공공기관의 특성을 반영한 업무연속성관리체계 모델 제안

Proposal of Business Continuity Management System Model Reflecting Characteristics of Public Institutions

Article information

J. Korean Soc. Hazard Mitig. 2017;17(06):121-126
Publication date (electronic) : 2017 December 31
doi : https://doi.org/10.9798/KOSHAM.2017.17.6.121
손정석*, 정종수, 김도연***
* Member, 1 Associate Researcher, Department of Business Resilience, Chahoo Co. 2 Master Course, Department of Management Information Systems, Dongguk University
*** Member, Director, Department of Business Resilience, Chahoo Co
**Corresponding Author, Member, Professor, Department of Business Continuity Management, Soongsil University (Tel: +82-2-820-0596, Fax: +82-824-4381, E-mail: isobcm@ssu.ac.kr)
Received 2017 September 07; Revised 2017 September 12; Accepted 2017 September 15.

Abstract

기존의 업무연속성관리체계는 대부분 관련 국제표준인 ISO 22301의 요구사항에 기반하여 수립되었다. 국제표준의 특성 상 범용적으로 적용할 수 있다는 장점이 있지만, 적용 대상의 특성을 반영하기에는 한계가 있다. 본 연구에서는 ISO 22301의 요구사항을 재구성한 후 공공기관에 시범 적용하여 시사점을 도출하였으며, 이를 통해 재난 또는 사고로 인해 국내 공공기관의 업무가 중단될 경우에 대비한 업무연속성관리체계 모델을 제시하였다.

Trans Abstract

Most of the existing Business Continuity Management System (BCMS) was established based on the requirements of ISO 22301. While there are advantages to applying globally applicable characteristics of international standards, there is a limit to reflecting the characteristics of the applications. In this study, the requirements of ISO 22301 were reviewed, and a applied to the public sector for implication. In consequence, we purposed the BCMS model that preventing the interruption of the work of local public sectors due to disasters or accidents.

1. 서론

1.1 연구개요

취약점이 전체 구조의 강도를 결정짓는다는 ‘최소율의 법칙(Law of Minimum)’에 따라 한 순간의 위협으로 사회나 조직의 모든 부분이 무너질 수 있다. 현대 사회의 특성 상 개별 조직의 위기는 비단 해당 조직만이 아닌 관련된 이해관계자 모두의 위기로 확대될 수 있다. 특히 국민을 대상으로 서비스를 제공하는 공공기관의 경우 피해는 고스란히 국민에게 전가될 것이며, 심각할 경우 국가의 대규모 혼란을 초래할 우려가 있다.

2013년 발생한 철도파업으로 15일 가량 물류와 수송에 차질이 발생하면서 국민 불편은 물론 국가 운송체계에 큰 혼란을 초래하였으며, 2011년 강원지역에서 발생한 폭설로 교통이 두절되면서 한국가스공사 강원영동지사의 업무가 마비되어 가스시설 점검 및 인근 지역 가스 공급 업무 등에 차질이 발생하였다.

해외 주요 선진국들은 공공기관의 업무중단으로 인한 영향의 심각성을 인지하고 관련 분야에 대한 연구 및 표준체계 수립, 보급 등을 위해 정부 주도하에 발 빠르게 대응하고 있다. 영국의 Civil Contingency Act(Parliament of the United Kingdom, 2004), 미국의 Continuity of Operation Plan(Department of Homeland Security, 2012; Department of Homeland Security, 2013) 일본의 재해대책기본법상 업무계속계획 등이 대표적인 사례이다.

업무연속성관리체계1(이하 BCMS: Business Continuity Management System) 관련 국제 표준인 ISO 22301, ISO22313 등을 비롯하여 ISO 22317, ISO 22318 등 관련 표준 규격들을 제정하면서 국제표준화기구 ISO의 활동도 활발하게 진행 중에 있다. ISO 22301, ISO 22313 등의 표준 규격들은 조직의 성격 및 규모에 관계없이 적용할 수 있기 때문에 공공기관 또한 적용범위에 포함할 수 있으며, 국내 일부 공공기관들이 ISO 22301 인증을 취득한 사례가 있다(ISO 22301:2012). 하지만 범용적인 성격의 국제표준 특성 상 공공기관의 특성을 반영한 세부적인 절차 및 방법론 제시에는 한계가 있다.

