- HOME >
- コラム&レポート >
- BCP総点検の勘所
IT-BCPを策定する 優先業務をRTO内に再開
BCP総点検の勘所 (第2回)
ITサービス継続管理の体系化を目的とした「ISO27031」では、ITサービスを対象としたBCPである「IT-BCP」について、ガイドラインが示されている。全社の事業継続マネジメントで特定した優先継続業務を、RTO(復旧目標時間)以内に再開することが目的だ。IT-BCPの取り組みを紹介する。
IT-BCPガイドラインのポイント
IT-BCPガイドラインのポイントは大きく五つがある。
(1)策定および運営管理体制を確立IT-BCPを策定するための体制(責任者の人選と、必要なスタッフの配置)の確立は、経営側が行うと明記してある。ITサービスの継続に関する最終責任は、経営者がおうことから、IT-BCP策定責任者はIT部門からと限定せず、最適な人材を選任することを推奨している。
(2)IT-BCP検討の前提条件を整理
全社BCMで特定された優先継続業務とRTOに基づき、ITサービスの現状を明確に整理し、組織内でその状況を共有することを求めている。明確にすべき項目は以下のとおりだ。
・優先継続業務とITサービスの対応に関する文書化。
・優先継続業務に必要なデータの分散配置状況とRPO(復旧目標時点)の分析。
・システム障害の想定復旧時間。
・バックアップシステムがカバーする業務範囲とその立ち上げ時間の確認。
・優先継続業務に関する契約および法的要件、必要な機器・設備・サービスなどの保守委託先・アウトソース先とのSLAの締結内容の確認。
・経営や業務側が求めるIT-BCPのレベルと、現状のITサービス継続能力のかい離状況、かい離により想定されるリスクの影響分析と、その結果の経営層への報告など。
IT-BCP構築にあたり、基本方針を定め、その内容について経営の承認を得た上で実施するよう規定している。戦略策定時に考慮すべき項目の概要は以下のとおりだ。
・全社BCMで特定された優先継続業務に必須なITサービスの、RTOとRPOの設定。
・ITサービスの稼働モードを、障害予防・障害検知・障害対応・復旧・復元に分類し、優先継続業務に必要なITサービスの各モードの現状分析と、バランスの良い最適な継続能力の実現方法の検討。
・ITサービスを継続するためのリソースを定義し、各リソースの課題分析や、RTOを実現するための対策案を検討する。ここでのリソースには、「人的要素(技術・知識・資格など)」「施設要素(データセンターやシステム運用拠点など)」「システム要素(ハードウエアやソフトウエア、ネットワークなど)」「データ要素」「業務委託要素(保守、運用、開発、ASPサービスなど)」がある。
・上記を踏まえ、ITサービスが抱えるリスクの組織への影響と、目標を実現するために必要なコストや期間などを含めた対策案の文書化、および経営への報告および承認(サインオフ)により方針確認を行う。
サインオフには重要な意味がある。対策案をすべて実行することは、予算や人的制約から、一般的に困難である。未承認項目は、経営が潜在リスクを認識したことを意味し、経営に報告されたITサービスにかかるリスク情報は、ITが抱えるすべてのリスクを経営に提示したことを意味する。
・IT-BCPの実効性評価基準の設定(切替/立上/データリカバリ時間など)。IT-BCP検討に関する、基本的な作業の流れは(図2)のとおりである。
(4)IT-BCPの実装と構築
承認された範囲での、IT-BCPにかかる各種対策の実行と構築結果の経営への報告と承認を求めている。
・IT-BCPの全体戦略や重要なITサービスのRTOとRPOの規定、回復のための時間軸、復旧担当組織とその責任範囲の明確化、各リソースの対応に関する手順化。
・IT-BCP発動の影響や、体面にこだわり、早期の障害拡大防止機会を逃すより、まずは発動して状況を見極め、不要であれば直ちに停止することをよしとしている。これは、どの分野の危機管理でも、適用すべき概念といえる。
事業環境の変化に伴い、全社BCMで特定する優先継続業務やRTOは随時見直される。IT-BCPもそれに応じて見直す必要がある。IT-BCPの維持管理のポイントは、以下のとおりだ。
・最新の全社BCM要件とIT-BCPの適応状況の確認。
・システム環境の変更(新設・構成変更・廃止など)のIT-BCPへの反映。
・IT-BCPの脆弱性の分析と対策。
・IT-BCPの実効性向上と検証を目的とした、訓練の実施。
訓練の目的・意義としては以下のものが挙げられている。
・IT-BCPとビジネス要件との適合性検証・担当者のスキルアップ、バックアップ設備の正常性確認、その他IT-BCPの問題点/課題/改善すべき事項などの洗い出し。
・IT-BCPの実効性評価基準の達成状況の検証。システム再開作業ごとの所要時間測定、バックアップシステムへの切替時間、バックアップデータのリカバリ時間の測定などがある。
・ITサービスの継続性を検証するための、訓練対象・範囲・内容の多様性を考慮した、訓練の企画と実施。
・訓練結果の経営への報告。
最後は、報告に関するものだ。
・IT-BCPの運営状況に関する、経営への定期的な報告。報告には、内部外部監査結果を踏まえ、IT-BCPの現状、訓練や障害で認識された課題、継続課題の進捗状況などを文書で報告し、承認を得ることを求めている。
野村総合研究所 金融ITイノベーション事業本部
チェンジマネジメント推進部
伊藤 繁
2003年よりBCP関連事業を担当。
事業継続計画の策定や業務環境の見直しに関するコンサルティング、金融機関向けデータセンター・
事業継続用バックアップ・オフィス提供事業、事業継続を目的とした事務のアウトソース事業に従事。
(著者プロフィールは執筆時のものです)