BCPの範囲をITに絞った、いわゆるIT-BCPについて、様々な点から解説していきましょう。
IT-BCPとは何を意味するものなのか、特徴や目的について解説していきましょう。
IT BCPとは、ITシステムのBCP対策です。
一般的なBCP対策はシステムの復旧です。システムとは、業務に関するシステムで様々です。例えば運送業者であればトラックの運行システム等になりますし、サービス業であればサービスを提供するためのシステムの部分になりますが、IT BCPはITシステムのBCPになります。
IT化が進んでいることから、どの企業に於いてもITのBCPも考慮しなければならない時代となっていることから、注目度が高まっています。
IT BCPの目的は、企業のITシステムの復旧を目的としたものですが、ITに関しては自然災害だけを対象にしたものではありません。
例えばハッキング、情報漏洩もBCPの対象と考えてよいでしょう。アクシデントが起きた際、いち早く元の状態に戻すための計画がBCPです。そしてITにはITならではなトラブルやアクシデントが発生しますので、自然災害だけを対象とするのではなく、様々な事象を対象に、業務に関するデータの保全や復旧を目指します。
IC BCPを策定するための具体的な手順としては、主に下記の流れになります。
まずはIC BCPの基本的な方針を決めます。
具体的には対象範囲です。何を優先するのかや、トラブルに応じて復旧対象の選定など、IT BCPに関して経営者、関係者等と合意形成を図りましょう。
どのようなリスクに備えるかを制定しましょう。IT BCPの場合、地震や津波といった自然災害だけではなくサイバー攻撃など、サーバーに関する何らかのトラブルやアクシデントも想定しておかなければなりません。 すべての事象を対象にするとなれば現実的ではありませんしコストもかかりますので、ある程度対象を絞った方が良いでしょう。
どのような被害が考えられるのかを予め想定しておきましょう。 この点も被害によって異なる部分です。不正アクセスなのか、自然災害なのかなど、事象の種類によって被害状況は異なるものなので、それぞれ想定しておきましょう。
トラブルが起きた時、どこから対処すべきなのかの優先順位の策定です。 システムは多々あるかと思いますが、重要度は異なるはずです。業務において重要なシステムこそ、いち早く改善・復旧させなければならないものなので、優先順位をつけることで、いざという時にはその順位に沿っての改善を行います。
対策レベルを評価することで、ITシステムの脆弱性を確認します。 BCPは予算も必要ですが、予算規模はそれぞれ異なるはずです。そのため、まずは脆弱性を確認することで、どこが弱点なのか、改善のためにはどれだけの費用が必要なのか等を計画します。
何らかの形でシステムが被害を受けた時、どのような対応を取るかです。復旧のために必要なものは何かや、対応する責任者・担当者を誰にするのかなど、非常時の対応計画、あるいは訓練等も計画しておくとよいでしょう。
いくつかの施策が挙げられますが、基本となるのはバックアップです。システムのバックアップを取ることで、いざという時に対応できます。他にもデータの遠隔地保存、システムの二重化も主な施策になります。このように、何かが起きたとしてもデータのバックアップがあれば、データの復旧が早まります。いくらデジタルデータではあっても、0から元通りに戻すことは難しいですが、バックアップがあれば、復旧の手間もかかりません。これらのポイントとして、経営者がBCPに対して興味を持つことです。なぜなら、BCPはそれなりに予算がかかりますので、経営者の理解が重要です。予算に応じた計画を策定し、策定を従業員やスタッフに徹底してこそ、ITBCPの効果も高まります。