Q 22313:2014 (ISO 22313:2012)
(1)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 7
2 引用規格························································································································· 7
3 用語及び定義 ··················································································································· 7
4 組織の状況 ······················································································································ 7
4.1 組織及びその状況の理解 ································································································· 7
4.2 利害関係者のニーズ及び期待の理解··················································································· 8
4.3 BCMSの適用範囲の決定 ································································································ 10
4.4 BCMS ························································································································· 10
5 リーダーシップ ··············································································································· 10
5.1 リーダーシップ及びコミットメント·················································································· 10
5.2 経営者のコミットメント ································································································ 10
5.3 方針 ··························································································································· 11
5.4 組織の役割,責任及び権限 ····························································································· 12
6 計画······························································································································ 12
6.1 リスク及び機会に対処する活動 ······················································································· 12
6.2 事業継続目的及びそれを達成するための計画 ······································································ 13
7 支援······························································································································ 13
7.1 資源 ··························································································································· 13
7.2 力量 ··························································································································· 14
7.3 認識 ··························································································································· 16
7.4 コミュニケーション ······································································································ 17
7.5 文書化した情報 ············································································································ 17
8 運用······························································································································ 19
8.1 運用の計画及び管理 ······································································································ 19
8.2 事業影響度分析及びリスクアセスメント············································································ 22
8.3 事業継続戦略 ··············································································································· 26
8.4 事業継続手順の確立及び実施 ·························································································· 33
8.5 演習及び試験の実施 ······································································································ 43
9 パフォーマンス評価 ········································································································· 45
9.1 監視,測定,分析及び評価 ····························································································· 45
9.2 内部監査 ····················································································································· 47
9.3 マネジメントレビュー ··································································································· 48
10 改善 ···························································································································· 49
10.1 不適合及び是正処置 ····································································································· 49
Q 22313:2014 (ISO 22313:2012) 目次
(2)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
ページ
10.2 継続的改善 ················································································································· 49
参考文献 ···························································································································· 51
Q 22313:2014 (ISO 22313:2012)
(3)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
まえがき
この規格は,工業標準化法第12条第1項の規定に基づき,一般財団法人日本規格協会(JSA)から,工
業標準原案を具して日本工業規格を制定すべきとの申出があり,日本工業標準調査会の審議を経て,経済
産業大臣が制定した日本工業規格である。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
日本工業規格 JIS
Q 22313:2014
(ISO 22313:2012)
社会セキュリティ−
事業継続マネジメントシステム−手引
Societal security-Business continuity management systems-Guidance
序文
この規格は,2012年に第1版として発行されたISO 22313を基に,技術的内容及び構成を変更すること
なく作成した日本工業規格である。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
この規格は,JIS Q 22301に規定する特定の要求事項に関する実施の手引を示し,さらに,その要求事項
と関連する推奨事項及び許容事項を提示するものである。事業継続のあらゆる側面に関する一般的な手引
を提示することは,この規格の意図するところではない。
この規格の箇条及び題名は,JIS Q 22301と同じであるが,その箇条の内容については,事業継続マネジ
メントシステム(以下,BCMSという。)に関する要求事項とそれに関連する用語及び定義をここで改め
て記載することはしていない。したがって,BCMSに関する要求事項を知りたい場合は,JIS Q 22301及
びJIS Q 22300を参照しなければならない。
要点の更なる明確化を図り,説明するため,この規格では,幾つかの図を用いている。これらの図は,
全て例示であり,本文の規定を優先する。
BCMSでは,次の事項の重要性を強調している。
− 組織のニーズ並びに事業継続マネジメントの方針及び目的を確立する必要性の理解
− 事業の中断・阻害を引き起こすインシデントへの組織の総合的な対応能力をい(活)かすための管理
策及び手段の導入及び運用
− BCMSのパフォーマンス及び有効性の監視及びレビュー
− 客観的な測定に基づく継続的改善
BCMSは,他の全てのマネジメントシステム同様,次の主要な構成要素からなる。
a) 方針
b) 明確に定められた責任をもつ人員
c) 次の事項に関するマネジメントプロセス
1) 方針
2) 計画
3) 導入及び運用
4) パフォーマンスのアセスメント
5) マネジメントレビュー
6) 改善
2
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
d) 監査に必要な文書類
e) 組織にとって適切な事業継続マネジメント(以下,BCMという。)プロセス
一般に,事業継続は組織固有のものであるが,その実施は,更に広く地域社会及びその他の第三者にと
って広範囲にわたる意味合いをもち得るものである。組織には,自らが依存する外部組織がある可能性が
あり,また,この自らの組織に依存している他の組織の可能性もある。したがって,効果的な事業継続は,
社会のレジリエンスの向上に寄与する。
注記 レジリエンスは,インシデントに対する組織のしなやかな回復力,又は弾力性のある回復力を
示す。
PDCAサイクル
この規格は,組織のBCMSの計画,確立,導入,運用,監視,レビュー,維持及び有効性の継続的改善
に“PDCA”(Plan-Do-Check-Act)サイクルを適用している。図1は,BCMSにおいて,利害関係者の要求
事項をBCMへのインプットとしてどのように取り入れるか,そして,必要な処置及びプロセスを通して,
それらの要求事項を満たす事業継続の結果(すなわち,運用管理された事業継続)をどのように生み出す
かを示したものである。
図1−BCMSプロセスに適用されるPDCAモデル
表1−PDCAモデルの説明
計画及び確立
(P)
組織の全体的な方針及び目的に沿った結果を出すために,事業継続の改善に適した事業継続
の方針,目的,目標,管理策,プロセス及び手順を確立する。
導入及び運用
(D)
事業継続の方針,管理策,プロセス及び手順を導入し,運用する。
監視及びレビュー
(C)
事業継続方針及び目的に照らしてパフォーマンスを監視及びレビューし,その結果を経営者
に報告してレビューに付し,是正及び改善の処置を決定し,許可する。
利害関係者
事業継続
の要求事項
BCMSの継続的改善
計画及び
確立
(Plan)
維持及び改善
(Act)
監視及び
レビュー
(Check)
導入及び運用
(Do)
利害関係者
運用管理
された事業継続
3
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
表1−PDCAモデルの説明(続き)
維持及び改善
(A)
マネジメントレビューの結果に基づいた是正処置をとり,BCMSの適用範囲,事業継続方針
及び目的を再評価することによって,BCMSを維持し,改善する。
この規格におけるPDCAの構成要素
表1及び図1の内容とこの規格の各項目には,直接的な関係がある(表2参照)。
表2−PDCAモデルと箇条4〜箇条10との関係
PDCAの構成要素
PDCAの構成要素に対応している項目
計画及び確立
(Plan)
箇条4では,BCMSが関連する内外のあらゆる要因を考慮しながら,その要求事項を確実に
満たすために組織がやらなければならないことを規定している。この場合,次の事項を含む,
− 利害関係者のニーズ及び期待
− 法令及び規制による義務
− 必要とされるBCMSの適用範囲
箇条5では,コミットメントの提示,方針の設定,役割,責任及び権限の確立における,経
営者の主要な役割を規定している。
箇条6では,BCMS全体の戦略的目的及び基本理念を確立するために必要な処置を規定して
いる。これによって,事業影響度分析及びリスクアセスメント(8.2),並びに事業継続戦略
(8.3)を立案及び実施する詳細が決定される。
箇条7では,BCMSを支援するために必要である主要な要素,すなわち,資源,力量,認識,
コミュニケーション及び文書化された情報を規定している。
導入及び運用
(Do)
箇条8では,事業継続を実現するために必要なBCMの要素を規定している。
監視及びレビュー
(Check)
箇条9では,BCMSのパフォーマンスの測定及び評価を通したBCMSの改善のための基礎を
規定している。
維持及び改善
(Act)
箇条10では,パフォーマンス評価を通して特定された不適合に対処するために必要な是正処
置について規定している。
事業継続
事業継続とは,中断・阻害を引き起こすインシデントの発生後に,あらかじめ定められた許容レベルで
製品又はサービスの提供を続ける組織の能力を意味する。BCMとは,事業継続を実現するプロセスであり,
組織の目的を達成することを妨げるおそれのある中断・阻害を引き起こすインシデントに対処するために
備えることである。
BCMをマネジメントシステムの枠組み及び領域の中に位置付けることで,管理され,評価され及び継続
的に改善されたBCMを可能にするBCMSが構築される。
この規格で事業とは,組織がその目的,到達目標,又は使命を追求する中で行う業務及びサービスを包
括する用語として使われている。そのため,この規格は,商工業,公共及び非営利の分野で活動する大中
小いずれの規模の組織にも同等に適用できる。
あらゆるインシデントは,その規模の大小を問わず,自然,偶発又は故意のいずれであっても,組織の
業務,並びに製品及びサービスを提供する組織の能力を著しく混乱させる可能性をもっている。しかし,
中断・阻害を引き起こすインシデントの発生を待ってからではなく,発生する前から事業継続に取り組ん
でいると,組織は,許容できないレベルの影響が生じる前に業務を再開することができる。
BCMは,次の事項を含む。
a) 組織の主要な製品及びサービス,並びにそれらを提供する事業活動が明確である。
b) 事業活動の再開の優先順位及び必要な資源が分かる。
4
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
