Q 22301:2020 (ISO 22301:2019)
(1)
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 4
2 引用規格························································································································· 4
3 用語及び定義··················································································································· 4
4 組織の状況····················································································································· 10
4.1 組織及びその状況の理解 ································································································ 10
4.2 利害関係者のニーズ及び期待の理解 ················································································· 10
4.2.1 一般 ························································································································· 10
4.2.2 法令及び規制の要求事項 ······························································································ 10
4.3 事業継続マネジメントシステムの適用範囲の決定 ······························································· 11
4.3.1 一般 ························································································································· 11
4.3.2 事業継続マネジメントシステムの適用範囲 ······································································ 11
4.4 事業継続マネジメントシステム ······················································································· 11
5 リーダーシップ··············································································································· 11
5.1 リーダーシップ及びコミットメント ················································································· 11
5.2 方針 ··························································································································· 12
5.2.1 事業継続方針の確立 ···································································································· 12
5.2.2 事業継続方針の伝達 ···································································································· 12
5.3 役割,責任及び権限 ······································································································ 12
6 計画······························································································································ 12
6.1 リスク及び機会への取組み ····························································································· 12
6.1.1 リスク及び機会の決定 ································································································· 12
6.1.2 リスク及び機会への取組み ··························································································· 12
6.2 事業継続目的及びそれを達成するための計画策定 ······························································· 13
6.2.1 事業継続目的の設定 ···································································································· 13
6.2.2 事業継続目的の決定 ···································································································· 13
6.3 事業継続マネジメントシステム変更の計画 ········································································ 13
7 支援······························································································································ 14
7.1 資源 ··························································································································· 14
7.2 力量 ··························································································································· 14
7.3 認識 ··························································································································· 14
7.4 コミュニケーション ······································································································ 14
7.5 文書化した情報 ············································································································ 14
7.5.1 一般 ························································································································· 14
7.5.2 作成及び更新 ············································································································· 15
Q 22301:2020 (ISO 22301:2019) 目次
(2)
ページ
7.5.3 文書化した情報の管理 ································································································· 15
8 運用······························································································································ 15
