BCMSに関する規格及び認証制度の概要

Business Continuity Management System
BCMSに関する規格及び
認証制度の概要
財団法人日本情報処理開発協会
情報マネジメント推進センター
２００８年７月
http://www.isms.jipdec.jp
Copyright JIPDEC BCMS, 2008
1
Business Continuity Management System
事業継続マネジメント（BCM）










BCP・BCMの規格・ガイド（1/2）～（2/2）
BCP・BCMの国際標準化
ISO/TC 223の構成
BCP・BCMの定義
BCMライフサイクル（1/3）～（3/3）
BCMプログラムの適用範囲
経営トップのコミットメント
事業インパクト分析（BIA；Business Impact Analysis）
リスクアセスメント
BCPの概念図
Copyright JIPDEC BCMS, 2008
2
Business Continuity Management System
BCP・BCMの規格・ガイド(1/2)
 日本の現況
 経済産業省商務情報政策局
2005年３月「企業における情報セキュリティガバナンスのあり方に関する検討会報告書」
（http://www.meti.go.jp/policy/netsecurity/downloadfiles/sec_gov-report.pdf)にて、事業継続計画
（BCP）策定ガイドラインを公開。IT事故を想定しつつも、広く他の要因も視野に入れた事業継続計画
を策定する際にも活用できるような構成としている。
 内閣府中央防災会議
2005年８月「事業継続ガイドライン」（http://www.bousai.go.jp/MinkanToShijyou/guideline 01.pdf）
を公開。あらゆる事象の中から、想定しやすい大規模地震を取り上げて構成されている。その他、事
業継続計画に関わる評価項目も定義している。
 中小企業庁事業環境部
2006年２月「中小企業BCP策定運用指針」（http://www.chusho.meti.go.jp/bcp/）を公開。中小企業
であっても事業継続を確保できるよう、自己診断や計画策定を支援するようなツールをWeb経由で利
用できるように設計されている。
 内閣官房（情報セキュリティセンター）
電気、ガス、水道、金融、通信、運輸といった重要インフラの脆弱性を相互依存性も含めて解析。
2007年度中にそれぞれの業界における安全基準を策定し、重要社会インフラの弾力性のある回復
力の確保を目指す。
Copyright JIPDEC BCMS, 2008
3
Business Continuity Management System
BCP・BCMの規格・ガイド(2/2)
英国の現況







GPG（Good Practice Guidelines）の発行（2002年）
PAS 56（Publicly Available Specification）の発行（2003年）
BS 25999-1（事業継続管理-第１部：実践）の発行（2006年11月）
BS 25999-2（事業継続管理-第２部：仕様）の発行（2007年11月）
UKASパイロットプロジェクトの開始（2007年10月）
〃
の終了（2008年上期見込）
〃
本格運用の開始（2008年下期予定）
米国の現況



米国規格協会/全米防火協会（ANSI/NFPA 1600）
米国証券業協会（SIA）
国土安全保障省（DHS）
Copyright JIPDEC BCMS, 2008
4
Business Continuity Management System
BCP・BCMの国際標準化

BCPの国際標準化の現況
 ISO/TC 223（社会セキュリティ Societal Security）（第1回総会開催
2006年5月）
（全ての組織を対象とし、自然災害、テロなどから組織を守る為の危機
管理、事業継続に
関する国際統一規格化を検討している。）
WG1（社会セキュリティマネジメント枠組規格）
TG1（緊急事態準備（BCP）に関する規格）
 BCP（IPOCM）ガイドラインに関するPAS（一般公開文書は３年間有効
で規格ではない。）を提出（投票開始 2007年3月）
 投票で承認され、2007年11月にPAS 22399（一般公開文書）として公
表された。
 危機管理・セキュリティに関する各側面のISO化（見通し）
注：ISOでは、BCPではなく IPOCM（Incident Preparedness and
Operational Continuity Management）という語を用いている。
Copyright JIPDEC BCMS, 2008
5
Business Continuity Management System
ISO/TC 223の構成
ISO/TC 223
社会セキュリティ
（Societal
WG1
Framework standard on
societal security
WG3
WG2
Fundamentals and
Principles for command
control, coordination and
cooperation
TG1
・IPOCM規格開
（注）
TG2
・ISO/PAS 22399：2007の
国際規格化
・社会セキュリティマネジメン
システム規格開発
注：TG1は、2007年11月にISO/PAS 22399：2007を発行して解散した。
Copyright JIPDEC BCMS, 2008
6
Business Continuity Management System
BCP・BCMの定義
英国規格協会（BSI）が策定したBS 25999-1「事業継続管理第1部実践規
範（Business Continuity management – Part1：Code of practice）では、次のよ
うに定義されている。
BCP（Business Continuity Plan）
組織が予め定めた許容可能なレベルで、その重要な活動を実施し続け
ることを可能とするため、何らかのインシデント発生時に備え、開発され、まと
められ、維持されている文書化された一連の手順及び情報の集合体。

