これを書き終えると累計ブログ記事1万件まであと65通です。
前回は、BCP( 事業継続計画:Business Continuituy Plan)の基本概念とBCPの価値は
RTO
(目標復旧時間:Recovey Time Object)
であることを申し上げました。そして、それが防災計画との違いで行政は企業にやれやれというけれど、行政の仕事にはRTOがないことも申し上げました。
次にIT-BCPをみなさんと作っていきましょう。ゆっくりゆっくりね。
IPA(独立行政法人情報処理推進機構)という素晴らしい組織があります。ここではさまざまな情報処理関係の資格試験やホワイトハッカーの活動支援、サイバーセキュリティ対策を講じています。
IPAが上梓している「中小企業の情報セキュリティ対策ガイドライン第3.1版(無料)」という本があるのですが、そのガイドラインの第2部実践編には最初に「できるところから始める」とあります。つまり、さまざまな中小生来企業のサイバーセキュリティをサポートしてきたIPAは、中小零細企業の一番の問題点は「運用」であることをよく理解しています。さすがでですね。この本は完全に中小零細企業を意識しています。
その上で「インターネットの安全・安心ハンドブック(無料)」という本も上梓しています。これはIPAと警察庁・総務省・経済産業省が共同で作っています。どれほど中小零細企業におけるサイバー攻撃が活発化していることがわかります。このハンドブックも(もちろん大企業でも使えますが)、完全に中小零細企業のさまざまな業種を意識した作り方になっています。
災害等のBCPでは、BIA(ビジネスインパクト分析:Business Impact Analysis)をやって、何かが起きた時にどの事業を守らなければならないかという優先順位づけをやります。それは、幹部や従業員のみなさんが、日々、事業に触れていて、自分の職場の事業にどんな課題・問題点があるかを身体で把握できているからなのです。つまり顕在リスク(イベントリスク)がほぼ漠然とみなさんが理解しているので、それをいせいりしながら対策や計画作りをするのが災害のBCPです。BCPを策定する時にある経営者が言いました。この方は神戸の方です。「阪神・淡路大震災でもそんなものはなくてもなんとかなったデェ」と😆。いいじゃないですか。それほどご自分の事業に自信を持っているんだから😆。
ITの場合は、それを最初からわかってくれている従業員さんはほとんどいません。経営者自身がそうです。まあ、どこかの話だろうという「潜在リスク(グラデュアルリスク)」なのです。経営というのはリスクが顕在化する前にこの潜在リスクに対応していくことなのです。それがリスクマネジメントです。
なので、この二つの本では、災害のBCPで二番目に行う「リスクアセスメント(自社が抱えるリスク評価)」から実施することを推奨しています。
「中小企業の情報セキュリティ対策ガイドライン第3.1版(無料)」にはこう書いてあります。
「小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、
情報を安全に管理するための具体的な手順等を示したガイドライン」であると。
そのためにまず、「リスク分析シート」を用意したからそれをやってみてくれと。
IT-BCP 作成のためにまずはリスク分析で「情報資産の洗い出し」をしてくれと。
では、次回からリスクアセスメントのやり方を説明します。ゆっくりゆっくりね(この言葉は私自身に言い聞かせています。皆さんに約束するように)
コメントする