ISO 22301 – 事業継続マネジメント (BCM)
ISO 22301とは?
2019年10月、ISO 22301 の第2版、ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements (セキュリティ及びレジリエンス-事業継続マネジメントシステム-要求事項) が発行されました。この第2版は2012年の5月に発行され、2012年6月に修正された第1版に代わるものです。
ISO 22301 は、ビジネスを中断させるような混乱から組織を守り、混乱発生の可能性を減らし、発生に備え、そのような混乱の発生に対処し、混乱から復旧するためのマネジメントシステムを実装し、維持し改善したいと望む組織のための要求事項を提示しています。この規格は、組織全体に適用することも組織の一部に適用することもでき、規模、種類や性質に関係なくすべての組織に当てはめることができます。
ISO 22301 を採用することにより、組織は意図的な、あるいは意図しない人間の行為、自然災害や技術的障害のために起こったインシデント、緊急事態及び災害へ対応しやすくなります。それは、ISO 22301 が要求するのは、インシデントが起こる前に、事業継続に対する潜在的なリスクを検討し、必要があれば、当該事項発生時に連絡すべき関連の利害関係者と連携して、適切な対応体制、計画及び手順を策定し、実装し、テストするということだからです。
ISO 22301 の序文には、事業継続マネジメントシステムを実装した場合に、事業、財務、利害関係者及び内部プロセスに与える利点が特定されています。事業の面では、事業継続のシステムは戦略的目標をサポートし、競争上の優位性を生み出し、評判を守り、強化します。財務の視点から見ると、事業継続のためのシステムは法的及び財務的なリスクに曝されることや、事業が混乱/中断することによる直接的及び間接的なコストを削減します。利害関係者に対しては、組織が真剣に生命、財産及び環境を守ろうとしていることを見せることができ、混乱している最中にも内部プロセスが機能する可能性が高くなります。また、実装プロセスの過程で、これまで認識していなかったプロセスの脆弱性に気付く可能性もあります。
ISO 22301:2019
2019年版は自らこの改訂は技術的な改訂であるとしていますが、変更点を前の版と比べてみると、BCMの中核の要求事項に関する変更は比較的マイナーです。もっとも大きな変更は規格の構造に対するもので、附属書SLのAppendix 2 に提示された構造を採用し、主な要求事項が明確に理解できるよう、箇条8に修正が加えられました。
事業継続に固有な複数の用語が、より明確になり、2018 年に改訂されたISO/IEC 22300:2018 – Security and resilience vocabularyにおける定義を反映するために変更されていますが、規格の序文は新しい要求事項は何も加えられていないと明言しています。事業継続に特有な要求事項はほとんどすべて箇条8に含まれるようになりました。
リスクと機会の決定、及びリスクと機会に対処する活動の決定は、BCM目的の確立と決定及びBCMシステムそのものの変更の計画と同様に、箇条6の「計画」の部分でカバーされています。しかし、組織が要求事項を実現するために、自分たちはどのような方法を選ぶべきかを考える必要がもっともあるのは箇条8の「運用の計画及び管理」の部分です。
組織は、事業影響度分析 (BIA) とリスクアセスメントのどちらも実施する必要があります。
- 事業影響度分析は、事業継続における優先度と要求事項を決定するために行うもので、
- リスクアセスメントは優先度の高い活動に対するリスクを特定するために行うものです。
事業影響度分析とリスクアセスメントを実施した結果は、組織が事業継続戦略と対策を策定するために使用します。戦略と対策を策定する際には、組織は戦略と対策を実施するために必要な資源も特定しなければなりません。
適切な戦略が決定されれば、事業継続計画 (BCP) の作成、さらに戦略を「実際の活動」に落とし込むための手順の作成へと進みます。事業が混乱/中断した際には、あらかじめ定めた対応構造、緊急時における役割、責任及び権限をもつ人々のチームによって事業継続計画が実行に移されます。このチームは、「危機管理チーム (Crisis Management Team)」と呼ばれることもあります。危機管理チームは組織を通常の事業に戻すことに注力します。危機を監視し、計画された対策が成功しているかどうかを評価するのです。また、事業継続計画が機能していない場合は、代わりとなる活動指針を決定します。
対策チームには、役割を実施する能力が必要です。対策チームのメンバーは事業継続計画が要求する活動を実施する能力に基づき選ばれなければなりません。ISO 22301 は、定期的に災害模擬演習を実施することにより、能力があるかを試験することを要求しています。演習はできるだけ本物に近い状況で実施し、演習時の個人及びチームのパフォーマンスを評価し、行われた重要な決定事項を記録するためにメモをとることが望まれます。このときに学んだことは、組織の事業継続能力をさらに改善するために利用します。
BCMの必要性
災害のための計画を立てなかったらどうなるかについては、多くの統計があります。統計による数値の多くは検証不可能ではありますが、危機を適切にマネジメントできないとどうなるか、その結果については疑う余地はありません。例えば;
- 顧客が去っていってしまう、場合によっては永久に
- 収益を上げる能力を失う
- 記録が永久に失われる
- 長期的に生産性が落ちる
- 事業が失敗する
すべての組織は事業継続マネジメントに真剣に取り組む必要があります。十分な検討や詳細の決定をせずに事業継続計画が立てられたため、実際の緊急時に役立たないことがよく見られます。ISO 22301では、復旧のために必要なすべての重要な要求事項を確実にするのに必要な枠組みが提供されています。もし不運にも災害にあってしまうようなことがあれば、ISO 22301はこれまで自分が読んだ中で最も重要な文書の1つだったということになるかもしれません。