8.1 運用の計画及び管理 ······································································································ 15
8.2 事業影響度分析及びリスクアセスメント ··········································································· 16
8.2.1 一般 ························································································································· 16
8.2.2 事業影響度分析 ·········································································································· 16
8.2.3 リスクアセスメント ···································································································· 16
8.3 事業継続戦略及び具体策 ································································································ 17
8.3.1 一般 ························································································································· 17
8.3.2 戦略及び具体策の特定 ································································································· 17
8.3.3 戦略及び具体策の選択 ································································································· 17
8.3.4 資源に関する要求事項 ································································································· 17
8.3.5 具体策の実施 ············································································································· 17
8.4 事業継続計画及び手順 ··································································································· 18
8.4.1 一般 ························································································································· 18
8.4.2 対応体制 ··················································································································· 18
8.4.3 警告及びコミュニケーション ························································································ 19
8.4.4 事業継続計画 ············································································································· 19
8.4.5 復旧 ························································································································· 20
8.5 演習プログラム ············································································································ 20
8.6 事業継続の文書化及び能力の評価 ···················································································· 20
9 パフォーマンス評価········································································································· 21
9.1 監視,測定,分析及び評価 ····························································································· 21
9.2 内部監査 ····················································································································· 21
9.2.1 一般 ························································································································· 21
9.2.2 監査プログラム ·········································································································· 21
9.3 マネジメントレビュー ··································································································· 21
9.3.1 一般 ························································································································· 21
9.3.2 マネジメントレビューへのインプット ············································································ 22
9.3.3 マネジメントレビューのアウトプット ············································································ 22
10 改善 ···························································································································· 22
10.1 不適合及び是正処置 ····································································································· 22
10.2 継続的改善 ················································································································· 23
参考文献 ···························································································································· 24
Q 22301:2020 (ISO 22301:2019)
(3)
まえがき
この規格は,産業標準化法第16条において準用する同法第14条第1項の規定に基づき,認定産業標準
作成機関である一般財団法人日本規格協会(JSA)から,産業標準の案を添えて日本産業規格を改正すべ
きとの申出があり,経済産業大臣が改正した日本産業規格である。これによって,JIS Q 22301:2013は改
正され,この規格に置き換えられた。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣は,このような特許権,出願公開後の特許出願及び実用新案権に関わる確認に
ついて,責任はもたない。