BCM（Business Continuity Management)
組織への潜在的脅威や、そうした脅威が現実となった場合に引き起こされ
る可能性のある事業運営上の影響を特定する包括的なマネジメントプロセス。
このプロセスにより、組織の主要なステークホルダー（利害関係者）の利益や、
組織の評判、ブランド、及び価値創造活動を守ることについて効果的に対処で
きるようになり、組織のレジリエンシーを構築するためのフレームワークが提
供される。

Copyright JIPDEC BCMS, 2008
7
Business Continuity Management System
BCMライフサイクル（1/3）
組織文化へのBCMの定着
BCMプログラムの適用範囲と構造は多様で
り、どれだけの労力を掛けるかは個々の組織
のニーズによって変わるが、本質的な要素は
実行する必要がある。
組織の理解
・BCMプログラムマネジメント
・組織の理解
・事業継続戦略の決定
訓練、維持
及び見直し
BCM
プログラム
マネジメン
BCM戦略の
決定
・BCMの開発と実装
・BCMの訓練、維持管理及びレビュー
・組織文化へのBCM導入
BCM対応の
開発と導入
公共・民間・非営利・教育・製造などあらゆる分野のあらゆる規模で実装できる。
（出典：BS 25999-1：2006）
Copyright JIPDEC BCMS, 2008
8
Business Continuity Management System
BCMライフサイクル（2/3）
 BCMプログラムマネジメント
BCMプロセスの中核である。効果的なプログラムマネジメントにより、事業
継続に対する組織のアプローチが確立される。
 組織の理解
BCMライフサイクルの要素の狙いは、組織の主要な製品及びサービス、並
びにそれをサポートする重要な活動及びリソースの洗い出しを通じて、組織の
理解を可能とする。これらの要素は、BCMプログラムを組織の目標、義務、法
令で課せられた義務を確実に一致させるべきである。
 事業継続戦略の決定
BCMライフサイクルの要素は、「組織の理解」に続くものである。事業インパ
クト分析（BIA）の結果、組織は自らの目標達成を可能にするための適切な継
続戦略を選択できる状態にある。
（出典：BS 25999-1：2006）
Copyright JIPDEC BCMS, 2008
9
Business Continuity Management System
BCMライフサイクル（3/3）
 BCMを実現する手法の開発と実装
BCMライフサイクルの要素は、重要な活動の継続、並びにインシデントマネ
ジメントを確実なものとするための適切な計画及び取決めを開発し実装する
ことに関するものである。
 BCMへの取組みに関する訓練、維持管理、レビュー
BCMライフサイクルの要素は、訓練及びレビューによって、組織における
BCMの有効性が確認され、最新の状態に維持するよう徹底するものである。
 組織文化へのBCM導入
事業継続を成功させるためには、事業継続は組織の規模や業種にかかわ
らず、組織のマネジメント手法の一部とならなければならない。BCMプロセス
の各フェーズにおいて、組織にBCM文化を導入し、強化する機会を捉える。
（出典：BS 25999-1：2006）
Copyright JIPDEC BCMS, 2008
10
Business Continuity Management System
BCMプログラムの適用範囲
経営トップは、組織の目標、責任、法令で課せられてい
る義務をサポートする主要な製品及びサービスを明確に
することにより、BCMプログラムの適用範囲を決めること
ができる。何が主要かという決断は、事業インパクト分析
と整合が取れたものであることが望ましい。ただ、何が主
要かという判断は、事業インパクト分析よりも高い階層で
検討・実施されるものである。
（出典：BS 25999-1：2006）
Copyright JIPDEC BCMS, 2008
11
Business Continuity Management System
経営トップのコミットメント
BCMを進めるにあたっての前提となることである。BCMの成
否は、経営トップの推進が必要であり、これを行うことにより、
組織全体の士気が上がり従業員の協力を得やすくなる。また、
組織全体を通じて「役割」、「責任」の明確化を行わなければな
らない。
Copyright JIPDEC BCMS, 2008
12
Business Continuity Management System
事業インパクト分析
（BIA；Business Impact Analysis）
事業機能及び事業中断（混乱）が事業機能に与える可能性
のある影響を分析するプロセス。
BIAはBCP策定の基礎分析であり、性格上「業務プロセス分
析」といえる。「業務プロセスの分析（脆弱性の分析）、リソー
ス分析」があり、続いて「特定されたリソースに対するリスク分
析」となる。このリソースとは、重要な業務、工程、部門、キー
パーソン、システム、データ、物流など、企業に応じて様々であ
る。その結果に応じて、リソースが万一なくなった場合、どのよう
にリソースを機能させていくかという「優先復旧順位の決定」を行
うことである。
Copyright JIPDEC BCMS, 2008
13
Business Continuity Management System
リスクアセスメント
BCMにおいては、組織の重要な活動並びに混乱するリス
クを観点に、リスク量を理解することが望ましい。
重要な活動は、人的、サイト、技術、情報、供給者、ステー
クホルダー（利害関係者）などのリソースによってサポートさ
れている。
組織は、これらのリソースに対する脅威、各リソースの脆
弱性、そしてある脅威がインシデントへと顕在化して事業の
中断、若しくは混乱を発生させた場合に起こり得る影響を理
解することが望ましい。
どのリスクアセスメント手法を選択するかは、組織の判断
に委ねられるが、選択された手法はすべての組織の要求
事項に対応することが重要である。
（出典：BS 25999-1：2006）
Copyright JIPDEC BCMS, 2008
14
Business Continuity Management System
BCPの概念図
発生
災害
操業度（
製品供給量など）
事前
事後（初動対応＆復旧対応）
目標
許容限界
復旧
100％
②
目標
③
許容限界
時間軸
①
現状の予想復旧曲線
①目標と現状の復旧期間の乖離。
BCP実践後の復旧曲線
②許容される期間内に操業度を復旧させる。
③許容限界以上のレベルで事業を継続させる。
Copyright JIPDEC BCMS, 2008
15
Business Continuity Management System
事業継続マネジメントシステム





