비즈니스자산보호를위한 Business Continuity Strategy Date: Sep. 19 (Wed.) 조기승부장한국 HP 2007 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice
손손손실실실실비비비비용용용$39 Hospitality & Transportation 정의및 Trends 대한정의 BC 에대한 기업이보유하고있는대고객기간업무뿐만아니라기업의여타핵심업무를포함하며, 이에대응하는인적구성, 물적구성전반대한 Business 의연속성을보장 DR 을위한능력과 biz process 나조직관점에서재해에대한대응능력 기업의중요업무기능의복구를위한 Disaster Recovery Plan 의수행을통한서비스중단에대응할수있는능력 위험상황의발생시후속조치로서행해져야할 Action Plan 부분장애로인한피해를최소화하거나적정한 Service Level 을유지하기위해필요한시스템기능또는프로세스 DR Center Downtime Revenue Loss per Person (1hours) data center Business Continuity means all the above Korea DR Market for Industry $1,080 10,000 $500 $569 $400 $316 $380 $371 $134 $131 $244 $187 $300 $200 $195 $167 $184 $153 $120 $143 $128 $153 $74 $100 $108 $100 $39 손Financial Institution Medias Construction Electronics Professional Service Metal/Natural Resource Health Care Utilities Transportation Chemical Consumer Products Food/Beverage Processing Banking Pharmaceuti cals Retail Insurance Telecom Energy Information Technology Manufacturing 2001 2004 2007 2010 Industry (1 Hour) 용(1 Hour) Server Solution : Veritas VVR, Shareplex Korea DR Market Solution : > 90 % Storage Solution (DWDM): CA-XP,BC-XP,SRDF PTAM: Back-up Solution
재해복구추진목표 IT Infra, 인적자원, 물적자원등을각종재해로부터보호함으로써사업의연속성유지, 고객보호, 고객만족실현, 경쟁력향상, 대외신인도향상, 서비스수준향상, 주주보호및고객이탈방지등을목표로하고있음 기업가치극대화 서비스수준향상 재해로부터고객이탈방지 재해복구시스템전략수립방향 안정성확보 : 무중단운영, 신속한데이터복제, 백업및복구 신속한장애대응 : 장애 / 재해시업무처리기준정립, 비상조직, 지침, 상세대응/ 업무복구절차수립 Business 의연속성확보 기회손실비용절감 유지관리방안 : 평시재해복구시스템의비즈니스자원활용, 통합된정보관리및보호 IT 변화적응력확보 : 이기종서버및데이터통합, 완벽한장애 / 재난대비구조, 확장성증대 대외신인도향상 고객만족실현 주주보호 비즈니스의변화에유연하게대처할수있는재해복구시스템구현방안수립 업무의중요도및 Business 환경에적합한 BC 선정 투자비용을고려한단계별재해복구시스템구현방안
재해복구전략수립접근절차 Phase I Phase II 재해복구구축컨설팅 위험분석 (RA) 및업무영향평가 (BIA): 업무우선순위결정 재해복구센터구축방안 재해복구시스템구축방안 재해복구시스템운영전략 재해시복구방안 재해복구시스템구축소요비용및일정도출 재해복구시스템구축 백업센터구축 시스템구축 ( 서버, 스토리지등 ) 재해복구솔루션구축 재해복구솔루션검증 재해복구시스템에대한리허설 재해복구시스템리허설결과반영 비상계획수립 BC Org. 아키텍처설계 평시 Operation 재해시 Operation 모의테스트시나리오 복귀절차수립 재해복구대상시스템 Business Function Business Function Business Function Business Function Business Function Business Function
