지로 가상화된 복구 계획은 BCP가 IT 및 데이터 리소스에 중점을 두기 때문에 DRP보다 BCP의 일부일 가능성이 높습니다. 가상화된 복구 계획은 다음을 기반으로 합니다. 가상 머신(VM) 중단 후 몇 분 이내에 작동이 시작될 수 있는 인스턴스입니다. 가상 머신은 고가용성(HA)을 통해 중요한 애플리케이션 복구를 제공하거나 시스템이 오류 없이 지속적으로 작동하는 기능을 제공하는 물리적 컴퓨터를 표현/에뮬레이션한 것입니다.

비즈니스 연속성 및 재해 복구 솔루션 

사소한 중단이라도 비즈니스를 위험에 빠뜨릴 수 있습니다. IBM은 클라우드 백업, 재해 복구 기능, 보안 및 탄력성 서비스를 포함하여 다양한 위협에 직면할 수 있도록 비즈니스를 준비하는 데 도움이 되는 광범위한 비상 계획과 재해 복구 솔루션을 보유하고 있습니다.

IBM 비즈니스 연속성 계획 솔루션으로 데이터를 보호하고 복구 속도를 높이세요.