bcp (business continuity plan) and office365
TRANSCRIPT
BPC とは
•Business Continuity Plan / 事業継続計画•危機 (不測の事態) が発生したときに、企業存続の生命線である「事業継続」を死守するための行動計画
•危機で死なないために何をするか
危機は自然災害だけでない
•自然災害地震、台風、洪水、落雷、……その他
•人災火災、爆発事故、交通事故、犯罪、テロ、 ……その他
•情報災害情報漏洩、システム障害、サイバー攻撃、 ……その他
•不祥事欠陥製品、異物混入、食中毒、顧客トラブル、 ……その他
• その他原材料の輸入途絶、外注先の事業停止、 ……などなど
事業停止は他人事ではない
17.6%
10.3%
72.1%重要業務が停止
重要でない業務が停止
停止したことはない
4社に1社は事業停止を経験
資料:中小企業庁委託「企業のリスクマネジメントに関するアンケート調査」(2011年12月、三菱UFJリサーチ&コンサルティング(株))
従業員 300人以下の企業の
「災害」を契機にBCP を策定する企業が増加
1.4 2.1 3.5 3.5 4.9 7.0 12.7
16.9 21.1
35.9
58.5
83.8
100.0
0
10
20
30
40
50
60
70
80
90
100
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
累積比率
年
BCP策定企業の策定年(累積比率)
中越地震 能登半島地震
中越沖地震
岩手・宮城内陸地震
新型インフルエンザ
東日本大震災
資料:中小企業庁委託「企業のリスクマネジメントに関するアンケート調査」(2011年12月、三菱UFJリサーチ&コンサルティング(株))
事業継続能力の向上
1.方針の策定
2.ビジネスインパクト分析・検討
3.BCP 戦略・対策の検討と決定
4.BCP 計画の策定
5.事前対策教育・訓練
6.見直し・改善経営環境の変化に応じた
発展的改善と組織への浸透
内閣府事業継続ガイドライン第三版掲載の図版をもとに作成
全体のプロセスを管理する BCM
1.方針の策定
2.ビジネスインパクト分析・検討
3.BCP 戦略・対策の検討と決定
4.BCP 計画の策定
5.事前対策教育・訓練
6.見直し・改善経営環境の変化に応じた
発展的改善と組織への浸透
内閣府事業継続ガイドライン第三版掲載の図版をもとに作成
BCM(Business Continuity Management)
BCP と BPM
BCP
潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されている手順及び情報を文書化した事業継続の成果物。
BCM
組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランド及び価値創造活動を守るため、復旧力及び対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセス。
方針の策定
•全事業・業務が対象、ただし優先付けは必要
•リスク分析は網羅的に (抜けがないように)
•時間をかけ過ぎない
•法令との整合性に注意
•策定の責任を明確化 / 経営トップのコミット
1.方針の策定
ビジネスインパクト分析(BIA)
•組織における重要な事業・業務(基幹事業・業務)・プロセスの特定
•上記プロセスに関連するリソースの特定
• プロセス・リソースに対する事業継続のための脆弱性分析
経済産業省 : 企業における情報セキュリティガバナンスのあり方に関する研究会-報告書参考資料6 事業継続計画策定ガイドラインhttp://www.meti.go.jp/report/downloadfiles/g50331d06j.pdfより引用
2.ビジネスインパクト分析・検討
BCP 戦略・対策の検討と決定
•事業継続、復旧の優先順位付け
• ボトルネックの特定、事業継続のための対策立案
•目標復旧時間(RTO ; Required Time Objective)の設定• 業務復旧までに許される最大時間
• これ以上業務が中断したら事業継続が困難になるという時間の基準
•目標復旧ポイント(RPO;Recovery Point Objective)の設定• 業務復旧時に必要とされる時点のデータ類
• 業務復旧の時点でいつの時点のデータが「最新」として残っていないといけないかの基準
3.BCP 戦略・対策の検討と決定
BCP 計画の策定
• マニュアル、チェックリストは読みやすく、読み違えにくくする
•精緻になり過ぎず、すぐに理解できすぐに行動できる内容にする
•発動基準を設定、必要に応じて自動発動する仕組みも用意する
基本計画書
対応計画書①
行動マニュアル
チェックリスト
チェックリスト
行動マニュアル
チェックリスト
チェックリスト
対応計画書②
行動マニュアル
チェックリスト
チェックリスト
行動マニュアル
チェックリスト
チェックリスト
4.BCP 計画の策定
事前対策・教育・訓練
•事前対策 = BCP に基づく日常的な活動•代替手段、代替要員、バックアップのメンテナンス•情報の更新
•教育・訓練• BPC 計画の周知• BPC 計画の有効性をテスト・訓練で検証
•実際の業務担当者が実際の業務環境で行う•平日の業務時間に行う•役員・事業部長・部長クラスも参加する
5.事前対策教育・訓練
How To
•公的機関の用意した「ひな形」を活用
•中小企業庁: 中小企業BCP策定運用指針http://www.chusho.meti.go.jp/bcp/index.html
•東京商工会議所: BCPを作って信頼を高めようhttp://www.tokyo-cci.or.jp/survey/bcp/file/bcp_130314a.pdf(解説)http://www.tokyo-cci.or.jp/survey/bcp/file/bcp_130314b.pdf(様式)
Office 365
• Microsoft が提供するクラウド版グループウェアサービス
•使い慣れたMicrosoft Office (Word / Excel / Outlook) を通じて利用
• いつでもどこでも仕事ができる、マルチデバイス対応
緊急時に想定される影響
•社会資産への影響• ライフライン
• 情報通信
• 道路交通
• 公共交通機関
•企業資産への影響• 人
• 物
• 金
• 情報
ライフライン 情報通信
道路交通 公共交通機関
社会資産
人 情報
物 金
経営資源
事業中断リスクへの備え
帝国データバンク「BCP(事業継続計画)についての企業の意識調査」2012 年2 月調査http://www.tdb.co.jp/report/watching/press/pdf/p120308.pdfより引用
4,133
2,853
2,541
1,164
1,111
943
905
802
788
282
159
従業員の緊急連絡網(安否確認手段)の整備
調達先の複数化
情報システム(社内ネットワーク、サーバー)の複数化(バックアップ)
予備在庫の確保
物流手段の複数化
同業他社との協力体制構築(非常時の原材料融通など)
生産・物流拠点の分散
災害(地震)保険への加入
事業中断時の資金計画策定
原材料・部品を特注品から汎用品へ転換
その他
n = 7,511 社
人
•経営者
•従業員
•家族
情報
•情報処理機器(PC/サーバー)
•データ
物
•工場・店舗・事務所
•備品・設備・材料
金
•運転資金・復旧資金
•売上の消失
経営資源 Office 365 のフォーカスエリア
人
•経営者
•従業員
•家族
情報
•情報処理機器(PC/サーバー)
•データ
物
•工場・店舗・事務所
•備品・設備・材料
金
•運転資金・復旧資金
•売上の消失
経営資源 Office 365 のフォーカスエリア
人
•安否確認
•代替要員確保
情報
•代替機器の調達
•データのバックアップ
物
•防災対策(免震、防水)
•代替手段の確保
金
•必要な資金の把握
•現預金準備
事前対策 Office 365 のフォーカスエリア