The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

事業継続計画はどう書けばよいか

事業継続管理を導入する際に直面する最大の課題は、おそらく、事業継続計画を書くことです。

事業継続計画を書くことはなぜそんなに難しいのでしょうか。それは、災害(その他の事業活動の中断)が発生し得るさまざまなシナリオを検討して、そのような極めて稀であるが潜在的に破滅的なインシデントを処理する方法を考える必要があるからです。

そのような計画を書く人が一般に直面する問題には、計画に何を加えるべきか(何が主な要素か)、計画をどのぐらい長く(どのくらい詳しく)すべきか、計画にどんな手順を含むべきか、などがあります。

このようなジレンマに対する最善のソリューションは、BS 25999-2規格を使うことです。この規格はBS 25999-1とともに、計画を書くためのフレームワークを定義します。

これらの規格によると、事業継続計画は、(1)インシデント対応計画および(2)復旧計画から構成されている必要があります。 インシデント対応計画は通常、組織全体のために書かれた統一計画で、 インシデントの影響を減らす、救急隊に通報する、建物から避難する、集合場所に集合する、別の場所への移動手段を調達する、などの災害発生の直後に行わなくてはならない事を記述します。

復旧計画は通常、重要な活動ごとに書かれます。復旧計画に記載される手順には通常、次の通りです。さまざまなステークホルダー(従業員・その家族・株主・顧客・パートナー・政府機関・公共メディアなど)に伝える時期と方法、チームを招集する方法、インフラストラクチャを復旧する方法、アプリケーションが機能しているかどうか、および、アクセス権が適切かどうかをチェックする方法、損失したデータや災害によって破損したデータをチェックする方法、データを復旧する方法、復旧が完了して通常営業を開始できる時期を決める方法。

災害復旧計画(ICTインフラストラクチャの復旧計画)には、特定の重要活動の目標復旧時間以内に各システムを実行する方法を記述する必要があるので、注意深く書くべきです。これは通常、復旧する各システムの詳しい復旧計画を書くことにより実現されます。

原則として、このような計画には、その重要活動に従事している人が実行できない場合にも、他の従業員(または外部のスタッフ)が実行できる程度の詳しさが必要です。 したがって、計画を書く際には常識を働かせて、自分だけでなく誰もが理解できるようにしてください。

私の経験では、このような計画を書くときの最大の課題は、従業員がそれまで考えもしなかったような、まったく異なる事態に直面しなくてはならないということです。 そのような問題を乗り越えるには、起こる事やその対処方法に関する見解を共有できるようなワークショップ(モデレータはいてもいなくてもよい)を組織するのが最善です。

実際には、従業員が事業継続について考え始めるという事は、仕事全体の半分に過ぎません。そのようなアプローチをとることにより、事業継続計画の結果は数段向上します。

無料ウェビナー Writing a business continuity plan according to ISO 22301 もご覧ください。

If you enjoyed this article, subscribe for updates

Improve your knowledge with our free resources on ISO 27001/ISO 22301 standards.

You may unsubscribe at any time.

For more information on what personal data we collect, why we need it, what we do with it, how long we keep it, and what are your rights, see this Privacy Notice.

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

顧客事例

当社のパートナー

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL®はAXELOS社の登録商標です。AXELOS社の許可の下に使用され、すべての権利はAXELOS社に帰属します。
  • DNV GLビジネス・アシュアランスは、公認のマネジメントシステム認証サービスを提供する業界随一の機関です。