업무 연속성 계획

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요

업무 연속성 계획(BCP, Business Continuity Plan)은 예상치 못한 사고나 재해로 인해 기업의 업무가 중단될 경우, 핵심 업무를 지속하거나 빠르게 복구하기 위한 계획을 의미한다. 1980년대 금융권을 중심으로 시작되어, 9.11 테러와 SARS 유행을 겪으며 중요성이 부각되었으며, ISO 22301 등 국제 표준이 제정되면서 체계적인 관리 시스템으로 발전했다. BCP는 분석, 솔루션 설계, 구현, 테스트 및 유지 관리 단계를 거쳐 수립되며, 위협 및 위험 분석, 업무 영향 분석 등을 통해 핵심 업무를 파악하고, IT 시스템, 인력, 시설, 공급망 등 기업 운영 전반에 걸쳐 복구 전략을 수립한다. 최근에는 사이버 위협 증가에 대응하기 위해 클라우드 기반 솔루션 도입 등 기술 고도화가 이루어지고 있으며, 한국에서는 정부 지원을 통해 중소기업의 BCP 도입을 지원하고 있다.

더 읽어볼만한 페이지

백업 - 디스크 복제
디스크 복제는 하드웨어 또는 소프트웨어 복제기를 사용하여 소스 드라이브 내용을 대상 드라이브로 복사하는 기술로, 시스템 설정 복제, 디지털 포렌식, 백업, 시스템 배포 및 드라이브 업그레이드 등 다양한 용도로 활용되어 시스템 관리 효율성을 높인다.
백업 - 증분 백업
증분 백업은 전체 백업 후 변경된 데이터만 백업하여 시간과 저장 공간을 절약하는 효율적인 백업 전략으로, 기술 발전에 따라 효율성, 속도, 안정성이 향상되었으며 차등 백업 등 다양한 종류가 있다.
재난 - 산사태
산사태는 사면 안정성 훼손으로 발생하는 자연재해로, 자연적, 인위적 요인에 의해 발생하며, 다양한 유형으로 분류되고 인명 및 재산 피해를 야기하므로, 사전 예방과 위험 지역 관리가 중요하다.
재난 - 판도라의 상자
판도라의 상자는 그리스 신화에서 제우스가 판도라에게 절대 열지 말라고 준 상자를 판도라가 열어 세상에 재앙과 고통을 퍼뜨렸지만 마지막에는 희망이 남았다는 이야기이며, 오늘날에는 예측 불가능한 문제를 일으킬 일을 시작하는 것을 비유하는 관용구로 사용된다.
협동 - 델파이 기법
델파이 기법은 전문가들의 의견을 반복적인 피드백을 통해 수렴하여 문제를 해결하는 하향식 의견 도출 방법으로, 익명성, 정보 흐름의 구조화, 정기적인 피드백을 특징으로 하며 다양한 분야에서 활용된다.
협동 - 합의 의사결정
합의 의사결정은 모든 구성원의 동의를 목표로 하는 의사결정 방식으로, 협업, 평등주의, 참여를 특징으로 하며, 유보 선언, 기권 등의 대안을 통해 합의 불가능 상황에 대처하고, 다양한 모델과 비판을 받으며 다른 문화권에서도 유사한 형태를 보인다.

업무 연속성 계획
개요
명칭	업무 연속성 계획 (業務継続計画)
영문 명칭	Business Continuity Planning (BCP)
목적	기업 운영에 대한 잠재적인 위협으로부터 조직을 보호하고 복구하여 비즈니스 연속성을 확보하는 것
특징
목표	예측하지 못한 상황에서도 사업을 지속 가능하게 함 재해 발생 시 기업 가치를 보존 피해를 최소화하고 빠른 시간 내에 정상적인 경영 활동을 재개
구성 요소
위험 관리	잠재적 위험 식별 위험 발생 가능성 및 영향 평가 위험 완화 전략 개발
사업 영향 분석 (BIA)	핵심 사업 기능 식별 사업 중단 시 영향 분석 복구 우선순위 결정
복구 전략	사업 기능 복구 방법 결정 대체 자원 확보 계획 수립 재해 복구 센터 구축 (필요한 경우)
비상 대응 계획	재해 발생 시 초기 대응 절차 정의 비상 연락망 구축 대피 계획 수립
커뮤니케이션 계획	이해 관계자와의 정보 공유 방법 정의 언론 대응 전략 수립 고객과의 소통 채널 확보
훈련 및 테스트	정기적인 훈련 및 테스트 실시 계획의 효과성 검증 개선 사항 반영
수립 절차
1단계	경영진의 의지 확보 및 BCP 팀 구성
2단계	사업 영향 분석 (BIA) 실시
3단계	복구 전략 수립
4단계	BCP 문서 작성
5단계	훈련 및 테스트 실시
6단계	BCP 유지 관리
중요성
기업 생존	재해 발생 시 사업 중단으로 인한 파산 위험 감소
기업 이미지	재해 대응 능력 향상으로 고객 및 투자자 신뢰 확보
법적 책임	관련 법규 준수 및 소송 위험 감소
추가 정보
관련 용어	위험 관리, 사업 연속성 관리 (BCM), 재해 복구 (DR)
참고 자료	미국 국토안보부 (https://www.ready.gov/business/implementation/continuity)

2. 역사

업무 연속성 계획(BCP)은 정보 시스템의 안정적인 운영을 위한 재해 복구(Disaster Recovery) 개념에서 시작되었다. 2001년 1월 1일 이전, 정부는 2000년 문제로 불린 은행, 전력, 전신, 건강 및 재정 산업과 같은 주요 공공 유틸리티의 인프라에서 컴퓨터 오류를 예측했다.

2. 1. 국제적 발전

1983년부터 American Bankers Association^영어 및 BAI (organization)^영어과 같은 규제 기관은 소속 회원들에게 공공 이익을 보호하는 운영 연속성 관행을 시행하도록 요구했다. 이는 이후 더욱 공식적인 BCP 매뉴얼로 지원되었다.^[107] 2000년 문제 해결 이후 BCP에 초점을 맞춘 규제와 글로벌 사업은 쇠퇴했지만, 9.11 테러로 뉴욕의 황폐화된 다운타운을 동시 테러 공격하면서 사업 연속성 계획의 '''최악의 시나리오''' 패러다임이 바뀌었다.

2004년 영국은 민간 비상 사태법 2004(（Civil Contingencies Act 2004）)를 제정하여 모든 응급 구조대와 지방 자치 단체가 비상 사태에 대비하고 계획하도록 했다. 지방 자치 단체는 각 지역의 사업 연속성 경험을 촉진하도록 법적 의무를 지게 되었다.

2006년 12월, 영국 표준 협회는 BCP를 위한 독립 표준인 BS 25999-1을 발행했다. 이전에는 BCP 전문가들이 조직의 정보 보안 준수를 개선하기 위해 BCP를 논의하는 BSI 정보 보안 표준인 BS 7799에 의존했다. BS 25999는 정부, 민간, 영리 및 비영리, 대규모 및 소규모 등 모든 조직에 적용되었다. 2007년에는 문서화된 사업 연속성 관리 시스템(BCMS)의 구현, 운용 및 개량을 위한 요구 사항을 규정하는 BS 25999-2 "사업 연속성 관리를 위한 사양"이 출판되었다.

