外部サプライヤー管理義務 障害対策 2016年12月付け第7.0版 管理対象 1. 回復と復旧のガ バナンス 管理内容 本件が重要である理由 サプライヤーは、重大なインシデントによる混乱を最小限にするために 十分な、すべての主要プロセスとサービスの回復力と復旧力を維持する ための効果的なガバナンスを確立するものとします。サプライヤーは、 各自の役割に適切な回復に関する教育および/または意識向上をサプラ Barclaysは、重大なプロセス混乱を回避し、および/または適時に復旧する ことができる(すなわち適切な回復力のある)商業的(およびリスク主導 型)要件を設けています。Barclaysは、可能な限り、Barclaysのビジネスを リスク選好の外に追いやるような重大なプロセスの混乱を回避するための適 切なガバナンスと方策を設けており、かかる混乱が発生した場合でも事前に 合意または承認された方法で混乱に対処し、(顧客、財務上および/または 評判上にかかわらず)その影響を最小限にするとの保証を取り付け、またこ イヤー人員に提供します。 れを利害関係者に保証するものとします。 2.回復または復旧 を必要とする活動 を特定する サプライヤーは、主要プロセスおよびサービスの回復または復旧のニー ズを確立するものとします。これには、Barclaysが指定する、復旧分類 の適用に沿った復旧時間目標(RTO)、復旧時点目標(RPO)、修正オペレ ーティングレベル(ROL)(以下に定義)などがあります。(下記の障 サプライヤーは、重大な混乱時におけるプロセスとサービスのリソースニー ズに関して、明確な考えを持つものとします。サプライヤーとBarclaysは、 回復または復旧の要件について共通の理解を持つものとします。 害重大度表を参照) 3.回復と復旧計画 の定義 4.回復力または復 旧力におけるギャ ップの特定と修正 サプライヤーは、重大な混乱がある状況下で主要なプロセスやサービス を運営するために必要なリソース(人員、施設、サプライヤー、ITアプ リケーションとインフラストラクチャ)の適時の可用性を確保する復旧 計画を確立するものとします。サプライヤーは、毎年および重大な変更 があった際に復旧計画を見直し、計画の要約をBarclaysと共有するもの とします。 たは復旧の計画について共通の理解を持つものとします。 サプライヤーは、計画に定められている回復または復旧のすべての条件 をテスト、検証し、欠如が特定された場合には速やかに修正するものと します。サプライヤーは、プロセスとサービスのリソースニーズ(人 員、設備、サプライヤー、ITアプリケーション、インフラストラクチ ャ)を必要時に利用できるよう定期的に確認し、回復戦略に基づいて提 供されることを保証するものとします。サプライヤーは、相互合意によ り、サプライヤーの計画の検証にBarclaysを関与させる場合があり、ま たBarclaysの計画の検証への参加を定期的に求められることがありま 計画に定められる回復または復旧のすべての条件は、許容できないサービス の欠陥を特定し、未然に防ぐためにテストされ検証されるものとします。サ ービスが適切な回復力を持つためには、各要素のプロセスまたはサービスが 混乱から(リスクイベントに関わりなく)既定された時間枠内に影響を受け ることなく、または完全に回復して、運用を継続できるものとします。ある いはサプライヤーはプロセスまたはサービスを同等の水準にまで(既定の時 間枠で)実行できる別の手段に切り替えるものとします。 す。 検証テスト期間中に収集された証拠も、監査または規制上のレビューで必要 となる場合があるため、保管しておくことが重要です。 サプライヤーとBarclaysは、テストと検証の範囲がサービスの重要度に 2016年12月付け第7.0版 サプライヤーは重大な混乱時におけるプロセスとサービスの復旧計画に関し て、明確 な考えを持つものとします。サプライヤーとBarclaysは、回復ま 管理対象 管理内容 本件が重要である理由 ふさわしいものであり、下記の障害重大度に特定されているものより高 い頻度であることに合意します。 回復計画と復旧計画のすべての条件には、現在の検証レポートを含むも のとします。サプライヤーはテスト後速やかに、かかる検証レポートの 要約をBarcaysに伝えるものとします。