금융감독원워크샾발표자료 업무연속성계획 (BCP) 개발현황및계획 2006. 10. 27. KB 국민은행시장 / 운영리스크부
목 차 1 업무연속성계획 (BCP) 구축추진경과 2 업무영향분석 (BIA) 및위험평가 (RA) 3 해외은행사례 4 향후계획 BCP: BIA: Business Impact Analysis RA: Risk Assessment 1
BCP 구축계획 이미완료한 사전진단단계 를기반으로, 총 4 단계에걸쳐 BCP 를구축할예정이며, 현재는 1 단계작업의마무리단계임 사전진단 1 단계 2 단계 3 단계 4 단계 2006.3.20 ~ 4.21 6.19 11.1 2007.1.1 9.1 BCP 기본계획수립 분석 전략수립및 BCP 개발 ( 시스템, 대체사이트 ) 구축 테스트및관리 ( 지속적 ) 업무영향분석 사이트위험평가등 대응및복구전략수립 재해대응계획개발 업무복구계획개발 외부인력주도외부인력및내부인력참여내부인력주도 [ 완료 ] 진행중 [6 월 ~ 12 월 ] [ 예정 ] 프로젝트진행중 2
프로젝트주요활동및산출물 현재추진중인 BCP 개발프로젝트 를통하여분석, 전략수립, BCP 개발등의작업들이순차적진행되고있으며, 이중업무영향분석및위험평가가프로젝트초반의중요한과제임 단계주요활동주요산출물 Ⅰ. 업무및위험분석 I-1. 업무구조분석 I-2. 업무영향분석 (BIA) I-3. 위험평가 (RA) I-4. IT 환경분석 I-5. 갭분석 BCP 대상리스크 BCP 대상사이트별위험요인 복구대상정의 복구대상업무구현순위 현행 IT 및재해복구환경분석 Ⅱ. BCP 전략수립 II-1. 대응및복구전략수립 BCP 대상재해정의 대체사이트및 IT 솔루션구현전략 Ⅲ. BCP 개발 III-1. 재해대응계획 III-2. 업무복구계획 III-3. IT 복구계획 재해대응절차및비상대응계획 업무복구계획 복구에필요한자원계획 3
BIA 와 RA 비교 업무영향분석 (BIA) 과위험평가 (RA) 은목적과수행내용에서차이가있으나, 모두가 BCP 개발에있어필수적인요소임 업무영향분석 (Business Impact Analysis) 위험평가 (Risk Assessment) RA BIA 정의 업무중단 (Disruption) 으로인한영향을파악하고, 이를토대로 업무단위 를분류하고우선순위화하는활동 기업이지속적인비즈니스를수행하는데에있어잠재적인 위험 을식별하는활동 자연재해 인적재해 테러 업무중단 수신업무중단 여신업무중단 외환업무중단 주요수행내용 단위업무식별및분류 복구목표시간 (RTO* 의정의 ) 복구에필요한자원의식별및정의 리스크식별및분류 리스크평가 리스크완화방안도출 전략수립 위기대응계획 연계 복구전략및대안을설계하기위한정보제공 위기대응계획과연계 업무복구계획 * RTO: Recovery Time Objective * 본 BIA 와 RA 간비교는국민은행에서적용하는개념임 4
BIA 개요 BIA 는재해시복구최소대상인단위업무를정의하고, 단위업무의복구우선순위와복구목표시간, 복구목표시점정의를통해업무복구에필요한자원을산정하는과정임 BIA 정의 정의 : 재해발생시영향을미칠수있는단위업무를정의하고, 업무중단영향에대한정량적 / 정성적분석을통해복구우선순위를도출 내용 : 1. 단위업무조정및검증 2. 단위업무별우선순위및복구목표시간정의 3. 복구목표시점정의 4. 복구필요자원산정 BIA 수행절차 단위업무 (1 차산출물 ) 단위업무검토및확정 RTO 시간기준정의 업무연속성체제기본목표정의 단위업무조정 정성적영향평가 복구우선순위정의 1 차 RTO 정의 업무연관도분석 경영진전략적고려사항반영 최종 RTO 확정 복구를위한필요자원조사 정량적영향평가 : 현업참여 5
