<本章の位置付け>

<本章の位置付け> 本章では、BCM 構築の一般的な流れについて、ステップ・バイ・ステップで説明し、BCP 策定プロジェクトの開始に当たって考慮すべき事項に言及する。

2.1. BCP 策定に当たっての考慮事項 ○ 対象事業・業務は原則全てであるが、重要度・緊急度に応じて優先度付けが必要な場合もある。
○ リスク分析は網羅的に行う必要があるが、これに時間をかけ過ぎてはいけない。なぜなら、事業継続を脅かすリスクは常に変化しているので、検討に時間をかけている間に対策が陳腐化してしまう危険があるからである。
○ BCP 発動時においては、行政の目的との整合性が求められる場合もあるので、遵守すべき法令のチェックが必要である。

(1)対象範囲 BCP は、組織において事故や災害などが発生した場合に、「いかに事業を継続させるか」あるいは「いかに事業を目標として設定した時間(目標復旧時間)内に再開させるか」について、様々な観点から対策を講じることが目的であるので、
対象範囲は原則として、全ての事業・業務、施設、人員になる。

しかしながら、組織によっては、対象範囲をまずは基幹事業・業務に特定したり、また、人員の安全確保や公平な取引の観点から事業・業務を停止することなど、優先度に応じて復旧させる施設(設備)を限定したりする場合も考えられるので、BCP においても、対象とする業務、対象施設、対象となる人員を定義することは必要である。 また、段階的にその範囲を拡大していくことも考慮されるべきである。

対象範囲   記述の例
 対象事業・業務   全ての事業・業務、基幹事業・業務など。
 対象施設  対象施設が被災した場合に、事業・業務の継続が困難となる可能性のある本社・他の拠点ならびにコンピュータセンターとする。
 対象となる人員 対象施設に常勤の正社員、契約社員、派遣社員ならびに協力会社社員等。
その他、対象施設に来訪している顧客等については、必要に応じて対象に準じた扱いをする。 
posted by MAXAVA at 12:00 |     −2.フレームワーク | 更新情報をチェックする

2.2. 組織体制について

(1)BCP 責任者(BC マネージャー)の任命
BCP 策定には、多数の組織や要員が関与するが、最終的にはBCP 責任者がその取りまとめについて責任を負う必要がある。

BCP 責任者はBC マネージャーとも呼ばれ、次のような役割を担う。また、組織として最終的な責任の所在を明確化するために、組織の経営陣の役割・責務を明記することが望まれる。

<BCP 責任者の役割>

○BCP プロジェクトの調整、組織管理
○経営陣からの支援の取り付け
○プロジェクト計画の策定と予算管理
○教育・テスト計画の策定と指導
○定期的なBCP の見直し

(2)全社的横断組織(タスクフォース)の設立

BCP では、事業継続に係る組織内の様々な問題を取り扱うことから、原則すべての部署等の関係者がこれに関わることが必要となる。
したがって、全社的横断組織(タスクフォース)を設けて対応することが有効である。

中心的な構成メンバーとしては、人事・給与、総務(総務・施設関連)、財務・調達、経営、広報、法務、営業・マーケティング、製造、情報システムなどの関係者を含むことが考えられる。

なお、BCP 策定には、経営陣の関与・承認は必須であるので、タスクフォースのメンバーの中に経営陣を含めることもできるが、上位組織として経営陣等で構成する組織(例えば、リスク管理委員会、BCP 委員会等)を設ける場合もある。これにより、組織全体による支援が約束されることとなる。

BCP プロジェクトの組織体制の例.jpg
posted by MAXAVA at 11:00 |     −2.フレームワーク | 更新情報をチェックする

2.3. ビジネスインパクト分析からBCP 策定までの流れ

ステップ1:ビジネスインパクト分析
   @事業継続、復旧の優先順位付け
   Aボトルネックの特定
   B目標復旧時間の設定
ステップ2:リスク分析
ステップ3:発動基準の明確化
ステップ4:BCP 策定

(1)ビジネスインパクト分析

ビジネスインパクト分析とリスク分析は、発動基準の明確化につながる一連のプロセスである。
ビジネスインパクト分析の目的は以下の通りである。
  @事業継続・復旧の優先順位付け
  Aボトルネックの特定
  B目標復旧時間(RTO)の設定

