事業継続性計画を策定する際には、4 つの主な分野に重点を置く必要があります。
事業継続性管理は、緊急事態が起こる前から導入していなければ効果を発揮しません。緊急事態対策チームを設置し、潜在的なリスクを予測して備えていれば、組織は災害発生時に指示を求めて右往左往しなくて済むはずです。予測のフェーズでは次のような作業を行います。
重要なリソースのインベントリを詳細に把握し、インベントリを増やせるときに増やしておけば、サプライチェーンの混乱が起こってもビジネスの継続に必要なリソースを確保できます。
現代のビジネスプロセスは単独で機能するものではなく、相互に依存する部門間で複雑につながり合っています。どの部門、プロセス、システムが他のどの部門、プロセス、システムと依存関係にあるのかを特定することで、どこに注力すべきかが明確になります。また、依存関係は組織外にも存在する場合があり、これも同様に対応する必要があります。
ビジネスインパクトアナリシスとリスクアセスメントによって、最も危険な状態にあるビジネスの主要な要素が明確になります。そうした領域を特定し、それらの優先順位付けを行うことで、BCP のマッピングの際に、最も重大な影響が出るおそれのある要素を検討の最重点対象にすることができます。
事業継続性計画を作っていくうちに、組織の潜在的に脆弱な部分がわかってくるはずです。こうした脆弱性は、緊急事態の際にさらなる問題を引き起こすおそれがあります。既存の弱点に対処し、定期的な予防活動を行えば、ビジネスの中断の可能性を低減させることができます。予防のフェーズでは次のような作業を行います。
多くの場合、適切なコントロールを整備していれば、さまざまな災害やその他の緊急事態に伴うビジネスの中断を回避できます。どの緊急事態に対してどのコントロールを実施するか (サイバー攻撃にはサイバーセキュリティコントロール、洪水には止水板など) を特定および確立することは、予防フェーズの事業継続性管理における不可欠な要素です。
策定している計画の効果を確かめるために、緊急事態が起こるまで待つわけにはいきません。従業員トレーニング、教育、プログラムレビューを行えば、計画の問題点の解決につながるとともに、問題が発生する前に予防しやすくなります。
迅速な対応は、ビジネスの中断に対して最も効果のある防御策だと言えます。システムに中断の兆候がないか積極的に監視し、問題発生時には適切に対応しましょう。高度な監視ツールなら、特定の状況に対して自動対応を設定することもできるため、課題となる応答時間をゼロにすることも可能です。
ビジネスの中断が起きた場合、どう対応するかがビジネスの成果を左右します。チームメンバー一人ひとりの責任を明確にし、方向性と安定性を備えた戦略を整備しておきましょう。対応のフェーズでは次のような作業を行います。
ビジネスの中断が起こったときに最優先するべきは、業務を再開できるように復旧することです。システムを重要度で優先順位付けし、影響を受けたシステムを迅速に復元します。他より復旧に時間がかかるシステムやアプリケーションもあることを把握しておきましょう。
コミュニケーションは災害対応に不可欠な要素です。影響を受けていないコミュニケーションチャネルを利用して従業員と連絡を取り、状況を知らせましょう。緊急時の連絡は常に簡潔かつ的確に行うことを心がけ、定められたコミュニケーションプロトコルに従います。さらに、顧客に影響が及びそうな場合は、何が起きているのか、問題解決のためにどのような対応をしているのか、最新の情報を顧客に提供する責任があります。
基幹プロセスと通信回線が正常に機能している場合、次に取り組むべきは損傷したり侵害されたりしたシステムの復元です。復元には時間がかかることもありますが、効果的な継続性計画を導入していれば、最もリスクの高い部分に先に対応できるため、平常復帰への時間を大幅に短縮できるはずです。
敵に遭遇すれば計画は必ず変わると言われます。しっかりとしたきめ細かな事業継続性計画は長期にわたって緊急時のビジネスを守ってくれますが、いずれは新しい環境や想定外の状況に適応しなければならないときが来るはずです。適応のフェーズでは次のような作業を行います。
問題やイベントの根本原因を特定するための体系的なプロセスと、それらを防止し対応するためのアプローチを実行します。これは、効果的な管理を行うには、ただ発生した問題を解決するだけでなく、問題の発生を防止する方法を見つける必要もあるという考えに基づいています。
コントロールの実効性を評価します。これには、コントロールが効果的に設計されているか、想定通りに機能しているかという評価も含まれます。実効性のギャップが特定された場合は、新しいコントロールを導入する必要があります。