日本産業規格 JIS
Q 22301:2020
(ISO 22301:2019)
セキュリティ及びレジリエンス−
事業継続マネジメントシステム−要求事項
Security and resilience-
Business continuity management systems-Requirements
序文
この規格は,2019年に第2版として発行されたISO 22301を基に,技術的内容及び構成を変更すること
なく作成した日本産業規格である。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
0.1
一般
この規格は,事業の中断・阻害に関して,組織が許容できる又は許容できない影響の大きさ及び種類に
対して適切な事業継続の能力を開発するための事業継続マネジメントシステム(以下,BCMSという。)を
実施及び維持するための体制及びその要求事項について規定する。
BCMSを維持することで得られる成果は,組織に対する法令及び規制,組織及び業界の要求事項,提供
する製品及びサービス,採用しているプロセス,組織の規模及び構造,並びに組織の利害関係者の要求事
項によって形成される。
BCMSの重要事項を次に示す。
− 組織のニーズ並びに事業継続の方針及び目的を確立する必要性の理解
− 事業の中断・阻害から組織が生き残ることを確実にするためのプロセス,能力,対応体制の運用及び
維持
− BCMSのパフォーマンス及び有効性の監視及びレビュー
− 定性的及び定量的な測定に基づく継続的改善
BCMSは,他の全てのマネジメントシステム同様,次の構成要素からなる。
a) 方針
b) 明確に定められた責任をもつ力量のある人々
c) 次の事項に関するマネジメントプロセス
1) 方針
2) 計画
3) 実施及び運用
4) パフォーマンスのアセスメント
2
Q 22301:2020 (ISO 22301:2019)
5) マネジメントレビュー
6) 継続的改善
d) 運用管理を支援し,パフォーマンス評価の実施を可能にする文書化した情報
0.2
事業継続マネジメントシステムの便益
BCMSの目的は,事業の中断・阻害の発生時にも事業を継続させることができる組織の総合的な能力を
い(活)かすための管理策及び能力を準備し,提供し,維持するものである。これを達成することによっ
て,組織にもたらされる便益を次に示す。
a) 事業の観点から
1) 組織の戦略目標の支援
2) 競争優位性の確立
3) 組織の評判及び信用の保護及び強化
4) 組織のレジリエンスへの寄与
b) 財務の観点から
1) 法的及び財務的影響の低減
2) 事業の中断・阻害に関わる直接及び間接コストの低減
c) 利害関係者の観点から
1) 生命,財産及び環境の保護
2) 利害関係者の期待への配慮
3) 成功に導く組織の能力に対する信頼の提供
d) 組織内プロセスの観点から
1) 事業の中断・阻害の発生時にも内部プロセスの有効性を維持する能力の向上
2) リスクの事前の管理策の効果的及び効率的な提示
3) 運用上のぜい(脆)弱性への対応
0.3
Plan-Do-Check-Act(PDCA)サイクル
この規格は,組織のBCMSを実施,維持及びその有効性を継続的に改善するために,Plan(確立),Do
(実施及び運用),Check(監視及びレビュー),及びAct(維持及び改善)のPDCAサイクルを適用する。
このことはJIS Q 9001,JIS Q 14001,JIS Q 27001,JIS Q 20000-1,ISO 28000などの他のマネジメント
システム規格とのある程度の一貫性を確保することによって,関連するマネジメントシステムと総合的な
実施及び運用を支援する。
注記 JIS Q 9001,JIS Q 14001,JIS Q 27001及びJIS Q 20000-1の対応国際規格を次に示す。
ISO 9001,Quality management systems−Requirements
ISO 14001,Environmental management systems−Requirements with guidance for use
ISO/IEC 27001,Information technology−Security techniques−Information security management systems
−Requirements
ISO/IEC 20000-1,Information technology−Service management−Part 1: Service management system
requirements
3
Q 22301:2020 (ISO 22301:2019)
PDCAサイクルに従って,この規格の箇条4から箇条10は,次に示す構成要素からなる。
− 箇条4は,組織に適用されるBCMSの状況設定のために必要な要求事項,利害関係者のニーズ,適用
法令などの要求事項及び適用範囲の決定を規定する。
− 箇条5は,BCMSにおけるトップマネジメントの役割に関する固有の要求事項及び事業継続方針を表
明し,リーダーシップによって,その期待をどのように組織に明確に伝えるかを規定する。
− 箇条6は,BCMS全体の戦略目標及び指針を策定するための要求事項を規定する。
− 箇条7は,要求される文書類を文書化し,管理し,維持し,保持しながら,人々の力量,並びに利害
関係者との反復的及び必要に応じたコミュニケーションを確立することを通じた,BCMSの運用の支
援について規定する。
− 箇条8は,事業継続の必要性を明確にし,それらにどのように取り組むかを決定し,事業の中断・阻
害中の組織を管理する手順を規定する。
− 箇条9は,事業継続のパフォーマンスの測定,BCMSのこの規格への適合,及びマネジメントレビュ
ーを実施するための要求事項を規定する。
− 箇条10は,BCMSのこの規格への不適合を特定し,是正処置によって継続的改善を行うことを規定
する。
0.4
この規格の内容
この規格の対応国際規格であるISO 22301は,ISOがマネジメントシステム規格の整合性を向上する目
的で作成した“マネジメントシステム規格の共通構造と共通定義”を採用している。この“マネジメント
システム規格の共通構造と共通定義”は要求事項として,ISOでマネジメントシステム要求事項規格を作
成する場合に採用しなければならないものである。ISO 9001,ISO 14001などはこの要求事項に従って作
成され,その対応JISも同様にこの“マネジメントシステム規格の共通構造と共通定義”に準拠した規格
となっている。このことは,この規格は,他のマネジメントシステムを規定したJISとの整合性が確保さ
れており,JISのマネジメントシステムを実施する利用者の便益が高まっていることを意味している。
この規格には,他のマネジメントシステムに固有の要求事項は盛り込まれていないが,この規格の要素
は,他のマネジメントシステムの要素と整合又は統合することが可能である。
この規格には,BCMSを実施し,その適合性を評価するために組織が利用できる要求事項が盛り込まれ
ている。この規格への適合の実証を望む組織は,次のいずれかの方法を用いることがある。
− 自己決定をし,自己宣言する。
− 組織に対して利害関係をもつ人又はグループ,例えば,顧客などによる適合の確認を求める。
− 組織外の者による組織の自己宣言の確認を求める。
− 外部機関によるBCMSの認証・登録を求める。
この規格の箇条1から箇条3では,この規格の使用において適用される適用範囲,引用規格並びに用語
及び定義を規定している。
箇条4から箇条10には,この規格への適合性を評価する際に使用する要求事項を規定している。
この規格では,次のような表現形式を採用している。
a) “〜しなければならない”は,要求事項を示す。
b) “〜することが望ましい”は,推奨事項を示す。
4
Q 22301:2020 (ISO 22301:2019)
c) “〜してもよい”は,許可事項を示す。
d) “〜可能である”は,可能性・能力を示す。
“注記(Note)”として示されている情報は,それが付与されている要求事項を理解又は明確化するため
の手引である。箇条3で用いている“注釈(Note to entry)”では,用語に関するデータを補足する追加情
報を提供し,また,用語の使用に関連する規定を示すこともあり得る。
1
適用範囲
この規格は,事業の中断・阻害を防止し,その発生の起こりやすさを低減し,発生に備え,発生した場
合には対応し,事業を復旧するためのマネジメントシステムを実施し,維持し,改善するために必要な事
業継続マネジメントに関する要求事項について規定する。
この規格に規定する要求事項は汎用的なものであり,組織の形態及び規模,並びに事業の性質にかかわ
らず,あらゆる組織又はその一部に適用できるように意図している。これらの要求事項の適用度合いは,
当該組織の事業環境及び複雑度によって異なる。
この規格は,次に示す事項を行おうとする,あらゆる形態及び規模の組織に適用が可能である。
a) BCMSを実施し,維持し,改善する。
b) 表明した事業継続方針とこの規格との適合を保証する。
c) 事業の中断・阻害の発生時にも,あらかじめ定めた許容できる能力で,製品及びサービスの提供を継
続することができることを必要とする。
d) BCMSの効果的な適用を通じて組織のレジリエンスの向上を求める。
この規格は,自らの事業継続のニーズ及び義務を果たす組織の能力を評価するために用いることが可能
である。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO 22301:2019,Security and resilience−Business continuity management systems−Requirements(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こと
