wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

リスクマネジメントの一環としてのコンティンジェンシープラン

ふと思ったこと。
@ITの情報マネジメント用語辞典でのコンティンジェンシープランの記述は、以下のような感じ。


事件・事故・災害などの不測の事態が発生することを想定し、その被害や損失を最小限にとどめるために、あらかじめ定めた対応策や行動手順のこと。

手順化できるものは手順化し、手順化できないものや各種検討の結果困難と判断されたものは、対応指針をぶちあげておく、というあたりが基本という認識だけどね。
もちろん、リスクアセスメントなんかは、プラン策定の前に「どこにどういう手を打つべきか」「プランを用意すべきか」というのを検討するのに至極有効。

僕の感覚だと、忘れがちなものには

  • 作成されたプランの検証を行う

というあたり。
プランの実行を要求されるシチュエーションと、その時に必要な行動を取れるかを検証するのは大事。

たとえば災害時のシステム復旧を想定した場合に一番間抜けなのは、「停電のときの復旧/連絡について、手順や文書が全てファイルサーバ上にあって取り出せない」という状況か。

やらなきゃいけないことは山ほどあると思われがちだけど、たとえばシステムが提供するサービスのミニマムセットを定義しておいて、最低限そこだけは、というように仕切れれば、実は意外にやることは少ない。現場においては

  • 実施する内容を「最小化」する

「こうすれば最低限のサービスは復旧できる」ということをきちんと残す

  • 「自分たちで判断できない内容」はとっとと上にエスカレーションできるようにする

「最小化した内容では対応できない事象」については、とっとと報告→自分らの責任をとっとと手放す

  • 決めた計画について、マネジメントの了承をもらう

「緊急時にやること」と「やれない場合には上にあげる」というのを宣言し、了承をもらう

  • 実施する内容を「緊急時にはいつでも見られるように」する

どのような状況においても決めた内容を実施できるようにする。紙に印刷して、耐火金庫にでも入れておけば、その金庫が失われない限りはなんとでもなるw

ということを念頭に置いたプランニングを行えれば、まぁ及第点じゃないかな。
上を見ればきりがないけど、まず実施が必須な内容を確実に実施できるようにすれば、ファーストステップはクリアというのがオレの考え。