ビジネスインパクト分析では、組織における重要な事業・業務(基幹事業・業務)・プロセス、それに関連するリソースを特定し、事業継続に及ぼす影響の分析を行う。

この分析で、ボトルネックの特定やそのボトルネックの機能を如何に継続させていくかという方策を検討する。

分析の手法としては、社内外でのビジネスの流れや取引先などとの相互依存関係分析、リスク管理関係の資料の確認、関係者によるインタビューやアンケートによって行われるのが一般的である。
時間軸に沿った業務への影響を明らかにすることで、目標復旧時間(RTO)を設定し、事業継続の優先順位付けやBCP 関係者の行動指針を設定・明確化することができる。

ビジネスインパクト分析結果のイメージ.jpg
posted by MAXAVA at 10:00 |     −2.フレームワーク | 更新情報をチェックする

ビジネスインパクト分析-2

@事業継続・復旧の優先順位付け
特定した事業・業務やそれに関連するリソースのうち、その影響度を総合的に勘案した上で、事業継続及び早期の事業再開の観点から、それぞれに優先順位を付ける。

これに基づき資源配分や事業・業務停止時の再開順序を決定する。
企業にとってどの事業を優先するかは、正に経営判断であると言え、経営層による了承が必要である。

Aボトルネックの特定
通常、ひとつの事態から複数の結果(シナリオ)が考えられる存在することになるが、企業にとって最悪のシナリオ事態から優先して検討することにより、他のシナリオを包含することが可能な場合もある。

リスクが発生する事態(原因)だけに目を奪われず、事業を継続する上でのボトルネック13になるリソースの喪失を想定するとよい。

B目標復旧時間の設定
目標復旧時間(RTO)とは事業・業務の中断が発生した場合に、事業に重大な影響を及ぼさないうちに事業活動を復旧・再開させるための目標時間である。

言い換えれば、どの程度まで中断が許容されるかの指標ともいえる。

目標復旧時間を設定することは、ビジネスインパクト分析における主な成果物である。

目標復旧時間は、図表4に例示するように、事業・業務と、それに関連するリソースを特定した上で、影響度を分析する。

加えて、顧客からの要請、社会的要請、さらには関係当局からの要請など影響度を総合的に勘案した上で、ビジネス部門側の役員の承認も得て組織として最終決定する必要がある。

また、IT 部門においては、データ・システムの喪失をどれだけ許容できるかを示す目標復旧ポイント(RPO;Recovery Point Objective)を設定し、これに応じたバックアップシステムを構築することが重要になる。
このように、BCP のビジネスインパクト分析においては、時間枠で考えることが非常に重要である。

目標復旧時間と目標復旧ポイントの概念.jpg
posted by MAXAVA at 09:00 |     −2.フレームワーク | 更新情報をチェックする

(2)リスク分析

(2)リスク分析
ビジネスインパクト分析の過程において、並行的に組織に存在するリスクの洗出しと、そのリスクを低減させるための方策を検討するリスク分析・評価も実施する。

リスク分析・評価では、組織における重要な業務(基幹業務)、プロセス、関連するリソースを対象に関係するリスクを洗い出すことから始まる。

洗い出されたリスクの脅威と発生可能性に関して、統計データ、新聞の記事、過去のトラブル報告書など利用可能なデータをできる限り収集し、それらのデータを参考にして、BCP の発動にいたる可能性のある事態(リスク)を関係者で検討する必要がある。

これにより、組織の事業継続に関わる重要な事態(シナリオ)が明らかになる。

(3)発動基準の明確化

ビジネスインパクト分析において、事業・業務への影響度と目標復旧時間を明らかにした後、組織としての対応レベルに従った発動基準を定めることが必要である。

地震などのリスクについては、発動基準を自動立上げとすることも有り得る。
これにより、組織として対応するレベルに応じた対応手順を策定することが可能になる。
また、各組織は、目標復旧時間を達成するために、必要なリソースを準備することも重要である。ここでのリソースには、要員のほかに、バックアップデータの確保や通信手段の確保なども含まれる。

(4)BCP 策定
ビジネスインパクト分析終了後、その結果に応じたBCP を策定する。

組織として合意の取れた目標復旧時間を達成するために必要な投資額の予算化を行うことも、ここでの重要な作業である。全社に関わる基本対応手順と部署毎に異なる対応が必要な個別計画があるので、相互の依存関係を明確にしたり、うまく分割したりすることで、重複を避け効率化することが重要である。