を示す。
2
引用規格
次に掲げる引用規格は,この規格に引用されることによって,その一部又は全部がこの規格の要求事項
を構成している。この引用規格は,その最新版(追補を含む。)を適用する。
ISO 22300,Security and resilience−Vocabulary
3
用語及び定義
この規格で用いる主な用語及び定義は,次によるほか,ISO 22300による。
3.1
活動,事業活動(activity)
定められたアウトプットをもつ,一つ又は複数の業務
5
Q 22301:2020 (ISO 22301:2019)
3.2
監査(audit)
監査基準が満たされている程度を判定するために,監査証拠を収集し,それを客観的に評価するため
の,体系的で,独立し,文書化したプロセス(3.26)
注釈1 監査は,内部監査(第一者)若しくは外部監査(第二者・第三者)のいずれでも,又は複合監
査(複数の分野の組合せ)でもあり得る。
注釈2 内部監査は,組織(3.21)自体が行うか,又は組織の代理で外部関係者が実施する。
注釈3 “監査証拠”及び“監査基準”は,JIS Q 19011に定義されている。
注釈4 監査の基本的要素には,監査される対象に関して責任を負っていない要員が実施する手順に従
った,対象の適合(3.7)の確定が含まれる。
注釈5 内部監査は,マネジメントレビュー及びその他の内部目的のために行うことが可能であり,ま
た,その組織の適合を宣言するための基礎となり得る。独立性は,監査されている事業活動(3.1)
に関する責任を負っていないことで実証することが可能である。
外部監査には,一般的に第二者監査及び第三者監査と呼ばれるものが含まれる。第二者監査
は,顧客など,その組織に利害をもつ者又はその代理者によって実施される。第三者監査は,
適合を認証・登録する機関又は政府機関のような,外部の独立した監査組織によって実施され
る。
注釈6 この用語は,この規格の対応国際規格においてISOマネジメントシステム規格の共通用語の定
義に注釈4及び注釈5が追加された。
3.3
事業継続(business continuity)
事業の中断・阻害(3.10)を受けている間に,あらかじめ定められた範囲で,許容できる時間枠内に,
製品及びサービス(3.27)を提供し続ける組織(3.21)の実現能力
3.4
事業継続計画(business continuity plan)
事業の中断・阻害(3.10)に対応し,かつ,組織の事業継続(3.3)目的(3.20)と整合した,製品及び
サービス(3.27)の提供を再開し,復旧し,回復するように組織(3.21)を導く文書化した情報(3.11)
3.5
事業影響度分析(business impact analysis)
組織(3.21)に対する事業の中断・阻害(3.10)の経時的影響(3.13)を分析するプロセス(3.26)
注釈1 事業影響度分析から得られる結果は,事業継続(3.3)に関する要求事項(3.28)の明示及びそ
の正当性を示す根拠である。
3.6
力量(competence)
意図した結果を達成するために,知識及び技能を適用する能力
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.7
適合(conformity)
要求事項(3.28)を満たしていること
6
Q 22301:2020 (ISO 22301:2019)
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.8
継続的改善(continual improvement)
パフォーマンス(3.23)を向上するために繰り返し行われる事業活動(3.1)
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.9
是正処置(corrective action)
不適合(3.19)の原因を除去し,再発を防止するための処置
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.10
事業の中断・阻害(disruption)
予見されたか,されなかったかにかかわらず,組織(3.21)の目的(3.20)に従って想定される製品及
びサービス(3.27)の提供では計画されておらず,好ましくない逸脱を引き起こすインシデント(3.14)
3.11
文書化した情報(documented information)
組織(3.21)が管理し,維持するよう要求されている情報,及びそれが含まれている媒体
注釈1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得るこ
とが可能である。
注釈2 文書化した情報には,次に示すものがあり得る。
− 関連するプロセス(3.26)を含むマネジメントシステム(3.16)
− 組織の運用のために作成された情報(文書類)
− 達成された結果の証拠(記録)
注釈3 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.12
有効性(effectiveness)
計画した事業活動(3.1)を実行し,計画した結果を達成した程度
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.13
影響(impact)
目的(3.20)に影響を与える事業の中断・阻害(3.10)の結果
3.14
インシデント(incident)
事業の中断・阻害(3.10),損失,緊急事態又は危機になり得る又はそれらを引き起こし得る事象
7
Q 22301:2020 (ISO 22301:2019)
3.15
利害関係者(interested party)
代替用語:ステークホルダー(stakeholder)
ある決定事項又は事業活動(3.1)に影響を与え得るか,その影響を受け得るか,又はその影響を受け
ると認識している,個人又は組織(3.21)
例 顧客,オーナー,要員,供給者,投資家,規制当局,組合,パートナー,社会(競争相手又は対立
する圧力団体を含むこともある。)
注釈1 意思決定者も利害関係者であり得る。
注釈2 影響を受けたコミュニティ及び地元住民は,利害関係者とみなされる。
注釈3 この規格の対応国際規格は,ISOが作成したISOマネジメントシステム規格の共通用語の定義
を採用しているが,その共通用語の定義に事例並びに注釈1及び注釈2を追加している。
3.16
マネジメントシステム(management system)
方針(3.24),目的(3.20)及びその目的を達成するためのプロセス(3.26)を確立するための,相互に
関連する又は相互に作用する,組織(3.21)の一連の要素
注釈1 一つのマネジメントシステムは,単一又は複数の分野を取り扱う場合がある。
注釈2 システムの要素には,組織の構造,役割及び責任,計画並びに運用が含まれる。
注釈3 マネジメントシステムの適用範囲としては,組織全体,組織内の固有で特定された機能,組織
内の固有で特定された部門,複数の組織の集まりを横断する一つ又は複数の機能などがあり得
る。
注釈4 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.17
測定(measurement)
値を決定するプロセス(3.26)
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.18
監視(monitoring)
システム,プロセス(3.26)又は事業活動(3.1)の状況を明確にすること
注釈1 状況を明確にするために,点検,監督又は注意深い観察が必要な場合もある。
注釈2 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.19
不適合(nonconformity)
要求事項(3.28)を満たしていないこと
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
8
Q 22301:2020 (ISO 22301:2019)
3.20
目的(objective)
達成すべき結果
注釈1 目的は,戦略的,戦術的又は運用的であり得る。
注釈2 目的は,様々な領域[例えば,財務,安全衛生,環境の到達点(goal)]に関連し得るものであ
り,様々な階層[例えば,戦略的レベル,組織全体,プロジェクト単位,製品ごと,プロセス
(3.26)ごと]で適用可能である。
注釈3 目的は,例えば,意図する成果,目的(purpose),運用基準など,別の形で表現することも可能
である。また,事業継続(3.3)目的という表現の仕方,又は同じような意味をもつ別の言葉[例
えば,狙い(aim),到達点(goal),目標(target)]で表すことも可能である。
注釈4 事業継続マネジメントシステム(3.16)の場合,組織(3.21)は,特定の結果を達成するため,
事業継続方針(3.24)と整合のとれた事業継続目的を設定する。
注釈5 この規格の対応国際規格は,ISOが作成したISOマネジメントシステム規格の共通用語の定義
を採用している。
3.21
組織(organization)
自らの目的(3.20)を達成するため,責任,権限及び相互関係を伴う独自の機能をもつ,個人又は人々
の集まり
注釈1 組織という概念には,法人か否か,公的か私的かを問わず,自営業者,会社,法人,事務所,
企業,当局,共同経営会社,非営利団体若しくは協会,又はこれらの一部若しくは組合せが含
まれる。ただし,これらに限定されるものではない。
注釈2 複数の業務ユニットがある組織は,一つの業務ユニットを一つの組織として定義することがあ
る。
