2012年版との違いのご説明はこちらから。
ISO22301:2012は事業継続マネジメントシステム(BCMS)の国際規格です。なお、BCMSとは組織の事業継続能力を維持・改善するための経営管理の仕組みのことです(詳しくは、「コラム: BCP、BCMとBCMSの違い」を参照ください)。
ちなみに、本規格は日本規格協会から邦訳版冊子を15,750円でで購入することができます。(記事下部、関連リンク参照)
ISO22301の位置づけ
ISO223xxシリーズは全て“社会セキュリティ”をテーマとした規格です。現在、このテーマの下で10種類を超える規格の策定作業が進んでおり、事業継続マネジメントシステム(BCMS)は、その中の1つにあたります。
これら社会セキュリティの規格の中で、とりわけBCMSと強い関連性を持つと思われる規格を以下にご紹介しておきます。
| 規格番号 | タイトル | ステータス |
|---|---|---|
| ISO22301 | 事業継続マネジメントシステム-要求事項 | 発行済み(2012年) |
| ISO22313 | 事業継続マネジメントシステム-指針 | 投票中(FDIS) |
| ISO22315 | 緊急事態における集団避難 | 作業原案作成中(WS) |
| ISO22320 | 危機管理-危機対応に関する要求事項 | 発行済み(2011年) |
| ISO22322 | 危機管理-警報 | 委員会原案可決 |
| ISO22323 | 組織のレジリエンスのマネジメントシステム-要求事項及び手引き | 作業原案作成中(WS) |
| ISO22398 | 演習の指針 | 第二次国際規格原案投票中 |
| ISO/PAS22399 | 緊急事態準備と業務継続マネジメントガイドライン | 発行済み(2007) |
【上表: 日本規格協会HP上の「TC223(社会セキュリティ)の活動」を基に、筆者が編集】
同じ“社会セキュリティ”という傘の下にありながら、ISO22301が他の規格と大きく異なるのは、事業継続マネジメントシステム(BCMS)に主眼をおいたものであるということはもちろん、当該規格が“要求事項”であるという点です。
要求事項とは「規格に準拠しBCMSを有効に運用していること」を謳うために必ず従わなければならないルールのことです。したがってISO22301では、規格中に記載されている要求事項全てを満たしてはじめて「我が社はISO22301規格に準拠しており、BCMSを有効に運用しています」と主張することができるようになります。(※)
なお「規格の要求事項を満たしています」という主張に対し、いわゆる“第三者のお墨付き”を(正式な審査に基づき証書を発行して)もらうことを第三者認証と言います。もちろん、第三者にお墨付きをもらわずとも「準拠しています」と主張することは可能ですが、その場合は上記と区別して“自己適合宣言”と呼ぶことが一般的です。
※ ちなみに“要求事項”とは異なり、指針は“参考書”のようなものであり、記載される内容が当てはまる組織と当てはまらない組織が多数存在するため、組織が必ず準拠することを期待して作られたものではありません。
認証制度とISO22301
現在、日本におけるBCMS認証制度は“BCMS適合性評価制度”と呼ばれるものでJIPDEC(※1)が2008年から運営しています。当初、BS25999-2:2007(事業継続マネジメント-要求事項)(※2)が認証基準として採用されておりましたが、正式発行に伴い、2012年8月から本規格に基づいた認証制度が開始されました。
※1 一般財団法人日本情報経済社会推進協会
※2 BS25999-2:2007については、2012年11月に廃止される予定です。同期日以降は、当該規格での認証審査を受けることができなくなります。
ISO22301の全貌
ISO22301は、全10章からなる要求事項で構成されています。
1章~7章、9章、10章は、どのISOマネジメントシステム規格でも要求される共通の要求事項が示されています。たとえば、5章「リーダーシップ」では組織のトップマネジメントのマネジメントシステムに対するコミットメントのメンバーへの明示やマネジメントシステムを運営するために必要な役割・責任・権限の明確化を求めています。
BCMSの特徴を最も表している箇所が8章「運用」です。ここには、事業継続計画(BCP)の有効性を高めるための活動(例:分析や事業継続戦略の策定、演習など)に関わる要求事項が記載されています。たとえば、8.5「演習及び試験の実施」に記載されている要求事項には次のようなものがあります。
【ISO22301規格要求事項 8.5「演習及び試験の実施」からの一部抜粋】
8.5 「演習及び試験の実施」
組織は,事業継続手順が組織の事業継続目的に合致していることを確かにするために,手順を演習し,試験しなければならない。
組織は,次のような演習及び試験を実施しなくてはならない。
a) BCMSの適用範囲及び達成目標と合致している。
b) 明確に定められた...
