MISSION 4-7　大規模災害などによる事業中断と事業継続管理

企業にとって、大規模な自然災害をはじめとする緊急事態に備えた事業継続の

ための計画（BCP）を策定することはとても重要です。

一方、情報システムの活用が進むこれからは、このBCPにプラスして情報シ

ステム運用継続計画（IT-BCP）も大切となってきています。

STEP1 環境整備

基本方針を決定し、実施・運用体制を構築する。

STEP2 情報の収集・前提の整理

危機的事象を特定し、特定した事象の顕在化がもたらす被害状況を想定する。

STEP3 分析、課題の抽出

情報システムの復旧優先度を設定し、運用継続に必要なリソースを整理する。

STEP4 計画の策定

事前対策計画、非常時の対応計画、教育訓練計画・維持改善計画を検討する。

STEP5 実施（評価・改善）

平常時にIT-BCPが発動されることはないため、定期的な訓練を通じて組織・個人における習熟度を維持し、計画に問題があれば見直しを図る。

※IT-BCPの策定には「情報システム部門」と「業務部門」等の関連部門間で適切な連携を図り、既存のBCPとの整合性を確保することが大切です

参考：IT-BCP 策定モデル（内閣官房情報セキュリティセンター（NISC））

各事業の進め方と留意事項

STEP1 環境整備

アクション1

基本方針の決定

計画の適用範囲と基本方針を定める。

(検討事項・考え方)

・ 代替拠点に設置されている情報システムを活用する場合、業務を実施するためにそれらが危機的事象発生時に利用可能であるか。

・ 適用範囲には非常時優先業務を支える情報システムである、メールやWeb、SNS 等の情報収集・共有・伝達手段、基幹LAN やクラウドサービス等の外部サービスにアクセスするための認証基盤等を含める。

アクション2

策定・運用体制の構築

計画の策定・運用に係る体制を構築する。

(検討事項・考え方)

・ 基本方針で定めた適用範囲を踏まえて必要な担当者を定める。また、各部署との連携体制を構築する。

・ 代替拠点に設置されている情報システムを活用する場合、業務を実施するためにそれらが危機的事象発生時に利用可能であるか。

STEP2 情報の収集・前提の整理

アクション1

危機的事象の特定

計画の対象とする危機的事象を調査・検討し、特定する。

(検討事項・考え方)

・ 危機的事象発生時の前提条件は厳しい条件を想定し、必要な検討に漏れが生じないようにする。

・ 外部環境等の変化に応じ、情報システム運用継続計画が対象とする危機的事象は変化することを考慮する。

アクション2

被害状況の想定

危機的事象が発生した場合の情報システムの被害状況を想定する。

(検討事項・考え方)

・ 情報システムの設置拠点が複数存在する場合は、拠点ごとに環境が異なることを考慮し、拠点ごとの被害を想定する。なお、クラウドサービス等の外部サービスを利用している場合は、外部サービス事業者のサービス提供環境も考慮する。

・ 情報システムの抱えるリスクの算定が複雑となることから、細かすぎる被害想定を避ける。

STEP3 分析、課題の抽出

アクション1

復旧優先度の設定

非常時優先業務を確認した上で、対象の情報システムとの関連性を整理する。非常時優先業務の目標復旧時間と、情報システム停止時の影響や代替手段を踏まえ、情報システムの復旧優先度を設定する。

(検討事項・考え方)

・ 個々の業務、情報システムごとに対応を考えるのではなく、情報システムの運用において非常時優先業務をどのように継続させるかの検討を行う。

・ 時間の経過とともに対象の情報システムの重要性が変わる可能性があることから、復旧優先度は定期的に見直す。

アクション2

必要な構成要素の整理

危機的事象発生時に必要な情報システムを支える構成要素を整理する。構成要素ごとに、情報システムの復旧優先度に応じた目標対策レベルを設定する。

(検討事項・考え方)

・ 非常時優先業務を支える情報システム、部署横断で連携する重要な情報システム、メールやWeb、SNS 等の情報収集・共有・伝達手段、基幹LANや外部サービス及びこれらにアクセスするための認証基盤を対象として、情報システムを支える構成要素を明確化する。

・ 復旧優先度に応じて必要となる対策を、現状の情報システム環境を踏まえながら実施していくことに留意する。

STEP4 計画の策定

アクション1

事前対策の計画とその実施

現状の対策を確認し、リスクを評価、整理する。リスクの評価を踏まえ、「事前対策計画」を作成する。

(検討事項・考え方)

・ 情報システムの運用継続作業を困難とさせるリスクについて評価しておく。

・ 現状の対策を目標対策レベルに近づけるための方針（事前対策実施方針）を情報システムごとに定める。

アクション2

危機的事象発生時の対応計画の検討

現危機的事象発生時に情報システムの運用を継続させるために必要となる体制・役割を決定し、具体的な対応方法を対応計画として整理する。

(検討事項・考え方)

・ 危機的事象発生時に責任者及び担当者に連絡がとれない可能性を考慮し、代行者を定める。

・知見を有している前任者等による応援も考慮する。

・ 特定の担当者に作業が集中しないように配慮し、危機的事象発生の影響が長期化することが想定される場合は、担当者が交代で勤務ができるようなチーム編成による交代制勤務等を考慮する。

アクション3

教育訓練・維持改善の計画とその実施

対応計画の実効性を高めるため、「教育訓練計画」を作成する。また定期的に見直しを行うための「維持改善計画」を作成する。

(検討事項・考え方)

・ 情報システムの運用体制に委託先が含まれる場合には、教育訓練計画の実施対象者として委託先を含めて検討する。

・見直し時期は予算編成の検討時期を踏まえ設定することに留意する。

STEP5 実施（評価・改善）

・運用段階においては、策定された事前対策計画と教育訓練計画に則り、計画の実施と維持改善を行う。また、適宜見直しを行い、計画の陳腐化を防ぎ、常に計画の最新化を維持するように努める。

・計画の見直し時には、関連部局や組織のレビューを必要に応じて受ける。

参考：政府機関等における情報システム運用継続計画ガイドライン第３版（内閣官房情報セキュリティセンター（NISC））