前回の「企業のBCPとDRPは本当に機能するのか(前)」はいかがでしたでしょうか? 前回は、企業の企業継続計画(BCP:Business Continuity Plan)と災害復旧計画(DRP:Disaster Recovery Plan)に潜む落とし穴と言うテーマで、話をしました。
その中で、皆さんが所属する企業の「BCP」とIT部門が主幹になる「DRP」は連携を取った形で企業の事業継続のために機能するのかという話もしました。また、商流、物流を有事の際に速やかに復旧するためには、商流、物流を企業の中で俯瞰的に見渡せる我々IT部門が深くかかわってBCPを策定改訂する必然性についても話しました。
今回は、前回に述べた落とし穴を訴求する形で、DRPとBCPに関する重要ポイントを抽出し、そのアプローチをご紹介したいと思います。
事業継続計画の課題と改善アプローチ
「IT部門が事業継続計画に深くかかわる必要がある」と言う私の持論は、「IT部門のみが情報資産を適切に俯瞰的に判断できる部門である」という点からきています。情報資産とは、IT部門が管轄するインフラ(ネットワーク、データセンター、その周辺機器など)、業務を支える様々なアプリケーション群や業務の根幹となる様々な情報すべてを指しています。
この中で「情報の価値」を考えると、各部門が管轄している情報(顧客情報、製品情報、受注情報、在庫情報、出荷情報、生産関連情報、開発関連情報、購買情報、経理関連情報など)を俯瞰的に見渡し、かつ関連部署や経営陣と連携を取りながら「価値判断」を評価するには、IT部門が社内で最適な立ち位置にいます。
それでは、企業の事業継続計画を策定するアプローチについて、例を交えて述べていきます。
前回述べたように事業継続計画を考えるうえで大事なことは、「リスクの属性をまず考える」ことです。企業が考えるリスクは人的災害、物理的(システム的)災害、自然災害がもたらすリスクに大別されます。事業継続計画策定アプローチとしてこれらの要因を考え、企業内に起こり得るリスクを列挙するところから始まります。そして、それら列挙したリスクに関する影響度を識別(分析)し、優先順位を設定し、対策を考えていくというアプローチになります。
図1は以前に述べた事業継続計画策定アプローチを俯瞰的に示したものです。これを見ると「リスク抽出」と「リスク分析」に対して情報資産の判断がいかに大きくかかわっているかがわかります。事業継続計画策定の細かなステップと具体的な注意事項は別の機会に譲り、今回は事業継続計画の概要アプローチについて述べていきましょう。
