ビジネス継続計画チェックリスト

チュートリアル

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

ビジネス継続計画(BCP)を堅固なリスク管理戦略の一部として持つことで、障害が発生した場合でも重要な機能を維持または迅速に復旧させることができます。BCPはまた、企業のインフラを保護し、インシデントに適切に対応するためのアウトラインとして機能します。

この投稿では、ビジネス継続計画チェックリストの重要な要素をリストアップしています。最小限の影響で運用を成功裏に再開するための最良の手順を発見するために読み続けてください。

なぜビジネス継続計画が必要なのか

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

ビジネス継続計画の主な目的は、緊急事態への対応チームが混乱するシナリオの前、中、後に必要な手順を段階的に完了させることで、緊急事態への備えを確保することです。このチェックリストがない企業は、通常のビジネスプロセスを維持するのに苦労し、データ、システム、または顧客を失うリスクが高くなります。これらの影響は、しばしば修復不可能です。

7ステップのビジネス継続計画

7つのステップのチェックリストは、組織に合わせて作成したビジネス継続計画を構築するための優先順位の一般的なフレームワークを作成するのに役立ちます。クライシス時にビジネス運用を維持するために必要なすべての手順を含めることができます。ビジネスの規模、業界、および脅威の種類などの異なる側面に基づいて、正確な詳細は会社によって異なります。

標準のビジネス継続計画には、通常、次のステップが含まれています:

  1. 災害対応チームの作成
  2. 重要なビジネスサービスの特定
  3. リスクアセスメントとビジネスインパクト分析を実施
  4. 復旧計画を作成
  5. 復旧目標を設定し、DRサイトを指定
  6. すべてのビジネスクリティカルなワークロードが保護されていることを確認
  7. 事業継続計画をテストして更新

これらの手順を詳しく見て、なぜこれらがBCPチェックリストの重要な要素であるかを理解しましょう。

1. 災害対応チームを作成

事業継続計画を策定する最初のステップは、緊急時に企業を稼働させる責任を負うチームを組織することです。BCPチームには、日常業務に関与する各部門のメンバーが含まれるべきであり、ビジネス継続計画の取り組みを先導するマネージャーを指定する必要があります。

重要なBCP担当者を特定する際には、組織に最も大きな脅威をもたらすさまざまな種類の災害の包括的なリストを作成して、適切な人材を募集する必要があります。ITシステムの障害、停電、施設の損傷など、異なる種類の緊急事態には、それらを適切かつ迅速に処理するための特定の知識と専門知識を持ったスタッフが必要です。

必要な情報を記録するためのテーブルを作成し、必要な場合に簡単に連絡できるようにしましょう。テーブルには、名前、役職、対応チームの役割、連絡先情報などを含めることができます。チームの各役割に対して少なくとも1人の代替を割り当てることを忘れずに。これにより、主任が責任を果たせなかった場合にボトルネックを回避することができます。

2. 重要なビジネスサービスの特定

ビジネス継続計画の主な目的の1つは、組織の機能に重要なプロセス、設備、リソースを特定することです。これらは、BCPを構築する上で重要なインフラ機能やサービスです。

これらの主要なサービスとインフラ要素には、おそらく以下が含まれます:

  • 電力システムと発電機
  • 通信機器 – WAN、LAN、電話、コンピュータ
  • ITシステムとサーバー
  • 建物のインフラストラクチャと施設
  • 特殊な機器やビジネスに重要な供給品

これらの要素を早急に復旧することは、運用を再開し資産を保護する上で重要です。

3. リスク評価とビジネス影響分析

事業サービスの主要な部分を特定した後、リスク影響評価を実施し、重要なシステム、活動、およびリソースに関連する脆弱性を発見する必要があります。リスク評価は、各脅威の発生確率を見積もり、災害が発生する可能性を反映します。

