Ｌ　災害対策

１　リスク分析

着眼点

1)地震のみならず、台風等広範囲に影響を及ぼす全ての自然災害について想定して分析し ているか。*1

2)被害の規模は，最大規模を想定していること。*1

3)被害の想定は，特に停止，縮退運転，あるいは稼動確保等地理的，組織的，物理的およ び業務的視点から検証をすること。*1

4)データ通信に使用している回線の強度を評価確認すること。　

特に，業務上重要度の高いネットワークについては複数経路の回線が確保されている か確認する 。

5)想定した影響範囲は，将来を考慮していること。例えば将来の考慮の時間的幅の例とし て「次回の見直しのタイミングまで」がある。*1

留意事項　
・広域災害下ではネットワークの切断、トラフィックの集中により通信回線の 麻痺が発生するので、通信回線関係が最も脆弱な部分となり、これがトリガーと なって業務に重大な影響を与える。したがって、ネットワークに利用している回 線の強度を事前に評価しておく必要がある。
例えば，
・ＮＴＴ回線では事業所用や家庭用の一般電話が一番弱い．災害時に は回線断絶が免れても通話が集中し，通信 規制の対象となって円滑な接続はさ れない．
・専用回線は常時使用でき，通信規制の対象外である。
・事業所構内・ビル内に設置された公衆電話は 災害時に通信規制が行われる ことが少ないので普段から設置しておけば， 緊急時の予備回線として利用の検 討対象となる。ＩＳＤＮ回線のグレー公衆電話が望ましい．
・通信衛星回線　災害時に地上回線が損傷を受けても、中継局が機能していれ ば利用の検討対象となる。
・災害用非常電話 優先的に通信の確保されるが公共性の高い特定業種でなけ れば設置許可が得られない．

監査目標
(2) 情報システムの停止等により組織体が被る損失を分析しているか。

着眼点

1)情報システムの停止及び機能縮退により組織体が被る損害の分析の対象範囲は、影響を 受ける業務を網羅していること。*1

2)業務復旧の重要性および緊急性を明確にしていること。*1

3)損失分析は自社の情報システム資源の物理的な損壊だけでなく、自社設備に被害がなく とも、回線障害でネットワークが利用不能となるケース

留意事項　
・重要性の評価にあたっては自社に対する業務影響だけでなく、業務停止や麻 痺が及ぼす社会的損失，供給使命等も考慮する必要がある。

監査目標
(3)　業務の回復許容時間及び回復優先順位を定めているか。　

着眼点

1)回復許容時間及び回復優先順位の設定は、業務の重要性，緊急性，影響範囲及び他の業 務との整合性並びに実現可能性を考慮していること。*1

2)復旧計画立案のため業務の機密度、重要度にしたがって優先順位づけをし、一覧表にま とめておく。

3)回復許容時間および回復優先順位の設定理由を明確にしていること。*1

4)回復許容時間および回復優先順位を関係者が合意していること。*1

留意事項　
・組織として整理している必要がある。組織体の承認記録や部門間の合意が前 提となる。
・緊急時下では事前の合意にしたがって上位職の指示を仰ぐことなく自主的に 判断し、意志決定できる仕組みが求められる。

２　災害時対応計画

着眼点

1)災害時対応計画の策定ルールを明文化していること。*1

2)災害時対応計画は，バックアップ，代替処理対策，復旧対策等を記載していること。*1

3)業務の重要度に応じて電源・サーバ機器類・回線について二重化を含めバックアップを 検討 していること。

4)将来の経営環境及び業務の変化を考慮していること。*1

5)災害時対応計画を組織体の長が承認し、関係者に周知徹底していること。*1

留意事項　
・ バックアップは必ずしも自社で保有しなくともよい。アウトソーシングや 相互バックアップ契約の締結も含めて考慮すること。
・分散処理ネットワーク自体に対して文書化した災害時復旧計画の保持とマネ ジメントの承認、災害時の連絡体制と役割分担を明確にしておく。

監査目標
(2)　災害時対応計画の実現可能性を確認しているか。

着眼点

1)実現可能性を検証する計画を策定していること。*1

2)フィジビリティスタディが重要である。想定した状況下で予定した活動ができることを 訓練で確認しいるか。

3)検証する計画は，被災の程度に応じた内容となっていること．*1

4)検証結果を記録し、災害時対応計画に反映していること．*1

留意事項　
・ネットワーク環境では予備回線への切り替えが必要になる場合がある。切り 替え作業が自動的に出来る部分は自動化方式を取り入れておく。
・緊急時下では未習熟のものが切り替え作業にたずわわらずを得ないケースが おこりうる。
・通信事業者側と密接に連絡をとり、切り替えがおこなわれることが通例であ るが、相手方の混乱で当初想定した手順どおりになりにくい状況が発生する場合 がある。

監査目標
(3)　災害時対応計画に基づいた訓練を定期的に行っているか。

着眼点

1)災害時対応計画に基づいて，訓練の計画を策定していること．*1

2)訓練を定期的に実施していること。*1

3)訓練結果を記録し、災害時対応計画に反映していること。*1

4)バックアップファイルをもちいて災害時復旧手順を定期的にテストする。*2

留意事項　
・２４時間いかなる状況下でも復旧できるようにしなければならない業種もあ る。２４時間接続型業務でシフト勤務をとらせている場合、全シフトの関係者の 訓練が完了している必要がある。

