1.はじめに
東日本大震災やタイの洪水被害において、緊急時発生時の備えや復旧対応など、事業継続計画(BCP)の重要性が再認識されたことは、記憶に新しいところでありますが、事業継続マネジメントシステム(BCMS)に関する要求事項を規定したISO22301(事業継続マネジメントシステム-要求事項)が、2012年5月15日に国際規格として発行されました。
日本では、BCMSに関する英国規格BS25999-2(事業継続マネジメント-第2部:仕様)を認証基準としたBCMS適合性評価制度が運営されていますが、今後はISO22301を認証基準とした制度に移行されていきます。
2.ISO22301の構成
ISO22301は、ISO/IEC専門業務用指針 第1部“附属書SL”(※)に従った1~10の条項で構成されており、「1 適用範囲」~「7 支援」、「9 パフォーマンス評価」、「10 改善」には、他のISOマネジメントシステムとも共通する要求事項が定められています。そして、「8 運用」にBCMSの特徴を表している事業影響分析(BIA)や事業継続計画(BCP)に関する要求事項が規定されています。
各条の要求事項の概要は、次のとおりです。
箇条4「組織の状況」:組織の事業環境を明確にする
箇条5「リーダーシップ」:組織のリーダーが事業継続のための責任権限を明確にし、リーダーシップを発揮する
箇条6「計画」:事業継続の目標を定め、達成計画を明らかにする
箇条7「支援」:事業継続のための資源(人材、インフラ、情報等)を明らかにし、必要なレベルを維持する
箇条8「運用」:事業継続で実際にすること
箇条9「パフォーマンス評価」:事業継続マネジメントシステムの運用状況をチェック、評価する
箇条10「改善」:事業継続マネジメントシステムを継続的に改善する
※ISO/IEC専門業務用指針 第1部“附属書SL”:
マネジメントシステム規格の用語及び条項構成についての規定
なお、現在発行されているISO9001(品質)、ISO14001(環境)、ISO27001(情報セキュリティ)なども、“附属書SL”に従った1~10の条項構成に改訂されていく予定です。
3.BCMSの運用
SO22301の「8 運用」には、(1)事業影響度分析及び (2)リスクアセスメントの実施、その結果に基づく (3)事業継続計画の作成、(4)演習及び試験 など、BCMSを構築・運用していくうえで、特に重要な内容について定めてられています。
(1)事業影響度分析(BIA)
事業影響度分析は、対象とする事業又は業務が中断・阻害された場合の経時的な、組織の経営に対する影響度を分析し、事業活動が再開しない期間をどの程度まで許容できるのか(最大許容停止時間)を明確にすることと、復旧のために必要な社内設備や外部の利害関係者(サプライヤ、外部委託先等)との依存関係を特定します。
※クリックすると拡大できます
(2)リスクアセスメント
リスクアセスメントは、対象とする事業又は業務が中断・阻害に追い込まれるリスクを特定、分析、評価し、事業継続計画(BCP)の対象となる事態や事故等(インシデント)を決定します。
また、一般的に、リスクの大小は【リスク=発生可能性×影響度】の計算式による数値で評価します。
※クリックすると拡大できます
(3)事業継続計画(BCP)
事業継続計画(BCP)は、事業影響度分析及びリスクアセスメントの結果に基づいて、製品・サービス提供の中断を引き起こす可能性のある事態や事故等(インシデント)が発生した際を想定して作成します。
計画には、以下の内容が挙げられます。
□ インシデント対応体制の整備
□ 通信手段の確保と組織内部・外部へのコミュニケーションの確立
□ 設定した時間枠内で業務継続、または復旧するための手段の確立
□ メディアへの対応
□ インシデント終息後の活動
(4)演習及び試験
演習及び試験は、作成した事業継続計画(BCP)が次項を満たすかどうか確認し、改善につなげるために実施します。同時に事業継続計画(BCP)が組織の目標を満たすものであるかも確認します。
□ 想定した手順どおりの結果が得られたか?
□ 初期対応、暫定対応、本格復旧対応等、実作業が適切に区分けされていたか?
□ それぞれの段階の組織、要員の関係、連携は問題なかったか?
□ 想定した時間内でどれだけ作業ができたか?
□ 暫定作業の環境下でどの程度ミスなく事務処理をこなせたか?
□ 暫定作業から本格復旧への移行作業に漏れがなかったか?
□ 手順書、資料などは正確であり、理解しやすかったか?
4.ISO22301認証取得のメリット
事業継続マネジメントシステムを導入・運用することで、インシデント発生時の際の的確な対応、素早い復旧・事業継続による競争力の強化を狙えるのはもちろんですが、ISO22301を認証取得することにより、顧客や関係者にBCMSが適切に運用されていることの証明ができます。
また、定期的に審査を受けることにより、BCMSを定着させる上で有効な強制力としても機能します。