국내에는 이와 유사한 법제도로 재해경감을 위한 기업의 자율활동 지원에 관한 법률이 2007년 제정되었으며, 이에 따라 기업재난관리표준 및 기업재해경감활동 수립기준 등이 제정되었으나, 적용대상이 기업이라는 한계가 있으며 아직까지 제도적으로 활성화는 미미한 단계이다(Ministry of the Interior and Safety, 2014). 2017년 1월 개정된 재난 및 안전관리기본법에서는 제25조의2(재난관리책임기관의 장의 재난예방조치 등)에서는 재난관리책임기관을 대상으로 기능연속성계획을 수립하도록 하고 있지만 포함되어야 할 사항 및 절차 등에 대한 수립기준이 아직까지 연구 중에 있다. 또한 동법 제26조의 2(국가기반시설의 관리 등)에 따라 수립하도록 되어 있는 국가기반체계보호계획의 경우 수립대상이 국가기반시설로 제한되어 있고, 연속성의 관점보다는 예방 및 보호에 중점을 둔 계획이라는 한계가 있다. 이렇듯 국내에도 연속성 관련 유사한 정책 및 제도가 존재하지만 아직까지 공공기관에 적합한 연속성 관점의 정책 및 제도, 관련 연구 등은 미흡한 실정이다.

따라서 본 연구는 BCMS를 전력분야 공공기관인 ‘S’ 사에 시범 적용하여 공공기관이 BCMS 구축 시 반영해야 할 주요 요구사항을 도출하고 이를 통해 공공기관에 적합한 BCMS 모델을 제시하는데 목적이 있다.

1.2 연구방법

본 연구에서는 ISO 22301의 프레임워크를 기반으로 주요 요구사항을 분석하여 공공기관의 BCMS 구축에 필요한 기본적인 요구사항을 도출하였다. 도출된 요구사항들은 공공기관에 적용하여 해당 공공기관이 업무연속성체계 구축 시 고려해야 할 시사점을 도출하였다. 최종적으로는 공공기관에 특성을 반영한 BCMS 모델을 제시하였다.

2. 이론적 고찰

2.1 업무연속성관리체계의 이해

업무연속성관리체계는 조직의 중요한 업무가 갑작스런 재해, 재난 등의 사태로 인해 중단될 경우 빠른 시간 내 복구가 가능토록 전략과 계획을 수립하고 이행하는 총체적 활동을 의미한다.

ISO 22301에서는 업무연속성에 대해 좀 더 세분화하여 다음과 같이 정의하고 있다.

  • ① BC(Business Continuity): 중단 사고 발생 이후 조직이 수용 가능한 사전 정의된 수준에서 제품 및 서비스를 지속적으로 제공할 수 있는 조직의 역량

  • ② BCP(Business Continuity Plan): 중단 사고 발생 이후 사전 정의된 수준으로 운영하기 위한 대응, 복구, 재개, 복원활동 등의 문서화된 절차

  • ③ BCM(Business Continuity Management): 중단 사고 발생 이후 사전 정의된 수준에서 제품 및 서비스를 지속적으로 제공함으로서 조직의 평판 및 이해관계자를 보호하기 위한 전체적인 관리 프로세스

  • ≣ BCMS(Business Continuity Management System): 조직의 업무연속성 역량의 구축, 실행, 운영, 모니터링, 유지관리 및 개선 활동을 위한 정책, 인적자원, 물적 자원, 절차, 계획 등을 포함하는 조직의 전반적인 관리 시스템의 일부

업무연속성에 대한 관심은 미국 9/11 테러 당시, 본사가 소재한 세계무역센터가 붕괴되었음에도 다음날 정상적으로 영업을 개시한 모건스텐리의 모범사례를 통해 주목 받기 시작했으며, 이 후 금융, IT 등 민간분야 기업들을 중심으로 활발하게 도입되는 추세이다. 국내에서는 금융권을 중심으로 먼저 도입되었으며, 2010년을 전후하여 화재, 가스누출, 폭발 등의 대형 사고가 발생하거나 또는 가능성이 높은 분야의 대기업들이 외국 고객의 공급망 관리체계 차원의 요구로 도입하였다. 업무연속성과 유사한 개념인 기능연속성계획(COOP: Continuity of Operation Plan)은 국가 및 정부기관, 공공기관 등의 핵심기능에 대한 연속성을 확보하기 위한 계획으로 미국을 중심으로 발전하였다. 기능연속성계획은 국가의 핵심기능(NEF: National Essential Functions)과 이를 지원하는 주요임무핵심기능(PMEF: Primary Mission Essential Functions), 임무핵심기능(MEF: Mission Essential Functions)을 중심으로 각 기능들의 연속성을 확보하기 위한 자원, 대체업무시설, 커뮤니케이션 방안 등을 기술하고 있다. 기능연속성계획은 국가의 핵심기능을 중심으로 각 기관들의 핵심 기능들이 수직적으로 연결된 Top-Down 구조를 띄고 있어, 단일 기관을 대상으로 수립하기에는 한계가 있다.

