728x90
반응형
BIA(Business Impact Analysis)에 대해서 알아보자.
BIA(Business Impact Analysis)란
재해 발생 시 기업의 비즈니스에 영향을 미치는 업무를 선정하고, 업무중단에 대한 정량적/정성적 분석을 통해 복구우선순위를 도출하는 BCP의 핵심적인 분석절차를 말한다.
BIA의 목적
| 구분 | 설명 |
| 핵심 우선순위 결정 (Critical Periodization) |
영향도가 가장 큰 업무를 우선 복구하여 피해 최소화 |
| 중단시간 산정 (Downtime Estimate) |
최대 허용 가능한 중단시간을 산정하여 서비스 연속성 보장 |
| 요구자원 산정 (Resource Requirements) |
업무별 자원 요구사항을 파악, 원활한 재해복구 지원 |
BIA의 수행절차
- 재무적, 비재무적 지표에 따른 손실 정도를 산정하고, 이를 기반으로 복구 순위 도출
BIA 단계별 프로세스 설명
| 단계 | 항목 | 설명 |
| 1 | 정성적, 정량적 평가도출 | 전산시스템 재해 발생 시 파급 영향을 정성적/정량적으로 분석할 수 있는 12개 분석항목 도출 |
| 2 | 인터뷰 및 설문 실시 | 담당자 시범 인터뷰를 통해 정성적 영향 7개 항목과 정량적 영향 4개 항목에 대해 사전 평가 |
| 3 | 평가 항목 간 가중치 결정 | Safety의 AHP(Analytic Hierarchy Process) 분석 기법을 사용하여 가중치 부여 |
| 4 | 종합 점수 산정 | 가중치 부여 후, 각각의 항목에 점수 부여->결과 합산->각 어플리케이션 별 종합 점수 산정 |
| 5 | 종합 점수 별 그룹핑 | 종합점수를 내림차순으로 정렬 -> RTO(Recovery Time Objectives) 기준으로 1,2,3 그룹으로 구분 |
BIA의 관점 별 분석방법
- BIA를 통해 산출된 최종등급에 따라 적정 수준의 복구 목표 및 DR(Disaster Recovery) 센터 구축을 수행
라. BIA를 통한 주요 도출 지표
| 1. 분석관점 | 2. 관점 별 수준 | 3. 최종 등급 판정 |
| – 재무적 영향도 측면 – 법/제도 측면 – 기업운영 측면 – 시장/고객 평판 – 전략/마케팅 |
① 미미함(Negligible) ② 사소함(Minor) ③ 보통(Moderate) ④ 중요함(Major) ⑤ 극심함(Severe) |
① 부분/국지적 ② 일반/제한 ③ 중요/대형 ④ 광범위/전파 |
| 지표 | 설명 | 사례 |
| RTO | 업무 재개 위한 필요 시간 | 2시간, 7일, 1개월 |
| RPO | 핵심 업무 복구 수준(백업) | 특정 백업 시점 |
| RSO | 네트워크 복구 수준 | 주요 영업점, 전 영업점 |
| RCO | 복구 대상 핵심 업무 | 계정계, 정보계, 대외계 |
| BCO | 백업 센터 구축 목표 | DR센터 시스템 구축 |
※ BCO(Backup Center Objective)
BIA 결과 기반 복구목표 산정 및 DR 센터 구성방안
| 최종 등급 | RTO / RPO | DR센터 | 대상 사례 |
| ① 부분/국지적 | 8H / 10D | Cold | 검증계, 테스트 |
| ② 일반/제한 | 6H / 7D | Warm | 백업, 파일 서버 |
| ③ 중요/대형 | 2H / 12H | Hot | 정보계, 경영정보 |
| ④ 광범위/전파 | 0H / 4H | Mirror | 계정계, 온라인금융 |
BIA의 수행결과에 따른 복구 목표 산정 및 DR 센터 구성방안
| BIA 최종등급 | 복구목표 | DR센터 | 대상 시스템 사례 |
| 1. 부분/국지적 | RTO=8H, RPO=10D | Cold Site | 테스트, 검증계시스템 |
| 2. 일반/제한 | RTO=6H, RPO=7D | Warm Site | 파일서버 |
| 3. 중요/대형 | RTO=2H, RPO=12H | Hot Site | 경영정보시스템 |
| 4. 광범위/전파 | RTO=4H, RPO=4H | Mirror Site | 온라인 쇼핑몰 홈페이지 |
BIA와 RA(위험평가, Risk Assessment) 비교
| 구분 | 업무영향분석(BIA) | 위험평가(RA) |
| 정의 | - 업무중단(Disruption)으로 인한 영향을 파악하고, 이를 토대로 “업무단위”를 분류하고 우선 순위화하는 활동 | - 기업이 지속적인 비즈니스를 수행하는 데에 있어 잠재적인 “위험”을 식별하는 활동 |
| 주요 수행내용 | - 단위업무식별및분류 - 복구목표시간(RTO)의정의 - 복구에필요한자원의식별및정의 |
- 리스크식별및분류 - 리스크평가 - 리스크완화방안도출 |
| 연계 | - 복구전략 및 대안을 설계하기 위한 정보 제공 | - 위기대응계획과연계 |
출처
반응형