2024년 7월 4일
ISO 22301 (BCMS)
1. ISO 22301 (BCMS)의 개요 및 관련 용어
- BCMS(Business Continuity Management Systems): 업무 연속성 관리 시스템
(1) ISO 22301 (BCMS)의 개요
| 개념 | 재해 등 업무수행이 불가능한 위험 발생 시 제한 시간 내 핵심 업무를 복구하기 위한 경영 활동의 업무 연속성 표준 |
|---|---|
| 목적 | 중단적(disruptive) 사고 발생 시 조직이 이에 대한 방어, 발생 가능성의 감축, 대비, 대응 및 복구를 통해 복원력이 있는 사회에 공헌하기 위함 |
| 범위 |  예방/대비부터 비상대응과 BCM 선언 이후 복구 및 업무 재개 완료 시점까지를 포함 |
(2) ISO 22301 (BCMS) 관련 용어
| 업무 연속성 (Business Continuity) | 중단사고 동안 사전 정의된 한도에서 허용되는 기간 내 제품과 서비스 공급을 지속할 수 있는 조직의 능력 |
|---|---|
| 업무 연속성 계획 (Business Continuity Plan) | 조직이 중단사고에 대응하고 제품과 서비스 공급을 연속성 목표와 일치하도록 재개, 복구 및 복원하도록 안내하는 문서화된 정보 |
| 업무 영향분석 (Business Impact Analysis) | 조직에 대한 중단사고 동안의 영향을 분석하는 프로세스 (영향분석 성과는 업무 연속성 요구사항을 기술하고 정당화) |
- 2000년 러시아 핵잠수함 쿠르스크호 침몰사건, 2001년 911테러 등 테러와 자연재해의 위험이 대두되며 국제표준화기구(ISO)에서 2012년 ISO 22301 국제표준 발간
- 국내에서는 ISO 22301 국제표준 기반 KS A ISO 22301(사회안전- 비즈니스연속성관리시스템-요구사항) 국가표준 제정
2. ISO 22301의 PDCA 모델 및 핵심 요소/주요 활동
(1) ISO 22301의 PDCA 모델 구성도
 |
(2) PDCA 모델의 핵심요소/주요활동 (KS A ISO 22301:2019 기준)
| 단계 | 핵심 요소 | 주체 | 주요 활동 |
|---|---|---|---|
| Plan (계획) | 4. 조직상황 | 조직 | 4.1 조직의 능력에 영향을 미치는 내외부 이슈 확인 4.2 BCMS 관련 이해관계자 및 관련 요구사항 확인 4.3 BCMS의 적용범위 확인결정 4.4 BCMS를 수립, 실행, 유지, 지속 개선 |
| 5. 리더십 | 최고 경영자 | 5.1 BCMS에 대한 리더십과 의지표명 5.2 업무 연속성 정책 수립 및 의지표명 5.3 BCMS 조직의 책임/권한 부여 및 의사소통 보장 | |
| 6. 기획 | 조직 | 6.1 리스크와 기회에 대해 확인 및 대처 6.2 업무 연속성 목표 수립 및 확인결정 6.3 업무 연속성 관리시스템 변경 기획 | |
| 7. 지원 | 조직, 개인 | 7.1 BCMS 관련 필요 자원 확인결정 및 제공 7.2 개인 역량 확인, 교육훈련, 역량 획득 조치 7.3 업무 연속성 정책, 효과성, 영향 인식 7.4 BCMS 관련 내외부 의사소통 사항 확인결정 7.5 BCMS를 문서화, 생성/갱신, 정보 통제 | |
| Do (실행/운용) | 8. 운용 | 조직 | 8.1 프로세스 기준 수립, 통제, 문서화 8.2 업무 영향분석과 리스크 평가 8.3 중단사고에 대한 전략과 해결책 식별,선택 8.4 중단사고 대응, 경보, 의사소통 계획 수립 8.5 업무 연속성 확보 위한 시험, 문서화와 평가 |
| Check (검토/관찰) | 9. 성과평가 | 조직, 최고 경영자 | 9.1 BCMS 표준/조직 요구사항 준수 여부 내부심사 9.2 심사 프로그램 계획, 실행, 문서화, 공정성 보장 9.3 조직의 BCMS 검토, 평가 및 피드백, 개선 |
| Act (조치/유지/개선) | 10. 개선 | 조직 | 10.1 BCMS 개선 기회 확인 및 조치, 문서화 10.2 정성/정량 측정 기반 BCMS 지속 개선 |
- ISO 22301 (BCMS) 표준은 PDCA 사이클을 기반으로 조직의 BCMS 효율성을 향상시키며, ISO 22313 (BCMS Guidance), ISO 22317 (BIA Guidance) 표준과 연계되고, ISO 27001, ISMS-P 등 인증 연계
3. ISO 22301 (BCMS) 관련 인증제도
| 구분 | 인증제도 | 통제 항목 |
|---|---|---|
| 사업연속성 관리의 정보보안 측면 | ISO 27001 | – 정보보안연속성 계획 – 정보보안연속성 구축 – 정보보안연속성 검증, 검토 및 평가 – 정보처리설비의 가용성 |
| NIST SP800-34 | – 정보시스템 연속성 보장 계획, 절차 (정보시스템, 데이터가 재해로 인한 기능 상실로부터 복구 가능하도록 기술적인 의견 포함) | |
| IT 재해복구 측면 | KISA ISMS-P | – IT 재해복구 체계 구축 – 영향분석에 따른 복구대책 수립 – 시험 및 유지관리 |
| 자동차 품질경영과 관련된 비상계획 측면 | IATF 16949 | – 아래 사고에 대한 비상 계획 (주요 장비 고장, 외부 공급 제품, 프로세스/서비스 중단, 자연 재해, 화재, 사이버 공격, 노동력 부족, 기반시설 붕괴 등) |
- ISO 22301 (BCMS) 표준은 ISO 27001, ISMS-P 인증과 연계하여 기업/기관의 재난관리 및 보안 수준이 보다 고도화되어 어떠한 상황에서도 사업의 연속성을 유지할 수 있도록 지원
[참고]
- 국가기술표준원, KS A ISO 22301:2019(2022 개정)
- 한국표준협회(KSA), ISO 22301
- Deloitte, 개정된 ISO22301 및 他인증제도 내 BCM의 역할
About The Author