２　災害時対応計画

着眼点

1)見直しのルールを明文化していること。*1

2)見直しによる変更は，理由を明確にしていること．*1

3)災害時対応計画を文書化し、定期的に見直す。*2

4)変更した計画を組織体の長が承認し、関係者に周知徹底していること。*1

留意事項

　・環境はつねに変化するので、見直しは必須である。１年１回は必ず確認す る必要がある。（設備関係の増設、更新による変化、ビジネス環境の変化は必ず 発生する。）

３　バックアップ

着眼点

1)業務別にバックアップの対象を明確にし、関連業務のバックアップとの整合を図ってい ること．*1

2)業務の回復許容時間及び回復優先順位に対応して，バックアップ方法及び手順を定めて いること．*1

3)バックアップの要員及び予算を確保していること。*1

4)ネットワークのバックアップは回線形態をかえるほうがのぞましく、複数の通信事業者 を考慮しているか点検する。

5)被災シナリオごとの検討も重要である。できるだけ具体的なものに落としこまれている か点検する。

留意事項
・バックアップの場合，パーフォーマンスの低下は避けられないので、回復目 標と見合っているか評価する．

監査目標
(2)　運用の責任者は、バックアップ方法及び手順を検証しているか。　　　 　　　　

着眼点

1)実現可能性を検証する計画を策定していること。*1

2)緊急時下で機能することを検証しているか確かめる。

3)検証結果を記録し、バックアップ方法及び手順に反映していること．*1

留意事項

・接続環境の変化が手順書にすみやかに反映していいるか．現状ではドキュメントの修 正が遅れがちになることに留意する。

４　代替処理・復旧

着眼点

1)業務の回復許容時間及び回復優先順位に対して，代替処理手続き及び体制の必要な業務 を明確にしていること．*1

2)代替処理の要員及び予算を確保していること。*1

3)代替処理の責任者及び指揮命令系統を明確にしていること。*1

4)実現可能性を検証する計画を策定していること。*1

5)検証結果を記録し、代替処理手続き及び体制に反映していること。*1

6)各ユーザごとに復旧訓練を実施しているか検証する。

あるいは、その復旧訓練実施状況を把握しているか確かめる．

留意事項
　　ネットワーク環境下ではユーザ先の端末機はユーザにゆだねざるを得ない 部分があり、センター側でカバーできるわけではない。しかし、ケースによって はリモートメンテナンスできる手法も取り入れる必要がある。

監査目標
(2)　運用及びユーザの責任者は、復旧手続き及び体制を定め、検証している か。

着眼点

1)業務の復旧許容時間及び回復優先順位に対応して，復旧手続き及び体制を定めているこ と。*1

2)復旧の進捗状況を関係者に周知する体制を定めていること。*1

3)復旧の要員及び予算を確保していること。*1

4)実現可能性を検証する計画を策定していること。*1

5)検証結果を記録し、復旧手続き及び体制に反映していること。*1

6)手続，体制について企画者側からの評価だけでなく、ユーザ側からの検証が行われたか 確かめる．

留意事項　
復旧対策は時の経過とともに風化する部分があるので、最新の環境に対して備 えられているかの評価は重要である。

５ 災害対策への対応実施(追加監査項目)

監査目標
(1)ネットワーク関係設備の災害対策は設備の重要性に応じて対策が適切に講 じられているか。

着眼点

1)WANの重要度に応じてサーバの管理は厳格に行なわれているか．

2)地震対策の実施　ネットワーク機器の転倒、転落防止対策は実施されているか。

3)分散ネットワークの重要な機器は無停電電源装置で維持されるようになっているか。

4)ネットワーク諸設備のシステム資産管理台帳等の整備は行われているか．

5)バックアップ機器は必要十分なものを用意されているか。

6)バックボーン等重要な機器は２重化されているか。

7)ファイルサーバ等重要な機器のハードディスクはホットスタンバイやコールドスタンバ イ方式が採用されているか．*2

8)障害対策のデータベース化、情報共有化をはかり、すばやい復旧とコストの低減される ものとなっているか。*2

9)ネットワークの復旧計画の副本は別途安全な場所に保管されているか。*2

10)バックアップファイルは安全な場所に保管されているか。*2

11)不測の事態に備えてネットワークコンピュータ施設に保険による補填により保全する ことが考慮されているか。*2

留意事項

・ネットワーク機器ーサーバ機、クライアント機，ルータ、ハブ、モデム等LAN 関係の機器は小型のこともあって、転落防止等固定化が不十分なものが多い。
モデム類は設置棚から転落した場合接続ケーブルが散乱し再接続が面倒になる。*2

・自家発電用の燃料の備蓄量が適切であるか評価しておく。

・災害時損傷を受けた設備，機器は提供メーカや納入業者のサポートを急遽あ おがねばならなくなるので、管理台帳上緊急サポートの連絡先、予備機の調達先 等明確にしておくことが望まれる。*2

・LAN関係機器台帳が別途保管されていることも重要である。
災害時関係台帳が事業所からとりだせないことがあるので、バックアップ用として別の場所に保 管しておくことも必要である。*2

・バックアップ機器類として予備機の確保数量が緊急時の対応が実際可能な数 量となっていることを確認する。*2

予備機といっても形ばかりの数量しかない場合があることに留意する。

・災害対策用ドキュメント類は１ケ所に集中保管されていると緊急時持ち出し が不能となる場合がある。

ガイドラインの目次に戻る。