IT-BCPとは?
そもそも、IT-BCPとは何でしょうか。IT-BCPとは、企業(または組織)が、ビジネスの中断をもたらす災害や事件・事故等に遭遇した際に、ビジネスの継続に必要なITサービスの継続性を確保する計画のことです。現在、ビジネスの遂行においてITサービスの果たす役割が多くの割合を占めるようになっています。IT-BCPとは、不測の事態に対して、重要ビジネスの継続をITサービスの側面から支援する計画であるとも言えます。
ITサービスの継続性を奪いかねないITリスクには様々なものがあります。例えば、地震や津波、落雷等の災害、火災や停電等の事故、システムの誤作動や故障、DDoS攻撃や標的型メール攻撃等のサイバーテロ等、様々なリスクが存在します。
IT-BCPでは、これらのITサービスの継続性を奪いかねないITリスクに対して必要な対策を計画します。例えば、データのバックアップやシステムの冗長化を実施するとともに、システムの切替やデータのリストア手順を整備する等して不測の事態に備えます。最近では、クラウド環境にシステムを移行することで災害等に備える企業も少なくありません。
似たような計画は自社に既に存在するというIT部門の方もいるかもしれません。しかし、その計画は、IT-BCPとは似て非なるものである可能性があります。
例えば、販売システムの目標復旧時間(RTO)が定められていたとして、その時間は、営業業務自体の目標復旧時間と整合性が取れていますか? 販売システム自体が復旧してもそれだけでは業務を再開することはできません。業務を再開するためには、システムの復旧後、販売員を招集し、縮退したシステムの使い方を教育する必要があります。問い合わせのあった顧客への説明内容も組織として統一する必要があるでしょう。
また、販売システムの復旧において、バックアップしたデータのリストアの検証は済んでいるでしょうか? 実際にリストアを実施したところ、想定していたよりも時間がかかり目標復旧時間をオーバーしてしまったというケースをよく聞きます。システムをバックアップセンターに切り替えたまでは良かったものの、上位や外部のシステムの接続切替が必要であることが手順から漏れていたケースもあります。
いずれにせよ、これらについて未検討であるならば、あらためてIT-BCPの構築や見直しに取り掛かることをお勧めします。