事業影響分析(BIA)は、通常、リスク評価と並行して実施され、事業運営に対する影響の重大性と重要性を評価できるようにします。BIAの主な目標は、リスクが具現化した場合に発生する金銭的および運用上の費用を分析することです。重要なプロセスや依存関係(顧客やパートナーなど)の許容レベルを決定するのに役立ちます。これらが主要なビジネス機能が低下したり、中断されたり、完全に停止した場合に。

こちらは、簡略化されたテーブルです。これを利用して、独自の分析の下書きを始めることができます:

ビジネスプロセス 影響カテゴリ 深刻度 最大許容ダウンタイム(MTD) 見積もりコスト 依存関係

複数のサイトを持つ組織は、各場所に対して別々のリスク評価とBIAを実施する必要があります。これらのサイトが地理的に離れている場合、課題やリスクが異なる可能性があります。頑強な事業継続計画は、異なる場所間の関係や依存関係も考慮に入れます。

4. 復旧計画の策定

前の手順を完了したら、災害発生後の業務復旧を中心にした復旧計画を作成する時です。事業継続性と災害復旧は密接に関連しており、特に災害復旧(DR)プランは事業継続性計画の重要な一部です。より詳細な災害復旧テンプレートについては、無料のホワイトペーパー「災害復旧ハンドブックとテンプレート」をダウンロードしてください。

DRプランは、できるだけ早くコアサービスを復旧するために実行する必要のある技術的な手順を明示します。復旧計画はデータに限定されるものではなく、マシン、ワークロード、プロセスも含めるべきです。

復旧計画には、以下の戦略を活用することができます。

  • 代替の業務手順 – 例えば、機械化または自動化されたプロセスのシステムが再稼働するまでの間、手動のワークアラウンドを使用する
  • A secondary or alternate site to resume business operations
  • サイトレベルのネットワークとサーバーのフェイルオーバー
  • ビジネスに重要なデータのオフサイトバックアップの復旧
  • 「ホットスペア」またはスタンバイリソース – プライマリコンポーネントが故障した場合にすぐに稼働できるリソース

以下のビデオでは、NAKIVO Backup&Replicationを使用して完全な災害復旧を行う方法が説明されています。

5. 復旧目標を設定し、DRサイトを指定します

リカバリータイムオブジェクティブ(RTO)またはRTOは、業務が復旧される前にどれくらいのITシステムのダウンタイムを耐えることができるかを決定します。リカバリーポイントオブジェクティブ(RPO)は、ビジネスがどれだけのデータ損失を許容できるかを定義します。RTOとRPOは、いずれのビジネス継続計画においても重要な指標です。

ネットワーク/データのフェイルオーバーのために災害復旧(DR)サイトを指定することは非常に重要です。これにより、プライマリの本番サイトがオフラインになった場合に即座に代替物を提供することができます。さらに、復旧目標が達成されることを保証するのにも役立ちます。

異なる地理的位置にあるDR施設は、仮想マシン(VM)などのリソースの「ウォームスタンバイ」コピーとして機能します。本番ネットワークをダウンさせるサイト全体の障害が発生した場合、トラフィックはDRの場所にフェイルオーバーされます。実質的に「ウォームスタンバイ」のVMは本番ワークロードとなり、ビジネスの運用を復元し、ビジネスの継続性を効率的に確保します。

高度なサードパーティのデータ保護ソリューションを使用して、本番VMをオフサイトのDR場所にレプリケーションし、レプリケーション間隔をRPOに合わせることができます。レプリカVMは元のマシンの正確なコピーであり、災害復旧計画を実施する際に自動フェイルオーバープロセスで使用することができます。

すべてのビジネスクリティカルなワークロードが保護されていることを確認してください。

災害の影響は、ビジネスに重要なデータを適切に保護することで大幅に軽減することができます。最小でも3つのバックアップを2種類の異なるストレージメディアに分散し、少なくとも1つのコピーをオフサイトに保存することで、バックアップを強固にします。

最短のRPOおよびRTOを実現するために、3-2-1バックアップメソッドに従ったビジネスデータのバックアップを実行します。これにより、本番ネットワークに影響を与えた同じ災害がバックアップデータにも影響を与えないようにすることもできます。

