前回に引き続き、IT版のBCP(事業継続計画)について、お話します。
前回はRTO、RLO、RPOという判断指標についてお話をしました。今回は、要件定義の流れについて、2つの方法をお話したいと思います。
IT-BCPの要件定義の2つの流れ
改めて、一般的な要件定義の流れを説明すると、
1.BIAの実施(重要業務の特定と影響度の評価)
2.業務のRTO(目標復旧時間)、RLO(目標復旧レベル)設定
3.対象範囲と依存度の把握
4.ITサービスの3指標設定(RTO、RLO、RPO)の設定
5.必要コストの算定と調整
という流れです。経営陣が主体的に関与して、全体的なBCPの中での事業部門を巻き込んでIT-BCPを考えていく流れです。
この流れは業務プロセスからのアプローチという方法で、事業部門が関与するため、人手の作業による復旧も考慮することができますが、関係者が多いため、調整・定義に時間がかかります。
この関係者を減らし、時間短縮をする方法として、ITサービスの中断・停止によるリスクからのアプローチがあります。流れとしては
1.ITサービスのリスク特定と整理
2.業務プロセスへの影響分析
3.経営への影響分析
4.ITサービスの3指標設定(RTO、RLO、RPO)の設定
5.必要コストの算定と調整
後半は同じような流れですが、前半はITサービスを起点にしている分、対象範囲を絞り込むことができます。また、ITサービス中心で考えるので、IT部門を中心に進めることができ、比較的関係者を少なくできますが、ITサービス復旧へのハードルを高くあげがちなので、必要コストが高くなる傾向もあります。
2つのアプローチの使い分け
これらの使い分けですが、経営層や事業部門がしっかり関与して全体のBCPを考えながら、その上でIT-BCPを策定するのであれば、業務プロセスからのアプローチがおススメです。現場の納得感も得やすいですし、人による代替方法も検討できるのでコスト的にも妥当性が増すと思います。
一方で、全体的なBCPがなく、事業部門の関与を最小限にしてIT-BCPを考える場合、平たく言うとIT部門が中心となってITシステムの継続のための対策や保守運用のコスト算定を軸に考えたいときであれば、リスクからのアプローチで進めるのは有効だと思います。
特に社外の人が関係するサービス(自社提供のSaaSや受発注システム等)であれば、自社の内部的要因より外部的要因が重要になるので、よりリスクからのアプローチで進めていきやすいかもしれません。
具体的には実際のシステムの利用者の特定や頻度、そのデータ量といったものがIT部門のほうが把握しやすく、リスクの算定もしやすいからです。
また、リスクからのアプローチでも、ある程度ベースができた段階で、事業部門に関与してもらい、人による代替手段を検討してもらうのもいいです。この場合は、既にベースがあり、リスクが明確になっているので、事業部門も対策のイメージがしやすいからです。
注意すべき点としては、リスクからのアプローチがITシステム主体で評価してしまうと、ITシステムが関与しない業務が漏れ落ちる可能性があるということです。
ITが関与しない現場での業務や対人的な業務に関して検討できないため、対象範囲が狭くなっています。この点を十分留意して、全体的なBCPに展開する場合は追加検討するようにしてください。