ISO22301 事業継続

Contents

１．はじめに

企業を取り巻く脅威が多様化している現在、事業継続に対しての取り組みは、まだまだ少ないのが現状ではないでしょうか。また、事業継続の取り組みの必要性を理解していても、「理解が得られない」、「取組方法が分からない」などの理由で、なかなか推進できないという場合もあるかもしれません。

テロ事件やハリケーンなど、世界各国で事業継続についてのニーズが高まり、事業継続マネジメントシステム（BCMS）に関する要求事項を規定したISO22301（事業継続マネジメントシステム－要求事項）が2012年5月に発行されました。

また、日本では、東日本大震災やタイの洪水被害において、緊急時発生時の備えや復旧対応など、事業継続計画（BCP）の重要性が再認識されたことは、記憶に新しいところであります。

ISO22301は、効果的・効率的な事業継続マネジメントシステム（BCMS）の運用を実現するために、組織が遵守すべき必要最低限の項目を記載した国際規格です。

ISO22301は、ISO/IEC専門業務用指針第1部“附属書SL”※に従った1～10の条項で構成されており、「1 適用範囲」～「7 支援」、「9 パフォーマンス評価」、「10 改善」には、他のマネジメントシステムとも共通する要求事項が定められています。各条項の概要は以下の通りです。

箇条4　「組織の状況」：組織の事業環境を明確にする

箇条5　「リーダーシップ」：組織のリーダーが事業継続のための責任権限を明確にし、リーダーシップを発揮する

箇条6　「計画」：事業継続の目標を定め、達成計画を明らかにする

箇条7　「支援」：事業継続のための資源（人材、インフラ、情報等）を明らかにし、必要なレベルを維持する

箇条8　「運用」：事業継続で実際にすること

箇条9　「パフォーマンス評価」：事業継続マネジメントシステムの運用状況をチェック、評価する

箇条10　「改善」：事業継続マネジメントシステムを継続的に改善する

ISO22301の「8 運用」には、(1)事業影響度分析及び (2)リスクアセスメントの実施、その結果に基づく (3)事業継続計画の作成、(4)演習及び試験など、BCMSを構築・運用していくうえで、特に重要な内容について定めてられています。

図１　事業継続マネジメントシステムの概念

※ISO/IEC専門業務用指針第1部“附属書SL”：
マネジメントシステム規格の用語及び条項構成についての規定

なお、現在に発行されているISO9001（品質）、ISO14001（環境）、ISO27001（情報セキュリティ）なども、“附属書SL”に従った1～10の条項構成に改訂されていく予定です。

事業継続マネジメントシステムを導入・運用することで、インシデント発生時の際の的確な対応、素早い復旧・事業継続による競争力の強化を狙えるのはもちろんですが、ISO22301を認証取得することにより、BCMSが適切に運用されていることの証明ができます。

また、定期的に審査を受けることにより、BCMSを定着させる上で有効な強制力としても機能します。

貴社の状況に合った適切な事業継続の活動ができる体制作りを目指します。
事業継続の対象となるインシデントの事業影響度評価、リスクアセスメントをどのように実施すれば良いか、また、貴社の状況に合った運営体制確立に向けてのアドバイスを行ないます。
事業継続マネジメントシステムを業務上活用することを前提とした、事業継続計画、各種手順を明確にした上で、他のマネジメントシステム（ISO9001、ISO14001、ISO27001等）と整合した効率的なマネジメントシステムの確立を目指すアドバイスを行ないます。
主だった規定文書類は参考としてサンプル文書を活用し、作業の負荷軽減を図るとともに、無理・無駄のないマネジメントシステムの構築を支援いたします。

第1段階（約6ヶ月）
1.現状分析と規格の理解	経営者の決意･基本方針取得活動の体制整備･推進計画規格要求事項の理解
2.マネジメントシステム構築	事業継続方針の策定事業継続マニュアルの作成事業影響度分析適用宣言書作成リスクアセスメント事業継続計画（BCP）の作成各種規程・手順書・帳票の作成・整備
第2段階（約6ヶ月）
3.マネジメントシステム運用	BCPの演習・試験／従業員教育内部監査員の養成運用記録の整備マネジメントレビュー是正処置、システム改善
4.審査対応	第一段階審査第二段階審査