BCMSの定義
BCMSに適用されるPDCAモデル
BCMSの要求事項の概要（1/2）～（2/2）
事業継続マネジメントライフサイクル
BCMSの文書及び記録
Copyright JIPDEC BCMS, 2008
16
Business Continuity Management System
BCMSの定義
That part of the overall management system that establishes,
implements, operates, monitors, reviews, maintains and improves
business continuity.
マネジメントシステム全体の中で、事業継続の確立、導入、運用、監視、
レビュー、維持及び改善を担う部分。
NOTE：The management system includes organizational structure,
policies, planning activities, responsibilities, procedures, processes and
resources.
注：マネジメントシステムには、組織の構造、方針、計画作成活動、責任、
手順、プロセス及び経営資源が含まれる。
（出典：BS 25999-2：2007）
Copyright JIPDEC BCMS, 2008
17
Business Continuity Management System
BCMSに適用されるPDCAモデル
BCMSの継続的改善
Plan（計画）
BCMSの
確立
利害関係者
利害関係者
Act（処置）
事業継続の
事業継続の
要求事項
要求事項
及び期待
及び期待
BCMSの
維持
及び
改善
構築・維持
及び
改善サイクル
BCMSの
監視
及び
レビュー
利害関係者
利害関係者
BCMSの
導入
及び
運用
Do（実行）
運営管理された
運営管理された
事業継続
事業継続
Check（点検）
Plan（計画）
組織の全般的方針及び目的に従った結果を出すためのリスクマネジメント、及び事業継続の改善に関連した事業継続の方
針、目的、目標、管理手法、プロセス及び手順を確立する。
Do（実行）
事業継続の方針、管理手法、プロセス及び手順を導入し、運用する。
Check（点検）
事業継続の目的及び方針のパフォーマンスを監視し、レビューする。また、その結果をレビューのために経営陣に報告し、修
正及び改善のための処置を決定し、承認する。
Act（処置）
マネジメントレビューの結果に基づいて予防処置及び是正処置を実施し、またBCMSの適用範囲並びに事業継続の方針及
び目的を再評価することにより、BCMSを維持し、改善する。
Copyright JIPDEC BCMS, 2008
（出典：BS 25999-2：2007）
18
Business Continuity Management System
BCMSの要求事項の概要（1/2）
 BCMSの確立及び管理
BCMSの境界を明確にすること。また、目的が明確に提示、理解及び周知され、
BCMに対するトップマネジメントのコミットメントが実証され、経営資源が割当てら
れ、BCMに責任をもつものがその役割を遂行する能力があることを確実にするこ
と。組織の文化にBCMを組み込むこと。BCMSの文書及び記録。
 BCMSの導入及び運用
・組織の理解
組織が重要な活動及び主要な製品及びサービスをサポートするための経営資
源を特定し、それらに対する脅威を理解し、適切なリスク対応を選択できるように
する。
・事業継続戦略の決定
組織が目標復旧時間内に重要な活動を復旧させることを可能にするBCMの取
組みを特定する。
（出典：BS 25999-2：2007）
Copyright JIPDEC BCMS, 2008
19
Business Continuity Management System
BCMSの要求事項の概要（2/2）
 BCMSの導入及び運用（続き）
・BCM対応の開発及び導入
組織がいかなるインシデントも管理し、その重要な活動を継続するための、適
