2007年08月14日
● ベンチマーキング:
課題抽出の手法の一つで、ベストプラクティスを実現しているプロセスモデルの評価、彼我とのギャップ分析から課題を明確にするのが基本である
● BCMベンチマーキング:
BCMは事業継続管理全体の枠組み及び実践についての出来栄えを見るのが本来であるが、BCPと対比する場合は枠組みに関する出来栄えを見ることが主眼となる。即ち、マネジメントシステムとしての出来栄え評価となる。
この場合は、BS25999等で提示された実践規範がベースライン*として活用できる。*25999はベストプラクティスを志向したものであるためベースラインと言うには少し厳しいレベル。
即ち、単純にBCMを評価するには、BS25999規格が要求する管理モデルに対する充足度合いを測ればよい。
その他、スタッフの関心事としてはBIA実施手順、脅威の洗い出し手順などの比較検討は興味深いものになるだろう。
課題抽出の手法の一つで、ベストプラクティスを実現しているプロセスモデルの評価、彼我とのギャップ分析から課題を明確にするのが基本である
● BCMベンチマーキング:
BCMは事業継続管理全体の枠組み及び実践についての出来栄えを見るのが本来であるが、BCPと対比する場合は枠組みに関する出来栄えを見ることが主眼となる。即ち、マネジメントシステムとしての出来栄え評価となる。
この場合は、BS25999等で提示された実践規範がベースライン*として活用できる。*25999はベストプラクティスを志向したものであるためベースラインと言うには少し厳しいレベル。
即ち、単純にBCMを評価するには、BS25999規格が要求する管理モデルに対する充足度合いを測ればよい。
その他、スタッフの関心事としてはBIA実施手順、脅威の洗い出し手順などの比較検討は興味深いものになるだろう。
事業継続管理ライフサイクルと書いてみたもののノー・アイデア。
年間のマネジメントサイクル。平凡だね。
年間のマネジメントサイクル。平凡だね。
“A ⊿ T”分析 (エー・デルタ・ティー分析)
BCMの世界で何が“A ⊿ T”分析に該当するのか。BCMSのこと。
BCPもベストプラクティスを探してきて“A ⊿ T”分析 アプローチは可能。
続きを読む ...
BCMの世界で何が“A ⊿ T”分析に該当するのか。BCMSのこと。
BCPもベストプラクティスを探してきて“A ⊿ T”分析 アプローチは可能。
続きを読む ...
インシデント管理プロセスからBCPプロセスへ
問題を咎める上司や経営者がいると問題は減る。これ常識です。経営者が問題報告を喜べば問題は増える。マニュアルを作っても運用は人心です。
インシデントでもエスカレーションは正しく行われません。減衰フィルターをいくつも通すことになります。あるいは遅延フィルターがかかります。もう少し問題がはっきりしてから報告しよう。迂闊に報告すると混乱する。
そういう組織は訓練が不十分ですから必ず混乱しますね。
BCPが発動されないままBCP結果報告が出ていた。よくある話?
続きを読む ...
問題を咎める上司や経営者がいると問題は減る。これ常識です。経営者が問題報告を喜べば問題は増える。マニュアルを作っても運用は人心です。
インシデントでもエスカレーションは正しく行われません。減衰フィルターをいくつも通すことになります。あるいは遅延フィルターがかかります。もう少し問題がはっきりしてから報告しよう。迂闊に報告すると混乱する。
そういう組織は訓練が不十分ですから必ず混乱しますね。
BCPが発動されないままBCP結果報告が出ていた。よくある話?
続きを読む ...
どこにでもあるリスト。そこには個人の自宅、私有の携帯、親戚または保証人の連絡先が記載されている。部署ごと、役割ごと、など。組織に根ざす草の根ネットワークと言ったところ。案外にこれが機能する。
安否確認システムを持っているところもあるが、定期的に訓練していなければ全く役に立たない。緊急連絡網とも連動していない。
緊急連絡網を組織として管理しようとすると結構大変です。それ自身が脆弱性を提供することになりかねない。
続きを読む ...
