大震災と事業継続管理 第4回「BCP策定の手順」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

大震災と事業継続管理 第4回「BCP策定の手順」

特集 特集

事故や災害に備える事業継続管理(BCM)が十数年前から議論され、国際標準化に向けた作業も進められています。日本でも都市圏の直下型地震の発生が懸念される中、ガイドラインが制定され、企業や行政機関において事業継続計画(BCP)を立案するところも増えてきたところです。

そんな中、未曾有の大地震である東日本大地震が発生しました。今回の地震は、関東から東北にかけた極めて広い地域で被災してしまったことが、想定外の状況だったと言えます。 今回のコラムでは、震災とBCMについて説明します。

●事業継続管理の概要-BCM、BCPとは

事業継続管理(BCM:Business Continuity Management)は、事故や災害などが発生した際に、「如何に事業を継続させるか」若しくは「如何に事業を目標として設定した時間内に再開させるか」について、組織の復旧力や対応力を構築するためのフレームワークです。

事業継続計画(BCP:Business Continuity Plan)は、そのための計画自体を指し、手順や情報を文書化したものです。BCMは、BCPの策定から運用、見直しまでのマネジメントシステム全体を指すもので、BCMのライフサイクルが効果的に運用管理され、改善し実行されるためにはPDCA(Plan Do Check Action)を実現するマネージメントが要求されます(図1)。

bcp02

●BCP策定の要点

BCP策定で最初に行うことは、自社の現行業務を理解し、事業継続に関して最優先すべき事業の重要要件を明確にすることです。次に、現行の業務プロセス、フローから、想定されるリスクや被害を検討していきます。この検討を元に、リスクの事業影響度分析(BIA:Business Impact Analysis)を行います。BIAは業務が中断した場合の影響を定量的、定性的に把握し、復旧目標を設定します。最後に目標を達成するための復旧戦略を立ててBCP(事業継続計画」を策定していくことになります。

●BCP策定の手順

(1)基本方針の決定とBCP作成チームの編成

まずは事業継続に係る基本方針を固め、その方針に沿ってチーム編成、プロジェクト計画等を立てていきます。その際、既存の社内規定や業務に関する規定類について関連規定事項を調査し、適用性や変更が必要なものにつて洗出し関連事項を整理しておきます。またBCPを整備していないことに対する法的責任を問われることもありますので、関係部局に対する報告義務や個人情報保護法も含めコンプライアンスへの留意が必要になってきます。

(2)プロジェクト計画の策定

効率的なBCP策定のために、BCPの策定対象を自社の重要な事業分野に絞り込むと同時に、対象とするグループや関連企業の特定を行います。またBCPは全体的な事業計画や技術計画との整合も求められ、プロジェクト管理の作業計画(例:管理方法、責務、スケジュール、費用等)を作成します。これらのプロジェクト計画は経営層による承認を得て、正式な計画として発効することになります。

(3)事業影響度分析(BIA)の実施

業務停止がビジネスに与える影響を考える事業影響度分析(BIA:Business Impact Analysis)を実施します。BIAは、リスクと被害状況の想定から、最も重要な事業分野に対して効果的な事業継続計画を策定するために実施されるものです。BIAでは、財務上の損失、競争上の優位性、信用の喪失など、機能停止による影響度を分析し、時間的要素がクリティカルな各事業の目標復旧時間(RTO:Recovery Time Objective)、目標復旧レベルなどを決定し経営者の承認を得ます。

(4)復旧戦略

リスクと被害の想定をふまえ、BIAで示された目標復旧時間(RTO)を達成する効果的な復旧対策を選定します。さらに必要となるリソース(人員、システム、通信施設、資金など)をまとめ、復旧作業の戦略を策定します。復旧戦略には、事業の復旧、施設の復旧、人員の復旧、通信の復旧、データの復旧などが含まれます。復旧対象は事業継続に必要かつ重要な関連会社や取引先も含み、取引先に対してBCPの策定を要請することも検討されます。

(5)BCP有効性チェック

策定したBCPについては、実行性の確認や見落としをチェックするテスト計画をたてます。テストには、予行演習、チェックリストテスト、机上シミュレーション、業務停止テストなどがあります。業務停止テストでは、実際の災害を引き起こす恐れもありますから、部分的に実施するなどの注意が必要です。さらに事業継続計画に対する意識向上と実行性の向上に向けた訓練を行います。

●BCPの実践

災害や事故などの緊急事態が発生すると、規定に従ってBCPを発動することになります。BCP発動後、代替手段等により最も緊急度の高い業務から再開していきます(重要業務の復旧)。緊急度の高い業務の再開後、さらに回復業務を拡大していくフェーズ(復旧範囲の拡大)に移行します。最後に代替設備・手段から平常運用へ切り替えるフェーズ(平常運用への切り替え)と進めていきます。

BCPの策定を含むBCMの実践により、実際に大規模な災害や事故が発生した場合においても、重要業務について復旧時間の目標を目指した業務の回復が期待できるようになり、その結果許容限界を超えた重大な事業中断を回避し(図2)、市場の信頼獲得や企業価値の向上にも繋がっていくことになります。

bcp03

セキュリティ対策コラム
http://security.intellilink.co.jp/article/

(林 誠一郎)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×