2. 2. 한국의 발전

1990년대 말, 2000년 문제에 대한 우려로 국내 주요 공공기관 및 금융기관을 중심으로 BCP 도입이 시작되었다. 당시 정부는 은행, 전력, 전신, 건강 및 재정 산업 등 주요 공공 유틸리티 인프라에서 발생할 수 있는 컴퓨터 오류를 예측하고 대비하였다.^[107] 2000년대 이후, 대규모 자연재해 및 사이버 공격 발생으로 BCP의 중요성이 더욱 강조되면서, 정부 주도의 BCP 관련 법규 및 제도 정비가 이루어졌다. 특히, 2004년 영국에서 제정된 민간 비상 사태법 2004（Civil Contingencies Act 2004）는 모든 응급 구조대와 지방 자치 단체가 비상 사태에 대해 적극적으로 대비하고 계획하도록 의무화했으며, 이는 기업의 BCP 수립 의무를 명문화하는 계기가 되었다.

3. 계획 단계

업무 연속성 계획(BCP)은 일반적으로 다음과 같은 단계로 구성된다.^[111]

# 컨설팅

# 시스템 구축

# 시스템 관리

공급망 중단, 핵심 인프라(주요 기계 장치, 컴퓨터, 네트워크 등)의 손실 또는 손상 등 운영에 악영향을 미칠 수 있는 모든 사건은 사업 연속성 계획에 포함되어야 한다. 따라서 사업 연속성 계획은 위기 관리의 일부로 취급된다.^[85] 미국에서는 정부 기관이 이 프로세스를 운영 연속성 계획(COOP)이라고 부른다.^[86] 사업 연속성 계획^[87]은 다양한 재해 시나리오와 특정 시나리오에서 사업이 정상 영업으로 복구하기 위해 기업이 실행하는 절차를 개략적으로 나타낸다. 사업 연속성 계획은 사전에 작성해두고, 실행해야 할 예방 조치를 포함하는 경우도 있다. 일반적으로 주요 직원과 이해 관계자의 의견을 반영하여 작성된다. 사업 연속성 계획은 불리한 시나리오에서 사업에 대한 잠재적 피해를 최소화하기 위한 일련의 긴급 대응이다.^[88]

사업 연속성을 유지하기 위해 계획과 절차가 작성되며, 조직 운영을 유지하는 데 필요한 중요한 조직의 운용이 다른 것과의 의존 관계가 중단되더라도 지속될 수 있도록 준비한다.

계획 작성 시 필수 항목인 '사업 연속성 표준' 체크리스트가 다양한 표준화 단체에서 공개되어 있어 참고할 수 있다.^[98]

BCP에서 사용되는 물류 계획은 Business continuity^영어라고 불린다. BCP가 의도하는 효과는 실행 중인 상태 및 사업을 수행하는 방법을 통치하는 방법론인 사업 연속성을 확실하게 하는 것이다. BCP를 수립, 운용, 훈련, 지속적으로 개선하는 노력을 '''사업 연속성 관리'''라고 한다.

간단히 말해, BCP는 재해 발생 시 사업을 지속하는 방법에 대해 정하고 있다. 전형적인 사태로는 건물 화재와 같은 국지적인 사태, 지진이나 홍수와 같은 지역적인 사태, 또는 세계적인 전염병 유행과 같은 국가적인 사태를 포함한다. 그러나 이러한 사태에 국한되지 않고, 공급원 상실, 중요한 인프라(기계 또는 컴퓨팅/네트워크 자원의 주요 부분)의 상실, 또는 절도나 파괴의 결과와 같이 사업이 의존하고 있는 모든 사태를 포함하며, 사업 손실의 가능성을 일으킬 수 있는 모든 사태가 고려되어야 한다. 이처럼 위험 관리는 BCP의 일부로 도입되어야 한다.

3. 1. 컨설팅 (한국 특화)

기업은 전문 컨설팅 업체를 통해 각자의 환경과 특성에 맞는 업무 연속성 계획(BCP) 전략을 수립하고 시스템 구축을 지원받을 수 있다. 특히, 정부 지원 사업을 활용하면 중소기업은 BCP 컨설팅 비용을 절감할 수 있다.^[104]

3. 2. 시스템 구축 (한국 특화)

재해 복구 시스템, 백업 시스템 등 BCP 운영에 필요한 IT 인프라를 구축한다. 대한민국 내 IT 환경을 고려하여, 클라우드 기반 BCP 솔루션 도입이 증가하는 추세이다.

계획자는 다음 정보에 대한 정보를 가지고 있어야 한다.

장비
공급품 및 공급업체
다른 사무실 및 백업/업무 공간 복구(WAR) 사이트를 포함한 위치
문서 및 문서 (오프사이트 백업 사본이 있는 문서)^[10]
사업 문서
절차 문서

3. 3. 시스템 관리

구축된 BCP 시스템의 정상 작동 여부를 주기적으로 점검하고, 최신 기술 동향을 반영하여 시스템을 업데이트해야 한다. 사업 연속성은 재해 복구의 적절한 실행을 통해 얻어지는 결과이다.^[111] 예비 머신과 서버를 비용 효율적인 방법으로 구매하여 다른 장소에 설치하고 백업을 실행하며, 책임자를 정하고, 예행 연습을 실시하고, 종업원을 교육하고, 경계함으로써 얻을 수 있다.

계획 수립 시 주요 비용은 감사 준수 관리 문서의 준비이다. 이 정보는 수동으로 작성하거나 자동화 도구를 이용할 수 있다.^[111]

4. 분석

분석 단계에서는 기업 운영에 영향을 미치는 위협 요소를 식별하고, 각 위협이 발생했을 때 업무에 미치는 영향을 분석한다. 이 단계는 업무 연속성 계획 (BCP) 매뉴얼 개발의 핵심 부분으로, 영향 분석, 위협 분석, 그리고 BCP 계획 요구 사항 문서화를 포함한다.^[24]^[25]

사업 연속성 관리는 BCP를 수립, 운용, 훈련하고 지속적으로 개선하는 노력을 의미한다. BCP는 재해 발생 시 사업을 지속하는 방법을 정의하며, 건물 화재, 지진, 홍수, 전염병 유행 등 다양한 상황을 포함한다. 또한, 공급원 상실, 핵심 인프라 손상, 절도, 파괴 등 사업에 손실을 일으킬 수 있는 모든 상황을 고려해야 한다. 따라서 위험 관리는 BCP의 중요한 부분이다.^[85] 미국 정부 기관에서는 이 프로세스를 운영 연속성 계획(COOP)이라고 부른다.^[86]

4. 1. 업무 영향 분석 (BIA, Business Impact Analysis)

업무 영향 분석(BIA, Business Impact Analysis)은 조직의 핵심 기능과 비핵심 기능을 구분한다. 각 기능은 인적 자원, IT 시스템, 물리적 자산(휴대폰, 노트북 등), 문서(전자 또는 물리적) 등의 조합에 의존한다.^[10] 법률에 의해 규정된 기능은 핵심 기능으로 간주될 수 있다.

각 기능에 대해 다음 두 가지 값을 할당한다.

복구 시점 목표(RPO, Recovery Point Objective): 데이터가 복구되지 않을 경우 허용 가능한 최대 지연 시간이다. 예를 들어, 회사가 2일 분량의 데이터를 손실하는 것이 허용되는가? RPO는 각 활동에 대한 최대 허용 데이터 손실을 초과하지 않도록 설정해야 한다.
복구 시간 목표(RTO, Recovery Time Objective): 기능을 복원하는 데 허용되는 시간이다.