복구우선순위정의 : 정성적 / 정량적분석 단위업무에대한복구우선순위및 RTO 정의를위해, 업무중단영향에대한정성적분석과정량적분석 ( 재무적영향평가 ) 를수행하였음 정성적 / 정량적분석개요 내용 : 전행업무의복구우선순위를도출하기위한 Framework 로써, 전행의단위업무의복구우선순위및 RTO 를정의해내기위한 공통기준이됨 정성적분석 업무유형및업무특성분류 정량적분석 재무적영향데이터 정성적분석을위한업무분류기준 업무유형 : 4 개유형 업무특성 : 5 개기준 단위업무복구우선순위 정성적 / 정량적분석수행절차 대상단위업무 업무중단영향에의한업무분류기준정의 정성적우선순위산정 정량적우선순위산정 최종우선순위산정 업무분류기준정의 - 업무유형분류 - 업무특성분류 단위업무별유형및특성정의 업무유형및업무특성평가에따른중요도파악 단위업무관련손익계정파악 전년도손익데이터에의한재무적영향평가 정성적우선순위결과와정량적우선순위결과를결합 6
RTO Time Frame 정의 타금융기관의사례분석, 감독기관의권고사항및은행업무특성등을감안하여 RTO 시간기준을정의하였음 RTO 정의를위한고려사항 RTO Time Frame: 6 개구간 재해발생 시간 사례분석 해외금융기관의사례조사 : 다양한 RTO 정의 (1 순위 RTO 가 1 시간 ~1 일까지다양 ) 즉시 3 시간 1 일 감독기관권고사항 금융감독원의 비상시금융기관전산망안전강화대책 권고사항 : 3 시간 3 일 1 주일 은행업무특성 대고객서비스제공및혼란야기최소화 : 즉시포함 업무마감시한고려 : 1 일 후순위업무에대한최후목표시점설정 : 1 개월 1 개월 7
업무연관성분석 후행업무의수행을위해선행업무가적절하게복구될수있도록함으로써, 재해시정상적으로업무연속성을확보할수있게됨 업무연관성분석수행의목적 내용 : 단위업무간선행ㆍ후행연관관계를조사및조정하는작업 목적 : 선행업무가긴밀히연관된후행업무보다 RTO 가느리면완벽한업무재개를수행할수없게됨으로, 단위업무간의유관관계를파악하여 RTO 를조정하여야함 조정전 RTO 조정후 RTO 단위업무 B 단위업무 A 1일 3시간 RTO를 3시간 으로수정 업무연관성분석수행절차 단위업무 업무연관도조사 선행후행업무분석 RTO 조정 각단위업무별필수선행업무파악 선행업무와후행업무간 RTO 비교 선ㆍ후행관계를고려한 RTO 조정 영업점업무수행을위해필수적인본부부서의업무파악 영업점업무에영향을미치는본부부서업무파악 8
경영진에의한 RTO 조정 업무영향분석 (Bottom-up) 을통해정의된 RTO 에대하여전행적인시각에서경영진의의견 (Top-down) 을반영함으로써최종적인복구목표시간을확정할수있음 경영진 RTO 조정 경영층의견반영 Top-Down 정의 : 업무영향분석을통해정의된전행단위업무의 RTO 에대하여경영층의의견을수렴하는작업 목적 : 전행의전략을결정하시는경영진의시각에서복구목표시간을검증받음으로써, 단위업무별복구목표시간을최종적으로확정 최종 RTO 확정 업무영향분석 Bottom-Up 9
RA 개요 위험평가 (Risk Assessment) 을통하여중요한 BCP 리스크를찾아내고이들에대한노출정도를파악함으로써, 발생가능한 BCP 시나리오의분석및이에대비한위기대응계획개발의기초자료를얻게됨 RA 정의 정의 : 사이트단위에서 BCP 리스크 ( 리스크취약요소 ) 를도출하여위험수준을평가하고, 완화방안을도출하고, 이러한자료를위기대응계획수립에활용 내용 : 1. BCP 리스크 ( 재해 ) 정의 2. 전문가현장실사 (Site Walk-through): 주요사이트에대한전문가정밀실사 3. 재해와관련된통계자료분석 4. 영업점자가평가설문작성및평가 RA 수행절차 위협 ( 재해 ) 정의 대상재해 ( 리스크 ) 정의 주요사이트현장실사및인터뷰수행 사이트별위험분석 주요사이트위험완화방안수립 - 약 60 여개위협요인도출 - 발생가능재해선별 재해유형및그룹정의 - 결과를현업부서와협의 영업점확대적용 통계데이터분석 - 각종재해관련통계자료 - 영업점자가진단체크리스트개발 10
