Embed Size (px)
Citation preview
Business Continuity Plan Check Guide
「使えるBCP」の策定・運用ポイント
現場力を高める!
─はじめに─
1
BCPを策定し運用を行っている企業・組織の方々、これからBCPを策定し運用しようと思われている方々、それぞれがお悩みや不安・課題を抱えて活動しているのではないでしょうか。
悩みや課題をそのままにして、とりあえず形作られたBCPは、使えないハリボテになる可能性があります。BCPは「事業を継続する」という組織の も大切な計画書となるべきものであり、「使えないハリボテ」では困ります。
本小冊子「「使えるBCP」の策定・運用ポイント」では、我々BCPチームが、お客様のBCP策定や運用支援を通して数多く直面した悩み、課題となった事項を、ほんの一部ですが、事例をもとに紹介しています。
自社のBCP策定・運用に置き換えて、「使えるBCP」とするための参考としていただければ幸いです。
© NEC Solution Innovators, Ltd.
2
(事業継続計画)
「使えるBCP」の策定・運用ポイント
BCP策定は何のため? 3
BCP策定で困った!(その1) 4
BCP策定で困った!(その2) 5
BCP運用は何のため? 6
BCP運用で困った! (その1) 7
BCP運用で困った! (その2) 8
「使えるBCP」にしていくために 9
情報セキュリティコンサルティングサービス 10
BCPコンサルティングサービス 11
© NEC Solution Innovators, Ltd.
「使えるBCP」の策定・運用ポイント
3
BCP策定は何のため?BCP策定は何のため?
「取引要件にBCPが含まれているから策定しないといけない」
「世の中の多くの企業でBCPを作っているらしい。自分たちもやら
なければ」
「上司からBCPを策定しろといわれてしまった」
など、BCPに関して深く理解できないまま「とりあえず策定」を行っ
ている企業も多いのではないでしょうか?
BCPとは「災害時に特定された重要業務が中断しないこと、また
万一事業活動が中断した場合に目標復旧時間内に重要な機能
を再開させ、業務中断に伴う顧客取引の競合他社への流出、
マーケットシェアの低下、企業評価の低下などから企業を守るた
めの経営戦略」(内閣府)と定義されています。
つまり、重要業務の中断は、企業の存続に影響を及ぼします。
BCPは経営戦略であるということを意識し、「言われているから策
定する」ではなく「自分たちのために策定する」という自発的な活
動にすることが大切です。
© NEC Solution Innovators, Ltd.
実際にBCP策定を進める中で悩まれることが多い事例を紹介し
ます。
一つ目は、BCP策定のきもといえる「復旧優先業務」が決められ
ないという課題です。
優先業務について組織内の各部門にヒアリングをしても、自分た
ちの部門が 優先という回答がくるだけで、話が進みません。
組織のBCPを策定するには、組織全体を見たうえで優先業務を
決定する必要があります。各部門にヒアリングをするのではなく、
組織の経営権を持っている役員などの経営層を交えて優先業務の
選定を行うとよいでしょう。
復旧優先業務が決められない!困った!
「使えるBCP」の策定・運用ポイント
4© NEC Solution Innovators, Ltd.
BCP策定で困った!(その1)~優先業務~
考え方BCPを経営戦略と位置づけ、経営層を交えて検討を行う
事業継続のために必要なものとして、人、システム、資産、場所
等が挙げられます。緊急時にこれらのリソースが使えなくなった場
合を想定し、代替要員、代替資産、代替拠点等を準備するのです
が、「代替拠点に要員を移動させて業務継続を行う」という部分の
行動手順は考えられているでしょうか?
実際に代替拠点に「誰が」「どうやって」「いつまでに」行くのかを
整理してみましょう。キーマンが代替拠点まで移動するのか、代替
拠点の別の要員が作業するのかなど、事業継続の観点から、組織
の現状を考慮し、迅速に対応できる行動手順にすることが求めら
れます。
5© NEC Solution Innovators, Ltd.
