事業継続性計画の策定方法

事業継続性計画を策定する際には、4 つの主な分野に重点的に取り組む必要があります。

事業継続性管理は、緊急事態が起こる前から導入していなければ効果を発揮しません。緊急事態対策チームを発足し、潜在的なリスクを予測して備えていれば、災害発生時に指示を求めて右往左往しなくて済むはずです。予測のフェーズには次のような作業があります。

在庫の把握

重要なリソースの在庫を詳細に把握し、在庫を増やせるときに増やしておけば、サプライチェーンの混乱が起こってもビジネスの継続に必要なリソースを確保できます。

依存関係の特定

現代のビジネスプロセスは単独で機能するものではなく、相互に依存する部門間で複雑につながり合っています。どの部門、プロセス、システムが他のどの部門、プロセス、システムと依存関係にあるのかを特定することで、どこに注力すべきかが明確になります。また、依存関係は社外にも存在する場合があり、これも同様に対応する必要があります。

リスクの優先順位付けと評価

ビジネスインパクト分析とリスク評価によって、ビジネスの主要な要素のうちどこが最も危険な状態にあるのかを特定できます。そうなれば優先順位付けが可能であり、BCP のマッピングの際に、最も重大な影響が出るおそれのある要素を最優先の検討対象にすることができます。

事業継続性計画を作っていくうちに、自社の脆弱な部分がわかってくるはずです。こうした脆弱性は、突発的な出来事の際にさらなる問題を引き起こすおそれがあります。既存の弱点に対処し、定期的な予防活動を行えば、ビジネスの中断の可能性を低減させることができます。予防のフェーズには次のような作業があります。

コントロールの確立

多くの場合、適切なコントロールを整備していれば、さまざまな災害やその他の緊急事態に伴うビジネスの中断を回避できます。どの緊急事態に対してどのコントロールを実施するか (サイバー攻撃にはサイバーセキュリティコントロール、洪水には止水板など) を特定し確立することは、事業継続性管理の予防フェーズにおける不可欠な要素です。

テスト

策定している計画の効果を確かめるために、緊急事態が起こるまで待つわけにはいきません。従業員トレーニング、学習、プログラムレビューを行えば、計画の問題点の解決につながるとともに、問題が発生する前に予防しやすくなります。

監視

迅速な対応は、ビジネスの中断に対して最も効果のある防御策だと言えます。システムに中断の兆候がないか積極的に監視し、問題発生時には適切に対応しましょう。高度な監視ツールなら、特定の状況に対して自動対応を設定することもできるため、課題となる対応時間をゼロにすることも可能です。

ビジネスの中断が起きた場合、どう対応するかがビジネスの成果を左右します。チームメンバー一人ひとりの責任を明確にし、方向性と安定性が得られる戦略を整備しておきましょう。対応のフェーズには次のような作業があります。

復旧

ビジネスの中断が起こったときに最優先ですべきことは、業務を再開できるように復旧することです。影響を受けたシステムの迅速な復元に努め、その際にはシステムの重要度で優先順位付けをします。他より復旧に時間がかかるシステムやアプリケーションもあることを把握しておきましょう。

連絡

連絡は災害対応に不可欠な要素です。影響を受けていないコミュニケーションチャネルを利用して従業員と連絡を取り、状況を知らせましょう。緊急時の連絡は常に簡潔かつ的確に行うことを心がけ、確立されたコミュニケーションプロトコルに従います。さらに、顧客に影響が及びそうな場合は、何が起きているのか、問題解決のためにどのような対応をしているのか、最新の情報を顧客に提供する責任があります。

復元

基幹プロセスと通信回線が正常に機能している場合、次に取り組むべきは損傷したり侵害されたりしたシステムの復元です。復元には時間がかかるものですが、効果的な継続性計画を導入していれば、最もリスクの高い部分に先に対応できるため、平常復帰への時間を大幅に短縮できるはずです。

敵に遭遇すれば計画は必ず変わると言われます。しっかりとしたきめ細かな事業継続性計画は長期にわたって緊急時のビジネスを守ってくれますが、いずれは新しい環境や想定外の状況に適応しなければならないときが来るはずです。適応のフェーズには次のような作業があります。

根本原因の特定

問題やイベントの根本原因を特定するための体系的なプロセスと、それらを防止し対応するためのアプローチを実行します。これは、効果的な管理を行うには、ただ発生した問題を解決するだけでなく、問題の発生を防止する方法を見つける必要もあるという考えに基づいています。

新たなコントロールや改良されたコントロールの確立

コントロールの実効性を評価します。これには、効果的に設計されているか、想定通りに機能しているかという評価も含まれます。実効性の不足が確認された場合は、新しいコントロールを導入する必要があります。

ServiceNow Governance, Risk, and Compliance を始めましょう

ServiceNow ではリスクとレジリエンスをリアルタイムで管理できます。