기업의 주요 제품 또는 서비스가 이해 관계자가 용납할 수 없는 결과를 초래하기 전까지 사용할 수 없거나 제공되지 않을 수 있는 최대 시간은 최대 허용 중단 기간(MTPD, Maximum Tolerable Period of Disruption), 최대 허용 다운타임(MTD), 최대 허용 중단(MTO), 최대 허용 아웃티지(MAO) 등으로 불린다.^[27]^[28]

ISO 22301에 따르면 "최대 허용 아웃티지"와 "최대 허용 중단 기간"은 동일한 의미이며, 정확히 같은 단어를 사용하여 정의된다.^[29]

여러 시스템이 충돌하는 경우, 복구 계획은 RTO, RPO와 같은 다른 목표와 함께 데이터 일관성 요구 사항의 균형을 맞춰야 한다.^[31] 복구 일관성 목표(RCO, Recovery Consistency Objective)는 이러한 목표를 나타내는 용어이다.^[32]

RCO는 다음 공식을 통해 계산한다.

:

\text{RCO} = 1 - \frac{(\text{일치하지 않는 엔티티 수})_n}{(\text{엔티티 수})_n}

(n은 비즈니스 프로세스의 수, 엔티티는 비즈니스 데이터에 대한 추상 값)

100% RCO는 복구 후 비즈니스 데이터에 편차가 발생하지 않음을 의미한다.^[33]

한국 기업의 특성상, 법적 규제 준수, 고객 신뢰 유지, 브랜드 이미지 관리 등도 BIA에서 중요한 고려 요소이다.

4. 2. 위협 및 위험 분석 (TRA, Threat and Risk Analysis)

업무 연속성 계획 수립 과정에서, 발생 가능한 위협 요소를 식별하고 각 위협의 발생 빈도, 강도, 영향 범위 등을 분석한다. 이러한 위협은 다음과 같이 분류할 수 있다.

유형	세부 내용	예시
자연재해	지진, 홍수, 태풍 등 자연 현상으로 인해 발생하는 재해	지진, 홍수, 태풍, 허리케인
인적 재해	인간의 고의 또는 과실로 인해 발생하는 재해	화재, 테러, 파업, 파괴 행위, 절도
기술적 재해	기술 시스템의 결함이나 오작동으로 인해 발생하는 재해	정전, 통신 장애, 사이버 공격, IT 중단, 데이터 손상, 잘못된 구성, 네트워크 중단
사회적 재해	사회 시스템의 불안정으로 인해 발생하는 재해	전염병, 사회 불안, 전쟁/내란, 단수(공급 중단, 오염)

특히, 대한민국은 다음과 같은 특수한 위협 요인에 대한 대비가 필요하다.

북한의 사이버 공격 위협: 북한은 지속적으로 사이버 공격을 통해 대한민국의 주요 기관 및 시설을 공격하고 있다.
미세먼지: 미세먼지는 국민 건강을 위협하고 경제 활동에 지장을 줄 수 있다.

이러한 위협들은 연쇄적으로 발생할 수 있다. 예를 들어, SARS 발생 기간 동안 일부 조직에서는 질병의 잠복기에 맞춰 팀을 나누고 교대 근무를 실시하여, 대면 접촉을 금지하는 방식으로 회복 탄력성을 높였다.^[85] 홍수와 같은 재해는 장비 손상을 유발할 수 있지만, 적절한 조치를 통해 복구 가능성을 높일 수 있다.

4. 3. 영향 시나리오

분석 결과를 바탕으로, 발생 가능한 최악의 시나리오를 가정하여 업무 중단 상황을 구체적으로 설정한다. 다음은 그 예시이다.

의료 물품 필요^[34]
운송 옵션 필요^[35]
핵 재난의 민간인 영향^[36]
비즈니스 및 데이터 처리 물품 필요^[37]

이러한 시나리오는 가능한 가장 광범위한 피해를 반영해야 한다. 일반적으로 "건물 손실"과 같은 전형적인 영향 시나리오는 모든 중요한 사업 기능 및 모든 잠재적 위협으로부터의 최악의 잠재적 결과를 포함한다.

조직이 하나 이상의 건물을 보유하고 있다면, 특정 건물의 특정 층의 일시적 또는 영구적 손실과 같은, 기타 보다 구체적인 영향 시나리오도 문서화할 수 있다.

5. 솔루션 설계

솔루션 설계 단계에서는 영향 분석 단계에서 도출된 주요 요구 사항을 충족하는 가장 비용 효율적인 재해 복구 솔루션을 식별해야 한다. IT 애플리케이션의 경우, 이는 일반적으로 최소 애플리케이션 및 데이터 요구 사항과 이를 사용할 수 있어야 하는 시간 프레임으로 표현된다.^[85]

재해 복구 계획은 IT 애플리케이션 외에도 하드 카피 형태의 정보 보관, 숙련된 직원 관리, 공정 플랜트에 통합된 기술 복구와 같은 영역에서도 필요하다.

이 단계에서는 다음과 같은 사항을 결정한다.

위기 관리 명령 구조
백업 사이트 위치 (필요한 경우)
1차 및 2차 작업 사이트 간 통신 아키텍처 및 데이터 복제 방법
2차 작업 사이트에 요구되는 애플리케이션, 소프트웨어 및 물리적 데이터 유형

5. 1. 주요 고려 사항

업무 연속성 계획 (BCP) 수립 시 주요 고려 사항은 다음과 같다.

IT 시스템 복구 방안:
데이터 백업: 중요한 데이터는 정기적으로 백업하여 별도의 안전한 장소에 보관한다.
시스템 이중화: 서버, 네트워크 등 핵심 IT 시스템을 이중화하여 장애 발생 시에도 서비스 중단을 최소화한다.
재해 복구 센터 (DR 센터) 구축: 주 센터에 문제가 발생했을 때, 신속하게 서비스를 복구할 수 있는 재해 복구 센터를 구축한다.
인력 운영 방안:
대체 인력 확보: 핵심 업무 담당자의 부재에 대비하여 대체 인력을 확보하고 교육한다.
원격 근무 시스템 구축: 재택근무, 스마트워크 등 원격 근무 시스템을 구축하여 비상 상황에서도 업무를 지속할 수 있도록 한다.
시설 복구 방안:
대체 사업장 확보: 화재, 지진 등 재해로 인해 기존 사업장을 사용할 수 없을 때를 대비하여 대체 사업장을 미리 확보해 둔다.
시설 안전 점검: 정기적인 시설 안전 점검을 통해 위험 요소를 사전에 제거하고, 비상 상황에 대비한 시설 보강을 실시한다.
공급망 관리 방안:
핵심 공급 업체와의 협력 체계 구축: 핵심 자재 및 서비스 공급 업체와 긴밀한 협력 관계를 유지하여 비상 상황 발생 시에도 안정적인 공급을 확보한다.
대체 공급망 확보: 특정 공급 업체에 문제가 발생했을 때를 대비하여 대체 공급망을 확보하여 공급 중단 위험을 최소화한다.
통신 시스템 구축 방안:
주 통신망과 보조 통신망 이중화: 통신 장애 발생 시에도 통신이 가능하도록 주 통신망과 보조 통신망을 이중화한다.
비상 연락 체계 구축: 임직원, 고객, 협력 업체 등과의 비상 연락 체계를 구축하여 신속하게 상황을 전파하고 대응한다.
위기 관리 조직 및 지휘 체계 구축:
위기 관리 조직 구성: 위기 상황 발생 시 신속하고 효과적으로 대응할 수 있는 위기 관리 조직을 구성한다.
지휘 체계 확립: 명확한 지휘 체계를 확립하여 의사 결정 및 자원 배분을 효율적으로 수행한다.
재해 복구 사이트 구축 및 운영:
재해 복구 사이트 구축: 주 전산 센터에 문제가 발생했을 때, 신속하게 서비스를 복구할 수 있는 재해 복구 사이트를 구축한다.
정기적인 모의 훈련: 재해 복구 시스템이 정상적으로 작동하는지 확인하기 위해 정기적인 모의 훈련을 실시한다.^[85]

