リスク管理Naviリスクマネジメントの情報サイト

BCMSとISMSにおける事業継続管理の違い

掲載:2010年02月23日

執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

コラム

ご存じの通り、事業継続管理の国際的な規格と言えば今やBS25999が有名です。しかしながら「事業継続管理」というテーマについては、既にISO27001やISO20000でも触れられてきたテーマです。中でもISO27001は数多くの企業によって認証取得※1がされており、BS25999との差異が特に気になるところです。そこで今回はISO27001とBS25999の違いについて改めて検証してみました。

         

ISMS(ISO27001)やISO20000でも出てくる事業継続管理

まず、ISO27001は情報セキュリティマネジメントシステムの国際規格です。当規格は、重要な情報資産※2のセキュリティ(機密性・完全性・可用性※3)が脅かされることで組織が著しい損害を被らないようにするため、適切な対応の仕方・考え方についてそのルールを示したものです。この規格では、適用の対象となる組織が導入を検討しなければいけないセキュリティルールとして11のドメイン(カテゴリ)からなる計133個の管理策が示されていますが、ドメインの1つに「事業継続管理」が含まれています。

【ISO27001:2006 付属書A.14の要求事項(抜粋)】
A14.1.1 事業継続管理手続きへの情報セキュリティの組み込み
A14.1.2 事業継続およびリスクアセスメント
A14.1.3 情報セキュリティを組み込んだ事業継続計画の策定及び実施
A14.1.4 事業継続計画策定の枠組み
A14.1.5 事業継続計画の試験、維持及び再評価
※1. JIPDECへの登録数: 3,448件(2010年2月19日現在)
※2. 組織にとって価値のあるもの。顧客情報やログインパスワードなど価値ある情報そのもの、またはその情報を伴う媒体。
※3. 情報資産の機密性(漏洩しないようにすること)・完全性(改ざん・破壊されないようにすること)・可用性(必要な時に使うべき人が速やかに利用できるようにすること)を適切なレベルに維持すること。

一見、同じに見える2つの規格だが、詳述度が異なる

先に挙げたISO27001付属書A14における要求事項を見ると、事業継続計画(BCP)の策定や、BCPを策定するための管理(事業継続管理)について言及しており、一見するとBS25999と遜色ないように見えます。以下はBS25999の「4. BCMSの導入及び運用」の目次構成と、付属書A14とのつながり(あくまでも私見です)を示した表です。

【BS25999 Part-2の4.BCMSの導入及び運用の目次と付属書A14との関連性】
4.1 組織の理解 (← A14.1.2)
4.1.1 事業インパクト分析 (← A14.1.2)
4.1.2 リスクアセスメント (← A14.1.2)
4.2 事業継続戦略の決定 (← A14.1.3, A14.1.4)
4.3 BCM対応の開発及び導入 (← A14.1.3, A14.1.4)
4.3.1 概要 (← A14.1.3, A14.1.4)
4.3.2 インシデント対応体制 (← A14.1.3, A14.1.4)
4.3.3 事業継続計画及びインシデントマネジメント計画 (← A14.1.3, A14.1.4)
4.4 BCMの取り組みの演習、維持及びレビュー (← A14.1.1)
4.4.1 概要 (← A14.1.1)
4.4.2 BCMの演習 (← A14.1.1)
4.4.3 BCMの取り組みの維持及びレビュー (← A14.1.1)

このようにBCMのアプローチについて、BS25999(Part-2の4項)で求められている事項はISO27001でも一通りカバーされているように見受けられます。が、BS25999は「事業継続管理」そのものをテーマとした規格であるため、やはりISO27001のA14に比べると、より詳しい記載がされていることが分かります。

具体例を挙げてみます。一般的に事業継続計画(BCP)を策定する際には、事業継続戦略を特定するにあたり「重要な業務は何であるのか?」「その重要業務は中断してからどの程度で復旧しないとビジネスに大きな支障がでてしまうのか?」などといったことについて「事業インパクト分析」という手段を通じて把握します。この点についてはISO27001ではA14.1.2「事業継続およびリスクアセスメント」において、以下のように述べるにとどまっています。

