BCMSとISMSにおける事業継続管理の違い
掲載:2010年02月23日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
コラム
ご存じの通り、事業継続管理の国際的な規格と言えば今やBS25999が有名です。しかしながら「事業継続管理」というテーマについては、既にISO27001やISO20000でも触れられてきたテーマです。中でもISO27001は数多くの企業によって認証取得※1がされており、BS25999との差異が特に気になるところです。そこで今回はISO27001とBS25999の違いについて改めて検証してみました。
目次
ISMS(ISO27001)やISO20000でも出てくる事業継続管理
【ISO27001:2006 付属書A.14の要求事項(抜粋)】
A14.1.1 事業継続管理手続きへの情報セキュリティの組み込み
A14.1.2 事業継続およびリスクアセスメント
A14.1.3 情報セキュリティを組み込んだ事業継続計画の策定及び実施
A14.1.4 事業継続計画策定の枠組み
A14.1.5 事業継続計画の試験、維持及び再評価
※2. 組織にとって価値のあるもの。顧客情報やログインパスワードなど価値ある情報そのもの、またはその情報を伴う媒体。
※3. 情報資産の機密性(漏洩しないようにすること)・完全性(改ざん・破壊されないようにすること)・可用性(必要な時に使うべき人が速やかに利用できるようにすること)を適切なレベルに維持すること。
一見、同じに見える2つの規格だが、詳述度が異なる
【BS25999 Part-2の4.BCMSの導入及び運用の目次と付属書A14との関連性】
4.1 | 組織の理解 | (← A14.1.2) |
4.1.1 | 事業インパクト分析 | (← A14.1.2) |
4.1.2 | リスクアセスメント | (← A14.1.2) |
4.2 | 事業継続戦略の決定 | (← A14.1.3, A14.1.4) |
4.3 | BCM対応の開発及び導入 | (← A14.1.3, A14.1.4) |
4.3.1 | 概要 | (← A14.1.3, A14.1.4) |
4.3.2 | インシデント対応体制 | (← A14.1.3, A14.1.4) |
4.3.3 | 事業継続計画及びインシデントマネジメント計画 | (← A14.1.3, A14.1.4) |
4.4 | BCMの取り組みの演習、維持及びレビュー | (← A14.1.1) |
4.4.1 | 概要 | (← A14.1.1) |
4.4.2 | BCMの演習 | (← A14.1.1) |
4.4.3 | BCMの取り組みの維持及びレビュー | (← A14.1.1) |
このようにBCMのアプローチについて、BS25999(Part-2の4項)で求められている事項はISO27001でも一通りカバーされているように見受けられます。が、BS25999は「事業継続管理」そのものをテーマとした規格であるため、やはりISO27001のA14に比べると、より詳しい記載がされていることが分かります。
具体例を挙げてみます。一般的に事業継続計画(BCP)を策定する際には、事業継続戦略を特定するにあたり「重要な業務は何であるのか?」「その重要業務は中断してからどの程度で復旧しないとビジネスに大きな支障がでてしまうのか?」などといったことについて「事業インパクト分析」という手段を通じて把握します。この点についてはISO27001ではA14.1.2「事業継続およびリスクアセスメント」において、以下のように述べるにとどまっています。
「業務プロセスの中断を引き起こし得る事象は、そのような中断の発生確率及び影響、並びに中断が情報セキュリティに及ぼす結果とともに、特定しなければならない」※4
一方BS25999では、4.1.1で次のように規定しています(わかりやすくするために趣旨の一部を記述しています)。
「分析にあたっては組織は、主要事業を支える業務を特定しなさい。業務の中断が時間の経過とともに事業にどのような影響を与えるかを特定しなさい。最大許容停止時間の特定をしなさい・・・etc」
など、事業インパクト分析についてより具体的な記述をするとともに、あくまでも”しなければならないこと”として、明確にその実施を求めていることがわかります。
ISO27001における事業継続管理の対象はあくまでも情報システムが中心
BS25999が想定する適用対象は、あくまでも組織の定義する”事業”です。すなわち、企業が取り扱う製品やサービスを顧客に提供するために行う一連の活動(業務)、および、これにひもづく重要な経営資源(人、施設、供給、情報、技術)が対象範囲となります。したがって多くの場合、非常に広範囲な分析および対策を検討していく必要が出てきます。
これに対してISO27001では、情報システム(技術)を対策の中心としてとらえることになります。事実、A14.1の管理目的では以下のように記載されています。
【ISO27001:2006 A14.1の目的(抜粋)】
「情報システムの重大な呼称又は災害の影響からの事業活動の中断に対処するとともに、それから重要な業務プロセスを保護し、また、事業活動及び重要な業務プロセスの時期を失しない再開を確実にするため」
このように、ISO27001ではあくまでも組織のビジネスのおいて重要な業務を支える「情報システム」が対象となります。
ただし「ISO27001では情報システム以外の人や施設について全く考慮しなくて良い」ということではなく、情報システムを適切なレベルで継続稼働させてゆくために必要なエンジニア(人)やサーバルーム(施設)、ITベンダー(供給)などは間接的に考慮していく必要があります。
2つの規格の差異が認証取得活動に与える影響は?
この前提を踏まえると、BS25999の取得を既にされている組織がISO27001の認証取得を行う際にはA14について特に新たな活動を行う必要はないことになります※5。逆に、ISO27001を取得済みの企業がBS25999の取得を進める場合には、情報システム以外の経営資源について新たに対策を検討していく必要があります。加えて、先述したようにBS25999では「事業インパクト分析」一つとってみても、その方法に関して、より詳細かつ明確な要求項目があるためISO27001のBCP策定過程において、BS25999で求める項目が抜け落ちていないか(最大許容停止時間を特定しているか・・・など)を再確認する必要があります。ISO27001取得の際に簡易的な「事業インパクト分析」や「リスクアセスメント」で済ませた組織では、改めてより深掘りした分析が必要になる可能性があります。
もちろんISO27001から先に認証取得を行う場合であっても、BS25999から先に認証取得を行う場合であっても、そもそもの適用範囲に大きなズレがある場合には、その差異に対しての十分な留意が必要です。