이번 호 에서는 BCP체계 구축에 가장 중요하고 초석이라 할 수 있는 BIA(Business Impact Analysis, 업무영향분석)에 관하여 소개하고자 한다. BIA는 기업위기들을 관리하기 위한 초석이 된다. 위기관리계획이 재무를 담당하고 있는 조직을 위해서 준비해야 하는가 혹은 BCP가 전체조직을 위해 필요한 것인가에 대한 판단을 위해 BIA를 수행한다.

(*자료: BCP입문) 금융감독원의 영업연속성 모범 규준(안)에서는 “BIA는 업무 중단 시 금융기관에 미치는 정량적/정성적 영향 혹은 손실을 측정하고 재해/재난 발생시에도 수행되어야 할 최소한의 업무를 정의하는 절차로서, 업무별 목표 복구시간, 복구 우선순위, 복구에 필요한 자원, 필수인력 등을 식별하는 활동을 말한다. 은행은 영업 영향분석을 통해 재해/재난 발생시에도 지속적으로 실행되어야 할 핵심영업/업무를 인식하고, 동 영업/업무의 우선순위에 따라 목표 복구시간(RTO: Recovery Time Objective), 목표 복구시점(RPO: Recovery Point Objective) 등 목표 복구수준(Recovery Targets)을 정하여야 한다.”라고 정의하고 있다.

다음은 영국의 BS25999 Part 1과 Part 2 의 BIA에 관한 내용을 살펴보고자 한다. (이하 요약정리)

 BS25999 Part 1 BCP Guidance 조직은 주요 상품, 서비스 지원 업무에 지장을 줄 수 있는 영향을 정의하고 문서화해야 한다. 본 프로세스를 일반적으로 사업영향분석(BIA)이라 언급된다. BCM 프로그램 범위 내에서 주요 상품, 서비스 제공을 지원하는 모든 업무에 대하여 조직은 다음을 실시해야 한다. ① 시간이 지남에 따라 업무 중단 시 발생할 수 있는 영향을 평가한다. ② 다음을 파악하여 각 업무의 장애발생시 최대 견딜 수 있는 기간을 결정한다. -장애가 시작된 이후 해당 업무가 복귀되어야 하는 최대의 시간(RTO) -업무가 복귀될 때 수행되어야 하는 최소한의 업무수준 -평상시의 운영수준이 복귀되어야 하는 시간의 길이 ③ 지속적으로 유지되거나 복구되어야 하는 상호의존적인 업무, 자산, 지원인프라, 자원을 파악한다.

BS25999 Part 2 - BCP인증 심사규격 조직은 업무중단과 그에 따른 영향을 결정하기 위하여 정의되고 문서화된 적합한 방법이 있어야 하며 다음 사항을 준비해야 한다. ① 핵심 제품과 서비스를 지원하는 프로세스들을 확인 해야 한다. ② 이 프로세스들의 중단 발생으로 인한 영향들을 확인하고 시간에 따라 어떻게 다른지 결정한다. ③ 각 프로세스들의 최대중단 허용기간(MTPD, Maximum tolerable period of disruption)을 확인한다. ④ 복구되어야 할 우선순위로 프로세스들을 분류하고 핵심프로세스들 (Critical activities)을 확인한다. ⑤ 공급자와 아웃 소스파트너들을 포함한 핵심 프로세스와 관련된 모든 종속변수들을 확인한다. ⑥ 핵심 프로세스들이 의존하는 공급자와 아웃소스 파트너들을 위해서는 그들이 제공하는 제품과 서비스들과 관련된 BCM준비사항들(arrangements)이 어떠한 것들이 있는지 확인한다. ⑦ 최대 중단 허용기간(Maximum tolerable period of disruption)내에 핵심 프로세스들을 복구하기 위하여 복구 목표시간(Recovery Time Objectives)을 설정하고 복구에 필요한 자원들을 추정한다.

스탠다드차타드제일은행(SC제일은행)은 BIA를 효과적으로 수행하기 위하여 BIA템플릿(양식)을 개발하여 사용하고 있다. 템플릿은 BS25999는 물론 금융감독원의 영업연속성 모범 규준(안)의 내용을 대부분 수용하고 있으며, 5단계로 구분하여 적용하고 있다. 1단계에서는 핵심비즈니스 기능을 확인 하는 단계로 고객서비스를 직접적으로 지원하여 중요수입원을 만들어 내며, 이러한 기능들이 장애를 받을 경우 실질적인 이익 및 고객 또는 신용도 측면까지 업무손실을 초래하게 되는 부서업무들을 나열하고 설명한다.

