Dejan Kosutic 経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。
1. 経営陣の支援を得る
これはBS 25999-2の必須の手順ではありませんが、間違いなく最初の重要な手順です。経営陣が事業継続の利益を理解せず、プロジェクトに積極的に関与しなければ、そのプロジェクトはたぶん失敗するでしょう。
2. プロジェクトとして扱う
事業継続管理システム(BCMS)の立ち上げには、極めて多くの時間や経営資源が必要です。やるべき事、時間枠、プロジェクト実施時の役割などを、明確に定義する必要があります。言い換えれば、プロジェクト管理の方法論を適用する必要があります。
3. 目標および適用範囲を定義し、BCM方針を書く
コンプライアンス、リスクのレベルを下げること、顧客/パートナーの要件など、BCMSによって実現したい事を定義する必要があります。 また、BCMSの対象範囲、つまり、組織全体かその一部かも定義する必要があります。たとえば、顧客にホスティング・サービスを提供している場合、データセンタだけを対象に決めてもかまいません。これらはすべてBCM方針の中に文書化する必要があります。
4. BCMSにおける役割及び責任を定義する
BCMSは組織の永久的な活動になるので、特にBCMSの「スポンサー」、「BCMコーディネータ」、「BCM管理者」など、BCMSに関する積極的な任務を持つ一人か二人の人にはっきりとした責任を定義する必要があります。このような役割や責任は、文書化しておくに越したことはありません。
5. 必須の手順を実施する
BS 25999-2では、文書および記録の管理、内部監査、予防処置・是正処置という、必須とされる4手順を実施する必要があります。これらの手順は、ISO 27001やISO 9001と同様、実際のマネジメントシステムの基盤となります。
6. 事業インパクト分析およびリスクアセスメントを実施する
事業インパクト分析では、重要な活動、最大許容停止時間、重要な活動同士の依存関係(供給者や外部委託パートナーとの依存関係を含む)を特定して、目標復旧時間を設定する必要があります。
リスクアセスメントを行うと、重要な活動の中断原因となりうるものを実際に発見できます。それは天災であることも、人災(悪意があるか偶発的かを問わす)であることもあります。また、リスク対応も行う必要があります。つまり、困った事態の可能性を減らす方法を判断する必要があります。残念なことに、この規格では、リスクアセスメントや対応はあまり明確に定義されていません。したがって、これらをより詳しく記述したISO 27001を参照した方がよいかもしれません。
7. 事業継続戦略を決定する
事業継続計画を書き始める前に、重要な活動を再開するために必要な人材・場所・データ・ハードウェア・ソフトウェア・供給者・外部委託パートナーなどの経営資源を実際に判断する必要があります。
事業継続戦略では、必要な経営資源だけでなく、その経営資源を提供する方法も決定する必要があります。
8. インシデント管理計画および事業継続計画を開発する
インシデント管理計画の目的は、インシデントの広がりを防いで、直接的な影響を抑えるために、インシデント(火災・地震・爆弾テロ・停電など)の発生に直接対応する方法を記述することです。
一方、事業継続計画の目的は、重要な活動を復旧する方法や、準備した経営資源を投入する方法を記述することです。つまり、組織の活動を再開するために、誰が、いつ、どのようなデータや技術を使い、何をするかを記述する必要があります。
このような計画はすべて、主な担当者がいない場合でも実行できなければならないので、それだけ詳しく記述する必要があります。つまり、誰か他の人でも実行できるように書く必要があります。
9. 訓練および意識向上
中断時の事業継続計画の実行に必要な能力のレベルを定義し、さらに、そのレベルに到達するまで全職員(従業員および外部パートナー)を訓練する必要があります。
ただし、これではまだ足りません。さらに、なぜBCMが必要かを職員に説明する必要があります。 現実を直視しましょう。事業継続計画はおそらく一生に一回しか使われることはないので、多くの人は時間の無駄としか思っていません。したがって、なぜそのような計画が存在する必要があるかを説明する必要があります。(「BCM懐疑論者に対処する方法」も参照 )
10. BCMSの演習
これで完璧な計画を書けたと思っているとしたら、おそらく間違っています。最初から誤りのない計画を書くことは、ほとんど不可能です。 BCMSで演習が必須になっているのは、そのためです。計画はおおよそ実際の中断に似た状況でテストする必要があります。 そうやって初めて、計画のいいところと悪いところがわかるのです。
11. BCMSの維持およびレビュー
BCMSが古くならないようにするもう一つの方法は、事業継続計画や他の準備(供給者や外部委託パートナーとの契約、訓練および意識向上など)をレビューする間隔を定義することです。 環境の中には、あなたの文書を陳腐化するような、あらゆる種類の変化があります。たとえば、BCMSで特定の役割を果たす人間が会社を去るだけで、計画の中の電話番号は使えなくなります。
インシデントが実際に発生した場合には、インシデント後のレビューを行うことも必須です。その目的は、組織が実際にどう対処したか、それが計画通りだったかを調べることです。
12. 内部監査
内部監査の目的は、不備がないかどうかを、客観的に調べることです。内部監査員は、BCMSに不備があるかどうかを調べて、是正できる人間である必要があります。内部監査は、正しく行われれば、BCMSを改善する最善の方法の一つです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照)
13. マネジメントレビュー
先に述べたように、経営陣をプロジェクトに参加させることは極めて重要です。そのために設計されたのが マネジメントレビューです。この規格では、経営陣がBCMに関連するあらゆる事実を調べて、目標が達成されたかどうかを判断する必要があります。マネジメントレビューが済んだら、経営陣はどのような改善を行うべきかを決める必要があります。
14. 予防処置および是正処置
間違い(BS 25999用語では「不適合」)は、起こる前に防ぐに越したことはありません。これこそが予防処置の目的です。つまり、問題が起こる前に是正するための体系的な方法です。予防処置と同様に、起こってしまった問題を解決する是正処置もあります。
では、BS 25999-2を使うのはなぜでしょうか。 BS 25999-2はまだ国際規格ではありませんが、全世界の事業継続規格の中で最も人気のある規格です。上述の手順は、最高の事業継続専門家によって設計されたものなので、事業継続のベスト・プラクティスを導入したい場合には、他を探す必要はありません。
をクリックすれば、以上の全手順を示したBS 25999-2導入プロセスの図を、必要な文書と共にダウンロードすることができます(登録が必要)。