DRJ Conference 참조사항 현재 BCP 구축을추진하고있는국내금융기관의입장에서, 다음과같은사항은참조할만함 모든산업영역및업무영역에서 BCP 구축에참여 1 금융산업, IT산업, 전기, 통신등의공공사업은물론일반영리조직에서도 BCP를준비하고있으며, 조직내특정 BCP 담당부서뿐만아니라, 인사, 총무, 검사부서의인력들도다수 Conference에참석함 업무연속성 관리업무를전사적 / 전략적으로접근 2 업무연속성 은전사적이며, 전략적인관점에서관리되어야하는과제라는인식이점차확대 사후적인재해의대응 / 복구에서사전적인예방 / 대비활동에대한중요성이커짐 ( 예방 대비 대응 복구 ) 3 전염병 을중요한업무중단재해로인식 최근의사례를근거로, 전염병 ( 조류독감, 각종유행성전염병등 ) 을매우중요한재해유형으로인식 세부적인 BCP 수립의필요성이강조됨 법률적이슈도고려 4 최근법률적책무또는리스크가비즈니스에지대한영향을미침 : 업무연속성관리차원에서이러한이슈에대한고려가필요 리스크관리 와연계되어이러한이슈도전사적인차원에서체계적으로관리되어야함 DRJ : Disaster Recovery Journal 11
선진은행사례 Calyon Bank BNP Paribas 비즈니스유형 기업금융및투자은행 개인및기업금융서비스 인터뷰대상 Chief Internal Control Officer Senior Management 대체사이트구현방안 * 하이브리드 ( 인소싱 + 아웃소싱 ) 인소싱 특징 [BIA] 1 년에 1 회의정기적인 BIA 수행 [RTO] 1 순위업무 : 2 시간이내 2 순위업무 : 24 시간이내 3 순위업무 : 48 시간이내 4 순위업무 : 1 주일이내 5 순위업무 : 1 주일이상 [ 대체사이트운영 ] IBM 과의 SLA 를통해아웃소싱하고있으며, 중요업무들에대해서는인프라를 ( 전기, 전화, 통신, IT 등 ) 이중화함 [BIA] 수익손실, 벌금, 추가발생비용등을고려지급 / 결제, 자금관리등이중대한비즈니스프로세스로파악 [ 대체사이트운영 ] IBM 으로부터 SLA 를통해대체사이트서비스제공을받았었으나, 재해상황에서보다적절하게업무재개가가능하도록하고, 더큰규모의대체사이트를확보하기위해최근인소싱으로전환대체사이트구축비용및관리를위한자원이추가로소요됨 [ 테스트 ] 1년에한번종합훈련수행 : 비즈니스프로세스담당자의약 30% 가직접훈련에참가 12
( 참조 ) 대체사이트유형 기준대체사이트유형 기준유형비고 인소싱 : 자체 ( 내부 ) 대체사이트 아웃소싱 ( 독점 ): 독점적사용 아웃소싱 ( 공유 ): 공유조건 아웃소싱 혼합방법 ( 하이브리드 ) - 독점적사용 - 독점적사용 - 공유조건 - 독점적사용 - 자체대체사이트구축 - 공유조건 - 자체대체사이트구축 - 독점적사용 - 공유조건 - 자체대체사이트구축 - 대부분의금융기관해당 - CALYON Bank 인소싱 - 자체대체사이트구축 - BNP Paribas 13
분석단계참조사항 BCP 구축분석작업을보다효과적으로추진하기위하여, 참조할만한사항들은다음과같음 현업부서의참여유도에어려움 BIA 및 RA 과정에서현업부서와여러차례에걸친협의 / 조정작업을수행 -현업의이해부족또는불만야기 : 경영진의관심과임직원에대한교육 ( 설명회 ) 필요 ( 경영진보고 : 4회, 임직원교육 / 설명회 : 3회, 이사회요약보고 ) 업무영향분석 : 주관적인평가 각부서의입장에서상이한판단기준에의한단위업무중요도평가 -업무유형및특성분류를통한중요도평가 -재무적데이터확인 : 관련부서방문인터뷰 IT 영역과의긴밀한협조필요 IT 는 BCP 구축에매우중요한요소이자, 비즈니스영역과다른접근이필요함 -IT그룹내에 IT BCP팀을별도구성 -비상근으로본프로젝트에참여 : 회의참여, 자료공유 14
향후계획 금년말까지 BCP 개발을완료한후 2007 년에는대체사이트및 BCM 전산시스템을구축하고, 전행적인모의훈련을실시할계획임 2006. 12 2007. 06 2006. 09 2006. 12 업무 BCP 개발 ( 위기대응및업무복구계획 ) BCM 조직구성 대체사이트구축 DR 시스템업그레이드 모의훈련 시스템 BCM 전산시스템구축 15