この物語は、BCMSチームメンバーである「みならい君」が、上司や先輩に指導を受けながら自社のBCMを構築する物語です。
第4回 事業継続戦略を決定するプロセス
リスクアセスメントとは
いさお常務
みんな揃ったかな?そろそろ4回目のミーティングを実施するよ!
みならい君
は~い、準備OKで~す。
けいこ先輩
本日もよろしくお願いします。
本日は、前々回に実施した事業影響分析(BIA)の結果と前回実施したリスクアセスメント(RA)の結果に基づき、事業継続戦略を決定するんですね。
本日は、前々回に実施した事業影響分析(BIA)の結果と前回実施したリスクアセスメント(RA)の結果に基づき、事業継続戦略を決定するんですね。
みならい君
今までの色々な調査や分析の結果に基づいて、ようやく具体的な決定や準備などを行っていくんですね!でも、具体的な戦略の対象はどこにあたるんだろう?
いさお常務
そうだね、2人とも良くISO22301の規格を予習してきたね。
実践的規範であるISO22313でも、事業継続戦略について、「組織の事業継続目的に合う方法で、BIAおよびRAで得られた所見に対処するために必要な活動を特定すること。
このような活動は、インシデントの事前、発生中および事後に必要となる可能性がある」と言っているよ。
実践的規範であるISO22313でも、事業継続戦略について、「組織の事業継続目的に合う方法で、BIAおよびRAで得られた所見に対処するために必要な活動を特定すること。
このような活動は、インシデントの事前、発生中および事後に必要となる可能性がある」と言っているよ。
けいこ先輩
体的には、①リスクアセスメントの結果で特定された“対応が必要と判断されたリスク”に対して対策を施すこと(リスク管理策の実装)と、②事業影響分析結果で特定された“復旧優先業務(工程)”を復旧し、再開し、継続するための基本要件、すなわち、BCPの基本要件を決定すること、なんですね?
みならい君
なるほど、よ~く分かりました!
いさお常務
それでは、リスク対応から始めてみようか。
みならい君
は~い!
リスクの対応
いさお常務
それでは、実施前にリスク対応の一連の流れを整理しよう。
けいこ先輩
はい!一連の流れは、①リスクアセスメントによって“受容できないリスク”を特定すること②それぞれの“受容できないリスク”、“リスクの対応オプション”を決定すること③そのリスク対応オプションの「リスク低減」が選択されたリスクに対する“リスク対策オプション”を決定すること、ですね!
いさお常務
そう、その通り。きちんと整理できているね。
みならい君
そのリスク対策オプションが、発生可能性の低減、発生時間の短縮、影響の抑制になるんですね!?
いさお常務
おっ、みならい君!予習の成果が出ているね。
ただし、重要なポイントは、この3つのオプションは並列ではなく、あくまでも“発生可能性の低減”が優先されるんだよ。
すなわち、インシデントの発生による事業活動への影響の可能性を下げることだよ。
そして、そのような対策を講じた上で、またはそのような対策が講じられない場合は、インシデントの発生による事業活動への影響の時間を下げるか、インシデントの発生による事業活動への影響を限定的なものにするための対策を検討するんだよ。
ただし、重要なポイントは、この3つのオプションは並列ではなく、あくまでも“発生可能性の低減”が優先されるんだよ。
すなわち、インシデントの発生による事業活動への影響の可能性を下げることだよ。
そして、そのような対策を講じた上で、またはそのような対策が講じられない場合は、インシデントの発生による事業活動への影響の時間を下げるか、インシデントの発生による事業活動への影響を限定的なものにするための対策を検討するんだよ。
けいこ先輩
なるほど、防災対策における「事前的対策」が“発生可能性の低減”にあたり、「事後的対策」が“発生時間の短縮”“影響の抑制”とにあたるんですね。
みならい君
さすが、けいこ先輩。さえてる~!
けいこ先輩
具体的には、生産ラインやシステムを二重化し、別の場所に設置するなどの対策や、自家発電装置の導入や装置のメンテナンス会社との優先保守契約の締結などの対策が考えられるわね。
みならい君
ICTシステムに対する対策には、アンチウイルスソフトの導入や無停電電源装置の導入、また、データのバックアップの定期的な取得が考えられますよ
いさお常務
それでは、具体的な作業は後で実施することにして、次は、“復旧優先業務(工程)”を復旧し、再開し、継続するための基本要件を決定するための一連の流れを整理しよう。
BCPの基本要件を決定することとは
けいこ先輩
ISO22301の規格要求事項では、“8.3.2資源に関する要求事項の設定”にあたるんですね!
みならい君
でも規格では、以下の資源に対する要求事項を決めろと言ってるけど何を決めればいいんだろう?
- 人
- 情報及びデータ
- 建物
- 作業環境
- 関連ユーティリティ
- 施設
- 設備及び消耗品
- 情報通信技術(ICTシステム)
- 交通機関
- 資金
- 取引先
- サプライヤー
けいこ先輩
それもそうよね~。
いさお常務
2人とも!簡単に言えば次の3つに関する基本要件を決めることを指しているんだよ。
- どこで復旧し、継続するか
- 誰が復旧し、継続するか
- 何を使って復旧し、継続するか
例えば、想定するリスクがパンデミックやICTおよび設備の障害であれば、業務の復旧サイトは、通常のサイトだけど、想定リスクが地震や火災、風水害であれば、通常のサイトではなく、代替オフィスや代替サイトがサービスの復旧および継続を行う場所となるよね。
そうなると、そこで使用される設備は、その場所に設置しておくのか、また、メインのサイトから移送するのか、などを検討する必要があるよね。
あわせて、移送するのであれば、その移送手段も検討しなければいけないしね。
けいこ先輩
なるほど、“要員”についても、どのような役割や力量を持った人が何人必要で、それらの人々は、どのサイトに配置するか、またその人たちの移動手段なども事前に取り決めが必要ね。
みならい君
そうだね。情報およびデータも、在庫リスト、取引先の連絡網、作業標準など、どのような情報が必要なのかを整理する必要があるし、同様に、事前に置いておくのか、持っていくのかを決める必要があるね。
けいこ先輩
それらの情報の最新版の管理や機密性の確保も検討が必要だわ!
いさお常務
2人とも完全に事業継続戦略の決定についてのイメージがついてきたね。
それらの基本要件を確実に整理し、決定しておくことにより、実効性の高いBCPを作成することが可能になるんだよ。
じゃあ、そろそろ作業に取り掛かろうか。
それらの基本要件を確実に整理し、決定しておくことにより、実効性の高いBCPを作成することが可能になるんだよ。
じゃあ、そろそろ作業に取り掛かろうか。
けいこ先輩
はい!この「リスク対応計画シート」「BCPと策定のための基本要件決定シート」に記載していくんですね。
みならい君
よ~し、がんばるぞ!
第4回の連載はここまでです。
次回は、ISO223018.4の事業継続手順に含まれる「手順」についてのディスカッションを覗いてみましょう。