BCP と IT-BCP を双方矛盾無く、全社あるいは本社の危機管理を構築するお手伝いをする際、最近特に感じることがあります。
いわゆる IT が事業継続において、かなり大きなウエイトを占める場合(多くの大企業がそうかもしれませんが…)、IT-BCP の被災シナリオ設定において、「電源」、「イントラネット(オンプレサーバ)」、「インターネット」、「クラウドサーバ」の四種類の利用可否で、被災シナリオを細かく設定した上で、それに合わせて、要継続事業に対応させ、対応策を、あるいはワークアラウンドを設定するというアプローチが有効ではないかと考えています。
さらに初動においては、情報システム部門は、部員全員の安否確認を全社安否確認とは別に細かい確認(例えば、家族の安否も含む)を実施し、直ぐに対応できる担当者と帰宅が必要な担当者を分けることが重要になってきます。これは部門のメンバーで保持しているスキルが異なる場合が多く、大企業でも属人化している場合が少なからずあり、情シス・メンバーの安否とスキルセットの速やかな把握は、情シス部門のみならず、全社危機管理においても非常に重要になってきます。
米軍では、テロ脅威に対応して、アルファ(A)、ブラボー(B)、チャーリー(C)、デルタ(D)の四種類があり、9.11 の際、沖縄の米軍のテレビでは、デルタ状態であることを常に画面下に表示していましたが、IT でも四つ程度の被災シナリオを設定し、このような被災の深刻さを基に、行動を設定する方法がおススメです。
例えば、震災発生後、「今回の対応は、”レベルデルタ”で行く」など情シス部門以外の関係者を含め、対策本部での対応や行動をパターン化して周知するのも良い方法かと考えています。