事業継続計画はどう書けばよいか

事業継続管理を導入する際に直面する最大の課題は、おそらく、事業継続計画を書くことです。

事業継続計画を書くことはなぜそんなに難しいのでしょうか。それは、災害(その他の事業活動の中断)が発生し得るさまざまなシナリオを検討して、そのような極めて稀であるが潜在的に破滅的なインシデントを処理する方法を考える必要があるからです。

そのような計画を書く人が一般に直面する問題には、計画に何を加えるべきか(何が主な要素か)、計画をどのぐらい長く(どのくらい詳しく)すべきか、計画にどんな手順を含むべきか、などがあります。

このようなジレンマに対する最善のソリューションは、BS 25999-2規格を使うことです。この規格はBS 25999-1とともに、計画を書くためのフレームワークを定義します。

これらの規格によると、事業継続計画は、(1)インシデント対応計画および(2)復旧計画から構成されている必要があります。 インシデント対応計画は通常、組織全体のために書かれた統一計画で、 インシデントの影響を減らす、救急隊に通報する、建物から避難する、集合場所に集合する、別の場所への移動手段を調達する、などの災害発生の直後に行わなくてはならない事を記述します。

復旧計画は通常、重要な活動ごとに書かれます。復旧計画に記載される手順には通常、次の通りです。さまざまなステークホルダー(従業員・その家族・株主・顧客・パートナー・政府機関・公共メディアなど)に伝える時期と方法、チームを招集する方法、インフラストラクチャを復旧する方法、アプリケーションが機能しているかどうか、および、アクセス権が適切かどうかをチェックする方法、損失したデータや災害によって破損したデータをチェックする方法、データを復旧する方法、復旧が完了して通常営業を開始できる時期を決める方法。

災害復旧計画(ICTインフラストラクチャの復旧計画)には、特定の重要活動の目標復旧時間以内に各システムを実行する方法を記述する必要があるので、注意深く書くべきです。これは通常、復旧する各システムの詳しい復旧計画を書くことにより実現されます。

原則として、このような計画には、その重要活動に従事している人が実行できない場合にも、他の従業員(または外部のスタッフ)が実行できる程度の詳しさが必要です。 したがって、計画を書く際には常識を働かせて、自分だけでなく誰もが理解できるようにしてください。

私の経験では、このような計画を書くときの最大の課題は、従業員がそれまで考えもしなかったような、まったく異なる事態に直面しなくてはならないということです。 そのような問題を乗り越えるには、起こる事やその対処方法に関する見解を共有できるようなワークショップ(モデレータはいてもいなくてもよい)を組織するのが最善です。

実際には、従業員が事業継続について考え始めるという事は、仕事全体の半分に過ぎません。そのようなアプローチをとることにより、事業継続計画の結果は数段向上します。

無料ウェビナー Writing a business continuity plan according to ISO 22301 もご覧ください。

Advisera Dejan Kosutic
著者
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.