ISO22316:2017 セキュリティとレジリエンス ― 組織レジリエンス ― 原則と属性
掲載:2019年06月21日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
ISO22316は2017年に発行された「組織レジリエンス」に関する国際規格であり、正式名称は「Security and resilience - Organizational resilience - Principles and attributes(セキュリティとレジリエンス ― 組織レジリエンス ― 原則と属性)」です(以後ISO22316:2017と表記します)。ここで組織レジリエンスとは「組織が存続し繁栄するために、漸進的な変化や突然の混乱に対して予見、準備、対応、適応する能力」を言います。
ISO22316:2017の特徴
- ガイドラインである
- BS65000※をベースにした規格である
- 数多くのISOマネジメントシステム規格を包含する
※BS65000:2014の正式名称はBS65000:2014(組織レジリエンスのガイダンス)です。
ガイドラインである
ISO22316:2017は、ISO9001(品質マネジメントシステム)やISO27001(情報セキュリティマネジメントシステム)など経営管理の仕組みとして遵守すべき絶対ルール(要求事項)とは異なり、「ガイドライン」、すなわち参考書的な位置づけの文書にあたります。よって、この規格をベースとして第三者が組織の取り組みを評価・認証する認証制度は存在しません。
BS65000をベースにした規格である
ISO22316:2017の前身規格はBS65000です。BS65000はイギリスの国家規格であり、2014年に発行されました。この国家規格は数多くの実績に基づいたものであることから、それをベースとしているISO22316:2017もその信頼性の高さを引き継いだ規格であることがわかります。
数多くのISOマネジメントシステム規格を包含する
ISO22316:2017は、前出のISO9001やISO27001をはじめ、リスクマネジメントの国際規格であるISO31000:2018や危機対応の規格であるISO22310:2013など数々の規格を包含する規格になります。どのように包含するかについては後述します。
組織レジリエンスとリスクマネジメントの違い
組織レジリエンスの目的は「組織が存続し繁栄する(こと)」にあります。他方、この考え方に近いリスクマネジメントの目的は「価値の創造及び保護」※1にあります。また組織レジリエンスが意識する「漸進的な変化や突然の混乱」は、「目的に対する不確かさの影響」※2と定義される「リスク」と同義のようにも見えます。組織レジリエンスとリスクマネジメントとの違いは何でしょうか。
違いは「カバー範囲」と「攻守の力点」にあります。カバー範囲という観点では、組織レジリエンスは、リスクマネジメントと危機管理・BCPを包含したものであるということができます。組織レジリエンスが言わば「平時・有事の両方を想定した活動」であるのに対し、リスクマネジメントは「平時を前提とした活動」になります。ちなみに、前出のISO27001やISO9001などといった個別のISOマネジメントシステムは、リスクマネジメントに包含されます。これらはリスクマネジメント活動の中でも、固有のテーマに焦点を当てたリスクマネジメント活動ということができるでしょう。なお、平時とは「経営資源が整い、考える時間のゆとりがある状態」を言い、有事とはその逆、つまり「経営資源の一部または全部を喪失し、考える時間もゆとりもない状態」を言います。特に有事を想定した備えのことを危機管理やBCP(事業継続計画)と言います。
つぎに攻守の力点の観点では、リスクマネジメントは「守り」に比重がおかれているのに対し、組織レジリエンスは「攻め」に比重がおかれていると言えるでしょう。リスクマネジメントは、その目的が「価値の創造及び保護」にあることからも、厳密には攻守両方を考えた仕組みではあることがわかりますが、それでも今日、多くの組織において取り組まれているのはどちらかといえば「守り」です。組織レジリエンスは、「価値の創造及び保護」はもとより、その先の「繁栄」までを見据えた取り組みです。リスクの防止及び軽減のみならず、ビジネスの改善も重視しています。
※1: ISO31000:2018(リスクマネジメント―指針)より
※2:Guide73(リスクマネジメント―用語)リスクの定義より