サプライヤーは、テストにより 特定された単一障害点を記録し、また関係するすべての依存する関係者 と共有し、合意され、かつ合意された時間枠で実現するための経営幹部 の後援、リソース、資金調達および取り組みによって成立する文書によ る改善計画を作成し、その実現に責任を持つものとします。 サプライヤーは、以下の重大イベント(すなわち通常業務に重大な影響 を与える可能性を示すイベント)についての一貫した、効果的な処理、 管理、審査の手順を確立するものとします: 5.インシデントの プロセス混乱から生じる行動上のリスク問題(例えば、規制上の 遵守に関連する、または顧客または市場へ影響する)に対処す る。 Barclays次第およびBarclaysを含む事業間の契約および業務上の 上申手順、および危機管理手順の発動に関する明確な取り決めを 含める。および インシデントのその後の記録および報告を徹底する。 効果的な管理 サプライヤーは、以下の一貫した、効果的な対処と危機的状況(重大な 影響が及ぶまたは回避不可能である)の管理を提供する手順を確立する ものとします: 2016年12月付け第7.0版 あらゆる影響を受けたエリアからの上級幹部を含んだ適切な危機 リーダーシップチームを形成する。すなわち必要なレベルの権限 を有する者があらゆる必須活動を指揮し、掌中の危機に決断力を 持って対応する。 危機管理発動とオペレーションに関する普段の定期的な演習実施 の取り組みを含む。これにはプロセス改善を可能にする適切なデ ブリーフィングと「学んだ教訓」の手順が含まれる。 サプライヤーは重大なイベント時または危機的状況時における、サービスの 取扱いや管理手順について明確な考えを持つものとします。サプライヤーと Barclaysは、重大なイベントおよび危機的状況に対する事業間の契約と業務 上の上申手順について共有の理解を持つものとします。 管理対象 管理内容 本件が重要である理由 サプライヤーは、サービスの全体的な回復または復旧状況をBarclaysお よび経営幹部に提出するため、定期的な報告書作成をまとめる能力を保 持するものとします。報告書には実際の回復力対必要な回復および復旧 6.回復または復旧 状況に関するレポ ート 報告書には、必要な回復レベルと実際の回復レベルの概要が改善措置に関す る進捗状況と共に記載されます。報告書には、望ましい能力と実際の能力 (トレンドを伴う)の両方における変更が反映されることが必要です。 要件、および改善プログラムの状況を記載するものとします。 障害重大度表 Barclaysの最低限の回復、復旧および検証の要件は、Barclaysによりサプライヤーに割当てられる障害重大度分類(0~3)により定義されています。高い回復分類(すなわ ち小さい数字)では、サービスの重要度に応じたより高いレベルの回復または復旧が必要なります。サプライヤーとBarclaysは、復旧時間目標(RTO)、復旧時点目標(PRO) および最も高い障害重大度分類(分類0)で定義されたサービスの検証要件を確定するものとします。またこれらは最低でも以下の表にある概要要件を満たすものとします。 修正オペレーティングレベル(ROL)は、Barclaysとサプライヤー間で合意されるものとします。 障害重大度 0 1 2 3 RTO 最高5分 最高4時間 最高12時間 最高24時間 RPO 最高5分 最高30分 最高30分 最高24時間 サプライヤーとBarclaysによ サプライヤーとBarclaysによ サプライヤーとBarclaysによ サプライヤーとBarclaysによ る合意 る合意 る合意 る合意 12ヶ月 12ヶ月 12ヶ月 12ヶ月 分類 ROL テスト/検証 の頻度 2016年12月付け第7.0版 定義 「復旧時点目標」 とは、回復プロセスの開始時点における利用できるデータの目標ステータスを指します。回復状況において許容できる最大のデー タ損失尺度です。 「復旧時間目標」 とは、予想外の故障または中断から合意されたサービスレベルでのオペレーション再開までの目標時間を指します。 「修正オペレーティングレベ ル」 とは、合意されたサービスレベルでのビジネスオペレーションを維持するために必要な最低限のリソースレベルを指します。 2016年12月付け第7.0版
© Copyright 2024 Paperzz