2012年7-8月号 BCM執筆記事

シリ
ーズ
待ったなし! BCM総点検③
平時の活動が
行われているか?
BCMの活動
シリ
(2)戦略の見直し
一般財団法人日本科学技術連盟
ISO審査登録センター
情報セキュリティ審査室
室長 村上 治
BCM
(事業継続マネジメント)
の活動には,大きく
平時におけるBCMで行うことには,次のようなも
分けて次の3つの活動のモードがあります。
「導入時
のがあります。
待ったなし! BCM総点検③
(8)レビュー
BIAの結果,MTPDが変わった場合には,RTO
(目
BCMの活動をレビューします。レビューは,
「文書
標再開時間)も変わってくる可能性があります。
レビュー」「全体レビュー」「内部監査」「外部監査」
また,その他の方針なども変わる可能性があります
のような方法によります。
ので,分析の後には,必ず戦略を見直しておきます。
内部監査や外部監査では,BCM活動全体を監査し
(3)組織の見直し
平時におけるBCMで行うこと
ーズ
ます。監査の視点としては,次の2つが重要です。
環境変化や戦略の見直しにより,事業継続の組織を
●BCMプログラム,手順書などで定められているこ
見直す必要がないかも確認しておきます。大幅な組織
とが守られているか?
変更があった場合などは,事業継続組織も見直しにな
●今やっていることは本当に有効か?改善点はないか?
る可能性があります。
監査では,定められている守るべきことをリスト化
(4)資源の見直し
環境変化や戦略の見直しにより,緊急時のための常
してチェックすると良いでしょう。また,今やってい
ることの有効性を確認するには,現場の従業員の話を
の活動」
「平時の活動」
「有事の活動」です。
(1)分析の見直し (2)戦略の見直し
備品や事業継続に必要なボトルネック資源にも変更が
今回は「平時の活動」に焦点を当ててみます。
(3)組織の見直し (4)資源の見直し
及ぶ可能性がありますので,それも確認しておきます。
(5)計画の見直し (6)演習
人員の増減があれば,備蓄品は必ずチェックしましょ
どんな活動でもそうですが,社員が活動の意義に納
(7)維持 (8)レビュー
う。生産量や業務量の変化があれば,事業継続時の供
得していなければ,その活動は定着しません。「やら
(9)文化の形成
平時の活動
よく聞いて,事実を知ることが大切です。
(9)文化の形成
給レベル,サービスレベルは,見直す必要がないか
され感」だけの活動は,最初に号令をかけた時だけは
扱いの説明があります。また,それらの装置の点検が
これらは,事業継続ライフサイクルのプロセスに基
チェックしましょう。それに伴い,必要資源の量も変
付き合いますが,その後は尻すぼみになり,自然消滅
飛行前に行われています。いざという時にそれらの装
づいています。では次に,これらの内容について解説
わってくる可能性があります。
してしまいます。また,事業継続は,単にマニュアル
置が機能しなかったり,使い方がわからなかったりし
していきます。
例えば飛行機に乗ると,必ず緊急時の安全装置の取
(5)計画の見直し
たら,安全装置は無意味なものになってしまいます。
組織の文化にBCMを組み込む
同じようにBCMにおいても,平時において活動し,
組織の理解
いざという時に事業継続活動が機能するように備えて
BCP
(事業継続計画)
は,危機発生時に使用するもの
であるため,実際にBCPを実践する機会は滅多にあり
演習,
維持
及びレビュー
終わりということになりがちです。そうするとBCPは
BCM戦略の
決定
BCM対応の
開発と導入
作ってあったが,いざ危機発生時に有効に機能しな
には危機管理や事業継続の思考方法が組織の構成員一
「BCP演習」のように体系化された演習を,一定期間
で網羅できるように計画を立て,実施します。
事業継続ライフサイクル
(1)分析の見直し
が使えないため連絡がとれなかった。
BIA(事業インパクト分析)
を年1回および大きな変
【例2】勤務時間中に被災することを想定していなか
化があった時に見直します。これにより,
「重要な製品・