5. 2. 한국적 특수성

국내 IT 환경과 규제를 고려하여, 클라우드 기반 BCP 솔루션, 데이터 백업 및 복구 솔루션 등 적합한 기술을 선택해야 한다. 정부 지원 사업을 활용하여 BCP 솔루션 구축 비용을 절감할 수 있다.

6. 구현 및 테스트

구현 단계에는 정책 변경, 자재 획득, 인력 충원 등이 포함된다.^[85] 업무 연속성 계획이 실제 상황에서 제대로 작동하는지 확인하기 위해 다양한 유형의 훈련을 실시한다. 훈련은 탁상 훈련, 중간 규모 훈련, 복합 훈련 등으로 분류할 수 있으며, 최소 반년 또는 1년 주기로 실시한다. 초기 테스트에서 발견된 문제는 다음 테스트 주기에서 다시 테스트하여 개선 여부를 확인한다.^[106]

6. 1. 구현

구현 단계에는 정책 변경, 자재 획득, 인력 충원 및 테스트가 포함된다.^[85] 공급망 중단, 핵심 인프라(주요 기계 장치, 컴퓨터, 네트워크 등)의 손실 또는 손상 등 운영에 악영향을 미칠 수 있는 모든 사건은 업무 연속성 계획에 포함되어야 한다.^[85]

6. 2. 테스트 및 조직적 수용

업무 연속성 계획(BCP)이 실제 상황에서 제대로 작동하는지 확인하기 위해 다양한 유형의 훈련을 실시한다. 이러한 훈련은 다음과 같이 분류할 수 있다.^[106]

탁상 훈련 (Tabletop Exercise): 가상의 재해 시나리오를 설정하고, 이에 대한 토론 및 시뮬레이션을 진행한다. 주로 소수의 인원이 참여하여 BCP의 특정 부분에 대해 논의하거나, 여러 팀에서 각 대표 한 명이 참여하여 진행한다. 이를 통해 문제점을 파악하고 해결 방안을 모색한다.

중간 규모 훈련: 여러 부서나 팀이 참여하여 실제 상황과 유사한 환경에서 훈련을 진행한다. 가상 시나리오에 따라 시뮬레이션된 웹사이트나 뉴스 방송을 활용하기도 하며, 참가자들은 실제 상황처럼 대응하여 문제 해결 능력을 향상시킨다.

복합 훈련: 실제 재해 상황을 가정하여 인력 대피, 시스템 복구 등 BCP의 모든 과정을 훈련한다. 실제 재해 복구(DR) 사이트를 가동하거나, 예고 없이 대피 훈련을 실시하는 등 최대한 현실적인 상황을 연출하여 훈련 효과를 극대화한다.

이러한 훈련을 통해 발견된 문제점은 분석 단계로 피드백되어 BCP를 지속적으로 개선하는 데 활용된다. 최소 반년 또는 1년 주기로 훈련을 실시하며, 초기 테스트에서 발견된 문제는 다음 테스트 주기에서 다시 테스트하여 개선 여부를 확인한다.

7. 유지 및 관리

업무 연속성 계획(BCP)은 한 번 수립하는 것으로 끝나는 것이 아니라, 지속적인 유지 및 관리를 통해 최신 상태를 유지해야 한다.

BCP 매뉴얼의 유지 관리는 일반적으로 6개월 또는 1년 주기로 이루어지며, 다음과 같은 세 가지 활동으로 나뉜다.^[85]^[86]^[87]^[88]

매뉴얼 내 정보 확인, 직원 인식 교육, 중요 개인에 대한 특정 교육 실시
복구 작업을 위해 구축된 기술 솔루션의 테스트 및 검증
조직 복구 절차의 테스트 및 검증

공급망 중단, 핵심 인프라(주요 기계 장치, 컴퓨터, 네트워크 등)의 손실 또는 손상 등 운영에 악영향을 미칠 수 있는 모든 사건은 BCP에 포함되어야 한다. 따라서 BCP는 위기 관리의 일부로 취급된다. 미국에서는 정부 기관이 이 프로세스를 운영 연속성 계획(COOP)이라고 부른다.

사업 연속성을 유지하기 위해서는 계획과 절차가 필요하며, 조직 운영에 필수적인 핵심 기능이 중단되더라도 지속될 수 있도록 준비해야 한다. 계획 수립 시 주요 비용은 감사 준수 관련 문서 준비에 소요된다. 이 정보는 수동 또는 자동화 도구를 이용하여 작성할 수 있다. '사업 연속성 표준' 체크리스트는 다양한 표준화 단체에서 공개되어 있어 참고 가능하다.^[98]

7. 1. 정보 및 목표

조직은 업무 연속성 목표, 허용 가능한 최소한의 제품 및 서비스 운영 수준, 최대 허용 중단 기간(MTPD)을 정의해야 한다.^[23] BCP 매뉴얼은 조직과 함께 발전해야 하며, '누가 무엇을 알아야 하는지'에 대한 정보를 유지해야 한다.

BCP 매뉴얼 유지를 위한 주기적인 활동은 다음과 같다.

매뉴얼 정보 확인, 직원 인식 교육 및 중요 개인에 대한 특정 교육 실시.
복구 작업을 위해 구축된 기술 솔루션의 테스트 및 검증.
조직 복구 절차의 테스트 및 검증.

일반적으로 6개월 또는 1년 주기로 유지 관리가 이루어진다.

BCP 매뉴얼에서 갱신되어야 할 변경 사항은 다음과 같다.

직원 변경
직원 인력
주요 고객 및 해당 고객의 연락처 정보 변경
주요 벤더/공급업체 및 해당 벤더/공급업체의 연락처 정보 변경
신규, 폐쇄 또는 기본적으로 변경된 부서와 같은 부서적 변경
회사의 투자 포트폴리오 및 미션 선언에서의 변경
공급업체 경로에서의 상류/하류 변경

BCP는 다음 정보를 포함해야 한다.

장비
공급품 및 공급업체
다른 사무실 및 백업/업무 공간 복구(WAR) 사이트를 포함한 위치
문서 및 문서 (오프사이트 백업 사본이 있는 문서 포함)^[10]
사업 문서
절차 문서
IT 재해 복구 중 시기 적절한 의사 소통을 용이하게 하기 위한 용어 정의^[77]
배포 목록 (직원, 중요 고객, 공급업체)
통신 및 운송 인프라(도로, 교량)에 대한 정보^[78]

7. 2. 기술

바이러스 정의 배포, 애플리케이션 보안 및 서비스 패치 배포, 하드웨어 및 애플리케이션 작동 가능성 점검, 데이터 검증 및 데이터 적용 등 전문적인 기술 자원은 유지 관리되어야 한다.^[23] 이러한 점검을 통해 IT 시스템 및 소프트웨어의 안정적인 운영을 보장하고, 사이버 공격 위협에 대비하며, 데이터 무결성을 확보할 수 있다.

