IT Business Continuity Plan(비즈니스 연속성 계획)

IT Business Continuity Plan(비즈니스 연속성 계획)

 

BCP란?

각종 재해나 재난 발생 시, 비즈니스 운영을 지속하게 끔 대처 방안에 대한 항목들을 나열한 지침 또는 문서를 이야기 한다.

보통 제조업을 가지고 있는 회사에 고객이 방문(Audit) 시, 이러한 내용에 대한 질의를 하곤 한다.

IT System 측면에서는 천재지변 또는 전쟁과 같은 상황 발생 시, 어떻게 시스템을 유지 및 복구할 것인지에 대한 질문이다.

 

1. Cybersecurity: 정보 해킹 등의 사이버테러 방지에 대한 내용을 규정한 문서나 대응 방법 또는 툴이 있는지?

보안팀 Daily 사이버 보안 사고 발생 여부를 모니터링 하고 있으며, IT Outsourcing 업체를 통해 보안관제 운영

IT Oursourcing 업체의 관련 팀은 다양한 보안전문가로 구성되어 보안 사고 위험을 예방, 사고 발생 시 신속 대응

(CISA , CISSP , ISMS 인증심사원, 정보보안기사 등) 

폐사의 사이버보안침해를 탐지하기 위해 IDS/IPS솔루션, EDR 솔루션, WAF 솔루션 등을 운영, 

보안관제전문업체의 보안관제서비스(SOC, Security Operations Center)를 통해 외부 위협에 대한 탐지/분석/대응 진행

 

2. Data storage: IT System에 중요 Data 보관이 이루어지고 있는지?

당사 비스니스 관련된 구매거래처 정보, 원부재료 구매 가격 단가, 제조공정(BOM, 라우팅), 제품원가, 판매단가 등의

중요 데이터는 SAP 서버에 보관되며 제품개발관련자료는 PDM시스템으로 관리됨.

SAP, ePDM 등 모든 시스템은 AWS Cloud에 구축, 외부와는 방화벽으로 차단된 내부망으로 구성되어 있음.

당사 자산정보 및 주요문서는 극비, 중요비, 일반비로 분류되어 관리하고 있음. 

특히 회사 DLP(Data Loss Protection) 정책 및 장치로 회사 문서의 외부 유출을 방지하고 있음.

 

3. Validation of the computer system: IT 시스템은 주기적으로 Maintenance or Monitoring 되는지?

IT Outsourcing 업체의 각 시스템 담당자가 존재하며 Daily 모니터링 진행, 분기별 예방 유지보수(Prevention Maintenance) 작업 진행(서버 전체 재가동, Windows update)

 

4. Back up procedure: Data Back-up 절차가 존재하는지? 작동은 어떻게 되는지?

AWS 인스턴스에서 운영중인 주요 시스템은 AWS에서 제공하는 Backup tool을 이용하여 당사의 백업 정책을 기준으로 Daily backup을 실시하고 있음.

 

5. Disaster recovery: 데이터가 유실될 경우에 대비한 툴이 있는지?

당사의 IT Outsourcing 사에서 물리적인 재해상황(태풍, 지진, 전쟁 등)을 대비 년 1회 BCM 모의훈련을 시행 중

 

※ Business continuity planning steps

1. 정보 수집 및 분석 (Information Gathering & Analysis)
2. 계획의 Design(Plan Design)
3. 구현(Implementation)
4. Workable한지 Test(Testing)
5. 보수 및 UPdate(Maintenance & Update)