2007年08月17日
BCMオプションって何のこと?BCM戦略上の選択肢?
ピンと来ません。
ストラテジーオプション
テクニカルオプション
〜ん。消化不良です。
ピンと来ません。
ストラテジーオプション
テクニカルオプション
〜ん。消化不良です。
改めて問われると悩む。
事業継続は事業を継続させることが社会的使命を果たすとする立場。
防災は個人の安全を確保するのを最優先する立場。従って、何をおいても人命であり人身の無事です。資産も確保することが求められます。防災・防犯は意図的か偶発的かの違いであって結果の深刻さは同じです。
事業継続と防災防犯は突き詰めれば同じことではないでしょうか。
続きを読む ...
※
防災・防犯は各ローカルの機能。事業継続は連携での機能。
防災防犯は未然防止が主眼、事業継続は復興が主眼。
事業継続は事業を継続させることが社会的使命を果たすとする立場。
防災は個人の安全を確保するのを最優先する立場。従って、何をおいても人命であり人身の無事です。資産も確保することが求められます。防災・防犯は意図的か偶発的かの違いであって結果の深刻さは同じです。
事業継続と防災防犯は突き詰めれば同じことではないでしょうか。
続きを読む ...
※
防災・防犯は各ローカルの機能。事業継続は連携での機能。
防災防犯は未然防止が主眼、事業継続は復興が主眼。
事業継続問題は「中断の連鎖」問題ですが、そのことを理解すれば、だれもが社会的責任問題に繋げられていること、自分だけでは手に負えない問題の側面を持つことに気づきます。単なる努力目標として規範やガイドでは済まされないことです。しかもそれは国内のみならず国境を超えていつでも飛び交うものです。
チャイナシンドロームは笑い話のように語られましたが、今は風評すらネットを通じて即座に伝播する環境がありますから、自己増殖のリスクを加えれば、全く冗談にも出来ない時代に至っている分けです。
アメリカの個人向け住宅融資の焦げ付きですか、サブプライムと言う奴ですが、太陽が地球を一周するごとに状況は悲観的になっていきます。もっとも大もうけのチャンスと踏む人もいるでしょう。体力があればせっせと会に出ているかもしれません。まあ、ことほど左様に地球は狭く誰もが隣人の状況に来ているのです。
続きを読む ...
※
「停電」
・原因が何であれ、東電は頑張って復旧に努めます。
・企業は復電までしのぐことを考えます。しかし中にはディスククラッシュに見舞われる企業もあるでしょう。
・今日支払いを受ける予定だった会社は東電の事故に関係ないはずだったのに、振込みが来ません。
・その後も「悪魔の連鎖」が続きます。
チャイナシンドロームは笑い話のように語られましたが、今は風評すらネットを通じて即座に伝播する環境がありますから、自己増殖のリスクを加えれば、全く冗談にも出来ない時代に至っている分けです。
アメリカの個人向け住宅融資の焦げ付きですか、サブプライムと言う奴ですが、太陽が地球を一周するごとに状況は悲観的になっていきます。もっとも大もうけのチャンスと踏む人もいるでしょう。体力があればせっせと会に出ているかもしれません。まあ、ことほど左様に地球は狭く誰もが隣人の状況に来ているのです。
続きを読む ...
※
「停電」
・原因が何であれ、東電は頑張って復旧に努めます。
・企業は復電までしのぐことを考えます。しかし中にはディスククラッシュに見舞われる企業もあるでしょう。
・今日支払いを受ける予定だった会社は東電の事故に関係ないはずだったのに、振込みが来ません。
・その後も「悪魔の連鎖」が続きます。
2007年08月16日
パート1のどこかに書いてあった。
通常のインシデントマネジメント。これは日常的な監視・検知から、インシデントと理解してのアクティビティ及びエスカレーション。
・インシデント認識
・インシデント対応
ITサービスの場合は翌朝復旧できるレベルまではインシデント対応のスパンで済む。しかし、金融とか社内であっても基幹系基盤は3時間〜6時間が限界か。
BCPはある条件の下に発動される。その条件の一つに入るのが経営者あるいは責任者の判断ですが、これが一番大事です。意味することは明々白々な場合は例外として通常は現場は現場で処理しようとするものです。エスカレーションには常に抵抗があるのです。言い換えれば、エスカレーションしなくてもトップが判断できるようなモニタリングシステム、すぐれたマネジメントコックピットが必要と言うことです。
BCPから復旧計画への移行。これはあまり条件を明確にしていない。がそれで問題になることも少ない。しいて言えば経営者の陣頭指揮を問わないで済むタイミング。
通常のインシデントマネジメント。これは日常的な監視・検知から、インシデントと理解してのアクティビティ及びエスカレーション。
・インシデント認識
・インシデント対応
ITサービスの場合は翌朝復旧できるレベルまではインシデント対応のスパンで済む。しかし、金融とか社内であっても基幹系基盤は3時間〜6時間が限界か。
BCPはある条件の下に発動される。その条件の一つに入るのが経営者あるいは責任者の判断ですが、これが一番大事です。意味することは明々白々な場合は例外として通常は現場は現場で処理しようとするものです。エスカレーションには常に抵抗があるのです。言い換えれば、エスカレーションしなくてもトップが判断できるようなモニタリングシステム、すぐれたマネジメントコックピットが必要と言うことです。
BCPから復旧計画への移行。これはあまり条件を明確にしていない。がそれで問題になることも少ない。しいて言えば経営者の陣頭指揮を問わないで済むタイミング。
これは難しい。自衛隊のOBに助けてもらうのが本当だろうね。
机上訓練であれ、実施訓練であれ、目線が違いますから。
机上訓練であれ、実施訓練であれ、目線が違いますから。
・方針:基本的には毎年見直す。
・BCMマニュアル:社内規定のようなもの。必要があれば改定。
・BCM実施手順書:作業標準。BCPとか復旧計画は結局これに相当することになるでしょう。他に重要なものは組織の理解活動がある。必要があれば改定。
・BCM計画:基本的には年度の推進計画。
・訓練計画は、BCPベースに策定する実施計画。訓練以外の教育計画なども必要です。
・記録類。各計画、各運用標準に基づく活動の記録。
・BCMマニュアル:社内規定のようなもの。必要があれば改定。
・BCM実施手順書:作業標準。BCPとか復旧計画は結局これに相当することになるでしょう。他に重要なものは組織の理解活動がある。必要があれば改定。
・BCM計画:基本的には年度の推進計画。
・訓練計画は、BCPベースに策定する実施計画。訓練以外の教育計画なども必要です。
・記録類。各計画、各運用標準に基づく活動の記録。
BCM vs. ISMSのBCM
一つの枠組みはどの範囲まで求めるのかな。ISMSであろうが無かろうが基本的には一つの枠組みだね。現場は一つなんだから。
おれから、ISMSのBCMの見方が厳しくなるだろうね。従来は結構いい加減だったから。というより25999が出ることで理解が進むことになるかも。
一つの枠組みはどの範囲まで求めるのかな。ISMSであろうが無かろうが基本的には一つの枠組みだね。現場は一つなんだから。
おれから、ISMSのBCMの見方が厳しくなるだろうね。従来は結構いい加減だったから。というより25999が出ることで理解が進むことになるかも。
http://www.shiroikoibito.ishiya.co.jp/
「白い恋人」。北海道土産のホワイトチョコレート。適当なものがないとこれを買って済ませる。
事件です
賞味期限の改竄。雪印、不二家、ミートホープなどなど、懲りないね。
コンブライアンス問題に加えて品質問題、安全衛生問題まで発覚した。
価値観の共有が出来なかった。又は価値観そのものが明確にされていなかった。
北海道の低いモラルは、あの六花亭は大丈夫かと心配になる。
「赤福」の話でも聞かせやりたいね。三つ売るより一つ残すな。
続きを読む ...
※
石屋製菓【送料無料】 白い恋人専用BOX【24×10】
このような場合、誰にとっての事業継続か。
面白い?ことに、完全に独立した事業があれば、それは事業継続問題にならないのではないかな。事業の発揮するパフォーマンスと外でそれを受け止める存在が普通は存在する。事業継続問題は、事業パフォーマンスの連鎖の問題でもあります。
渋滞時のハザードランプではありませんが、連携するプロセスはプロセス異常に関する適切なシグナルを後方及び前方に送り出す、相互監視の仕組みも必要です。
・石屋製菓
・販売店
・消費者
・監督官庁(これはいろいろ有りそう)
インシデントタイムラインは各主体者のものを並べて眺めてみれば対応の良し悪しが良く理解できます。しかし、相互管理までやるには中心企業とか官庁の強いリーダーシップが必要でしょう。
※
赤福も危ないとの書き込みがあった。バイトのおばちゃんがおしゃべりしゃながら餡子を混ぜてるとか。
・一つは風評には注意すること。
・おしゃべりするなら健康な証拠。相互監視になって良い。
・江戸時代から?の長い伝統があることは強い。
・家訓かどうかは知らないが三つ売るより一つ残すな。最初からリスクを取ってまで大量生産に入らない。おばちゃんの体力にも限界あります。
・駅のみやげ物売り場に積み上げられた赤福の箱は空箱だそうです。(都市伝説?)