安否確認システムを持っているところもあるが、定期的に訓練していなければ全く役に立たない。緊急連絡網とも連動していない。
緊急連絡網を組織として管理しようとすると結構大変です。それ自身が脆弱性を提供することになりかねない。
続きを読む ...
● 中小企業庁:これは使える。お薦め!
http://www.chusho.meti.go.jp/bcp/index.html
http://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_01_3.html
● DTI (Department of Trade and Industry):良く分からない。名称変更?
http://www.dti.gov.uk/index.html
http://www.dti.gov.uk/sectors/infosec/infosecadvice/continuitymanagement/definition/page33398.html
http://www.dti.gov.uk/sectors/infosec/infosecadvice/continuitymanagement/10pointplan/page33397.html
● 内閣府ガイドライン
http://www.bousai.go.jp/
http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf
http://www.bousai.go.jp/MinkanToShijyou/kigyou-WG_02.pdf
● JIPDEC調査報告書
http://www.isms.jipdec.jp/keirin/sw/
http://www.isms.jipdec.jp/doc/BCM1803.pdf
● 渡辺研司「事業継続マネジメントに企業はどう取り組めばよいか」
http://premium.nikkeibp.co.jp/ae/watanabe/01/
● BCI:Business Continuity Institute
http://www.bcijapan.jp/
● 日本案骨子
http://www.jsa.or.jp/stdz/mngment/PDF/bcp_kosshi060307.pdf
● 経産省内勉強会資料
http://www.keikoren.or.jp/info/20061206-3.ppt
http://www.chusho.meti.go.jp/bcp/index.html
http://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_01_3.html
● DTI (Department of Trade and Industry):良く分からない。名称変更?
http://www.dti.gov.uk/index.html
http://www.dti.gov.uk/sectors/infosec/infosecadvice/continuitymanagement/definition/page33398.html
http://www.dti.gov.uk/sectors/infosec/infosecadvice/continuitymanagement/10pointplan/page33397.html
● 内閣府ガイドライン
http://www.bousai.go.jp/
http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf
http://www.bousai.go.jp/MinkanToShijyou/kigyou-WG_02.pdf
● JIPDEC調査報告書
http://www.isms.jipdec.jp/keirin/sw/
http://www.isms.jipdec.jp/doc/BCM1803.pdf
● 渡辺研司「事業継続マネジメントに企業はどう取り組めばよいか」
http://premium.nikkeibp.co.jp/ae/watanabe/01/
● BCI:Business Continuity Institute
http://www.bcijapan.jp/
● 日本案骨子
http://www.jsa.or.jp/stdz/mngment/PDF/bcp_kosshi060307.pdf
● 経産省内勉強会資料
http://www.keikoren.or.jp/info/20061206-3.ppt
● BS 25999-1:2006 実践規範(ガイド) 2006/11リリース。
● BS 25999-2:2007 要求規格 2007/07リリース見込み。
● BS PAS56 公開仕様 2003/03リリース。
● ISO27001:2005 要求規格 2005リリース
● JIS Q 17799 規範規格 2005リリース?
続きを読む ...
● BS 25999-2:2007 要求規格 2007/07リリース見込み。
● BS PAS56 公開仕様 2003/03リリース。
● ISO27001:2005 要求規格 2005リリース
● JIS Q 17799 規範規格 2005リリース?
続きを読む ...
BCM構築の推進手順はやはりBS25999-1が参考になる。まもなくBS25999-2もリリースされるが、要求規格としての体裁にしつらえなおされるだけでしょう。
4. 事業継続管理方針
5. BCMプログラムマネジメント
6. 組織の理解
7. 事業継続戦略の決定
8. BCMを実現する手法の開発と実装
9. BCMへの取り組みに関する訓練、維持管理、レビュー
10. BCMの組織文化への導入
手番を尽くせば(工数掛ければ)出来ないことは無いでしょうが、一番難しいと感じるのは方針・戦略の経営者マター。誰でも分かるくらい情報・データが揃ってからの判断しか出来ない経営者は論外として、少ない情報で判断せざるを得ないわけで、仮説検証型アプローチが取れるかですね。
続きを読む ...
