BCP策定の具体的なステップを見ていきましょう。ここでは、経済産業省ホームページにアップロードされている、企業における情報セキュリティガバナンスのあり方に関する研究会「事業継続計画策定ガイドライン」をベースに解説していきます。
①策定担当者の決定とプロジェクトの発足
まずはBCPを策定する担当者と、その人物を中心に据えたプロジェクトを発足しましょう。この際、プロジェクトメンバーにはさまざまな部門のメンバーを選出します。BCPという会社全体のリソースを考えるプロジェクトであるからこそ、各部門のシステムやオペレーションに明るいメンバーに参画してもらうよう、各部門長と調整してください。
②対象範囲を決める
プロジェクト発足の次は、BCPの対象範囲を決めていきます。もちろん本来は会社内のすべての事業を検討するべきですが、優先順位をつけて段階的に会社事業を復旧させていく進め方を採る企業もあるでしょう。
このタイミングでどの事業に会社リソースを集中させるかの対象範囲を決めておくとスムーズです。
③ビジネスインパクト分析
前述の対象範囲策定とほぼセットで行うべきことが、ビジネスインパクト分析です。ビジネスインパクト分析とは、有事の際に業務やシステムが停止することで、会社にどれだけの影響があるかを評価する分析手法です。BIA(Business Impact Analysis)とも呼ばれるもので、非常に重要なステップとなります。
会社の基幹事業とその業務、プロセス、およびそれに関連するリソースを特定して、事業継続に向けたボトルネックの特定や、その解消に向けた方策、そして業務が停止した場合にいつまでに復旧をするかという目標復旧時間(RTO)の設定を進めます。RTOはつまり、どの程度まで中断が許容されるかを示す指標と言えるでしょう。
④リスク分析
ビジネスインパクト分析の過程で、具体的にどのようなリスクが存在するのかも、洗い出しと分析が必要です。企業内のさまざまな過去事例はもちろん、新聞記事からSNSなどのソーシャルメディアまで、ミクロとマクロのさまざまなソースを活用して、BCP発動に至るまでのリスクを可視化していきましょう。
⑤発動基準の明確化
ここまでのビジネスインパクト分析とリスク分析により、事業へのリスクと影響度合、および目標復旧時間等が明確になったら、具体的なBCPの発動基準を決めましょう。その際、組織としての対応レベルに沿った発動基準の策定が重要であり、そのための人員やシステム的なリソースも、しっかりと考慮する必要があります。
⑥BCP策定
以上のようなプロセスを経て、それぞれの結果に応じたBCPを策定しましょう。また、BCPを策定するだけではなく、それを滞りなく実施して目標復旧時間を順守するために必要な各種リソース確保に向けた予算化も大切です。とくに情報システムについては、ホットサイト・ウォームサイト・コールドサイトなど、さまざまな対策のあり方が考えられるので、効率的かつ効果的な運用手法も考えながら検討する必要があります。
BCPはBCMとセットで考える
ここまで見てきたBCP策定プロセスですが、BCPを策定して終わりではなく、そこで描かれた計画を適切に実現するための「BCM」とセットで考えるべきです。
BCMとは「Businees Continuity Management」の頭文字をつなげたもので、日本語では「事業継続マネジメント」と訳されます。BCPで策定した計画を着実に行うためのマネジメント活動のことです。常に効果検証と改善を繰り返し、企業の実態に則したPDCAを繰り返していくことで、有事の際でもBCPが有効に機能するようになります。
参考:企業における情報セキュリティガバナンスのあり方に関する研究会「事業継続計画策定ガイドライン」