재해복구시스템모델및 Solution Matrix 구분 Continuous Immediate Critical Core Basic 복구목표시간 (RTO) 2시간이내 8 시간이내 24 시간이내 72시간이내 72시간이상 복구대상데이터시점 장애발생순간까지의데이터 ( 1 건의데이터 Loss 도없음 ) 장애발생순간까지의데이터 ( 1 건의데이터 Loss 도없음 ) 가장최근의데이터까지복구 가장최근의데이터까지복구 Tape 로소산된최근데이터까지복구 Shared vs Dedicated Components Dedicated System Dedicated Storage Dedicated Network Shared System Dedicated Storage Shared Network Shared System Shared Storage Shared Network Shared System Shared Storage Shared Network Shared System Shared Storage Key 솔루션 (S/W) Key 솔루션 (H/W) Storage Solution Server Solution SANLink Solution Clustering Solution Tape 백업 (2 시간 Solution Mirror Site 시간 ) Server Enterprise Storage DWDM 장비 통합 SAN Tape Library Storage Solution Server Solution SANLink Solution Clustering Solution Tape 백업 Solution Server Enterprise Storage DWDM 장비 통합 SAN Tape Library Hot Site (24 시간 ) Storage Solution Server Solution Server Solution Clustering Solution Tape 백업 Solution Server Enterprise Storage DWDM 장비 통합 SAN Tape Library Warm Site Server Solution Tape 백업 Solution (1-2 일 ) Server Midrange Storage CNT 장비,WAN/LAN 통합 SAN Tape Library Tape 백업 Solution Cold Site Server Midrange Storage CNT 장비,WAN/LAN 통합 SAN Tape Library 기타고려사항 재해복구전략수립 재해복구구축 재해복구센터운영 재해복구전략수립 재해복구구축 재해복구센터운영 재해복구전략수립 재해복구구축 재해복구센터운영 백업정책수립 백업구축 백업센터운영 백업정책수립 백업구축 백업센터운영
HP BCP Methodology Project Initiation Business & IT Env. Analysis BIA Design Implementation Maintenance & Test Obtain Management Commitment Project Plan Kick-off Workshop Business Strategy Analysis Business Function Analysis Information Analysis Organization Analysis IT Infrastructure Analysis Facility Environment Analysis Interview & Workshop Survey 업무우선순위단계별구축우선수위결정데이터유실도 RTO Strategy Selection BC Solution BC Server BC Storage BC Communication BC Data Transfer BC Organization BC Facility Implementation BC Operation Level Decision Matrices 평시 Operation 재해시 Operation 모의 Test Scenario Business Resumption Plan Data & Application Transfer Disaster Recovery 모의훈련 BCP Maintenance Best Practices, Bench Marking, Technology Trends hp Project Management Methodology ( GMPM )
업무영향분석 (BIA) 업무영향분석의목적은정성적 / 정량적피해분석결과를바탕으로재해로인한정보업무중단에따른영향을평가하고, 대비하기위한기준점을마련하는것, 업무별로복구우선순위를선정하고, 복구목표수준을검증및조정하여확정 1 2 3 정보업무파악및정의 업무영향평가 복구범위도출 정보업무에적합한정량적 / 정성적평가요소항목의도출 운영업무정의 설문 / 인터뷰 복구대상자원산정 업무영향평가 필요자원식별 피해영향분석 복구목표수준협의 복구범위도출 업무정의서 복구우선순위도출 업무영향평가결과 재해복구범위 정보업무파악및정의 정보업무의파악을위한효과적인자료조사와 Template 적용 목구목표수준및복구우선순위의타당성검증및합의점도출 복구우선순위에적합한단계별복구목표수준의결정
업무영향분석 (BIA) : 예시 BIA (Business Impact Analysis) 분석의목적은재해복구시스템구축을위한업무영향분석, 재해복구시스템의 Target 설계, 업무별복구우선순위를결정하는데그목적이있으며, 현업및 IT 실무자를대상으로한설문조사및설문결과의분석, 현업담당자와의 Interview 등을통해서분석됨