(以下、省略)
(出典: 日本規格協会発行ISO22301:2012邦訳版)
【ISO22301規格要求事項全体の構成】
| 1 | 適用範囲 | ||
|---|---|---|---|
| 2 | 引用規格 | ||
| 3 | 用語及び定義 | ||
| 4 | 組織の状況 | 4.1 | 組織とその状況の理解 |
| 4.2 | 利害関係者のニーズ及び期待の理解 | ||
| 4.3 | 事業継続マネジメントシステムの適用範囲の決定 | ||
| 4.4 | 事業継続マネジメントシステム | ||
| 5 | リーダーシップ | 5.1 | リーダーシップ及びコミットメント |
| 5.2 | 経営者のコミットメント | ||
| 5.3 | 方針 | ||
| 5.4 | 組織の役割,責任及び権限 | ||
| 6 | 計画 | 6.1 | リスク及び機会に対応するための処置 |
| 6.2 | 事業継続目的及び達成計画 | ||
| 7 | 支援 | 7.1 | 資源 |
| 7.2 | 力量 | ||
| 7.3 | 認識 | ||
| 7.4 | コミュニケーション | ||
| 7.5 | 文書化した情報 | ||
| 8 | 運用 | 8.1 | 運用の計画及び管理 |
| 8.2 | 事業影響度分析及びリスクアセスメント | ||
| 8.3 | 事業継続戦略 | ||
| 8.4 | 事業継続手順の確立及び導入 | ||
| 8.5 | 演習及び試験の実施 | ||
| 9 | パフォーマンス評価 | 9.1 | 監視,測定,分析及び評価 |
| 9.2 | 内部監査 | ||
| 9.3 | マネジメントレビュー | ||
| 10 | 改善 | 10.1 | 不適合及び是正処置 |
| 10.2 | 継続的改善 | ||
(出典: 日本規格協会発行ISO22301:2012邦訳版)
ISO22301とBS25999-2との違い
BS25999-2:2007からの一番大きな変更点はISOマネジメントシステム規格の最新フォーマット(※)を反映している点です。章構成の変更という観点では、具体的にはたとえば、大項目(1章:適用範囲、2章:引用規格・・・など)は全てのマネジメントシステム規格に共通するものです。また、要求事項の変更という観点では、たとえばBS25999-2:2007では組織の文書管理に関してその手順の文書化が要求されていましたが、ISOでは文書化までの要求はなくなりました。
こうした変更点のほかに、事業継続マネジメントシステム(BCMS)固有の要求事項についてもいくつかの変更点があります。たとえば、ISO22301では、新たに「定期的にコミュニケーションと警報手順に関する演習を実施しなければならない」という要求事項が追加されています。
※ ISOではGUIDE83と呼ばれる「マネジメントシステム規格および共通の主要な用語・定義の上位構造と共通テキスト」に関する要求事項の大幅な改訂が進められており、ISO22301はその最新フォーマット(章立てや用語・定義、マネジメントシステム共通の要求事項など)を反映しています。
ISO22301についての全体的な印象(所感)
ISO22301は以下に示す3つの理由から、最も優れた規格の1つといっていいと思います。
- 最新のフォーマットが反映されている
- 国際規格である
- 事業継続の最新の規格である
「優れた」とは、当該規格が、わかりやすく、そして、より実用性の高い規格である、という意味です。たとえば、“わかりやすさ”という観点では、規格ごとに少しずつ異なっていた言葉遣いや章構成、要求事項の整合性が図られた点(例:先述した文書管理手順の文書化要求についてISO27001:2005では必須だが、ISO9001では必須ではない、など)が挙げられます。また、“実用性の高さ”という観点では、911のテロや東日本大震災など、様々な過去の大災害の事例を踏まえたためでしょうが、全体的にボトルネックとなりやすい項目に対する要求・・・たとえば“有事のコミュニケーション”に対する要求がこれまで以上に厳しくなったように感じられます。
これから事業継続マネジメントシステム(BCMS)の構築を考えられる組織では、認証取得をする・しないにかかわらず、ぜひともこの規格の活用をオススメしたいと思います。
