BCPにまつわる話
千葉賢治氏
今回は、IT-BCPについて書いてみたいと思います。
まずは、IT-BCPとは、「情報システム運用継続計画」が正式名称です。
内容としては、
・企業や自治体が策定したBCPの中の情報システムの復旧について書かれた部分をより、詳細化した計画のことです。
・災害など非常時に情報システムを早期に復旧させ継続して利用するために必要な非常時の行動手順で構成される計画である。 IT-BCP には、非常時に適切な対応を取るために必要な事前対策や教育訓練等の平常における実施計画が含まれる。
・IT-BCP の策定ステップの概要は、
(1) 環境整備
情報システム部門で、IT-BCP 策定の方向性を検討する。
IT-BCP の策定に必要な体制を整備する。
IT-BCP の基本方針について関係者間で合意する。
IT-BCP の対象範囲について関係者間で合意する。
(2) 情報の収集・整理
危機的事象を特定する。
危機的事象の顕在化がもたらす被災状況を想定する。
(3) 分析、課題の抽出
業務部門と合意した対象範囲の組織や非常時優先業務、情報システム等のたな卸を行う。
対象業務の目標復旧時間(以下、「業務 RTO1」とする。)を明らかにする。
情報システムを支える構成要素(リソース)を洗い出す。
構成要素ごとに目標対策レベルを設定し、それに基づく情報システムの復旧優先度を設定する。
(4) 計画策定
【事前対策計画の策定】
危機的事象の発生時に情報システムに生じる被害状況の想定に対する情報システムの抱える脆弱性(情報システムの運用継続を阻害する課題)を把握する。
把握した現状の脆弱性を解消する対策(事前対策)を、システムごとに検討する。
検討した事前対策により、目標対策レベルとシステム環境の現状のギャップを解消し、運用継続能力を継続的に強化していく実施計画を策定する。
【非常時対応計画の策定】
府省庁の防災対策等と非常時に連携する情報システムの復旧継続活動に必要な対応体制を構築する。
非常時の初動から復旧までの大まかな流れを決めるために、全拠点における危機的事象の発生から復旧までの対応が示された「対応の全体フロー」を作成する。
非常時の体制で定めた担当が、それぞれどのような対応するかをより明確にした、非常時における「対応手順書」を作成する。
【教育・訓練計画の策定】
教育・訓練計画は、担当者の理解度や対応力を向上させるとともに、事前対策の改善につなげることを意識して策定することが望ましい。計画は、年度単位で策定するとよい(雛形 「4.1.教育訓練計画」の例を参照のこと)。
教育・訓練は、それぞれの対象者に適切な内容・時期で実施することで、その効果を高めることができると考えられる。以下に、体系的な訓練の実施パターンを例示する。
非常時には様々な対応が求められるので、全ての必要事項を一度の訓練で扱うと十分な成果を得ることが難しくなると考えられる。情報システム・非常時の対応等のうち優先順位の高いものから段階的に取り組み、徐々に難易度を高めていく、計画時に配慮することが望ましい。
【維持改善計画の策定】
維持改善計画は、事前対策計画、非常時対応計画、教育訓練計画それぞれを定期的に見直し、情報システム運用継続計画の実行性を継続的に維持できるよう検討する。維持改善計画を着実に実施して、定期的に全体を確認できるようにすることが重要である。
(5) 実施(評価・改善)
運用段階においては、策定された事前対策計画と教育訓練計画に則り、対策実施や教育訓練等の活動を行うことで、業務継続能力の強化を推進する。また、「維持改善計画」に基づいて、適宜各種計画の見直しを行い、計画の陳腐化を防ぎ、常に計画の新化を維持するように努める。
計画の見直し時には、関連部局や組織のレビュを必要に応じて受けるべきである。(防災、情報セキュリリティ等の推進部門に、それぞれの分野の観点から指摘を受けることは有効である。)
これは、「内閣官房情報セキュリティセンター 」が出している、IT-BCPの策定ガイドラインによるものです。
あくまでも、基本的な策定ガイドラインですので、BCPと同様、企業によって独自のIT-BCPを策定する必要があります。
気を付けていただきたいのはBCPとの整合性が保たれることです。
そうしないと、災害時に役に立たないものになってしまうからです。
弊社では、BCP、IT-BCPの策定支援も行っておりますので、お困りの際はお問い合わせください。