7. 3. 복구 절차 테스트 및 검증

업무 연속성 계획(BCP) 매뉴얼은 주기적으로 관리되어야 하며, 일반적으로 다음 세 가지 활동으로 구성된다.^[79]

모든 직원을 대상으로 매뉴얼 내 정보를 확인하고, 대응 및 복구에 중요한 역할을 하는 직원들에게는 특별 교육을 실시한다.
복구 작업을 위해 구축된 기술 솔루션을 테스트하고 검증한다.
조직 복구 절차를 테스트하고 검증한다.

테스트 과정에서 발견된 문제는 분석 단계로 다시 넘겨져 개선되어야 한다. 소프트웨어 및 작업 프로세스 변경 사항은 문서화하고 검증해야 한다. 또한, 변경 사항이 미리 정해진 복구 시간 목표 내에 복구할 수 있도록 하는지 확인해야 한다.^[79]

8. 관련 표준

업무 연속성 계획(BCP) 관련 국제 표준에는 국제 표준화 기구(ISO)에서 제정한 표준들과 기타 표준들이 있다.^[40]^[41]

자세한 내용은 하위 섹션에서 확인할 수 있다.

8. 1. ISO 표준

국제 표준화 기구(ISO)는 업무 연속성 관리 시스템에 대한 일련의 표준을 개발했다.^[42]

표준 번호	설명
ISO 22300:2021	보안 및 복원력 – 어휘 (ISO 22300:2018 및 ISO 22300:2012 대체)^[43]
ISO 22301:2019	보안 및 복원력 – 업무 연속성 관리 시스템 – 요구 사항 (ISO 22301:2012 대체)^[44]
ISO 22313:2020	보안 및 복원력 – 업무 연속성 관리 시스템 – ISO 22301 사용 지침 (ISO 22313:2012 대체)^[45]
ISO/TS 22317:2021	보안 및 복원력 – 업무 연속성 관리 시스템 – 비즈니스 영향 분석 지침 (ISO/TS 22315:2015 대체)^[46]
ISO/TS 22318:2021	보안 및 복원력 – 업무 연속성 관리 시스템 – 공급망 연속성 지침 (ISO/TS 22318:2015 대체)^[47]
ISO/TS 22330:2018	보안 및 복원력 – 업무 연속성 관리 시스템 – 업무 연속성에 대한 인적 측면 지침 (2022년 현재 유효)^[48]
ISO/TS 22331:2018	보안 및 복원력 – 업무 연속성 관리 시스템 – 업무 연속성 전략 지침 (2022년 현재 유효)^[49]
ISO/TS 22332:2021	보안 및 복원력 – 업무 연속성 관리 시스템 – 업무 연속성 계획 및 절차 개발 지침 (2022년 현재 유효)^[50]
ISO/IEC/TS 17021-6:2014	적합성 평가 – 관리 시스템의 감사 및 인증을 제공하는 기관에 대한 요구 사항 – 파트 6: 업무 연속성 관리 시스템의 감사 및 인증에 대한 역량 요구 사항^[51]
ISO/IEC 24762:2008	정보 기술 — 보안 기술 — 정보 및 통신 기술 재해 복구 서비스 지침 (철회됨)^[52]
ISO/IEC 27001:2022	정보 보안, 사이버 보안 및 개인 정보 보호 — 정보 보안 관리 시스템 — 요구 사항 (ISO/IEC 27001:2013 대체)^[53]
ISO/IEC 27002:2022	정보 보안, 사이버 보안 및 개인 정보 보호 — 정보 보안 제어 (ISO/IEC 27002:2013 대체)^[54]
ISO/IEC 27031:2011	정보 기술 – 보안 기술 – 업무 연속성을 위한 정보 및 통신 기술 준비 지침^[55]
ISO/PAS 22399:2007	사회적 보안 - 사고 대비 및 운영 연속성 관리 지침 (철회됨)^[56]
IWA 5:2006	비상 대비 (철회됨)^[57]

8. 2. 기타 표준

영국 표준 협회(BSI 그룹)는 일련의 표준을 발표했으나, 이후 철회되고 ISO 표준으로 대체되었다.^[23]

BS 7799-1:1995 - 정보 보안 절차를 주변적으로 다룸. (철회됨)^[58]
BS 25999-1:2006 - 업무 연속성 관리 파트 1: 실무 규약 (대체, 철회됨)^[59]
BS 25999-2:2007 업무 연속성 관리 파트 2: 사양 (대체, 철회됨)^[60]
BS 25777: 2008, 정보통신기술 연속성 관리. 실무 규약. (철회됨)^[61]

영국 내에서 BS 25999-2:2007 및 BS 25999-1:2006은 모든 조직, 산업 및 부문에서 업무 연속성 관리에 사용되었다. 이 문서는 극한의 기상 조건에서 테러, IT 시스템 장애 및 직원 질병에 이르기까지 대부분의 우발 상황에 대처하기 위한 실용적인 계획을 제시한다.^[62] 2004년, 영국 정부는 2004년 민간 비상 사태법을 통과시켜 기업이 사건을 최소화하며 생존하고 번창하기 위한 연속성 계획 조치를 마련하도록 했다.^[63] 영국에서 회복력은 지역 회복력 포럼에 의해 지역적으로 구현된다.^[64]

다른 표준은 다음과 같다.

표준	설명
HB 292-2006	업무 연속성 관리 실무자 안내서^[65]
HB 293-2006	업무 연속성 관리 임원 안내서^[66]
NFPA 1600 표준 (2010)	재해/비상 관리 및 업무 연속성 프로그램. 전미 소방 협회. (폐지).^[67]
NFPA 1600 표준 (2019)	연속성, 비상 및 위기 관리. 전미 소방 협회. (현재 표준)^[68]
업무 연속성 (COOP) 및 국가 연속성 정책 이행 계획 (NCPIP)	미국 연방 정부^[74]^[69]^[70]
업무 연속성 계획 제품군	국토안보부 국가 보호 및 프로그램 국 및 연방 재난 관리청 (FEMA).^[71]^[72]^[73]^[74]
ASIS SPC.1-2009	조직 복원력: 보안, 대비 및 연속성 관리 시스템 - 사용 지침과 함께 제공되는 요구 사항, 미국 국립 표준 협회^[75]

9. 복원력 (Resilience)

패트리스 M. 버자넬 교수의 복원력 이론 외에도, 뉴질랜드 캔터베리 대학교의 복원력 있는 조직 프로그램에서 개발한 조직 복원력 평가 도구가 있다.^[21] 이 도구는 11개 범주, 각 범주당 5~7개 질문으로 구성되며, ''복원력 비율''로 요약된다.^[22]

공급망 중단, 핵심 인프라(주요 기계 장치, 컴퓨터, 네트워크 등) 손실 또는 손상 등은 운영에 악영향을 미칠 수 있으므로, 이러한 모든 사건은 업무 연속성 계획에 포함되어야 한다.