c) 事業活動に対する脅威についてその依存関係も含めて明確に理解できる。また再開しないことによっ
て生じる影響も分かる。
d) 中断・阻害を引き起こすインシデントの発生後に事業活動を再開するために,試行され信頼された取
り決めを実施している。
e) これらの事業活動の再開に向けた取り決めが,あらゆる状況において効果的であるよう,必ず定常的
なレビュー及び更新を実施している。
事業継続は,中断・阻害を引き起こす突発的なインシデント(例えば,爆発)又は段階的なインシデン
ト(例えば,インフルエンザの世界的流行)のいずれの対処にも効果的である。
事業活動は多種多様なインシデントによって中断・阻害され,そのインシデントの多くは予想又は分析
が困難である。事業継続は,中断・阻害を引き起こす原因ではなく,その影響に注目することによって,
組織の存続に関わる事業活動を明確にし,組織が義務を果たし続けるためには何が必要かを決めることが
できる。事業継続を通して,組織は,中断・阻害を引き起こすインシデントが発生する前に,組織の資源
(例えば,人員,施設,技術及び情報),サプライチェーン,利害関係者及び評判を守るため何をする必要
があるか認識することができる。その認識があれば,組織は,中断・阻害の発生した時に必要となりそう
な対応について現実的な見方をすることができ,それによって,事業の中断・阻害が引き起こす結果をコ
ントロールすることができるという自信を身に付け,許容できない影響を回避することができる。
適切な事業継続を実施している組織は,ともするとリスクが高すぎると判断されがちな機会を有効に利
用することもできる。
次に示す図(図2及び図3)は,発生した事態の及ぼす影響を軽減するうえで事業継続がいかに効果的
かを概念的に図示したものである。いずれの図においても,各段階の表示相互の間隔が何らかの時間的長
さを示しているわけではない。
5
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
効果的事業継続を通じた影響の軽減−突発的な事業の中断・阻害
図2−突発的な中断・阻害に対する事業継続の有効性の説明
5
Q
2
2
3
1
3
:
2
0
1
4
(I
S
O
2
2
3
1
3
:
2
0
1
2
)
6
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
効果的事業継続を通じた影響の軽減−段階的な事業の中断・阻害
図3−段階的な中断・阻害(例えば,世界的な流行病)に対する事業継続の有効性の説明
6
Q
2
2
3
1
3
:
2
0
1
4
(I
S
O
2
2
3
1
3
:
2
0
1
2
)
7
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
1
適用範囲
この規格は,組織が中断・阻害を引き起こすインシデントの発生時に組織が備え,対応し,復旧するこ
とができる文書化したマネジメントシステムを,計画し,確立し,導入し,運用し,監視し,レビューし,
維持し,継続的に改善するための好事例に基づく手引を示す。
この規格は,BCMSの構造の均一化を示すことを意図するものではなく,組織がそのニーズの目的にか
ない,利害関係者の要求事項を満たすBCMSを設計することを意図するものである。これらのニーズは,
法令,規制,組織及び産業界からの要求事項,製品及びサービス,プロセス,組織の活動の環境,組織の
規模及び構造,並びに組織の利害関係者の要求事項から構成される。
この規格は,一般的なもので,次の事項を行おうとする,商工業,公共及び非営利の分野で活動する大
中小の組織を含む,あらゆる規模及び種類の組織に適用できる。
a) BCMSを確立し,実施し,維持し,改善する。
b) 組織の事業継続方針とこの規格との適合を確実にする。
c) この規格に準拠していることを自己決定し,自己宣言する。
この規格は,組織が事業継続に関する自らのニーズ,並びに顧客,法令及び規制のニーズを満たす能力
を評価するために用いることはできない。このような評価を希望する場合,組織は,JIS Q 22301の要求事
項を使い,それに適合していることを他者に示すか,又は認定を受けた第三者認証機関によるBCMS認証
を取得することによって可能となる。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO 22313:2012,Societal security−Business continuity management systems−Guidance(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。
2
引用規格
次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格は,その最新版(追補を含む。)を適用する。
JIS Q 22300 社会セキュリティ−用語
注記 対応国際規格:ISO 22300,Societal security−Terminology(IDT)
JIS Q 22301 社会セキュリティ−事業継続マネジメントシステム−要求事項
注記 対応国際規格:ISO 22301,Societal security−Business continuity management systems−
Requirements(IDT)
JIS Q 31000 リスクマネジメント−原則及び指針
3
用語及び定義
この規格で用いる主な用語及び定義は,JIS Q 22300及びJIS Q 22301による。
4
組織の状況
4.1
組織及びその状況の理解
ここでは,BCMSの構築及び管理に関連する組織の状況を理解することについて規定する。BCMの構築
及び管理は,8.1に規定する。組織は,その目的及び業務に関連する内外の要因を評価し,理解することが
8
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
望ましい。この情報は,組織のBCMSを確立し,実施し,維持し,改善し,優先順位付けする際に考慮す
ることが望ましい。
組織の外部状況の評価において,次の要因が関連する場合には,それを含めることが望ましい。
− 国際,国家,地方又は地域のいずれかを問わず,政治的,法的及び規制の環境
− 国際,国家,地方又は地域のいずれかを問わず,社会的,文化的,財政的,技術的,経済的,自然的
及び競合的な環境
− サプライチェーンにおけるコミットメント及び関係
− 他の関連する情報マネジメントシステム,より一般的には,ナレッジマネジメントから得られるあら
ゆる情報を考慮したリスクに関する内部調査の検討
− 組織の目標並びに業務に影響を与える主要な促進力及び傾向
− 組織外の利害関係者との関係,並びにこれらの知見及び価値観
組織の内部状況の評価において,次の要因が関連する場合には,それを含めることが望ましい。
− 製品及びサービス,事業活動,資源,サプライチェーン,並びに利害関係者との関係
− 資源・知識との観点から見た(組織)の能力(例えば,資本,時間,人員,プロセス,システム及び
技術)
− 情報システム,情報の流れ及び(公式及び非公式な)意思決定プロセス
− 組織内の利害関係者
− 方針及び目的,並びにそれらを達成するために実施する戦略
− 将来の機会及び事業の優先順位
− 知見,価値観及び文化
− 組織が適用した規格及び参考モデル
− (組織)構造(例えば,統治,役割及びアカウンタビリティ)
4.2
利害関係者のニーズ及び期待の理解
4.2.1
一般
BCMSを確立するに当たって,組織は,利害関係者のニーズ及び期待を確実に考慮することが望ましい。
組織は,BCMSに関連する利害関係者を全て特定し,そのニーズ及び期待に基づいて,利害関係者の要
求事項を決定することが望ましい。明示された義務的要求事項だけでなく,暗示された要求事項も全て洗
い出すことが重要である。
注記 組織は,メディア,近隣の一般市民,競合組織など,組織に関心をもつもの全てを意識してい
る必要がある。
BCMSを計画し,実施する際,利害関係者との関係において適切な対応を特定することは重要であるが,
利害関係者の種類を差異化することも重要である。例えば,中断・阻害を引き起こすインシデントの発生
後,全ての利害関係者に(発生を)伝達することが適切な場合もあるが,BCMを構築し,管理する際,全
ての利害関係者に伝達することは適切ではない場合もある(8.1.1)。
9
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
図4−官民の分野で考慮することが望ましい利害関係者の例
4.2.2
法令及び規制の要求事項
全てのマネジメントシステムは,組織が活動する法的及び規制上の環境の枠組みの中で運用することが
望ましい。したがって,組織は,関連し適用される法令及び規制の要求事項の全て並びに利害関係者のニ
ーズを特定しBCMSの中で対応することが望ましい。
これらの要求事項に関する情報は,文書化し,最新の状態に維持することが望ましい。新規又は改正し
た法令,規制及びその他の要求事項は,その影響を受ける従業員及びその他の利害関係者に周知すること
が望ましい。
BCMSを確立,実施及び維持する際,組織は,適用される法的要求事項,組織が従うその他の要求事項
及び利害関係者のニーズを考慮し,その結果を文書化することが望ましい。
組織は,法的義務及び関連する利害関係者の要求事項を支持する形で,BCMSが機能することを確実に
することが望ましい。
組織は,操業場所における現行・審議中の法的要求事項及び規制要求事項をレビューすることが望まし
い。これには,次の事項が挙げられる。
a) インシデント対応 緊急事態管理,並びに安全,衛生及び福祉の法令を含む。
b) 継続 プログラムの適用範囲,又は対応の程度若しくは対応の速度を規定することもある。
c) リスク リスクマネジメントプログラムの適用範囲又は方法を定める要求事項
d) ハザード 組織の施設内に保管している危険物質に関連する運用上の要求事項
組織
インシデント対応要員
事業継続を構築し,管理する人々
経営者
利害関係者
トップマネジメント
BCMSの方針及び目的を確立する人々
人々
事業継続手順を維持する人々
事業継続手順の作成責任者
発動権限をもつ人々
適切な広報担当者
対応チーム
その他のスタッフ
請負業者
競合他社
メディア
解説者
スタッフの扶養家族
輸送機関
救急業務機関
圧力団体
近隣社会
業界団体
その他の対応機関
市民
所有者
政府
規制当局
復旧サービス提供者
保険会社
顧客
販売業者
株主
投資家
10
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
注記 複数の場所で活動している組織は,それぞれの司法行政区の要求事項を満たさなければならな
いことがしばしばある。
4.3
BCMSの適用範囲の決定
4.3.1
一般
組織は,BCMSを適用範囲を定め,定めた適用範囲を利害関係者へ適切に伝達することを確実にするこ
とが望ましい。BCMSの境界及び適用可能性は明確で,その適用範囲には4.1及び4.2で特定した課題を
考慮に入れることが重要である。
この適用範囲は,BCMSを適用する製品及びサービス,場所,業務,プロセス及び事業活動を定める。
したがって,適用範囲としては明確に特定していなくても,あらゆる依存関係が適用範囲の中に含まれる
ことになる。例えば,“従業員の報酬”が適用範囲の中に規定されていれば,当初の段階から,資金の入手
可能性,経営者による承認,金融機関への支払いの指示もその適用範囲の中に含まれてくる。
組織は,BCMSの適用範囲及びBCMSを取り巻く状況を明確に文書化することが望ましい。
4.3.2
BCMSの適用範囲の決定方法
組織は,その規模,性質及び複雑さに適した方法並びに観点で,BCMSの適用範囲を規定し,文書化す
ることが望ましい。
適用範囲は,次に示す事項を満たしていることが望ましい。
a) BCMSが適用される組織上の範囲を特定する。
b) 組織の使命,到達点,法的責任及び組織内外の義務を考慮し,組織のBCMS要求事項を確立する。
c) 組織の製品及びサービスを,関連するあらゆる事業活動,資源及びサプライチェーンが明確にされる
方法で特定する。
d) 利害関係者のニーズ及び利益を考慮に入れる。
適用範囲は,次に示す事項を含めてもよい。
− BCMSで対処する予定のインシデントの規模の表示及び組織のリスク選好
− BCMSが組織の全体的なリスクマネジメント戦略(存在する場合)にどのように当てはまるかの特定
組織の一部がBCMSの適用範囲から除外されている場合,組織は,その除外について文書化し,説明す
ることが望ましい。適用範囲を決定することの目的は,関連するあらゆる事業活動,場所及びサプライヤ
(図6)を網羅することを確実にすることである。
4.4
BCMS
ここでは,BCMSに関する要求事項を規定したJIS Q 22301に対応させて箇条を起こしたため,これに
関する手引の記述はない。
5
リーダーシップ
5.1
リーダーシップ及びコミットメント
組織の全ての階層において,関係する管理層は,事業継続方針及び目的の実施において,コミットメン
ト及びリーダーシップを実証することが望ましい。実証は,動機付け,参画及び権限付与によって実現し
てもよい。
5.2
経営者のコミットメント
トップマネジメントは,BCMSに対する自らのコミットメントを実証することが望ましい。トップマネ
11
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
ジメントは,BCMSの構築及び実施,並びにその有効性の継続的改善に対する自らのコミットメントの証
拠を,次に示す事項によって提供することが望ましい。
a) 適用される法的要求事項及び組織が従うその他の要求事項を順守する(4.2.2)。
b) BCMSプロセスを組織の既定のメンテナンス及びレビューの手順に統合する。
c) 組織の目的,義務,戦略的方向性に沿って,事業継続方針及び目的を確立する(5.3)。
d) 適切な権限及び力量を備えた一名以上の人員を任命しBCMSを担当させ,BCMSに対する責任とその
効果的運用に対するアカウンタビリティをもたせる(5.4)。
e) BCMSの役割,責任及び力量を確立することを確実にする(5.4)。
f)
適切なレベルの資金提供を含む,十分な資源が利用可能な状態であることを確実にする(7.1)。
g) 事業継続方針及び目的を遂行することの重要性を組織に伝達する(7.4)。
h) 演習及び試験に積極的に参画する(8.5)。
i)
BCMSの内部監査を行うことを確実にする(9.2)。
j)
BCMSの効果的なマネジメントレビューを行う(9.3)。
k) BCMSの改善を指示し,支援する(箇条10)。
さらに,経営者のコミットメントは,次によって実証してもよい。
− 運営委員会を通じて運用に関与する。
− 事業継続を経営者会議の定例議題に含める。
5.3
方針
トップマネジメントは,組織の目的及び義務の観点から,事業継続方針を定め,次に示す事項を確実に
することが望ましい。
− 組織の目的に照らして適切である(組織の規模,性質及び複雑さを鑑みて,その文化,依存関係及び
運用環境を反映させるため)。
− 目標設定のための枠組みを提供する。
− 法令及び規制による義務,並びにBCMSの継続的改善を含む,適用する要求事項に関連した明確なコ
ミットメントを盛り込む。
− 組織内に伝達し,理解させる。
− 他の関連する方針を補完する。
− 経営者の承認を得たうえで,利害関係者が入手できるようにする。
方針を承認し,方針に関する文書化された情報を保持し,定期的に(例えば,年に一度),かつ内外要因
に顕著な変化が発生したときに(例えば,トップマネジメントの交替又は新しい法令の導入),方針をレビ
ューすることについて,適切な規程を設けることが望ましい。このような仕組みの適切性は,組織の規模,
複雑さ,性質及び方針が影響を及ぼす範囲によって異なる。
さらに,方針は次の事項を満たすことが望ましい。
− 組織の事業継続の限界及び除外も含めた適用範囲及び境界について,方向性を与える。
− 組織のBCMS担当者(複数可)を含む,必要なあらゆる権限及び委任事項を特定する。
− 対処しなければならないインシデントの種類及び規模に関する基準を確立する。
− BCMSが考慮する若しくは順守することが望ましい規格,指針,規制,又は方針の参照に言及する。
12
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
事業継続方針には,次の事項を盛り込んでもよい。
− 重要語
− 資金提供のコミットメント
− 他の関連する方針の参照
− 事業継続を実施するための要求事項
− 事業継続の演習を実施し,維持するためのコミットメント
5.4
組織の役割,責任及び権限
トップマネジメントは,BCMS内で責任及び権限を割当て,これらの伝達を確実にすることが望ましい。
トップマネジメントのメンバーの一人が,BCMSについて総括的責任及びアカウンタビリティをもつこ
とが望ましい。
組織のトップマネジメントは,一人又は複数の特定の管理責任者を任命することが望ましく,その管理
責任者は,他の責任とは関わりなく,次に示す事項について,定められた役割,責任及び権限をもつこと
が望ましい。
− 事業継続方針に従って,BCMを確立し,実施し,維持することを確実にする。
− BCMのパフォーマンスを,トップマネジメントによるレビューのため及び改善の基礎とするために,
トップマネジメントに報告する。
− 組織全体にわたって事業継続への認識を高める。
− インシデント対応に関して構築された手順の有効性を確実にする。ただし,インシデント発生中のそ
の実施においては,必ずしもその限りではない。
管理責任者は,次の場合でもよい。
− “事業継続管理責任者”という場合もある。
− 組織の中の他の責任と兼任する場合もある。
− 組織の規模,基準及び複雑さによって,組織の複数の部門に配置する場合もある。
BCMSの実施を支援するために,組織の各部署又は各場所に管理責任者の代理者を特定してもよい。彼
らの役割,アカウンタビリティ,責任及び権限は,組織の査定,褒賞及び評価方針に含むことによって強
化するため職務分掌に盛り込むことが望ましい。
トップマネジメントは,例えば,運営委員会のような,BCMの実施及び継続監視を監督する別の組織を
任命してもよい。
BCMに関わるあらゆる役割,責任及び権限を,定義し,文書化して,監査の対象とすることが望ましい。
6
計画
6.1
リスク及び機会に対処する活動
組織は,4.1で特定されたあらゆる課題及び4.2の要求事項に対して,どのように対処していくのかを定
