Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

BCI 日本支部 2019 年度第 4 回定例会

181 views

Published on

This presentation was delivered at a BCI Japan Chapter meeting in March 2020.

Published in: Business
  • Be the first to comment

  • Be the first to like this

BCI 日本支部 2019 年度第 4 回定例会

  1. 1. BCI 日本支部 2019 年度第 4 回定例会 BCI Japan Chapter 3rd Regular Meeting 23 Dec. 2019 BCI 日本支部 2019 年度第 4 回定例会 BCI Japan Chapter 4th Regular Meeting 13 Mar. 2020 BCI 日本支部 事務局 田代邦幸 Kuniyuki Tashiro FBCI BCI 日本支部 事務局 田代邦幸 Kuniyuki Tashiro FBCI
  2. 2. Copyright 2020 Kuniyuki Tashiro 2 参加者の皆様へ • 定例会の内容は録画され、スライドとともに 後日 BCI の Web サイトにて公開されます。 • ご質問やご意見はチャット(文字入力)でお送り いただければ、できるだけ参加者の皆様に 口頭で共有させていただきます。 • 終了後にご意見・ご質問・ご感想などをお送りい ただける方は、Japan@bcichapter.net まで お送りください。
  3. 3. Copyright 2020 Kuniyuki Tashiro 3 本日の予定 • BCM における演習の実施に関するノウハウ • Good Practice Guidelines 2018 に基づく 解説と、質疑・ディスカッション
  4. 4. BCM における 演習の実施に関する ノウハウ Copyright 2020 Kuniyuki Tashiro 4
  5. 5. Copyright 2020 Kuniyuki Tashiro 5 「演習」と「訓練」との違い • 演習(exercise)は、この方法でうまくいくか 確認するために行う • 訓練(training)は、よりうまく(より早く) できるようになるために行う 妥当性や有効性の確認・検証 習熟度の向上 繰り返し演習を行うことは、 習熟度の向上にも役立つ。 訓練によって妥当性の検証が できることもある。 GPG においては PP6 Validation に 記載されている GPG においては PP2 Embedding に 記載されている
  6. 6. Copyright 2020 Kuniyuki Tashiro 6 Good Practice Guidelines 2018 Management practices PP1 Policy & Programme Management PP2 Embedding (Business Continuity) Technical practices PP3 Analysis PP4 Design PP5 Implementation PP6 Validation 演習については PP6 に記載されている
  7. 7. Copyright 2020 Kuniyuki Tashiro 7 Validation (PP6) Validation is the Professional Practice within the business continuity management lifecycle that confirms that the business continuity programme meets the objectives set in the policy and that the plans and procedures in place are effective. (参考: GPG P. 87) 「Validation」は BCM ライフサイクルにおいて、事業継続プログラムが、 事業継続ポリシーで定められた目的に合致し、計画や手順が効果的な状態 にあるかどうかを確認するための PP である。 Validation の目的は、事業継続ソリューションや対応体制が、組織の 大きさ、複雑さ、および種類を反映しており、計画が最新で、正確で、 効果的で、完全であることを確実にすることである。そして、全ての レベルにおける組織のレジリエンスを継続的に改善するためのプロセス が用意されているべきである。 The purpose of Validation is to ensure that the business continuity solutions and response structure reflects the size, complexity, and type of the organization and that the plans are current, accurate, effective, and complete. There should be a process in place to continually improve the overall level of organizational resilience. (妥当性の確認)
  8. 8. Copyright 2020 Kuniyuki Tashiro 8 Embedding Business Continuity (PP2) (参考: GPG P. 27) PP2 では事業継続に関する認識(awareness)と実践を、どのように 平常時の事業活動や組織の文化に統合(integrate)するかを明確にす る(define)。 事業継続を根付かせるための活動は、総体的な組織のレジリエンスを 向上させるために、関連するマネジメント分野との間で協働的なアプ ローチであるべきである。 根付かせる