4. 事業継続管理方針
5. BCMプログラムマネジメント
6. 組織の理解
7. 事業継続戦略の決定
8. BCMを実現する手法の開発と実装
9. BCMへの取り組みに関する訓練、維持管理、レビュー
10. BCMの組織文化への導入
手番を尽くせば(工数掛ければ)出来ないことは無いでしょうが、一番難しいと感じるのは方針・戦略の経営者マター。誰でも分かるくらい情報・データが揃ってからの判断しか出来ない経営者は論外として、少ない情報で判断せざるを得ないわけで、仮説検証型アプローチが取れるかですね。
続きを読む ...
ISMSの規格を見るとBCM構築の推進手順の参考になる。JISQ17799の方が説明があって分かり易い筈。
14.1.1 事業継続管理手順への情報セキュリティの組み込み
14.1.2 事業継続及びリスクアセスメント
14.1.3 情報セキュリティを組み込んだ事業継続計画の策定及び実施
14.1.4 事業継続計画策定の枠組み
14.1.5 事業継続計画の試験、維持及び再評価
続きを読む ...
14.1.1 事業継続管理手順への情報セキュリティの組み込み
14.1.2 事業継続及びリスクアセスメント
14.1.3 情報セキュリティを組み込んだ事業継続計画の策定及び実施
14.1.4 事業継続計画策定の枠組み
14.1.5 事業継続計画の試験、維持及び再評価
続きを読む ...
「アセスメント・戦略」フェーズ
○ リスクアセスメント手順、評価方法など実施案の検討
○ リスクアセスメントの実施推進
○ リスクアセスメント結果を踏まえた戦略検討
○ 他社のBCM/BCP状況調査
○ 事業継続管理標準の理解
○ その他
「BCP策定・訓練」フェーズ
○ BCP策定の枠組みの検討
○ 該当システムのBCP策定または策定フォロー
○ BCPレビュー
○ BCP訓練計画の枠組み検討
○ BCP訓練計画の策定又は策定フォロー
○ BCP訓練準備及び実施(立会いレベルも含めて全員参加)
○ BCP訓練レビュー
○ 次年度BCM計画に向けた検討
○ その他
続きを読む ...
○ リスクアセスメント手順、評価方法など実施案の検討
○ リスクアセスメントの実施推進
○ リスクアセスメント結果を踏まえた戦略検討
○ 他社のBCM/BCP状況調査
○ 事業継続管理標準の理解
○ その他
「BCP策定・訓練」フェーズ
○ BCP策定の枠組みの検討
○ 該当システムのBCP策定または策定フォロー
○ BCPレビュー
○ BCP訓練計画の枠組み検討
○ BCP訓練計画の策定又は策定フォロー
○ BCP訓練準備及び実施(立会いレベルも含めて全員参加)
○ BCP訓練レビュー
○ 次年度BCM計画に向けた検討
○ その他
続きを読む ...