めることが望ましい。
次に示す事項について取組むための計画の必要性の評価を含むことが望ましい。
− 意図しない結果を予防する。
− BCMSを改善するためのあらゆる機会を活用する。
13
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
必要な場合,次に示す事項も含めることが望ましい。
− この取組みをBCMSプロセスに統合して,実施する(8.1)。
− この取組みの有効性を評価するため,文書化した情報を利用可能な状態になることを確実にする(7.5)。
6.2
事業継続目的及びそれを達成するための計画
BCMを構築し,管理する(箇条8に規定しているように)ための計画には,責任の特定,及び任務完遂
のための適切かつ現実的な到達点の規定を策定し含めることが望ましい。この計画は,事業継続目的に基
づいたものであり,既に設定した組織内の関連する部署及び階層に伝達し,さらに計画の進捗を監視し,
文書化することが望ましい。
この計画は,レビューすることが望ましく,必要に応じてBCMSの進化に伴い定期的に更新する場合も
ある。
次に示す事項は,事業継続目的の例である。一定の環境においては,JIS Q 22301で規定する要求事項を
満たす場合もある。
− JIS Q 22313に整合したBCMSをXX年XX月XX日までに構築する。
− JIS Q 22301の認証をXX年XX月XX日までに取得する。
− XX年XX月XX日までに,主要顧客に対して我々が負っている義務を満たした事業継続を実施する。
− XX年XX月XX日までに,主要な製品及びサービスを保護するBCMを実施する。
7
支援
7.1
資源
経営者のコミットメント
7.1.1
一般
組織は,次に示す事項のため,BCMSに必要な資源を定め,提供することが望ましい。
a) 組織の事業継続方針及び目的を達成する。
b) 組織の変化する要求事項を満たす。
c) BCMSに関する事項につき,組織の内外において,効果的なコミュニケーションを可能にする。
d) BCMSの継続運用及び継続的改善に備える。
これらの資源は,時宜を得て効率的に提供することが望ましい。
7.1.2
BCMS資源
BCMSに必要な資源を特定するに当たって,組織は,次に示す事項について適切な準備をしておくこと
が望ましい。
a) 次に示す事項を含む,人的資源及び人員に関連する資源
1) BCMSの役割及び責任を遂行するために必要な時間
2) 教育訓練,教育,認識及び演習
3) BCMS要員の管理
b) 適切な作業場所及びインフラストラクチャを含む施設
c) 効果的でかつ効率的な事業継続プログラム管理を支援するアプリケーションを含む情報通信技術(以
下,ICTという。)
d) あらゆる形式の文書化した情報の管理及び管理策
e) 利害関係者とのコミュニケーション(図4参照)
14
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
f)
財務及び資金提供
資源及び資源の配分は,その妥当性を確保するために,定期的にレビューすることが望ましい。このレ
ビューには,トップマネジメントを関与させることが適切な場合もある。
7.1.3
インシデント対応要員
組織は,インシデントをコントロールするため,必要な責任,権限及び力量を備えた,インシデント対
応要員を指名することが望ましい。
インシデント対応要員は,組織に著しい影響を与えるか,又はその可能性がある,あらゆる中断・阻害
を引き起こすインシデントの管理を担当するグループを編成することが望ましい。
要員は,インシデント対応の様々な側面に対処する各自の実証された力量に従って,例えば次に示すよ
うな,複数のチームに割り当ててもよい。
− インシデントの管理・戦略的管理(8.4.4.3.1)
− コミュニケーション(8.4.4.3.2)
− 安全及び福祉(8.4.4.3.3)
− 救助及びセキュリティ(8.4.4.3.4)
− 事業活動の再開(8.4.4.3.5)
− ICTの復旧(8.4.4.3.6)
このようなグループに属する全てのインシデント対応要員は,インシデントの事前,発生中及び事後に
おける,明確に定めた責任及び権限をもっていることが望ましい。
7.2
力量
組織は,その管理下でBCMSの作業を実施する人員の力量を管理するため,適切かつ効果的なシステム
を確立することが望ましい。
経営者は,BCMSのあらゆる役割及び責任に求められる力量,並びにそれらを遂行するために必要な認
識,知識,理解,技能及び経験を決めることが望ましい。組織の中で役割を割り当てられた人員は,全て
求められた力量を実証することが望ましく,また,教育訓練,教育,育成及びその他の必要な支援を提供
することが望ましい。これは,次に示す事項を含んだ,力量育成プログラムと呼んでもよい。
− 遂行する役割に関わる力量のアセスメント
− 力量を獲得するために必要な教育訓練,教育,育成及びその他の必要な支援を特定した要員育成プロ
グラムの創設
− 適切な方法及び教材を含む,教育訓練及び指導の提供
− 知識の共有
− 職務の共有
− 力量を備えた人員の雇用又は契約採用
− 対象となるグループの教育訓練
− 教育訓練の文書化及び監視
− BCMS教育訓練要求事項への適合を検証するため,定められた教育訓練のニーズ及び要求事項に照ら
して受講した教育訓練の評価
− 必要に応じて,育成プログラムの改善
15
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
組織は,参加者全員の事業継続教育訓練に関する要求事項を特定及び提供し,有効性を評価するための
プロセスを備えることが望ましい。それぞれの役割にとって適切と言える教育訓練の種類を次に示す。
a) BCMSを構築し,管理する。
1) BCMの構築及び管理
2) 事業影響度分析の実施
3) リスクアセスメント
4) コミュニケーション技能
5) 事業継続文書類の検討及び作成
6) 演習プログラムの実施
b) インシデントに対応し事業を復旧する
1) インシデントのアセスメント
2) 従業員の安否確認を含む,避難及び所定の救護施設の管理
3) 代替拠点の取決め
4) メディアからの問合せの対応
演習への積極的な参加を含めた実践的な教育研修によって,組織全体にわたってインシデント対応の技
能及び力量を育成することが望ましい。
対応及び復旧チームは,初期対応要員及びその他の利害関係者とのやり取りを含めた,その責任及び職
責について教育及び教育訓練を受けることが望ましい。チームは定期的に(少なくとも年に一度)教育訓
練を受けることが望ましく,新規に加入した者は,インシデント対応の体制に加わるに当たって,教育研
修を受けることが望ましい。このようなチームは,また,危機に発展する可能性のあるインシデントの予
防に関する教育訓練も受講することが望ましい。
事業環境及び業務の変化は,事業継続活動を計画,設計,実施するアプローチ及び方法に影響を与える。
組織は,例えば,次の事項を含む産業界のBCM活動に積極的に参加することなどによって,BCMの傾向
に関する認識を実証してもよい。
− 産業界の業界団体の会員
− 会議の運営委員会の委員
− 会議及びセミナーにおける講演
− 地元又は世界規模のBCM会議への参加
積極的な参加の実証には,次に示す一つ又は複数の方法を使ってもよい。
− 会議及びセミナーの運営委員会の委員
− 会議及びセミナーでの論文発表
力量は,次のいずれによって強化してもよい。
− BCMSの達成実績を組織の褒賞及び評価の仕組みに統合する。
− BCMSの達成実績を組織のパフォーマンス及び評価プロセスに統合する。
− BCMSにおける役割,アカウンタビリティ,責任及び権限を,組織の職務分掌及び必要な技能として
統合する。
− 予行演習,演習及び試験に業務上の利用者及びトップマネジメントが積極的に参加する。
16
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
組織は,事業の中断・阻害を引き起こすインシデントによって影響を受ける可能性のある現在雇用中の
従業員全員を対象として,教育訓練及び認識向上プログラムを確立することが望ましい。また,組織に代
わって仕事をしている請負業者に,組織の管理下で仕事をしている人員が,BCMS及びインシデント対応
で果たす役割に関わる必須の力量を備えていることを実証するよう要求することが望ましい。
7.3
認識
組織の管理下で仕事をする人員は,BCMSに関する適切な認識を備えていることが望ましい。
そのような人員には,従業員,請負業者又はサプライヤが挙げられる。このような人員は,事業継続方
針及び次に示す事項について認識していることが望ましい。
− インシデントの予防,検知,軽減,自己保護,避難,対応,事業継続及び復旧に関連する,各自の役
割及び責任
− 事業継続の方針及び手順に適合することの重要性
− 組織の業務における変化がもつ意味合い
− BCMパフォーマンス改善による利益を含む,BCMSの有効性に対する各自の寄与
− BCMSの要求事項への適合を達成するうえでの,各自の役割及び責任
組織は,その内部に,次に示すような文化を築き,広めかつ根付かせることが望ましい。
− 組織の核となる価値観及び経営の一部となる文化
− 利害関係者に,事業継続方針及び関連する手順における自らの役割を認識させる文化
積極的な事業継続文化を備えた組織は,次の事項を実施する。
− 事業継続をより効果的に構築していく。
− 事業の中断・阻害を引き起こすインシデントに対し,組織に対応能力があるという信頼感を利害関係
者に植え付けていく。
− あらゆる階層での意思決定において,事業継続のもつ意味合いを確実に考慮することによって,次第
に組織のレジリエンスが高まっていく。
− 事業の中断・阻害の起こりやすさ及び影響を最小限にしていく。
事業継続文化の構築を支援している事項は,次による。
− 組織内の全要員の関与
− 組織全体の各所に配置されたリーダーシップ
− 責任の割当て
− パフォーマンス指標に基づいた測定
− 事業継続の通常の管理プロセスへの統合
− 認識の向上
− 技能教育訓練
− 事業継続計画の演習
認識向上プログラムには,次に示す事項を含めてもよい。
− BCMの構築及び管理に関する組織全体にわたる従業員との協議プロセス
− 組織のニュースレター,概要説明,紹介プログラム又は刊行物(新入社員の導入教育を含む)におい
17
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
て事業継続について議論する。
− 関連するウェブページに事業継続を盛り込む。
− 従業員及び経営者チームの会議の話題としてBCMを取り上げる。
− インシデント発生後,事後報告書を選択的に発表する。
− トップマネジメント向けの概要説明
− 指定された代替場所(例えば,復旧サイト)への訪問
− 組織の事業継続に関する取決めについて,主要なサプライヤ及び販売業者に説明する。
7.4
コミュニケーション
BCMSを構築し,管理するに当たって,組織は,利害関係者との情報交換のため,効果的なコミュニケ
ーション及び協議の手順をそろえることが望ましい。
この手順には,次に示す事項を全て含むことが望ましい。
a) 組織内の従業員を含む利害関係者間の内部コミュニケーション
b) 顧客,サプライヤ,地域社会及びメディアを含むその他の利害関係者との外部コミュニケーション
c) あらゆる利害関係者からのコミュニケーションを受理し,文書化し,対応する。
d) 必要な場合,国家又は地域の警報注意報システム又はそれと同等のものを計画策定及び運用に適応し
及び統合する。
e) 事業の中断・阻害を引き起こすインシデント発生時にコミュニケーション手段が利用可能であること
を確実にする。
f)
外部の当局とコミュニケーションをとる組織の能力を確保し,必要に応じて,他の組織及び要員の間
でコミュニケーションをとることを確実にする。
g) 通常時のコミュニケーションが中断・阻害された際に利用することを意図したコミュニケーション機
能を運用し,試験する。
組織は,その事業継続手順の関連部分を自らの経営者とともにレビューしてもらうために,消防,警察,
保健所,外部の納入業者など,対応に関与する可能性のある外部のあらゆる資源を招へいしてもよい。
組織は,サプライヤ及び顧客向けのニュースレター及び説明に,組織のBCMS及び事業継続の取決めに
関する内容を含めてもよい。
組織は,その認識向上プログラム(7.3)の一部として,またインシデント発生後(8.4)に,効果的な外
部コミュニケーションを実施することが望ましい。
7.5
文書化した情報
7.5.1
一般
文書化した情報は,要求事項への適合及びマネジメントシステムの効果的な運用の証拠を提供するもの
である。
“手順”という用語は,ある事業活動又はあるプロセスを実行するための規定された方法を意味する。
“文書化した手順”とは,何らかの媒体上にこの手順を確立し,維持することが望ましいことを意味する。
複数の文書化した手順に関する要求事項を,一つの文書に記述してもよい。また,一つの文書化した手
順に関する要求事項について,複数の文書に記述する場合もある。
この規格で要求する文書化した情報には,次に示す事項が含まれる。
− 組織の状況(4.1)
− 法令,規制,その他の要求事項,及び順守の証拠(4.2.2)
18
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− BCMSの適用範囲及びあらゆる除外(4.3.2)
− 事業継続方針(5.3)
− 事業継続目的(6.2)
− 力量(7.2)
− 事業影響度分析及びリスクアセスメントのプロセス(8.2)
− 検討した戦略の選択肢を含む事業継続戦略(8.3)
− 事業継続,インシデントの管理及び復旧の手順(8.4)
− 演習終了報告書(8.5)
− BCMS監視(9.1)
− 内部監査(9.2)
− マネジメントレビュー(9.3)
− 不適合及び是正処置(10.1)
さらに,BCMSの有効性を確保するため,次に示す情報を網羅した文書化した情報が必要な場合もある。
− 顧客との契約及びサービスレベル合意書
− 事業影響度分析の結果
− リスクアセスメントの結果
− 事業継続戦略の決定及び選択
− インシデント対応の概要
− 認識向上プログラム
− 従業員及び利害関係者とのBCMS及びインシデントに関するコミュニケーション。例えば,ニュース
レター,会議議事録及び注意喚起
− 組織及び個人向けの教育訓練プログラム
− 演習計画
− サプライヤとの契約及びサービスレベル合意書
− 請負業者及びサプライヤへの通知及び対応の手順
− 点検,保守及び補正の証拠
− インシデント及びヒヤリハット発生後の報告書
− BCMSレビュー会議議事録
7.5.2
作成及び更新
文書化した情報の作成及び更新に関する要求事項に適合するため,次の事項を含むことが望ましい。
− 文書化した情報には,全てに識別及び説明(例えば,表題,名前,日付,作成者,番号,版数など)
を含める。
− 許容できる書式を規定することが望ましい(例えば,言語,ソフトウエアの版,図)。そして,文書化
した情報を保存及び表示する媒体(例えば,紙,電子文書)を明確に規定する。
− 文書化した情報には全て,その妥当性について,レビューを行い,承認する。
保存及び表示には,使用する書式(例えば,言語,ソフトウエアの版,図)及び使用する媒体(例えば,
紙,電子文書を含める。
BCMSに関する文書化した情報の程度は,次に示す要因のため,組織によって異なってよい。
19
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 組織の規模,その製品及びサービス,並びに実施している事業活動の種類
− 事業活動及びその相互作用の複雑さ
− 人員の力量
7.5.3
文書化した情報の管理
必要とされる文書化した情報は,全て管理することが望ましい。
文書類を管理する目的は,組織が,BCMSを導入及び運用するうえで適切かつ十分なやり方で文書を作
成,維持及び保護することを確実にすることである。複雑な文書管理システムを確立することではなく,
むしろこの目的に,まず注目することが望ましい。
保護の例には,漏えいの危険にさらされる,適切な承認なく修正する,及び誤って削除することから文
書を守ることが含まれる。
許可される文書へのアクセスには,例えば,閲覧だけ,閲覧及び変更,並びに限定的な閲覧など,様々
なレベルとその組合せがある。
次に示す事項に必要な管理を定めるため文書化した手順を確立することが望ましい。
a) 文書化した情報を配布する。
b) 文書化した情報へのアクセスを提供する(このアクセスには,例えば,文書化した情報の閲覧又は変
更に関する許可・権限も含まれる。)
c) 発行に先立ち,文書が妥当であることを承認する。
d) 文書をレビューし,必要に応じて更新し,再承認する。
e) 文書の変更及び現行版の状態の識別を確実にする。
f)
適用する文書のしかるべき版が,使用時に,利用可能な状態であることを確実にする。
g) 文書が判読可能で,容易に識別可能な状態を保つことを確実にする。
h) BCMSの計画策定及び運用のために必要であると組織が判断した外部文書を,識別し,その配布を管
理することを確実にする。
i)
旧版文書を何らかの目的で保持する場合は,旧版文書の目的以外の使用を予防し,適切な識別を施す。
j)
文書の保存期限の目安を確立する。
k) 機密情報の保護及び非公開を確実にする。
組織は,文書化した情報の不正開封防止を施し,確実にバックアップを行い,権限のある要員だけがア
クセスできるようにし,かつ損傷,劣化及び滅失から保護することによって,完全性を確実にすることが
望ましい。
組織は,文書化した情報の保持に関して,関連するあらゆる法令及び規制を完全に順守することが望ま
しく,コンプライアンスを実現するために必要なプロセスを確立し,実施し,維持することが望ましい。
8
運用
8.1
運用の計画及び管理
組織は,自らの事業継続方針及び目的を遂行するため,並びに適用されるニーズ及び要求事項を満たす
ために必要な活動を決定し,計画し,実施し,管理することが望ましい。
組織の事業継続が適切に管理され,その有効性を維持することを確実にするプログラムを作り上げるた
めこれらのアクションを組み合わせてもよい。
組織は,このプログラムの中に,次に示す事項を含んだ管理の仕組みを確立することが望ましい。
20
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
a) これらの活動をどのようにして決定し,計画し,実施し,管理するかを決める。例えば,実施計画を
