日常業務にはあらゆる原因で中断が発生し得ます。企業規模の大小を問わず、従業員の仕事を妨げるようなイベントが発生します。このような業務中断は、自然災害からIT関連のインシデントあるいは通信障害など、数々の原因によって引き起こされます。問題は、私たちにどの程度の備えができているかです。
企業の災害復旧(DR)計画がテクノロジーのうちのコアとなる要素、データセンター、クリティカルなインフラストラクチャとシステムに注力するのに対し、事業継続計画(BCP)は、このようなイベントによる業務への影響を最小限に抑える、あるいは完全に防止することを目的とし、より幅広く組織全体を対象とします。
たとえばITシステムにはまったく問題ないが、従業員がそれにアクセスできない状況を想定してみてください。職場へ辿り着くことができず、また職場がリモートワークに対応していないとします。このような状況で業務を継続するにはどうすれば良いでしょうか?
BCPの作り方
事業を継続させるための計画は規模の大小を問わずあらゆる企業や組織にとってクリティカルなプロセスであり、通常業務の中断に対処するための枠組みを提供します。事業継続性を検討するにあたってのガイドラインを以下にいくつか示しておきます。
ビジネスに最初から回復能力(レジリエンス)を組み込む
ITインフラストラクチャやシステム、あるいはビジネスプロセスのいずれであれ、BCPの設計と構築は、中断を念頭において行う必要があります。ビジネス中断への対応能力を最初から組み込むことは、対策を後付けで実施しようとするよりも間違いなく容易です。
またテクノロジーだけでなく、従業員が作業を完了するまでのワークフローについても検討が必要です。ビジネスプロセスには従業員の頭の中にしか存在しないものが数多くあります。クリティカルなビジネスプロセスを特定し、文書化し、もし可能なら自動化する必要があります。
回復の対象とすべき機能を検証して優先順位を設定
業務が中断した場合、必ずしもすべてのサービスについて復旧が求められるとは限りません。事業継続の鍵となる機能を特定し、それらについて優先順位を設定する必要があります。従業員が職場に辿りつけるか、サプライヤー企業も対応できるかなど、ITだけでなくより幅広い視野から業務を検証してください。
業務中断を引き起こし得るさまざまな原因と、業務に含まれるさまざまな要素への影響を検討します。鍵となる機能を特定し、影響を検討したうえで、それぞれについてリスク軽減手段を策定します。
その回答は手作業に切り換えることであったり、あるいは特定のテクノロジーによる手段であったりします。そのような代替となる業務モードがどのようなものとなるかを規定し、それをBCPに組み込みます。