内部統制は経営の要求・事業の要求に沿ってITが開発・運用されているか。要求以外の余計なことをしていないか。それらを確実にする管理策。
論点の設定が上手く出来ない。以下は試行錯誤。
1)内部統制の担当者はBCM要求事項をどのように取り込めばよいか。
・内部統制項目として、緊急時の対応を明確にする。
2)BCM担当者は内部統制の要求事項をどのように取り込めばよいか。
・コンプライアンス要求の一つとしてカバーする。
・BCP策定時に統制項目との不整合を発生させない。
論点の設定が上手く出来ない。以下は試行錯誤。
1)内部統制の担当者はBCM要求事項をどのように取り込めばよいか。
・内部統制項目として、緊急時の対応を明確にする。
2)BCM担当者は内部統制の要求事項をどのように取り込めばよいか。
・コンプライアンス要求の一つとしてカバーする。
・BCP策定時に統制項目との不整合を発生させない。
目次構成案と言うことになるのかな。必須記載事項と言うことになるのか。
○ 責任者
○ 連絡ルート、連絡方法
○ 復旧のための実施手順
○ 復旧のための実施フロー図(一目で理解可能な分かりやすいビジュアル)
○ 策定・承認・発行等の日付
○ リスク事象(=BCPタイトル)
○ 当該BCP適用対象システム
○ 復旧までの暫定的な業務実施手順(業務部門主体だ賀、IT部門に役割がある場合は明記する)
これもまだ思いつきレベルです。後でまた整理したほうが良さそうです。まだ旅の途中と言うことで。
○ 責任者
○ 連絡ルート、連絡方法
○ 復旧のための実施手順
○ 復旧のための実施フロー図(一目で理解可能な分かりやすいビジュアル)
○ 策定・承認・発行等の日付
○ リスク事象(=BCPタイトル)
○ 当該BCP適用対象システム
○ 復旧までの暫定的な業務実施手順(業務部門主体だ賀、IT部門に役割がある場合は明記する)
これもまだ思いつきレベルです。後でまた整理したほうが良さそうです。まだ旅の途中と言うことで。
どこまで訓練するか。日常的に準備しているにも拘らず訓練を実施していないものについての取り組み方針が必要。訓練によっては訓練自体がリスクを抱えるので責任者(関連部門の責任者も)の判断が必要。
続きを読む ...
続きを読む ...
データの特性を分かりやすくするために四象限の図表を使うことが多い。リスクをX-Y軸で見るときに何をX-Yにするかは興味深い。が、なかなか適当なものが見つからない。
<例>
X軸:偶発的か、意図的か
Y軸:組織の中にあるか、組織の外から来るか
続きを読む ...
<例>
X軸:偶発的か、意図的か
Y軸:組織の中にあるか、組織の外から来るか
続きを読む ...
金融業が抜きん出て真剣に取り組んでいる。
データの読み方で注意が必要。全社・全事業で取り組んでいるか、部分的に取り組んでいるかを見極めること。工場が10個あって、その一つが取り組んでいても「取り組み」と回答しているケースもありますから。
この辺のデータはサイトを探すと割りと見つかりますが、だから? と聞かれても答えようがありません。
続きを読む ...
データの読み方で注意が必要。全社・全事業で取り組んでいるか、部分的に取り組んでいるかを見極めること。工場が10個あって、その一つが取り組んでいても「取り組み」と回答しているケースもありますから。
この辺のデータはサイトを探すと割りと見つかりますが、だから? と聞かれても答えようがありません。
続きを読む ...
地震:93%
火災:72%
情報システム障害(故障含む):67%
地震以外の自然災害:59%
情報漏洩:41%
法令違反:28%
サイバーテロの発生(ウイルス感染等):26%
社員の不祥事:22%
物理的なテロ発生:21%
疫病伝染病の蔓延:11%
企業スキャンダル:10%
企業合併/買収(M&A):6%
戦争:4%
労使紛争:3%
KPMGビジネスアシュアランス㈱ BCMサーベイより。KPMGはこの問題に積極的に取り組んでいるようだ。
火災:72%
情報システム障害(故障含む):67%
地震以外の自然災害:59%
情報漏洩:41%
法令違反:28%
サイバーテロの発生(ウイルス感染等):26%
社員の不祥事:22%
物理的なテロ発生:21%
疫病伝染病の蔓延:11%
企業スキャンダル:10%