9. 1. 복원력의 개념

2005년에 발표된 분석에 따르면, 혼란은 기업 운영에 부정적인 영향을 미칠 수 있으며, 복원력에 대한 투자는 다양한 비상 사태에 대비하지 않은 기업에 비해 경쟁 우위를 제공할 수 있다.^[12] 이는 당시 흔했던 사업 연속성 계획 관행을 확장한 것이다. 경쟁력 위원회와 같은 기업 조직은 이러한 복원력 목표를 수용했다.^[13]

변화에 적응하는 방식이 겉으로 보기에는 느리고, 더 진화적인 방식으로 (때로는 수년 또는 수십 년에 걸쳐) 이루어지는 것을 더 복원력이 있다고 묘사해 왔으며,^[14] "전략적 복원력"이라는 용어는 일회성 위기에 저항하는 것을 넘어, "변화의 필요성이 절실해지기 전"부터 지속적으로 예상하고 조정하는 것을 의미하게 되었다.

이 접근 방식은 때때로 대비,^[15] 보호, 대응 및 복구로 요약된다.^[16]

복원력 이론은 홍보 분야와 관련될 수 있다. 복원력은 시민, 가족, 미디어 시스템, 조직 및 정부가 일상적인 대화와 매개된 대화를 통해 구성하는 의사 소통 과정이다.^[17]

이 이론은 퍼듀 대학교 브라이언 램 커뮤니케이션 스쿨 교수인 패트리스 M. 버자넬의 연구를 기반으로 한다. 그녀는 2010년 논문 "복원력: 새로운 정상성을 이야기하고, 저항하고, 상상하기"^[18]에서 조직이 위기를 겪은 후 저항력을 구축하여 번창할 수 있는 능력에 대해 논했다. 버자넬은 개인이 복원력을 유지하기 위해 사용하는 다섯 가지 다른 과정을 언급한다. 즉, 정상성 구축, 정체성 닻 확인, 커뮤니케이션 네트워크 유지 및 사용, 대안적 논리 적용, 부정적 감정 축소 및 긍정적 감정 부각이다.

복원력 이론을 살펴보면 위기 커뮤니케이션 이론과 유사하지만 동일하지는 않다. 위기 커뮤니케이션 이론은 회사의 평판을 기반으로 하지만, 복원력 이론은 회사의 회복 과정에 기반한다. 복원력의 다섯 가지 주요 구성 요소는 다음과 같다: 정상성 구축, 정체성 닻 확인, 커뮤니케이션 네트워크 유지 및 사용, 대안적 논리 적용, 부정적 감정 축소 및 긍정적 감정 부각.^[19] 이러한 각 과정은 위기 상황의 비즈니스에 적용될 수 있으며, 복원력은 기업이 훈련하는 동안 집중해야 할 중요한 요소가 된다.

위기에 영향을 받는 세 가지 주요 그룹이 있다. 이들은 미시 (개인), 중간 (그룹 또는 조직) 및 거시 (국가 또는 조직 간)이다. 또한 사전 복원력과 사후 복원력이라는 두 가지 주요 유형의 복원력이 있다. 사전 복원력은 위기에 대비하고 회사를 위한 견고한 기반을 구축하는 것이다. 사후 복원력에는 커뮤니케이션을 지속적으로 유지하고 직원들과 소통하는 것이 포함된다.^[20] 사전 복원력은 업무 환경에 가능한 변화를 일으키기 전에 문제를 처리하는 것이고, 사후 복원력은 사건 발생 후 커뮤니케이션을 유지하고 변화를 수용하는 것이다. 복원력은 모든 조직에 적용될 수 있다.

9. 2. 복원력 이론 (한국의 관점)

패트리스 M. 버자넬 퍼듀 대학교 교수는 2010년 발표한 논문에서 복원력 이론을 제시했다.^[18] 이 이론은 조직이 위기를 겪은 후에도 저항력을 구축하여 번창할 수 있는 능력을 강조한다. 버자넬은 개인이 복원력을 유지하기 위해 사용하는 다섯 가지 과정을 제시했는데, 이는 다음과 같다:^[19]

정상성 구축
정체성 닻 확인
커뮤니케이션 네트워크 유지 및 사용
대안적 논리 적용
부정적 감정 축소 및 긍정적 감정 부각

이러한 요소들은 위기 상황에 처한 기업에 적용될 수 있으며, 기업이 훈련 과정에서 집중해야 할 중요한 요소로 작용한다. 복원력 이론은 위기 커뮤니케이션 이론과 유사하지만, 회사의 평판보다는 회복 과정에 중점을 둔다는 차이점이 있다.

한국 기업들은 위기 상황에서 조직 구성원 간의 소통과 협력을 강화하고, 긍정적인 조직 문화를 구축하여 복원력을 높이는 데 힘쓰고 있다. 특히, 더불어민주당은 기업의 복원력 강화를 위한 정책 지원을 확대하고 있다.

10. 재해 대응에 깊이 관여하는 사업에서의 BCP (일본 사례, 한국 관점 비교)

재해 대응에 깊이 관여하는 사업^[108]에서의 업무 연속성 계획(BCP)은 "재해 등 비상사태가 발생했을 때, 기업이 손해를 최소화하고 사업의 지속 및 복구를 도모하기 위한 계획"이라는 관점으로는 이해하기 어려운 면이 있다. 이러한 사업에서는 "평상시 업무의 지속 및 조기 복구" 이상으로 "재해 후에 새롭게 발생하는 업무(응급 업무)에 대한 대응"의 비중이 크기 때문이다.

일본의 경우, 건설업, 의료기관, 노인 복지 시설 등 재해 대응에 직접적으로 관련된 사업에서는 일반적인 BCP와는 다른 특수한 고려 사항이 필요하다. 특히, 건설업은 외부 조달 의존도가 높아 협력 회사, 자재 공급 업체, 설계 감리 회사와의 연계가 중요하다.^[109]

한국의 경우에도 재해 대응에 밀접하게 관련된 사업은 BCP 수립 시 일반적인 사업과는 다른 요소를 고려해야 한다. 중앙 정부 및 지방자치단체의 재난 대응 체계와 연계하여 민간 기업의 역할을 명확히 하고, 협력 체계를 구축하는 것이 중요하다.

10. 1. 응급 업무

재해 발생 직후에는 인명 구조, 피해 복구, 긴급 지원 등 새롭게 발생하는 업무에 대응해야 한다.^[108] 한국의 경우, 중앙 정부 및 지방 자치 단체의 재난 대응 체계와 연계하여 민간 기업의 역할을 명확히 하고, 협력 체계를 구축하는 것이 중요하다.

일반 사업과는 달리 다음과 같은 사항도 고려해야 한다.^[109]

재해 발생 직후부터 인원 확보
정보 수집 및 발신
새롭게 발생하는 긴급 안건 대응
이동 수단 확보
수송 수단, 인프라 등의 상황 파악
적절한 지원 부대 편성 및 파견
잔해 처리에 필요한 임시 보관 장소, 처리장 등 확보

특히 자연재해의 경우, 재해 발생 직후부터 응급 업무가 발생하므로, "직원이 재해 발생 직후부터 업무에 종사하는 것에 대한 가족의 이해" 등 다른 사업에는 없는 사항도 고려해야 한다.^[108]

시, 읍, 면에서의 응급 업무 예시는 다음과 같다.^[110]

지역 방재 계획에 따른 재해 응급 대책 업무
재해 복구·부흥 업무 중 조기 실시 우선순위가 높은 것
그 외 재해 후의 신규 업무 중 조기 실시 우선순위가 높은 것

건설업에서의 응급 업무 예시는 다음과 같다.^[109]

구조 활동에 기계력을 활용하여 협력
피해를 입은 건물의 상황 확인, 응급 처치, 건물 위험도 판정, 복구 지원
지장물 철거 작업, 인프라 복구 공사

요양 시설에서의 응급 업무 예시는 다음과 같다.

