事業継続計画(BCP)とは
事業継続計画(BCP, Business Continuity Plan)とは、事業を継続するための計画です。つまり、破壊的な事象が発生した後に、事業を継続するための長期的な戦略的事業計画、方針、手順を策定するプロセスです。
事業に大切なものは、お金、ビジョン、優秀な経営者などいろいろ上がりますが、基本的にこれらは要素にすぎません。事業の目的はまず継続することです。採算がとれず事業破綻することが最も厳しいのです。
とはいえ、災害など継続しえないような状態になる場合があります。そのため、耐えうるように計画するのです。
ITだけでなく、影響を受ける可能性のあるすべての組織全体を対象としています。そして、事業継続計画は当然破壊的な事象が起こる前に作成され、継続的に改善されていくものです。
事業継続計画はいくつもの計画を統合したもの
事業継続計画も複数の計画からなります。特によく議論されるなは3つあります。
- 災害復旧計画(DRP) 施設・ITに特化した復旧計画
- 事業復旧計画(BRP) ビジネスに特化した復旧計画
- 運用継続計画(COOP) 災害を糧に既存の運用を改善する手順
事業継続計画の策定
①プロジェクトの開始
組織には、トップダウンのITセキュリティが必要です。ステークホルダーを特定し、Cレベル(CEOなど)の承認を得て正式に決定します上級管理職は、BCP/DRPのプロセスに関与し、コミットする必要があります。
最終的に責任を負い、組織のリーダーである上級管理職は、当然ながら優先順位、実行、計画そのものについて最終的な決定権を持っています。
②プロジェクトの範囲設定
何をやろうとしているのかを明確にする。何を行い、何処まで保証するものなのかを明文化します。
③事業影響分析
重要なシステムやコンポーネントを特定し、優先順位をつけます。優先順位は、業務やシステムが停止した場合に事業に与える影響度から評価します。
④予防的コントロールの識別
現在の予防的コントロールを特定します。予防的コントロールが適用されていない箇所があるのか、適切な予防的なコントロールが行われているのかを把握するために整理します。
⑤復旧戦略
DRサイトなどをどのようにして効率的に復旧させるのか戦略を検討します。具体的な手順等については、次のフェーズで決定します。
⑥計画設計と開発
災害からの復旧のための具体的な計画、手順、ガイドライン、ツールなどを策定します。
⑦模擬試験
計画をテストして、計画に基づいて行動できるようにスタッフを訓練します。
⑧BCP/DRPのメンテナンス
脅威の状況が変化する中で、BCPやDRPの改善や調整を続けなければなりません。
