Microsoft PowerPoint - 事業継続マネジメントの基礎.ppt

事業継続マネジメントの基礎 1

1. 事業継続を脅かすリスクとは自然災害地震台風洪水事件事故火災設備故障システム障害電気通信交通インフラの停止テロ犯罪行為 SARS 新型インフルエンザなど 2

2. 事業継続 (BC) とは重要業務が中断したり操業度が許容限界を超えて低下することを可能な限り回避すること重要業務が中断したり操業度が落ち込んだとしても許容される期間内で業務を再開して操業度の復旧を図ること BC:Business Continuity 3

操業度(製品供給量など)平常時災害事件事故の発生初動対応 & 復旧対応目標復旧時間 (RTO) 最大許容停止時間 (MTPD) 復旧期間 (BCM 実施前 ) 許容される期間内に操業度を復旧させる復旧目標復旧水準 (RPO) 許容限界許容限界以上のレベルで事業を継続させる目標と現状の復旧期間の乖離を縮める時間軸 BCM 実施前の復旧曲線 BCM 実施後の復旧曲線 ( 注 ) 内閣府事業継続ガイドライン資料を一部修正 4

事業継続マネジメント (BCM) とは災害や事件事故などの重大なリスクが顕現化した場合に効果的かつ効率的に事業継続を確保するためのマネジメントプロセス継続的改善 Act Check BCM Plan Do BCM:Business Continuity Management 5

事業継続計画 (BCP) とは災害や事件事故など重大なリスクが顕現化した場合に事業を継続するための手続きを示した計画 BCP:Business Continuity Plan 初動対応計画 (IMP) とは重大なリスクが顕現化した場合に初期初動の対応を示した計画 IMP:Incident Management Plan 方針 BCM 関連文書 IMP BCP BCP BCP ( 自然災害 ) ( 事件事故 ) ( 新型インフルエンザ ) マニュアルマニュアルマニュアル 6

3. 事業継続マネジメント (BCM) のプロセス (1)Plan 計画 (2)Do 実施 (3)Check 点検 (4)Act 改善基本方針の策定事業インパクト分析 (BIA) リスクアセスメント (RA) BC 戦略の策定初動対応計画 (IMP) の策定事業継続計画 (BCP) の策定関連マニュアルの整備研修教育訓練の実施内部監査の実施継続的改善 7

( 参考 ) 内閣府事業継続ガイドライン Act Plan Check Do ( 注 ) 赤字 (Plan Do Check Act) は当方で付記 8

( 参考 )BS25999-2 0. 序文 ( まえがき ) 1. 適用範囲 2. 用語及び定義 3. 計画 Plan 4. 導入及び改善 Do 3.1 概要 3.2 確立及び管理 3.3 組織文化への定着 3.4 文書及び記録 4.1 組織の理解 4.2BCM 戦略の決定 4.3BCM 対応の開発及び導入 4.4 演習, 維持及びレビュー基本方針の策定事業インパクト分析リスクアセスメント BC 戦略の策定 IMP/BCP の策定関連マニュアル整備教育訓練 (1)Plan 計画 (2)Do 実施 5. 監視及びレビュー 6. Check 維持及び改善 Act 5.1 内部監査 5.2 マネジメントレビュー 6.1 予防措置及び是正措置 6.2 継続的改善訓練の実施内部監査の実施継続的改善 (3)Check 点検 (4)Act 改善 9

基本方針の策定計画 Plan 確立 Plan ( 参考 ) 英国規格協会 BS25999-1,BS25999-2 ( 注 ) 赤字は当方で付記 Act 継続的改善改善 Act 維持及び改善実行 Do 導入及び運営 Plan 事業インパクト分析 (BIA) リスクアセスメント (RA) BCM の組織文化への定着評価 Check 組織の理解 BS25999-2 監視及びレビュー内部監査の実施 Check Do 研修教育訓練の実施 Check BS25999-1 演習維持及びレビュー BCM プログラムの管理 BCM 対応の策定及び導入 BCM 戦略の決定 Plan BC 戦略の策定 Do 初動対応計画 (IMP) の策定事業継続計画 (BCP) の策定関連マニュアルの整備 10