・まあ、少々雑菌が入ったところでその日のうちに始末するなら問題は無い。家庭料理って殆どそうですからね。
風評には踊らないことです。えっ?只の思い込み?火の無いところに煙立たず? 確かに殆どのケースでは内部告発ですからね。電子メールも使えないおばちゃんだけだとそれも出来ないかも。美味く回るときは上手く回るものです。
2007年08月15日
一定の目的で、一定の期間で、リソースとアクティビティをマネジメントするので、通常のプロジェクト管理ツールが使えるはず。相変わらず、使い難いMSプロジェクトも候補にあがる。共有しやすいツールであるには、WEBベースの、出来ればフリーのプロジェクト管理があれば良い。キングソフトとかグーグルとかどこかで提供していたはず。
http://q.hatena.ne.jp/1127787857
キングソフトとかグーグルとかは見つからないけど色々あるのは分かるね。
http://q.hatena.ne.jp/1127787857
キングソフトとかグーグルとかは見つからないけど色々あるのは分かるね。
2007年08月14日
BS 25999-2 Specification Draft for Public Comment (2007/07)
目次だけ眺めてみると他のISO規格に似ている。当たり前ですね。相当のコメントが出たみたいですから関心は高い。パート1も相当入れなおしになっているからパート2もそれ以上は覚悟です。
1 Scope
2 Normative references
3 Terms and definitions
4 Plan business continuity management system
4.1 General requirements
4.2 Establishing and managing the BCMS
4.2.1 Requirements
4.2.2 Suppliers and outsourced activities
4.2.3 BCM policy
4.2.4 Provision of resources
4.2.5 Training、awareness and competency
4.3 Embedding BCM in the organization's culture
4.3.1 Management and training
4.4 BCMS documentation and records
4.4.1 BCMS documentation
4.4.2 BCMS records
5 Implement and operate the BCMS
5.1 Understanding the organization
5.1.1 Business impact analysis
5.2 Risk assessment
5.2.1 Risk assessment process
5.2.2 Determining choices
5.3 Determining business continuity strategy
5.4 Developing and implementing a BCM response
5.4.1 Incident response structure
5.4.2 Plans
5.5 Exercising and maintaining BCM arrangements
5.5.1 General
5.5.2 BCM exercising
5.5.3 Maintaining BCM arrangements
6 Monitor and review the BCMS
6.1 BCMS review
6.2 Management review of the BCMS
6.2.1 General
6.2.2 Review input
6.2.3 Review output
7 Maintain and improve the BCMS
7.1.1 Continual improvement
7.1.2 Corrective action
7.1.3 Preventive action
続きを読む ...
※
もらった訳文を入れてみた。なんとなく分かりますが、結構、重い感じです。
1 適用
2 引用規格
3 用語と定義
4 事業継続マネジメントシステム(BCMS)の計画
4.1 一般要求事項
4.2 BCMSの構築と管理
4.2.1 要求事項
4.2.2 供給者及びアウトソース先の活動
4.2.3 BCM基本方針
4.2.4 資源の準備
4.2.5 訓練、意識付けと教育
4.3 BCMの組織文化への導入
4.3.1 運営と訓練
4.4 BCMS文書及び記録
4.4.1 BCMS文書
4.4.2 BCMS記録
5 BCMSの導入と運用
5.1 組織の理解
5.1.1 ビジネス影響分析
5.2 リスク評価
5.2.1 リスク評価手順
5.2.2 選択の決定
5.3 事業継続戦略の決定
5.4 BCM対応策の開発と実装
5.4.1 インシデント対応の手順
5.4.2 計画
5.5 BCM施策の訓練及び改善
5.5.1 一般事項
5.5.2 BCMの訓練
5.5.3 BCM施策の改善
6 BCMSの監視と見直し
6.1 BCMSの見直し
6.2 BCMSのマネジメント・レビュー
6.2.1 一般事項
6.2.2 レビューのインプット
6.2.3 レビューのアウトプット
7 BCMSの見直しと改善
7.1.1 継続的改善
7.1.2 是正処置
7.1.3 予防処置
目次だけ眺めてみると他のISO規格に似ている。当たり前ですね。相当のコメントが出たみたいですから関心は高い。パート1も相当入れなおしになっているからパート2もそれ以上は覚悟です。
1 Scope
2 Normative references
3 Terms and definitions
4 Plan business continuity management system
4.1 General requirements
4.2 Establishing and managing the BCMS
4.2.1 Requirements
4.2.2 Suppliers and outsourced activities
4.2.3 BCM policy
4.2.4 Provision of resources
4.2.5 Training、awareness and competency
4.3 Embedding BCM in the organization's culture
4.3.1 Management and training
4.4 BCMS documentation and records
4.4.1 BCMS documentation
4.4.2 BCMS records
5 Implement and operate the BCMS
5.1 Understanding the organization
5.1.1 Business impact analysis
5.2 Risk assessment
5.2.1 Risk assessment process
5.2.2 Determining choices
5.3 Determining business continuity strategy
5.4 Developing and implementing a BCM response
5.4.1 Incident response structure
5.4.2 Plans
5.5 Exercising and maintaining BCM arrangements
5.5.1 General
5.5.2 BCM exercising
5.5.3 Maintaining BCM arrangements
6 Monitor and review the BCMS
6.1 BCMS review
6.2 Management review of the BCMS
6.2.1 General
6.2.2 Review input
6.2.3 Review output
7 Maintain and improve the BCMS
7.1.1 Continual improvement
7.1.2 Corrective action
7.1.3 Preventive action
続きを読む ...