なお、情報システムの復旧に当たっては、複数の選択肢があり、一般的には次のような対策が考えられる。

<情報システム・データの維持・復旧のための方法>

○ホットスタンバイ、ホットサイト(同等の機器やシステムを準備し、同じ動作を行わすもの)
○ウォームサイト(同等の機器を準備しておくこと)
○コールドサイト(機器のスペースを予め準備しておくこと)
○内部分散システムおよびネットワーク
○相互援助協定(災害時における要員や機器等のリソース共有)
○上記の組み合わせ
posted by MAXAVA at 08:00 |     −2.フレームワーク | 更新情報をチェックする

2.4. BCP の導入と教育・訓練

(1)導入作業の概要
不測の事態において、BCP を有効に機能させるためには、組織の構成メンバーにBCP を周知徹底し、確実に実行できるようにしておく必要がある。

(2)年間計画
@教育・訓練
教育・訓練の計画は、BCP 責任者の指導のもとに行い、組織全体および各部署にて行う。
教育・訓練の主催者は年間の「教育・訓練計画書」を作成し、実施状況は「教育・訓練実施記録」として保存する必要がある

<教育・訓練の実施方法>
 教育・訓練受講対象者 実施時期・回数   実施の必要度合い
 新入社員  採用時  必ず実施
 対策本部メンバー  少なくとも一年に1 回  必ず実施
 上記以外のメンバー  少なくとも一年に1 回  必要に応じて実施


Aテスト
テストは、BCP の有効性を検証するために必要なものであり、実際に対応手順を経験することで対応力の強化にもつながる。
しかしながら、BCP のテストはそれ自体リスクを伴うものであるため、実際には、机上テストと実践テストを組み合わせて行うのが一般的である。

<BCP のテスト検証項目>
検証項目  種 別   実施方法
 体制の確立  BCP のテストとして実施  机上(文書レビュー)
 緊急連絡網・安否確認  BCP のテストとして実施  実践
 消防・避難訓練  防災訓練として実施  実践
 システム障害訓練  BCP のテストとして実施
個別システムの障害訓練として実施
 実践・机上
 BCP 総合訓練  関係部署を対象とした総合訓練  実践


B結果の記録、評価
教育・訓練の結果は、「教育・訓練実施記録」として、また、テストの結果は、「テスト結果報告書」として、記録し保存する。
これらはBCP 導入の状況を知る重要な指標となる。
「教育・訓練実施記録」は、BCP の周知徹底の浸透度を調査するために、
また、「テスト結果報告書」は、テストの成功・失敗に関わらずBCP の見直しの必要性を検討するために重要なものである。

C経営陣への結果報告
教育・テストの結果もまた、経営陣への報告が必要である。
BCP は時々の事業環境に適応させ、常に見直しをする必要があるため、教育・テストから得られた結果に基づいて、改善が必要な事項があれば、経営陣の指示に従って、見直しを行う必要がある。
posted by MAXAVA at 23:30 |     −2.フレームワーク | 更新情報をチェックする

2.5. BCP の維持・管理

1)BCP の管理方法と配付
BCP を関係者に周知するための、BCP の配付や説明会を行う。

配付されたBCP は、最新版のものを不測事態発生時に直ちに取り出せるように保管しなければならない。
また、BCP の発動時に重要な役割を担当する者については、自宅保管者として、最新版のコピーを自宅にも保管しておく必要がある。

(2)見直し
BCP は、情報システムの変更、新たな脅威等を踏まえ、見直しを適切に行うことが必要である。
見直しの結果、BCP の見直しが必要な場合には変更を行わなければならない

<BCP 見直しの契機の例>
○テスト結果によるBCP 自体の見直し
○定期的な見直し
○BCP の前提条件の変更による見直し
○人事異動や組織の大幅な変更による見直し
○システム構成の大幅な変更による見直し
○新たな脅威の発生(リスク環境の変化)による見直し
○監査の指摘事項による見直し
○準拠すべき法令等の改正による見直し

(3)BCP の監査

BCP は時々の事業環境に適応させ、常に見直しをする必要があるため、必要な変更が適切に行われている必要がある。
このために、BCP の監査を適切に実施することが重要である。

<BCP の適切な維持・管理のための確認事項例>

○BCP の最新版が定められた場所に保管されているか
○BCP のテスト結果に沿って、見直しが行われているか
○緊急連絡網を含む各種リストが最新版に更新されているか
○BCP において想定されている脅威等が評価され、その結果で見直しがされているか
○経営陣の承認が得られているか



posted by MAXAVA at 23:00 |     −2.フレームワーク | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。