注釈3 この規格の対応国際規格は,ISOが作成したISOマネジメントシステム規格の共通用語の定義
を採用しているが,その共通用語の定義に注釈2を追加している。
3.22
外部委託する(outsource)(動詞)
ある組織の機能又はプロセス(3.26)の一部を外部の組織(3.21)が実施するという取決めを行う
注釈1 外部委託した機能又はプロセスは,マネジメントシステム(3.16)の適用範囲内にあるが,外部
の組織はマネジメントシステムの適用範囲の外にある。
注釈2 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.23
パフォーマンス(performance)
測定可能な結果
注釈1 パフォーマンスは,定量的又は定性的な所見のいずれにも関連し得る。
注釈2 パフォーマンスは,事業活動(3.1),プロセス(3.26),製品(サービスを含む。),システム又
は組織(3.21)の運営管理に関連し得る。
注釈3 この用語は,ISOマネジメントシステム規格の上位構造に対する共通用語及び中核となる定義
を構成する。
9
Q 22301:2020 (ISO 22301:2019)
3.24
方針(policy)
トップマネジメント(3.31)によって正式に表明された組織(3.21)の意図及び方向付け
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.25
優先事業活動(prioritized activity)
事業の中断・阻害(3.10)発生時,事業に対する許容できない影響(3.13)を回避するため,緊急に実
施すべき事業活動(3.1)
3.26
プロセス(process)
インプットをアウトプットに変換する,相互に関連する又は相互に影響する一連の活動(3.1)
注釈1 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.27
製品及びサービス(product and service)
組織(3.21)によって,利害関係者(3.15)に提供されるアウトプット又は結果
例 製造された物品,自動車保険,地域看護
3.28
要求事項(requirement)
明示されている,通常暗黙のうちに了解されている又は義務として要求されているニーズ又は期待
注釈1 “通常暗黙のうちに了解されている”とは,対象となるニーズ又は期待が暗黙のうちに了解さ
れていることが,組織(3.21)及び利害関係者(3.15)にとって,慣習又は慣行であることを意
味する。
注釈2 規定要求事項とは,例えば,文書化した情報(3.11)の中で明示されている要求事項をいう。
注釈3 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
3.29
資源(resource)
組織(3.21)が業務を運営し,目的(3.20)を達成するために,必要なときに利用可能な状態になけれ
ばならない全ての資産(工場及び設備を含む。),人員,技能,技術,土地,供給品及び情報(電子的か否
かは問わない。)
3.30
リスク(risk)
目的(3.20)に対する不確かさの影響
注釈1 影響とは,期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離する
ことをいう。
注釈2 不確かさとは,事象,その結果又はその起こりやすさに関する情報,理解又は知識に,たとえ
部分的にでも不備がある状態をいう。
10
Q 22301:2020 (ISO 22301:2019)
注釈3 リスクは,起こり得る“事象”(JIS Q 0073の3.5.1.3の定義を参照)及び“結果”(JIS Q 0073
の3.6.1.3の定義を参照),又はこれらの組合せについて述べることによって,その特徴を示す
ことが多い。
注釈4 リスクは,ある事象(その周辺状況の変化を含む。)の結果とその発生の起こりやすさ(JIS Q
0073の3.6.1.1の定義を参照)との組合せとして表現されることが多い。
注釈5 この用語は,ISOマネジメントシステム規格の上位構造に対する共通用語及び中核となる定義
を構成する。JIS Q 31000と整合するために,定義に“目的に対する”を追加した。
3.31
トップマネジメント(top management)
最高位で組織(3.21)を指揮し,管理する個人又は人々の集まり
注釈1 トップマネジメントは,組織内で,権限を委譲し,資源(3.29)を提供する力をもっている。
注釈2 マネジメントシステム(3.16)の適用範囲が組織の一部だけの場合,トップマネジメントとは,
組織内のその一部を指揮し,管理する人をいう。
注釈3 この規格の対応国際規格のこの用語は,ISOマネジメントシステム規格の共通用語及び中核と
なる定義を採用している。
4
組織の状況
4.1
組織及びその状況の理解
組織は,組織の目的に関連し,かつ,そのBCMSの意図した成果を達成する組織の能力に影響を与える,
外部及び内部の課題を決定しなければならない。
注記 これらの課題は,組織の全体的な目的,製品及びサービス,並びに組織が負ってもよいリスク又
は負うことができないリスクの量及び種類によって,影響される。
4.2
利害関係者のニーズ及び期待の理解
4.2.1
一般
BCMSを確立するに当たって,組織は,次の事項を決定しなければならない。
a) BCMSに関連する利害関係者
b) それらの利害関係者の,関連する要求事項
4.2.2
法令及び規制の要求事項
組織は,次の事項を実施しなければならない。
a) 組織の製品及びサービス・事業活動・資源の継続に関連する,適用される法令及び規制の要求事項を
特定し,参照し,評価するためのプロセスを実施し,維持する。
b) これらの適用される法令及び規制の要求事項並びにその他の要求事項を考慮して,組織のBCMSを実
施し,維持することを確実にする。
c) この情報を文書化し,最新の状態に保つ。
11
Q 22301:2020 (ISO 22301:2019)
4.3
事業継続マネジメントシステムの適用範囲の決定
4.3.1
一般
組織は,BCMSの適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。この
適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。
a) 4.1に規定する外部及び内部の課題
b) 4.2に規定する要求事項
c) 組織の使命,到達点(goal),並びに内部及び外部の義務事項
適用範囲は,文書化した情報として利用可能な状態にしておかなければならない。
4.3.2
事業継続マネジメントシステムの適用範囲
組織は,次の事項を実施しなければならない。
a) 組織の所在地,規模,性質及び複雑さを考慮に入れた上で,BCMSに含めるべき組織の部分を明確に
する。
b) BCMSに含めるべき製品及びサービスを特定する。
適用範囲を定めるに当たって,組織は,適用除外事項を文書化し,説明しなければならない。事業影響
度分析,又はリスクアセスメント並びに適用される法令又は規制の要求事項によって決定したように,適
用除外は事業継続を実施するための組織の能力及び責任に影響を与えてはならない。
4.4
事業継続マネジメントシステム
組織は,この規格の要求事項に従って,必要なプロセス及びそれらの相互作用を含むBCMSを確立し,
実施し,維持し,継続的に改善しなければならない。
5
リーダーシップ
5.1
リーダーシップ及びコミットメント
トップマネジメントは,次に示す事項によって,BCMSに関するリーダーシップ及びコミットメントを
実証しなければならない。
a) 事業継続方針及び事業継続目的を確立し,それらが組織の戦略的な方向性と両立することを確実にす
る。
b) 組織の事業プロセスへのBCMS要求事項の統合を確実にする。
c) BCMSに必要な資源が利用可能であることを確実にする。
d) 有効な事業継続及びBCMS要求事項への適合の重要性を伝達する。
e) BCMSがその意図した成果を達成することを確実にする。
f)
BCMSの有効性に寄与するよう人々を指揮し,支援する。
g) 継続的改善を促進する。
h) その他の関連する管理層がその責任の領域においてリーダーシップ及びコミットメントを実証するよ
う,管理層の役割を支援する。
注記 この規格で“事業”という場合,それは,組織の存在の目的の中核となる事業活動という広義の
12
Q 22301:2020 (ISO 22301:2019)
意味で解釈され得る。
5.2
方針
5.2.1
事業継続方針の確立
トップマネジメントは,次の事項を満たす事業継続方針を確立しなければならない。
a) 組織の目的に対して適切である。
b) 事業継続目的の設定のための枠組みを示す。
c) 適用される要求事項を満たすことへのコミットメントを含む。
d) BCMSの継続的改善へのコミットメントを含む。
5.2.2
事業継続方針の伝達
事業継続方針は,次に示す事項を満たさなければならない。
a) 文書化した情報として利用可能である。
b) 組織内に伝達する。
c) 必要に応じて,利害関係者が利用可能である。
5.3
役割,責任及び権限
トップマネジメントは,関連する役割に対して,責任及び権限が割り当てられ,組織内に伝達されるこ
とを確実にしなければならない。
トップマネジメントは,次の事項に対して,責任及び権限を割り当てなければならない。
a) BCMSが,この規格の要求事項に適合することを確実にする。
b) BCMSのパフォーマンスをトップマネジメントに報告する。
6
計画
6.1
リスク及び機会への取組み
6.1.1
リスク及び機会の決定
BCMSの計画を策定するとき,組織は,4.1に規定する課題及び4.2に規定する要求事項を考慮し,次の
事項のために取り組む必要があるリスク及び機会を決定しなければならない。