(1) Plan 計画基本方針の策定事業インパクト分析 (BIA) リスクアセスメント (RA) BC 戦略の検討 BCM 目的の明確化経営陣の承認対象事業 ( 製品サービス ) の決定目標復旧時間の設定重要な業務活動の特定必要となる経営資源の特定脅威シナリオの設定被害の評価ボトルネックの洗い出し目標復旧時間内に対象事業を再開復旧するための具体的対応 (BC 戦略 ) の検討 11

留意点基本方針を策定する際は BCMの目的を明確にすることと経営陣の承認を得ることが重要事業インパクト分析 (BIA) では BCM 対象事業と目標復旧時間を経営陣の関与の下で決定するそして BCM 対象事業を支える業務活動のネットワークを詳細に分析し事業継続に不可欠な業務活動を洗い出し必要となる経営資源を特定するリスクアセスメント (RA) では脅威シナリオを設定してその被害を評価する重要な業務活動における被害を詳細に分析して目標復旧時間以内の業務再開復旧を阻害する要因 ( ボトルネック ) を洗い出す上記を踏まえ目標復旧時間内に対象事業を再開復旧するための具体的対応 (BC 戦略 ) を決定する 12

BCM 対象事業業務活動経営資源事業 A ( 製品 A) 事業 B ( サービス B) 業務活動 1 経営資源業務活動 4 経営資源業務活動 2 経営資源経営資源業務活動 3 13

BCM 対象事業業務活動経営資源事業 A ( 製品 A) 被害の評価業務活動 1 ボトルネック経営資源脅威シナリオ ( 災害事件事故 ) 業務活動 2 経営資源 BC 戦略経営資源業務活動 3 14

(2) Do 実施初動対応計画 (IMP) 初動対応の明確化文書化の策定事業継続計画 (BCP) の策定関連マニュアルの整備暫定復旧全面復旧に向けた組織体制対応の明確化文書化復旧対象 ( 拠点システム機器等 ) ごとの復旧手続き平常時における維持管理手続きの明確化文書化研修教育 BCM 基本方針初動対応計画事業継続計画関連マニュアルの周知徹底 15

現状の復旧期間操業度(製品供給量など災害事件事故の発生事前事後 ( 初動対応 & 復旧対応 ) 目標復旧時間 (RTO) 最大許容停止時間 (MTPD) 復旧目標復旧水準 (RPO) 時間軸平常時維持管理マニュアル )初動対応 (IMP) アクションリスト暫定復旧用 BCP 全面復旧用 BCP 暫定復旧用マニュアル全面復旧用マニュアル 16

留意点初動対応計画 (IMP) では災害事件事故が発生したときの初動対応を明確化しアクションリストなどの形で文書化する ( 例 ) アクションリスト緊急対策本部の設置役職員の安否確認被災状況の確認業務への影響の確認関係者への緊急連絡広報活動 BCP 発動の検討 17

事業継続計画 (BCP) では暫定復旧全面復旧に向けた組織体制対応を明確化し文書化する ( 例 ) BCP 発動後の緊急時体制本社重要拠点の機能確保 - 代替拠点システム B/U を含む必要な資源の調達確保 - 調達先のリストアップ具体的対応 (BC 戦略 ) の実施手順教育研修を実施して初動対応計画 (IMP) 事業継続計画 (BCP) 関連マニュアルの記載内容について周知徹底を図る 18

(3) Check 点検訓練の実施内部監査の実施訓練形態の選択訓練プログラムの作成事業継続計画 (BCP) や初動対応計画 (IMP) の実効性の評価 BCM 関連文書のレビュー関係者へのインタビュー訓練結果の検証 19

留意点 : 訓練の実施訓練の目的は事業継続計画 (BCP) や初動対応計画 (IMP) に習熟するとともにその実効性を検証し改善を図ること事業継続計画 (BCP) の導入定着状況を見極めて訓練計画 ( 中期計画年間計画など ) を策定する個別の訓練計画ではその実施目的を明確にして適切な訓練形態を選択し訓練プログラムを作成する事前に事業継続計画 (BCP) 初動対応計画(IMP) 等の実効性を評価する基準方法を定めて訓練を実施する訓練の実施結果を経営陣に報告する 20

