ISO22301 (BCMS) 사외 안전 – 업무 연속성 관리 시스템
Societal security – Business Continuity Management Systems – Requirements
1. 일반사항
본 국제표준은 실효성 있는 업무 연속성 관리 체계(BCMS: Business Continuity Management System)을 수립하고 관리하는 요구사항을 규정한다.
- 업무 연속성 관리 체계 (이하 BCMS라 함)는 다음에 대한 중요성을 강조한다.
- 업무 연속성 관리 정책과 목표 수립에 대한 조직의 요구사항과 필요성의 이해
- 조직이 중단성 사고를 관리할 수 있는 총체적인 능력을 관리하는데 필요한 통제관리 및 대책의 시행 및 운영
- BCMS의 성과와 유효성에 대한 감시 및 검토
- 객관적 목표 측정에 기초한 지속적 개선
다른 관리 체계와 마찬가지로 BCMS는 다음과 같은 요소로 구성된다.
- 정책
- 명시적 책임이 부여된 조직
- 다음과 관련된 관리 프로세스
1) 정책
2) 계획수립
3) 이행 및 운영
4) 성과 측정
5) 관리자 검토
6) 개선
- 감사의 증거를 제공하는 문서
- 조직과 관련된 업무 연속성 관리 프로세스들
업무 연속성은 훨씬 회복력을 갖춘 사회에 공헌한다. 보다 넓은 커뮤니티와 어느 조직에 미치는 다른 조직의 환경의 영향으로 인해 다른 조직들이 복구 프로세스에 참여할 필요가 있을 수 있다.
2. PDCA 모델
이 국제표준은 조직의 BCMS의 유효성에 대한 계획수립, 수립, 이행, 운영, 감시, 검토, 유지관리 및 지속적 개선과 관련하여 PDCA (Plan-Do-Check-Act) 모델을 적용한다.
이것은 ISO 9001 (품질 관리 체계), ISO 14001 (환경 관리 체계), ISO/IEC 27001 (정보 보호 관리 체계), ISO/IEC 20000-1 (정보기술-서비스 관리) 및 ISO 28000 (공급 체인에 대한 보호 관리 체계 규정)과 같은 다른 관리 체계 표준과 어느 정도 부합성을 갖도록 함으로써, 연관성 있는 관리 체계와 일관성 있고 통합된 이행 및 운영을 지원한다.
그림1은 BCMS가 어떻게 이해관계자들과 연속성 관리 요구사항이 투입요소로 받아 들이는 지와 필요한 활동과 프로세스를 통해 그러한 요구사항들과 부합하는 연속성 결과물 (즉, 관리된 업무 연속성)을 만들어 내는지를 보여주고 있다.
그림1
그림 1 – BCMS에 적용된 PDCA 모델
Plan
(계획수립) |
업무 연속성에 대하여 조직의 전반적인 정책 및 목표와 정합성을 갖는 결과를 산출하기 위한 업무 연속성의 개선과 관련한 업무 연속성 정책, 목표, 통제관리, 프로세스 및 절차 수립 |
Do
(이행 및 운영) |
업무 연속성 정책, 통제관리, 프로세스 및 절차의 이행 및 운영 |
Check
(감시 및 검토) |
업무 연속성 정책과 목표에 성과 감시 및 검토, 검토를 위해 관리자에게 결과 보고, 그리고 시정 및 개선 활동의 결정 및 권한 부여 |
Act
(유지관리 및 개선) |
관리자 검토, BCMS 적용범위에 대한 재평가, 업무 연속성 정책 및 목표에 근거하여 시정조치를 통한 BCMS 유지관리 및 개선 |
|