2008年04月

2008年04月27日 20:29

※ご無沙汰しており申し訳ありません。多忙によりポストする余裕がありませんでした。

以前よりJIS Q 2001などリスクマネジメントには関心があったが、今度ISO化されるということで事業継続マネジメント(BCM)への関心がにわかに高まりつつある。22日、東京ミッドタウンにてBCMコンファレンスなるものが開催されたため、行ってきますた。以下、概要のレポート。

基調講演

1)「経済産業省の情報セキュリティ政策と事業継続計画の位置付け」
(経済産業省・井土和志)
IT化の急速な進展→セキュリティの脅威
スピア型(標的の特定)
ISO27001にも事業継続に言及あり
政府の取組み(NISCと情報セキュリティ政策会議)
セキュア・ジャパン(年次計画)
障害が発生した際影響がどう波及するか解析
グローバル情報セキュリティ戦略
早期警戒体制の整備(脆弱性情報の適切な管理)
ウェブアプリケーションの脆弱性発見が目立つようになった
ボット対策
普及広報活動
Check PC!キャンペーン
組織的対策(情報セキュリティガバナンスの確立)
まだ目に見えるメリットとしては説得力不足
ISMS(日本の認証は2600件で世界トップレベル)
情報セキュリティ報告書(まだ提出しているところは少数)
JIS Q 2001が具体化されたのが内閣府ガイドライン(自然災害等含む)・経産省ガイドライン(IT系が主)
国際基準(ISO TC223で検討・2008年ISO化?)
ITサ一ビス継続ガイドライン(近くパブリックコメント)
現在ガイドラインが乱立状態(要・関係性の整理)

2)「サプライチェーンと事業継続―震災事例を踏まえて―」
(BCMコンファレンス実行委員長・渡辺研司)
可用性をいかに確保するか
SCM・災害対策(自社が対策していても提携している他社が未対応なら×というケースもある・早急な復旧が出来るかが差別化になる)
BCM=構築に時間がかかる・無形な企業価値・実は壊れやすい
対応次第で株価にあらわれた実例
ステークホルダーの保護で企業の価値向上
SCMを脅かす要因(テロ中心からより広範囲へ)
最終メーカーからの要求連鎖・単一調達先の回避(オンリーワン企業でも対応を誤まると強みそのものが忌避される)
新潟震災事例=プロセスの可視化・ジャストインタイムの徹底が功を奏した
プラットフォームの共有化・モジュール化(技術の補完)
CSRを超えた「お互いさま」感覚・「事故前提」の経営を
米国ではいくつものフレームワークが乱立
企業が自発的に取り組まないと企業価値が下がる

3)「事業継続マネジメントの実践手法」
(富士通総研・伊藤毅)
経済環境や戦略に比して災害対策は発生頻度が低いため対応手法が未発達
顧客から質問状が来るようになった
企業の評価指標が健全性・継続性とのバランスで語られるようになった
運用性の確保(マネジメントシステムとして廻せるように作ること)が重要
BCPに必要な10の要素項目
?PCMプロジェクトの導入と経営者の承認
?リスク評価とコントロール
?事業影響度分析
?事業継続戦略の検討と策定
?緊急対応策の検討と策定
?事業継続計画の策定と手配
?啓発・訓練プログラムの策定
?訓練の実施と事業継続計画の更新
?危機広報の検討
?外部機関との調整
緊急対応・事業復旧・システム復旧
BCM構築は長い目(定着まで3年以上)で取り組む
継続すべき商品やサービス・守るべき
経営資源・外部依存になっているものを明確化しリスク分析
重要な取引先の復旧が最大のボトルネックとなる(依存度の高いところの洗い出し〜評価)
1年でBCP策定社数は3倍化
今後は品質等の評価指標との統合が課題
BS25999(BCMS)認証
QMS・ISMSの組織・手順を活用
改善活動の一環として取り組むべき

セッション

1)「ITの継続性が支える、これからの事業継続マネジメントシステム」
(インターリスク総研・田代邦幸)
事業継続(性)マネジメント
ITサ一ビス継続性マネジメント・ITSCM(対社内・対社外ともへのサービス)
組織の活動に対するリスクに着目する
PAS77(BS25777になる予定・2008年秋?)
ガイドラインになる予定・認証規格になるのかどうか未定(BS25999と近くなりそうなので)
ビジネスプロセスが情報システム依存になってきた結果、ビジネスプロセスに詳しいIT技術者が増えた
IT部門はソリューションも知っている
BCM担当部門とIT担当部門の相互補完となる
IT部門にはフロー改善を出来るチャンスがある
BCカンファレンス/EXPO
小売業事業継続協会
同業者が情報交換してコンサルタントの指導も受けている

2)「入門 BCM導入実践」
(BSI・打川和男)
BSI=英国規格協会と関連
   富士通・英TDG社・SunGard社を認証
英TDG社の事例
消費材・小売・薬品のSCM(配送・倉庫)
グローバル展開による複雑化・コスト削減による弾力性低下
潜在的な脅威への認識が高くなった
BS25999以前のBCMはサイト単位で社全体としての一貫性なし・有事対応の演習不足
パイロットサイトでまず運用しその手法を全社に採り入れていく手順
「顧客の業務を止めないBCM」
業務の棚卸し→ビジネスインパクト分析
構築の過程で顧客の関与
顧客のプログラムにて演習
BCMを組織文化に組み込まないと有事対応が出来ない
BCMSを通じてビジネスへの理解度が向上した

3)「ビジネス継続を実現するためのITDR環境構築の提案」
(シマンテック・杉本光総)
3〜5日中にデータアクセスを復旧できなかった企業の7割は倒産している
3社に1社は半日以上のダウンタイムを経験
システム障害の7割は機器障害に起因
DR(ディザスタリカバリ)計画を1度もテストしていない=78%(実地で不安)

4)「日立グループのリスク管理とITガバナンス」
(日立・梶浦敏範)
収益性向上とイノベーション、リスク回避が3すくみ状態
日立は創立当初の被災経験や阪神大震災から事業継続を重視
地震では人命尊重第一
BCPガイドライン策定ヘ
まずコミュニケーション復旧を
情報センターにデータ集中・個々の端末にデータを置かない
BCMに必要な10の要素
=経営のコミットメント・プロジェクトマネジメントがすべての土台となる
その他、
?リスク分析
?ビジネス影響度分析
?緊急対応
?BCP計画策定
?対策実施
?戦略策定
?外部連携
?ロジスティックス
lT継続の前に前提条件・策などを決める必要
ネットワーク化以前は管理者がほぼ固定だったが複雑化
まず可視化を
業務改革とITガバナンスをリンク(JSOX法に先がけた)
情報共有プラットフォームによりITコストの削減・コントロールも容易に
内部統制と事業継続は似ている(内向きか外向きかの違い)
lT化によって企業価値の向上へ
ポストBCMは情報開示?(CSRレポートなど)


QRコード
QRコード
訪問者数
  • 今日:
  • 昨日:
  • 累計: