CISSP IT보안이론 요약: 업무 연속성 계획

1. 업무 연속성 계획 (BCP)

BCP 목적

• 긴급사건에 대해 빠르고, 침착하고, 효과적으로 응답을 제공
• 파괴적인 사건에 대해 즉각적인 회복을 위한 조직의 능력 향상

BCP 4단계

1. 프로젝트 범위와 계획
2. 업무영향 평가
3. 연속성 계획
4. 승인과 이행

 

2. 프로젝트 범위와 계획

요구사항

• 업무조직분석
• BCP팀 선발
• 자원 요구사항
• 법률과 규정 요구사항

 

업무조직 분석

• 모든 부서와 BCP 프로세스에 관계되는 개인들을 확인하기 위해 업무조직을 분석
• 고려분야
  • 고객에 핵심서비스 제공 책임이 있는 부서
  • 조직의 핵심지원 서비스, 시스템을 유지할 책임이 있는 다른 그룹
  • 조직에 필수적인 경영진과 주요 개임
• 이유
  • BCP의 잠재적 구성원을 돕기 위한 토대 제공
  • BCP프로세스의 나머지를 위한 기초 제공

 

BCP 팀 선발

• BCP가 IT부서와 보안부서만의 업무가 될 경우 중대한 결점이 발생한다.
  • 중대한 결점1: 매일 수행되는 개인직무에 의해 BCP의 가치가 불투명 해 질 수 있다.
  • 중대한 결점2: BCP를 반드시 수행해야 하는 순간까지 BCP운영요소들은 '보조적'으로 유지된다. 이는 BCP가 준비되고 효과적으로 구현하기 위한 가능성을 감소 시킨다.

BCP팀에 선발되어야 할 최소한의 사람

• 업무의 핵심서비스를 담당하는 각 책임 부서의 대표자들
• 조직분석에 의해 정의된 핵심 지원부서의 대표자들
• BCP에 포함되는 기술자문 IT대표자들
• BCP프로세스 지식을 갖춘 보안 대표자들
• 법인 법률, 규제, 계약책임과 관련한 법률 대표자들
• 상급관리자의 대표자들

 

자원 요구사항

• BCP단계에 따른 자원 요구사항
• BCP 수립: BCP 프로세스 4가지 요소 수행을 위한 자원
• BCP 테스트, 훈련, 유지: 몇 가지 HW와 SW 투입이 요구됨
• BCP 이행: 대규모의 작용과 필요한 자원 활용

 

법률과 규정 요구사항

• BCP절차에서 조직의 법률자문을 포함하는 것은 필수.
• 법률자문을 통해 BCP팀이 모두의 이익을 위해 조직의 지속가능성을 보장하면서, 요구사항을 충족하는 계획을 구현하는데 도움이 되고, 조직에 적용되어야 하는 법적 규제 및 계약상의 의무를 상세히 알 수 있다.

 

3. 업무 영향 평가 (BIA)

• 조직의 자원에 대한 위협을 식별하고, 각 위협이 실제로 발생하고 업무에 미칠 영향을 평가한다.

정량적 의사결정

• 결정에 도달하기 위해 수식과 수치가 사용된다.

정성적 의사결정

• 감정, 신뢰, 안정성 등과 같은 비산술적 요인을 포함.
• 종종 우선순위 분류로 결정 됨.

 

우선순위 식별

• 업무 프로세스들의 포괄적인 목록을 작성 후, 중요성 순서로 나열
• 정량적 평가를 위해서 자산목록을 작성해 금전적 가치(AV)를 할당

 

위험식별

• 자연의 위협: 폭풍,허리케인,토네이도,눈보라,지진,산사태,눈사태,화산폭발 등
• 인간이 만든 위협: 테러,전쟁,도난,파손,화재,폭발,정전,건물붕괴,교통실패 등
• BCP팀은 각 유형의 리스크가 발생할 가능성 이나 발생시 사업에 입힐 수 있는 손상의 양을 평가 함.

 

가능성 평가

• 조직에 위협이 될 수 있는 사건의 전체 목록을 구성
• 연간 재해가 발생 할 예상 횟수 등을 반영하여 가능성을 표현

 

영향평가

• 위험식별, 가능성평가 기간 동안 수집된 데이터를 분석하고, 식별된 위험이 업무에 어떤 영향을 주는지 결정하는 시도.

노출계수(EF) : 위험에 의해 자산이 손상되는 양
단일예상손실(SLE): 위험이 발생 할 때 마다 예상되는 손실

• SLE = AV X EF
• AV: 자산의 금전적 가치

 

연간손실예상(ALE)

• ALE = SLE X ARO
• ARO: 연간 재해발생 예상 횟수

 

비금전적 측면(정성적)

• 고객영업권 손실
• 가동중단으로 인한 직원의 작업으로 인한 손실
• 지역사회의 사회적/윤리적 책임
• 부정적인 홍보

 

자원우선순위

정량적 관점

• BIA과정에서 작성된 목록과 영향평가단계에서 계산된 ALE에 따른 내림차순 정렬을 통해 확인

정성적 관점

• 정량적/정성적 분석을 통한 2개의 우선순위 목록을 결합한다. 
• BCP팀과 경영대표들과 함게 두 목록을 결함 한다.