「業務プロセスの中断を引き起こし得る事象は、そのような中断の発生確率及び影響、並びに中断が情報セキュリティに及ぼす結果とともに、特定しなければならない」※4
一方BS25999では、4.1.1で次のように規定しています(わかりやすくするために趣旨の一部を記述しています)。

「分析にあたっては組織は、主要事業を支える業務を特定しなさい。業務の中断が時間の経過とともに事業にどのような影響を与えるかを特定しなさい。最大許容停止時間の特定をしなさい・・・etc」

など、事業インパクト分析についてより具体的な記述をするとともに、あくまでも”しなければならないこと”として、明確にその実施を求めていることがわかります。
※4. この記述ではリスクアセスメントについても合わせて触れています。

ISO27001における事業継続管理の対象はあくまでも情報システムが中心

ISO27001とBS25999の最も大きな違いは、それが対象として考える範囲です。

BS25999が想定する適用対象は、あくまでも組織の定義する”事業”です。すなわち、企業が取り扱う製品やサービスを顧客に提供するために行う一連の活動(業務)、および、これにひもづく重要な経営資源(人、施設、供給、情報、技術)が対象範囲となります。したがって多くの場合、非常に広範囲な分析および対策を検討していく必要が出てきます。

これに対してISO27001では、情報システム(技術)を対策の中心としてとらえることになります。事実、A14.1の管理目的では以下のように記載されています。

【ISO27001:2006 A14.1の目的(抜粋)】

「情報システムの重大な呼称又は災害の影響からの事業活動の中断に対処するとともに、それから重要な業務プロセスを保護し、また、事業活動及び重要な業務プロセスの時期を失しない再開を確実にするため」

このように、ISO27001ではあくまでも組織のビジネスのおいて重要な業務を支える「情報システム」が対象となります。

ただし「ISO27001では情報システム以外の人や施設について全く考慮しなくて良い」ということではなく、情報システムを適切なレベルで継続稼働させてゆくために必要なエンジニア(人)やサーバルーム(施設)、ITベンダー(供給)などは間接的に考慮していく必要があります。

2つの規格の差異が認証取得活動に与える影響は?

さてこれまでの考察から、2つの規格の違いについてまとめると、ISO27001のA14「事業継続管理」で求める内容は、BS25999の「事業継続管理」に包含されるものであるということができます。

この前提を踏まえると、BS25999の取得を既にされている組織がISO27001の認証取得を行う際にはA14について特に新たな活動を行う必要はないことになります※5。逆に、ISO27001を取得済みの企業がBS25999の取得を進める場合には、情報システム以外の経営資源について新たに対策を検討していく必要があります。加えて、先述したようにBS25999では「事業インパクト分析」一つとってみても、その方法に関して、より詳細かつ明確な要求項目があるためISO27001のBCP策定過程において、BS25999で求める項目が抜け落ちていないか(最大許容停止時間を特定しているか・・・など)を再確認する必要があります。ISO27001取得の際に簡易的な「事業インパクト分析」や「リスクアセスメント」で済ませた組織では、改めてより深掘りした分析が必要になる可能性があります。

もちろんISO27001から先に認証取得を行う場合であっても、BS25999から先に認証取得を行う場合であっても、そもそもの適用範囲に大きなズレがある場合には、その差異に対しての十分な留意が必要です。
※5. 厳密には、BS25999の適用範囲によりマネジメントシステムに関わる活動(例:文書管理、力量管理、内部監査、マネジメントレビューなど)について規定・文書化していく必要が出てくる可能性もあります。

最後に

当然のことですが、利用する規格がISO27001であっても、BS25999であっても、あるいはISO20000であっても、その目的が「組織にとって重要な事業の継続を続けるために必要な対策を見つけて導入する」という点にブレはありません。どのような観点からアプローチするにしても、”事業継続”を考える際には「事業を支える重要な業務は何であり、その重要な業務の復旧要件は何であり、その復旧要件を満たすために必要な経営資源は何であるのか?、そしてそのためにはどんな対策が必要なのか?」といったステップを踏んで必要な対策を特定・導入することになります。認証取得を検討されるみなさまはこの本質をとらえて構築を進めていくことが肝要であると思います。