企業合併/買収(M&A):6%
戦争:4%
労使紛争:3%
KPMGビジネスアシュアランス㈱ BCMサーベイより。KPMGはこの問題に積極的に取り組んでいるようだ。
○ 地震:建築基準法の設定以下ケース震度6弱、設定上ケース震度6強、地域を設定。
○ 防災システム研究所:村山氏は震度6強でBCPは策定することを推奨していた。
○ 6/21内閣府ガイドライン:マグニチュード7.3直下型でのBCP策定指示になっている。尚、地震対応最優先としている。
○ 両者のレベル差は? 両者とも実質的に阪神淡路(兵庫南部)地震を想定したもので同じ。
○ 火災:場所と程度を設定。
○ 風水害:場所と程度を設定。
○ 長時間の停電。CVCF容量を超える時間単位・日単位の停電。自家用発電機があれば問題ない。
○ 長時間のネットワーク停止。キャリア側の事故等による時間単位・日単位の停止。データ系または音声系。
○ 未知のウイルスによる大量・広域感染
○ 重要施設運用者の病気・怪我等による長期欠勤あるいは集団欠勤
○ 機密情報流出
○ WEBサイト等に対する外部からの深刻な攻撃(アクセス不可、内容の改ざんなど)
思い付きを並べた感じだね。今一です。
○ 防災システム研究所:村山氏は震度6強でBCPは策定することを推奨していた。
○ 6/21内閣府ガイドライン:マグニチュード7.3直下型でのBCP策定指示になっている。尚、地震対応最優先としている。
○ 両者のレベル差は? 両者とも実質的に阪神淡路(兵庫南部)地震を想定したもので同じ。
○ 火災:場所と程度を設定。
○ 風水害:場所と程度を設定。
○ 長時間の停電。CVCF容量を超える時間単位・日単位の停電。自家用発電機があれば問題ない。
○ 長時間のネットワーク停止。キャリア側の事故等による時間単位・日単位の停止。データ系または音声系。
○ 未知のウイルスによる大量・広域感染
○ 重要施設運用者の病気・怪我等による長期欠勤あるいは集団欠勤
○ 機密情報流出
○ WEBサイト等に対する外部からの深刻な攻撃(アクセス不可、内容の改ざんなど)
思い付きを並べた感じだね。今一です。
RTOと最大許容停止時間のどちらでも良いが、どのように設定するのか。
・金属を曲げて手を離すと元に戻る。
・曲げすぎるともう元に戻らなくなる。
事業のレジリエンシーを喪失する限界点を超えてはいけない。事業中断の隙間に競合が入ってしまうような場合。著しく会社信用が下がる場合。同業他社より明らかに見劣りのする場合。自他を問わず過去の事例を踏まえていない場合。人身の安全への脅威、倒産・破産につながる場合。
・金属を曲げて手を離すと元に戻る。
・曲げすぎるともう元に戻らなくなる。
事業のレジリエンシーを喪失する限界点を超えてはいけない。事業中断の隙間に競合が入ってしまうような場合。著しく会社信用が下がる場合。同業他社より明らかに見劣りのする場合。自他を問わず過去の事例を踏まえていない場合。人身の安全への脅威、倒産・破産につながる場合。
PSAはリスクシナリオ検討にも利用できるか?
そのものずばりのタイトルになってしまった。利用できそうな感じがする。イベントツリーを確率で繋いで行くのだから、リスクシナリオそのものではないでしょうか。
確率値は、事業特性・事業所特性などで変わるから、イベントツリーは共通でも結果(優先度)は変わって来て、利用の柔軟性は高いかもしれない。
試すべし!
続きを読む ...
そのものずばりのタイトルになってしまった。利用できそうな感じがする。イベントツリーを確率で繋いで行くのだから、リスクシナリオそのものではないでしょうか。
確率値は、事業特性・事業所特性などで変わるから、イベントツリーは共通でも結果(優先度)は変わって来て、利用の柔軟性は高いかもしれない。
試すべし!
続きを読む ...
リスクあるいはリスクシナリオはいくらでも存在し得る。どのように識別するのか。毎年どのように見直すのか。追加削除の基準。
・プロセスに分解してプロセスオーナーから提示してもらうかな。(自由問題)
・過去何年かの事例を当てはめる。(規定問題)
※
何を以って重要とするのか。人命、組織存続、社会的責任。こんな感じ? 詰まらないね。経営者がテレビカメラの前で頭を下げるのはどういう時かを考えてみた方が面白い。
続きを読む ...