 

4. 연속성 계획

보호하고자 하는 자산에 미칠 수 있는 영향을 최소화하기 위해 연속성 전략을 실행 하거나 개발에 초점을 맞추는 것
 

1. 전략계발

• 문제 우선순위 목록을 이용해 BCP에 의해 해결될 위험을 결정
• 가능한 위험에 대해 Zero downtime 상태를 유지하는 규정과 프로세스 구현이 필요
• 위험완화, 필요 자원 수준을 결정

 

2. 규정과 프로세스

• 위험을 완화 할 구체적인 절차와 매커니즘을 설계
• 사람 보호: 조직 내의 사람이 안전하다는 것을 가장 먼저 확인해야 한다. 이 후에 직원들이 자신의 BCP 및 운영작업을 수행 할 수 있게 하고 필요한 모든 자원을 제공한다.
• 건물과 시설 보호: BIA에서 중요시설을 식별한다.
  • 강화조항: 정의된 위험에 대해 기존 시설을 보호하기 위해 지정된 장소에 배치하는 구조와 절차를 설명해야 한다.
  • 대체사이트: 강화조항이 불가능 할 경우, 업무활동을 즉시 재개 할 수 있는 대체 사이트를 확인해야 한다.
• 인프라스트럭쳐(하부구조) 보호
  • 물리적 보안 강화 시스템: 화재진압 시스템, 무정전 전원공급 장치 등
  • 대체 시스템: 중복 구성을 통한 업무기능을 보호

 

3. 계획승인

• BCP문서의 설계를 완료하면 최상위 관리자에게 승인을 얻어야 한다.

 

4. 계획구현

• 계획을 시작하는 단계.
• 명시된 절차와 규정의 목표를 달성하기 위해 필요한 자원을 활용해 구현일정을 만들어야 한다.
• BCP 유지관리 프로그램 수행을 감독 해야 한다.

 

5. 교육과 훈련

• 계획에 참여하는 모든 직원은 전체 계획과 개별 책임에 대한 교육과 훈련을 받아야 한다.
• 대리자도 모든 BCP작업에 대한 훈련을 받아야 하며, 비상시를 대비해 중복된 담당자를 보장 해야 한다.

 

5. BCP 문서

문서의 이점

• 고위 BCP맴버가 없더라도 BCP요원이 응급시에 문서를 참고해 업무연속성을 보장
• 업무이해가 필요한 후임직원에게 유용.
• 변경사항 구현을 돕고, BCP 프로세스 히스토리 기록 제공
• 문서 작성시 개인의 생각을 포함하는 것을 금지하는 역할

 

연속성 계획 목표

• 첫 BCP 회의 이전에 결정 되어야 하고, BCP의 수명이 다 할 때 까지 변경되지 않아야 한다.

 

중요성의 성명서

• 조직의 지속 가능성에 대한 BCP의 중요성 반영

 

우선순위의 성명서

• 우선순위에 따라 지속적인 업무운영에 중요하게 고려되는 기능을 리스트로 포함

 

조직의 책임 성명서

• 고위 임원에 의해 이뤄지며, 중요성의 성명서와 같은 문서에 통합 할 수 있다.
• 기본적으로 '업무연속성은 무도의 책임이다!'와 같이 감정에 호소된다.

 

긴급이나 타이밍의 성명서

• BCP 구현의 중요성을 표현
• BCP팀에 의한 결정과 경영진의 동의가 성명 된다.

 

위험평가

• BIA 뿐만 아니라 정량적/정성적 분석에서 고려한 모든 위험에 대한 설명을 포함

 

위험수용/완화

• 허용되는 것으로 판단된 위험: 위험하다고 간주된 이유와 잠재적인 미래의 사건을 설명
• 허용 할 수 없는 것으로 간주된 위험: 지속적인 운영에 대한 위험을 줄이기 위해 위험관리 규정 및 프로세스를 설명

 
 

중요한 기록 프로그램

• 중요한 업무기록을 저장, 기록의 백업 복사본을 저장하는 절차를 설명

 

비상 대응 지침

• 비상상황에 즉각적인 대응을 위한 조직과 개인의 책임을 설명
  • 즉시 대응 절차
  • 전파의 대상
  • BCP팀이 완전 수행하기 전까지 취해야 할 대응절차

 

유지

• 조직에 발생하는 변화가 업무의 연속성 요구사항에도 반영해야 하는 것을 보장

 

테스트와 연습

• 정형화된 훈련프로그램을 설명