外部サプライヤー管理義務障害対策 2016年12月付け第7.0版管理対象 1. 回復と復旧のガバナンス管理内容本件が重要である理由サプライヤーは、重大なインシデントによる混乱を最小限にするために十分な、すべての主要プロセスとサービスの回復力と復旧力を維持するための効果的なガバナンスを確立するものとします。サプライヤーは、各自の役割に適切な回復に関する教育および/または意識向上をサプラ Barclaysは、重大なプロセス混乱を回避し、および/または適時に復旧することができる（すなわち適切な回復力のある）商業的（およびリスク主導型）要件を設けています。Barclaysは、可能な限り、Barclaysのビジネスをリスク選好の外に追いやるような重大なプロセスの混乱を回避するための適切なガバナンスと方策を設けており、かかる混乱が発生した場合でも事前に合意または承認された方法で混乱に対処し、（顧客、財務上および/または評判上にかかわらず）その影響を最小限にするとの保証を取り付け、またこイヤー人員に提供します。れを利害関係者に保証するものとします。 2.回復または復旧を必要とする活動を特定するサプライヤーは、主要プロセスおよびサービスの回復または復旧のニーズを確立するものとします。これには、Barclaysが指定する、復旧分類の適用に沿った復旧時間目標（RTO)、復旧時点目標（RPO)、修正オペレーティングレベル（ROL）（以下に定義）などがあります。（下記の障サプライヤーは、重大な混乱時におけるプロセスとサービスのリソースニーズに関して、明確な考えを持つものとします。サプライヤーとBarclaysは、回復または復旧の要件について共通の理解を持つものとします。害重大度表を参照） 3.回復と復旧計画の定義 4.回復力または復旧力におけるギャップの特定と修正サプライヤーは、重大な混乱がある状況下で主要なプロセスやサービスを運営するために必要なリソース（人員、施設、サプライヤー、ITアプリケーションとインフラストラクチャ）の適時の可用性を確保する復旧計画を確立するものとします。サプライヤーは、毎年および重大な変更があった際に復旧計画を見直し、計画の要約をBarclaysと共有するものとします。たは復旧の計画について共通の理解を持つものとします。サプライヤーは、計画に定められている回復または復旧のすべての条件をテスト、検証し、欠如が特定された場合には速やかに修正するものとします。サプライヤーは、プロセスとサービスのリソースニーズ（人員、設備、サプライヤー、ITアプリケーション、インフラストラクチャ）を必要時に利用できるよう定期的に確認し、回復戦略に基づいて提供されることを保証するものとします。サプライヤーは、相互合意により、サプライヤーの計画の検証にBarclaysを関与させる場合があり、またBarclaysの計画の検証への参加を定期的に求められることがありま計画に定められる回復または復旧のすべての条件は、許容できないサービスの欠陥を特定し、未然に防ぐためにテストされ検証されるものとします。サービスが適切な回復力を持つためには、各要素のプロセスまたはサービスが混乱から（リスクイベントに関わりなく）既定された時間枠内に影響を受けることなく、または完全に回復して、運用を継続できるものとします。あるいはサプライヤーはプロセスまたはサービスを同等の水準にまで（既定の時間枠で）実行できる別の手段に切り替えるものとします。す。検証テスト期間中に収集された証拠も、監査または規制上のレビューで必要となる場合があるため、保管しておくことが重要です。サプライヤーとBarclaysは、テストと検証の範囲がサービスの重要度に 2016年12月付け第7.0版サプライヤーは重大な混乱時におけるプロセスとサービスの復旧計画に関して、明確な考えを持つものとします。サプライヤーとBarclaysは、回復ま管理対象管理内容本件が重要である理由ふさわしいものであり、下記の障害重大度に特定されているものより高い頻度であることに合意します。回復計画と復旧計画のすべての条件には、現在の検証レポートを含むものとします。サプライヤーはテスト後速やかに、かかる検証レポートの要約をBarcaysに伝えるものとします。