ISO22313は、2012年12月に発行された事業継続マネジメントシステム(BCMS)の指針を示したISO規格です。
ISO22313はBCMSの指針となることを目指した規格
正式名称は「社会セキュリティ-事業継続マネジメントシステム-指針」と呼ばれ、社会の安全・安心のテーマを取り扱うISO223ファミリーの一員です。
ISO22301 vs. ISO22313
事業継続マネジメントシステムに関わるISO規格には2種類が存在します。1つは22301(要求事項)と、もう1つはこのISO22313(指針)です。
ISO22301(要求事項)が、効果的・効率的なBCMSの構築・運用を望む組織が“遵守すべき事項”を示したものであるのに対し、ISO22313(指針)は、組織が“採用を検討することが望ましい事項”が示したものです。ISO22313はつまりガイドラインとしての役割を担うものです。
たとえばISO22301では「利害関係者」としか言及されていなかったものが、ISO22313を見ると、「市民や顧客、投資家、保険会社、政府・・・」など具体的な利害関係者が列挙されています。 参考までに、以下に「仕様」であるISO22301と「指針」であるISO22313の具体的な違いを示す文例を挙げておきます。
BCMS規格における「仕様」と「指針」の違い(具体例)
ISO22301 5.3「方針」
トップマネジメントは事業継続方針を確立し周知しなければならない。方針は次の事項を満たすものでなくてはならない
a) 組織の目的に合致している
b) 事業継続目標を設定するための枠組みを提供する
c) 対応が必要な要求事項を満たすためのコミットメントを含んでいる
d) BCMSの継続的改善に対するコミットメントを含んでいる
(中略)
※出所: ISO22301
ISO22313 5.3「方針」
トップマネジメントは事業継続方針を組織の目的や義務といった観点から定義するとともに、次の事項を満たすようなものにすることが望ましい
- (規模、特性や複雑さ、組織文化や依存関係、運営環境などを考慮され)組織の目的にあったものにする
- 目標設定に枠組みを提供する
- 法規制上の義務をはじめ、BCMSの継続的改善から生じるものなど、対応が必要な要求事項に対する明確なコミットメントを含んでいる
(中略)
方針の承認、記載内容の保護や定期的(例えば年1回)かつ、社内外の要因に重大な変化が起きた際の方針の見直しといった活動に対する適切な措置が図られていることが望ましい。どのような措置が適切かは、組織の規模、複雑さ、そして拡張性にもよる。
※出所: ISO/DIS22313
ちなみにBCMSの認証取得を検討される組織においてはISO22313ではなくISO22301に準拠することが求められます。
ISO22301と非常に相性がいいISO22313
ISO22313の最も大きな特徴の1つは、ISO22301との相性の良さにあります。先述した事例からもお分かりいただけるとおりISO22313は文字どおりISO22301の目次構成と完全に合致するように組まれています。たとえばISO22301の8.2「事業影響度分析及びリスクアセスメント」を補足する解説は、同じようにISO22313の項番8.2に記載されています。
これはISO22313がいかにISO22301を意識して作られた規格であるかを証明するものです。したがって「ISO22301に基づくBCMS構築・運用を進めるにあたって、より多くの情報を得ておきたい」という方にとっては大きな意義を持つ規格であると考えます。
ちなみに、ISO22301は、日本規格協会で購入することができます。