BCP策定で困った!(その2)~リソースの考え方~
「使えるBCP」の策定・運用ポイント
本当に代替拠点で復旧できるのか?困った!
考え方組織の「迅速な事業継続」に見合う対策を考えることが大事
6
BCP運用は何のため?BCP運用は何のため?
BCPは策定して終わりではありません。むしろ策定後の活動が
非常に重要です。策定したBCPは非常時の行動手順を記載した
ものですが、その行動を組織内に浸透・定着させなければ「絵に
描いた餅」となります。また、平常時から非常時を意識して準備を
しておかなければなりません。
BCP活動に終わりはありません。常に「一歩先」を考えながら改
善を繰り返すことによって「使えるBCP」になるのです。
© NEC Solution Innovators, Ltd.
「使えるBCP」の策定・運用ポイント
Plan(計画・方針決定)
Do(策定/定着化)
Check(教育・訓練)
Act(見直し・改善)
PDCAサイクルによるBCPの運用が必須
BCPを運用する中で見えてきた課題としては、被害想定の変化に
よる「業務の代替策の検討」があります。
ある業務では、システムや建物は損壊しないという前提のもと
BCPを策定したが、被害想定の見直しにより、システムや建物が損
壊するケースが判明したため、業務を継続できなくなる可能性がで
てくる、ということがあります。
BCPの策定時には見えなかったものが見えてくる。それはBCPの
運用や見直しを行わなければわからないものです。今回の場合で
は、その業務の継続する必要性を見直し、「業務を外部事業者に
依頼する」や「システムを別の建物に移設する」等の対策を再検討
しなければいけません。
常に 新の情報を取り入れてBCPを見直すことが必要なのです。
7© NEC Solution Innovators, Ltd.
BCP運用で困った!(その1)~組織内外の変化に伴う見直し~
「使えるBCP」の策定・運用ポイント
見直してみると、策定したBCPでは現在の被害想定に対応できないようだ!
困った!
考え方組織内外の変化に応じて、定期的に現状分析と対策見直しを行うことが大切
BCPを策定し運用を続けていても、組織の人事異動によりBCPの
運用担当者が変わることで、BCPの運用が止まってしまうという話
をよく耳にします。どれだけしっかりと運用していても完全に運用が
停止してしまうこともあり得る、非常に注意すべき問題です。
BCPは組織の存続にかかわるものとなるため、運用担当者の変
更時の引継ぎは確実に行うことが求められます。また、BCPに関す
る教育や訓練に参加した経験があり、スキルを持った要員を配置
することも有効です。平常時からBCPのみを意識するのではなく、
その運用であるBCM(事業継続マネジメント)についても意識して
活動するとよいでしょう。
BCPはひとりで行うものではないのです。
8© NEC Solution Innovators, Ltd.
BCP運用で困った!(その2)~運用担当者~
「使えるBCP」の策定・運用ポイント
担当者が異動するとBCP運用ができなくなってしまう!
困った!
考え方BCPスキルを持った要員を割り当てる等、平常時からBCMを意識した活動を行うことが理想
「使えるBCP」にしていくために「使えるBCP」にしていくために
本小冊子では、BCP策定と運用における課題について、実際の事
例を中心に紹介しました。ただし、紹介した課題は全体のほんの一
部に過ぎません。
実際にBCPを策定し運用する中で、組織によって独自の課題が見
えてくると思います。課題が出るということは「現在のBCPが使えな
いものであった」ということの証明でもありますが、逆に「使えるBCP
への第一歩」であるとも考えられます。
課題が出てきたことをポジティブにとらえ、組織の、従業員の、そ
して本人の将来を守るための「使えるBCP」に近づけていくことが大
切なのです。
9© NEC Solution Innovators, Ltd.
