IT災害復旧計画の策定手順
ステップ2:ビジネス影響度分析
ビジネス影響度分析は、復旧対象となるシステムごとにシステムの停止がビジネスに与える影響度を評価し、影響度の高い順に優先度をつけていく作業となる。
具体的には、目標復旧時点(RPO)、目標復旧時間(RTO)、目標復旧レベル(RLO)、最大許容停止時間(MTPD)を算定し、ビジネスへの影響度を評価する。ビジネス影響度の指標には対外的な影響(定性的な影響:社会的責任、評判など)と経済的な影響(定量的:損失金額など)がある。復旧計画の実装方法を検討する際には、コストバランスが重要なファクターとなるので、可能な限り定量的な値で影響度を指標するのが望ましい。また、定性的な影響であっても可能な限り定量的な影響に置き換えて評価する。
例えば、「業務システム停止によってサービスの評判が落ちる」という定性的な影響を、「評判が落ちることによって競合他社にユーザーを奪われる。ユーザーを奪われることによる自社の損失金額はXXX千円」というような定量的影響に置き換えることで、優先度の評価指標としての有用性が高まる。
|
|
| 図4:ビジネス影響度分析結果 |
ステップ3:IT災害復旧計画立案
リスクシナリオ策定、ビジネス影響度分析の結果として得られるのは、想定するリスクと、リスクによって停止してしまうシステム、そのシステムごとの復旧要件(目標復旧時間、目標復旧時点、目標復旧レベル、最大許容停止時間)、そして復旧の優先度である。これ以外にIT災害復旧計画書に盛り込むべき内容としては、DRPの実施体制、DRPの発動基準、DRP発動時のエスカレーションフローと連絡網、復旧時の代替システムとそのオペレーション、復旧システム構成などがある(図3)。
|
|
| 図5:IT災害復旧計画書の目次例 |
IT災害復旧計画の立案では、少なくともこれらの項目を網羅する必要がある。そして、IT災害復旧計画は、事業継続計画、ITサービス継続計画のサブセットであることを考慮し、既に事業継続計画、ITサービス継続計画を検討・策定済みである場合はその方針と照らし合わせた内容とする。まだ検討・策定済みでない場合は、IT災害復旧計画で策定した方針が将来的に取り込まれることを前提に、情報システム部門が主体となって単独でも実施できる計画(方針)としておくことが望まれる。
次回は、IT災害復旧計画策定に必要な各種評価指標について解説をする。