7. ビジネス継続計画をテストおよび更新する

ビジネス継続計画が完成したら、厳格なテストが必要です。これを行う最良の方法は、従業員にトレーニングを行い、彼らが自分の役割と責任を完全に理解していることを確認することです。定期的なトレーニングと演習を実施しないと、緊急事態への備えが保証されません。さらに重要なことは、完全なシミュレーションを行うことにより、計画内の弱点を特定して修正できることです。

実際の災害シナリオの流れを模倣するために、すべての手順を実行してください。この種のテストは、主要なチームメンバーがプロセスに精通したままでいるため、四半期ごとに行うのが最適です。さらに、インフラストラクチャ、環境、プロトコル、ワークロード、および/または労働力の変更は、計画内に複雑さを導入する可能性があります。これらの潜在的な障害は、完全な実行を通じてのみ発見されることがよくあります。

シミュレーションは独立した観察者が見守り、すべての脆弱性をメモできるようになります。各実行後にはデブリーフィングが行われ、その後、記録された弱点と提案された更新を文書化したレポートを作成します。レポートと更新された事業継続計画は、すべてのチームメンバーと共有されるべきです。

事業継続計画チェックリスト

以下は、緊急時の準備を確実にするために必要なフェーズを進むための簡略化されたBCPチェックリストです。

災害対応チームを作成する

  • BCPシニアマネージャーを指定する
  • 事業継続委員会を作成する
  • 対応チームメンバーを選択する
  • 役割と責任を定義する
  • 各チームメンバーの代理人を選択する
  • すべてのメンバー間で明確なコミュニケーションを確立する

重要なビジネスサービスを特定する

  • すべての電力システムをマッピングする
  • 通信機器を特定する
  • ITシステムとサーバーを特定する
  • 施設と特殊装置を特定する
  • サービス間の相互依存関係を特定する
  • 緊急サービスを確認する

リスクアセスメントと事業影響分析を実施する

  • 脅威と脆弱性を特定する
  • リスク許容度を確立する
  • 重要なビジネスプロセスを決定する
  • 各サービスの最大許容ダウンタイムを計算する
  • 財務、法的、規制、および顧客への影響を分析します
  • 重要なビジネス機能間の相互依存関係を特定します

復旧計画を作成します              

  • 連続性オペレーション計画(COOP)を作成します
  • 自動化されたプロセスの手動の回避策を起草します
  • サイトレベルのネットワークおよびサーバーフェイルオーバーの準備を行います
  • 重要データのオフサイトバックアップをテストします
  • 待機リソースが利用可能であることを確認します

復旧目標を設定し、DRサイトを指定します

  • ビジネスオペレーションを再開するためのセカンダリサイトを指定します
  • 復旧ポイント目標(RPO)を設定します
  • 復旧時間目標(RTO)を設定します
  • 災害復旧プロセスを管理します

ビジネスクリティカルデータを保護します

  • ビジネスクリティカルデータのバックアップを実行します
  • オンサイトおよびオフサイトのストレージデバイスにデータを保存します
  • エアギャップバックアップを保存します
  • 特定のバックアップに対して不変性を有効にします

ビジネス継続計画をテストおよび更新します

  • 年次、半年次、四半期ごとのテストを実施します
  • 年次ベースで完全なBCPシミュレーションを実施します
  • 監査プロセスを作成します
  • 脆弱性を特定し、計画を更新します
  • 従業員を訓練します

結論

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

このチェックリストは、最悪のシナリオでも耐えることができる効果的な事業継続計画のための枠組みを提供します。BCPは、NAKIVO Backup&Replicationのような高度なデータ保護ソリューションなしでは完全ではないことに注意してください。NAKIVOのソリューションには、バックアップとリカバリプロセスを実行するために必要なすべてのツールが含まれており、DRワークフローを自動化し、非中断のDRテストを実施してリカバリ目標を満たすことができます。

Source:
https://www.nakivo.com/blog/business-continuity-plan-checklist/