ISO 22301 ISO 9001 (품질 경영 시스템), ISO 27001 (정보 보안 경영 시스템, ISMS), ISO 31000 (리스크 관리)
Enterprise Information Technology
목록 보기
64/74
1. ISO 22301:2019 개요 및 정의 🛡️
ISO 22301은 조직이 재해, 사고, 또는 심각한 비즈니스 중단(Disruption) 발생 시에도 **핵심 기능(Critical Functions)**을 미리 정해진 허용 시간 내에 복구하고 지속할 수 있도록 돕는 경영 시스템 표준입니다.
핵심 정의 및 목표
- BCMS (Business Continuity Management System): 조직의 사업 연속성 활동을 효과적으로 수립, 실행, 운영, 모니터링, 검토 및 개선하기 위한 전체적인 경영 시스템. ISO의 **고수준 구조(High-Level Structure, HLS)**를 따릅니다.
- 사업 연속성 (Business Continuity, BC): 중단 사고 이후에 미리 정해진 허용 가능한 수준에서 제품 및 서비스의 제공을 지속하거나 복구할 수 있는 조직의 능력.
- 목표: 사고 발생 가능성을 최소화하고, 중단이 발생했을 경우 영향을 완화하여 고객, 이해관계자, 명성 및 브랜드 가치에 미치는 피해를 최소화하는 것입니다.
2. ISO 22301의 핵심 구성 요소 (Plan-Do-Check-Act 모델)
ISO 22301은 PDCA (Plan-Do-Check-Act) 사이클을 기반으로 설계되어 BCMS의 지속적인 개선을 촉진합니다.
2.1. Plan (계획 수립) 📝 (Clause 4, 5, 6)
이 단계는 BCMS의 기반을 설정하고, 목표를 정의합니다.
| 항목 | 설명 | 기술적 핵심 |
|---|---|---|
| 조직 상황 (Context of the Organization) | 내·외부 이슈 및 이해관계자의 요구사항(Needs and Expectations of Interested Parties) 파악. BCMS의 적용 범위(Scope) 정의. | Risk Appetite 설정, 법규 및 규제 요구사항 식별 |
| 리더십 (Leadership) | 최고 경영진의 의지 표명(Commitment) 및 역할(Roles)과 책임(Responsibilities) 정의. BCMS 통합 보장. | BC 정책 승인 및 자원 할당 |
| 계획 (Planning) | BC 목표(Objectives) 및 목표 달성을 위한 계획 수립. **리스크 평가(Risk Assessment)**를 기반으로 BCMS의 방향성 결정. | BC Objectives는 SMART 원칙(Specific, Measurable, Achievable, Relevant, Time-bound)을 따라야 함. |
2.2. Do (실행 및 운영) 🛠️ (Clause 7, 8)
이 단계는 BCMS를 실제로 구현하고 운영하는 핵심 활동을 포함합니다.
| 항목 | 설명 | 기술적 핵심 |
|---|---|---|
| 지원 (Support) | BCMS 운영에 필요한 자원(Resource), 역량(Competence), 인식(Awareness), 의사소통(Communication), 문서화된 정보(Documented Information) 확보. | 인적 자원(HR) 관리, 지식 관리(Knowledge Management), 문서 통제 |
| 운영 (Operation) | BCMS의 가장 중요한 세 가지 활동을 실행합니다. | |
| 1) 비즈니스 영향 분석 (Business Impact Analysis, BIA) | 핵심 활동 및 지원 자원을 식별하고, 중단이 비즈니스에 미치는 잠재적 영향을 정량적/정성적으로 분석합니다. | MTPD (Maximum Tolerable Period of Disruption): 최대 허용 중단 시간 RTO (Recovery Time Objective): 목표 복구 시간 RPO (Recovery Point Objective): 목표 복구 시점 |
| 2) 리스크 평가 (Risk Assessment) | 사업 연속성을 저해하는 잠재적 위협(Threats) 및 취약성(Vulnerabilities)을 식별하고 리스크 수준을 평가합니다. | 리스크 평가 방법론(정량적/정성적) 적용 및 Residual Risk 결정. |
| 3) 사업 연속성 전략 및 절차 수립 (BC Strategy & Procedures) | BIA 및 리스크 평가 결과를 기반으로 복구 전략을 수립하고, BC 계획(BC Plan) 및 **재해 복구 계획(Disaster Recovery Plan, DRP)**을 개발합니다. | 대응 구조(Command Structure) 정의, 복구 우선순위 결정, 대체 사이트 전략(Hot/Warm/Cold Site) |
2.3. Check (성능 평가) ✅ (Clause 9)
BCMS가 의도된 대로 작동하는지 확인하고, 효율성을 평가합니다.
- 모니터링, 측정, 분석 및 평가 (Monitoring, Measurement, Analysis and Evaluation): BCMS의 성능을 정기적으로 측정하고, 목표 대비 성과를 분석합니다.
- 내부 심사 (Internal Audit): BCMS가 표준 요구사항과 조직의 자체 요구사항을 준수하는지, 그리고 효과적으로 실행 및 유지되는지 독립적으로 검토합니다.
- 경영 검토 (Management Review): 최고 경영진이 BCMS의 적절성(Suitability), 충분성(Adequacy), 효과성(Effectiveness)을 정기적으로 평가합니다.
2.4. Act (개선) 🔄 (Clause 10)
BCMS의 지속적인 개선을 위한 조치를 취합니다.
- 부적합 및 시정 조치 (Nonconformity and Corrective Action): 내부 심사, 경영 검토 또는 실제 사고를 통해 발견된 부적합 사항에 대해 근본 원인 분석(Root Cause Analysis)을 수행하고 시정 조치를 취하여 재발을 방지합니다.
- 지속적 개선 (Continual Improvement): PDCA 사이클을 통해 BCMS의 전반적인 성과와 효과성을 지속적으로 향상합니다.
3. 기술사 관점의 심화 이슈 및 연계
기술사 시험에서는 BCMS의 단순 암기보다는, 다른 경영 시스템과의 연계 및 전략적 의미를 다루는 것이 중요합니다.
3.1. HLS (High-Level Structure) 연계
ISO 22301은 ISO 9001 (품질 경영 시스템), ISO 27001 (정보 보안 경영 시스템, ISMS), ISO 31000 (리스크 관리) 등 다른 ISO 경영 시스템 표준과 동일한 HLS를 공유합니다.
- 시사점: 조직은 BCMS를 독립적으로 구축하는 것이 아니라, ISMS의 가용성(Availability) 영역, 품질경영의 프로세스 접근법, 리스크 관리의 평가 방법론과 통합하여 **통합 경영 시스템(Integrated Management System, IMS)**을 구축함으로써 효율성을 극대화할 수 있습니다.
3.2. 회복력 (Resilience)과의 관계
사업 연속성은 이제 단순한 **복구(Recovery)**를 넘어 회복력(Resilience) 개념으로 확장됩니다.
- 회복력: 중단 발생 시 신속하게 적응하고 복구할 뿐만 아니라, 중단 전의 상태보다 더 나은 상태로 진화할 수 있는 조직의 능력.
- BCMS의 역할: BCMS는 회복력을 달성하기 위한 구체적인 프레임워크와 방법론을 제공합니다. 특히, 사고 발생 이전 단계(Planning)에서의 사전 예방(Proactive) 활동을 강조하여 회복력을 높입니다.
기술적 분석: BIA 및 RTO/RPO 설정은 조직이 중단 사고 발생 시 '생존'하기 위한 최소한의 복구 목표를 정의하는 것이며, 이는 조직 회복력의 하한선을 결정하는 핵심 요소입니다.
DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent