작성자:투라
편집자: 엔시스(sis@sis.pe.kr)
안녕하세요~! 투랍니다..
블로그 포스팅도 게을리하는 제가 겁없이 팀블로그에 도전하네요..ㅋㅋ
이미 다른분들의 좋은 포스팅이 올라오는 시점에서 글 쓰려니 부담 100배입니다..
일단 첫주제로 잡은것은 BCP(Business Continuity Planning)입니다.
얼마전 사내 메일서버 장애로 인해서..
단순 서버실 전기 문제로 시작해서 사무실 네트웍,전화 먹통에 이어 메일까지..
복구에 상당 시간이 소요 되었습니다.
DATA 중요성만 고려해서...OS 미러링 및 Data 영역 Raid5 +1 구성까지해놧는데..
서버 보드에 문제가 생기니..그런게 중요한게 아니네요..ㅋㅋ
메일서버 복구하는 과정에서 BCP를 다시한번 생각하게 되었습니다.
그런데 막상..쓸말이..ㅋㅋ
그럼..BCP와 보안이랑은 먼 관계냐..관계가 없어보이시나요?
보안 하시는 분이사라면 정보보호 3요소가 먼지는 아시겠죠?
C.I.A
confidentiality
integrity
availablitiy
음..연관성이 아직 없어 보이시나요?그렇다면 어쩔수 없죠...^^;
저도 그렇고 아마 대부분 BCP이러면 DATA Backup이 떠오르시죠? 더 나간다면 여유 H/W까지...
그렇지만 그건 BCP의 아주 일부분이라고 보시면 될꺼 같습니다.
BCP는 비상상황에서 핵심적인 사업 기능이 유지되도록 보장하는 계획인데...
위에 언급한 DATA Backup 및 여유분의 H/W 이 외에도, 사업이 어떻게 이뤄지는지, 인력배치는 어떻게 해야 하는지 등 많은 부분을 고려 해야 합니다.
그렇다면 기업은 사업을 왜 하는 것 일까요...
돈을 벌고 이윤을 창출하기 위해서 사업을 하죠..이윤 창출이 목표라면 BCP역시도 이윤창출을 도와주는 측면에서 개발되어야 할 것 입니다.
그래서 기업이 운영을 복구하고 복원할 능력을 향상 시키므로써 재정적 손해를 입을 위험을 줄이는것이죠..
위에 언급한 메일 서버의 경우도 하루 메일서버 사용 못함으로써 일어나는 손실이 꽤 컷을 터인데, 그 부분을 너무 소홀히 생각한 게 아닌가..
외부 서비스 영역이 아닌 내부서비스 영역에 대해서 고려 안 한 부분도 있었고...
DATA 위주의 생각을 하다 보니 오류가 있었던거 같습니다.
그렇다면 BCP를 위한 프로세스는 어떻게 될까요?
BCP 범위 설정 및 계획 초기화( scope and plan initiation)한 뒤
- 전사 범위로, top-down 방식이 효율적이죠..
사업영향평가(BIA, Business Impact Assessment)를 하고
- 목적 : 복구우선순위, 복구에 필요한 시간, 필요자원등을 파악
- 절차 : 정보수집 및 취약점 분석, 정보 분석을 거쳐 문서화
BCP 개발(Business continuity paln development)을 해서,
승인과 구현 절차(Plan Approval and Implementation)를 거친 뒤
TEST 및 유지보수(Test and Maintenance)등의 반복적인 사이클을 구성 할 수 있을 것 입니다.
그렇다면 BCP를 유발하는 비상상황이란 어떤것이 있을까요..
머..간단한 H/W 장애, Network 장애..해킹, 재해, 재난등 많이 있을듯합니다.
야간 교육에 이어, 정기 점검 작업 여파로 포스팅 시간이 많이 부족해서 글이 좀 허접해 보이네요..
당분간 좀 허접해도 이해 해주시구여..
다음 포스팅에서는 재난 재해 복구 계획에 대해서 언급을 해보도록 하겠습니다.
본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
****************************************************************************************************