・プロセスに分解してプロセスオーナーから提示してもらうかな。(自由問題)
・過去何年かの事例を当てはめる。(規定問題)
※
何を以って重要とするのか。人命、組織存続、社会的責任。こんな感じ? 詰まらないね。経営者がテレビカメラの前で頭を下げるのはどういう時かを考えてみた方が面白い。
続きを読む ...
2007年08月13日
BCMと通常のインシデント管理の違いを線引きしようとして出来ない。データセンターの重要サーバーが突然停止した。放置すれば、事業中断、業務停止の結果に至る。
フロントはインシデントシグナルを後方に送るだけ? 担当は淡々と復旧を試みる?
☆ 誰がいつどのようにBCPを発動するのか。
続きを読む ...
フロントはインシデントシグナルを後方に送るだけ? 担当は淡々と復旧を試みる?
☆ 誰がいつどのようにBCPを発動するのか。
続きを読む ...
戦略決断はトップ判断としても有益なデータ提供は欠かせない。
・事象(内容、頻度)-リスクシナリオ1
・影響を受けるIT資産(狭義)-リスクシナリオ2
・影響を受けるITサービス、事業部門業務-リスクシナリオ3
・影響を受ける顧客(本当の顧客)-リスクシナリオ4
・影響の程度(事業上の損失、定量及び定性)-リスクシナリオ5
・リスクの程度-リスク評価
・復旧に要する時間、費用
・事前の施策の評価:有効性(費用、効果)
・他社のレベル(取っている施策)
続きを読む ...
・事象(内容、頻度)-リスクシナリオ1
・影響を受けるIT資産(狭義)-リスクシナリオ2
・影響を受けるITサービス、事業部門業務-リスクシナリオ3
・影響を受ける顧客(本当の顧客)-リスクシナリオ4
・影響の程度(事業上の損失、定量及び定性)-リスクシナリオ5
・リスクの程度-リスク評価
・復旧に要する時間、費用
・事前の施策の評価:有効性(費用、効果)
・他社のレベル(取っている施策)
続きを読む ...
○ BCM(事業継続管理)方針
○ リスクアセスメント手順書
○ BIA実施手順書
○ プロセス及び資産台帳
○ 重要リスク洗い出し表
○ 重要リスク評価表〜戦略評価表
○ BCP策定ガイド(BCP策定に関する1つの枠組み)
○ BCP(事業継続計画書):テーマ毎に策定
○ BCP訓練計画書
○ BCMベンチマーキング(他社事例)
○ 地域BCPシナリオ
○ 業界BCPシナリオ
続きを読む ...
○ リスクアセスメント手順書
○ BIA実施手順書
○ プロセス及び資産台帳
○ 重要リスク洗い出し表
○ 重要リスク評価表〜戦略評価表
○ BCP策定ガイド(BCP策定に関する1つの枠組み)
○ BCP(事業継続計画書):テーマ毎に策定
○ BCP訓練計画書
○ BCMベンチマーキング(他社事例)
○ 地域BCPシナリオ
○ 業界BCPシナリオ
続きを読む ...
BCPの内容を特別な訓練と言うイベントで検証していくことは、徐々に工夫されていかなければいけない。通常運用の中に組み込んでいくと言うことです。
適当につまみ食いしたような訓練ではいけない。
本格的に、緊張感を持って、緊迫感を持って、取り組む。トップ臨席は必須。シミュレーション時間枠の中でトップとしてどう振舞うかを意識していなければならない。訓練シナリオも、一つ間違えばオウンゴールみたいな災害になる。
シナリオのこの部分は危険だからスキップしたいと言い出す連中は必ず存在する。当然の物言いだから。そのとき、どういう判断をしますか。
適当につまみ食いしたような訓練ではいけない。
本格的に、緊張感を持って、緊迫感を持って、取り組む。トップ臨席は必須。シミュレーション時間枠の中でトップとしてどう振舞うかを意識していなければならない。訓練シナリオも、一つ間違えばオウンゴールみたいな災害になる。
シナリオのこの部分は危険だからスキップしたいと言い出す連中は必ず存在する。当然の物言いだから。そのとき、どういう判断をしますか。
目の前のバックログを抱えて火の車の部署の人間にBCMをやれといって無理ですね。別のスタッフを連れてきてその部署のBCMをやるのは無意味。こういう風に考えると、到底解決には至らない。
BCMの位置づけを考えないと答えは出ない。戦略的ポジションを設定できるかどうかです。
重点施策に入れることが出来たら大変な成果。それでも目先仕事しか取り組めないなら、考課で答えを出すしかないですね。
続きを読む ...
