【事業継続マネジメントの国際規格案を読み解く】第三回~BCMSの中身に迫る(その2)
掲載:2016年06月27日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
コラム
3月から始まりました「ISO22301の国際規格案を読み解く」シリーズ3回目となる今回は、前回に続きBCMS(事業継続マネジメントシステム)の中身に迫っていきます。
1回目の記事では、規格全体の構成や他の規格・ガイドラインとのおおまかな違いを、2回目の前回は、規格要求事項8章「運用」の前半部分(8.1~8.3:右表参照)について解説を行いました。そして3回目となる本稿では、この続き(8.5以降)にスポットライトを当てていきますが、読者のみなさんは前回からなぜ、いきなり8章「運用」の規格要求事項の解説が始まったのか、いや、そもそも8章「運用」がどんな章であったかを覚えていらっしゃいますか?
改めて復習をしておきますと8章は、BCMSの特徴を最も表している章です。企業が事業を中断させるような事態に遭遇しても、経営陣が望むレベルで事業を継続できるようにすることを狙いとして「事業継続戦略を決定し、これを実現するための行動計画、すなわちBCP(事業継続計画)を策定、これを検証し、見直しを行う」…こうした一連の活動の在り方について規定した章です。
規格全体の構成を大きな1つのPDCAサイクルに見立てたとすれば、これら8章で規定される活動は、継続的な改善サイクル…いわばミニPDCAと言い表すことができ、前回の記事では、このうちのP(PLAN´)にあたる8.1「一般」から8.3「事業継続の選択肢」までを解説しました(8.1~8.3は、分析の実施、対策の決定について規定しています)。そして今回は、D(DO´)にあたる8.4「事業継続手順の確立及び導入」について解説をしたいと思います。
ISO/DIS22301の目次構成
ISO/DIS22301の目次構成
| 1. 適用 |
| 2. 引用規格 |
| 3. 用語及び定義 |
| 4. 組織の状況 |
| 5. リーダーシップ |
| 6. 計画 |
| 7. 支援 |
| 8. 運用 |
|---|
| 9. パフォーマンス評価 |
| 10. 改善 |
ISO22301 - 8 章「運用」の目次構成と今回解説する範囲
8章DO´(8.4)を読み解く
さて本題ですが、この項番はどのように読み解けばいいのでしょうか?
8.5「事業継続手順の確立及び導入」は、一言で言えば「対策の文書化と必要な取り組みの実施」を規定した項番です。すなわち、前節(8.3)までの活動で得られた分析結果(優先復旧すべき業務、優先復旧すべき経営資源、これら業務や経営資源の目標復旧時間、目標を満たすためにとるべき対策など)に基づき、その対策を遂行する要員が読める形(文書)に落とし込み、(必要に応じて)資機材の調達やプロセスの見直しを行うことを求めているのが8.4になります。
そしてこの8.4を読み解くヒントは、企業が被災し重要な業務が中断してしまった際、復旧に向けてとらなければならない「対応の段階」をしっかりと理解しておくことにあります。「対応の段階」とは、被災時に求められる活動を目的別に分類したもので、大きくは以下の3つに分けることができます(下図参照)。
被災直後にまず求められる活動が「インシデント対応」と呼ばれるものです。ここには、主としてインシデントの発見や通報をはじめ、人命保護、二次災害防止、コミュニケーション、事業継続計画の発動や解除といった活動が含まれます。
これに同時並行または続く活動として「事業継続計画」があります。文字通り、中断した重要業務を暫定的な代替手段を使って継続させるための活動がここに含まれます。
最後が「復旧計画」と呼ばれるものです。この段階では、暫定的にとった業務継続措置を通常の状態に戻すための活動が主になります。
ちなみに、「対応の段階」を表す言葉は、規格・ガイドラインによって異なり、たとえば、
米国規格であるNFPA:1600では、「緊急時オペレーション/対応計画(EmergencyOperations/ResponsePlan)」「継続計画(ContinuityPlan)」「復旧(Recovery)」と呼んでいます。
本稿では、この3つの「対応の段階」に習って、以下の順に話を進めていきたいと思います。
- 行動計画全般に関わる要求事項(8.4.1,8.4.3)
