ISO 27001 & BS 25999

あなたはおそらく、リスクアセスメントが済んでいるのに、なぜ事業インパクト分析（BIA）を実施しなければならないかを不思議に思っているでしょう。 リスクの特定は済んでいます。すでに企業の分析に長時間を費やしているのに、なぜさらなる分析が必要なのでしょうか。

BIAは目的が違うのです。 事業継続では、すべてが時間の問題です。適当な時間内に事業活動を復旧できないなら、復旧できるかどうかは問題ではなくなります。 この「適当」こそがBIAで決める事です。その主な目的は、組織の重要な活動のそれぞれについて、目標復旧時間を発見することです。

この種の分析は軽く見られがちです。企業は通常、誤った結果が不必要な出費や不適切な事業継続戦略につながることを認識していないばかりか、BIAを実施するために必要な労力が過小評価しています。

そこで、事業インパクト分析より効果的なものにするためのヒントを以下に紹介します。

（小さい）プロジェクトとして扱う。 導入に責任を持つ人、および、その権限を定義します。適用範囲・目標・時間枠を定義します。

準備として、優れたアンケートを作成する。よくできたアンケートは、時間を大幅に節約し、より正確な結果をもたらします。 BS 25999-1、BS 25999-2規格は、アンケートに含むべき質問について、非常によいヒントを与えてくれます。特に、中断による影響を特定して、時間にともなう変化を判定し、復旧に必要な経営資源を特定する必要があります。 影響を特定する際に、定性的な質問と定量的な質問の両方を使うのはよい方法です。

明確な基準を定義する。 回答者が質問に回答する際に、たとえば1～5の値を割り当てなければならない場合、その5個のマークが持つ意味を正確に説明するようにしましょう。同じ事象を、一般の従業員が破滅的と評価するのに対し、首脳部が中程度と評価することは珍しくありません。

人的交流によりデータを収集する。最善の結果は、事業継続に熟練した人が、重要な活動に責任を持つ人と面談することにより実現されます。そうすれば、未解決の疑問の多くがはっきりし、バランスのとれた解答が得られます。面談が不可能な場合には、全員参加のワークショップを最低でも一回は開催して、参加者が困っている事をすべて聞くようにしましょう。 言い換えれば、単にアンケートを送りつけて、送り返さない人を非難するようなことはやめましょう。

目標復旧時間を決定するのは、依存関係のすべてを特定してからにする。 たとえば、アンケートにより、重要な活動「A」の最大許容停止時間は2日間であると結論付けたとします。でも、重要な活動「B」の最大許容停止時間は1日間で、重要な活動「A」の支援がないと復旧できないとします。 つまり、この場合の「A」の目標復旧時間」は、2日間ではなく1日間であるということです。

私の経験では、BIAの結果はしばしば予想外です。目標復旧時間は通常、当初想定したより長いことが多く、BIAは、実際には単一障害点である経営資源間の依存関係を明らかにします。 でも、事業インパクト分析は何よりも、人々に想定外の事について考えさせる最も効果的な方法であり、そのような意識を生み出すことにより、企業の生存率を増やしてくれます。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 1: Business Impact Analysis（市販トレーニング）もご利用ください。

事業継続管理を導入する際に直面する最大の課題は、おそらく、事業継続計画を書くことです。

事業継続計画を書くことはなぜそんなに難しいのでしょうか。それは、災害（その他の事業活動の中断）が発生し得るさまざまなシナリオを検討して、そのような極めて稀であるが潜在的に破滅的なインシデントを処理する方法を考える必要があるからです。

そのような計画を書く人が一般に直面する問題には、計画に何を加えるべきか（何が主な要素か）、計画をどのぐらい長く（どのくらい詳しく）すべきか、計画にどんな手順を含むべきか、などがあります。

このようなジレンマに対する最善のソリューションは、BS 25999-2規格を使うことです。この規格はBS 25999-1とともに、計画を書くためのフレームワークを定義します。

これらの規格によると、事業継続計画は、(1)インシデント対応計画および(2)復旧計画から構成されている必要があります。 インシデント対応計画は通常、組織全体のために書かれた統一計画で、 インシデントの影響を減らす、救急隊に通報する、建物から避難する、集合場所に集合する、別の場所への移動手段を調達する、などの災害発生の直後に行わなくてはならない事を記述します。