※
もらった訳文を入れてみた。なんとなく分かりますが、結構、重い感じです。
1 適用
2 引用規格
3 用語と定義
4 事業継続マネジメントシステム(BCMS)の計画
4.1 一般要求事項
4.2 BCMSの構築と管理
4.2.1 要求事項
4.2.2 供給者及びアウトソース先の活動
4.2.3 BCM基本方針
4.2.4 資源の準備
4.2.5 訓練、意識付けと教育
4.3 BCMの組織文化への導入
4.3.1 運営と訓練
4.4 BCMS文書及び記録
4.4.1 BCMS文書
4.4.2 BCMS記録
5 BCMSの導入と運用
5.1 組織の理解
5.1.1 ビジネス影響分析
5.2 リスク評価
5.2.1 リスク評価手順
5.2.2 選択の決定
5.3 事業継続戦略の決定
5.4 BCM対応策の開発と実装
5.4.1 インシデント対応の手順
5.4.2 計画
5.5 BCM施策の訓練及び改善
5.5.1 一般事項
5.5.2 BCMの訓練
5.5.3 BCM施策の改善
6 BCMSの監視と見直し
6.1 BCMSの見直し
6.2 BCMSのマネジメント・レビュー
6.2.1 一般事項
6.2.2 レビューのインプット
6.2.3 レビューのアウトプット
7 BCMSの見直しと改善
7.1.1 継続的改善
7.1.2 是正処置
7.1.3 予防処置
リスク事象
↓
プロセス要素へのダメージ
↓
プロセス構成要素
↓
ビジネス・プロセスへのダメージ
↓
事業成果へのダメージ
↓
ビジネス・パフォーマンス(プロセスが発揮する能力)インパクト
続きを読む ...
分かり易くしたつもりが返って分かり難くなった?
↓
プロセス要素へのダメージ
↓
プロセス構成要素
↓
ビジネス・プロセスへのダメージ
↓
事業成果へのダメージ
↓
ビジネス・パフォーマンス(プロセスが発揮する能力)インパクト
続きを読む ...
分かり易くしたつもりが返って分かり難くなった?
・ 基本方針
・ 対象範囲
・ 重要業務と復旧要件
・ 危機管理体制
・連絡方法
・想定するリスクシナリオ
・BCPの発動基準
・BCPの概要
・各フェーズにおける対応:BCP発動、業務再開、業務回復、全面復旧
・周知・保管ルール
・訓練方法
+
・緊急連絡網:公共サービス機関
・緊急時体制表
・緊急連絡網:安否確認
・チェックリスト:再立上げ手順
・ 全体手順:フロー図
・ チェックリスト:被災診断
・ 緊急連絡網:召集
<BCP策定に向けて事前確認事項>
・BCPとしてビジネス側を含めたプロシジャを検討するのか、それともあくまでもITだけ の対応を検討するのか?
・どのような災害シナリオ・被災シナリオを想定するか?
・継続すべき重要業務は何か?
・同重要業務を支えるシステムは何か?
・BCPとしてビジネス側を含めたプロシジャを検討するのか、それともあくまでもITだけ の対応を検討するのか?
・どのような災害シナリオ・被災シナリオを想定するか?
・継続すべき重要業務は何か?
・同重要業務を支えるシステムは何か?