BCMの位置づけを考えないと答えは出ない。戦略的ポジションを設定できるかどうかです。
重点施策に入れることが出来たら大変な成果。それでも目先仕事しか取り組めないなら、考課で答えを出すしかないですね。
続きを読む ...
機能別管理と言えば、CFO、CIOが筆頭有名。管理機能別に最高責任者を設定して管理のバランスを撮っている。
ではリスク管理は機能別管理か?
RMとか略すところが多いが、BCM責任者でも当世なら良いだろうが、社長以外に責任者を設定できるのかと言う問題。
少なくともその会社の社長の意識・認識はある程度理解できる。
会社の事業継続管理よりも、社員自身の事業継続管理を心配してあげたい。冗談です。
ではリスク管理は機能別管理か?
RMとか略すところが多いが、BCM責任者でも当世なら良いだろうが、社長以外に責任者を設定できるのかと言う問題。
少なくともその会社の社長の意識・認識はある程度理解できる。
会社の事業継続管理よりも、社員自身の事業継続管理を心配してあげたい。冗談です。
これはBIAのことかな。
良くある勘違い?
「事業が停止したら、どういうインパクトが出るか」と、「被災による設備破損などの被害額」とは別物です。
聞かれれば誰でも当然に答えますが、傾向としては後者の被害額に摩り替わることが多い。理由は簡単。計算が出来るから。前者は計算が出来にくい。前者では議論が進められないから後者の話に終始してしまう。経営者の問題意識が低いとスタッフのご都合が優先してしまう。
続きを読む ...
良くある勘違い?
「事業が停止したら、どういうインパクトが出るか」と、「被災による設備破損などの被害額」とは別物です。
聞かれれば誰でも当然に答えますが、傾向としては後者の被害額に摩り替わることが多い。理由は簡単。計算が出来るから。前者は計算が出来にくい。前者では議論が進められないから後者の話に終始してしまう。経営者の問題意識が低いとスタッフのご都合が優先してしまう。
続きを読む ...
似たようなフレーズでISMS年度計画がある。QMSでもEMSでITSMSでも何でも良い。マネジメントレビューで締めくくる年度計画。
それぞれISO規格の枠組みに沿って作れば一応ベストプラクティスに近い管理の枠組みを実現できる。
半年サイクルで回すことが出来たら改善・向上では有益だが、現場が追いつかない場合は返って負担になる。一方で、各マネジメントシステムを整然と管理運用していくには年1回一律で、有効に回せるか疑問である。年2回のマネジメントレビューに各マネジメントシステムをそのどちらかあるいは両方の場でレビューすべき。
年2回の場を持って始めて年度サイクルの統合されたPDCAが回せるのではないか。
続きを読む ...
それぞれISO規格の枠組みに沿って作れば一応ベストプラクティスに近い管理の枠組みを実現できる。
半年サイクルで回すことが出来たら改善・向上では有益だが、現場が追いつかない場合は返って負担になる。一方で、各マネジメントシステムを整然と管理運用していくには年1回一律で、有効に回せるか疑問である。年2回のマネジメントレビューに各マネジメントシステムをそのどちらかあるいは両方の場でレビューすべき。
年2回の場を持って始めて年度サイクルの統合されたPDCAが回せるのではないか。
続きを読む ...