a) BCMSが,その意図した成果を達成できることの確信を与える。
b) 望ましくない影響を防止又は低減する。
c) 継続的改善を達成する。
6.1.2
リスク及び機会への取組み
組織は,次の事項を計画しなければならない。
a) 6.1.1によって決定したリスク及び機会への取組み
b) 次の事項を行う方法
1) その取組みのBCMSプロセスへの統合及び実施(8.1参照)
13
Q 22301:2020 (ISO 22301:2019)
2) その取組みの有効性の評価(9.1参照)
注記 リスク及び機会は,BCMSの有効性に関わるものである。事業の中断・阻害に関わるリスクは,
8.2に規定している。
6.2
事業継続目的及びそれを達成するための計画策定
6.2.1
事業継続目的の設定
組織は,関連する機能及び階層において,事業継続目的を設定しなければならない。
事業継続目的は,次の事項を満たさなければならない。
a) 事業継続方針と整合している。
b) (実行可能な場合)測定可能である。
c) 適用される要求事項を考慮に入れる(4.1及び4.2参照)。
d) 監視する。
e) 伝達する。
f)
必要に応じて,更新する。
組織は,事業継続目的に関する文書化した情報を保持しなければならない。
6.2.2
事業継続目的の決定
組織は,事業継続目的をどのように達成するかについて計画するとき,次の事項を決定しなければなら
ない。
a) 実施事項
b) 必要な資源
c) 責任者
d) 達成期限
e) 結果の評価方法
6.3
事業継続マネジメントシステム変更の計画
組織が,箇条10で特定したものを含め,BCMSへの変更の必要性を決定したとき,その変更は,計画し
た方法で行わなければならない。
組織は,次の事項を考慮しなければならない。
a) 変更の目的,及び変更によって起こり得る結果
b) BCMSの完全に整っている状態(integrity)
c) 資源の利用可能性
d) 責任及び権限の割当て又は再割当て
14
Q 22301:2020 (ISO 22301:2019)
7
支援
7.1
資源
組織は,BCMSの確立,実施,維持,及び継続的改善に必要な資源を決定し,提供しなければならない。
7.2
力量
組織は,次の事項を行わなければならない。
a) 組織の事業継続パフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量
を決定する。
b) 適切な教育,訓練又は経験に基づいて,それらの人々が力量を備えていることを確実にする。
c) 該当する場合,必ず,必要な力量を身に付けるための処置をとり,とった処置の有効性を評価する。
d) 力量の証拠として,適切な文書化した情報を保持する。
注記 適用される処置には,例えば,現在雇用している人々に対する教育訓練の提供,指導の実施,配
置転換の実施などがあり,また,力量を備えた人々の雇用又は契約締結もあり得る。
7.3
認識
組織の管理下で働く人々は,次の事項について認識をもたなければならない。
a) 事業継続方針
b) 事業継続パフォーマンスの向上によって得られる便益を含む,BCMSの有効性に対する自らの貢献
c) BCMS要求事項に適合しないことの意味
d) 事業の中断・阻害の発生前,発生時及び発生後の自らの役割及び責任
7.4
コミュニケーション
組織は,次の事項を含む,BCMSに関連する内部及び外部のコミュニケーションを決定しなければなら
ない。
a) コミュニケーションの内容
b) コミュニケーションの実施時期
c) コミュニケーションの対象者
d) コミュニケーションの方法
e) コミュニケーションを行おうとする人
7.5
文書化した情報
7.5.1
一般
組織のBCMSは,次の事項を含まなければならない。
a) この規格が要求する文書化した情報
b) BCMSの有効性のために必要であると組織が決定した,文書化した情報
注記 BCMSのための文書化した情報の程度は,次のような理由によって,それぞれの組織で異な
る場合がある。
− 組織の規模,並びに活動,プロセス,製品及びサービス並びに資源の種類
15
Q 22301:2020 (ISO 22301:2019)
− プロセス及びその相互作用の複雑さ
− 人々の力量
7.5.2
作成及び更新
文書化した情報を作成及び更新する際,組織は,次の事項が適切であることを確実にしなければならな
い。
a) 識別及び記述(例えば,タイトル,日付,作成者,参照番号)
b) 形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)
c) 適切性及び妥当性に関する,レビュー及び承認
7.5.3
文書化した情報の管理
7.5.3.1
BCMS及びこの規格が要求している文書化した情報は,次の事項を確実にするために,管理しな
ければならない。
a) 必要なときに,必要なところで,入手可能,かつ,利用に適した状態である。
b) 十分に保護されている(例えば,機密性の喪失,不適切な使用又は完全性の喪失からの保護)。
7.5.3.2
文書化した情報の管理に当たって,組織は,該当する場合には,必ず,次の行動に取り組まなけ
ればならない。
a) 配布,アクセス,検索及び利用
b) 読みやすさが保たれることを含む,保管及び保存
c) 変更の管理(例えば,版の管理)
d) 保持及び廃棄
BCMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は,必要に応じて特定
し,管理しなければならない。
注記 アクセスとは,文書化した情報の閲覧だけの許可に関する決定,又は文書化した情報の閲覧及び
変更の許可及び権限に関する決定を意味し得る。
8
運用
8.1
運用の計画及び管理
組織は,次に示す事項の実施によって,要求事項を満たすため,及び6.1で決定した取組みを実施する
ために必要なプロセスを計画し,実施し,管理しなければならない。
a) プロセスに関する基準の設定
b) その基準に従った,プロセスの管理の実施
c) プロセスが計画どおりに実施されたという確信をもつために必要な程度の,文書化した情報の保持
組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有
害な影響を軽減する処置をとらなければならない。
組織は,外部委託したプロセス及びサプライチェーンが管理されていることを確実にしなければならな
い。
16
Q 22301:2020 (ISO 22301:2019)
8.2
事業影響度分析及びリスクアセスメント
8.2.1
一般
組織は,次の事項を実施しなければならない。
a) 事業影響度の分析,及び事業の中断・阻害に関するリスクの評価のための体系的なプロセスの実施及
び維持を行う。
b) あらかじめ定めた間隔をおいて,及び組織内又は組織が活動している状況に著しい変更が生じたとき
に,事業影響度分析,及びリスクアセスメントのレビューを行う。
注記 組織は,事業影響度分析及びリスクアセスメントを実施する順序を決定する。
8.2.2
事業影響度分析
組織は,事業継続の優先順位付け及び要求事項を決定するため,事業影響度を分析するプロセスを用い
なければならない。このプロセスでは,次に示す事項を実施しなければならない。
a) 組織の状況に相応した影響の種類及び基準を定める。
b) 製品及びサービスの提供を支援する事業活動を特定する。
c) これらの事業の中断・阻害に由来する経時的影響を評価するための影響の種類及び基準を使用する。
d) 事業活動を再開しないことによる影響が,組織にとって許容できなくなるまでの時間枠を特定する。
注記1
これは,“最大許容停止時間(MTPD)”と呼ぶことがある。
e) 中断・阻害された事業活動を規定された最低限の許容できる規模で再開するまでの優先すべき時間枠
をd)で特定した時間内で設定する。
注記2
この時間枠を,“目標復旧時間(RTO)”と呼ぶことがある。
f)
優先事業活動を特定するために,この分析を利用する。
g) 優先事業活動を支援するために必要な資源を決定する。
h) パートナー及びサプライヤを含む依存関係及び優先事業活動の依存関係を決定する。
8.2.3
リスクアセスメント
組織は,リスクアセスメントプロセスを実施し,維持しなければならない。
注記1 このリスクアセスメントのプロセスは,JIS Q 31000に規定されている。
組織は,次の事項を実施しなければならない。
a) 組織の優先事業活動及びそれらの活動が要求する資源に対する,事業の中断・阻害のリスクを特定す
る。
b) 特定したリスクの分析及び評価をする。
c) 対応を必要とするリスクを決定する。
注記2 この細分箇条におけるリスクは,事業の中断・阻害に関わるものである。BCMSの有効性に関
わるリスク及び機会は,6.1に規定している。
17
Q 22301:2020 (ISO 22301:2019)
8.3
事業継続戦略及び具体策
8.3.1
一般
事業影響度分析及びリスクアセスメントからのアウトプットに基づいて,組織は,事業の中断・阻害の
発生前,発生時及び発生後の選択肢を考慮するための事業継続戦略を特定し,選択しなければならない。
事業継続戦略は,一つ又は複数の具体策で構成されていなければならない。
8.3.2
戦略及び具体策の特定
戦略及び具体策が次の項目を行う程度に基づき,特定しなければならない。
a) 特定した時間枠の中で,かつ,合意された能力の範囲内で,優先事業活動を継続し,復旧するための
要求事項に合致する。
b) 組織の優先事業活動を保護する。
c) 事業の中断・阻害の起こりやすさを低減する。
d) 事業の中断・阻害の期間を短くする。
e) 事業の中断・阻害による組織の製品及びサービスへの影響を抑制する。
f)
適切な資源の入手可能性に備える。
8.3.3
戦略及び具体策の選択
次に示す戦略及び具体策の程度に基づき,選択をしなければならない。
