【ISO22301/事業継続マネジメントシステム(BCMS)とは】

2012年5月事業継続マネジメントの国際規格ISO22301(社会セキュリティ―事業継続マネジメントシステム)がISO（国際標準化機構）より発行されました。
ISO22301は適切なBCPを構築、維持管理する仕組みであるBCMS構築に有効な国際標準です。

現在の事業環境においては、地震・風水害をはじめ組織の事業を停止させる様々なリスクが存在します。BCMSはそれらのリスクが顕在化した時に備えて組織としての復旧力と対応力(レジリエンシー)を高めるため体系的なフレームワークを提供しています。

【目的】

• 組織にとって主要な製品・サービスの安定供給
• インシデントに対する復旧力・対応力の向上
• 事業継続を組織の文化として根付かせる

【ISO22302のBCMSプロセスに適用されるPDCAモデル】

• Plan（確立）
  組織の全般的方針及び目的に沿った結果を出すための、事業継続の改善に関連した事業継続の方針、目的、目標、管理手法、プロセス及び手順を確立する。
  
• Do（導入及び運用）
  事業継続の方針、管理手段、プロセス及び手順を導入し、運用する。

• Check（監視及びレビュー）
  事業継続の方針及び目的のパフォーマンスを監視し、レビューする。また、その結果のレビューのために経営陣に報告し、修正及び改善のための処理を決定し、承認する。

• Act（維持及び改善）
  マネジメントレビューの結果に基づいて是正処置を実施し、またBCMSの適用範囲並びに事業継続の方針及び目的を再評価することにより、BCMSを維持し、改善する。

【運用計画及び管理】

• ISO22301の要件事項に基づきBCPを作成・維持・管理していくための運用プロセスを決定する。

事業影響度分析及びリスクアセスメント

≪事業影響度分析≫

組織が提供する製品・サービスが何らかのインシデントにより中断したと仮定し、その影響を様々な観点（法令、売上、経営戦略など）から評価。
そしてどの業務をどの時点でどのレベルまで復旧する必要があるのかを明確にし、活動の優先付をする。これらの決定は業務の依存関係や関連資材（人、情報、施設、ICTシステム、サプライヤなど）を考慮する。

≪リスクアセスメント≫

製品・サービス提供の中断を引き起こすリスクを特定。そのリスクの大きさを算定し、組織としてどのように対応していくのかの対応方針（リスクの破棄、受容、移転、軽減など）を決定する。

事業継続戦略

製品・サービスの中断を引き起こす可能性のあるリスクに対して、発生確率の低減、中断時間の短縮化、中断による影響の軽減など、復旧要求を満たす事業継続戦略を策定する。

事業継続手順の確立及び導入

製品・サービスの提供の中断を引き起こす可能性のあるリスクが発生した際のBCPを作成する。計画には、以下の内容が挙げられる。

• インシデント対応体制の設置
• 通信手段の確保と組織内部・外部へのコミュニケーションの確立
• 設定した時間枠内で業務継続、または復旧するための手段の確立
• メディアへの対応
• インシデント終息後の活動

演習及び試験の実施

作成したBCPが組織の目標を満たすものであることを、演習及び試験を実施して確認する。 演習及び試験は組織が定めた範囲と目的に合致している形で実施し、BCPの妥当性を確認し、改善につなげるための活動を行う。。
また演習及び試験はあらかじめ定めた間隔で、組織内もしくは必要に応じて外部提供先なども含めた形で行う。