確立し,BCMの実施に関する適切な方法論について合意する。
b) これらの活動に対する管理が,決定に従って実施することを確実にする。例えば,プロジェクトの節
目を設定し,求められる成果物を規定する。
c) プロセスが計画どおりに実施されていることを実証するため,文書化された情報を保存する。
組織は,計画した変更を管理し,意図しない変更にはレビューを行い,適切な処置を講じることを確実
にすることが望ましい。
8.1.1
BCMの要素
BCMは,図5に示す要素で構成する。
図5−BCMの要素
図示した要素及びこの規格のどの項目でそれに対応しているかを,次に示す。
a) 運用の計画及び管理(8.1) 効果的な運用の計画及び管理は,BCMの中核にある。トップマネジメン
トに任命された担当者が指揮をとることが望ましい。
b) 事業影響度分析及びリスクアセスメント(8.2) 事業影響度分析及びリスクアセスメントによって,
事業継続の優先順位及び要求事項について合意及び理解を得ることができる。事業影響度分析によっ
て,組織は,その製品及びサービスを支援する事業活動の再開に関する優先順位付けをすることがで
事業影響度分析
及びリスクアセス
メント
演習及び試験
の実施
運用の計画及び
管理
事業継続手順の確立及
び実施
事業継続戦略
21
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
きる。リスクアセスメントは,優先事業活動及びそれらの依存関係に対するリスク,並びに事業の中
断・阻害を引き起こすインシデントがもたらす潜在的結果に関する理解を高める。この理解によって,
組織は,適切な事業継続戦略を選択できる。
c) 事業継続戦略(8.3) 様々な事業継続戦略の選択肢を特定及び評価することによって,組織は,自ら
の優先事業活動の中断・阻害を予防し,発生する事業活動の中断・阻害に対処するための適切な方法
を選ぶことができる。選択した事業継続戦略は,許容できる運用レベル及び一定の合意された時間枠
の中で,事業活動の再開に備える。
注記 選択した戦略は,組織内で既に導入されているあらゆるリスク対応を考慮に入れる必要があ
る(8.3.3)。
d) 事業継続手順の確立及び実施(8.4) 事業継続に関する取決めを実施することは,インシデント対応
の体制(8.4.2),インシデントの検知及び対応の手段(8.4.3),事業継続計画(8.4.4)並びに平時の事
業に復帰するための手順(8.4.5)の作成につながる。
e) 演習及び試験の実施(8.5) 演習及び試験の実施は,組織に次の事項を行う機会を提供する。
− 要員の認識及び力量育成を促進する。
− 事業継続及び事業継続手順を確実に漏れのない,最新の状態を反映した適切なものにする。
− 組織の事業継続を改善する機会を洗い出す。
8.1.2
BCM環境の管理
BCM環境の効果的な管理には,次に示す事項を含む。
a) 事業継続の適用範囲,役割及び責任が,妥当性を維持していることを確認する。
b) 事業継続を組織全体に,必要に応じて他の利害関係者に対しても,促進し根付かせる。
c) 事業継続に関連するコストを管理する。
d) BCMSの中に,変更管理及び管理体制の継承を確立し,監視する。
e) 従業員向けの適切な教育訓練,及び認識向上を手配又は提供する。
f)
組織の規模及び複雑さに照らして適切なプログラム文書類を維持する。
文書類を含む,組織のBCMに関する取決めの各構成要素は,定期的にレビューを実施し,演習を行い
及び更新することが望ましい。これらの取決めは,組織の運用環境,体制,場所,要員,プロセス若しく
は技術に顕著な変化がある場合,又は演習若しくはインシデントによって不備が強調された場合も,レビ
ュー及び更新することが望ましい。組織は,BCMプログラムが効果的に管理されることを確実にするため
に,よく知られたプロジェクトマネジメント方法を適用してもよい。
8.1.3
事業継続の維持
効果的な事業継続の維持は,次に示す事項を含む。
a) 優れた実践を通して,BCMを最新の状態に維持する。
b) 演習プログラムを運用する。
c) 事業影響度分析及びリスクアセスメントのレビュー又は改変を含め,事業継続の定期的なレビュー及
び更新を調整する。
d) 対応チームのニーズに照らして適切な事業継続手順の維持を確実にする。
8.1.4
有効性の測定
有効性の測定では,次に示す二つの事項を実施する必要がある。
a) 事業継続のパフォーマンスを監視する。
22
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
b) 外部委託した事業活動に関する事業継続の取決め,及びサプライヤのBCM能力を監視し,レビュー
する。
有効性の測定に用いてもよい指標の例を,次に示す。
− 事業活動及び資源が,規定する目標復旧時間内に復旧可能,及び情報が目標復旧時点において要求さ
れる最新状態になっている。
− 事業活動の復旧及び再開を可能にするため,必要な施設及び装置が代替場所で利用可能な状態となっ
ている。
− 規定された目標復旧時間内に優先事業活動を再開させるために必要な力量が備わっていることを実証
済である。
− インシデントに対応及び管理するために必要な力量を実証済である。
8.1.5
結果
BCMが効果的であることを示す結果として,次に示す事項を含めてもよい。
a) インシデント管理能力の効力があり,効果的な対応を実施する。
b) 組織自らの理解,並びに他の組織,関連する規制当局又は政府機関,地元当局及び緊急事態業務機関
との関係が構築され,文書化され,理解されている。
c) 定期的な演習の実施によって,インシデント又は事業の中断・阻害に効果的に対応できるよう従業員
が教育訓練されている。
d) 利害関係者の要求事項が理解され,それを満たすことができる。
e) 事業の中断・阻害の事象時に,従業員が適切な支援及びコミュニケーションを受けている。
f)
組織の評判が保たれている。
g) 組織が,法令及び規制による義務を順守し続けている。
h) インシデントの間,財務管理を維持している。
8.2
事業影響度分析及びリスクアセスメント
8.2.1
一般
組織は,事業影響度分析及びリスクアセスメントに関する正式な文書化されたプロセスを確立し,実施
し,維持することが望ましい。事業影響度分析及びリスクアセスメントから組織全体で得た次のような理
解は,効果的な事業継続の基礎となる。
組織は,その製品及びサービスを顧客に提供することによって,自らの目的を達成する。したがって,
製品及びサービス並びに関連する事業活動の中断・阻害が,組織の目標及び業務に徐々に負の影響を与え
るという理解を生むことが重要である。また,製品及びサービスを支援する事業活動に必要な相互関係及
び資源,並びにそれらの事業活動に対する脅威を理解することも重要である。
23
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
図6−組織の理解
組織は,理解を通じて,自らの目的,法的義務及び利害関係者に対する義務に事業継続を整合させるこ
とを確実にすることができる。事業影響度分析及びリスクアセスメントのプロセスによって理解は生まれ
る。事業影響度分析及びリスクアセスメントのプロセスは,組織が事業継続戦略を決定及び選択するため
に必要な情報を提供する(8.3.1)。
事業影響度分析及びリスクアセスメントは,組織が次に示す事項の方策を特定することを可能とする。
a) 組織の事業の中断・阻害の影響を限定的なものする。
b) 事業の中断・阻害の継続時間を短縮する。
c) 事業の中断・阻害の起こりやすさを小さくする。
事業影響度分析及びリスクアセスメントの実施結果については,その実施状況,評価基準,及び報告様
式を,あらかじめ定めておくことが望ましい。収集した情報は,定期的に,そして特に変動期には,レビ
ューすることが望ましい。
8.2.2
事業影響度分析
組織は,事業継続及び復旧に関する優先順位及び目的を決定する正式な評価プロセスを確立することが
望ましい。事業影響度分析の目的を次に示す。
− 組織の主要な製品及びサービス,並びにそれらを提供する事業活動に関して理解する。
− 事業活動の再開の優先順位及び時間枠を決定する。
− 事業継続及び復旧に必要となりそうな主要な資源を特定する。
− 依存関係(内部及び外部)を特定する。
事業影響度分析には,次に示す事項を含むことが望ましい。
事業活動
事業活動
事業活動支援
資産及び資源
製品・サービス
サプライヤ
及び
外部委託
パートナー
組織
組織の目的
製品・サービス
依存関係及び事業活動支援
資産及び資源
内部状況
外部状況
顧客
製品・サービス
事業活動
事業活動
事業活動
事業活動
24
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
a) 組織の主要な製品及びサービスの提供を支援する事業活動を特定する。ここでいう“主要”とは,BCMS
の適用範囲に含まれるものを意味する。
b) これらの事業活動における,管理されていない,特定されていない事象の結果として発生する事業の
中断・阻害時に及ぼされる潜在的な影響を評価する。このような影響を評価する際,組織は,その事
業の狙い及び目標,並びに利害関係者に関係するものに取り組むことが望ましい。これには,次に示
す事項を含めてもよい。
1) 従業員又は一般市民の福祉に対する負の影響
2) 法的義務又は規制要求事項への違反がもたらす結果
3) 評判への悪影響
4) 財政的実行可能性の低下
5) 製品又はサービスの質の劣化
6) 環境への悪影響
注記1 事業活動の中断・阻害は,間接的に,製品及びサービスの提供に支障を来すことがあり得
る。例えば,サプライヤへの支払い能力が失われると,組織の評判が損なわれて,その結
果,サプライヤが商品の供給を拒み,これによって,製品の製造又はサービスの提供が妨
げられる。
注記2 事業活動は,一般に日々変動し,その性質上,周期性を持ち得る。季節による変動がある
ことも多く,また,週次,月次若しくは年次の締切り,又はプロジェクト完了日と関連す
る事業活動のピークがあることも多い。このような周期の中の最悪の時期に事業の中断・
阻害が発生することを想定することによって,起こり得る最大の影響が把握できる。
c) 組織の事業活動の中断・阻害に伴う影響が許容できなくなるまでに,どの程度の時間があるかを推算
する。
注記3 影響が許容できなくなるまでの時間は,事業活動の性質によって,数秒から数箇月まで様々
に異なる可能性がある。一刻を争う事業活動は,例えば,分単位又は時単位で,極めて高
精度に規定しておく必要がある場合もある。それほど時間に厳しくない事業活動では,そ
こまで精度が高くなくてもよい。
注記4 影響が許容できなくなるまでの時間は,“最大許容停止時間”,“最大許容時間”又は“最大
許容停止”と呼ぶことができる。組織が許容できる製品又はサービスの最低限のレベルは,
最小事業継続目標(MBCO)と表現することもできる。
d) 評価した潜在的影響に基づき,他の関連する要因も考慮して,規定した最小許容レベルで事業活動を
再開するために優先順位付けされた時間枠を設定する。
e) 事業活動間の依存関係を特定する。
f)
各事業活動の,サプライヤ及びその他の関連する利害関係者を含めた支援資源に対する依存関係を明
確にする。
事業活動を再開するための優先順位付けされた時間枠は,目標復旧時間(RTO)と呼ぶこともある。RTO
は,相互に関係する事業活動の依存関係,並びに,事業活動を再開しないことの影響が許容できなくなる
時間[上記のc)参照]を考慮してもよい。
注記5 この規格では,これ以降,“優先順位付けされた時間枠”という表現に代わって,“目標復旧
時間”又はその略語の“RTO”を用いる。
25
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
事業影響度分析からのアウトプットは,文書化して,次に示す事項を特定することが望ましい。
− 製品,サービス及び事業活動
− 復旧の優先順位
− 顕著な依存関係及び支援資源
事業影響度分析に関する情報は,次に示す事項から得られることもある。
− 面談
− 質問票
− ワークショップ
− その他の内外の情報源
8.2.3
リスクアセスメント
組織は,組織の優先事業活動,並びにプロセス,システム,情報,人員,資産,サプライヤ及びそれら
を支援するその他の資源の中断・阻害を引き起こすリスクを,体系的に特定し,分析し,評価する,正式
なリスクアセスメントプロセスを確立することが望ましい。
リスクアセスメントは,この先必要となる可能性のある対応について決断する前に,リスクについて,
それがもたらす結果及び起こりやすさの観点から分析するための体系的なプロセスを提供する。この体系
的なプロセスは,次のような根本的な疑問に答えを出そうとするものである。
a) 何が起こる可能性があるのか。それはなぜか(リスクの特定)。
b) それが引き起こす結果はどのようなものになりそうか。
c) その起こりやすさはどのくらいか。
d) 引き起こされる結果を軽減,又は起こりやすさを低減しそうなものはあるか。
このプロセスでは,財務,行政及び社会に関わる義務を考慮する必要がある。
特に組織は,次のいずれかによって,組織の事業活動に必要な資源に対する脅威,及びその資源のぜい
(脆)弱性を理解することが望ましい。
− 高い優先順位の事業活動に必要な資源
− 代替には極めて長い準備時間を要する資源
組織は,事業の中断・阻害に繋がる可能性のあるリスクを特定し,分析し,及び評価する適切な方法を
選択することが望ましい。JIS Q 31000では,リスクマネジメントの原則及び関連する指針を規定している。
この規格との関連で盛り込んでおくことが望ましい代表的な要素を,次に示す。
− リスク特定 組織の優先活動,プロセス,システム,情報,人員,資産及びサプライヤ,並びにそれ
らを支援するその他の資源の中断・阻害を引き起こすリスクを特定する。このようなリスクは,次に
示す事項によって引き起こされることもある。
− 具体的な脅威 これは,ある時点で,事業活動及び資源の中断・阻害を引き起こす可能性のある事
象又は行動と表現することもできる(例えば,火災,洪水,停電,従業員の死亡,従業員の常習的
欠勤,コンピュータウィルス,ハードウエアの故障)。
− 事業の中断・阻害を引き起こすインシデント これは,資源に内在するぜい(脆)弱性から起こる
こともある(例えば,単一障害点,防火対策の不備,電気系統のレジリエンスの欠如,従業員の不
十分な水準,ITのセキュリティ,レジリエンスの不足)。
− リスク評価 事業の中断・阻害に関するリスクのうちどれに対応が必要かを評価する。ここでは,優
26
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
先順位が高い,又は代替には極めて長い準備時間を要する事業活動に必要な資源に着目することが望
ましい。
− 対応の特定 事業継続目的を達成できる対応及び組織のリスク選好に沿った対応を特定する(4.1)。
注記 組織又は外部機関によって,他のリスク分析が既に行われている場合は,その分析からリス
クアセスメントに関連する有用な情報が得られる可能性もある。社会ニーズ又は規制の義務
によって,一部の利害関係者とリスクアセスメントの結果を共有することが,組織に求めら
れることもある。
8.3
事業継続戦略
8.3.1
決定及び選択
8.3.1.1
一般
事業継続戦略を決定するとは,組織の事業継続目的に合う方法で,事業影響度分析及びリスクアセスメ
ントで得られた所見に対処するために必要な活動を特定することである。このような活動は,インシデン
トの事前,発生中及び事後に必要となる可能性があり,例えば,次に示すような活動を含めてもよい。
− 製造生産ラインを二つの場所に分ける。
− 発電機を据え付ける。
− 中断時間を短縮し,その程度を許容可能なレベルに引き下げる事業継続の取決めによって,事業の中
断・阻害を引き起こすインシデントの全体的な影響を低減する。
事業継続戦略の決定及び選択は,事業影響度分析及びリスクアセスメントからのアウトプットに基づい
たものであることが望ましい(8.2)。
組織は,次に示す事項のため,適切な戦略の選択肢を決定することが望ましい。
− 優先事業活動を保護する。
− 優先事業活動を安定化,継続,再開及び復旧する。
− 影響を軽減,対応及び管理する。
組織は,推奨された解決法をレビュー及び承認するためのメカニズムを準備することが望ましい。
8.3.1.2
優先事業活動の保護
優先事業活動の保護は,次に示す事項を目指してもよい。
− その事業活動へのリスクを低減する。
− (責任は引き続き組織がもつが)その事業活動を第三者に移管する。
− 確かな代替が利用できる場合は,その事業活動を停止又は変更する。
優先事業活動の保護に関する選択肢は,次に示す事項に従って選択することが望ましい。
− その事業活動について認識されているぜい(脆)弱性
− 推算した便益と比較した対策コスト
− (場合によっては)その事業活動の緊急性(問題を即刻解決しなければならないため)
− その選択肢の全体的な実現可能性及び適切性
ある脅威が“極めて発生の可能性が低い”,又は優先事業活動を保護するコストが法外に高いと推算され
た場合は,組織は,そのリスクを受容し,BCMSパフォーマンスの継続評価の中でそのリスクを再評価す
27
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
るという選択をしてもよい(箇条10)。
8.3.1.3
優先事業活動の安定化,維持,再開及び復旧
優先事業活動の安定化,継続,再開及び復旧では,その活動の依存関係及びその活動を支援する資源に
も対処することが望ましい。
事業継続戦略の選択肢として,次に示す事項を含めてもよい。
a) 事業活動の移転 事業活動の一部又は全てを,組織内の別の場所又は組織外の第三者に,独自に又は
相互支援協定を通して移転する。
b) 資源の移転又は再配分 従業員を含めた資源を,組織内の別の場所若しくは別の事業活動又は組織外
の第三者に再配置する。
c) 代替プロセス及び予備の能力 代替プロセスを確立する,又はプロセス及び/又は在庫の中に,余剰・
予備の能力を用意する。
d) 資源及び技能の代替 主要な従業員の多技能化を含め,人員の能力を強化する。又は外部委託によっ
て追加の人的能力を利用できるようにする。代替用の資源は,第三者によって又は組織が離れた別の
場所に保持している蓄えによって供給する。又は外部組織及び主要な利害関係者と相互支援協定を締
