Good Practice Guidelines 2010 (GPG2010)
2010年3月に、英国BCI本部は事業継続に関する包括的な実践ガイドラインの最新バージョンの無料配布を開始しました。GPG2010は、BS25999-1のように事業継続管理の実践規範を示したものであり、What(何をすべきか)のみならず、Why(なんのために)やHow(どうやって)といった具体的に構築のヒントにつながる有益な情報について広く解説しているガイドラインです。
グッドプラクティスガイドライン2010(GPG2010)年度版の変更点
旧版(2008年発行版)からの変更は大きく以下の点になります。
- BS25999へのクロスリファレンスの削除
- 章構成の変更
- 解説文の変更(例の追加や表現の仕方など)
- ERMやクライシスマネジメントなど類似した言葉の違いについて解説
また、原文(英語)のみのダウンロードが可能となっています。詳細と無料ダウンロードは関連リンクをご覧ください。
6つのテーマで構成
本ガイドラインからBS25999へのクロスリファレンスは削除されましたが、BS25999の考え方がGPG2010から切り離されたわけではありません。事実、BS25999で示されるBCMライフサイクルがそのまま、GPG2010における6つの章立て(方針とプログラムマネジメント、組織文化へのBCM文化の定着化、組織の理解、BCM戦略の決定、BCM対応の開発と導入、エクササイズ、維持と見直し)として反映されています。このため、BS25999に慣れ親しんだ人にとっては、より違和感なく読む進めることができ2次的な参考書として使いやすいと思われます。
GPG2010の主な章立て
1. Policy and Programme Management(方針とプログラムマネジメント)
- Aligning BCM Policy to Organizational Culture(組織の文化にBCM方針を合わせる)
- BCM Programme Scope and Determining Choices(BCMプログラムのスコープと選択肢の決定)
- Developing the BCM Policy(BCM方針の策定)
- Outsourced Activities(アウトソースされた活動)
- BCM Programme Management Overview(BCMプログラムマネジメント概要)
- Assigning Responsibilities(責任者の任命)
- Implementing BCM in the Organization(組織におけるBCMの導入)
- Project Management (プロジェクトマネジメント)
- Ongoing Business Continuity Management(事業継続管理の継続的活動)
- BCM Documentation(BCM文書)
2. Embedding BCM in the Organization's Culture(組織文化へのBCMの定着化)
- Assessing the Level of BCM Awareness and Training(BCM意識レベルの評価とトレーニング)
- Developing BCM within the Organization's Culture(組織文化に合わせたBCMの確立)
- Monitoring Cultural Change(組織文化の変化についてのモニタリング)
- Achieving Cultural Change Through Management Systems Standards(マネジメントシステムを通じて組織文化を変える方法)
3. Understanding the Organization(組織の理解)
- Business Impact Analysis(事業インパクト分析)
- Continuity Requirement Analysis(継続要件分析)
- Evaluating Threats Through Risk Assessment(リスクアセスメントを通じての脅威の評価)
4. Determining BCM Strategy(BCM戦略の決定)
- Identifying and Selecting Strategies(戦略の特定と選択)
- Identifying and Selecting Tactical Responses(戦術的対応手段の特定と選択)
- Consolidating Resource Levels(リソースレベルの統合)
5. Developing and Implementing a BCM Response(BCM対応の開発と導入)
- Incident Response Structure(インシデントレスポンス体制)
- Developing and Managing Plans(計画の開発と管理)
- Strategic Plans(戦略的計画)
- Tactical Plans(戦術的計画)
- Operation Plans(運用計画)
6. Exercising, Maintaining and Reviewing(エクササイズ、維持と見直し)
- Developing and Exercise Programme(開発とエクササイズプログラム)
- Exercising BCM Arrangements(BCM取り組みのエクササイズ)
- Maintaining BCM Arrangements(BCM取り組みの維持)
- Reviewing and Auditing BCM Arrangements(BCM取り組みの見直しと監査)
7. Annex1:
- Advice on Selecting appropriate Tactical Recovery Options(戦術的なリカバリーオプションのアドバイス)
8. Annex2:
- Advice on Selecting Alternative Risk Mitigation Measures(代替リスク軽減手段の選択のアドバイス)
最大の特徴は「実践性」「最新性」「論理性・整合性」
GPG2010は、BS25999-1同様、世界中の現場でBCMの構築に携わってきた専門家たちの経験を反映したものであることから「実践性」に優れたガイドラインであると言えます。
また、初版が2007年、その次の版が2008年、そして今回の最新版が2010年、というように頻繁に更新が行われており、常に時代に即しているガイドラインであるということができます。年々変化するリスクや、日進月歩するBCMの考え方を反映したGPG2010は、BCMに携わる人にとっては、極めて貴重な情報源であるということは言うまでもありません。
そして、GPG2010の3つ目の特徴として「論理性・整合性」の高さを挙げることができます。ベストプラクティスと呼ばれるものの中には、ITILのように、いまいち論理性・明瞭性に欠けるようなものもある中で、当該ガイドラインは非常に論理性を意識した理解を促進する作りになっています。加えて、各テーマ毎に必ず「コンセプトは?」「インプット(入手すべき情報)は?」「アウトプット(得られるべき結果)は?」「アウトプットを得るための手段(アプローチ方法、フレームワークやツールなど)は?」といった項目を設けて、明瞭簡潔な解説を行っています。さらに、曖昧になりがちなBCMの用語についても、他の規格やガイドラインで使われる用語を十分に考慮した、整合性を意識した作りになっています。たとえば、Hazardという言葉はNFPA1600などでは良く使われる言葉ですが、このガイドラインではThreatと同じ意味であるとして明記しています。さらに、違いが分かりづらいクライシスマネジメント、リスクマネジメントなどといった言葉の違いについても触れています。
BCM資格受験者やBCMの実践的な技術習得を目指す人向け
GPG2010は、CBCIと呼ばれるBCIが運営するBCMの資格試験を受けたい人には必須の教材になるものです。試験問題は、このGPGがベースとして作成されます。
勿論、資格受験者以外にも、どのようにBCM構築を進めてゆくべきかといった、BCMについてより以下に挙げるような実践的な技術習得をめざしたい人にとっても十分に活用できる中身となっています。
- BCM構築担当社
- 当局関係者
- 監査人
- コンサルタント
さて、著者はコンサルタントですが、私自信どこにも答えを見いだせず自分の中だけで考えていたようなことが、当該ガイドラインのAnnex中に記述してあったりもしました。著者の背中を押してもらうのにある意味役立ちました。英語版しかありませんが、BCMの力をさらに一段高めたい人にはぜひ、読んでいただきたいガイドラインの1つです。