2.2 선행연구

관련 선행연구로 ‘공공기관 COOP(기능연속성계획) 국내 도입 방안 연구’ Trimaran(2013)에서는 COOP 관점에서 국내 기능연속성 제도 도입을 위한 국내외 사례조사 및 타당성 연구 등이 이루어졌으며, ‘연속성관리 구축 프레임워크 모색에 관한 연구’ Ko et al. (2016) 에서는 연속성관리의 개념을 응용하여 시설관리 분야의 특성을 반영한 프레임워크를 제시하고 있다. 또한 ‘지진 및 지진해일 대비 중앙행정기관 업무연속성관리’ 프레임워크 개발 Yun et al. (2015) 에서는 지진 및 지진해일이라는 특정 재난을 가정하여 중앙행정기관의 특성을 반영한 업무연속성관리 프레임워크를 제시하고 있다. 관련 선행연구들을 통해 연속성의 개념 및 프레임워크 등에 대한 연구는 진행되었지만, 기능연속성 관점의 연구이거나 특정 재난유형에 대한 중앙행정기관 대상의 연구이므로 본 연구의 목적과는 차이점이 있다.

3. 공공기관의 업무연속성관리체계 모델

3.1 ISO 22301의 프레임워크 상의 요구사항 도출

ISO 22301은 BCMS 구축을 위한 범용적인 표준으로 PDCA 모델에 기초하고 있으며, PDCA 각 단계별로 수행해야 할 활동들을 제시하고 있다.

Plan 단계에서는 조직의 이해관계자 및 내외부 환경 요소 등에 대한 분석과 BCMS의 적용범위, 리더십에 대한 내용을 포함하고 있다. Do 단계에서는 업무영향분석과 리스크 평가를 통한 연속성 전략 및 계획 수립, 훈련 등의 내용이 포함되어 있으며, Check 단계에서는 BCMS의 모니터링 및 내부심사, 경영진 검토 등을 통한 유효성 검증에 대한 내용을 기술하고 있다. 마지막으로 Act 단계에서는 Check 단계를 통해 도출된 이슈에 대한 개선 및 시정조치 등의 활동을 포함하고 있다.

공공기관에 효과적으로 업무연속성관리체계를 적용하기 위해서는 업무연속성관리체계 프레임워크 설정 및 프레임워크의 문서화가 반드시 필요하다. 이에 본 연구에서는 ISO22301 요구사항을 분석하여 문서화가 필요한 항목을 도출하고 비슷한 성격에 따라 그룹화 하여 다음과 같이 공공기관의 업무연속성관리체계를 정의하였다(Table 1, Fig. 1).

Explanation of PDCA Model

Fig. 1

PDCA Model Applied to BCMS Processes

3.2 현장적용을 통한 시사점 도출

시사점 도출에 앞서 연속성 관점에서의 공공기관의 적용범위를 정의할 필요가 있다. 공공기관이란 넓게 보면 국가, 또는 지방자치단체의 감독 하에 사회의 여러 사람들 및 단체들과 관계된 일을 처리하는 기관으로 관공서는 물론 공기업, 준정부 기관까지 포함하는 개념으로 쓰인다. 하지만 협의로서 공공기관의 범위는 정부의 투자⋅출자 또는 정부의 재정지원 등으로 설립⋅운영되는 기관으로서 ‘공공기관의 운영에 관한 법률’[제4조1항 각호]의 요건에 해당하여 기획재정부 장관이 지정한 기관을 가리킨다.2 본 연구에서의 공공기관의 범위는 협의의 개념으로 적용하여 기획재정부 장관이 지정한 316개 기관을 공공기관으로 정의하였다.