結して,追加能力を一時的に利用できるようにして,代替用の資源を確保する。
e) 一時的回避策 事業活動で,通常とは異なるやりかたをしても限定的な期間であれば許容できる結果
を提供できる場合,その異なるやりかたを採用してもよいこともある。このような回避策は,通常の
やりかたよりも時間及び/又は労力が余計にかかる可能性がある(例えば,自動化システムの代わり
に手で操作をする)。このような理由によって,通常,回避策は,短期間又は通常の事業への復帰を延
期する場合だけに適している。
f)
事業活動を再開する場所を検討するに当たって,事業継続の選択肢には,損傷/被害を受けた事業所,
及び損傷を受けていない代替事業所を含めることが望ましい。
目標復旧時間内に事業活動を再開できることを確実にするため,目標復旧時間は,事業活動の依存関係
及び支援資源にも設定してもよい。このような目標復旧時間を設定する際,次に示す事項を考慮する必要
がある場合もある。
− 本格的な再開が求められる時点まで,一時的に最低限のサービスを提供する可能性
− 再び支援資源への依存が必要な状態に戻すことを遅らせてもよい回避策(例えば,手作業によるプロ
セス)
− 損失したデータの復旧に必要なバックログ及び時間
− 復旧に関する要求事項の複雑さ及び規模,又は準備に時間のかかる特殊装置の必要性
組織は,このような方策それ自体が新たなリスクをもたらさないかどうかを見極めるため,あらゆる戦
略の選択肢を評価することが望ましい。
優先事業活動を安定化,継続,再開,又は復旧するための事業継続戦略の選択肢は,法外にコストが高
いことも多い。ある戦略が極めてコストが高いと推算された場合は,組織は,事業継続目的にあって許容
可能な別の戦略を選択する,又は4.3.2に従って対象となる製品及びサービスをBCMS適用範囲から除外
するものとして取り扱う,のいずれかを実施することが望ましい。
8.3.1.4
影響の軽減,対応及び管理
インシデントの影響及び継続期間を軽減する選択肢は,次に示す事項を含めてもよい。
28
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
a) 保険 保険の購入は,一部の損失に対する金銭的補償を提供する可能性はあるが,あらゆるコスト(例
えば,保険外の事象,ブランド,評判,利害関係者の価値,市場占有率及び人的被害)を補償するも
のではない。金銭的な解決だけでは,完全に組織を守ることはできず,また,利害関係者の期待を完
全に満たすことはできない。保険による補償は,他の一つ又は複数の戦略と合わせて利用することが
多い。
b) 資産の修復 資産が損傷を受けた際に,その清掃又は修理を行う業務を専門とする企業と非常用サー
ビスの契約を結ぶ。
c) 評判の管理 効果的な警報発令及びコミュニケーションの能力を育成し(8.4.3),効果的なコミュニケ
ーション手順を確立する(8.4.4.3.2)。
8.3.1.5
サプライヤの事業継続
組織は,サプライヤの事業継続の評価を確実にすることが望ましい。組織は,納品が途切れるとどこよ
りもすぐに優先事業活動の中断・阻害が引き起こされる可能性のあるサプライヤに特に注力してもよい。
手法として,次に示す事項を含めてもよい。
− 入札及び契約に要求事項を規定する。
− サプライヤの計画を定期的に監査する。
− 事業継続演習を共同で実施する。
8.3.2
資源に関する要求事項の確立
8.3.2.1
一般
組織は,選択した戦略の選択肢を実施するため,資源に関する要求事項を決定することが望ましい。
組織は,次に示す事項を確立することが望ましい。
a) インシデントへの備え,対応及び復旧を監督する適切な権限を備えた適切なチーム又は(小規模の組
織の場合)人員
b) BCMSを支援するために作り出した又は提供したサービス,要員,資源,資材及び設備に関して,場
所を決め,入手し,保管し,分配し,維持し,試験し,説明するロジスティクスの能力及び手順
c) インシデントの事前,発生中及び事後に,事業継続の取決めを支援するための,財務,ロジスティク
ス,事務管理の手順。この手順は,次に示す事項を満たすことが望ましい。
1) 財務に関する意思決定を迅速化してよいことを確実にする。
2) 既に確立されている権限レベル,統治,及び会計原則にのっとっている。
d) 対応時間,要員,装置,教育訓練,設備,資金調達,保険,負債管理,専門知識,及び資材,並びに,
これらを組織の資源及びサプライヤから入手する必要のある時間枠に関する資源管理目標
e) 利害関係者の援助,コミュニケーション,戦略的提携及び相互支援に関する手順
8.3.2.2
人
組織は,インシデントの結果,稼働可能な従業員が減った場合に,中核となる技能及び知識の利用可能
性を維持及び拡張するための適切な方策を特定することが望ましい。この方策には,従業員,請負業者及
び広範囲にわたる専門的な技能及び知識を備えたその他の利害関係者を含めることが望ましい。このよう
な技能を保護又は強化する手法には,次に示す事項を含めてもよい。
− バックアップとしての技能を備えた専門家の一覧及び招集計画
− 従業員及び請負業者の多技能化研修
− 中核となる技能を備えた従業員を物理的に複数の場所に分けることも含めた,インシデントの影響を
低減するため,中核技能の分散
29
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 第三者の利用
− 継承計画の策定
− 知識の保持及び管理に関するプロセス,並びにその他の形態の文書化
インシデント発生後に従業員を再配置することに依存した手順では,次に示す事項の考慮が必要な場合
もある。
− 別の場所への従業員の輸送
− 代替事業所における従業員のニーズ 例えば,
・ 宿泊場所
・ 炊事設備
・ 本人及び家族のコミットメント
・ 異なる装置の教育訓練
− 在宅業務によって生じる課題
専門家の役割には,次に示す事項が含まれることもある。
− セキュリティ
− 輸送のロジスティクス
− 福祉及び緊急事態対応
8.3.2.3
情報及びデータ
組織の業務に欠かせない情報は,保護し,事業影響度分析で特定した時間枠に沿って復旧可能な状態に
しておくことが望ましい。データの保管及び復旧では,関連する法令を順守することが望ましい。
注記1 電子データの最新状態の確保に関する詳細な手引は,ISO/IEC 27031に記載されている。JIS
Q 27002には,データの機密性,完全性及び可用性の継続の確保に関する手引が示されてい
る。
組織の対応及び復旧を可能にするために必要な情報は,全て次の場合において適切であることが望まし
い。
− 機密性 例えば,事業活動を別の場所に移す場合。
− 完全性 情報に信頼性があり,信用できる場合。
− 可用性 事業活動で必要となったときに,すぐに情報が利用できる。インシデント対応中に必要な情
報は,ただちに要求される場合もある。一方,その他のデータは,インシデント発生後,しばらくの
間は必要ではないこともある。
− 最新性 事業活動の実施を可能にするために必要な程度に最新な情報である場合。インシデントが原
因で損失したデータは,再度作成する必要がある場合もある。
あらゆる場合において,事業活動に必要な情報は適切に最新なものであることが望ましい。最新性は,
目標復旧時点(RPO)と呼んでもよい。データをコピーする場合,電子媒体又はテープによるバックアッ
プ,マイクロフィッシュ,複写及び作成時に同時に複写するなど様々な方法を利用してよい。コピーして
いなかった又は安全な場所にバックアップしていなかった情報の復旧のために情報戦略を文書化しておく
ことが望ましい。
情報戦略は,次の事項を含めて拡張することが望ましい。
− 物理的形式(ハードコピー)
30
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 仮想的形式(電子媒体) など
注記2 コピーした情報の保管場所が,原本の保管場所に近すぎる場合,事業の中断・阻害を引き起
こすインシデントによって,コピーした情報の完全性が損なわれる可能性,又はコピーした
情報にアクセスできない可能性がある。しかし,遠隔地に保管すると,必要なときに利用で
きない場合もある。このような矛盾をどのように解決したかについて,根拠を文書に残して
おくことが適切である。
この細分箇条で記載している情報には,次に示すものが含まれることがある。
− 連絡先の情報
− サプライヤ,利害関係者及び利害関係者の詳細
− 法的文書(例えば,契約書,保険証券,権利証書)
− その他のサービス文書(例えば,契約及びサービスレベル合意書)
8.3.2.4
建物,作業環境及び関連ユーティリティ
作業場所の戦略には,様々なものがあり,また選択肢にも幅がある。インシデント又は脅威の種類が異
なれば,異なった又は複数の作業場所で実施するという選択肢が必要となる可能性がある。適切な戦術に
は,組織の規模によって決まる部分,事業活動の分野及び広がりによって決まる部分,利害関係者によっ
て決まる部分,並びに地理的な事情で決まる部分がある。例えば,公的当局は,管轄する地域社会の前線
でサービス提供を維持する必要があるが,異なる国又は大陸からでも業務が遂行できる組織もある。
組織は,その通常の作業場所が利用できなくなった場合の影響を低減する戦略を考案することが望まし
い。これには,次に示す事項の一つ又は複数を含めてもよい。
a) 他の事業活動の置き換えを含めた,組織の中の代替施設(代替場所)
b) 他の組織が提供する代替施設(相互の取決めがある場合も,ない場合も)
c) 緊急事態管理センター
d) 第三者の専門業者が提供する代替施設
e) 在宅勤務又は離れた場所での業務
f)
合意のとれた,その他の適切な施設
g) 既存の施設内にいる別な従業員の活用
代替施設は,同じインシデントによって影響を受けるかもしれない地理的地域を考慮して,慎重に選択
することが望ましい。自然災害などのインシデントは,広域に及ぶ損害が発生することもあり,電気,ガ
ス,水,通信などの不可欠なサービスに影響を及ぼすこともある。このようなリスクが想定される場合,
代替施設は,影響を受ける可能性のある地域から距離をおいた所に設置することが望ましい。
従業員を代替施設に移動する場合,これらの施設は,インシデントによって生じる可能性のあるあらゆ
る問題点を考慮したうえで,従業員がそこまでの移動をいと(厭)わず,移動が可能な程度近いところで
なければならない。しかし,代替施設が近すぎて,同じインシデントで影響を受けることのないようにし
なければならない。
事業継続目的での代替施設の利用は,その代替施設で必要な資源を組織の独占的な使用に供されること
を明確な声明又は文書によって確認する必要がある。代替施設を他の組織と共用する場合,これらの施設
が利用できない可能性を軽減するための計画を策定し,文書化しなければならない。
状況によっては(例えば,製造ライン,コールセンターなど),従業員を移動させるのではなく,作業負
荷を配分することが適切である場合もある。このため,代替場所での予備の生産能力又は従業員の増員(残
31
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
業であれ,新規雇用であれ)が必要になることもあり,その他の資源も利用可能な状態にする必要がある
場合もある。
8.3.2.5
施設,設備及び消耗品
組織は,その優先事業活動を支援するうえで中核となる供給品の台帳を作成及び維持することが望まし
い。
設備及び機械の中には,入手が困難なもの,高額なもの(承認に長い時間が必要)又は注文してから納
品までの時間が長いものもある。このような資源を入手するに当たっては,上記の点を考慮する場合もあ
る。在庫管理又は建物管理などの仕事のやりかたを変えることが,解決策となることもある。
これらの資源を提供する手法には,次に示す事項が含まれることもある。
− 別の場所で追加の用品を保管する。
− 短納期で在庫を提供してもらう取決めを第三者と結ぶ。
− 看板方式の納入を他の場所へう(迂)回させる。
− 倉庫又は出荷場所に資材を蓄えておく。
− 用品がそろっている代替場所に組立業務を移転する。
− 代替/代用品を特定する。
− 設備及び装置を識別し,段階ごとに複数の選択肢を盛り込んだ計画を策定する。
事業活動が特殊な用品に依存する場合,組織は主要なサプライヤ及び単一供給源を特定することが望ま
しい。用品の継続を管理する戦略には,次に示す事項を含めることもある。
− サプライヤの数を増やす。
− サプライヤが事業継続に取り組むように促す又は要求する。
− 主要なサプライヤとの契約及び/又はサービスレベル合意書を締結する。
− 能力のある代替サプライヤを特定する。
事業活動を移転する場合,サプライヤが彼らの製品又はサービスを代替場所に効果的に提供することが
できることを検証することが望ましい。
8.3.2.6
ICTシステム
多くの組織において,ICTシステムなしでは事業活動が実施できない状況であり,事業活動を再開する
前に,ICTシステムを復旧する必要がある。可能かつ現実的な場合,ICTサービスが復旧するまでの間,
組織は,手動操作による作業を実施する必要がある場合もある。
技術に関する選択肢は,利用している技術の性質及びその技術と事業活動との関係によるが,通常次に
示す事項の組み合わせとなる。
− 組織内で備えをしておく。
− 第三者によって,組織にサービスを提供する。
− 組織が外部サービスに登録して利用する。
優先事業活動に必要なICTシステムの提供には,次に示す事項を含めてもよい。
− ICTシステムを地理的に分散させる。例えば,事業の中断・阻害を引き起こす同じインシデントによ
って影響を受けることのない複数の場所で同じ技術を維持する。
− 緊急事態の代替用又は予備として,古い装置を保持しておく。
− 装置又は復旧サービスを契約しておく。
32
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
ICTシステムを支援する技術の複雑さゆえ,時宜を得たかたちで復旧させることを確実にするためには
複雑な取決めが必要なことがしばしばある。したがって,次に示す事項を考慮することが望ましい。
− 優先事業活動をその目標復旧時間(RTO)内に再開させるために必要なICTシステムに対して,RTO
を設定する。
− ICTシステムが据え付けられている複数の場所及びその相互距離について特に注意をする。
− 数多くの別々の事業所にICTを分配する。
− 遠隔アクセスを行う利用者の増加に対応できる適切な設備を提供する。
− 有人の事業所に加えて,無人の事業所を設ける。
− 電気通信の接続性を向上させ,冗長ルートのレベルを上げる。
− ICTの切り替えをする際,人による介入を必要とする仕組みではなく,自動で“フェイルオーバ[障
害う(迂)回]”する仕組みにする。
− ICTの陳腐化に対処する。
− 第三者による補助接続性及び外部リンクを提供する。
ある事業所から別の事業所への“フェイルオーバ[障害う(迂)回]”の技術を採用した場合,その二つ
の事業所の間のネットワーク経路の距離について考慮する必要がある場合もある。二か所が遠く離れてい
る場合,これによって,ICTシステムの速度が落ちて,有効に機能しなくなることもある。
組織が,複数の事業所にICTシステムを保有している場合,それぞれの場所が一か所分以上のICT能力
をもつ“相互ICT戦略”を実施する場合もある。
組織が準備に長い時間のかかる極めて特殊な,又はカスタム仕様のICTを使用している場合,代替シス
テムとの置き換え又は修復に関する特別な備えを行って,このICTに対する保護を強化することを検討す
る必要がある場合もある。
注記 ICTの継続に関する詳細な手引は,ISO/IEC 27031,JIS Q 27002,JIS Q 20000-1及びJIS Q
20000-2に記載されている。
8.3.2.7
交通機関
インシデント発生後,次のような場合に,輸送手段の提供が必要になることがある。
− 従業員の通常の帰宅手段が利用できないときに,従業員を自宅に送る場合。
− 従業員を代替作業場所に再配置させる場合。
− 別の場所で必要となった資源を運ぶ場合。
組織は,事業の中断・阻害を引き起こすインシデントの発生後に必要となる可能性のある代替輸送手段
を提供するための選択肢をあらかじめ決定しておくことが望ましい。これは次に示す事項を含めてもよい。
− インシデント及び異常な状態によって直接引き起こされるロジスティックスの中断・阻害について,
起こり得るシナリオの特定。
− 交通の状態,輸送手段及びその他のロジスティック網について考慮することによる,ロジスティック
の代替手段及び経路の確保。
− 輸送機関との合意
8.3.2.8
資金
組織は,事業の中断・阻害を引き起こすインシデントが発生している間及び発生後に必要な財務資源が
33
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
確実に利用できるようにするための選択肢を決定することが望ましい。これには,次に示す事項を含めて
もよい。
− 食料,宿泊,設備,消耗品,輸送など,緊急時の購入に充てる資金の用意
− 従業員の経費の払い戻し
− 高額の支出。例えば,建物,装置のレンタル購入など
不正使用から組織を保護する,又は保険金の支払い請求を促すため,効果的な財務管理を実証する必要
が生じる場合もある。例えば,事業の中断・阻害を引き起こすインシデントが発生している間及び発生後
の経費を正式に記録するなど。
8.3.2.9
サプライヤ
製品,サービス又は事業活動が外部委託されている場合,その製品,サービス又は事業活動に関する責
任及びアカウンタビリティは,組織にある。そのため,組織は,主要なサプライヤが効果的な事業継続の
ための取決めをしておくことを確実にすることが望ましい。その一つの方法として,主要なサプライヤの
事業継続計画及びその演習,並びに維持プログラムの実行可能性を示す証拠を入手することが挙げられる。
8.3.1.5参照。
8.3.3
保護及び軽減
対応が必要と特定されたリスクに対して,及びリスクに対する全組織的な考えに基づいて,組織は,事
業の中断・阻害の影響の起こりやすさを低減し,その影響の継続期間を短縮し,事業の中断・阻害への影
響を限定的なものにする方法を検討することが望ましい。
8.4
事業継続手順の確立及び実施
8.4.1
一般
組織は,事業の中断・阻害を引き起こすインシデント対応の全体的な管理を提供し,目標復旧時間内に
事業活動を再開する手順を準備し,文書化することが望ましい。この事業継続手順では,適切な内部及び
外部のコミュニケーションの手順を確立することが望ましく,次に示す事項を満たすことが望ましい。