시설 이용자의 안전과 건강, 생명 보호
입소 시설의 생활 유지 및 피난 시 시설 기능을 활용한 지역 공헌

병원에서의 응급 업무 예시는 다음과 같다.

입원 환자의 안전 확보
피해자에게 의료 제공

10. 2. 특수 고려 사항

재해 대응에 깊이 관련된 사업^[109]에서의 업무 연속성 계획(BCP)은 일반적인 사업과는 다른 특수한 사항들을 고려해야 한다. 이러한 특수 고려 사항^[109]은 다음과 같다.

재해 발생 직후부터 인원을 확보해야 한다.
정보를 신속하게 수집하고 발신해야 한다.
새롭게 발생하는 긴급 안건에 대응해야 한다.
이동 수단을 확보해야 한다.
수송 수단, 인프라 등의 피해 상황을 파악해야 한다.
적절한 지원 부대를 편성하고 파견해야 한다.
잔해 처리에 필요한 임시 보관 장소, 처리장 등을 확보해야 한다.

특히 건설업의 경우, 사업의 많은 부분을 외부 조달에 의존하기 때문에 다음과 같은 사항도 고려해야 한다.^[109]

협력 회사와의 연계
자재 공급 업체와의 연계
설계 감리 회사와의 연계

자연재해의 경우, 재해 발생 직후부터 응급 업무가 발생하므로, "직원이 재해 발생 직후부터 업무에 종사하는 것에 대한 가족의 이해"^[109] 등 다른 사업에는 없는 사항도 고려해야 한다.

