Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

成功する事業インパクト分析のヒント5つ

あなたはおそらく、リスクアセスメントが済んでいるのに、なぜ事業インパクト分析(BIA)を実施しなければならないかを不思議に思っているでしょう。 リスクの特定は済んでいます。すでに企業の分析に長時間を費やしているのに、なぜさらなる分析が必要なのでしょうか。

BIAは目的が違うのです。 事業継続では、すべてが時間の問題です。適当な時間内に事業活動を復旧できないなら、復旧できるかどうかは問題ではなくなります。 この「適当」こそがBIAで決める事です。その主な目的は、組織の重要な活動のそれぞれについて、目標復旧時間を発見することです。

この種の分析は軽く見られがちです。企業は通常、誤った結果が不必要な出費や不適切な事業継続戦略につながることを認識していないばかりか、BIAを実施するために必要な労力が過小評価しています。

そこで、事業インパクト分析より効果的なものにするためのヒントを以下に紹介します。

(小さい)プロジェクトとして扱う。 導入に責任を持つ人、および、その権限を定義します。適用範囲・目標・時間枠を定義します。

準備として、優れたアンケートを作成する。よくできたアンケートは、時間を大幅に節約し、より正確な結果をもたらします。 BS 25999-1、BS 25999-2規格は、アンケートに含むべき質問について、非常によいヒントを与えてくれます。特に、中断による影響を特定して、時間にともなう変化を判定し、復旧に必要な経営資源を特定する必要があります。 影響を特定する際に、定性的な質問と定量的な質問の両方を使うのはよい方法です。

明確な基準を定義する。 回答者が質問に回答する際に、たとえば1~5の値を割り当てなければならない場合、その5個のマークが持つ意味を正確に説明するようにしましょう。同じ事象を、一般の従業員が破滅的と評価するのに対し、首脳部が中程度と評価することは珍しくありません。

人的交流によりデータを収集する。最善の結果は、事業継続に熟練した人が、重要な活動に責任を持つ人と面談することにより実現されます。そうすれば、未解決の疑問の多くがはっきりし、バランスのとれた解答が得られます。面談が不可能な場合には、全員参加のワークショップを最低でも一回は開催して、参加者が困っている事をすべて聞くようにしましょう。 言い換えれば、単にアンケートを送りつけて、送り返さない人を非難するようなことはやめましょう。

目標復旧時間を決定するのは、依存関係のすべてを特定してからにする。 たとえば、アンケートにより、重要な活動「A」の最大許容停止時間は2日間であると結論付けたとします。でも、重要な活動「B」の最大許容停止時間は1日間で、重要な活動「A」の支援がないと復旧できないとします。 つまり、この場合の「A」の目標復旧時間」は、2日間ではなく1日間であるということです。

私の経験では、BIAの結果はしばしば予想外です。目標復旧時間は通常、当初想定したより長いことが多く、BIAは、実際には単一障害点である経営資源間の依存関係を明らかにします。 でも、事業インパクト分析は何よりも、人々に想定外の事について考えさせる最も効果的な方法であり、そのような意識を生み出すことにより、企業の生存率を増やしてくれます。

無料ウェビナー Implementing Business Impact Analysis according to ISO 22301 もご覧ください。

Advisera Dejan Kosutic
著者
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Connect with Dejan: