PAS22399
掲載:2011年12月20日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
ISO/PAS 22399は、事業継続マネジメント(BCM(S))のガイドライン/要求事項(認証基準)の国際版とすること(ISO化)をめざして策定された一般公開仕様書です。正式名称は、Societal Security - Guideline for incident preparedness and operational continuity management(社会セキュリティ-緊急事態準備と業務継続マネジメントガイドライン)といいます。
タイトルに「事業継続(Business Continuity)」ではなく「業務継続(Operational Continuity Management)」という用語が用いられているのは、このガイドラインが民間企業のみならず、公共機関をはじめとするあらゆる組織を前提に作られているためです(※詳しくは、OCPの定義を参照下さい)
ISO/PAS 22399とは
このガイドラインは、世界50ヶ国超を代表する様々な組織(公共機関や民間企業)から構成される専門委員会(ISO/TC223)において全会一致で承認され、2007年11月に公開されました。元来、事業継続(BC)というテーマについては、既にいくつかの国において標準化が進められてきましたが、それら既存の規格・ガイドラインのエッセンスを抽出・統合する形で国際標準化を前提に作られたのが、このISO/PAS22399になります。なお、本ガイドラインのベースとなった規格・ガイドラインは以下の5つです(”ベスト・オブ・ファイブ”と呼ばれます)。
- NFPA1600:2004(アメリカ)
- HB221:2004(オーストラリア)
- BS25999-1:2006(イギリス)
- 事業継続計画策定ガイドライン(経済産業省):2005(日本)
- 事業継続ガイドライン(内閣府):2005(日本)
※2. BCMSの認証制度に対して、2006年7月から1年間をかけたパイロット期間を設け、2007年7月から本番運用がスタートとなる予定です。
ガイドラインの構成
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 一般
5. 方針
6. 計画
7. 実施及び運用
8. パフォーマンス評価
9. マネジメントレビュー
附属書A:影響度評価手順
附属書B:緊急時対応マネジメントプログラム
附属書C:継続マネジメントプログラム
附属書D:緊急事態準備と業務継続の文化構築
ISO:Guide72:2001※3に沿う形で策定しているため、BS25999-2:2007同様、マネジメントシステム(方針を策定し、目標を定め、計画を立案し、実行し、評価し、見直しを行うというPDCAの考え方)を前提とした分かりやすい構成(BCMS)になっています。実際の中身については表現に多少の違いがあるものの、他の規格やガイドラインとそれほど大きな違いはありません。
ガイドラインの特徴と用途
- 「脅威」と「ハザード」
- 「イベント」と「インシデント」
- 「危機」と「緊急事態」