● BCMS初回構築プロセス(12ヶ月コース)
BCMSの初回構築プロセスは要素としては年度管理サイクルと変わらない。但し、PDCAを回す前提としての価値観(方向・枠組み・方法論など)の共有が出来ていないと、各ステップの開始・終了がスムーズに行かない。
● BCMS年度サイクル(半年シフト・年2回訓練)
・年度サイクルには構築の各要素を入れ込む。
・体制には推進体制、年度推進計画、リソース計画の策定を含む。
・緊急事業継続課題その他への対応を図るため半年シフトした推進計画を可能とする(表サイクル+裏サイクル)。
・年2回の訓練。
BCMSの初回構築プロセスは要素としては年度管理サイクルと変わらない。但し、PDCAを回す前提としての価値観(方向・枠組み・方法論など)の共有が出来ていないと、各ステップの開始・終了がスムーズに行かない。
● BCMS年度サイクル(半年シフト・年2回訓練)
・年度サイクルには構築の各要素を入れ込む。
・体制には推進体制、年度推進計画、リソース計画の策定を含む。
・緊急事業継続課題その他への対応を図るため半年シフトした推進計画を可能とする(表サイクル+裏サイクル)。
・年2回の訓練。
● 重要な活動(事業/業務)、優先度。
● 最大許容停止期間(受容リスク水準)
● 想定リスク(脅威)。優先度。
● 投資額
● 対策を打たなかった場合の結果の推定
● 人員戦略
● サイト戦略
● サプライ戦略(物資調達)
● 技術戦略(ITなど)
● 情報戦略(ISMSなど)
● 地域戦略(協調/支援など)
● コミュニケーション戦略(ステークホルダーなど)
続きを読む ...
社会的責任をクリアする視点に立てば、全ての項目でベンチマーキングを利用することは有用である。
● 最大許容停止期間(受容リスク水準)
● 想定リスク(脅威)。優先度。
● 投資額
● 対策を打たなかった場合の結果の推定
● 人員戦略
● サイト戦略
● サプライ戦略(物資調達)
● 技術戦略(ITなど)
● 情報戦略(ISMSなど)
● 地域戦略(協調/支援など)
● コミュニケーション戦略(ステークホルダーなど)
続きを読む ...
社会的責任をクリアする視点に立てば、全ての項目でベンチマーキングを利用することは有用である。
● BSIジャパン:BS25999に関しても最も充実。料金高め。
アウエネスコース。
内部監査員コース。
審査員コース。
● DNV:不定期。6人以上なら随時。
BCM概要。
● KPMG
事業継続マネジメント -BCMの構築・維持のポイント
グループ経営 -リスク分析からモニタリングの徹底
リスクマネジメント -トップダウンアプローチによる経営管理の最適化
● Deloitte
BCM(事業継続マネジメント)構築セミナー
続きを読む ...
※
国内組みは完全出遅れ。スタッフも不足しているし、先ず以ってカルチャーがない。水と安全は只の国ですから。今でお名残は残っています。
アウエネスコース。
内部監査員コース。
審査員コース。
● DNV:不定期。6人以上なら随時。
BCM概要。
● KPMG
事業継続マネジメント -BCMの構築・維持のポイント
グループ経営 -リスク分析からモニタリングの徹底
リスクマネジメント -トップダウンアプローチによる経営管理の最適化
● Deloitte
BCM(事業継続マネジメント)構築セミナー
続きを読む ...
※
国内組みは完全出遅れ。スタッフも不足しているし、先ず以ってカルチャーがない。水と安全は只の国ですから。今でお名残は残っています。
1.人身の安全
2.施設の安全(建物、サーバー室)
3.重要物品・機密情報等の確保
4.電源(自家発・受電設備・CVCF)
5.配線(配電、通信)、配管(水、ガス、空調)
6.機器(情報・空調・防犯・照明・防災)
7.メディア、データ
8.端末
9.業務
これって概略を並べただけにしても何か嘘っぽい。リスクシナリオに対して復旧のシナリオがあって良い。一般論的な記載と特定の部署の記載は当然別物。
PSAの逆のフローで事業継続に必要なものが全部揃ったら、再開できると言うツリー図になるはず。
2.施設の安全(建物、サーバー室)
3.重要物品・機密情報等の確保
4.電源(自家発・受電設備・CVCF)
5.配線(配電、通信)、配管(水、ガス、空調)
6.機器(情報・空調・防犯・照明・防災)
7.メディア、データ
8.端末
9.業務
これって概略を並べただけにしても何か嘘っぽい。リスクシナリオに対して復旧のシナリオがあって良い。一般論的な記載と特定の部署の記載は当然別物。
PSAの逆のフローで事業継続に必要なものが全部揃ったら、再開できると言うツリー図になるはず。
・BIAは重要プロセス(「重要な活動」領域を客観的に洗い出すために行なう。経営はBIAを参考に経営上のプライオリティ等を考慮して重要なプロセスを決定する。
・BIAの基本は分析上必要な期間プロセスが停止した時の影響、売上・利益インパクト等を算出して行なう。
・プロセスの刻み(スパン)はインパクト評価上及び対策立案上有効な範囲とする。
(殆ど中身の無い記述だこと)
続きを読む ...
