BCPと同様、DRPにもBIA(役割と責任の概要作成、継続的なテストと改善)が必要です。しかし、DRP事後対応型の性質であるため、リスク分析とデータのバックアップと復元に重点が置かれています。DRP策定のステップ2と3、リスク分析、資産インベントリーの作成は、BCP策定プロセスには含まれていません。
DRPの策定に広く使用されている5段階のプロセスを紹介します。
1. ビジネス・インパクト分析の実施
BCPプロセスと同様に、企業が直面する可能性のある脅威をそれぞれ評価し、その影響を把握することから始めます。潜在的な脅威が日々のオペレーション、通常のコミュニケーション手段、従業員の安全にどのような影響を与えるかを考慮します。強力なBIAを検討する際に考慮すべき事項には、収益の損失、ダウンタイムのコスト、風評被害にかかる修復コスト(広報)、顧客と投資家の損失(短期および長期)、コンプライアンス違反で発生する罰金などがあります。
2. リスクの分析
DRPは潜在的な災害からの復旧作業に重点を置くことを目的としているため、通常は、BCPよりも慎重なリスク評価を必要とします。計画のリスク分析の段階では、リスクの可能性とビジネスへの潜在的な影響を考慮します。
3. 資産インベントリーの作成
効果的なDRPを策定するには、企業が所有するもの、その目的や機能、そしてその状態を正確に把握する必要があります。資産インベントリーを定期的に作成することで、ハードウェア、ソフトウェア、ITインフラストラクチャー、その他組織が所有するもので、事業運営にとって重要なものを特定することができます。資産を特定したら、3つのカテゴリー(極めて重要、重要、重要でない)に分類することができます。
- 極めて重要:企業が通常の事業運営に必要とする資産にのみ、「極めて重要」というラベルを付けます。
- 重要:少なくとも1日に1回は使用され、障害が発生すると事業運営に影響を与える(ただし、完全に停止するわけではない)資産にこのラベルを付けます。
- 重要でない:これらは、事業運営に必須ではなく、事業で頻繁に使用されない資産です。
4. 役割と責任の明確化
BCPの策定と同様に、責任の所在を明確にし、チーム・メンバーが各自の職務を遂行する際に必要なものを確保する必要があります。この重要なステップを踏まなければ、災害時にどう行動すべきか誰もわかりません。DRPを策定する際に考慮すべき役割と責任には以下のようなものがあります。
- インシデント報告者:破壊的な事象が発生した際に、関係者の連絡先を管理し、ビジネス・リーダーや利害関係者と連絡を取る人。
- DRP管理者:DRP管理者は、インシデント発生時にチーム・メンバーが割り当てられたタスクを確実に実行できるようにします。
- 資産管理者:災害発生時に重要な資産を確保し、保護する役割の人。
- サードパーティとの連絡係:DRPの一環として雇用したサードパーティのベンダーやサービス・プロバイダーとの調整を行い、DRPの進捗状況を利害関係者に随時報告する担当者。
5. テストと改善
BCPと同様に、DRPも効果を発揮するには、継続的な練習と改良が必要です。 これを定期的に実践し、重要な変更が必要に応じて更新します。 たとえば、DRPを作成した後に会社が新しい資産を取得した場合は、その資産を今後も確実に保護するために、その資産を計画に組み込む必要があります。