これを書き終えると平成二十一年(2005年)九月二十日に始めたブログがもうすぐ累計記事1万件になります。あと6通です。いよいよテンカウント。カウントダウンです。楽しみです。
このホームページジをお読みになると私の今の仕事がよくわかります。
このホームページジをお読みになると私の今の仕事がよくわかります。
https://batonz.jp/partner_adviser/keieisenryakushitsu/
この前、こんなオファーがありました。
「これまで、社員に対するサイバーセキュリティの研修を年に一度、十七年やってきました。でも、社員がかなりマンネリ化しています。それを打破するコンサルはできませんか?ISO20071の必須項目です」
そして、今までやったことは
・事件・事故事例の考察
・個人情報に関する事故ケーススタディ・ベネッセ事件
・日本年金機構の情報漏洩事件
・LINE流出
・ソーシャルエンジニアリング
・標的型攻撃メール
・コンプライアンス問題
・情報漏洩事件の振り返り
・内部不正
・情報倫理
だそうです。
もちろん断りました。経営者がこれでは何万回研修をやっても無駄です。これまでこのブログをご覧いただいた読者の方々にはわかりますよね。項目として網羅はされています。しかし、この経営が何を間違えているか。何に気づいてないか。自分が悪いのに。
それにISOというのはこの程度ものです。毒にはなっても益にはなりません。社員の皆さんももうとっくにこの研修は不要であることを見抜いています。オブリゲーション(義務)では人は動きません。
こういう経営は絶対にしないでください。
では、IT-BCPの手法を少し。今回は、手法を一つ一つIPAのよくできた資料に基づいて詳しく書くつもりでしたが、前述したことにかなりショックを受けています。それはやめて手法のスケジューリングだけ。
まだBCPを作成されていなければ初期レベルから入るといいでしょう。だけど絶対に社員一人一人の判断の醸成をくれぐれも大切にしてください。そのために作成には1年ぐらいかかることを覚悟してください。BCPは策定するものではありません。有事の即応・平時の緊張の人・組織創りです。
RA(リスクアセスメント:自社にはどんなリスクがあるかを検討する)
↓
BIA(ビジネス・インパクトアナリシス:有事を想定して事業その有事が事業い与える影響度を図る)
※医療などは地域連携まで考えた連携BCPの必要あり
↓
緊急時対応計画(有事が起きた時に即座にそれを分析してBCPを発動するかどうかを決める)
↓
事業継続計画(BCPの発動と体制と具体策を創る)
↓
演習(机上演習・大規模演習など)
↓
BCM(事業継続マネジメント:常に平時の緊張の業務を行う:チェック)
有事が起きたらどうしても行動が「対症療法」になりがちです。その対症療法を詳しく規定しておく必要があるのがBCPです。なので普段の業務からその根治療法による業務を行います(具体的には後日)
もう一度、 しつこいかもしれませんが、仕事をする上で、特に、戦略を練ってそれを運用していくときには絶対に大切なことです。
戦略を「細部に宿らせる」(目的から始める)
とその物事は必ず成功します。
BCPの目的は「有事の即応・平時の緊張の人・組織創り」です。
そして目標がRTO(目標復旧時間:Recovey Time Object)です。
必ずこの確認をしてからIT-BCP の作成に当たってください(BCPも同じ)。防災訓練とは全く違います。
前に、災害等のBCPと違ってIT-BCPは「リスク・アセスメント」から始めてくださいということを理由とともに申し上げました。これは、手段です。物事は、必ず、
目的→目標→手段(このくせを普段の業務の緊張から実効する)
の順に考えなければなりません。目的がない目標、目的も目標もない手段は絶対に避けないと社員は、「誰のために何のために仕事をするか。何をいつまでにどれだけするか」がわからなくなってバラバラに動いてしまいます。目標から入ってもいけません。なぜこの目標なのかがわかりません。
目的が 無き行いは 無意味なり そんな仕事は 行ふべからず
コメントする