CISSP 学習ノート: 事業継続計画

第3章 事業継続計画

3.1 事業継続計画

• 事業継続計画 (BCP): 組織のさまざまなプロセスのリスク評価、およびリスクが発生した場合に組織へのリスクの影響を最小限に抑えるためにカスタマイズされたさまざまな計画。
• BCP と DRP はまず人々に被害が及ばないことを考慮し、次に IT の復旧と復元の問題に対処します
• BCP の主な手順:
  1. プロジェクトの範囲と計画
  2. ビジネスへの影響評価
  3. 継続計画
  4. 承認と実施

3.2 プロジェクトの範囲と計画

3.2.1 事業組織分析

• BCP計画策定責任者の最初の責務の1つは、事業組織の分析を行うことです。

3.2.2 BCPチームの選定

• BCP のチームには少なくとも次の要員が含まれます
• コアサービス部門の代表者
• 主要なサポート部門の代表者
• 技術的な専門知識を持つIT担当者
• BCP の安全担当者を知る
• 法定代理人
• 経営トップ

3.2.3 リソース要件

BCP のさまざまな段階で必要なリソース

• BCP の策定: BCP プロセスの 4 つの要素 (プロジェクトの範囲と計画、ビジネスへの影響評価、継続性計画、承認と実装) を実装します。
• BCPのテスト、トレーニング、メンテナンス
• BCPの導入：BCPの導入には多くの人的資源を含む多くのリソースが必要です。

3.2.4 法的および規制上の要件

• 多くの業界は連邦、州、地方の法律や規制の対象となります。
• 多くの国、金融機関、企業によるデータの処理は、政府、国際的な銀行および証券制度による厳格な管理の対象となっています。
• BCP プロセス中に組織の法律顧問を含めることが重要です

3.3 ビジネス影響評価 (BIA)

3.3.1 優先順位付け

• 各参加者は優先リストを作成し、それによって優先マスターリストを作成します。
• 最大許容中断時間 (MTD): 特定のビジネス機能が失敗しても、ビジネスに取り返しのつかない損失を引き起こさない最大終了時間
• 目標復旧時間 (RTO): 目標復旧時間
• BCP プロセスの目標は、RTO が MTD 未満であることを確認することです。

3.3.2 リスクの特定

• BIA プロセスのリスク特定部分は純粋に定性分析です

3.3.3 可能性の評価

• 可能性の評価は、多くの場合、年間発生率 (ARO) を使用して表現されます。

3.3.4 影響評価

• 定量分析による影響評価: ALE = SLE * ARO
• 定性的分析の影響評価: 評判の低下、従業員の離職、社会的/倫理的責任、社会への悪影響

3.3.5 リソースの優先順位付け (BIA)

• BIC の最後のステップは、さまざまなリスクに割り当てられた事業継続リソースの優先順位付けです。
• 定量的優先リストと定性的優先リストを統合する

3.4 継続計画

3.4.1 戦略の策定

• 戦略の策定: 軽減する必要があるリスクと、各軽減タスクに提供されるリソースのレベルを決定します。

3.4.2 準備と処理

• このプロセスでは、BCP チームが戦略策定段階で容認できないとみなされたリスクを軽減する特定のプロセスとメカニズムを設計します。
• BCPの作成と処理を通じて保護される資産、建物/設備、インフラストラクチャ
• 人材: 最も貴重な資産は、人々の安全が常に会社の事業目的よりも優先されるべきであることを認識する
• 建物・設備：
  • 準備措置を強化し、戦略策定段階で定義されたリスクから施設を保護するための措置を講じます。
  • 準備場所：すぐに事業活動を再開できる準備場所を決定する
• インフラストラクチャー：
  • システムの強化: システムをリスクから保護するための保護措置を導入します。
  • 準備システム: 冗長性保護の導入

3.4.3 計画の承認と実施

• BCP文書の設計段階を完了し、上級管理者の承認を申請する

3.4.4 計画の実施

• 上級管理者の承認後、BCP チームが協力して実装計画を策定します。

3.4.5 トレーニングと教育

• 特定のBCPタスクを評価して、災害時のタスクの効果的な完了と人員の冗長性を確保します。

3.5 BCP 文書化

• BCP チームの上級メンバーが不在の場合でも参照できる文書化された継続性文書が BCP に含まれていることを確認します。
• BCPプロセスの履歴を提供します
• チームメンバーにアイデアを紙に書き出すよう奨励する

3.5.1 継続計画の目的

• 計画には、BCP チームと上級管理者によって提案された継続計画の目標を説明する必要があります。

3.5.2 重要性の表明

• 重要性の記述は、BCP が組織の継続的な存続にとってどの程度重要であるかを反映します。

3.5.3 優先順位の表明

• 優先順位ステートメントは、ビジネス影響評価の優先順位付けフェーズから直接派生したものです。

3.5.4 組織の責任声明

• 経営陣から、事業継続計画に対する組織の取り組みを再確認

3.5.5 緊急性と実施に関する声明

• BCP を達成するために重要なパラメータと、上層部が合意した実施スケジュールの概要

3.5.6 リスク評価

3.5.7 許容可能なリスク/リスクの軽減

3.5.8 重要な録音計画

3.5.9 緊急事態に影響を与える基本原則

3.5.10 メンテナンス

BCP文書と計画の継続的な維持

3.5.11 テストと演習