経営者の皆様、こんにちは。「ITのちからで地域に貢献したい」でお馴染みの、『わかるラボ』中島です。

今日は、情報システム業務継続計画策定のステップ「業務継続計画の管理」についてお話したいと思います。この記事は、経済産業省「情報システム管理基準」をベースに作成しています。

業務継続計画の管理で行うこと

業務継続計画の管理では、以下の6点を念頭に整理します。

  1. リスクアセスメントの結果に基づき、会社全体の事業継続計画と整合性のある情報システム業務継続計画を策定する。
  2. 情報システムに係る災害及び重大事故発生時に対応した業務継続計画を作成する。
  3. 情報システムに係る業務継続計画の実現可能性を確保する。
  4. 従業員の教育訓練及びリスクコミュニケーションの方針を明確にする。
  5. 関係各部に周知徹底する。
  6. 必要に応じて見直す。

まずリスクアセスメントが出来ていることが前提となります。リスクアセスメントについては前回のブログに記載しておりますので、まだの方はそちらを参照なさって下さい。

リスクアセスメントの結果に基づき、会社全体の事業継続計画と整合性のある情報システム業務継続計画を策定する。

災害や重大事故が発生した際に、IT現場が混乱なく適切に迅速に対応が可能とするよう、情報システムの業務継続計画を策定します。この計画の前提には、会社全体の「事業継続計画」の存在があり「事業継続計画」の方針に沿った形で計画になっていなければなりません。

また、リスクアセスメントで承認された「目標復旧時間」「復旧優先順位」を実現可能な計画を作成します。目標が決められていますので、これを実現するためのバックアップ構成、代替処理対策などを計画することとなります。(具体的な計画方法は次回「システム復旧計画の管理」でご案内します)

情報システムに係る災害及び重大事故発生時に対応した業務継続計画を作成する

作成した情報システムの業務継続計画は、関係者に周知徹底する必要があります。周知徹底ができていないと、災害や重大事故が発生した際、計画が十分に機能しないおそれがあります。

そのためには、社長を始め利用部門の責任者(経営者)に、あらかじめしっかりと説明し、承認を受けていることが肝心です。また、承認後、利用者を含めた関係者に向けて、情報システムの業務継続計画の存在を周知するよう手配をして下さい。

尚、リスクアセスメントのパートでもお伝えしましたが、業務継続計画を作成する際、情報セキュリティに関する規程類を参照し、整合しておくようにします。

情報システムに係る業務継続計画の実現可能性を確保する。

どの程度の災害がくるのかは予測不可能ですが、被災内容についてシナリオを作り、それぞれのケースでどのように復旧作業に取り組めるか検証を行います。

例えば、システム復旧の作業と並行して、利用部門に対しては業務代替の臨時の帳票を作表して提示する、などといった緊急体制が敷かれることもありますが、IT要員が並行して作業可能なのかを検証することが必要です。

検証プロセスは記録に残しておき、計画がどのように立案されたかレビューする際に役立てます。

従業員の教育訓練及びリスクコミュニケーションの方針を明確にする。

如何に洗練された計画でも、利用者を含め、使いこなせなければ意味がありません。そのためには従業員の訓練とコミュニケーションの方針を明確にしておく必要があります。

訓練

例えば一部の機能や性能を制限した縮退運転を実行する場合、利用者から「あの機能が使えないと困る」とか「いつもの時間に出力されてくる帳票が出てこない。早くして」等、IT部門に対して問い合わせが殺到することがよくあります。

機能が制限される。帳票が遅延するなどの際、利用者としてはどのように行動したら良いのかをあらかじめ訓練しておくと、緊急時の問い合わせ対応も変わってきます。

リスクコミュニケーション

IT部門は、緊急時に復旧作業を実施しますが、関係者に対して進捗状況等を通知する作業も同時に行う必要があります。障害連絡を行う担当の割当方や伝達方法についてあらかじめ定義しておきます。

障害連絡について、被災の状況、復旧の見込み、復旧までの代替手段を逐一共有します。情報システム部門内で情報を収集する方法、発信者、問い合わせ応対者などを決めるための方針をあらかじめ決めて下さい。復旧作業にあたる担当者は、障害連絡を発報する時間も取れない場合があり分離することが望ましいです。

また、利用者やお客様からの問い合わせが殺到し、復旧作業に支障をきたす場合があります。この場合も、問い合わせルートの開設方針(例えば社内の連絡は現場同士ではなく管理職を通じて実施することを徹底する等)、WEBサイトへの告知方法などを予め決めておき、IT部門の現場担当者が復旧作業に専念できる環境を作ることが肝要です。

関係各部に周知徹底する。

繰り返しになりますが、作成した業務継続計画も、利用者が認識していなかったり、内容が陳腐化していては、災害や重大事故が発生した際に使い物になりません。

繰り返し利用者に対して教育訓練を行うこととし、訓練の結果、修正が必要な箇所はすみやかに修正し、改めて関係者の承認を得て、利用者に展開することが肝心です。

必要に応じて見直す。

社内外の経営環境の変化を業務継続計画に反映し、陳腐化を防ぐ必要があります。新技術や導入コスト低減などで、新たな復旧手段が見つかる場合がありますので、情報収集は欠かさず、適宜見直しを実施するようにして下さい。定期的な見直しに関しては、規程類で規定しておくと、漏れなく実施できて良いかと存じます。

また、見直しの結果については、経営陣が承認し、関係者に対する周知を怠らないようにして下さい。


以上が「業務継続計画の管理」の概要です。災害や重大事故発生時に何が起きるかを想像し、計画に無理がないかを検証すること。経営陣の承認を得ること。利用者に向けて周知徹底し、訓練すること。陳腐化を防ぐため定期的に見直すこと。

システムの数が増えるほど大変な作業ですが、いざ業務継続計画を発動する際、IT部門が復旧に専念できる環境を作ることが、全社的な事業継続のひとつのポイントとなることをご理解頂き、入念な計画づくりをお願い致します。

次回は「システム復旧計画の管理」についてご紹介致します。


いざ災害や重大事故が発生すると、当然情報システムの利用者の立場からすると早期復旧を望むところと想いますが、IT部門の現場も相当過酷な状況で作業することとなります。少しでも効率よく、確実に作業を完遂できるよう、経営者・管理職の方はしっかりと計画を立てて頂ければと想います。

『わかるラボ』では、情報システムの業務継続計画のご相談も承ります。問い合わせフォームやTEL 050-3553-7653 (土日祝除く10:00-17:00)までご連絡を頂ければと存じます。

本日もブログをご覧いただきましてありがとうございました!

最終更新日:2018年12月20日