事業継続戦略はお金の節約になるか

あなたは事業継続管理/BS 25999-2規格の導入を検討中ですね。けれども、大変なコストがかかるという話を聞きましたね。 確かにコストはかかりますが、必ずしもあなたが思っている程ではありません。コストの問題は、すぐれた事業継続戦略があれば解決できます。

事業継続戦略とは、BS 25999-2規格の定義によれば、「災害又はその他大規模なインシデント、若しくは事業中断(混乱)などに直面したときに、組織の復旧及び継続を確実にする、組織によるアプローチ」です。したがって重要なのは、そのような災害が発生したときに、それに対処するための最善の準備をしておくことです。この準備には、組織的方策(計画立案・供給者/パートナーとの契約・演習・レビュー・意識向上など)と設備・インフラストラクチャなどに対する投資などの方策とがあります。

復旧時に極めて重要な要素は時間です。時間内に事業を復旧できないと、顧客や取引自体を失う可能性が高くなります。したがって、事業継続戦略では、重要な活動ごとに目標復旧時間(RTO)を設定する必要があります。RTOは活動ごとに異なる可能性があります。

ここで重要なことが一つあります。 それは、RTOを短くするほど、必要な投資は増えるということです。たとえば、データセンタを1時間以内に復旧するには、元の場所とほとんど同じ設備を持つ代替地に投資する必要があるでしょう。逆に、データセンタを2週間で復旧するために必要な投資ははるかに少なくて済むでしょう。なぜなら、代替地にはバックアップ・テープを保管しておけば十分ですし、必要な設備は2週間あれば調達できるからです。つまり、RTOは長すぎても短すぎてもいけないということです。

RTOの設定が済んだ後も、多少の投資を行う必要があります。けれども、優れた事業継続戦略があれば、投資を抑制しながら、目標復旧時間内で重要な活動を復旧することができます。以下はその例です。

  • 代替地には独自のデータセンタが必要とは限りません。多くの国では、そのような場所を専門の企業から賃貸することができます。つまり、インフラストラクチャだけでなく、設備やソフトウェアに対する投資さえ不要な可能性があります。
  • 代替地にはオフィスが必要とは限りません。顧客と対面する必要のない従業員は、在宅勤務でもかまいません。
  • 別の場所に他の事業部門があって、災害の影響を受けた重要な活動を引き継ぐことができれば、代替地をまったく必要としない可能性もあります。
  • RTO以内の設備納品を保証できる供給者を見つけることができれば、設備を事前に購入しなくてよい可能性があります。
  • その他。

以上の例はすべて組織の能力向上を必要としますが、お金を節約したいのなら、確実に検討する価値があります。

無料ウェビナー Developing the business continuity strategy according to ISO 22301 もご覧ください。

Advisera Dejan Kosutic
著者
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.