재해복구센터구축 / 선정방안 재해복구센터구축은비용효율적이고비즈니스의연속성을안정적으로확보할수있는위치및구조이어야함. 비용대비효율적인백업센터선정요건정의 백업센터에대한비용도출 Data Center 통신비용을최소화할수있는위치선정 TCO를절감할수있는백업센터선정 전기설비부문 -2 중화를통한무중단실현 - 양질의전원공급 세부내역 -UPS(2 중화 ), 배터리, STS, PDU(2 중화, ELD 설치 ), 비상발전기 공조설비부문 -n+1 개념을통한가용율증가 - 전산실내균일한냉각유지 - 미세먼지및분진제거 세부내역 - 항온항습기 ( 하부토출방식, 수냉식, 미세먼지필터, 중앙통제 ) 상면설비부문 - 정전기방지및접지 - 방화벽과이중마루 - 통합배선시스템 세부내역 - 전도성타일, 1 종접지 (1ohm 이하 ) - 내화시간 2 시간이상방화벽 - 상 / 하부분리배선 시설보안부문 - 효율적인출입통제및감시 - 동선계획을통한효율향상 - 문제발생원인감지및제거 세부내역마그네틱카드리더, 생체인식, CCTV( 컬러카메라, DVR), 보안필름, 침입감지시스템 백업센터구축방안분석 ( 자체센터구축또는외부 IDC 센터 ) 백업센터구축자원도출 백업센터구축 ( 임대 ) 비용도출 HP Data Center Building Methodology 백업센터위치선정방안도출 RTO 를충족시킬수있는위치선정 재해수준을고려한위치선정 재해시대응이용이한위치선정 방재설비부문 - 신속한재난감지및통보 - 인명과환경에해가없는소화가스 세부내역 - 열, 연기감지시스템및 IBS 연동 - 이너젠가스및분사시스템 부대설비부문 - 미래지향적인종합상황실 - 홍보및견학공간 - 휴게실, 회의실, 테스트공간 세부내역 - 디스플레이시스템및컨트롤러 - 미라클월, 음향시스템 - 근무자를위한인테리어개념 자동제어부문 - 전산실내설비의중앙통제 - 경보시스템의 IBS 연동 - 출입통제상황중앙감시 세부내역 - 중앙통제시스템 -IBS 연동시스템 -CCTV, 출입통제시스템 네트워크부문구축개요 세부내역 운영형태에따른최적화방안도출부대시설보안방안도출
재해 복구 시스템 ToTo-be Images DR 센터의 To-Be 는 백업센터가 단순 재해를 대비한 시스템이 아니라 평시에도 활용 가능한 구조로 구축되어져야 하며, TCO를 절감 하기 위한 여러 가지 솔루션 인 Server Consolidation, Storage Consolidation, back-up Consolidation, Management Consolidation, Data Center Consolidation, Application Consolidation등의 기술에 대한 충분한 검토와 함께 추진 되어야 함 Management Consolidation Metro Cluster WAN Solution (GSLB) HA Cluster Server Solution NT Consolidation WAN Server Solution Server Consolidation DWDM (IP) Fiber Channel E-SAN E-SAN End User SANLink Solution DWDM BackBack-Up Consolidation DWDM SANLink Solution DWDM /CA/CA-XP Data Replication (CA(CA-XP) Storage Consolidation S-VOL P-VOL S-VOL Storage Solution Storage Solution 24 * 7 Implementation In House BackBack-UP BCV BCV Data Center DR Center
위험분석 (RA) 추진목표 위험평가 (Risk Analysis) 란위험을식별하고, 위험의규모를결정하고, 대응책이필요한분야를식별하는일련의분석과정이다. 이러한분석과정을통해, 재해발생가능요소들에대하여사전조치를취함으로써위험발생가능성을줄일수있도록하기위한것으로위험요소분류, 위험평가등의위험분석 (Risk Analysis) 과위험분석요소분류기준 (Check List) 에의한취약성 (Vulnerability Analysis) 분석을통해위험을제거또는완화할수있는방안을도출한다. 피해영향정도 위험분석을위한대상위험을정의하기위하여자연적요인, 기술적요인, 인위적요인과내부 / 외부적요인을기준으로각종위험요인을분류및정의 위험매트릭스 (Risk Matrix) 발생가능성 위험블록 (Risk Block) 잠재적위험 일반및전산설비, 원격지소산, 전산실운영, 업무프로그램, 기술지원, N/W 등 9 개항목에대한취약성점검 / 평가 위험 (Threat) 요인파악 취약성 (Vulnerability) 점검및평가 조직 / 개인간위기관리마인드진단 잠재위험도평가 우선관리대상위험선정 위험측정결과를평가하여우선관리가필요한대상위험을선정 위험평가인터뷰 / 설문및평가 위험내부통제및관리가이드라인 조직과개인별위기관리마인드진단및평가하여, 개선항목도출 ( 조사분석 Tool 사용 ) 위험분석인터뷰 / 설문을통해측정된조사결과를분석및평가 ( 조사분석 Tool 사용 ) 위험식별및평가를통하여도출된우선관리대상위험을대상으로피해를최소화시킬수있는위험통제및관리가이드라인제시
위험분석 (RA) 절차 위험분석의수행절차는인터뷰 / 설문을통하여업무의잠재적위험요소를도출하고, 우선관리대상위험을산정하여위험관리방안및취약성분석을통한위험평가를실시하여위험관리통제방안을제시 1 2 3 위기관리위험평가현황조사 개선방안도출 업무특성을반영한위험분석 Tool 적용 정보업무위험분석 분석결과에대한개선사항도출 BC/DR 현황조사 위험분류 위험영향정의 장애대비 / 비상계획내역조사 위기관리현황진단 취약성평가 위험분석설문 ( 분석 Tool 활용 ) 위험관리통제방안 정보업무특성을고려한분석템플릿적용위험분석 Tool 커스터마이징 기존장애및재난이력파악잠재적위험도출취약성평가 우선관리대상위험도출우선관리대상위험현예방및대비상태파악 설문및분석적용 위험요소별평가 개선사항도출 위험산정 위기관리현황진단서 위험평가결과 위험관리방안
해영향의크기1 2 3 4 5 6 7 위험분석 (RA)- 위험평가 종합적인 위험평가를 위하여 Risk Matrix 에모든 위험을표시하였다. X 축의발생가능성과 Y 축의 피해영향크기를 고려한 A1~C3 Block 의 Grouping 은 다음과같다. ( 하단 Block Table 참조 ) 위험블록 A1(Extreme) A2(Very High) A3(High) B1(High Medium) B2(Middle Medium) B3(Low Medium) C1(Low) C2(Very Low) C3(Negligible) 위험영향수준 매우심각 매우높음 높음 보통상 보통중 보통하 낮음 매우낮음 거의영향없음 위험평가종합 Risk Matrix B3 피향6 20 A3 1 18 22 10 32 30 7 7 8 5 2 16 31 13 37 26 17 24 28 4 36 C2 27 12 15 5 19 33 29 6 23 3 9 14 4 35 25 34 3 11 2 1 C3 우선관리대상위험 C1 발생가능성의크기 B1 21 A1 A2 B2 위험범례 1 지진 2 태풍, 홍수 3 호우 4 폭설 5 해일 (tsunami) 6 낙뢰, 번개 7 화재, 폭발 8 빌딩붕괴, 누수 9 전염성질병 10 공익시설중단 11 대중교통운행 12 중단연료공급중단 13 14 기업인수, 합병 ( 적대적) 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 주변재해전이 부정적평판 무역분쟁, 정책변경 정부규제 ( 개입 ) 사업분야시장폭락 Blackmail 전쟁 유가, 환율변동 테러 환경오염 노동쟁의 ( 태업 ) 부정행위 기밀정보유출 고의적폭동 임직원의사기저하 사용자운영사고 하드웨어장애 소프트웨어장애 해킹및바이러스 공통기반설비장애 공기정화설비 보안장비장애 통신망장애 전력공급중단
위험분석 (RA) 대응방안 위험분석을통해도출한우선관리대상위험중, IT 재해위험의경우재해복구시스템구축및 IT BCP 를통하여, 물리적 / 계획적대비가가능하며, 유가및환율변동, 테러등의복합적인위험은 Business Part 의전사적업무 BCP 구축을통하여단계적인위기관리계획수립이요구됨 Essential Risk ( 우선관리대상위험 ) - 재해복구전략수립 - 재해복구시스템구축 - IT BCP 수립 (DRP) ( 정보기술사고대응가능 ) - 업무 BCP 확대및 - 발전 - 재해복구시스템고도화 ( 업무위험대응가능 ) 우선관리대상위험도출 Non-IT 위험대비 ( 업무 BCP 적용 ) 위험분류번호 위험유형 위험발생요인 21 유가, 환율변동사회적위기 7 화재, 폭발우발적사고 30 31 H/W 장애 ( 서버, 네트워크장비 ) 소프트웨어, 애플리케이션장애 36 통신망장애 정보기술사고 18 사업분야시장폭락사업환경위기 22 테러인적사고 32 해킹, 바이러스정보기술사고 16 무역분쟁, 정책변경사업환경위기 37 전력공급중단 ( 정전 ) 정보기술사고 Important Risk ( 중요관리위험 ) Not-Important Risk ( 비중요위험 )
BCP 향후확장방안 재해복구를위한전략을수립하고, 운영시스템에대한재해복구시스템구축계획을수립향후, BCP 대상위기유형의확대와재해복구시스템구축을실시하여운영업무와 IT부문의통합 BCP 체계수립하고, 업무연속성관리측면에서 BCP 운영관리시스템을도입및적용하고 BCP 운영관리조직을활성화하여효율적인운영및유지관리체계를구축 3 단계 2 단계 1 단계 전략 전략수립단계 구축 BCP 수립 시스템구축및계획수립단계 정착 안정화및발전단계 현황및위험분석 재해복구센터구축 업무연속성계획수립 재해복구시스템운영 / 유지 / 개선 업무영향분석 재해복구시스템운영방안수립 업무연속성관리방안수립 재해복구및운영관리조직활성화 재해복구전략수립 재해복구모의훈련실시 BCP 운영관리시스템도입 재해복구업무분야확대
Q & A