BCPを理解して災害復旧計画に取り組む
PDCAでBCPを管理
策定したBCPは、いかに企業に浸透させ戦略的に活用していくかという視点で管理していくことが必要である。そのためには、(1)事業継続計画(BCP)の立案(Plan)、(2)BCP導入(Do)、(3)効果検証(Check)、(4)継続的改善(Action)というプロセスをPDCAサイクルで維持管理していく。BCPをPDCAで管理していくことがBCMになる。BCPは経営層による基本方針に基づき検討・実施されるものであるため、効果検証、改善に関しては経営層による監査が必要であることは言うまでも無い(図2)。
図2:BCMの管理サイクル(クリックで拡大) |
事業継続、ITサービス継続、災害復旧の関係
事業継続の概要について簡単に述べてきたが、想定するリスクを地震に限定して事業継続計画策定に取り組んだとしても、対象となる業務やプロセスは膨大である。また、ほとんどの企業における活動はITサービスが健全に稼働することを前提して構築されている。そこで、事業継続管理の中からITサービスのマネジメントに関連する部分を抜き出し、災害・事故発生時の継続の計画・管理を情報システム部門が中心となって策定できる事業継続への取り組みを行うアプローチが推奨される。
これを“ITサービス継続”と呼び、事業継続計画の一部として位置づけている。ITサービスとは、『組織における業務の遂行に際して必要となるITおよびITに関連する体制の組み合わせによって提供される機能』を指し、具体的には、財務会計システム、生産管理システム、在庫管理システム、顧客管理システムなどの基幹システムに加え、電子メールシステム、入館システム、スケジューラー、部門等で作成・提供されている表計算等の基幹システムではないシステムが提供する機能も含まれる。
ITサービスを停止・中断させる可能性のあるリスクには、地震、火災、停電などの災害に加えて、ソフトウエアの障害、人的ミス、ネットワークの故障、コンピュータウイルス、DOS攻撃などIT関連の災害・事故などが含まれる。そこで、これらのリスクのうち、想定するリスクを災害とし、災害発生後、復旧を図る対象をコンピュータシステムだけに限定したものが、IT災害復旧計画(IT-DRP)である。
近年では、企業活動のITシステムへの依存度がますます増大していることから、災害復旧計画(DRP)とIT災害復旧計画(IT-DRP)が同義で使われている場合も多いが、本来、単にDRPとした場合には、復旧対象にコンピュータやコンピュータシステム以外も含まれる。
図3は事業継続計画、ITサービス継続、IT災害復旧計画の関係を示したものである。このように、IT災害復旧計画は、事業継続計画の一部として実施されるものであることが理解できるであろう。
図3:事業継続計画、ITサービス継続、IT災害復旧計画の関係 |