BCP의 목적은 서비스 중단상황에서 사업운영과 정보처리의 지속성을 위해 문서화하고, 협의하고, 테스트된 계획을 개발하고 유지하기 위한 프로세스를 평가 및 통제하는 것으로 개략적인 절차는 다음과 같다.
1. BCP 프로젝트의 범위 결정 및 계획서 개발
2. BIA수행
- 타임 크리티컬 업무 프로세스 인식
- 심각한 중단 또는 재난으로부터 영향 파악
3. 복구/E-가용성 전략 개발
- 복구/E-가용성 선택안의 평가 및 관련 비용 추정
4. 복구계획 개발
- 관리 목록 정보 작성 및 세부 복구팀 실행 계획 개발
5. 실행, 시험 및 운용
6. 공지 및 프로세스 측정 실행
일반적인 DRP 방법
DRP는 기본적으로 업무가 중단된 후 복구하는 방법에 중심이 되어 있다. 따라서 우선 순위를 선정할 때도 백업을 받을 수 있는 용량을 우선적으로 고려하게 된다. 백업 환경을 구성하는 개략적인 절차는 다음과 같다.
1. DRP 프로젝트 범위 결정 및 계획서 개발
2. 목적 설정
- 심각한 중단 또는 재난발생시 결정사항 명시
3. 데이터 처리 연속 계획
- 핫/웜/쿨 사이트 결정
- 복구센터 타입 결정(자체, 임차 또는 상호협의 등)
4. 백업방법 설정(미러링, 저널링 등)
5. 실행, 시험 및 운용
6. 공지 및 프로세스 측정 실행
가트너가 정의한 BCP 방법
명확하게 업무 프로젝트 관점보다는 새로운 상품을 개발하는 IT 제품 생활 주기에 기반을 두고 있다. 이유는 생활 주기에서 BCP의 부족한 반영은 많은 기업에게 있어 치명적인 약점을 발생시킬 수 있기 때문이다.
BCP의 추가적인 형태는 기업에 있어 업무 연속성 관련 정책뿐 아니라 조직, 위기관리, 사태 계획 또는 피난 계획과 경영 계획을 포함한 전반적인 BCP를 클로즈드 루프(closed-loop) 프로세스의 형태로 구성됐다. 이러한 일련의 행위는 IT 프로젝트에 의한 BCP의 수직적 관점으로 표현됐으며, 각각의 행위가 수평적으로 광범위하게 포함돼 있다.
또한 각각의 BCP를 평가 및 보완하기 위해 추가적으로 성숙모델을 제시하고 있다. 이는 BCP 프로세스와 실적을 평가해 경영자에게 기업의 BCP 현황을 보여주고, 필요한 사항을 언급해 주기 위한 것이다. 또한 현실적으로 달성 가능한 차이(gap) 분석 제공으로 같은 산업 군에 속한 베스트 프랙티스(best practice)를 제공한다.
| <표1> 가트너가 정의한 성숙도 모델 | ||
레벨 | 이름 | 기능 |
0 | Nonexistent | 최소한의 인식 부족 BCP를 IT의 기능에만 한정되어 있음 |
1 | Initial | 경영자가 BCP를 인식하고 있음 표준화된 프로세스가 없다 임시적인 방법으로 해결 |
2 | Repeatable | 중간관리자가 BCP를 인식하고 있음 역할과 기능이 정의돼 있음 측정 기준이 없다 |
3 | Defined | 개인적으로 최선의 BCP를 진행 절차와 방법이 기업의 대표성을 가지지 못함 핵심업무 지역을 중심으로 BCP를 진행 |
4 | Managed | BCP의 긍정적 효과를 인식 BCP를 프로젝트가 아니라 프로세스로 다룸 업무 프로세스를 중심으로 BCP를 진행 |
5 | Optimized | 경영자와 실무자가 정기적으로 회의를 함 업무 프로세스와 공급체인 강화에 중점을 둠 |
가트너에서는 기업들이 레벨 5까지 할 필요는 없지만, 최소한 레벨 3까지는 실행할 것을 권장하고 있다. 레벨 0은 BCP 자체를 인식하지 못하고 있는 것으로, 약간의 프로세스는 있지만 전체를 총괄하는 중심부서가 없다.
레벨 1은 최상위급 경영자가 BCP를 해야 한다는 필요성을 인식하고 있고, BCP와 관련된 뭔가를 하고 있는 상태다. 하지만 규칙화된 프로세서나 방법론 없이 임시 방편으로 BCP가 다뤄지고 있는 상태다. IT조직 내에서 BCP를 하고 있기는 하지만 정식적인 조직, 역할 및 책임이 없는 상태며, 느슨한 분위기에서 약간의 비용이 지불되고 있지만 구조적이지 못한 BCP를 실행중인 것이다.
레벨 2는 중간 관리자급까지 BCP의 필요성이 인식돼 기능과 시간이 할당되기 시작하는 단계다. 정확한 역할분담이 있으나 이들 역할에 대한 측정 방법이 부족하다. BIA (Business Impact Analysis)와 위험 평가 자료는 있지만 프로세스 중심이라기보다는 프로젝트로서 다뤄지고 있는 상태다. 즉, 정책이 지원적인 도구 없이 실행되고 있는 것으로 DRP의 단계라 할 수 있다.
레벨 3는 프로세스와 절차의 표준화 및 문서화가 이뤄진 상태다. 그러나 감사나 통제 방안이 거의 없고 개인이 자신이 할 수 있는 최선을 다하는 상태다. 정식적인 조직이 업무 연속성 관리자에 의해 이뤄지고 있지만 경영자가 제한적으로 참여하고 있으며 지원 역시 부족한 상태다. 시험이 정기적으로 이뤄지며, 합당하게 필요한 보완책에 대한 동기를 가지고 있다. 하지만 동기를 충분하게 실현하지 못하고 있다. 이 단계에서는 예산이 할당되어 중요 업무 영역에 반영되고 있다.
레벨 4는 위험관리의 효과에 대해 긍정적으로 여기고 있으며, BCP가 기업의 전반적인 위험에 있어서 중요한 부분임을 인식하고 있다. 따라서 감시, 측정, 시험 등을 적절하게 사용하고 있으며, 프로젝트가 아닌 프로세스로서 인식하고 있다. 모든 비용이 적절히 통제되고 있으며, 업무 프로세스에 주안점을 둬 다뤄지고 있다.
레벨 5는 BCP 전략을 인위적으로 다룰 수 있으며, BCP가 부가적인 효과를 가지고 있음을 인식하고 있다. 따라서 경영자와 담당자가 정기적으로 BCP에 대한 토의를 하고, 각 주주에게 설명이 되고 있으며, 위험 관리가 기업의 문화로 자리잡고 있는 상태다. 이 단계에서는 업무 프로세스와 공급체인(supply chain) 강화에 주안점을 두고 있고 관리할 수 있는 기반과 절차를 가지고 있으며, IT 프로젝트에 있어서 BCP를 우선적으로 고려하고 있는 상태다.