a) 具体的に 事業の中断・阻害が発生している間に講じることが望ましい緊急の措置。
b) 柔軟に 事業継続手順が,想定外の脅威のシナリオ,及び変化する内外の状態への対応。
c) 集中的に 事業継続手順は,事業を中断・阻害させる可能性のある事象の影響と明確に関連し,明確
にされた想定及び相互依存関係の分析に基づいて構築することが望ましい。
d) 効果的に 適切な軽減戦略の実施によって,インシデントが引き起こす結果を最小限に抑える手順。
8.4.2
インシデント対応の体制
組織は,事業の中断・阻害を引き起こすインシデントに備え,軽減し,効果的に対応することを可能に
する手順及び運営管理体制を整備することが望ましい。この対応体制では,次に示す事項を満たすことが
望ましい。
− 正式な対応を発動させる事態のレベルの基準を決定する。
− 事業の中断・阻害を引き起こすインシデント,又は潜在的な影響の性質及び程度を評価する。
− 影響を受けた人員に福祉を提供する方策を準備する。
− 事業の中断・阻害を引き起こすインシデントへの適切な対応に着手する。
− 対応の発動,運用,調整,及びコミュニケーションのためのプロセス及び手順を備える。
− 事業の中断・阻害を引き起こすインシデントを管理し,影響を最小限にするために必要なプロセス及
び手順を支援するため,資源を利用可能な状態にする。
34
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 特に関係当局及びメディアを含む,利害関係者とコミュニケーションをする。
対応体制は,複雑なものではなく,すぐに編成できるものであることが望ましい。体制を決定するに当
たって,次に示す事項について検討することが望ましい。
− インシデントから派生する問題点を見極めインシデントの影響又は潜在的影響,及びそれが起こる時
間を評価する力量を備えた要員を一人又は複数配置する。
− インシデントを掌握し,拡大を封じ込め,適切な対応に着手するために,複数のチームを動員できる
体制とする。
− 従業員,請負業者,装置,資金などの適切な資源を含める。
規模の大きな組織又は複雑な組織では,インシデントへの対応に階層的なアプローチを使ってもよい。
また,このような組織では,インシデントへの対応,インシデントの管理,コミュニケーション,福祉及
び事業の再開にそれぞれ特化した複数のチームを編成してもよい。規模の比較的小さい組織では,インシ
デント対応のあらゆる側面を一つのチームで取り扱ってもよいが,一個人に全責任をもたせることは決し
て望ましくない。
各チームは,その活動の統治に関する手順をもち必要な責任,権限及び力量を備えた要員を含めること
が望ましい。個人及びチームの力量は,教育訓練及び演習によって実証することができる。
8.4.3
警告及びコミュニケーション
8.4.3.1
一般
組織は,警告及びコミュニケーションに関する手順を確立し,実施し維持することが望ましい。この手
順には,次に示す事項を含めることが望ましい。
a) インシデントを検知し,対応要員の注意を喚起する。
b) インシデントの継続監視
c) 組織内の様々な階層及び部署間の内部コミュニケーション
d) 利害関係者との外部コミュニケーション
e) 他の利害関係者からのコミュニケーションを受け入れ,文書化し対応する。
f)
全国若しくは地域の災害情報提供システム,又は同等のシステムからの勧告を受理し,文書化し対応
する。
g) 事業の中断・阻害を引き起こすインシデントが発生したとき又はそれが差し迫っているとき,影響を
受ける利害関係者に注意を喚起する。
h) 事業の中断・阻害を引き起こすインシデントが発生したときの通信手段を確保する。
i)
緊急事態対応機関との組織化されたコミュニケーションを促進する。
j)
複数の緊急事態対応機関と要員との相互運用性を確保する。
k) インシデント,実施された処置及び下された決定に関する重要な情報を記録する。
l)
通信設備の運用
組織は,その警告及びコミュニケーション手順について,外部の利害関係者に伝達するかしないか,及
び伝達するとすればどの時点で伝達するのかについて決定する必要がある場合もある。この決断を下すに
当たっては,生命の安全を,最初に検討することが望ましい。決定事項及びその理由を文書に残すことが
望ましい。
35
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
例えば,近隣の安全を脅かすような害を及ぼす可能性のある事業活動を行っている組織は,潜在的な危
険について近隣に通知する必要がある場合もある。これは,近隣の人々が,警報がどのように出されて,
どのように対応するかを理解する必要があることを意味することもある。
組織は,警報,警告及び外部コミュニケーションを迅速に行うため,効果的な手順及び設備を保有する
ことが望ましい。例えば,高齢者及び障害者のように特殊なニーズをもつ利害関係者に関しては,特別な
取決めが必要になることもある。警報及びコミュニケーションシステムの演習を定期的に実施することが
望ましい。演習に関する手引は,8.5に規定する。
8.4.3.2
インシデントコミュニケーション手順
潜在的なインシデントに先立って,次に示す事項を可能にする手順を確立する必要がある。
− 全国若しくは地域の災害情報警報システム,又は同等のシステムからの勧告を受理し,文書化し対応
する。この手順は,例えば,津波警報,地震警報,ハリケーン警報など,組織の所在地に共通した脅
威を反映してもよい。
− 事業の中断・阻害を引き起こすインシデントが発生又はそれが差し迫っているとき,影響を受ける可
能性のある利害関係者に注意を喚起する。警報を発することが法律上又は道徳上の組織の責任である
場合
ひとたびインシデントが発生したら,組織は,次に示す事項を確実に実施するための手順を構築するこ
とが望ましい。
− 発生現場での観察又は遠隔監視によって,インシデントを継続的に監視し,何か展開があった場合は,
適切な対応者に伝達する。
− 緊急事態対応機関との組織化されたコミュニケーションをとる。
− 組織の責任である場合は,複数の緊急事態対応機関と要員との相互運用性を確保する。
− 様々な対応チームと組織との間のコミュニケーションを行う。
− 従業員,来客,請負業者など,組織に注意義務がある人々との定期的なコミュニケーションをとる。
このコミュニケーションは,最初は避難場所で必要となり,その後は,自宅又は代替場所で必要にな
る場合もある。
− 実施者又は各チームの適切な記録係が,インシデント,実施された処置,及び下された決定に関する
重要な情報を記録する。
さらに,手順には,顧客,メディアなどの利害関係者との効果的な双方向コミュニケーションを促すこ
とが求められる。
インシデントの終息を伝えることが適切なとき,組織は,通常時の事業に戻るまで,これらの利害関係
者とコミュニケーションを維持することが望ましい。
8.4.3.3
インシデントコミュニケーション施設
8.4.3.2に従って確立した手順は,専用の又は臨時のコミュニケーション施設の利用によって,その運用
を促進してもよい。この施設は,その運用がインシデントによって妨げられないように,被災した事業所
から十分離れたところに位置することが望ましい。また,インシデント対応に関わる他の施設と同じ場所
に設置してもよい。
インシデントによって,通常のコミュニケーション装置の性能に影響が生じている可能性があるので,
利用するコミュニケーション装置は,次に示すような様々な代替設備も利用可能であることを認識してお
36
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
くことが望ましい。
− 拡声器又は公共向け拡声装置
− 予備の携帯電話
− 双方向無線
8.4.4
事業継続計画
8.4.4.1
一般
組織は,インシデントに対応し,その事業活動の再開及び復旧を適切に実施できるようにするための文
書化した手順を確立することが望ましい。
これらの手順は,特に生命の安全に関する問題を重視し,インシデント対応のあらゆる側面に対処する
もので,手順を使用するあらゆる人員の要求事項に対応することが望ましい。要求事項を見極めるため,
次に示す事項を行うことが有用な場合もある。
− 手順を使う人員を手順策定作業に関与させる。
− 演習からのフィードバック及び事業の中断・阻害を引き起こすインシデントから得た教訓を活用する。
時間的な尺度及びパフォーマンスレベルは,事業影響度分析(8.2.2)によって収集し,事業継続戦略(8.3.1)
による情報に基づくことが望ましい。
次に示す事項は,各計画の中で明確に記載していることが望ましい。
− 目的及び適用範囲
− 優先事業活動の視点による達成目標及び成功の尺度
− 発動基準及び手順
− 実施手順
− 役割,責任及び権限
− コミュニケーションに関する要求事項及び手順
− 組織内外の相互依存及び相互作用関係
− 資源に関する要求事項
− 情報の流れ及び文書化のプロセス
事業の中断・阻害を引き起こすインシデントに対処する際,検討の必要がある可能性がある取組みが数
多くある。これらは,文書化した手順に盛り込むことが望ましい(8.4.4.2及び8.4.4.3)。
例えば,次に示す取組みを含めることが望ましい。
a) インシデントに対応し,評価する。
1) 何が起こったのか及びどのように起こったのか。
2) 組織のどの部分でどの利害関係者が影響を受けたのか,又は影響を受けたかも知れなかったのか。
3) そのインシデントはどの程度の期間続き,どれくらいの影響と予想されるのか。
4) 定常管理の取決めで,そのインシデントを管理できるのか。
b) インシデントのアセスメントを各発動基準に照らして評価する。
c) インシデントを宣言して,発動基準を満たした場合は,手順を発動する。
d) 事業活動を安定化,継続,再開及び復旧する。
e) インシデントを管理する場所を設置及び運営する。
f)
インシデントとその影響を管理するうえでの課題及び実施すべき事業活動の優先順位を付ける。
37
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
g) 発動した手順全てを管理及び統制する。
h) IT又はその他のインフラストラクチャの能力の修復,及び組織の事業活動の一時的運用のための代替
事業所を始動及び確立する。
i)
インシデントの進展に従って,監視する。
j)
変化する周囲環境に応じて,事業継続計画のレビューを行い,適応させる。
k) 継続維持できる能力が再び確立したら,事業継続計画を段階的に縮小し,定常管理に戻す。
l)
報告会を開き,学習機会を特定する。
m) 良い統治及びインシデントの管理,並びにインシデントからの復旧の中で作成した文書類の照合及び
セキュリティを確保する。
組織による製品及びサービスの提供を適時に再開するため,各事業活動を再開するための文書化した手
順は,次に示す事項を満たすことが望ましい。
− 製品又はサービスを支援する事業活動の目標復旧時間を満たす。
− 十分に信頼性がある。
次の方法によって,上記の手順を実現してもよい。
− 手順を実施するための手段及び資源を所有又は管理する。
− 第三者と契約又はサービスレベル合意書を締結する。
この手順の運用が,同じ事業の中断・阻害による影響を受けないことを確実にするため,組織は,例え
ば,要員及びICTを複数の場所に分散させるなどの事前対策を講じてもよい。しかし,あらゆる規模及び
種類のインシデントに備えて完全に分散させることは不可能であり,この限界を特定し,それをトップマ
ネジメントが合意することが望ましい。この限界は,距離,最低限の要員又は深刻度の観点から表現する
こともできる。また,深刻な及び/又は広域にわたるインシデントに対する公的機関の対応によって,こ
の限界を決めてもよい。
8.4.4.2
事業継続計画の内容
事業継続計画は,一冊の文書化した手順でも,あらゆる要求事項に対応しBCMSの適用範囲を網羅する
複数の手順でもよい。
それぞれの文書化された手順の目的,適用範囲及び達成目標を明確化し,それを実施する人員に理解で
きるようにすることが望ましい。必要な及び関連する他の文書化した手順又は文書とのあらゆる関係を明
確に参照し,それらの入手方法及び閲覧方法を記載することが望ましい。
事業継続計画の中で,次に示す事項を分かりやすく明確にしておくことが望ましい(8.4.4.3も参照)。
a) 役割及び責任
1) 事業継続計画を使う人員及びチームについて定められた役割,責任及び権限。事業継続計画が複数
の文書化した手順で構成している場合は,各手順について,役割,責任及び権限を定めることが望
ましい。
2) これは,あらかじめ決められた事態の段階的引き上げの仕組みに従ってもよい。
b) 発動及び撤収
1) 事業の中断・阻害を引き起こすインシデントへの組織の対応を発動させるプロセス及びそれぞれの
文書化した手順の中における,その手順を発動させるための基準及び手順。通常の業務時間内であ
るのか,そうでないのかについて検討する意味がある場合もある。
38
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
2) インシデントが過ぎ去った後に,チームを撤収するためのプロセス
3) 集合する場所。適切な代替場所も決めておく。
c) インシデントの管理
1) 事業の中断・阻害を引き起こすインシデントの直接的影響に対処するため,影響を受けた人員(チ
ームメンバーを含む)の福祉の問題,事業の中断・阻害に対応する選択肢(この選択肢は,戦略的
レベル,戦術的レベル及び運用レベルで記載してもよい),並びに波及する損害又は優先事業活動が
実施できなくなることの防止に十分な配慮をし管理する。
2) それぞれの文書化した手順の中には,次に示す事項を盛り込むことが望ましい。
2.1) 実施する必要がある処置及び任務の特定,特に,組織があらかじめ定めた時間枠内で優先事業活
動を継続又は復旧する方法
2.2) 文書化した手順に関連する資源に関する要求事項(8.3.2)
2.3) インシデント,実施した処置及び下された決定に関する主要な情報を記録する手段
d) それぞれの文書化した手順に記載する連絡先情報
1) チームメンバー並びにその他役割及び責任をもつ者のための詳細な連絡先情報。当該地域の個人情
報保護規制が適用される場合は,その規制に従って詳細情報を保持する。
2) 関連するあらゆる機関,組織及び必要となる可能性のある資源の連絡先及び動員・招集の詳細
e) コミュニケーション(8.4.3)
1) 組織がどのように,またどのような状況で,従業員及びその近親者,主要な利害関係者,並びに緊
急連絡先と連絡をとるかについての詳細事項
2) インシデント発生後の組織のメディア対応に関する詳細事項。そのコミュニケーション戦略,メデ
ィアに対する優先連絡窓口,メディアに対する声明文を作成するための指針又はひな(雛)形及び
適切な広報担当者の特定
8.4.4.3
手順の具体的な種類
8.4.4.3.1
インシデントの管理・戦略的管理手順
インシデントの管理の狙いは,事業の中断・阻害を引き起こすインシデントへの組織の対応を戦略的レ
ベルで効果的なものにすることを確実にすることである。
この手順には,利害関係者関連の課題も含めた,インシデントにおいて組織が直面する可能性のあるあ
らゆる課題の管理に関する基本を盛り込むことが望ましい。
組織は,インシデントの管理作業を行う場所,部屋又はスペースを特定することが望ましい。一度確定
したら,この場所を組織の対応の中枢にすることが望ましい。その場所へのアクセスが途絶した場合に備
えて,それに代わる集合地点を別の場所で指定しておくことが望ましい。それぞれの場所は,インシデン
ト管理チームが遅滞なく効果的なインシデント管理に着手できるように適切な資源を入手できることが望
ましい。
これらの場所は,ホテルの部屋又は従業員の自宅のように簡易なものでもよい。パソコン,テレビ会議
設備,複数の電話などを備えた専用の“指揮所”のように複合的なものでもよい。最初は(物理的に全員
が集まれないので),電話会議又は構外での会議が必要になる場合があるが,それによって重要な決定を迅
速に行える場合もある。
選んだ場所は,使用目的に合ったものであることが望ましく,また次に示す事項をそろえていてもよい。
− 必要な人数を収容できる広さ
− バックアップ手段も含めた,有効に機能する主要及び補助的コミュニケーション手段
39
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− ニュース報道の監視も含めて,情報を把握及び共有する施設
他の対応チームも同様の施設を必要とする場合もある。
8.4.4.3.2
コミュニケーション手順
コミュニケーション手順は,インシデント管理手順に含めてもよい。又は別のチームが使用するよう適
宜別にしてもよい。
インシデントの際に発信及び受信する数多くのコミュニケーションを積極的に管理及び統制する必要が
ある。この手順には,次に示す事項を含めることが望ましい。
a) 組織がどのように,またどのような状況で,従業員及びその近親者,主要な利害関係者,並びに緊急
連絡先と連絡をとるかについての詳細事項。
b) 次を含む,インシデント発生後の組織のメディア対応に関する詳細事項。
1) インシデントコミュニケーション戦略
2) メディアに対する優先連絡窓口
3) メディアに対する声明文を作成するための指針又はひな(雛)形
4) 情報をメディアに発表する権限を与え,教育訓練を受け力量を備えた,適切な人数の広報担当者
あらかじめ用意した情報がある場合には,インシデントの初期の段階では特に役に立つことがある。こ
れによって,インシデントの詳細はまだ確認中であっても,組織及びその事業については詳細情報を提供
できる。
次に示す事項が適切な場合もある。
− メディア又はその他の利害関係者グループとの連携を支援するために適切な場所を設置する。
− プレスからの電話による問合せに答えるための教育訓練を受けた力量のある人々を適切な人数任命す
る。
− ソーシャルメディアを含め組織が使えるあらゆるコミュニケーションチャンネルを使う。
− 組織とその業務に関する背景資料を準備する(この情報の公表については,事前に合意しておくこと
が望ましい)。
集団として組織に力を行使する又は影響力をもつ,圧力団体又は地域活動団体を,考慮することが必要
な場合もある。
その他の主要な利害関係者とのコミュニケーションを特定し,優先順位を付けるプロセスも含めること
が望ましい。利害関係者を管理するための別の手順を策定し,優先順位を付けるための基準を示し,各ス