※
プロセスDBが必要。世の中にあるかな。上位と下位の関係も見える。当面はやはり手作りなのかな。
「ソフトバンク」ぐらいしかイメージできないね。自分の会社をデジタル化して理解している会社っ
・BIAの基本は分析上必要な期間プロセスが停止した時の影響、売上・利益インパクト等を算出して行なう。
・プロセスの刻み(スパン)はインパクト評価上及び対策立案上有効な範囲とする。
(殆ど中身の無い記述だこと)
続きを読む ...
※
プロセスDBが必要。世の中にあるかな。上位と下位の関係も見える。当面はやはり手作りなのかな。
「ソフトバンク」ぐらいしかイメージできないね。自分の会社をデジタル化して理解している会社っ
・IMS統合マネジメント(PAS99)では「側面」と言う言葉がよく使われるが、なかなか馴染めない。
・「側面」とは:物事の実態に対して、特定の視点で捉えた時の見え方。特定の視点とは特定された問題意識〜特定された価値観と言い換えることも出来ます。即ち、側面とは問題・課題を認識した時に見えてくる姿・特性と言うことになります。(本当?)
・例えば、ある組織の環境側面とは、組織が環境に及ぼす影響という問題意識で捉えた組織の姿となります。(今一かな?)
・IMSは統合マネジメントですから、組織〜プロセスの理解には複数の視点で捉えることが必要になります。
続きを読む ...
※
ぜんぜんピンときません。プロセスの実態に対して、多様な属性、あるいは問題意識で捕らえることが必要なんだろうぐらいの理解です。
BCM的には、そのプロセスが停止したらどうなるのかとか、停止至る事態にはどういうものがあるのかとか、再開を確実にするのはどうするのかとか、を見るんだろうね。それらが、他のEMS的な活動、QMS的な活動とマージしていないと、現場は回らないよ。と言うことですね。又、忙しくなるね。
※
各側面の相互作用まで織り込むにはIMSのシステム化は避けられないでしょう。JQAと言うかそのベンダーは割りとシステム化が好きみたいだから、2009年にはリリースするだろうと勝手に思っています。
・「側面」とは:物事の実態に対して、特定の視点で捉えた時の見え方。特定の視点とは特定された問題意識〜特定された価値観と言い換えることも出来ます。即ち、側面とは問題・課題を認識した時に見えてくる姿・特性と言うことになります。(本当?)
・例えば、ある組織の環境側面とは、組織が環境に及ぼす影響という問題意識で捉えた組織の姿となります。(今一かな?)
・IMSは統合マネジメントですから、組織〜プロセスの理解には複数の視点で捉えることが必要になります。
続きを読む ...
※
ぜんぜんピンときません。プロセスの実態に対して、多様な属性、あるいは問題意識で捕らえることが必要なんだろうぐらいの理解です。
BCM的には、そのプロセスが停止したらどうなるのかとか、停止至る事態にはどういうものがあるのかとか、再開を確実にするのはどうするのかとか、を見るんだろうね。それらが、他のEMS的な活動、QMS的な活動とマージしていないと、現場は回らないよ。と言うことですね。又、忙しくなるね。
※
各側面の相互作用まで織り込むにはIMSのシステム化は避けられないでしょう。JQAと言うかそのベンダーは割りとシステム化が好きみたいだから、2009年にはリリースするだろうと勝手に思っています。
リスク評価 25999 vs. 27001
図示化してみたら構造は同じ。リスク対応の構図も基本的には同じ。例の管理策の処理がいびつに見えるだけで、将来的には統合されることが予感される。
図示化してみたら構造は同じ。リスク対応の構図も基本的には同じ。例の管理策の処理がいびつに見えるだけで、将来的には統合されることが予感される。
Aランク:社会的責任の重い事業・業務
・人命に関わる組織に対するサービス
・取引先にとって極めて重要(費用の支払など)
Bランク:社会的責任の比較的重い事業・業務
・緊急性がある。
・代替品/代替サービスが他から得られない。
Cランク:社会的責任の比較的軽い事業・業務
・ロングリードで緊急性が低い
・代替品が他から得られる。
Dランク:BCMプライオリティの低い事業・業務
続きを読む ...