( 例 ) 訓練の実施形態レビュー訓練形態シミュレーション訓練実施内容 BCM 関連文書の検証を通じて BCP/IMPの実行可能性や整合性を確認する一定の想定下で被害状況などを予測し具体的対応 (BC 戦略 ) を検討するはじめから想定を明らかにして行う場合と訓練実施の途中で想定を追加していく場合とがある実働訓練 BCP/IMP 関連マニュアルの手順に従って実際の設備機器など稼動させて重要業務の再開復旧が可能かを検証する 21

( 例 ) 研修教育と BCP 訓練のスケジューリング難易度BCP の実効性の検証 BCM 対象事業全体訓練ストリートワイド訓練参集訓練レビュー操作訓練本部設営訓練シミュレーションハックアッフシステム切り替え訓練教育研修避難訓練 BCP の周知徹底 22

留意点 : 内部監査の実施 (BCM の導入段階 ) BCM の導入段階では各作業における節目で BCM 関連文書に記載された内容を検証する基本方針が策定された時点でのレビュー BIA RAの結果報告が出た時点でのレビュー BCM 戦略が取り纏められた時点でのレビュー関係者へのインタビュー 23

留意点 : 内部監査の実施 (BCM の実践運用段階 ) BCM の導入段階で BCM 関連文書の検証を完了していれば BCMの実践運用段階では変更部分を中心とする検証を行えばよい BCM の実践運用段階ではむしろ継続的改善を促す観点から訓練の計画実施プロセス結果報告の検証により重点を移していくのがよい訓練の計画実施プロセス経営陣への訓練結果の報告訓練で判明した問題点と改善に向けた取組状況 24

(4) Act 改善継続的改善訓練内部監査の結果に基づく見直しの実施 BCM 対象事業あるいは重要業務の変更に伴う見直しの実施アクションプログラムの作成と実践経営陣の関与とBCM 要員の配置 25

留意点訓練内部監査の結果に基づき BCM の見直しを行う BCM 対象事業や重要業務に変更があったときも同様に BCM の見直しを行う BCM 見直しのポイントをアクションプランとして取り纏めて実践する上記アクションプランに関しては経営層の承認を得ることとその実施責任者 (BCM 要員 ) を明確にして進捗を管理することが重要 26

( 参考 1-1)BCM に関する規格ガイドライン ( 国内翻訳 ) 内閣府事業継続ガイドライン (2005 年 8 月 ) http://www.bousai.go.jp/minkantoshijyou/guideline01.pdf 経済産業省事業継続計画策定ガイドライン (2005 年 3 月 ) http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf 経済産業省 ITサービス継続ガイドライン (2008 年 9 月 ) http://www.meti.go.jp/press/20080903001/02_it_gl.pdf 中小企業庁中小企業 BCP( 事業継続計画 ) ガイド (2008 年 4 月 ) http://www.chusho.meti.go.jp/keiei/antei/download/bcp_guide.pdf 内閣府中央省庁業務継続ガイドライン (2007 年 6 月 ) http://www.bousai.go.jp/jishin/gyomukeizoku/pdf/ gyoumu_guide_honbun070621.pdf BCI Japan Alliance 事業継続マネジメント実践ガイドライン (BCI Good Practice Guidline2008 翻訳 ) http://www.bcijapan.jp/documents/bci_gpg2008.pdf 英国規格協会 BS25999-1 英国規格協会 BS25999-2 ( 正式な日本語版は日本規格協会より発行 ) 27

( 参考 1-2)BCM に関する業種別ガイドライン SEMI JAPAN 半導体産業向け事業継続ガイドライン (2004 年 6 月 ) http://www.semi.org/en/p037064 ( 社 ) 日本建設業団体連合会建設 BCP ガイドライン - 首都直下地震に備えた建設会社の行動指針 - (2006 年 7 月 2006 年 11 月 ) http://www.nikkenren.com/publication/index9.html 日本百貨店協会百貨店のための BCP ガイドライン (2007 年 6 月 ) 日本貿易会商社 BCP ガイドライン (2007 年 11 月 ) ( 社 ) 日本ホテル協会地震発生時の対応活動指針 (2007 年 12 月 ) ( 社 ) 不動産協会不動産協会事業継続計画ガイドラインオフィスビル賃貸事業編 (2007 年 11 月 ) http://www.fdk.or.jp/k etc/guideline.html 情報通信ネットワーク産業協会 /( 社 ) 電子情報技術産業協会電機電子情報通信産業 BCP 策定 BCM 導入のポイント - 取り組み事例と課題 - (2008 年 1 月 ) http://www.ciaj.or.jp/content/topics/pdf/080115_bcp.pdf 28