テークホルダー又はステークホルダーグループごとに担当者を割り当てる仕組みを作成することが必要な
場合もある。
8.4.4.3.3
安全及び福祉の手順
組織は,インシデントによって,生命,生活及び福祉に直接的なリスクが生じる場合,従業員,請負業
者,来客及び顧客の福祉を守る直接的な責任をもつ。障害者又はその他の特殊なニーズがあるあらゆるグ
ループ(例えば,負傷による一時的障害,妊娠)に対して,特別な注意を払う必要がある。このような要
求事項を満たすために事前に計画を策定することは,リスクを低減し,影響を受けた人々を安心させるこ
ともある。インシデントの長期的影響を軽視してはならない。人の福祉を支援する適切な戦略を構築する
ことによって,組織における身体面及び精神面の回復を直接促すことにつながることもあり,このような
戦略では,関連する社会面及び文化面に関する配慮事項も考慮することが望ましい。
盛り込むことが望ましいとされる福祉対応の要素は,次による。
40
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 事業所での避難(内部の“現場避難所”も含む。)及び集合場所
− 安全チーム,救急チーム又は避難支援チームの動員
− 事業所又はそのすぐ近くにいた人々の所在及び人数確認
次に示す事項も含めてもよい。
− 通訳サービス
− 必要に応じて道順案内も含めた輸送支援
− 救急業務機関,適切な機関及び初期対応要員との連絡,並びにこれらの連絡先に関する情報
− 再配置した従業員又は請負業者の所在の確認
− 電話ヘルプラインの管理
− リハビリ及びカウンセリングサービス(身体面及び精神面)
組織は,インシデントの後に,被害を被った従業員から話を聞く及びカウンセリングを行うといったサ
ービスを提供する手段を保持し,長期にわたって提供してもよい。これらのサービスは外部のものを活用
しても,既存の労働衛生及び従業員支援プログラムの延長として提供してもよい。
組織は,救急業務機関と適宜連絡をとるため,適切なレベルの権限を与えられた従業員を配置すること
が望ましい。救急業務機関は,緊急事態時に,生命を守り,被害者を救済するうえで主要な役割を果たす。
したがって,組織及びその初期対応要員と救急業務機関との間で,早期に連絡をとり,事前に計画を策定
し,インシデントのときにリアルタイムで調整を行うことがインシデント対応の効率の向上につながるこ
ともある。
必要な資源は全て具体的に特定することが望ましい。資源は,時宜を得た形で利用可能な状態にするこ
とが望ましく,その意図された機能を果たす能力をもっていることが望ましい。資源の使用制限について,
考慮しておくことが望ましい。資源が使えない場合よりも,資源を使ったことによって大きな不利益が生
じるような事態は望ましくない。資源のコストが,資源による利益を上回らないことが望ましい。
福祉対応で必要となる可能性のある資源には,例えば,次のようなものがある。
− 装置(例えば,大形装置,保護装置,輸送装置,監視装置,除染装置,対応装置,個人保護具)の場
所,数量,アクセス可能性,操作性及び保守
− 用品(例えば,医療品,個人衛生用品,消耗品,事務用品,氷)
− エネルギー源(例えば,電気,燃料)
− 非常用電源(発電機)
− コミュニケーションシステム
− 食糧及び水
− 技術的情報
− 衣服及び避難所
− 専門家(例えば,医療,宗教,ボランティア組織,災害/緊急事態管理従業員,公共施設従事者,葬
儀屋及び民間請負業者)
− 専門ボランティアグループ(例えば,アマチュア無線,宗教的救済組織,慈善団体)
− ボランティア,地域社会及び緊急事態対応支援
− 国際,国家,都道府県及び地元の外部機関
8.4.4.3.4
財産の救出及び警備の手順
組織は,財産の救出及び警備に対処する文書化された手順を作成してもよい。これには,次に示す事項
41
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
に関する手引を盛り込んでもよい。
− 設備,装置及び文書化した情報に関する財産の救出の優先順位
− 緊急サービス機関から引き渡された後の構内の警備
− 組織は,インシデントが発生する前に,救出業務を専門とする請負業者を任命しておいてもよい。設
備,装置及び文書化した情報の効果的な救出によって,影響を限定的なものに抑え,通常の業務への
復帰の時期をより早められる場合もある。
8.4.4.3.5
事業活動再開の手順
各手順には,次に示す事項を規定することが望ましい。
− 再開する優先事業活動
− それを再開する時期
− 各優先事業活動に必要な復旧レベル
− その手順を使う可能性のある状態
各手順には,適切な場合,目的を達成するために様々な時点で必要となる資源の詳細を記載することが
望ましい。
− 資源の数量
− 技能及び資格
− 専門的な装置
− 電気通信設備
− 契約によって入手する,相互支援の合意によって入手する,又は入手可能と見込まれる,資源の入手
可能性
サービス又は資源の欠如によって,事業活動の再開が脅かされる場合,レベルを引き上げた活動を規定
しておくことが望ましい。これには,次の事項を含めてもよい。
− 外部及び第三者の資源の動員
− 復旧活動のコミュニケーション
− 手作業による回避策,システム復旧,代替プロセスなどの実施に関する手順
資源に関する要求事項は,文書化することが望ましく,次に示す事項を含めてもよい。
− 不可欠な記録(紙及び電子媒体)
− 作業マニュアル及び手順マニュアル
− IT技術復旧の計画及び手順
− 組織が利用している組織外に所在する保管施設の場所
− 代替場所
− 緊急事態用経費を支払う権限及び権限の委譲
− 運用部署が要求する専門知識を備えた従業員の一覧
− ITインフラストラクチャ及びアプリケーションの文書類
− 電気通信支援の調達先
− 事務機器及び専門装置の調達先
− 公共施設(水,電気など)の連絡先
42
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
8.4.4.3.6
ICTシステムの復旧
事業活動の再開に関する手順には,再開に不可欠なICTシステムを特定し,既存のあらゆるICT継続手
順について言及することが望ましい。
ICT継続手順がある場合,その手順では少なくとも次に示す事項について記載することが望ましい。
− 必要なICTの対応の発動及び復旧及びICT要員の動員
− バックアップデータにアクセスし,代替サービスの提供を受ける。
− データ,情報サービス及びコミュニケーションの修復及び支援
− 目標復旧時間内に事業活動が復旧するための,事業継続手順に規定する可用性の日程及び処理能力に
関する要求事項
注記 ISO/IEC 27031に詳細な手引が記載されている。
8.4.5
復旧
組織は,インシデント発生後,採用された暫定的処置から,平常の事業活動の要求事項を満たすことが
できるまでに,事業活動を回復し,復帰させるための手順を文書化して備えておくことが望ましい。この
手順では,関連する監査及び企業統治に関する要求事項を言及することが望ましい。
復旧の目的は,事業の中断・阻害を引き起こすインシデント発生後に平常の事業要求事項を支援するた
めの,事業活動を再構築することである。平常の事業活動への復帰は,次に示す形で実現してもよい。
− インシデントで生じた損害を修理する。
− 業務を一時的な施設から修復した主な事業所に戻す。
− 新しい場所に移る。
最良な形で“平常に復帰する”にはどうすればいいかに関する決定は,インシデントによって生じた損
害の深刻度と必要な施設の構築にかかる時間の推算値に基づいて下す必要がある。
文書化した手順では,状態及びその影響の詳細な評価,並びに復旧に必要な任務の決定について規定す
ることが望ましい。復旧に当たって,組織は,次に示す事項の実施が必要な場合がある。
a) 復旧のための資源及びインフラストラクチャを確定する。
b) 復旧施設で操業する。
c) 損害を受けた施設を修復する。
d) 緊急時の調達及び資金を確保する。
e) 損害を受けた施設内の装置を救出する。
f)
既存の保険契約の支払いを申し立てる。
g) 復旧の取組みを支援するため追加的な人材を確保する。
h) 復旧し,平常の事業に復帰するための選択肢を選ぶ。
i)
業務を復旧施設に移動する。
j)
損失した文書化した情報を復旧する。
k) 関連する利害関係者と適切な頻度でコミュニケーションを図る。
l)
復旧した施設で業務を通常に戻す。
m) 復旧後のレビューを実施する。
n) 監査及び企業統治に関する要求事項にデューデリジェンスを実施する。
復旧に関する文書化した手順には,優先事業活動と特定されたものだけではなく,あらゆる事業活動の
43
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
再開に関する手順を盛り込むことが望ましい。これは,優先順位の低い事業活動も,いずれかの時点で再
開する必要があり,それには資源が必要になる(8.3.2)という認識に基づくものである。
8.5
演習及び試験の実施
8.5.1
一般
組織の事業継続の手順及び取決めは,演習を実施するまで及びその最新版を維持していなければ,信頼
できるとは言えない。演習の実施は,準備した戦略,方針,計画及び手順が,適切かつ事業継続目的を満
たしていることを確実にするために必要不可欠なものである。演習の実施によって,チームワーク,力量,
自信及び知識が育成される。演習の実施には,事業継続手順を使用することが求められる可能性のある人
員を含めることが望ましい。
8.5.2
演習プログラム
どれほど完璧に設計し,考え抜かれたかのように見える手順であっても,堅固で実際的な演習を何回と
なく実施することによって修正が必要な部分が特定される。
演習プログラムは,関連するあらゆる法令及び規制に対して相応の注意を払い,事業継続手順の適用範
囲と整合していることが望ましい。
演習プログラムは,事業継続の手順及び取決めが,必要とされるときに予想したとおりに機能すること
について,一定の期間の中で,客観的保証を示すように作られていることが望ましい。演習プログラムは,
次に示す事項を満たすことが望ましい。
a) 事業継続手順の,技術,ロジスティクス,事務管理,手順及びその他の運用のシステムについて演習
を実施する。
b) この事業継続手順の中で責任を割り当てられている人員全てが演習を実施する。
c) 事業継続の取決め及びインフラストラクチャ(例えば,インシデント管理を行う場所及び作業領域を
含む)について演習を実施する。
d) 従業員の稼働可能性及び再配置を含めた,技術及び電気通信の復旧の妥当性を確認する。
演習の規模及び複雑さは,組織の事業継続目的に照らして適切であることが望ましい。
演習には,あらかじめ計画したスケジュールがあることが望ましい。その頻度は,組織のニーズ,組織
が操業する周囲の環境及び利害関係者の要求事項によって決めることが望ましい。しかし,演習プログラ
ムは,組織内の変化及び今までの演習の結果を考慮し,柔軟性をもたせることが望ましい。組織の中で顕
著な変化があれば,変更後の取決めを精査するため演習を計画してもよい。
演習プログラムでは,主要な外部の提供者,供給者及び復旧活動への参加が見込まれるその他の人員を
含めあらゆる関係者の役割を考慮することが望ましい。組織は,このような関係者を自らの演習に関与さ
せることが望ましく,また,このような関係者が実施する演習に参加してもよい。
演習の適用範囲及びきめ細かさは,組織の経験,資源及び能力に基づいた演習プログラムを通じて,成
熟していくことが望ましい。成熟度が低い早期の段階では,演習及び試験の実施は,チェックリストの使
用,訓練及び認識向上の演習にとどまる場合もある。演習プログラムが成熟するにつれて,机上演習及び
本番と同規模の現場でのシミュレーションなどを含める形で拡張してもよい。
8.5.3
事業継続計画の演習の実施
演習は,組織が特定の事業の中断・阻害を引き起こすシナリオに直面した際,それに対応し,復旧し,
割り振られた事業機能を継続して効果的に実施する組織の能力を試験するために設計した事業活動である。
組織は,事業継続計画の有効性及び即応能力を確保するため,演習及び文書に残した演習の結果を活用す
44
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
ることが望ましい。
演習及び試験は,毎回,明確に定められた狙い及び達成目標をもち,それらを満たすために適切なシナ
リオに基づいて実施することが望ましい。
演習は,次に示す事項を行ってもよい。
− あらかじめ定めた結果を想定する。例えば,事前に計画し,範囲も決めて置く。
− 組織が創造力を生かした解決策を開発する。
演習は,事業プロセスの中断・阻害を引き起こすリスク及び演習の直接的な結果として発生するインシ
デントのリスクを最小限に抑えるため,現実的なものであり,注意深く計画し,かつ関連する関係者と合
意しておくことが望ましい。これは,統制された他から切り離された環境の中で演習を実施することによ
って実現してもよい。ただし,その演習で試験しようとしている目的が損なわれないことが条件となる。
組織は,演習の目標を満たす演習シナリオを設計することが望ましく,リスクアセスメント又はその他
のしかるべき事象によって特定された脅威を利用してもよい。
事業継続の幾つかの側面の有効性には,特定の個人又は特定の地位についている個人が,特定の知識,
技能及び理解を備えていることが求められる。このような観点を,演習実施前に織込んでおき,演習参加
者が適用できるような適切なシナリオ及びシミュレーションにすることができるようにすることが望まし
い。
演習は,次に示す事項の一つ又は複数が特定できるよう,設計することが望ましい。
a) 目標復旧時間が達成可能であることの検証(8.3.1)
b) 事業活動で必要な情報が適切に最新状態になっていることへの信頼(8.3.2.3)
c) サプライヤ及びその他の利害関係者の事業継続に対する依存関係に関する理解の向上
d) 組織を取り巻く状況及び優先順位の認識の向上
e) 事業継続手順の内容及び使用に関する理解の向上
f)
インシデントに対応することへの自信の向上
g) 能力を向上する機会
h) 事業継続戦略の実用性及び適用可能性のアセスメント
i)
育成した能力及び資源の配分の妥当性の評価
j)
インシデント又は事業の中断・阻害を管理する際に使われる要求事項及び実務で今まで文書化してい
ないものの特定
k) 書面になっている事業継続手順及びその実施について,その他のあらゆる不備を特定する機会
l)
事業継続手順が必要なときに実施できるという保証
m) 組織の備えに関する利害関係者の信頼の向上
n) 規制,契約又は組織統治に関わる要求事項を満たす手段
演習は,様々な形態をとってもよい。演習の種類が適切か否かに関する判断は,BCMを取り巻く状況,
演習の目的,予算及び参加者の都合,並びに演習の実施による事業の中断・阻害に対する組織の許容度に
よる。
JIS Q 22398に演習の主な種類が記載されている。
演習の一環として,演習から学んだ課題及び教訓について議論するため,全参加者で行うレビューを予
定することが望ましい。この情報は,文書に残し,必要に応じて,手順の更新を行うことが望ましい。
45
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
組織は,演習の狙い及び目的の達成度について検討する,演習後の反省会及び分析を実施することが望
ましい。推奨事項及びその実施日程を盛り込んだ,演習実施報告書を作成することが望ましい。
演習及び実際に経験したインシデントから得た教訓は,その後に実施する演習の中で,再検討すること
が望ましい。手順の重大な欠陥又は不正確さが明らかとなった演習は,是正処置完了後に,もう一度実施
することが望ましい。
演習及び試験を実施する利点には,次のようなものがある。
− 計画した範囲,想定及び戦略の妥当性確認
− 専門的な設備及び資源が正しく機能することの保証
− 代替施設の能力の保証
− 効率の向上及びプロセスの完了に必要な時間の削減(例えば,対応時間を短縮するために,繰り返し
訓練を実施する)
− 利害関係者の認識の向上
− 参加者の力量及び認識の育成
9
パフォーマンス評価
9.1
監視,測定,分析及び評価
9.1.1
一般
BCMSのパフォーマンス及び有効性に関する手順には,パフォーマンス測定基準の設定,優先事業活動
保護のアセスメント,要求事項への適合の確認,過去の証拠の検討及びそれに続く是正処置を促進するた
めの文書化した情報の利用を盛り込むことが望ましい。手順は,事業継続方針及び目的にも言及すること
が望ましい。
パフォーマンスの監視に関する手順には,次に示す事項を盛り込むことが望ましい。
a) 組織のニーズに適した定性的及び定量的測定を含むパフォーマンス測定基準を設定する。
b) 組織の事業継続方針及び目的の達成程度を監視する。
c) 監視及び測定をいつ行うかを特定する。
d) 優先事業活動を保護するプロセス,手順及び機能のパフォーマンスを評価する。
e) 適用される法律,法令及び規制に関わる要求事項へのBCMSの適合を監視するパフォーマンスを事前
に評価する。
f)
不具合,インシデント,不適合(ニアミス及び誤報を含む)及びその他のBCMSパフォーマンス不良
の過去の証拠を監視するためのパフォーマンスを事後に再評価する。
g) 後の是正処置分析を促すために十分な監視及び測定について,データ及び結果を記録する。
上記の手順では,組織の事業継続の体系的な測定,監視及び評価の定期的実施について規定することが
望ましい。BCMS及びその結果の両方を測定するための一連のパフォーマンス測定基準を設定することが
望ましい。測定は,定量的なものでも,定性的なものでもよい。パフォーマンス測定基準は,管理,運用,
経済のいずれに関するものでもよい。測定基準は,成功の領域,及び,修正又は改善が必要な領域の両方
を特定するために役に立つ情報を提供するものであることが望ましい。
BCMSは,傾向を特定し,そのパフォーマンスに関する情報を取得するため,監視及び測定から得たデ
ータを提供することが望ましい。このデータは,組織の方針及び目的が達成されていることを確認し,同
様に是正処置及び改善の必要な領域を特定することを確実にするために利用することが望ましい。
46
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
組織は,法的要求事項及び組織が認可するその他の要求事項を特定し,評価し,順守していることを示
せることが望ましい。定期的な評価の全て,及びその結果の記録を維持することが望ましい。
