米国のBCMS規格:ANSI/ASIS SPC.第1版 (邦訳:組織レジリエンス:セキュリティ、緊急事態準備、及び継続マネジメントシステム-求事項及び利用の手引き-仕様書-2009)
掲載:2010年01月20日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
ASIS(エイエスアイエス)は、1955年に設立された世界最大のセキュリティ団体であり、セキュリティ関連の規格化をはじめ、教育、出版、展示会など幅広い活動を行っています。
目次
ANSI/ASIS SPC.1 はBCMSの米国規格
『ANSI/ASIS SPC.1』は、正式名称『組織レジリエンス : セキュリティ、緊急事態準備、及び継続マネジメントシステム - 要求事項及び利用の手引き -仕様-2009』(※1)であり、2009年にANSI(米国規格協会)(※2)より発行された事業継続マネジメントシステム(BCMS)の米国規格です。
※1. 原版のタイトルは、ANSI/ASIS SPC.1 Organizational Resilience : Security Preparedness, and Continuity Management System (US, 2009)です。
※2. ちなみに、BSIは英国規格協会、そしてJSAが日本規格協会です。
※2. ちなみに、BSIは英国規格協会、そしてJSAが日本規格協会です。
3つのBCMS規格が存在するアメリカ
日本では、2010年3月15日からBCMSの第三者認証制度、「BCMS適合性評価制度」の正式運用が開始されています。アメリカではこれよりも3年以上前の2007年に、法令(※3)に基づき米国国土安全保障省(DHS)が「民間部門における緊急事態準備の認証制度」(※4)を立ち上げました。これは、通称”PS-Prep”と呼ばれており、DHSが認めた認証基準(規格)に準拠したBCMSを、企業が整備・運用しているかどうかについての第三者認証を行う仕組みです。
実はこれまでにDHSが認めた認証基準には、3つの規格があり、その1つがここで紹介しているSPC.1-2009となります。
1. NFPA1600: 2007 (2010) - 災害/緊急事態マネジメントおよび事業継続プログラムの仕様
2. BS25999-2: 2007 - 事業継続マネジメントシステム
3. ASIS SPC.1-2009 - 組織レジリエンス
実はこれまでにDHSが認めた認証基準には、3つの規格があり、その1つがここで紹介しているSPC.1-2009となります。
1. NFPA1600: 2007 (2010) - 災害/緊急事態マネジメントおよび事業継続プログラムの仕様
2. BS25999-2: 2007 - 事業継続マネジメントシステム
3. ASIS SPC.1-2009 - 組織レジリエンス
※3. “Implementing the Recommendations of the 9/11 Commission Act of 2007”
※4. “Voluntary private sector preparedness accreditation and certification program”
※4. “Voluntary private sector preparedness accreditation and certification program”
規格の構成
マネジメントシステム規格であることから、章構成はPDCAサイクルを意識した作りになっています。NFPAもそうですが、米国規格は、基本的に同じ冊子の中にガイドライン(規格利用に関する手引き)も含まれていることが一つの特徴です。
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織レジリエンス (OR) マネジメントシステム要求事項
4.1 一般要求事項
4.2 組織レジリエンス(OR) マネジメントの方針
4.3 計画
4.4 導入及び運用
4.5 点検(評価)
4.6 マネジメントレビュ-
A. 規格利用に関する手引き
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織レジリエンス (OR) マネジメントシステム要求事項
4.1 一般要求事項
4.2 組織レジリエンス(OR) マネジメントの方針
4.3 計画
4.4 導入及び運用
4.5 点検(評価)
4.6 マネジメントレビュ-
A. 規格利用に関する手引き
BS25999とは構成も表現も異なる
