Forrester Research, Inc.
ルディガー・クロネスキー プリンシパル・コンサルタント
ビル・ネイゲル リサーチャー
多くの事業が、1年365日を通じて常に休むことが許されないようになっている。予定外の大規模なサービス提供の中断は言うまでもなく、短期間のサービス停止であっても、事業への影響は計り知れない。こうした状況では災害復旧策を適切に手当てしておくことが、短期間で通常業務を取り戻すための保険となる。
我々の顧客の1社は「災害復旧は、いまやITプロセスにおいて重要な個所になっている。そこで、IT資源の分散配置や構成の組織化、災害復旧に対する要求を理解するための事業部門とのすり合わせが求められている。仮にそれを順守していないと、被災後に何とかするのは非常に難しいだろう」と指摘している。以下のような確立された手法に従い、常に先回りしておくことが重要だ。
1.要件の特定
事業への波及分析を行い、同時にどれくらいの頻度でその分析内容を見直すか決定してほしい。内容は、最低でも1年に1度は見直すべきである。波及分析を変更した場合には、BCP(事業継続計画)全体にどれくらいの影響が生じるのかも確かめておく必要がある。最後に、災害復旧の配下に置いたすべての事業と情報システムを見直すスケジュールを決定してほしい。
2.脅威に対する査定の実行
波及分析に従って、定期的にすべての脅威とリスクの査定を見直してほしい。加えて、不定期に生じる新しい脅威を評価するオプションも用意する必要がある。
3.標準化された方法論の採用
BCPの立案はとても複雑である。 この分野の標準規格ISO17799とISO 27001は、あなたの考えを具体化し道筋を整理するのに有効かもしれない。
4.予算の確保
IT部門は、BCPの選択や金銭的な影響度に対する助言を与えることにだけ責任を負うべきである。実際にお金を支払う責任は、事業部門にとどめておく。いかなる場合でも、事業部門がデータと事業プロセスの保有者なのだから。
5.効果測定基準の導入
BCPへの備えを重要度に応じて分類し、各分類が全体の運用コストにおいてどれくらいの割合を占めるのか測定してほしい。3~4年のサイクルで、技術オプションに対する支出を比較してほしい。
6.立案後のBCPの確認
IT部門にはBCP立案者かマネージャを置き、その責任者が確実に積極的に管理プロセスの変更にかかわれるようにしておくことが理想的である。さらに、標準的なBCPのサービス・クラスを設けて、その支出額をサービスごとに算出し、運用コスト全体に占める割合を示してほしい。さらに、サービス・クラスそれぞれが利用する技術については、2年に1度の頻度で評価してほしい。これは、ほかにもっと効率のよい選択肢がないかどうか確認するための作業である。
7.試験の実行
BCPを試行する時期を決めるために、BCPの安定運用の期限を決めてほしい。主要な試行の間にも、BCPに影響を及ぼしそうな変化については、導入する前には必ずテストしてほしい。情報伝達の模擬試験は、フェイルオーバーを円滑に実行するのとBCPプロセスを試験するのによい手段である。これによって、非常時において自らが果たす役割を全員が自覚できるようになる。最後に、BCPのチームは、熟練した試験責任者を用意するべきである。試験責任者の役割は、試験内容を策定してメンテナンスし、試験そのものを監督することである。
