IT災害復旧計画の策定手順
事業継続計画とIT災害復旧計画との類似点と相違点
第1回に続いて、IT災害復旧計画の策定手順について解説していく。
IT災害復旧計画の策定も、事業継続計画の策定同様、(1)リスクシナリオ策定(2)ビジネス影響度分析(3)事業継続計画策定の3ステップで進めていく。
第1回でIT災害復旧計画は「1. 事業継続管理の中からITサービスのマネジメントに関連する部分を抜き出す」、「2. ITサービスを停止・中断させる可能性のあるリスクのうち想定するリスクを災害とする」、「3. 災害発生後、復旧を図る対象をコンピュータシステムだけに限定したものである」とした。
さらに付け加えると、「IT災害復旧計画は災害の発生を前提とした災害発生後の復旧計画(事後対策)を策定し、災害を未然に防ぐための予防計画(事前対策)はITサービス継続計画あるいは事業継続計画で策定する」という点がある。
事業継続計画およびITサービス継続計画はいずれも「継続」のための対策を検討するので、災害が発生した後の復旧対策だけではなく、災害の発生を未然に防ぐための対策や災害の拡散を防ぐ対策も必要である。例えば「ビル設備やマシンルームの耐震・免震工事」という対策は、地震などの影響でオフィスやマシンルーム倒壊による事業(業務)やITサービスの中断・停止を未然に防ぐための対策である。
一方、「データバックアップの取得」という対策は、人的ミスによって重要なデータを削除してしまった際、バックアップから削除データを復元することで業務の中断が長期化するのを未然に防ぐための事前対策である。また、災害によってITシステム自体が被害を受けた場合に、代替システムにデータをリストアし、業務を速やかに再開するための復旧対策にもなる。
このように、IT災害復旧計画は復旧のための計画であるが、リスクシナリオ策定とビジネス影響度分析は、ITサービスを対象としてできるだけ広範囲に行い、計画策定時に継続と復旧の違いを考慮して復旧に必要な対策を検討することが望ましい。
図1:事業継続計画、ITサービス継続、IT災害復旧計画の関係 |