同じBCMS規格であるBS25999-2:2007と比較すると、目次構成をはじめ、記載されている要求事項の表現や詳述度など、異なる点が目立ちます。たとえば、構成の点では、BS規格では「経営資源管理」や「力量管理」、「文書管理」といったマネジメントシステムを間接的に支える仕組みは、「計画(PLAN)」の中に含まれていましたが、SPC.1では「導入及び運用(DO)」の章に含めています(※5)。また詳述度という点では、SPC.1では4.4.3で「コミュニケーション及び警告」を設け、コミュニケーションのあり方についてより具体的に規定しています。さらに「方針」に関わる項目について、BS25999-2では、少なくとも目的と適用範囲を方針に含めることを求めているのに対し、SPC.1では4.2.1 方針声明で、より細かく規定しています。
【SPC.1の4.2.1 「方針声明」より抜粋】
組織の方針声明は、マネジメントシステムの定義された適用範囲内において、下記のことを保証しなければならない:
a) 組織の活動、機能、製品及びサービス(ステークホルダー及び環境を含む)に対する潜在的な脅威、ハザード、リスク、及び影響(結果)の性質及び適用範囲に適していること。
b) 最優先事項として従業員及び公共生活の安全性のコミットメントを含むこと。
c) 継続的改善へのコミットメントを含むこと。
d) 強化された組織の持続可能性とレジリエンスへのコミットメントを含むこと。
e) リスク予防、低減及び軽減へコミットメントを含むこと。
・・・(中略)・・・
o)トップマネジメントにより署名されること、及び方針の関連性についての文書化された見直しが、毎年実施されること。
【SPC.1の4.2.1 「方針声明」より抜粋】
組織の方針声明は、マネジメントシステムの定義された適用範囲内において、下記のことを保証しなければならない:
a) 組織の活動、機能、製品及びサービス(ステークホルダー及び環境を含む)に対する潜在的な脅威、ハザード、リスク、及び影響(結果)の性質及び適用範囲に適していること。
b) 最優先事項として従業員及び公共生活の安全性のコミットメントを含むこと。
c) 継続的改善へのコミットメントを含むこと。
d) 強化された組織の持続可能性とレジリエンスへのコミットメントを含むこと。
e) リスク予防、低減及び軽減へコミットメントを含むこと。
・・・(中略)・・・
o)トップマネジメントにより署名されること、及び方針の関連性についての文書化された見直しが、毎年実施されること。
※5. ただし、こうした点については過去のISO規格でも取り扱いが異なることから、さほど重要な論点ではないと思われます。
BCMS構築担当者やコンサルタント、内外部監査員が利用者の中心
他のBCMS規格・ガイドライン同様、当規格の利用者の中心は、組織においてBCMSの構築を担当される関係者の方(例:リスク管理部、総務人事部、経営企画部など)、BCMSの構築の支援をするコンサルタント、また、必要な仕組みが整備・導入されているかを漏れなく客観的にチェックする必要のある内外部監査員などになると思われます。
当然、BS25999-2やNFPA1600、SPC.1のどれを参考に構築を進めれば良いのか?という疑問がでてくると思いますが、本質的な部分では全て同じであり「いずれかが一番優れている」というものではありません。したがって、状況に応じて上手に組み合わせて使い分けることが必要だと考えます。
当然、BS25999-2やNFPA1600、SPC.1のどれを参考に構築を進めれば良いのか?という疑問がでてくると思いますが、本質的な部分では全て同じであり「いずれかが一番優れている」というものではありません。したがって、状況に応じて上手に組み合わせて使い分けることが必要だと考えます。
規格種別 | 入手費用 | ガイドライン | 発行国 | 発行年 | 邦訳版 | ISO(※1)との類似性 |
---|---|---|---|---|---|---|
BS25999-2 | 38,850円 | 別途購入必要 (35,700円) |
英国 | 2007 | ○ | 高 ※日本のBCMS 認証制度の基準 |
SPC.1 | 無料 | 同冊子内に含 | 米国 | 2009 | ○ | 中 |
NFPA1600 | 無料 | 同冊子内に含 | 米国 | 2007 (※2) |
× | 中 |
※1. ISO22301のことです(2012年4月頃正式発行となる予定です)
※2. ただし、頻繁に改訂されており現在、2010年度版が発行されている
※2. ただし、頻繁に改訂されており現在、2010年度版が発行されている