현장 시범적용을 위해 ‘A’ 발전사의 ‘B’ 사업본부를 선정하였다. 선정이유는 ‘A’ 발전사의 경우 ‘B’ 사업본부를 제외한 대부분의 사업소가 ISO 22301 인증을 취득하여, 기존의 BCMS 구축 내용과 본 연구를 통해 도출될 공공기관의 특성을 반영한 모델의 비교에 적합하기 때문에 선정하였다. Fig. 2의 문서를 기준으로 ‘B’ 사업본부에 적용한 시사점은 다음과 같다.

Fig. 2

Documents List Based on ISO22301

3.2.1 현황분석

현황분석 단계에서 도출된 시사점은 공공기관의 경우 현황분석 시 평상 시 수행(생산)하는 업무(서비스) 외에 비상시 수행하도록 법적요구를 받고 있는 임무를 분석 대상에 포함해야 한다는 점이다. ‘B’ 사업본부의 경우 에너지 분야 국가기반시설로써 ‘전기사업법’에 의해 송전용 전기설비를 갖추고 있는 기관에 대해 행정규칙으로 제정되어 있는 ‘전력계통 신뢰도 및 전기품질 유지기준’을 따르도록 법적으로 명시되어 있다. 이렇듯 공공기관의 특성상 보호해야하는 대상이 국가 사무와 관련된 기능으로 명확하고, 기능 중단에 따른 영향이 크기 때문에 위와 같이 법적으로 일정 수준이상의 업무(서비스)를 제공하도록 규정하고 있는 경우가 많이 있다. 따라서 공공성을 가지고 있는 공공기관의 특성을 반영한 현황분석을 위해 법적으로 요구하는 업무(서비스) 범위와 비상시 수행해야하는 업무에 대해 조사 및 분석이 필요하다.

3.2.2 업무영향분석

업무영향분석은 공공기관의 업무연속성관리체계 구축 프로세스의 기반이 되는 핵심 작업의 하나로, 조직의 재난대응 역량을 키우고 중단 없는 대국민 서비스 제공을 목적으로 기관의 임무와 직접적으로 연계된 핵심 업무 식별을 목적으 로 한다. 민간기업과의 중요한 차이점은 공공기관의 경우 중단 시 공공적 피해발생이 예상되는 업무 프로세스의 손실, 중단 등이 해당 조직 및 공공 환경(대국민, 상위 정부부처 및 하위기관)에 미치는 영향을 정량적⋅정성적으로 분석해야 한다. 공공기관의 재해발생으로 인한 핵심 업무 중단 시 정량적 평가는 일반적으로 대국민 서비스 중단에 따른 시간 흐름별 손실규모를 판단한다. 정성적 평가는 파급영향을 상/중/하 등 양적으로 평가하거나 발생 가능성 유무를 판단하는 방법 등을 사용할 수 있다.

3.2.3 위험평가

공공기관 위험평가 적용 시에는 1) 인근 지역에 피해가 집중되는 위험요소를 민간기업 위험평가 시 보다 강조할 필요가 있으며 2) 위험평가 결과 도출된 중점관리대상 위험요소 외에 상급기관에서 지정한 관리대상 위험요소에 대해서도 통제방안 및 시나리오 수립 관리할 것을 착안 사항으로 도출하였다.

3.2.4 연속성정책 수립

공공기관은 공공기관을 관리⋅감독하는 상급기관의 존재 목적과 활동 범위에 따라 설립근거가 마련되며, 조직의 운영 및 업무에 관한 기본적인 사항 등에 관하여 대부분 법령을 근거로 한다. 이에 공공기관이 소속해있는 상급기관의 특성과 공공기관이 수행하는 업무의 특성에 따라 다양한 법적 근거를 요구받기도 한다. 공공기관과 상급기관 간 업무 연계가 원활히 이루어지고, 업무중단 발생 시 신속히 협력하기 위해서는 공공기관의 업무 특성에 따라 적용되는 법적 요구사항 및 내부 지침 이외에도 상급기관에서 요구하는 정책 및 법적 준수사항(매뉴얼 등 포함) 또한 정책에 포함되어야 한다.