- 「インシデント対応」に関わる要求事項(8.4.2,8)
- 「事業継続計画」に関わる要求事項(8.4.4)
- 「復旧計画」に関わる要求事項(8.4.5)
※括弧内は、関連するISO22301の規格項番です
<1.行動計画全般に関わる要求事項>
「対応の段階」全てに求められる共通の要求事項が、8.4.1及び8.4.5に規定されています。具体的には、策定する文書(行動計画書)は、以下の項目を満たすものでなければならないと述べています。
- 社内外における適切なコミュニケーションを確立するものであること
- インシデント発生直後に即座にとる必要のあるアクションについて具体的に示したものであること
- 予期してない脅威の発生や社内外の前提条件の変化にもフレキシブルに対応できるものであること
- 業務を中断させる可能性のある影響(結果)に焦点をおいたものであること
- 設定した想定や分析によって得られた依存関係に基づいたものであること
- 適切な軽減策を通じて影響を効果的に抑えられるものであること
また「コミュニケーションの確立」は、この規格が行動計画策定にあたり最も重要視しているものの1つです。
手順化が要求される社内外のステークホルダーとのコミュニケーション
<2.インシデント対応に関わる要求事項>
「インシデント対応」には、先述の通り、インシデントの発見や通報をはじめ、人命保護、二次災害防止、コミュニケーション、BCPの発動や解除といった活動が含まれます。ちなみに、こうした際に組まれる対応チームを、インシデント対応チーム(IncidentResponseTeam:IRT)やクライシスマネジメントチーム(CrisisManagementTeam:CMT)と呼ぶことがあります。さらに8.5.6「対応手順の要求事項」および8.5.7「対応手順の中身」で、行動計画書に含めるべき具体的な項目について定めており、次に挙げる項目を含めるように求めています。
事業継続計画に含めるべき項目
<3.事業継続計画に関わる要求事項>
事業継続計画の目的は、重要な業務中断が起きた際に、経営陣が許容できるレベルで代替手段を持って暫定的に対応できるようにするための手段を設けることにあります。ISO22301では8.4.4「事業継続計画」の項番において、事業継続計画に含めるべき項目を求めています。
ところで、業務を継続する代替手段がない場合も世の中にはあります。その場合は、組織は、次に示す「復旧」活動そのものに力点をおくことになります。たとえば、電力会社やガス会社などにおいて送電線やガス管が損壊した場合、代替経路で送電する、ガスコンロを配給する、などの代替手段がなくはありませんが、有効な代替手段は限られます。そのため、送電線やガス管の復旧作業をいかに速やかに行うかに力点をおいた計画が求められます。
<4.復旧に関わる要求事項>
復旧の目的は、暫定的な態勢での業務継続活動から通常の状態に戻すための手段を設けることにあります。
ISOの8.4.5「復旧」では、この目的を満たすために必要な文書化された手順を残すように求めています。ただし、「復旧」段階は、その時点で企業がどのような被災をしたか、また、どのような継続活動を行っているかによって求められる活動が大きく異なるものです。こうした理由から、規格では「復旧」手順に含めるべき項目については、裁量を企業に委ねています。
今回のまとめ
さて、以上8.5「遂行」の規格要求事項解釈のポイントについて解説してきましたが、お分かりいただけましたでしょうか?重要なことは、8.5では全体的に策定する行動計画書に含めるべき要素(例:BCPには活動に必要な経営資源を記載しなければならない、など)について規定していますが、形式的な側面(規程体系や文書の体裁、構成など)については何ら要求していないということです。本稿でも便宜上、「インシデント対応」「事業継続計画」「復旧」と3つの段階に分けて解説を行ってきましたが、イコール、物理的に3冊の文書を作らなければいけない、という意味ではありません。どのような文書の形にまとめるかは企業の裁量に委ねられています。先述した通り、規格は、形式性よりもむしろ実効性に重きをおいていることを理解しておくことが肝要です。
最後に、本日解説した内容を図の形にまとめましたので掲載しておきます。(※BS25999-2との比較については、必ずしも完全に一致しない項番もあるため、図は理解を深めるための、あくまでも参考資料としてご利用ください)
では、また次回まで。