【図:組織レジリエンスとリスクマネジメント、危機管理等の関係性を示した概念図】
出典:ニュートン・コンサルティング作成
ISO22316:2017の内容
ISO22316:2017は、「原則」、「レジリエンスの属性」、「レジリエンスに貢献する要素の評価」の3つの章から構成されており、それぞれ次のような意味を持ちます。
| 章立て | 章の位置づけと記載内容(概要) |
|---|---|
| 箇条4. 原則 | 組織レジリエンスのフレームワーク(枠組み)を支える基本的な考え方を提示しています。以下は、その基本的な考え方についての一部抜粋です。
|
| 箇条5. レジリエンスの属性 |
「原則」を具現化させるための活動要件を提示しています。以下はそうした活動要件の1つ、「トップマネジメントやリーダー陣が活動にコミットする」を実践するための「リーダーによる優先順位付けと必要なリソースの手当」についての要件の一部抜粋です。
|
| 箇条6. レジリエンスに貢献する要素の評価 | 組織レジリエンスの向上度合いや、現状とゴールとのギャップを定量的に把握するための評価活動に関する要件を提示しています。以下は、評価を実現するためにトップマネジメントが担うべき責任に関して一部抜粋したものです。
|
規格全体を構成する「原則」、「レジリエンスの属性」、「レジリエンスに貢献する要素の評価」の中身を、お互いの関係性から概念図に落とすと次のような形になります(図中括弧内の番号は規格内の箇条を示します)。
出典:ISO22316:2017を基に筆者作成
ISO22316:2017の使い方
ISO22316:2017は、既に見てきたとおり様々な規格を包含しています。ゆえに、この規格本来の目的である「組織レジリエンスを向上させる仕組みを確立するためのツールとしての活用」はもちろんのこと、既に組織に導入されているであろう様々な仕組み(例:ISOマネジメントシステムやコンプライアンス、ERM、危機管理、内部統制の仕組み等)を整理・統合するフレームワークとしての活用が可能です。また、組織レジリエンスを向上させるために現時点で何が不足しているかの評価ツールとしての活用も可能です。
ただし、ISO22316:2017は全10ページ※からなり、情報量として決して多いとは言えないため、この前身規格であるBS65000との併用を強くお勧めします。構成が異なりますが、BS65000の部分部分での情報は有益です。たとえば、BS65000では個別のリスクテーマに対するマネジメントシステムとしてどのようなものがあるかについて、次のようにより具体的に言及しています。
※邦訳を含まない原文だと約10ページ程度
- 資産管理(BS ISO 55000)
- リスクマネジメント(ISO31000)
- ステークホルダー及び協働マネジメント(BS11000)
- ・・・
(BS65000 5.4 Bring Coherenceより一部抜粋)
また、組織レジリエンスにおける成熟度モデルを定義し、提示してくれています。
| 成熟度レベル | 概要 |
|---|---|
| Level0:未成熟 | 組織レジリエンスを強めるためにいくつかの対策が導入された状態 |
| Level1:基本 | 特定の規律(やフレームワーク)が組織に導入された状態 |
| Level2:管理された | 結果に基づき、活動がコントロールされ維持されている状態 |
| Level3:確立された | マネジメントが方向性を示し、組織内外の状況や、それらが今後どのように変化するかを理解している状態 |
| Level4:予見可能な | 組織レジリエンスが戦略に沿う形で7~8年にもわたり、一貫して実行されている状態 |
| Level5:最適化された | 未来または現在のビジネス目標を満たすよう、活動が繰り返され、測定され、評価され、継続的に改善されている状態 |
出典:BS65000:2014 Figure2組織レジリエンスの成熟度モデルより一部抜粋
組織レジリエンスは、単なるリスクマネジメントや危機管理を一歩前進させ、企業成長や永続性の原動力にするための考え方であるとも言えます。単なるリスクマネジメントから脱却したい・・・ISO22316は、そのように考えていらっしゃる企業の方々のヒントになるでしょう。
【参考文献】
- BS65000:2013
- ISO31000:2018
- ISO22316:2017
- Guide83
- Guide73
- Organizational Resilience: Whitepaper(BSI)
