主要業務を支えるIT資源は明確になっているか?

一方、BCPにおいて、主要業務を継続するために必要なIT資源(システムやネットワーク、データなど)が明確になっているかを聞いたところ、「明確になっているものと、なっていないものがある」(56.8%)との回答が突出して高く、「すべての重要業務について明確になっている」(22.7%)を大きく上回った。一方、「明確になっていない」との回答も14.4%あった。

目標復旧時間は設定しているか?

主要業務を支える情報システムが停止・中断した場合の目標復旧時間を設定しているか、との問いについては、「重要なシステムについては設定している」(40.2%)と、「設定していない」(38%)が突出して高く、「すべてのシステムで設定している」は、わずか3.9%だった。

初動体制やマニュアルは整備しているか?

主要業務を支えるITシステムが停止・中断した場合の初動体制やマニュアルを整備しているか、との問いに対しては「初動体制もマニュアルも整備している」が31.9%で最多だった。が、「初動体制は決めているが、マニュアルは整備していない」(29.7%)、「初動体制もマニュアルも整備していない」(17.5%)の回答も多かった。

また、自由回答では「初動体制もマニュアルも形だけは整備されているが、具体的ではない」「両方とも整備はしているが、不十分」「部分的に整備されている」などの意見があった。

CSIRTの設置状況は?

コンピュータやネットワーク上で問題(主にセキュリティ上の問題)が起きていないかを監視し、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする専門組織となるCSIRTの設置については、「設置していない」が44.5%、「CSIRTは設置していないが、IT部門が兼ねている」(24.9%)、「既に設置している」(13.5%)の順。その他として「グループ会社で整備している」「エスカレーションルールは決めている」との回答があった。

情報システムの継続・復旧のために行っている演習・訓練は?

災害や事故を想定して、ITシステムの継続・復旧のために行った訓練や演習のシナリオを聞いたところ、「複数回行っている」・「一度は行ったことがある」シナリオは、「地震」(計42.6%)や「停電」(計35.6%)、「自社のシステム障害」(計29.5%)が比較的に多く、逆に、「一度も行ったことがないシナリオ」は、「噴火」が最多で、次いで「台風や洪水など水害」「新型インフルエンザなど感染症」「従業員の不祥事による情報漏えい」が多かった。