有効性を検証するために演習を行います。演習の種類
も不十分です。そのため,演習は様々な種類の演習を,
BCMの全ての部分を漏れなく検証できるような演習
計画を立てて行うのが良いでしょう。
(7)維持
意がなかった。
停止時間)
」などが変わってくる可能性があります。
て,BCMの活動を年間通して実施し維持していきま
【例3】サーバがダウンしたため,バックアップデー
RA(リスク評価)
を年1回および大きな変化があっ
す。BCMの平時の活動も含めた全体の活動およびそ
タから復旧しようとしたが,作業がうまくい
た時に見直します。これにより,事前の準備・対策の
れを文書化したものをBCMプログラムと言います。
かず復旧できなかった。
内容が変わってくる可能性があります。
維持管理するものには,
「組織」
「要員」
「備蓄品,資材,
このようなことにならないためには,どうすればいい
BIAやRAの他にも,自社の内部環境/外部環境の
設備」
「文書」のようなものがあります。
のでしょうか?それには平時において,BCPを有効に
分析を実施し,最新の現状を把握します。分析結果は,
維持管理のためにはBCMの平時の活動スケジュー
ルを作り,これをもとに活動していくと良いでしょう。
響や抱えている事業継続上のリスクについての現状理
をして,BCPの有効性を検証,改善していくのです。
解を共有します。
6
日科技連ニュース No.106 2012年7月・8月合併号
るためのものなのです。そして,このような文化を形
立たなければ意味がありません。そこでIMPやBCPの
BCMプログラムとBCM年間スケジュールに基づい
会社のマネジメント層に報告し,自社の事業停止の影
平時のBCMの活動は,事業継続を組織の文化とす
成することが,組織のレジリエンシー(危機への抵抗
サービス」
「事業継続の優先順位」
「MTPD(最大許容
機能させるための様々なことを行うということが必要
なければなりません。
力)につながっていきます。
ったため,会社に宿泊するための毛布等の用
です。平時におけるBCMにおいて演習を行い,レビュー
人ひとりの身について,それが組織の文化となってい
IMPやBCPを作っても,いざという時にそれが役に
は幅広く,またある特定の部分や状況だけを検証して
かったということになりかねません。
【例1】電話連絡網で連絡しようとしたが,携帯電話
について変更の必要がないかどうかを確認しましょう。
演 習 は,
「手 順 演 習」
「プ ロ セ ス 演 習」
「IMP演 習」
BCM
プログラム
マネジメント
ません。したがって事業継続活動は,BCPを作ったら
例えば次のようなことです。
ん。危機発生時の判断力,応用力が重要で,そのため
(6)演習
おく必要があります。
化したことを訓練すればいいというものではありませ
これまでの見直しを踏まえ,IMP
(初動計画)
,BCP
書 籍 案 内
『危機管理を実践する
事業継続マネジメント
BCPを有効に機能させるために』
村上 治,田附喜幸,中野 孝 共著
オーム社発行 2,625円(税込)
Busin
ness
Con
ntin
nt
nu
uiitty
ty
Managgement
nt
nt
村上 治・田附喜幸・中野 孝─
・共著
Osamu Murakami
Yoshiyuki Tatsuki
Takashi Nakano
危機管理
危
機管理を実践する
事業継続マネジメント
BCPを有効に機能させるために
事業継続マネジメント
(BCM)の構築にご関心のある方は
お気軽にご相談ください
【お問合せ先】ISO審査登録センター 普及支援課
TEL:03-5379-1232
E-mail:[email protected]
*お詫び訂正* 本シリーズ第2回の本文に誤りがありましたので,お詫びし訂正いたします。
№104 p.6 「BCPとは」1行目 BCPの説明 [誤] Business Continuity Management [正] Business Continuity Plan
日科技連ニュース No.106 2012年7月・8月合併号
7