(2)リスク分析

(2)リスク分析
ビジネスインパクト分析の過程において、並行的に組織に存在するリスクの洗出しと、そのリスクを低減させるための方策を検討するリスク分析・評価も実施する。

リスク分析・評価では、組織における重要な業務(基幹業務)、プロセス、関連するリソースを対象に関係するリスクを洗い出すことから始まる。

洗い出されたリスクの脅威と発生可能性に関して、統計データ、新聞の記事、過去のトラブル報告書など利用可能なデータをできる限り収集し、それらのデータを参考にして、BCP の発動にいたる可能性のある事態(リスク)を関係者で検討する必要がある。

これにより、組織の事業継続に関わる重要な事態(シナリオ)が明らかになる。

(3)発動基準の明確化

ビジネスインパクト分析において、事業・業務への影響度と目標復旧時間を明らかにした後、組織としての対応レベルに従った発動基準を定めることが必要である。

地震などのリスクについては、発動基準を自動立上げとすることも有り得る。
これにより、組織として対応するレベルに応じた対応手順を策定することが可能になる。
また、各組織は、目標復旧時間を達成するために、必要なリソースを準備することも重要である。ここでのリソースには、要員のほかに、バックアップデータの確保や通信手段の確保なども含まれる。

(4)BCP 策定
ビジネスインパクト分析終了後、その結果に応じたBCP を策定する。

組織として合意の取れた目標復旧時間を達成するために必要な投資額の予算化を行うことも、ここでの重要な作業である。全社に関わる基本対応手順と部署毎に異なる対応が必要な個別計画があるので、相互の依存関係を明確にしたり、うまく分割したりすることで、重複を避け効率化することが重要である。

なお、情報システムの復旧に当たっては、複数の選択肢があり、一般的には次のような対策が考えられる。

<情報システム・データの維持・復旧のための方法>

○ホットスタンバイ、ホットサイト(同等の機器やシステムを準備し、同じ動作を行わすもの)
○ウォームサイト(同等の機器を準備しておくこと)
○コールドサイト(機器のスペースを予め準備しておくこと)
○内部分散システムおよびネットワーク
○相互援助協定(災害時における要員や機器等のリソース共有)
○上記の組み合わせ


posted by MAXAVA at 08:00 |     −2.フレームワーク | 更新情報をチェックする
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。