ISO22301 事業継続

1.はじめに

企業を取り巻く脅威が多様化している現在、事業継続に対しての取り組みは、まだまだ少ないのが現状ではないでしょうか。また、事業継続の取り組みの必要性を理解していても、「理解が得られない」、「取組方法が分からない」などの理由で、なかなか推進できないという場合もあるかもしれません。

テロ事件やハリケーンなど、世界各国で事業継続についてのニーズが高まり、事業継続マネジメントシステム(BCMS)に関する要求事項を規定したISO22301(事業継続マネジメントシステム-要求事項)が2012年5月に発行されました。

また、日本では、東日本大震災やタイの洪水被害において、緊急時発生時の備えや復旧対応など、事業継続計画(BCP)の重要性が再認識されたことは、記憶に新しいところであります。

ISO22301は、効果的・効率的な事業継続マネジメントシステム(BCMS)の運用を実現するために、組織が遵守すべき必要最低限の項目を記載した国際規格です。

 

2.ISO22301の構成

ISO22301は、ISO/IEC専門業務用指針 第1部“附属書SL”※に従った1~10の条項で構成されており、「1 適用範囲」~「7 支援」、「9 パフォーマンス評価」、「10 改善」には、他のマネジメントシステムとも共通する要求事項が定められています。各条項の概要は以下の通りです。

箇条4 「組織の状況」:組織の事業環境を明確にする

箇条5 「リーダーシップ」:組織のリーダーが事業継続のための責任権限を明確にし、リーダーシップを発揮する

箇条6 「計画」:事業継続の目標を定め、達成計画を明らかにする

箇条7 「支援」:事業継続のための資源(人材、インフラ、情報等)を明らかにし、必要なレベルを維持する

箇条8 「運用」:事業継続で実際にすること

箇条9 「パフォーマンス評価」:事業継続マネジメントシステムの運用状況をチェック、評価する

箇条10 「改善」:事業継続マネジメントシステムを継続的に改善する

 1. 適用範囲
 2. 引用規格
 3. 用語及び定義
 4. 組織の状況  4.1 組織とその状況の理解
 4.2 利害関係者のニーズ及び期待の理解
 4.3 事業継続マネジメントシステムの適用範囲の決定
 4.4 事業継続マネジメントシステム
 5. リーダーシップ  5.1 リーダーシップ及びコミットメント
 5.2 経営者のコミットメント
 5.3 方針
 5.4 組織の役割,責任及び権限
 6. 計画  6.1 リスク及び機会に対応するための処置
 6.2 事業継続目的及び達成計画
 7. 支援  7.1 資源
 7.2 力量
 7.3 認識
 7.4 コミュニケーション
 7.5 文書化した情報
 8. 運用  8.1 運用の計画及び管理
 8.2 事業影響度分析及びリスクアセスメント
 8.3 事業継続戦略
 8.4 事業継続手順の確立及び導入
 8.5 演習及び試験の実施
 9. パフォーマンス評価  9.1 監視,測定,分析及び評価
 9.2 内部監査
 9.3 マネジメントレビュー
10. 改善  10.1 不適合及び是正処置
 10.2 継続的改善

 

ISO22301の「8 運用」には、(1)事業影響度分析及び (2)リスクアセスメントの実施、その結果に基づく (3)事業継続計画の作成、(4)演習及び試験 など、BCMSを構築・運用していくうえで、特に重要な内容について定めてられています。

iso22301_model

図1 事業継続マネジメントシステムの概念

※ISO/IEC専門業務用指針 第1部“附属書SL”
マネジメントシステム規格の用語及び条項構成についての規定

なお、現在に発行されているISO9001(品質)、ISO14001(環境)、ISO27001(情報セキュリティ)なども、“附属書SL”に従った1~10の条項構成に改訂されていく予定です。

3.ISO22301認証取得のメリット

事業継続マネジメントシステムを導入・運用することで、インシデント発生時の際の的確な対応、素早い復旧・事業継続による競争力の強化を狙えるのはもちろんですが、ISO22301を認証取得することにより、BCMSが適切に運用されていることの証明ができます。

また、定期的に審査を受けることにより、BCMSを定着させる上で有効な強制力としても機能します。

4.テクノソフトの認証取得支援の特徴

  1. 貴社の状況に合った適切な事業継続の活動ができる体制作りを目指します。
  2. 事業継続の対象となるインシデントの事業影響度評価、リスクアセスメントをどのように実施すれば良いか、また、貴社の状況に合った運営体制確立に向けてのアドバイスを行ないます。
  3. 事業継続マネジメントシステムを業務上活用することを前提とした、事業継続計画、各種手順を明確にした上で、他のマネジメントシステム(ISO9001ISO14001ISO27001等)と整合した効率的なマネジメントシステムの確立を目指すアドバイスを行ないます。
  4. 主だった規定文書類は参考としてサンプル文書を活用し、作業の負荷軽減を図るとともに、無理・無駄のないマネジメントシステムの構築を支援いたします。

5.ISO22301認証取得のスケジュール例

  第1段階(約6ヶ月)
 1.現状分析と規格の理解
  • 経営者の決意・基本方針
  • 取得活動の体制整備・推進計画
  • 規格要求事項の理解
 2.マネジメントシステム構築
  • 事業継続方針の策定
  • 事業継続マニュアルの作成
  • 事業影響度分析
  • 適用宣言書作成
  • リスクアセスメント
  • 事業継続計画(BCP)の作成
  • 各種規程・手順書・帳票の作成・整備
  第2段階(約6ヶ月)
  3.マネジメントシステム運用
  • BCPの演習・試験/従業員教育
  • 内部監査員の養成
  • 運用記録の整備
  • マネジメントレビュー
  • 是正処置、システム改善
 4.審査対応
  • 第一段階審査
  • 第二段階審査