事業継続マネジメントシステム / 中村 久吉

東海・東南海・南海などの地震が連動して起きる南海トラフ巨大地震の想定見
直しでは、マグニチュード9級の巨大地震の発生が指摘される等、従来の自然災
害の常識を塗り変える必要性が高まっています。
 これまで3回にわたり事業継続管理について書いてきました。また、今年の10
月及び11月には京都及び広島で事業継続計画(BCP)をテーマにした研修に出講し
ました。これらの地域では、まだまだ事業継続管理に取組む組織は少ない現状が
目につきました。
 一方で、今年の5月15日には事業継続マネジメントシステム(BCMS)の国際認証
規格としてISO22301が発行されています。国内では現在、この規格のJIS化が進
められています。これにより、事業継続マネジメントシステムの世界標準が明確
になった訳で、今回はISO22301の概要を説明します。

社会セキュリティ 事業継続マネジメントシステム ISO22301:2012 の構成は
次のとおりです。

まえがき
0.序文
 0.1 一般、0.2 Plan-Do-Check-Act(PDCA)モデル
 0.3 この国際規格におけるPDCAの構成要素
1.適用範囲
 他のマネジメントシステム規格と同じく、5つのケースに適用できることを宣
 言しています。
2.引用規格
 引用規格はないと言っています。
3.用語及び定義
 文字どおりに、55の用語に対する定義が書かれています。
4.組織の状況
 4.1 組織とその状況の把握
 4.2 利害関係者のニーズ及び期待の理解
  4.2.1 一般、4.2.2 法令及び規制の要求事項
 4.3 事業継続マネジメントシステムの適用範囲の決定
  4.3.1 一般、4.3.2 BCMSの適用範囲
 4.4 事業継続マネジメントシステム
5.リーダーシップ
 5.1 リーダーシップ及びコミットメント
 5.2 経営者のコミットメント
 5.3 方針
 5.4 組織の役割、責任及び権限
6.計画
 6.1 リスク及び機会に対応するための処置
 6.2 事業継続目的及び達成目的
7.支援
 7.1 資源
 7.2 力量
   (教育訓練、個別指導、再配置、力量のある人材の雇用又は外部委託を
    示しています。)
 7.3 認識
 7.4 コミュニケーション
 7.5 文書化した情報
  7.5.1 一般、7.5.2 作成及び更新、7.5.3 文書化した情報の管理
8.運用
 8.1 運用の計画及び管理
 8.2 事業影響度分析及びリスクアセスメント
  8.2.1 一般、8.2.2 事業影響度分析、8.2.3 リスクアセスメント
 8.3 事業継続戦略
  8.3.1 決定及び選択、8.3.2 資源に関する要求事項の設定
  8.3.3 保護及び軽減
 8.4 事業継続手順の確立及び導入
  8.4.1 一般、8.4.2 インシデント対応の体制
  8.4.3 警告及びコミュニケーション、8.4.4 事業継続計画、8.4.5 復旧
 8.5 演習及び試験の実施
9.パフォーマンス評価
 9.1 監視、測定、分析及び評価
  9.1.1 一般、9.1.2 事業継続手順の評価
 9.2 内部監査
 9.3 マネジメントレビュー
10.改善
 10.1 不適合及び是正処置
 10.2 継続的改善
参考文献

 上記から分かると思いますが、箇条4.組織の状況~7.支援までがPlanの要求事
項、箇条8.運用がDoの要求事項、箇条9.パフォーマンス評価がCheckの要求事項、
箇条10.改善がActに対する要求事項です。その詳細説明をしたいところですが、
今回は文字数の関係で、JIS化が完了した次の機会にさせて頂きます。
 なお、事業継続管理における基本的な概念「レジリエンシー(Resiliency)」に
関しては、ISO22301では前面に出ていません。別途、組織のレジリエンスとして
継続的な検討が行なわれているようです。

 余談ですが、ISOマネジメントシステム規格(ISO MSS)の整合性を確保するため
に、構成を共通化したMSS統一フォーマットが2012年2月に決められました。今後
は品質や環境、情報セキュリティ他のマネジメントシステム規格は改版の際に、
全て統一フォーマットにて記述されることになります。本ISO22301は、統一フォ
ーマットを採用した第1号の規格です。

 多くの企業が生き残りのために経営戦略を見直してビジネスモデルを再構築し
ていますが、非常事態における対策を講じることをしないままでは、生き残りを
達成することはできません。ぜひ、事業継続管理に取組んで頂きたいものです。

------------------------------------------------------------------------
■執筆者プロフィール

中村久吉(なかむらひさよし)
ITコーディネータ、ISO27001主任審査員
中小企業診断士、プライバシーマーク主任審査員

公式Facebookページはこちらから

<いいね>をクリック!