(注)上記はBIAへのインプットの一つだが、売上・利益インパクトの観点から重要な活動を洗うことも企業では必要。
・人命に関わる組織に対するサービス
・取引先にとって極めて重要(費用の支払など)
Bランク:社会的責任の比較的重い事業・業務
・緊急性がある。
・代替品/代替サービスが他から得られない。
Cランク:社会的責任の比較的軽い事業・業務
・ロングリードで緊急性が低い
・代替品が他から得られる。
Dランク:BCMプライオリティの低い事業・業務
続きを読む ...
(注)上記はBIAへのインプットの一つだが、売上・利益インパクトの観点から重要な活動を洗うことも企業では必要。
先に書いてみたものとマージして下さい。これは又パート2をテンプレートに修正すべきです。
4 事業継続管理方針
・年度BCM方針
5 BCMプログラムマネジメント
・年度BCMプログラム計画書(年間の活動計画を5W1Hで記載)
6 組織の理解
・年度リスクアセスメント実施計画書(5W1H)
・年度リスクアセスメント実施報告書(重大脅威・重要な活動/資産・BIA等の結果)
7 事業継続戦略
・重要リスク評価表〜戦略評価表
・ BCMベンチマーキング(他社事例)
8 BCMを実現する手法の開発と実装
・BCP(事業継続計画書):テーマ毎に策定
9 訓練・維持管理・レビュー
・年度訓練計画書(年度BCP訓練計画書)
・実施報告書
・マネジメントレビュー報告書/議事録
10 BCMの組織文化への導入
・年度教育計画
・年度コミュニケーション計画(方針説明会等)
4 事業継続管理方針
・年度BCM方針
5 BCMプログラムマネジメント
・年度BCMプログラム計画書(年間の活動計画を5W1Hで記載)
6 組織の理解
・年度リスクアセスメント実施計画書(5W1H)
・年度リスクアセスメント実施報告書(重大脅威・重要な活動/資産・BIA等の結果)
7 事業継続戦略
・重要リスク評価表〜戦略評価表
・ BCMベンチマーキング(他社事例)
8 BCMを実現する手法の開発と実装
・BCP(事業継続計画書):テーマ毎に策定
9 訓練・維持管理・レビュー
・年度訓練計画書(年度BCP訓練計画書)
・実施報告書
・マネジメントレビュー報告書/議事録
10 BCMの組織文化への導入
・年度教育計画
・年度コミュニケーション計画(方針説明会等)
脅威の洗い出しは内部・外部の情報を定期的に収集してデータベース化するのがよいだろう。時には専門的な調査を入れて目線を変えるなどの工夫を取り入れる。
他社事例の分析能力が必要。事例データベースも。
他社事例の分析能力が必要。事例データベースも。
○ 内部的なインパクト
生産量、販売量、輸送量など、そのプロセスが持っているパフォーマンスに対する直接のダメージを算定する。年間稼働時間に対する年間計画値から、停止時間の割合から算定可能。但し、指標がプロセス固有の場合は相互比較が困難なため、金額換算した指標が必要。
○ 外部的なインパクト
活動停止により、顧客、パートナーなどが受ける損失、及び会社の評判が落ちることによる損失を算定する。契約などのペナルティが記載されていればそれを踏まえて算定する。但し、定量的な算定が困難な場合は、定性的な記述を残すことにより、戦略評価の参考とする。
生産量、販売量、輸送量など、そのプロセスが持っているパフォーマンスに対する直接のダメージを算定する。年間稼働時間に対する年間計画値から、停止時間の割合から算定可能。但し、指標がプロセス固有の場合は相互比較が困難なため、金額換算した指標が必要。
○ 外部的なインパクト
活動停止により、顧客、パートナーなどが受ける損失、及び会社の評判が落ちることによる損失を算定する。契約などのペナルティが記載されていればそれを踏まえて算定する。但し、定量的な算定が困難な場合は、定性的な記述を残すことにより、戦略評価の参考とする。
戦略評価はイメージが湧かない。
①どの事業が大事か=BIAで算定
②重大な脅威は何か=脅威(リスク)データベース:確率
③重大な脅威に対する抵抗力・免疫力=これって脆弱性評価。
事業中断リスク値=①*②*③
ISMSと同じだね。シンプルだけど基本的にはこれを並べる。BCP策定対象を選ぶだけだからシンプルな方が良い。脆弱性には既存のBCPの有効性評価などが見えるようになっていても良い。
①どの事業が大事か=BIAで算定
②重大な脅威は何か=脅威(リスク)データベース:確率
③重大な脅威に対する抵抗力・免疫力=これって脆弱性評価。
事業中断リスク値=①*②*③
ISMSと同じだね。シンプルだけど基本的にはこれを並べる。BCP策定対象を選ぶだけだからシンプルな方が良い。脆弱性には既存のBCPの有効性評価などが見えるようになっていても良い。
戦略評価の進め方は特にセオリーのようなものは無いのではないでしょうか。
情報・データを並べてみることは出来る。
「マトリクス分析」
①対象(活動・プロセス・資産)、対象の重要度
②リスク(脅威)、脅威のレベル
③環境などの側面評価の考え方を入れる。
④BCP見通しとして必要とするリソース(工数・費用・期間)の大きさ
⑤得られる効果:経営視点から多様な評価
広がり(汎用性・多目的性・参加人数・等)
顧客期待・事業目的との整合性
緊急性の有無
⑥他社等の動向
続きを読む ...
