企業にとってのリスクと事業影響度分析:事業継続に真剣に取り組む(3)(2/2 ページ)
影響度調査とリソース調査
1. 重要業務の特定
第1回でご説明しましたが、BCPの策定の検討には、あらかじめ経営層が基本的方針を策定するのが効果的です。自社の置かれた社会的環境および経営戦略の観点から、BCP策定の対象とする事業領域の方針を定めます。
企業活動の中断を皆無にするためには、すべての領域に対してBCPを策定し、維持することが望ましいですが、それには莫大なコストが必要です。限られた予算などの資源を使用し、より効果的なBCPを策定するには、次にご説明する事業影響度分析を行います。しかしながらこの作業をすべての事業領域に対して実施すると、長い期間と多くの関係者の関与が必要となります。そのために、リスクの洗い出しと整理の段階で、自社としてBCPの対象とする事業領域の絞り込み、すなわち重要業務の特定を行います。
重要業務の特定作業では、対象とする業務の作業の流れであるプロセスを明らかにし、どの作業がどのような順序で実施され、どの部署に関係しており、そしてその作業のためにどのような資源を使用しているかを明確にします。これにより作業の種類と順序を明確にするとともに、その事業で必要な資源と関係する部署を明らかにします。
2. 影響度の調査
事業が中断した場合の影響度の調査は、作成済みのリスクシナリオを基に、現場の責任者や担当者に対してアンケート調査やインタビューの形式で実施します。そのためには、いくつかの準備作業が必要となります。
(a)リスクシナリオの明確化
影響度の調査では、回答者がリスクシナリオを理解していることが必要です。単に事業が停止した場合の影響を質問された場合に、回答者は自分の直感や、認識した範囲内で回答をすることになりがちです。それでは回答結果が個人の主観に大きく依存することになります。従って、回答者が事態発生時の状況を共通に認識することが可能なように、リスクシナリオを理解してもらう必要があります。
(b)影響度調査の対象者(対象部門)
影響度調査は、業務活動が停止した場合の業務活動当事者のみではなく、その周囲の関係者(ステークホルダ)の意見も収集する必要があります。特に業務活動の利用者、顧客などの意見も十分に反映する必要があります。
(c)影響度調査における評価指標
影響度調査では、その回答に対する評価指標をあらかじめ策定しておく必要があります。評価指標は、定量的なものと定性的なものがあります。定性的評価は、事業活動に対する直接的な影響度合いが把握しにくいため、可能な限りその評価を数値表現に変換し、定量的な比較で評価を行います。
以上の準備を実施したうえで、現業部門の責任者や担当者、さらにはステークホルダに対しての調査を実施します。
3. リソースの調査
リソース調査とは、業務を実施する際に必要となる資源(人、物、金など)を調査することです。工場の生産業務活動では、施設と設備に加えて、エネルギー、原材料、当該業務に関するスキルを持つ要員、情報システムの稼働などが必要です。これらのリソースを定義し、業務活動が停止した場合に目標とする復旧時間内での回復に必要なリソースを明確にします。この調査では、そのリソースそのものが必要なものと、代替が可能なものとを明確に分けます。
事業影響度分析報告書の作成
以上の調査を行った結果、企業として事業継続を図るリスクと継続手段・方法を決定し、事業影響度分析報告書としてまとめ、経営者の承認を得ます。この報告書で対応すべきとして決定されたリスクについて、これ以降の段階の事業継続計画の実施、導入作業で対応することになります。
報告書に記載する事項は、次のとおりです。
1.事業影響度分析の実施方法と手順
2.対象リスクとリスクシナリオ
3.対象とする業務
4.対象業務の影響度分析結果
5.対象業務に関係するリソース
6.基本方針と事業影響度分析結果の比較
以上、BCP策定において重要な事項である対象とするリスクの整理と事業影響度分析の概要をご紹介しました。次回は、今回のこのような作業を推進するための組織作りと策定したBCPの導入作業に関してご紹介します。
著者紹介
▼著者名 喜入 博(きいれ ひろし)
1969年日本ユニバック(現日本ユニシス)入社。 都銀第1次オンラインシステムの開発、金融機関の情報システムの開発などに従事。 2002年KPMGビジネスアシュアランス入社。2003年より金融庁CIO補佐官を兼務。2005年まで、内閣官房「情報セキュリティ基本問題研究会第二分科会」委員、および経産省「企業における情報セキュリティガバナンスのあり方に関する研究会」委員。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。