本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。
[最終回]IT-BCPの文書(平時の文書)について
2010年6月2日
このコラムも5回目をむかえ、今回で一区切りとなります。そのせいか、いつもよりもボリュームがアップしております。
最後までお付き合いいただければ幸いです。
前回はIT-BCPを構築する上で必要となる文書のうち、「緊急時のための文書」について書きましたが、今回は「平時の文書」です。
前回も書きましたが、「緊急時対応マニュアル」とはある時点である状況を想定した上で策定したものです。
IT-BCPにおける「平時の文書」とは、「緊急時対応マニュアル」が有効であるのかを検証し、また、策定時点から環境や状況が変わっていないかを確認する維持・管理活動を行うための文書となります。
具体的には、下記事項を行うための活動計画書が主要要素となります。
これらの管理・維持活動はマネジメントシステムとして構築することが一般的に知られています。
いわゆる、「PDCAサイクルを回しましょう」ということで、事業継続の分野でも「BS25999」という「事業継続マネジメントシステム」の認証規格が有り、同様のISO規格の検討がISO PAS 22399として進んでいます。
実際に認証を取るかどうかは別として、これらの規格は文書をまとめて行く上で一つの参考になります。
本稿では、BS25999をベースにIT-BCPを管理・維持していくために必要となる文書の構成・内容について考えてみます。
![[図] BS25999:2-2007の構成](images/cons_column06_11.gif)
BS25999-2:2007の構成
「IT-BCP管理マニュアル」は「BCPを維持・管理するためのマネジメントシステムを規定する文書となります。つまり、PDCAを回すための仕組みを作るための文書です。
いわゆるISOマネジメント規格(ISO9001:QMS/14001:EMS等)でいうところの品質マニュアルや環境マニュアルに相当する文書となります。
ただし、第一段階では、シンプルにPDCAを定義し、実効性を高めることを目的とした方が取り組みやすいでしょう。
内容的には、以下の要素は入れておくことが望まれます。
対象となるIT-BCPの範囲を定義します。全社BCPの一環としてIT部門が取り組むのであれば、全社BCPにおけるBIA(事業影響度分析)にて重要事業とされた事業を支えるITが対象になるでしょう。
逆にIT部門主導で取り組むのであれば、IT部門責任者の判断で重要業務を決定し、それを支えるITとして定義することになります。
このマニュアルでは、具体的なシステム名等を記載するのではなく、各社における「重要業務を特定し、その業務を支えるITを適用範囲とする」程度の記載にとどめ、個々のシステムはBIAを実施して特定することとします。
管理体制・役割を決めます。おおよそ以下の役割が必要になります。
何のためにIT-BCPに取り組むのか、その目的と対応の基本指針を「IT-BCP構築、維持責任者の言葉」としてまとめます。
ITに対する継続要件(目標復旧時間、目標復旧ポイント、目標復旧レベルその他要件等)を定義します(実際の値はBIAの結果導き出すことになります)。
通常、使われる継続要件としては、「目標復旧時間(RTO)」と「目標復旧ポイント(RPO)」が主な項目です。また、システムの特性によっては「目標復旧レベル(RLO)」も要件として必要となります。
ただし、「目標復旧レベル(RLO)」の取り組みは初期の段階では難しいと思います。
まずはざっくりと「目標復旧時間(RTO)」と「目標復旧ポイント(RPO)」を決めておくことが最低限必要です。
いわゆるマネジメントシステム認証系規格でのお約束です。
ただし、ちゃんと回っているかどうかをチェックするためには、記録を残すことは重要です。
BCPの本体となる部分を策定し導入・定着・見直しする項となります。
本コラム2回目~4回目で書いてきた内容が主となります。
「事業継続計画の演習と維持及び改善」に関しては、これまで書いてきませんでしたので補足します。
「緊急時対応マニュアル」の初版はかなりの部分を想定のもと作成しているはずです。