3.2.5 연속성전략 수립

업무연속성에 관한 조직구성전략 수립 시 평시의 경우, 최종 의사결정권자인 공공기관의 장이나 부서장 단위까지 조직을 구성하고 기관의 업무연속성관리체계 변경 등에 관하여 보고체계를 갖추지만 (필요시, 상위기관에 보고) 비상시에는 상위기관 및 유관기관, 협력업체와 밀접한 연관관계를 가지므로 조직의 구성 및 보고체계 확립 시 이들과의 관계를 명시하고 담당자 연락처, 보고사항 등에 대하여 전략에 포함시켜야 한다.

또한 민간기업의 경우 자체적인 위기(경보) 등급에 따라 재해선포 등이 이루어지지만 공공기관의 경우 상급기관은 소관 재난안전매뉴얼 등에 위험의 단계(위기경보 등)에 대하여 명시하고 있으며 이는 기관의 재해 상황판단 등에 공통으로 적용되는 결정적 기준이 된다. 따라서 공공기관의 재해선포 기준 수립 시에는 상급기관 등에서 지정하고 있는 위기 등급을 검토하고, 단계를 조정하여 기관 간 의사결정 및 대응수준이 원활히 연계될 수 있도록 한다,

3.2.6 연속성계획

공공기관 업무연속성계획 수립 관련 도출된 시사점은 다음과 같다. 첫 번째는 공공기관에서 확보하고 있는 위기대응매뉴얼(표준-실무-현장조치행동매뉴얼)을 함께 보완하고 중복을 최소화하여 연속성 계획을 수립해야 한다, 공공기관에서 확보하고 있는 매뉴얼에는 재난 및 안전관리 기본법 제 34조의 5에 따라 위기유형과 경보에 대한 설명, 위기관리 기본방향 설명 및 각 유형 별 위기시 정부의 위기관리 목표와 방향, 의사결정체계, 위기경보체계, 부처⋅기관의 책임과 역할 등을 규정하고 있으며, 연속성 계획 수립 시 유사한 항목에 대해서는 조정을 통해 중복을 피해야 한다. 두 번째는 업무연속성 관점의 중단된 핵심 업무의 재개뿐만 아니라, 지역사회 및 유관기관에 미치는 연쇄효과를 파악하고, 지역사회에서 요구하는 비상임무의 연속성 확보를 위한 업무연속성계획을 마련해야 한다는 점이다.

4. 공공기관의 특성을 반영한 BCMS 모델 제안

상기 기술한 시범적용 결과 도출된 내용을 기반으로 공공기관의 특성을 반영한 BCMS 모델은 다음과 같다(Fig. 3).

Fig. 3

Business Continuity Management System for Public Institution

연속성 관점에서 공공기관과 민간기업의 가장 큰 차이는 공공성에 있다. 민간기업의 경우, 업무의 복구수준을 설정함에 있어서 가장 큰 기준이 되는 것이 재무적인 피해수준이지만, 공공기관의 경우는 공공성이 그 기준이 된다. 같은 공공기관 일지라도 대국민 행정서비스, 공공인프라(전기, 수도, 가스, 도로 등) 등과 같이 기능 중단으로 인해 발생하는 공공측면의 피해가 크다면 업무복구에 대한 요구가 클 것이고, 연구기관처럼 해당 공공기관의 기능 중단으로 인해 발생하는 공공측면의 피해가 거의 없다면 업무복구에 대한 필요성이 없다고 볼 수 있는 것이다.

또 다른 특성은 수직적 이해관계이다. 민간기업의 경우 주로 비즈니스 파트너의 요구사항에 의해 업무연속성관리체계를 수립하는 경우가 많으며, 세계 시장에서는 기업을 평가하는 데 있어서 업무연속성관리 역량이 중요한 지표가 된다. 하지만 공공기관의 경우 공공서비스를 제공받는 국민이나 기업의 요구보다는 상급기관의 규정이나 지침에 의해 업무연속성관리체계 구축을 요구받고 있다. 유사한 예로 공공기관 중 국가기반시설로 지정된 기관은 재난 발생 시에도 최소한의 기능 유지를 목적으로 국가기반체계보호관리 계획을 작성하도록 법적으로 명시되어 있다.