2단계에서는 처음 단계에서 파악된 중요업무들의 상호의존관계(연관성)를 파악한다. 업무기능이 타 부서의 도움이 필요한 지 여부(Incoming), 업무기능이 타 부서에 미치는 영향(Outgoing), 핵심서비스 공급업자의 대한 의존성, 업무중단 시 미치는 영향 등을 분석한다. 3단계에서는 중요업무수행에 필요한 평상시 자원과 BCP기간 중(During recovery BCP Operations) 핵심비즈니스 수행에 필요한 자원을 파악하여 재해복구센터(Disaster Recovery Site) 구축에 활용한다.

4단계에서는 정상적인 업무수행에 소요되는 표준시간과 비상 시 대체방안이 적용 될 경우 고객이 수용할 수 있는 시간범위(RTO)를 산출하고, 중요업무 기능을 수행하는 가장 중요한 시점(일, 시간, 특정일, 월)을 파악하고 업무데이터 손실을 감당 할 수 있는 복구목표시점 (RPO, Recovery Point Objective)을 파악한다.

재해복구 목표시간 범위를 A~G까지 7단계로 구분하여 A~D까지의 업무를 핵심업무로 하여 BCP Site구축에 활용하였다. (A:4시간이내, B:1일이내, C:2~3일 이내, D:1주일이내, E: 2주이내, F: 1개월이내, G: 1개월이상) * 2010년도부터는 고객의 실시간 복구 및 오퍼레이션 연속성 100%요구에 더욱 근접하기 위하여 A(당일), B(다음날), C(월말)로 변경하여 실시하고 있다. * 그림: RTO Matrix (RTO 산출 시 활용) 마지막으로 5단계는 재무적/비재무적 영향을 파악하는 단계로 재해 지속기간에 따른 재무적 영향(직접손실+간접손실)과 비재무적 영향을 파악한 후 중요도의 등급을 1(낮음)에서 9(높음)까지의 등급으로 나눈다.

이와 같이 BIA가 완성되면 중요비즈니스를 정리하고 IT Disaster Recovery System 과의 갭을 분석하여 IT DR System 구축 및 비즈니스 DR(BCP센터) 구축에 활용한다. 또한 BIA는 매년 전사적으로 실시하여 BCP체계를 점검하고 유지관리에 이용된다. 업무영향분석은 전체적인 BCM프로세스가 세워지는 기초적인 작업으로 비즈니스 프로세스에서 나타나는 장애, 손실의 영향을 식별하고 정량적·정성적으로 분석함으로써 관리자로 하여금 업무복구가 이루어져야 할 최대한의 시간이 얼마인지를 판단 할 수 있도록 한다. 업무영향분석을 통하여 적절한 BCM(Business Continuity Management)전략에 필요한 데이터가 도출 될 수 있다.

BCM의 성공을 위해서는 먼저 우리가 무엇을 보호하고 비상상황 시 무엇을 달성해야 하는지 이해해야 한다. BCM 프로세스의 근간은 바로 BIA라 할 수 있다. 비상상황 직후 그 대응에 모든 비즈니스가 중요한 것은 아니다. 따라서 계획 프로세스의 첫 단계인 BIA를 통해 핵심부서와 비즈니스를 결정하고 비즈니스 Needs의 우선순위를 설정함으로써 적절한 재해복구 규모를 정하고 BCM 전략을 구축할 수 있다. 학계, 컨설팅사, 기업 등에서는 다양한 도구를 활용하여 업무영향분석을 실시하고 있다. 당행의 사례가 타 금융기관은 물론 기업의 BCP체계 구축에 조금이나마 도움이 되길 바란다. 다음 호에서는 BCP사이트구축과 테스트(훈련)에 관하여 살펴보고자 한다.

김대진 부장
	SC제일은행 CRES부 BCP팀 부장 재난관리지도사

[참고자료/출처] 1. 업무연속성계획(Business Continuity Planning) 모범규준(안) 금융감독원 신 BIS실, 2006
2. BS 25999_1:2006, (6.2, Business Impact Analysis)
3. BS 25999_2:2007, (4.1.1 Business Impact Analysis )
4. BCP입문(p. 41-52), 디지털타임즈, 이영재/윤정원, 2004
5. 리질리언트 엔터프라이즈(p. 335), 요시 쉐피(딜로이트 안진회계법인 역), 2006
6. 위기관리전략 실무과정, BCP협회, 2009
7. SC제일은행 BCP구축사례 (BCP Toolkit에서 발췌)