「使えるBCP」の策定・運用ポイント
情報セキュリティ監査及び診断から、セキュリティポリシー策定と計画の立案(セキュリ
ティ対策計画策定)、さらには定着化のための教育・訓練に至るまで、一貫したコンサ
ルティングサービスをご用意しています。
下記は主なサービスメニューです。
コンサルティングサービスにより立案した対策を実現するためのIT実装・設計・構築等
の支援まで一貫したソリューション提供も可能です。
10
NECソリューションイノベータの情報セキュリティコンサルティングサービス
非常時における情報セキュ
リティ対策サービス
BCPと情報セキュリティを考慮し、非常時のセキュリティの考え方(ポリ
シー)の策定を支援します。
マネジメント
サービス
お客様が保有する資産への様々なセキュリティの脅威に対して、組織共通に適切かつ有効な対策を施すための方針である情報セキュリティポリシーの策定や、管理策の検討から導入計画策定までの支援サービスを提供しています。
・情報セキュリティポリシー策定サービス
・情報セキュリティ導入計画策定支援サービス
・情報セキュリティ監査実施サービス
・改訂版ISO/IEC27001による情報セキュリティ見直しサービス
脆弱性診断
サービス
Webアプリケーションの脆弱性診断や脆弱性への対応を支援するサー
ビスを網羅的に提供しています。
・Webアプリ脆弱性診断サービス
・インフラ脆弱性診断サービス
・セキュリティ基準診断サービス
認証取得支援
サービス
情報セキュリティマネジメントの確立に向けた下記の認証取得や、各
認証を指針としたセキュリティレベルの確立を支援します。
・ISMS認証取得支援サービス
・プライバシーマーク認証取得支援サービス
・ISO/IEC15408認証取得支援サービス
© NEC Solution Innovators, Ltd.
ビジネス影響度分析(BIA)から、事業継続方針と計画の立案(BCP策定)、さらには定
着化のための教育・訓練に至るまで、一貫したコンサルティングサービスをご用意して
います。
下記は主なサービスメニューです。
コンサルティングサービスにより立案した対策を実現するためのIT実装・設計・構築等
の支援まで一貫したソリューション提供も可能です。
企画サービス お客様の事業や組織構造を踏まえたプロジェクト企画、社内における
展開プランの立案等を支援します。
ビジネス影響度分析
(BIA)支援サービス
お客様の事業や組織構造を踏まえたプロジェクト企画、社内における
展開プランの立案等を支援します。
BCP策定支援サービス 事業継続の為の戦略(対策)と行動計画の作成を支援します。
(地震災害編、新型インフルエンザ編のリスク別)
地震災害発生時においても、重要業務の継続・復旧目標を実現する
ための初動・復旧計画の策定を支援します。
重要業務の継続と社会的責任を踏まえた計画的な業務の縮退・停止
の戦略や基準、対応行動計画の策定を支援します。
BCP訓練支援サービス BCPの妥当性検証、理解度向上の為に、シナリオベースでの訓練を
実施し、課題と対応方向性の整理を支援します。
地震災害編
新型インフルエンザ編
原子力事故対応編
NECソリューションイノベータのBCP(事業継続計画)
コンサルティングサービス
© NEC Solution Innovators, Ltd. 11
本冊子についてのお問い合わせは下記まで
NECソリューションイノベータ
BCPコンサルティングサービス窓口
〒211-8666 川崎市中原区下沼部1753 NEC玉川ルネッサンスシティ S棟26階
E-mail : [email protected]
●本紙に掲載された社名、商品名は各社の商標または登録商標です。
20150626
(お願い)
より良い資料をご提供するため、本資料につきまして皆様のご意見・ご感想をお聞かせください。
https://www.nec-solutioninnovators.co.jp/sl/bcp/download27_thanks3.html
BCP・リスク対策コンサルティングサービスご紹介ページ
http://www.nec-solutioninnovators.co.jp/sl/bcp/