組織は,監視及び測定から得た結果を分析し,あらかじめ定められた間隔で評価することが望ましい。
9.1.2
事業継続手順の評価
組織は,その事業継続手順の適切性,妥当性及び有効性の継続を確保するために,それらの評価を実施
することが望ましい。
この評価では,例えば,演習の結果,インシデント発生後のレビュー,周囲環境の変化,継続的改善へ
のコミットメントなどの視点から,方針,目的,戦略及びその他のBCMS要素の変更が考えられる必要性
について検討することが望ましい。
評価は,内部監査,外部監査,自己アセスメントなどいずれの形態をとってもよい。レビューの頻度及
び時期は,組織の規模,性質及び法的地位によって,法律及び規制の影響を受ける場合もある。また,利
害関係者の要求事項の影響も受ける可能性がある。
組織の事業継続手順の評価では,次の事項を検証することが望ましい。
a) 主要な製品及びサービス全て,並びにそれらを支援する事業活動及び資源が特定されており,組織の
事業継続戦略に含まれているか
b) 組織の事業継続方針,戦略,枠組み及び手順が組織の優先順位及び要求事項(組織の目的)を正確に
反映したものか
c) 人員の力量及び組織の事業継続が,効果的でかつ目的に適したものであり,事業の中断・阻害を引き
起こすインシデントへの組織の対応に関する管理,指揮,統制及び調整が可能か
d) 組織の事業継続方策が効果的かつ最新のもので,目的に適しており,更に組織が直面するリスクレベ
ルに適したものか
e) 組織の事業継続の維持及び演習プログラムが効果的に実施されているか
f)
事業継続戦略及び手順に,インシデント及び演習の際並びに維持プログラム中に特定された改善策が
取り込まれているか
g) 組織が事業継続の教育訓練及び認識向上に関する継続的なプログラムを備えているか
h) 事業継続手順が関連する従業員に効果的に伝達され,それらの従業員が自らの役割及び責任を理解し
ているか
i)
変更管理プロセスが準備され,効果的に運用されているか
明確に定められ,文書化した維持プログラムが確立されていることが望ましい。このプログラムは,次
に示す事項を満たすことが望ましい。
− 組織に影響する(内部又は外部の)あらゆる変化をBCMとの関連でレビューすることを確実にする。
− BCMSに取り込む必要のあるあらゆる新規製品及びサービス,並びにそれが依存する事業活動を特定
する。
− 組織の事業継続が効果的で,目的に適い,最新の状態に保たれることを確実にする。
− 事業継続戦略又は関連する事業プロセスに顕著な変更が生じた場合は,既存の演習スケジュールを修
正できる。
注記 大きな事業の変化の影響を評価する効果的な方法は,最も早い機会に,事業影響度分析(8.2.2)
のレビューを行うことであり,その結果に基づいて,BCMの他の要素を変更する。
この維持プロセスの結果には,次に示す事項が含まれることが望ましい。
47
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− 組織のBCMの積極的なマネジメント及び統治を示す文書化した証拠
− 事業継続の戦略及び手順を実施する中核となる人員が教育訓練を受け,力量を備えていることの検証
− BCMの運用に関する計画策定及び管理の検証
− 組織が事業継続手順への適合を評価したことの証拠
− 組織の体制,製品及びサービス,並びに事業活動における顕著な変化が,組織の事業継続手順に時宜
を得た形で反映されてきたことを示す証拠
組織の優先事業活動に中断・阻害を引き起こすインシデント又は対応が必要なインシデントが発生した
場合には,インシデント発生後のレビューを実施することが望ましい。これには,次に示す事項が挙げら
れる。
− インシデントの性質及び原因を特定する。
− 経営の対応の妥当性を評価する。
− 目標復旧時間を達成するうえでの組織の有効性を評価する。
− 従業員によるインシデントへの備えについて,事業継続の取決めの妥当性を評価する。
− 事業継続の取決めに対して実施すべき改善点を明確にする。
− 事業影響度分析(8.2.2)で検討された影響と実際の影響を比較する。
− 利害関係者及び対応した人員からフィードバックを得る。
組織は,継続的改善という意味で,新しいツール及び手法を含めた,BCMの新しい技術及び実践に関す
る知識を入手してもよい。組織にとっての潜在的な利点を確立するため,これらを評価することが望まし
い。
定期的なあらゆる評価及びそれらの結果に関連する文書化した情報は,評価の証拠として維持すること
が望ましい。
9.2
内部監査
組織は,BCMSが組織自らの要求事項及びこの規格の要求事項に適合していることを確認するためあら
かじめ定めた間隔で内部監査を実施することが望ましい。
BCMSがその目的を達成する途上にあり,計画した取決めに適合し,適切に実施及び維持してきたこと
を確実にし,かつ改善の機会を特定するためには,内部監査を実施することが必要不可欠である。
BCMSの内部監査は,BCMSの適切性及び有効性について見極めてトップマネジメントにその情報を提
供し,同様にBCMSパフォーマンスの継続的改善に関する目的設定の基礎を提供するためあらかじめ定め
た間隔で実施することが望ましい。
組織は,監査の計画策定及び実施の総括管理をする監査プログラム(JIS Q 19011参照)を確立し,この
プログラムの目標を満たすために必要な監査を特定することが望ましい。監査プログラムは,リスクアセ
スメント及び事業影響度分析,過去の監査結果,並びにその他の関連する要因の観点から,その組織の事
業活動の性質に基づいたものであることが望ましい。
内部監査プログラムは,BCMSの適用範囲全体に基づくものであることが望ましいが,個々の内部監査
で一度にBCMS全体を網羅する必要はない。組織によって決められた監査周期内に,監査プログラムの中
で,組織の全ての事業部,部署,事業活動及びシステムの要素,並びにBCMSの全対象範囲が監査されて
いることが,確実にされている場合は,監査の範囲を小さく分けてもよい。
BCMS内部監査の結果は,報告書の形式で提供し,個々の不適合に対して是正又は予防処置を講じるた
48
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
めに活用し,インプットしてマネジメントレビューの実施に際して提供することもある。
BCMS内部監査は,組織内の要員が実施しても,又は組織が選んだ外部の人員が組織に代わって実施し
てもよい。いずれの場合も,内部監査を行う人員は,力量を備え公平かつ客観的に監査ができる立場であ
ることが望ましい。規模の比較的小さい組織では,監査を受ける事業活動に関する責任をもっていない監
査員が実施することよって,監査員の独立性を示してもよい。
9.3
マネジメントレビュー
トップマネジメントは,事業継続の手順及び能力の効果的運用を含め,組織のBCMSが引き続き,適切,
妥当かつ有効であることを確実にするために,あらかじめ定めた間隔で,BCMSをレビューすることが望
ましい。
マネジメントレビューには,次に示す事項の評価を盛り込むことが望ましい。
− 前回までのマネジメントレビューの結果とった処置の状況
− 不適合及び是正処置から見えてくる傾向,監視及び測定の結果並びに監査による指摘事項を含めたマ
ネジメントシステムのパフォーマンス
− マネジメントシステムに影響を与える可能性のある組織及びそれを取り巻く状況(4.1)の変化
− 継続的改善の機会
マネジメントレビューは,マネジメントシステムが適切,妥当かつ効果的な状態を継続していることを
評価する機会をトップマネジメントに提供する。マネジメントレビューでは,一度にBCMSの全要素をレ
ビューする必要はなく,マネジメントレビュープロセスを一定期間かけて実施してもよいが,BCMSの適
用範囲を網羅することが望ましい。
トップマネジメントによるBCMSの実施及び結果のレビューは,定期的に実施するよう日程を決め,評
価することが望ましい。BCMSは継続的にレビューされることが望ましいが正式なレビューを体系化し,
適切に文書化し,適切な根拠に基づいて開催日程を決めることが望ましい。BCMSの実施及びその資源の
配分に関与する人員は,マネジメントレビューに関与することが望ましい。
定期的な日程で開催するマネジメントシステムレビューに加えて,次の要因がきっかけでレビューを実
施してもよい。また,そうでない場合は,レビューの開催が決まったときにこれらの要因を検討すること
が望ましい。
a) 業界の傾向 産業・分野の主要な業界の主導によってBCMSのレビューを開始することが望ましい。
産業・分野及び事業・業務継続計画策定手法における全体的傾向及びベストプラクティスをベンチマ
ーキングのために利用してもよい。
b) 規制要求事項 新しい規制要求事項によって,BCMSのレビューが必要になる場合もある。
c) インシデントの経験 事業の中断・阻害を引き起こすインシデントへの対応を実施した後,対応手順
が発動したかどうかにかかわらず,レビューを実施することが望ましい。対応手順が発動した場合は,
レビューは,対応手順実施の履歴,どのように手順が機能したか,なぜ発動したかなどについて考慮
することが望ましい。対応手順を発動しなかった場合は,レビューで,なぜ発動しなかったのか,そ
れが適切な決断だったのかについて検討することが望ましい。
マネジメントレビューは,BCMSの効率及びパフォーマンスの改善につながることが望ましい。マネジ
メントレビューの結果,次のような変更を行ってもよい。
− BCMSの適用範囲の変更
49
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
− BCMSの有効性の改善
− 事業継続手順の更新
− 管理策の変更及び管理策の有効性の測定方法の変更
組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持することが望ましい。また,
組織は次に示す事項を実施することが望ましい。
− マネジメントレビューの結果を該当する利害関係者に伝達する。
− マネジメントレビューの結果に関する適切な処置をとる。
10 改善
10.1 不適合及び是正処置
組織は,不適合を特定し,不適合を管理し,封じ込め修正する処置を講じ,不適合によって起こった結
果に対処し,不適合の原因を除去する処置の必要性について評価することが望ましい。
組織は,BCMSに関連した要求事項の不履行,計画したアプローチ及びBCMSに関連した弱点を特定し
その再発を予防するため,時機を得た形で伝達する。また,根本原因を特定し対処することを徹底する効
果的な手順を確立することが望ましい。この手順によって,不適合の実際の原因及び潜在的原因を継続的
に検知,分析及び除去できることが望ましい。
不適合は,特定され,時宜を得た形で対処することが望ましく,不適合に対処する是正処置を講じるこ
とが望ましい。是正処置は,その問題点を明確に記述し,理解でき,明確な不適合の記述が基になる。
不適合が特定された場合は,全てその根本原因の調査を行うことが望ましく,その問題に直ちに対処す
るため是正処置計画を作成することが望ましい。この是正処置計画は,不適合が引き起こすあらゆる結果
を軽減し,状況を是正し,平常の業務を復旧し,その問題の再発を防止するために原因を除去するうえで
実施する変更を特定するために作成することが望ましい。是正処置の性質及び実施時期は,不適合及びそ
れが引き起こす潜在的な結果の規模及び性質に照らして適切なものであることが望ましい。
潜在的な問題が見つかっても,不適合は顕在化していない場合もある。潜在的な問題が,BCMS内部監
査,業界の傾向又は事象の分析の際に特定された顕在化した不適合に対する是正処置から推定されること
もある。潜在的な不適合の特定は,潜在的問題又は顕在化した問題に気づき及び伝達することの重要性を
認識している人員の日常における責任の一部となっていることもある。
顕在化した及び潜在的な不適合に対処し,継続的に是正処置を講じる手順を確立することは,BCMSの
信頼性及び有効性の確保に役立つ。この手順では,是正処置の計画作成及び実施における責任,並びに権
限及び踏むべきステップを定めることが望ましい。トップマネジメントは,是正処置を実施し,その有効
性を評価する体系的なフォローアップの仕組が存在することを確実にすることが望ましい。
10.2 継続的改善
組織は,BCMSの有効性を継続的に改善することが望ましい。
継続的改善は,PDCAサイクルの中のあらゆるレベルで実施し,事業継続方針及び目的,監査の結果,
監視した事象の分析,是正処置,並びにマネジメントレビューによって促進することが望ましい。
是正処置による変更は,BCMSの文書類に反映させることが望ましい。
継続的改善には,問題及び不適合を適切に特定し,それらを修正するプロセスが必要である。このプロ
セスは,問題の性質及びその問題を取り巻く環境に対処することが望ましく,問題が再発しないことを確
実にするために,環境を変更することも含んでいることが望ましい。改善が,最初に見つかった問題だけ
50
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
に対応するのではなく,より広くより徹底した効果を組織にもたらすことができるように,各ステップは,
それまでのステップの上に更なる改善を積み上げていくことが望ましい。
是正処置の実施は,効果的であると実証されていることが望ましい。それぞれの是正処置には,完了予
定日を設定することが望ましい。完了予定日の後は,組織は決められていた是正処置が完了し,有効であ
ることを確実にすることが望ましい。レビューによって是正処置が計画どおりに完了していないことが判
明した場合は,処置について新たな日付を設定することが望ましい。
継続的改善プロセスは,是正処置と同じ基本プロセスに従っていることが望ましく,次に示す事項を盛
り込むことが望ましい。
− 対処すべきこと及び現在の状態(不適合)を特定する。
− 現在のプロセス及び管理策(根本原因)を特定する。
− どのような変更(是正措置)を行うかを決定する。
是正処置は,BCMSの中の不具合に対処して,意図したとおりにBCMSが機能することを確実にするも
のである。一方,継続的改善は,BCMSの効率及び有効性を更に高いレベルに引き上げるものである。
51
Q 22313:2014 (ISO 22313:2012)
2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。
参考文献
[1] JIS Q 19011 マネジメントシステム監査のための指針
注記 対応国際規格:ISO 19011,Guidelines for auditing management systems(IDT)
[2] JIS Q 20000-1 情報技術−サービスマネジメント−第1部:サービスマネジメントシステム要求事項
JIS Q 20000-2 情報技術−サービスマネジメント−第2部:サービスマネジメントシステムの適用の
手引
注記 対応国際規格:ISO/IEC 20000 (all parts),Information technology−Service management(MOD)
[3] JIS Q 22398 社会セキュリティ−演習の指針
注記 対応国際規格:ISO 22398,Societal security−Guidelines for exercises(IDT)
[4] ISO/PAS 22399,Societal security−Guideline for incident preparedness and operational continuity
management
[5] JIS Q 27002 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範
注記 対応国際規格:ISO/IEC 27002,Information technology−Security techniques−Code of practice for
information security controls(IDT)
[6] ISO/IEC 27031,Information technology−Security techniques−Guidelines for information and
communication technology readiness for business continuity
[7] BS 25999-1,Business continuity management−Code of practice, British Standards Institution (BSI)
[8] BS 25999-2,Business continuity management−Specification, British Standards Institution (BSI)
[9] HB 221,Business continuity management, Standards Australia/Standards New Zealand
[10] SI 24001,Security and continuity management systems−Requirements and guidance for use, Standards
Institution of Israel
[11] NFPA 1600,Standard on disaster/emergency management and business continuity programs, National Fire
Protection Association (USA)
[12] 事業継続計画策定ガイドライン,経済産業省(日本),2005年
[13] 事業継続ガイドライン,中央防災会議,内閣府,日本政府,2005年
[14] ANSI/ASIS SPC/1,Organizational Resilience: Security, Preparedness, and Continuity Management Systems
−Requirements with Guidance for Use
[15] ANSI/ASIS/BSI/BCM.01,Business Continuity Management Systems: Requirements with Guidance for Use
[16] SS 540:2008,Singapore Standard for Business Continuity Management