フェーズⅡ 事業影響度分析(BIA)

続くフェーズⅡは事業影響度分析になります。Business Impact Analysisを翻訳した言葉になりますが、BIAと略語でよく用いられます。では、BIAとは一体何でしょうか?ひとことでいうと、組織のあらゆるビジネス機能をひとつひとつ分析して、データ処理の停止による影響を定量的に判断することです。

fb00cbb2efe1c40dfc8aedeff3557482_s

重要なのは経営陣の視点で行うことです。CISSPは経営陣と従業員の間をとりもつポジションから組織のセキュリティを推進する立場ですので、経営陣に対して影響度を示してみせる必要があるということになります。

BIAの重要な目的はMTD(Maximum Tolerable Downtime)と略される、最大許容停止時間について経営陣の承認を得ることにあります。停止時間に応じて溜まっていく財務上の損失を基準にして評価し、それぞれのビジネスがデータ処理の中断に対して、どの程度の期間耐えられるかどうかを判断するための指標となります。

全てのクリティカルなシステムについて、経営陣が承認すると、BIAは完了となります。

BIAを実施するにあたって重要なことは、どのような原因で業務が中断するかは関知せず、あくまで財務費用の見地から具体的に表現するということと、クリティカルなシステムの優先順位を考えることです。

次回は、BIAの具体的な実施方法について解説します。

次回の記事へ
前回の記事へ