ITセキュリティ入門(IT初心者向け)-5:事業継続のために必要なこと
事業継続のために必要なこと
事業継続計画(BCP:Business Continuity Plan)とは、災害やシステム障害など予期せぬ事態が発生した場合でも、重要な業務の継続を可能にするためやシステムの復旧、再開をするために、事前に策定される行動計画のことです。
BCPとして対応すべきこととしては、まずは最低限の事業を継続するための暫定対応と、システムを早期に復旧して事業を再開するための恒久対応があります。
BCPを策定する場合は、業務が停止した場合の影響などを分析し、許容される最大停止時間などを決定するビジネスインパクト分析を行います。
また、停止したシステムを復旧するために、次のような目標値を設定します。
- 目標復旧時点:どの状態まで復旧させるのかを示す目標値
- 目標復旧時間:いつまでに復旧させるかを示す目標値
マイノート(これまでの私の体験・見聞から一言)
BCPを策定する場合は、まずは重要な業務の洗い出しを行います。すべての業務がいつ何時も停止することができないというわけではないはずですから、どうしても中断できない業務は何かを選択する必要があります。このときには、ある程度の割り切りをしないとあれもこれも必要だということになり、重要な業務をなかなか絞りきれないことになります。内部の関係者だけではなく、顧客や外部の関係者にも影響を与える業務は、BCPの対象から外すことはむずかしいと思いますが、より重要な業務がそのほかにあるのであれば、対象外にする勇気も必要だと思います。
また、今どきシステムを使用しない業務などないでしょうから、システムが停止した場合にその重要な業務にどのような影響を与えるかを分析します。そして、その業務をどのように継続するかを考えるわけですが、システムを使用しなくても手作業、マニュアル作業で業務を継続できるのであれば問題ありませんが、作業量や作業の複雑さを考慮すれば、とてもマニュアル作業ではできないという結論になることが多いと思います。そうなると、代わりにその業務の処理をするためのシステムが別途必要になるということになります。本当に止められない業務に使用しているシステムであれば、結局代替のシステムを用意しておくということになりますね。
