経営者の皆様、こんにちは。「ITのちからで地域に貢献したい」でお馴染みの、『わかるラボ』中島です。

前回の「システム復旧計画の管理」は少しテクニカルなお話も多くて恐縮でしたが、情報システムの業務継続計画の肝となる部分ですので、ぜひご一読頂ければと存じます。

さて今日は、情報システム業務継続計画策定のステップ「訓練の管理」についてお話したいと思います。この記事は、経済産業省「情報システム管理基準」をベースに作成しています。

訓練の管理で行うこと

訓練の管理の中では、以下2点を実施します。

  1. 定期的な訓練を行う
  2. 訓練結果はマネジメントレビューし、計画を見直す。

それぞれをご説明致します。

定期的な訓練を行う

これまで定めてきた情報システムの業務継続計画が、会社全体の事業継続計画に合致していることを確認するため、定期的に訓練を実施します。訓練を繰り返すことで、より実効性のある計画に磨き上げることが目的です。

ポイントとしては、

  • 明確に定められた狙いと達成目標をもって、周到に計画された適切なシナリオに基づいていること。
  • 利害関係者を含めた業務継続の取組み全体について、長期的・総合的な妥当性を確認すること。
  • 業務の中断・阻害のリスクを最小限に抑えること。
  • 訓練結果、提案、改善処置を含めた訓練実施報告書を作成すること。
  • 継続的に改善を行うため、マネジメントレビュー(経営層レビュー)を実施する
  • 定期的に実施する他、組織や事業環境に大きな変化があった場合にも実施すること

万全な準備の上で訓練を実施し、記録を残し、経営陣にしっかりと説明しながら、計画の精度を高めることが、災害や重大障害発生時の業務中断リスクの低減に繋がります。リアリティある計画を用意し、関係者を巻き込んで実施するようお願い致します。

訓練結果はマネジメントレビューし、計画を見直す。

やや繰り返しになりますが、マネジメントレビュー(経営陣レビュー)を行い、マネジメントサイクル(PDCA[note]PDCA:Plan(計画)→Do(実行)→Check(確認)→Act(改善)を繰り返すことで、計画やルールの精度を高めていく行動。PDCAを回す、という。[/note])を回します。

事業環境は時間の経過とともに変化し続けます。計画を陳腐化させないためにも、定期的に繰り返し訓練を実施し、最新の状態に更新し続けていく必要があります。

計画の策定・訓練評価の方法・シナリオ・訓練状況の報告を受け、経営者の視点で改善指示を行うようお願い致します。また、訓練のための予算や、訓練結果の改善活動の予算確保についても考慮するようお願い致します。


可能であれば、自社だけでなく、結合度の高い取引先や関連会社などとも連携し、シナリオ作成や訓練実施が出来ると、より実効性の高い計画に仕上がるとともに、自社のみでは知り得なかった新しい知見の入手ができる場合があります。[note]蓋を開けてみると「えー!そういう処理があったんですか!」ということも多い。[/note]また、自社が被災していなくてお取引先が被災するケースも想定し、物流やサービスをどう継続するのかも検討の必要があります。

是非、経営者ならではの幅広い視点で計画をレビューして、改善活動に取り組んで頂ければと存じます。


次回は、実際に業務継続計画が発動した後の「計画の見直しの管理」についてお話したいと思います。

本日もブログをご覧頂きありがとうございました!

最終更新日:2018年12月20日