復旧計画は通常、重要な活動ごとに書かれます。復旧計画に記載される手順には通常、次の通りです。さまざまなステークホルダー（従業員・その家族・株主・顧客・パートナー・政府機関・公共メディアなど）に伝える時期と方法、チームを招集する方法、インフラストラクチャを復旧する方法、アプリケーションが機能しているかどうか、および、アクセス権が適切かどうかをチェックする方法、損失したデータや災害によって破損したデータをチェックする方法、データを復旧する方法、復旧が完了して通常営業を開始できる時期を決める方法。

災害復旧計画（ICTインフラストラクチャの復旧計画）には、特定の重要活動の目標復旧時間以内に各システムを実行する方法を記述する必要があるので、注意深く書くべきです。これは通常、復旧する各システムの詳しい復旧計画を書くことにより実現されます。

原則として、このような計画には、その重要活動に従事している人が実行できない場合にも、他の従業員（または外部のスタッフ）が実行できる程度の詳しさが必要です。 したがって、計画を書く際には常識を働かせて、自分だけでなく誰もが理解できるようにしてください。

私の経験では、このような計画を書くときの最大の課題は、従業員がそれまで考えもしなかったような、まったく異なる事態に直面しなくてはならないということです。 そのような問題を乗り越えるには、起こる事やその対処方法に関する見解を共有できるようなワークショップ（モデレータはいてもいなくてもよい）を組織するのが最善です。

実際には、従業員が事業継続について考え始めるという事は、仕事全体の半分に過ぎません。そのようなアプローチをとることにより、事業継続計画の結果は数段向上します。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 3: Business Continuity Planning（市販トレーニング）もご利用ください。

あなたは事業継続管理/BS 25999-2規格の導入を検討中ですね。けれども、大変なコストがかかるという話を聞きましたね。 確かにコストはかかりますが、必ずしもあなたが思っている程ではありません。コストの問題は、すぐれた事業継続戦略があれば解決できます。

事業継続戦略とは、BS 25999-2規格の定義によれば、「災害又はその他大規模なインシデント、若しくは事業中断（混乱）などに直面したときに、組織の復旧及び継続を確実にする、組織によるアプローチ」です。したがって重要なのは、そのような災害が発生したときに、それに対処するための最善の準備をしておくことです。この準備には、組織的方策（計画立案・供給者/パートナーとの契約・演習・レビュー・意識向上など）と設備・インフラストラクチャなどに対する投資などの方策とがあります。

復旧時に極めて重要な要素は時間です。時間内に事業を復旧できないと、顧客や取引自体を失う可能性が高くなります。したがって、事業継続戦略では、重要な活動ごとに目標復旧時間（RTO）を設定する必要があります。RTOは活動ごとに異なる可能性があります。

ここで重要なことが一つあります。 それは、RTOを短くするほど、必要な投資は増えるということです。たとえば、データセンタを1時間以内に復旧するには、元の場所とほとんど同じ設備を持つ代替地に投資する必要があるでしょう。逆に、データセンタを2週間で復旧するために必要な投資ははるかに少なくて済むでしょう。なぜなら、代替地にはバックアップ・テープを保管しておけば十分ですし、必要な設備は2週間あれば調達できるからです。つまり、RTOは長すぎても短すぎてもいけないということです。

RTOの設定が済んだ後も、多少の投資を行う必要があります。けれども、優れた事業継続戦略があれば、投資を抑制しながら、目標復旧時間内で重要な活動を復旧することができます。以下はその例です。

• 代替地には独自のデータセンタが必要とは限りません。多くの国では、そのような場所を専門の企業から賃貸することができます。つまり、インフラストラクチャだけでなく、設備やソフトウェアに対する投資さえ不要な可能性があります。
• 代替地にはオフィスが必要とは限りません。顧客と対面する必要のない従業員は、在宅勤務でもかまいません。
• 別の場所に他の事業部門があって、災害の影響を受けた重要な活動を引き継ぐことができれば、代替地をまったく必要としない可能性もあります。
• RTO以内の設備納品を保証できる供給者を見つけることができれば、設備を事前に購入しなくてよい可能性があります。
• その他。

以上の例はすべて組織の能力向上を必要としますが、お金を節約したいのなら、確実に検討する価値があります。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 2: Business Continuity Strategy（市販トレーニング）もご利用ください。