※
・直ぐに出来そうなことをやる。組織のBCM-PDCAサイクル確保のため。
・重要なことをやる。
この二つを平行して取り組むように心掛けたい。
情報・データを並べてみることは出来る。
「マトリクス分析」
①対象(活動・プロセス・資産)、対象の重要度
②リスク(脅威)、脅威のレベル
③環境などの側面評価の考え方を入れる。
④BCP見通しとして必要とするリソース(工数・費用・期間)の大きさ
⑤得られる効果:経営視点から多様な評価
広がり(汎用性・多目的性・参加人数・等)
顧客期待・事業目的との整合性
緊急性の有無
⑥他社等の動向
続きを読む ...
※
・直ぐに出来そうなことをやる。組織のBCM-PDCAサイクル確保のため。
・重要なことをやる。
この二つを平行して取り組むように心掛けたい。
BIA (Business Impact Analisys) の進め方
■重大障害に至ると予想されるリスク(脅威)を識別する。
①いつ、何処で、どの程度の脅威が発生したか、出来るだけ具体的な想定を行なう。
②重大な脅威の中で頻度の高いものを優先して評価対象とするが、通常のインシデント対応のレベルは除外する。
■脅威が発生した場合のIT資産インパクトの評価
①リスク(脅威)が発生した場合のIT資産インパクトを、停止するITサービスと復旧するまでの期間アセスする。
■ビジネスインパクトの評価
①ITサービスの停止によって停止又は品質低下する業務・事業と復旧するまでの期間をアセスする。
②業務・事業の停止または品質低下によるビジネス上のパフォーマンス目標(生産量・販売量など)が受ける影響をアセスする。
■ITサービス以外の支援プロセスに対するインパクト
①同じ脅威を前提として、その他の支援プロセスが受けるインパクトを評価。
②ビジネスインパクトは全ての支援プロセスインパクトも考慮して評価する。
続きを読む ...
※
上記の内容はBIAを全く理解していません。間違っています。BIAの時はリスクなんてどうでも良いんです。
ISMSのリスクアセスメントでも思い出してもらえば簡単に理解できることです。
ISMSの資産の洗い出し、及び資産価値の評価がBIAです。脅威・脆弱性に入る前の議論です。ここで、WHAT-IF分析、情報資産のCIA喪失のインパクトを評価していますが、それと同じで、事業停止時のインパクト評価をBIAとして実施します。
図式上は「資産価値=事業価値」ですね。
■重大障害に至ると予想されるリスク(脅威)を識別する。
①いつ、何処で、どの程度の脅威が発生したか、出来るだけ具体的な想定を行なう。
②重大な脅威の中で頻度の高いものを優先して評価対象とするが、通常のインシデント対応のレベルは除外する。
■脅威が発生した場合のIT資産インパクトの評価
①リスク(脅威)が発生した場合のIT資産インパクトを、停止するITサービスと復旧するまでの期間アセスする。
■ビジネスインパクトの評価
①ITサービスの停止によって停止又は品質低下する業務・事業と復旧するまでの期間をアセスする。
②業務・事業の停止または品質低下によるビジネス上のパフォーマンス目標(生産量・販売量など)が受ける影響をアセスする。
■ITサービス以外の支援プロセスに対するインパクト
①同じ脅威を前提として、その他の支援プロセスが受けるインパクトを評価。
②ビジネスインパクトは全ての支援プロセスインパクトも考慮して評価する。
続きを読む ...
※
上記の内容はBIAを全く理解していません。間違っています。BIAの時はリスクなんてどうでも良いんです。
ISMSのリスクアセスメントでも思い出してもらえば簡単に理解できることです。
ISMSの資産の洗い出し、及び資産価値の評価がBIAです。脅威・脆弱性に入る前の議論です。ここで、WHAT-IF分析、情報資産のCIA喪失のインパクトを評価していますが、それと同じで、事業停止時のインパクト評価をBIAとして実施します。
図式上は「資産価値=事業価値」ですね。