これがちゃんと動くのかどうかは「演習」によって確認することになります。
「演習」には幾つかの分類があり、フェーズ単位での区分と、実施レベルでの区分のマトリックスで表されます。
例えば、フェーズ単位では、
等が考えられます。当然、「通し」で行うことも考えられますが、通常、実施は難しいでしょう。
また、実施レベルで考えれば、
も考えられます。
![[図] 演習のマトリックス](images/cons_column06_11-1.gif)
演習のマトリックス
まずはフェーズを区切り、机上演習を行うところから徐々にレベルアップを図っていくことが必要です。机上レベルで動くことを確認しないと、高度な演習では動かないことがあり得ます。
演習は、「緊急時対応マニュアル」を身に付けるのと同時に「緊急時対応マニュアル」の問題点を洗い出すことが大きなテーマとなります。
特に、管理者・責任者が活動できなかった場合の権限委譲がうまくいくのか?策定したシナリオで各個人が参集・移動できるのか?代替機の手配は?最初は問題が沢山出てくるはずです。
これを「緊急時対応マニュアル」」にフィードバックしていくことが重要です。
BS25999で要求している内部監査は、本稿で「IT-BCP管理マニュアル」として規定している維持・管理活動が行われているか否かを監査することを要求しています。
内部監査のポイントは、以下の3点です。
IT-BCPの責任者による見直しです。通常のマネジメントシステムでは内部監査の結果を受けて実施されることが多いと思います。
マネジメントレビューのポイントは以下の6点です。
マネジメントシステムを採用する利点は、一度決めた仕組みを継続的に改善していくことにあります。
一般的に予防措置とは顕在化していない問題点の改善、是正措置とは顕在化した問題点の改善を表します。
BCPにおいては、問題が顕在化した場合には手遅れとなりかねません。積極的に他社や別地区で発生した事件・事象に関して情報を収集し、自組織で発生した場合に問題無く対応出来るのか検討していくことが必要です。
「IT-BCP管理マニュアル」はBCPを構築し、維持するための文書であり、小さな組織ではこれらの要件を全て網羅する必要は(認証を取るのでなければ)ありません。
ただし、BCPにおけるマネジメントシステムの趣旨を理解した上で、要・不要を判断し、要素を取り入れて下さい。
IT-BCPの維持管理活動を年間活動計画に展開します。
「導入と運用」に関わる活動を中心に「誰が」、「いつ」、「何を」「いくら」で行うかブレークダウンしていきます。
ここの活動は別途詳細計画が必要になるかもしれません。特に教育や演習を行うに当たっては各部署との連携や協力がないと実行できません。
したがって、関連する部門等との調整や協力依頼を含めて計画・準備する必要があります。
システムやネットワーク構成の変更、新たなソリューションの導入等は年間活動ではなく、複数年度にまたがる活動となることも想定されます。
これらは組織の「中期計画」に組み込み、対応していくことが必要となります。
これまでITはコスト削減・利便性の向上を主たる目的として活用されてきました。その一方でITに依存するリスクに関してはあまり注目されていなかったように思います。
ITの導入・活用はそのメリットとリスクのバランスを考えていくべきです。そのためにはメリットの可視化とリスクの可視化を行っていくことが必要です。
その鍵は今回の連載でも紹介したITにおけるBIA(事業影響度分析)にあります。
ITに関わるBCPについて5回にわたって書いてきましたが、今回で一区切りとなります。何らかの参考になれば幸いです。
ご愛読ありがとうございました。
NECネクサソリューションズ
コンサルタント 吉川 明人
[CISA公認情報システム監査人,情報セキュリティアドミニストレータ,ネットワークスペシャリスト,NPO事業継続推進機構会員]
○スキューバダイビング暦15年、トータルダイビング本数1200本以上♪
ダイビングの基本はリスクマネジメントと、自らリスクマネジメントを実践!?
GW明け5ヵ月ぶりに海に復帰したものの感覚が戻らず・・・
普段からの訓練が重要であることを改めて実感