サプライヤーは、テストにより特定された単一障害点を記録し、また関係するすべての依存する関係者と共有し、合意され、かつ合意された時間枠で実現するための経営幹部の後援、リソース、資金調達および取り組みによって成立する文書による改善計画を作成し、その実現に責任を持つものとします。サプライヤーは、以下の重大イベント（すなわち通常業務に重大な影響を与える可能性を示すイベント）についての一貫した、効果的な処理、管理、審査の手順を確立するものとします： 5.インシデントの  プロセス混乱から生じる行動上のリスク問題（例えば、規制上の遵守に関連する、または顧客または市場へ影響する）に対処する。  Barclays次第およびBarclaysを含む事業間の契約および業務上の上申手順、および危機管理手順の発動に関する明確な取り決めを含める。および  インシデントのその後の記録および報告を徹底する。効果的な管理サプライヤーは、以下の一貫した、効果的な対処と危機的状況（重大な影響が及ぶまたは回避不可能である）の管理を提供する手順を確立するものとします： 2016年12月付け第7.0版  あらゆる影響を受けたエリアからの上級幹部を含んだ適切な危機リーダーシップチームを形成する。すなわち必要なレベルの権限を有する者があらゆる必須活動を指揮し、掌中の危機に決断力を持って対応する。  危機管理発動とオペレーションに関する普段の定期的な演習実施の取り組みを含む。これにはプロセス改善を可能にする適切なデブリーフィングと「学んだ教訓」の手順が含まれる。サプライヤーは重大なイベント時または危機的状況時における、サービスの取扱いや管理手順について明確な考えを持つものとします。サプライヤーと Barclaysは、重大なイベントおよび危機的状況に対する事業間の契約と業務上の上申手順について共有の理解を持つものとします。管理対象管理内容本件が重要である理由サプライヤーは、サービスの全体的な回復または復旧状況をBarclaysおよび経営幹部に提出するため、定期的な報告書作成をまとめる能力を保持するものとします。報告書には実際の回復力対必要な回復および復旧 6.回復または復旧状況に関するレポート報告書には、必要な回復レベルと実際の回復レベルの概要が改善措置に関する進捗状況と共に記載されます。報告書には、望ましい能力と実際の能力（トレンドを伴う）の両方における変更が反映されることが必要です。要件、および改善プログラムの状況を記載するものとします。障害重大度表 Barclaysの最低限の回復、復旧および検証の要件は、Barclaysによりサプライヤーに割当てられる障害重大度分類（0～3）により定義されています。高い回復分類（すなわち小さい数字）では、サービスの重要度に応じたより高いレベルの回復または復旧が必要なります。サプライヤーとBarclaysは、復旧時間目標（RTO)、復旧時点目標（PRO）および最も高い障害重大度分類（分類0）で定義されたサービスの検証要件を確定するものとします。またこれらは最低でも以下の表にある概要要件を満たすものとします。修正オペレーティングレベル（ROL）は、Barclaysとサプライヤー間で合意されるものとします。障害重大度 0 1 2 3 RTO 最高5分最高4時間最高12時間最高24時間 RPO 最高5分最高30分最高30分最高24時間サプライヤーとBarclaysによサプライヤーとBarclaysによサプライヤーとBarclaysによサプライヤーとBarclaysによる合意る合意る合意る合意 12ヶ月 12ヶ月 12ヶ月 12ヶ月分類 ROL テスト/検証の頻度 2016年12月付け第7.0版定義「復旧時点目標」とは、回復プロセスの開始時点における利用できるデータの目標ステータスを指します。回復状況において許容できる最大のデータ損失尺度です。「復旧時間目標」とは、予想外の故障または中断から合意されたサービスレベルでのオペレーション再開までの目標時間を指します。「修正オペレーティングレベル」とは、合意されたサービスレベルでのビジネスオペレーションを維持するために必要な最低限のリソースレベルを指します。 2016年12月付け第7.0版