阪神淡路大震災や東日本大震災、毎年のように全国各地で発生する大雨災害、新型コロナウイルスによる緊急事態宣言。
いつどこで天災や事故に巻き込まれるかわからない状況です。
さらには毎日のように発生している情報漏洩(ろうえい)や不正アクセスなどの情報セキュリティに関わる事件も、企業にとって悩みの種です。
こうした背景があり、徐々に事業継続計画(BCP)が求められる時代になってきました。
中でも急激にデータ量が増えている情報化社会の中で重要度が増している「IT-BCP」について、中小企業のレベルではスッポリと欠落している場合が多いのではないでしょうか。
まず最初に経済産業省が定義するBCPの定義とは以下の通りです。
BCP(事業継続計画)とは、企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のこと
https://www.chusho.meti.go.jp/bcp/contents/level_c/bcpgl_01_1.html
BCPの中で情報セキュリティは大きく分けて以下の通り2つの側面があります。
- 災害が発生した際のビジネスのシステム運用を維持するための計画
- 情報セキュリティインシデントに対する対応
1は企業の活動が物理的な影響を受けてできなくなった場合の復旧対象の決定と優先順位の策定などを中心とした計画になります。
2は直接的に企業のデータやインフラが悪意を持った第三者に狙われることに対してどのようなポリシーを設定して対応していくのかを決め、かつセキュリティレベルを維持するべきかを検討する計画となります。
現代において意思決定に必要な情報収集・分析・伝達には情報システムが深く関与していることから、IT-BCPとして策定していく必要があります。
IT-BCPには、以下のような要素が構成されていなければなりません。
- 中核事業の選定とそこに関わる情報の精査、そのリスクの算出
- 事業運営のバックアッププラン(場所、人員、体制など)の検討
- ソフト面(プランの策定と周知など)とハード面(サーバの冗長化や事業所の整備など)の整備
- 最新の情報を取り入れた継続的なブラッシュアップ
あくまでもBCP全体との整合性を取ることが大事であり、システムが使えるようになっても事業が維持できなければBCPとしては未完成であることが重要です。
IT-BCPの策定にご不安があれば、是非弊社にご相談ください。