コラム
掲載日:2016.06.26
【事業継続マネジメントの国際規格案を読み解く】第二回~BCMSの中身に迫る(その1)
「ISO22301の国際規格案を読み解く」シリーズの2回目の今回はいよいよBCMS(事業継続マネジメントシステム)の中身に迫ります。前回は、ISO22301の国際規格化の動向やISO22301そのものを理解するための全体的な構成、他の規格やガイドラインとのおおまかな違いについて解説をいたしました。
その際、特にISO22301を理解するにあたっては、PDCAサイクルを意識して規格構成を読むことが大事だというお話をしました。あわせて、事業継続マネジメントの強い個性があらわれるのは第8章「運用」であることについても触れたかと思います。文書管理や内部監査のあり方など、他のISO規格にも共通するような“マネジメントシステムを支える一般的な枠組み”については4章「組織の状況」、5章「リーダーシップ」、6章「計画」、7章「支援」、9章「パフォーマンス評価」、10章「改善」で、事業継続マネジメントシステム(BCMS)固有の具体的な要求事項については8章「運用」で、規定されています。これは言い換えれば8章さえしっかりと理解することができれば、当該規格の大半を理解できた、ということができるでしょう。
そこで今回は、この8章「運用」にスポットを当てていくことにします。
ISO/DIS22301の目次構成
ISO/DIS22301の目次構成
| 1. 適用 |
| 2. 引用規格 |
| 3. 用語及び定義 |
| 4. 組織の状況 |
| 5. リーダーシップ |
| 6. 計画 |
| 7. 支援 |
| 8. 運用 |
|---|
| 9. パフォーマンス評価 |
| 10. 改善 |
狭い範囲を細かく規定するPLAN
さて、8章「運用」ですが、そもそも全体の構成はどうなっているのでしょうか?8章は全部で8.1~8.5までがあり、ほぼそれぞれに、小項目で数多くの要求事項が示されています。要求事項が数多く含まれているということは、すなわち、それだけ細かい規定がなされているという意味であり、事業継続計画(BCP)を策定する上で重要な項目が記載されていると解釈することもできます。8章PLAN´(8.1~8.4)を読み解く
要求事項の記載順序は実際のBCP構築の流れにほぼ沿ったものであることから、具体的な作業ステップを頭に思い浮かべながら読み進めると理解がより進むでしょう。具体的には、次のように作業ステップをイメージすることができます
(なお、文章スペースの関係で、8.1~8.4の項番全てを1つ1つ解説しませんが、理解のカギとなる項番については、各ステップの横に括弧書きの形で記載しております)。
- 優先業務及び資源を特定する(8.2.2事業影響度分析)
- リスクの特定、分析・評価をする(8.2.3リスクアセスメント)
- リスクへの対応をする(8.3事業継続戦略)
- 体制・文書を整備する(8.4事業継続手順の確立及び導入)
≪1.優先業務及び資源を特定する≫(8.2.2事業影響度分析)
このステップの目的は、優先的に継続・再開させるべき事業及び業務、優先業務を支える重要な経営資源を特定することにあります。この目的を実現するために実施を求められる分析作業が事業インパクト分析(BIA)です。
BIAの実施要件は、8.2.2「事業影響度分析」に定められています。この項番を読む上で留意すべき事は、a)からd)までの何気なく書かれた数行の文章の中に、いくつかの作業ステップが含まれているということです。たとえば、8.2.2c)では長い文章が書かれていますが、要素を分解すると下図のように解釈することができます。すなわち、「最大許容停止時間(MTPD)を特定し、それをもとに目標復旧時間(RTO)と目標復旧レベル(RLO)を定めなさい」と求めていることが分かります。
≪2.リスクの特定、分析・評価をする≫(8.2.3リスクアセスメント)
目的は、優先業務及びこれを支える重要な経営資源の中でリスクの高いもの・対策を講じる必要のあるもの、を決定することにあります。
この目的を実現するために実施を求められる分析作業がリスクアセスメント(RA)です。
RAの要求事項は8.2.3「リスクアセスメント」で定められています。この中で求められているものはリスクマネジメントのISO規格(『ISO31000リスクマネジメント−原則及び指針』)にも定められているような一般的なアプローチです。)
目的は、優先業務及びこれを支える重要な経営資源の中でリスクの高いもの・対策を講じる必要のあるもの、を決定することにあります。
この目的を実現するために実施を求められる分析作業がリスクアセスメント(RA)です。
RAの要求事項は8.2.3「リスクアセスメント」で定められています。この中で求められているものはリスクマネジメントのISO規格(『ISO31000リスクマネジメント−原則及び指針』)にも定められているような一般的なアプローチです。)
≪3.リスクへの対応をする≫(8.3事業継続戦略)
このステップの目的は、前ステップで特定された“リスクの大きいもの”に対して、どのような予防策を講じるのか、また、仮に重要な経営資源を失った場合にどのような対応をとるのかを決定することにあります。8.3.1「決定及び選択」では、重要業務および重要な経営資源に対して講じるべき対策を、リスク対応(被害の発生を最小限に食い止めるための予防策)と事業継続対応(被害が発生し業務が中断してしまったときの対応策)の両方の観点から決定することを求めています。なお、リスク対応を実施するための具体的要件を8.3.3「保護と低減」に規定しており、採用した対策(リスク対応ならびに事業継続対応)について必要となる経営資源を具体的に特定することを8.3.3「資源に関する要求事項の設定」で規定しています。
ISO22301では、導入する対策に向けて具体的に用意する必要のある経営資源について、具体的で細かい考慮事項(例:人員、情報、建物・作業環境・関連設備、資機材、消耗品、ITシステム、移動、財務、取引先や仕入れ先など)を規定していることが特徴です。
このステップの目的は、前ステップで特定された“リスクの大きいもの”に対して、どのような予防策を講じるのか、また、仮に重要な経営資源を失った場合にどのような対応をとるのかを決定することにあります。8.3.1「決定及び選択」では、重要業務および重要な経営資源に対して講じるべき対策を、リスク対応(被害の発生を最小限に食い止めるための予防策)と事業継続対応(被害が発生し業務が中断してしまったときの対応策)の両方の観点から決定することを求めています。なお、リスク対応を実施するための具体的要件を8.3.3「保護と低減」に規定しており、採用した対策(リスク対応ならびに事業継続対応)について必要となる経営資源を具体的に特定することを8.3.3「資源に関する要求事項の設定」で規定しています。
ISO22301では、導入する対策に向けて具体的に用意する必要のある経営資源について、具体的で細かい考慮事項(例:人員、情報、建物・作業環境・関連設備、資機材、消耗品、ITシステム、移動、財務、取引先や仕入れ先など)を規定していることが特徴です。