  9. 9. Copyright 2020 Kuniyuki Tashiro 9 GPG における PP6 (Validation) の内容 • Exercising: • Developing an Exercise Programme • 全ての計画、全ての事業継続ソリューション、計画に 含まれる全ての情報、全ての関係者(代替要員を含む)を 確認できるように、複数のイベントや活動を含む 演習プログラムを開発する • Developing an Exercise • Maintenance: • Review:
  10. 10. Copyright 2020 Kuniyuki Tashiro 10 GPG での説明による演習の種類 • Discussion-based exercises • プレッシャーの少ない状況で、関連する課題について探ったり、計画 の内容を確認したり(walk through)する。改善が必要な特定の部分 に集中しやすい。 • Scenario exercises • リアルタイム、もしくは異なる局面にジャンプするようなシナリオに 基づいてディスカッションする。 • Simulation exercises • 実際のインシデントをシミュレートする状況付与を行う演習。 • Live exercises • 現場での実働を伴う演習。 • Test • 演習の独特かつ特有の形態で、計画中の演習の到達点又は目的の枠内 で合否を判定するもの。 これは手法による 分類であり、 規模とは無関係
  11. 11. Copyright 2020 Kuniyuki Tashiro 11 「シナリオ」(scenario)とは何か? • 演習を推し進めるためにあらかじめ計画されたストーリーで あり、演習プロジェクトのパフォーマンス目標を達成するために 使われる刺激剤。 • (演習参加者の)対応を促し、演習の流れを促進するために、演 習に挿入された筋書き情報。 注記 付与状況は、書面、口頭、テレビ画面に映し出す、及び/又は その他いかなる手段で伝達されてもよい(例えば、ファクシミリ、 電話、E メール、音声、無線、合図など)。 (JIS Q 22398:2014 における定義) (参考)「付与状況」(inject)
  12. 12. Copyright 2020 Kuniyuki Tashiro 12 演習の企画・準備における留意点 • Realism(リアルさ) • シナリオがリアルであるほど、参加者が全力で演習に取り組み やすくなり、かつ計画の妥当性の検証にもより有効になる。 • 実際にインシデントが発生した場合と同じ手法や手順を実行 するのが望ましい。 • Managing risks(リスクマネジメント) • 演習が業務の妨げにならないよう注意する。 • 演習実施に伴うリスクについて経営者の理解と承認を得ておく。 • 不慮の事態に演習を速やかに中止する手順を決めておく。 • Costs and benefits(費用対効果) • より複雑な演習にはより多くのコストを要するとともに、 業務への支障が発生しやすくなる傾向にある。
  13. 13. Copyright 2020 Kuniyuki Tashiro 13 演習の目的・目標(objectives) • 適切な人員が、警報の発出、プロセスの開始やエスカレーションを実施で きるか? • 勤務中のマネジャーが招集手続きを開始できるか? • インシデント管理者が最初のマネジメント会議を招集できるか? • 対応チームのメンバーは効果的な意思決定能力を示せたか? • 主要な人員はインシデントの記録(log)を行ったか? • 優先順位の高いシステムが目標復旧時間のうちに回復・復旧できたか? • 部門は代替サイトで、利用可能な資源を使ってサービスを再開できたか? • 対応体制は BCP に書かれているとおりに設置されたか? • BCP のとおりに役割と責任が割り当てられたか? • 関係者との間で連絡ルートは設けられたか? 演習で用いられる評価基準の例
  14. 14. Copyright 2020 Kuniyuki Tashiro 14 振り返り(Debriefing) • Hot debrief(演習終了直後にその場で行う) • Formal debrief(後日あらためて行う) • 個人レベルの事項よりも、組織全体に関するような事項が扱われる • Surveys(アンケート) • Interviews(後日ヒアリング) • Post-exercise report(演習報告書) • 改善提案が含まれる 参加者間で演習の経験を共有し、演習から得られた教訓について合意し、 それらが事業継続プログラムに取り込まれるようにするために行う。 演習報告書に書かれた演習結果が、確実に組織でのレビューに反映され、 事業継続プログラムのアップデートにおいて考慮されるようにするための、 マネジメントプロセスが存在することが絶対に不可欠である。 (参考: GPG P. 94)
  15. 15. Copyright 2020 Kuniyuki Tashiro 15 質疑応答・議論 • 「演習プログラム」はどのように作られていますか? • 演習のシナリオや付与状況を作る際に、どのような 工夫をされていますか? • 演習の目的・目標や評価基準はどのように設定されてい ますか?また、評価はどのように行われていますか? • 演習後の振り返りはどのように行われていますか? また、どのような工夫をされていますか?
  16. 16. Copyright 2020 Kuniyuki Tashiro 16 BCI World Conference 2020 来年はより大規模な会場を求めて会場を Birmingham に移します。 日本からも多数のご参加を歓迎します。 Birmingham ICC. Thursday 5th & Friday 6th November 2020 ( Picture from Birmingham ICC Website http://www.theicc.co.uk/ )

×