( 参考 2)BCM の標準化規格化の動向 2003 2004 海外英国規格協会 PAS56 米国カナダ NFPA1600 オーストラリア HB221 日本日本規格協会事業継続管理のための指針 (PAS56 翻訳 ) 2005 2006 2007 2008 シンガポール TR19 英国規格協会 BS25999-1 英国規格協会 BS25999-2 事業継続協会 (BCI) Good Practice Guidline2008 BCI(Business Continuity Insititute) は事業継続に関する国際組織 2007 年初版逐次改定 2007 年 3 月版で BS25999-1 を参照 2008 年 1 月版で BS25999-2 を参照現行は 2008 年 11 月版内閣府事業継続ガイドライン第一版経済産業省企業における情報セキュリティガバナンスのあり方に関する研究会報告書中小企業庁中小企業の BCP 策定運用指針財団法人日本情報処理開発協会 (JIPDEC) が BS25999-2 に基づく BCMS 適合性評価制度の準備として実証運用を開始 BCI Japan Alliance 事業継続マネジメント実践ガイドライン (BCI Good Practice Guidline2008 翻訳 ) 29

( 参考 3) 事業継続マネジメントに関する用語の整理事業継続 (BC) 事業継続マネジメント事業継続マネジメントシステム (BCMS) 事業継続計画 (BCP) 初動対応計画 (IMP) 事業インパクト分析 (BIA) リスクアセスメント (RA) 目標復旧時間 (RTO) 最大許容停止時間 (MTPD) 目標復旧水準 (RPO) BC 戦略レジリエンシー Business Continuity Business Continuity Management Business Continuity Management System Business Continuity Plan Incident Management Plan Business Impact Analysis Risk Assessment Recovery Time Objective Maximum Tolerable Period Desruption Recovery Point Objective Business Continuity Strategy resilience 30

響度確率影( 補論 1) リスクの計量化とはリスク事象の影響度を金額換算し発生可能性を確率であらわすリスク事象の発生シミュレーションや統計的分析により経営に与える影響を把握する大金額リスク事象の小発生シミュレーション低発生可能性高統計的分析 31

リスクの計量化と BCM への活用災害リスクは統計データ等にもとづいて計量化することが可能なものが少なくない発生頻度 ( 発生確率 ) 影響度 ( 損失額 ) リスクを計量化することによって優先順位を決めたり経営判断に活かすことが容易になるリスクの削減 ( 耐震工事補強工事 ) リスクの移転 ( 保険 ) リスクの許容 32

( 例 ) 地震の損失計測大きな損害をもたらす地震シナリオを選定してそれらによる損害額を推定する地震シナリオ損害計測モデル推定損害額震源情報マグニチュード緯度経度深度発生確率施設情報所在地建物構造階数建築年再調達価格損失計測モデル所在地の震度 ( 揺れ ) を算出して建物の全壊半壊一部破壊等を判定再調達価格を基準にして施設の損失額を推計する 33

留意点公的機関が公表している災害シナリオや過去に実際に起きた災害事例にもとづいて客観的なシナリオを置くことが多い損害関数は外部専門家のものを利用するときは計測過程がブラックボックス化しないように留意する損害関数による推計値は第一次アプローチに過ぎない利用目的によっては詳細な実地調査を行う必要がある 34

( 補論 2) 新型インフルエンザ対策従来の BCP とは基本的な観点が異なるため新たな BCP の策定が必要方針 IMP BCM 関連文書 BCP BCP BCP ( 自然災害 ) ( 事件事故 ) ( 新型インフルエンザ ) マニュアルマニュアルマニュアル 35

者数時間軸操業度(製品供給量など)染前段階未発生期第一段階海外発生期第二段階国内発生早期感染拡大期第三段階まん延回復期小康期感期第四段階再燃期 36

新型インフルエンザ対策を策定する際の主な観点感染拡大に伴う被害の最小化役職員顧客等の生命健康の確保社会機能として維持を要請される業務の有無業務を縮小する時期業務を縮小する水準業務を再開する時期 37

日本銀行金融高度化セミナー新たな業務継続計画新型インフルエンザ対策資料より 38