5. 결론

본 연구에서는 국제표준에 기반한 업무연속성관리체계 프레임워크와 요구사항을 재구성하여 공공기관에 시범적용 하였으며, 이를 통해 공공기관이 BCMS구축 시 민간 기업에 비해 착안해야 할 시사점을 도출하였다. 그리고 최종적으로 공공기관에 특성을 반영한 BCMS 모델을 제시하였다. 기존에 업무연속성관리체계를 구축하고 ISO 22301 등의 관련 인증을 취득한 공공기관들의 경우 표준에서 요구하는 공통적인 요구사항을 만족하는 단계였다면, 본 연구를 통해 제시한 모델의 적용을 통해 공공기관에 좀 더 적합한 BCMS를 구축할 수 있을 것으로 기대된다. 다만, 연구방법론의 특성 상 시범적용을 통해 시사점을 도출해야 하는 한계로 인해 BCMS의 전체 범위 중 훈련 및 유지관리 부분은 제시한 BCMS 모델의 범위에서 제외되었다는 한계점이 있으며, 1개 기관에 시범적용 한 결과로 모든 공공기관의 특성을 반영하기에는 부족하다는 한계점이 존재한다. 향후 다양한 분야별 공공기관에 본 모델을 적용하여 실질적인 적합성을 검증하고자 한다.

감사의 글

본 연구는 정부(행정안전부)의 재원으로 자연재해저감기술개발사업단의 연구비지원(MPSS-자연-2014-76)에 의해 수행되었습니다.

References

Department of Homeland Security. 2012;Federal Continuity Directive 1
Department of Homeland Security. 2013;Federal Continuity Directive 2
ISO22301. 2012;Societal Security-Business Continuity Management Systems-Requirements
Ko J.C, Na S.J, Cheung C.S. 2016;A Study on Continuity Management Framework to Build. Journal of Korean Society of Disaster and Security 9(1):1–7. 10.21729/ksds.2016.9.1.1.
Ministry of the Interior and Safety. 2014. Guideline of Business Continuity Plan for Company
Parliament of the United Kingdom. 2004;Civil Contingencies Act
Trimaran Inc. 2013. Introduction of Continuity of Operation Plan for Public Institution National Emergency Management Agency (NEMA).
Yu J.H, Ha D.S. 2010. Dictionary of Public Administration Terms Saejeongbo Media Publishing Co.
Yun J.Y, Min K.Y, Jung D.H. 2015;Development of Government's Task Continuity Management Framework to Cope with Earthquake and Tsunami. 2015 Korean Society of Hazard Mitigation Conference :197.

Notes

1

기술표준원 KS A ISO 22301:2013에서는 “비즈니스연속성 관리시스템”으로 번역되어 있으나, 본 연구에서는 Business를 국내 공공기관에서 외래어를 사용하지 않기 때문에 공공기관에서 주로 사용하는 업무를 사용하였으며, 마찬가지로 시스템을 체계로 사용함.

2

Yu and Ha (2010) Dictionary of Public Administration Glossary

Article information Continued

Table 1

Explanation of PDCA Model

Step Classified minority Requirements Document Type
Plan Context of the organization Understanding of the organization and its context State Analysis
Understanding the needs and expectations of interested parties
Determining the scope of the business continuity management system
Leadership Establish a business continuity policy Policy
Assign organizational roles, responsibilities and authorities
Planning Business continuity objectives and plans
Support Determining resources needed for BCMS State Analysis
Determining the need for internal and external communications
Documented information
Do BIA (Business Impact Analysis) Establishing evaluation process for determining continuity and recovery priorities, objectives and targets. BIA
RA (Risk Assessment) Establishing process that systematically identifies, analyses, and evaluates the risk of disruptive incidents to the organization. RA
Business continuity strategy Determining the resource requirements to implement the selected strategies. Continuity Strategy
Establishing strategy for protection and mitigation
Establishing and implement business continuity procedures Establishing structure to respond to a disruptive incident Continuity Plan
Warning and communication Establishing procedures for warning and communication
Business continuity plans Establishing documented procedures for responding to a disruptive incident and continue or recover its activities
Exercising and testing To Conduct a exercising and testing and to review within the context of promoting continual improvement Exercise
Check Monitoring, measurement,analysis and evaluation Evaluating BCMS performance and the effectiveness of the BCMS. Maintenance
Internal audit To Conduct internal audits at planned intervals
Management review To review organization’s BCMS, at planned intervals by top management
Act Nonconformity and corrective action Identifying nonconformity and react to the nonconformity

Fig. 1

PDCA Model Applied to BCMS Processes

Fig. 2

Documents List Based on ISO22301

Fig. 3

Business Continuity Management System for Public Institution