참조

_[1] 간행물 Business Continuity Policy Statement https://www.midsusse[...] Mid Sussex District Council 2018-04-00
_[2] 잡지 How to Build an Effective and Organized Business Continuity Plan https://www.forbes.c[...] Forbes 2015-06-26
_[3] 웹사이트 Surviving a Disaster https://www.american[...] 2011-00-00
_[4] 논문 Just waiting for the next big bang: business continuity planning in the UK finance sector 1999-00-00
_[5] 잡지 Constructing a Successful Business Continuity Plan http://www.businessi[...] Business Insurance Magazine 2015-03-09
_[6] 웹사이트 Business Continuity Plan https://www.ready.go[...] United States Department of Homeland Security 2018-10-04
_[7] 논문 Adaptive organizational resilience: an evolutionary perspective
_[8] 웹사이트 Business Continuity Planning http://flevy.com/blo[...] Flevy 2013-09-10
_[9] 웹사이트 Continuity Resources and Technical Assistance | FEMA.gov https://www.fema.gov[...]
_[10] 웹사이트 A Guide to the preparation of a Business Continuity Plan https://www.aig.co.u[...] 2019-02-08
_[11] 웹사이트 Business Continuity Planning (BCP) for Businesses of all Sizes http://www.williamad[...] 2017-04-19
_[12] 서적 The Resilient Enterprise: Overcoming Vulnerability for Competitive Enterprise http://resilient-ent[...] MIT Press 2005-10-00
_[13] 웹사이트 Transform. The Resilient Economy http://www.compete.o[...] 2019-02-04
_[14] 뉴스 Newsday | Long Island's & NYC's News Source | Newsday https://www.newsday.[...]
_[15] 학회발표 Business Continuity Preparedness and the Mindfulness State of Mind 2007-00-00
_[16] 웹사이트 Annex A.17: Information Security Aspects of Business Continuity Management https://www.isms.onl[...] ISMS.online 2021-11-00
_[17] 웹사이트 Communication and resilience: concluding thoughts and key issues for future research https://www.research[...]
_[18] 논문 Resilience: Talking, Resisting, and Imagining New Normalcies Into Being 2010-00-00
_[19] 논문 Resilience: Talking, Resisting, and Imagining New Normalcies Into Being 2010-03-00
_[20] 논문 Organizing resilience as adaptive-transformational tensions 2018-01-02
_[21] 웹사이트 Resilient Organisations http://www.resorgs.o[...] 2011-03-22
_[22] 웹사이트 Resilience Diagnostic https://resiliencei.[...] 2017-11-28
_[23] 간행물 ISO 22301 Business Continuity Management: Your implementation guide https://www.bsigroup[...] ISO
_[24] 웹사이트 Emergency Planning http://www.jcrcny.or[...]
_[25] 웹사이트 Can your Organization survive a natural disaster? http://www.riema.ri.[...] 2012-08-15
_[26] 웹사이트 Finding RPO and RTO http://www.virtualdc[...]
_[27] 웹사이트 Maximum Acceptable Outage (Definition) http://www.riskythin[...] Albion Research Ltd.
_[28] 웹사이트 BIA Instructions, BUSINESS CONTINUITY MANAGEMENT - WORKSHOP http://www.driecentr[...] Disaster Recovery Information Exchange (DRIE) Central
_[29] 웹사이트 Plain English ISO 22301 2012 Business Continuity Definitions http://www.praxiom.c[...] Praxiom Research Group LTD.
_[30] 웹사이트 Baseline Cyber Security Controls https://www.ncsc.gov[...] Ministry of Interior - National Cyber Security Center
_[31] 웹사이트 The Rise and Rise of the Recovery Consistency Objective https://www.opscentr[...] 2016-03-22
_[32] 웹사이트 How to evaluate a recovery management solution. http://www.thefreeli[...] West World Productions 2006-00-00
_[33] 웹사이트 Six Myths About Business Continuity Management and Disaster Recovery http://www.gartner.c[...] Gartner Research
_[34] 논문 Medical supply location and distribution in disasters 2021-12-00
_[35] 웹사이트 transportation planning in disaster recovery https://scholar.goog[...]
_[36] 웹사이트 PLANNING SCENARIOS Executive Summaries https://www.globalse[...]
_[37] 간행물 Holding It All Together 2017-12-22
_[38] 문서 developed by SHARE's Technical Steering Committee, working with IBM
_[39] 웹사이트 A Business Continuity Solution Selection Methodology https://share.confex[...] IBM Corp. 2012-03-13
_[40] 논문 Disaster Governance: Social, Political, and Economic Dimensions 2012-11-21
_[41] 서적 CERT® Resilience Management Model (RMM) v1.1: Code of Practice Crosswalk Commercial Version 1.1 https://apps.dtic.mi[...] Carnegie Mellon University 2011-01-05
_[42] 웹사이트 ISO - ISO/TC 292 - Security and resilience https://www.iso.org/[...]
_[43] 웹사이트 ISO 22300:2018 https://www.iso.org/[...] 2019-07-12
_[44] 웹사이트 ISO 22301:2019 https://www.iso.org/[...] 2023-06-05
_[45] 웹사이트 ISO 22313:2020 https://www.iso.org/[...]
_[46] 웹사이트 Iso/Ts 22317:2021 https://www.iso.org/[...]
_[47] 웹사이트 Iso/Ts 22318:2021 https://www.iso.org/[...]
_[48] 웹사이트 ISO/TS 22330:2018 https://www.iso.org/[...] 2019-07-12
_[49] 웹사이트 ISO/TS 22331:2018 https://www.iso.org/[...]
_[50] 웹사이트 Iso/Ts 22332:2021 https://www.iso.org/[...]
_[51] 웹사이트 ISO/IEC TS 17021-6:2014 https://www.iso.org/[...]
_[52] 웹사이트 ISO/IEC 24762:2008 https://www.iso.org/[...] 2008-03-06
_[53] 웹사이트 ISO/IEC 27001:2022 https://www.iso.org/[...]
_[54] 웹사이트 ISO/IEC 27002:2022 https://www.iso.org/[...]
_[55] 웹사이트 ISO/IEC 27031:2011 https://www.iso.org/[...] 2016-09-05
_[56] 웹사이트 ISO/PAS 22399:2007 https://www.iso.org/[...] 2012-06-18
_[57] 웹사이트 IWA 5:2006 https://www.iso.org/[...]
_[58] 웹사이트 BS 7799-1:1995 Information security management - Code of practice for information security management systems https://knowledge.bs[...]
_[59] 웹사이트 BS 25999-1:2006 Business continuity management - Code of practice https://knowledge.bs[...]
_[60] 웹사이트 BS 25999-2:2007 (USA Edition) Business continuity management - Specification https://knowledge.bs[...]
_[61] 웹사이트 BS 25777:2008 (Paperback) Information and communications technology continuity management. Code of practice https://knowledge.bs[...]
_[62] 서적 Business continuity management-Part 1: Code of practice British Standards Institution 2006
_[63] 서적 overview of the Act. In: Civil Contingencies Secretariat Civil Contingencies Act 2004: a short Cabinet Office 2004
_[64] 웹사이트 July 2013 (V2) The role of Local Resilience Forums: A reference document https://assets.publi[...]
_[65] 웹사이트 HB HB 292—2006 Executive Guide to Business Continuity Management https://www.saigloba[...]
_[66] 웹사이트 HB 293—2006 Executive Guide to Business Continuity Management https://www.saigloba[...]
_[67] 서적 NFPA 1600, Standard on Disaster/Emergency Management and Business Continuity Programs https://www.nfpa.org[...] National Fire Protection Association 2010
_[68] 웹사이트 A Comprehensive Overview of the NFPA 1600 Standard https://www.alertmed[...] 2019-01-29
_[69] 웹사이트 NATIONAL CONTINUITY POLICY IMPLEMENTATION PLAN Homeland Security Council August 2007 https://emilms.fema.[...]
_[70] 웹사이트 Continuity Resources and Technical Assistance {{!}} FEMA.gov https://www.fema.gov[...]
_[71] 웹사이트 Continuity of operations: An overview https://www.fema.gov[...] 2023-01-05
_[72] 웹사이트 Business Ready.gov https://www.ready.go[...] 2023-01-05
_[73] 웹사이트 Business Continuity Planning Suite Ready.gov https://www.ready.go[...] 2023-01-05
_[74] 웹사이트 Business Continuity Plan Ready.gov https://www.ready.go[...] 2023-01-05
_[75] 서적 ASIS SPC.1-2009 Organizational Resilience: Security, Preparedness, and Continuity Management Systems - Requirements with Guidance for Use https://www.ndsu.edu[...] American National Standards Institute 2009
_[76] 웹사이트 Business Continuity Plan Template https://publications[...]
_[77] 웹사이트 Glossary | DRI International https://drii.org/res[...]
_[78] 웹사이트 Disaster Recovery Plan Checklist https://www.cms.gov/[...]
_[79] 웹사이트 Validation of a Disaster Management Metamodel (DMM) https://scholar.goog[...]
_[80] 웹사이트 中小企業庁「BCP（事業継続計画）とは」 https://www.chusho.m[...] 2016-09-23
_[81] 웹사이트 weblio辞書「BCP」 https://www.weblio.j[...] 2016-09-23
_[82] 문서 JIS Q 22301：2013第一章冒頭
_[83] 간행물 Constructing a Successful Business Continuity Plan http://www.businessi[...] 2015-03-09
_[84] 웹사이트 IT用語辞典e-words.jp「コンティンジェンシープラン」 http://e-words.jp/w/[...] 2016-09-23
_[85] 웹사이트 Business Continuity Planning http://flevy.com/blo[...] Flevy 2013-09-10
_[86] 웹사이트 Continuity Resources and Technical Assistance | FEMA.gov https://www.fema.gov[...] 2020-12-21
_[87] 웹사이트 A Guide to the preparation of a Business Continuity Plan https://www.aig.co.u[...] 2020-12-21
_[88] 웹사이트 Business Continuity Planning (BCP) for Businesses of all Sizes https://web.archive.[...] 2017-04-19
_[89] 서적 The Resilient Enterprise: Overcoming Vulnerability for Competitive Enterprise http://resilient-ent[...] MIT Press 2005-10
_[90] 웹사이트 Transform. The Resilient Economy http://www.compete.o[...] 2020-12-21
_[91] 뉴스 Newsday | Long Island's & NYC's News Source | Newsday https://www.newsday.[...] 2020-12-21
_[92] 보고서 Business Continuity Preparedness and the Mindfulness State of Mind 2007
_[93] 논문 Building a resilient nation: Enhancing security, ensuring a strong economy https://policycommon[...] Reform Institute
_[94] 웹사이트 Communication and resilience: concluding thoughts and key issues for future research https://www.research[...] 2020-12-21
_[95] 논문 Resilience: Talking, Resisting, and Imagining New Normalcies Into Being 2010
_[96] 논문 Resilience: Talking, Resisting, and Imagining New Normalcies Into Being 2010-03
_[97] 논문 Organizing resilience as adaptive-transformational tensions 2018-01-02
_[98] 웹사이트 Business Continuity Plan https://www.ready.go[...] United States Department of Homeland Security 2018-10-04
_[99] 웹사이트 経済産業省「企業における情報セキュリティガバナンスのあり方に関する研究会報告書参考資料」 http://www.meti.go.j[...] 2016-09-23
_[100] 웹사이트 経済産業省「事業継続計画（BCP)策定ガイドラインの概要」 http://www.meti.go.j[...] 2016-09-23
_[101] 웹사이트 厚生労働省災害等の非常時の対応 https://www.mhlw.go.[...] 2016-09-23
_[102] 웹사이트 Business Continuity Planning - A safety net for businesses http://www.iwar.org.[...]
_[103] 웹사이트 http://howe.stevens.[...]
_[104] 웹사이트 http://nonprofitrisk[...]
_[105] 웹사이트 いまから始める災害復旧計画 IT災害復旧計画策定に必要な各種指標 https://thinkit.co.j[...] 2016-09-29
_[106] 서적
_[107] 웹사이트 Paradigm shifts in business continuity http://www.continuit[...]
_[108] 문서 政府・自治体（特に治安・保安関係の部門）、ライフライン事業者、医療関係者、建設業等が該当する。
_[109] 간행물 建設BCPガイドライン第4版 https://www.nikkenre[...] 日本建設業連合会 2015-02
_[110] 웹사이트 市町村のための業務継続計画作成ガイド https://www.bousai.g[...] 内閣府（防災担当） 2015-05
_[111] 서적 Management Information Systems 12/E: Managing the Digital Firm Pearson Education Asia