a) 特定した時間枠及び合意された能力の範囲内で優先事業活動を継続し,復旧するための要求事項を満
たす。
b) 組織が許容する又は許容しない,リスクの量及び種類を考慮する。
c) 関連費用及び便益を考慮する。
8.3.4
資源に関する要求事項
組織は,選択した事業継続の具体策を実施するために,資源に関する要求事項を決定しなければならな
い。考慮の対象となる資源の種類には次の事項を含むが,これらに限定されるものではない。
a) 人
b) 情報及びデータ
c) 建物,職場,その他の施設などの物理的インフラストラクチャー,及び関連するユーティリティ
d) 設備及び消耗品
e) 情報通信技術(ICT)システム
f)
交通手段及び輸送手段
g) 資金
h) パートナー及びサプライヤ
8.3.5
具体策の実施
組織は,必要なときに発動できるよう,選択した事業継続の具体策を実施し,維持しなければならない。
18
Q 22301:2020 (ISO 22301:2019)
8.4
事業継続計画及び手順
8.4.1
一般
組織は,関連する利害関係者への時宜を得た警告及び伝達することが可能であり,事業の中断・阻害の
発生時に組織のマネジメントを行うための計画及び手順を提供する対応体制を導入し,維持しなければな
らない。この計画及び手順は,事業継続の具体策を実行に移す必要が生じたときに,利用されなければな
らない。
注記 事業継続計画を構成する手順には,様々な種類がある。
組織は,選択した戦略及び具体策のアウトプットに基づき,事業継続計画及び手順を特定し,文書化し
なければならない。
手順は,次に示す事項を行わなければならない。
a) 事業の中断・阻害の発生時にとるべき緊急処置について具体的であること
b) 変化する事業の中断・阻害の内外の状態に対応する柔軟性があること
c) 事業の中断・阻害を引き起こす可能性があるインシデントの影響に焦点を当てること
d) 適切な具体策の実施によって影響の最小化に効果的であること
e) 手順の中で,業務に関わる役割及び責任を割り当てること
8.4.2
対応体制
8.4.2.1
組織は,事業の中断・阻害への対応を担当する一つ又は複数のチームを特定した体制を導入し,
維持しなければならない。
8.4.2.2
各チームの役割及び責任,並びにチーム間の関係を明確に示さなければならない。
8.4.2.3
チーム(複数)は,その集合体として,次の事項に備えておかなければならない。
a) 事業の中断・阻害及びその潜在的影響の特徴及び程度を評価する。
b) 正式な対応の発動の正当な根拠を示すものとして,あらかじめ定めた基準に照らし合わせて影響を評
価する。
c) 適切な事業継続対応を発動する。
d) 講じる必要のある取組みを計画する。
e) (人命の安全を最優先として)優先順位を確立する。
f)
事業の中断・阻害の影響及び組織の対応状況を監視する。
g) 事業継続の具体策を発動する。
h) 関連する利害関係者,関係当局及びメディアとのコミュニケーションをとる。
8.4.2.4
各チームには,次の事項がそろ(揃)っていなければならない。
a) 指定された役割を遂行するために必要な責任,権限及び力量を備えた,指名された要員及びその代行
者
b) 対応の発動,運用,調整及びコミュニケーションも含め,取組みを導く,文書化された手順(8.4.4参
照)
19
Q 22301:2020 (ISO 22301:2019)
8.4.3
警告及びコミュニケーション
8.4.3.1
組織は,次の事項に関する手順を文書化し,維持しなければならない。
a) コミュニケーションの内容,実施時期,対象者及び方法を含む,利害関係者に対する内部及び外部コ
ミュニケーションを行う。
注記 組織は,どのように,また,いかなる周辺状況において,従業員及びその緊急連絡先とコミ
ュニケーションをとるのかに関する手順を文書化し,維持することが可能である。
b) 全国又は地域の災害情報提供システム,若しくは同等のシステムを含む,利害関係者からのコミュニ
ケーションを受理し,文書化し,対応する。
c) 事業の中断・阻害の発生時における通信手段が利用できることを確実にする。
d) 緊急事態対応機関との組織化されたコミュニケーションを促進する。
e) コミュニケーション戦略を含む,インシデントの発生後の組織によるメディア対応の詳細を提供する。
f)
事業の中断・阻害,とった処置及び決定事項の詳細を記録する。
8.4.3.2
該当する場合,必ず,次の事項も考慮し,実施しなければならない。
a) 実際に発生した,又は発生が差し迫っている事業の中断・阻害によって影響を受ける可能性がある利
害関係者へ警報を発する。
b) 複数の(緊急事態)対応組織の間の適切な調整及びコミュニケーションが適切であることを確実にす
る。
8.5で規定する組織の演習プログラムの一環として,警告及びコミュニケーションの手順の演習を実施
しなければならない。
8.4.4
事業継続計画
8.4.4.1
組織は,事業継続計画及び手順を文書化し,維持しなければならない。事業継続計画では,チー
ムによる事業の中断・阻害への対応を助け,組織による対応及び復旧を助ける,手引及び情報を提供しな
ければならない。
8.4.4.2
事業継続計画には,全体として,次の事項を含まなければならない。
a) チームが次の事項を行うための処置の詳細
1) あらかじめ設定した時間枠内での優先事業活動の継続又は復旧
2) 事業の中断・阻害の影響及び組織の対応の監視
b) 対応の発動に関してあらかじめ規定した基準及びプロセスの参照
c) 合意した規模で,製品及びサービスを提供することを可能にする手順
d) 次の事項を配慮し,事業の中断・阻害の直接的影響に対処するための詳細事項
1) 個人の福祉
2) 波及する損害又は優先事業活動が実施できなくなることの防止
3) 環境への影響
8.4.4.3
各計画には,次の事項を含めなければならない。
a) 目的,適用範囲,及び達成目標
b) 計画を実施するチームの役割及び責任
20
Q 22301:2020 (ISO 22301:2019)
c) 具体策を実施するための取組み
d) チームの取組みを,発動し(発動基準を含む。),運用し,調整し,伝達するのに必要な支援情報
e) 内部及び外部の相互依存
f)
資源に関する要求事項
g) 報告に関する要求事項
h) 解除のプロセス
各計画は,必要なとき及び場所で,使用可能かつ利用可能な状態になっていなければならない。
8.4.5
復旧
組織は,事業の中断・阻害の発生時及び発生後に,採用されていた暫定的な対策から,事業活動を回復
し,復帰するための文書化したプロセスをもたなければならない。
8.5
演習プログラム
組織は,自らの事業継続戦略及び具体策の有効性が継続されていることを検証するために,演習及び試
験のプログラムを実施し,維持しなければならない。
組織は,次に示す事項を考慮した演習及び試験を実施しなければならない。
a) 組織の事業継続目的と整合している。
b) 明確に定めた狙い及び達成目標をもって,周到に計画された適切なシナリオに基づいている。
c) 事業の中断・阻害に関連して遂行すべき役割をもつ人々のチームワーク,力量,自信,及び知識を育
成する。
d) 演習及びテストを継続することによって,組織の事業継続戦略及び具体策を検証する。
e) 結果,提言及び改善を実施するための処置を含めた,正式な演習実施報告書を作成する。
f)
継続的改善を促進する観点からレビューする。
g) あらかじめ定めた間隔,及び組織内又は組織が活動する状況に重大な変化があった場合に実施する。
組織は,変更及び改善を実施するため,演習及び試験の実施結果に基づいて行動しなければならない。
8.6
事業継続の文書化及び能力の評価
組織は,次の事項を実施しなければならない。
a) 事業影響度分析,リスクアセスメント,戦略,具体策,計画及び手順の適切性,妥当性及び有効性を
評価する。
b) これらの評価は,レビュー,分析,演習,試験,インシデント発生後の報告及びパフォーマンス評価
を通して行う。
c) 関連するパートナー及びサプライヤの事業継続能力の評価を実施する。
d) 適用される法令及び規制の要求事項の遵守,業界のベストプラクティス並びに組織の事業継続方針及
び目的との適合の評価を行う。
e) 時宜を得た方法で,文書及び手順を更新する。
これらの評価は,あらかじめ定めた間隔をおいて,インシデント又は対応の発動の後及び重大な変化が
ある場合,実施しなければならない。
21
Q 22301:2020 (ISO 22301:2019)
9
パフォーマンス評価
9.1
監視,測定,分析及び評価
組織は,次の事項を決定しなければならない。
a) 監視及び測定が必要な対象
b) 該当する場合には必ず,妥当な結果を確実にするための,監視,測定,分析及び評価の方法
c) 監視及び測定の実施時期並びに実施担当者
d) 監視及び測定の結果の,分析及び評価の時期及び実施担当者
組織は,この結果の証拠として,適切な文書化した情報を保持しなければならない。
組織は,BCMSパフォーマンス及びBCMSの有効性を評価しなければならない。
9.2
内部監査
9.2.1
一般
組織は,BCMSが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部
監査を実施しなければならない。
a) 次の事項に適合している。
1) BCMSに関して,組織自体が規定した要求事項
2) この規格の要求事項
b) 有効に実施され,維持されている。
9.2.2
監査プログラム
組織は,次に示す事項を行わなければならない。
a) 頻度,方法,責任,計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び
維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなけれ
ばならない。
b) 各監査について,監査基準及び監査範囲を定める。
c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
d) 監査の結果を関連する管理層に報告することを確実にする。
e) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。
f)
検知した不適合及びその原因を除去するために,必要な是正処置が不当に遅延することなく実施され
ることを確実にする。
g) フォローアップ監査には,実施された処置の検証及び検証結果の報告を含めることを確実にしなけれ
ばならない。
9.3
マネジメントレビュー
9.3.1
一般
トップマネジメントは,組織のBCMSが,引き続き,適切,妥当かつ有効であることを確実にするため
に,あらかじめ定めた間隔で,BCMSをレビューしなければならない。
22
Q 22301:2020 (ISO 22301:2019)
9.3.2
マネジメントレビューへのインプット
マネジメントレビューは,次の事項を考慮しなければならない。
a) 前回までのマネジメントレビューの結果とった処置の状況
b) BCMSに関連する外部及び内部の課題の変化
c) 次に示す傾向を含めた,BCMSのパフォーマンスに関する情報
1) 不適合及び是正処置
2) 監視及び測定の評価の結果
3) 監査結果
d) 利害関係者からのフィードバック
e) 方針及び目的を含む,BCMSに変更を加える必要性
f)
BCMSのパフォーマンス及び有効性を改善するため,組織で利用する手順及び資源
g) 事業影響度分析及びリスクアセスメントの結果から得られる情報
h) 事業継続の文書類及び能力の評価(8.6)から得られるアウトプット
i)
過去のいずれのリスクアセスメントでも適切に対処していなかったリスク又は課題
j)
ニアミス及び事業の中断・阻害から学んだ教訓,及び実施した処置
注記 ニアミスとは,事業の中断・阻害の結果までには至らなかったインシデントを指す。
k) 継続的改善の機会
9.3.3
マネジメントレビューのアウトプット
9.3.3.1
マネジメントレビューからのアウトプットには,継続的改善の機会,並びに効率及び有効性を改
善するために,BCMSのあらゆる変更の必要性に関する決定を含めなければならない。また,次も含まな
ければならない。
a) BCMSの適用範囲の変更
b) 事業影響度評価,リスクアセスメント,事業継続戦略及び具体策,並びに事業継続計画の更新
c) BCMSに影響する可能性がある内部及び外部の課題に対応するための手順及び管理策の修正
d) 管理策の有効性の測定方法
9.3.3.2
組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない。
また,組織は,次の事項を実施しなければならない。
a) マネジメントレビューの結果を該当する利害関係者に伝達する。
b) それらの結果に関する適切な処置をとる。
10
改善
10.1
不適合及び是正処置
10.1.1
組織は,(組織の)BCMSの意図する成果を達成するために,改善の機会を決定し,必要な取組み
を実施しなければならない。
10.1.2
不適合が発生した場合,組織は,次の事項を行わなければならない。
23
Q 22301:2020 (ISO 22301:2019)
a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。
1) その不適合を管理し,修正するための処置をとる。
2) その不適合によって起こった結果に対処する。
b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原
因を除去するための処置をとる必要性を評価する。
1) その不適合をレビューする。
2) その不適合の原因を明確にする。
3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。
c) 必要な処置を実施する。
d) とった全ての是正処置の有効性をレビューする。
e) 必要な場合には,BCMSの変更を行う。
是正処置は,検出された不適合がもつ影響に適切なものでなければならない。
10.1.3
組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。
a) 不適合の性質及びとった処置
b) 是正処置の結果
10.2
継続的改善
組織は,定性的及び定量的な測定に基づき,BCMSの適切性,妥当性及び有効性を継続的に改善しなけ
ればならない。
組織は,組織の事業,又は組織のBCMSに関して,継続的改善の一環として取り組まなければならない
ニーズ又は機会があるかどうかを明確にするために,分析及び評価の結果並びにマネジメントレビューか
らのアウトプットを考慮しなければならない。
注記 組織は,リーダーシップ,計画及びパフォーマンス評価などBCMSのプロセスを使って改善を達
成する可能性がある。
24
Q 22301:2020 (ISO 22301:2019)
参考文献
[1] JIS Q 9001 品質マネジメントシステム−要求事項
注記 対応国際規格:ISO 9001,Quality management systems−Requirements
[2] JIS Q 14001 環境マネジメントシステム−要求事項及び利用の手引
注記 対応国際規格:ISO 14001,Environmental management systems−Requirements with guidance for
use
[3] JIS Q 19011 マネジメントシステム監査のための指針
注記 対応国際規格:ISO 19011,Guidelines for auditing management systems
[4] ISO/IEC TS 17021-6 Conformity assessment−Requirements for bodies providing audit and certification of
management systems−Part 6: Competence requirements for auditing and certification of business continuity
management systems
[5] JIS Q 20000-1 情報技術−サービスマネジメント−第1部:サービスマネジメントシステム要求事項
注記 対応国際規格:ISO/IEC 20000-1,Information technology−Service management−Part 1: Service
management system requirements
[6] ISO 22313,Security and resilience−Business continuity management systems−Guidance on the use of ISO
22301
[7] ISO 22316,Security and resilience−Organizational resilience−Principles and attributes
[8] ISO/TS 22317,Societal security−Business continuity management systems−Guidelines for business impact
analysis (BIA)
[9] ISO/TS 22318,Societal security−Business continuity management systems−Guidelines for supply chain
continuity
[10] ISO/TS 22330,Security and resilience−Business continuity management systems−Guidelines for people
aspects of business continuity
[11] ISO/TS 22331,Security and resilience−Business continuity management systems−Guidelines for business
continuity strategy
[12] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項
注記 対応国際規格:ISO/IEC 27001,Information technology−Security techniques−Information security
management systems−Requirements
[13] ISO/IEC 27031,Information technology−Security techniques−Guidelines for information and communication
technology readiness for business continuity
[14] ISO 28000,Specification for security management systems for the supply chain
[15] JIS Q 31000 リスクマネジメント−指針
注記 対応国際規格:ISO 31000,Risk management−Guidelines
[16] JIS Q 31010 リスクマネジメント−リスクアセスメント技法
注記 対応国際規格:IEC 31010,Risk management−Risk assessment techniques
[17] JIS Q 0073 リスクマネジメント−用語
注記 対応国際規格,ISO Guide 73,Risk management−Vocabulary