切なBCM計画及び取組みを開発し、導入できるようにする。
・BCMの取組みの演習、維持及びレビュー
継続的なBCMへの取組みの有効性を検証し、インシデント後に重要な活動が
要求通り復旧することについて、より大きな確実性を提供する。
 BCMSの監視及びレビュー
経営陣がBCMSの有効性及び効率を監視及びレビューし、事業継続方針、目的
及び適用範囲の適切性をレビューし、修正及び改善のための処置を決定及び承
認することを確実にする。
 BCMSの維持及び改善
マネジメントレビューで決定された通り、予防処置及び是正処置をとることによっ
て、BCMSの有効性及び効率を維持及び改善する。
Copyright JIPDEC BCMS, 2008
（出典：BS 25999-2：2007）
20
Business Continuity Management System
事業継続マネジメントライフサイクル
事業継続マネジメントシステムの継続的改善
組織の理解
組織の理解
演習、維持
演習、維持
及びレビュー
及びレビュー
BCMプ
ログラム
マネジメ
ント
BCM戦略の
BCM戦略の
決定
決定
確立
確立
利害
関係者
維持及び
維持及び
改善
改善
事業継続の
要求事項
及び期待
BCM対応の
BCM対応の
開発と導入
開発と導入
事業継続ライフサイクルは、組織内での事業継続プログラ
ムの継続的な運用を意味する。
利害
関係者
導入及び
導入及び
運用
運用
監視及び
監視及び
レビュー
レビュー
運営管理された
事業継続
PDCAサイクルは、事業継続が効果的に管理され、改善されるこ
とを確実にする手段である。PDCAサイクルは、BCMライフサイ
クルのすべての部分に適用される。
Copyright JIPDEC BCMS, 2008
21
Business Continuity Management System
BCMSの文書及び記録
BCMS文書
参照先
a)BCMSの適用範囲及び目的、並びに手順
3.2.1 BCMSの適用範囲及び目的
b)BCMの方針
3.2.2 BCMの方針
c)経営資源の提供
3.2.3 経営資源の提供
d)BCM要員の力量及び関連する教育・訓練記録
3.2.4 BCM要員の力量
e)事業インパクト分析
4.1.1 事業インパクト分析
f)リスクアセスメント
4.1.2 リスクアセスメント
g)事業継続戦略
4.2 事業継続戦略の決定
h)インシデント対応体制
4.3.2 インシデント対応体制
i)事業継続計画及びインシデントマネジメント計画
4.3.3 事業継続計画
及びインシデントマネジメント計画
j)BCMの演習
4.4.2 BCMの演習
k)BCMの取組み維持管理及びレビュー
4.4.3 BCMの取組みの維持及びレビュー
l)内部監査
5.1 内部監査
m)BCMSのマネジメントレビュー
5.2 BCMSのマネジメントレビュー
n)予防処置及び是正処置
6.1 予防処置及び是正処置
o)継続的改善
6.2 継続的改善
Copyright JIPDEC BCMS, 2008
22
Business Continuity Management System
BCMS認証制度








BCMSの対象
BCMS実証運用の概要
BCMS実証運用実施体制
BCMS実証運用スケジュール
事業継続に必要なスキルと人材
事業継続管理に必要なスキル・セット分野
既存のガイド等の関連性
BCMに関する取組み（JIPDEC）
Copyright JIPDEC BCMS, 2008
23
Business Continuity Management System
BCMSの対象




BCP/BCMは、わが国においてはこれまで自然災害を主たる対
として検討されてきた。
しかし、近年事業形態の流れとしてIT依存度が高まるなか、ITシ
ステムなくして事業継続を考えることは不可能になってきている。
視点を変えると、今日、多くの場合、事業の継続性は直接・間接
にITシステムに依存していること、ITシステムに対する脅威は、企
業・組織全体に対する事業に影響を及ぼすものであることを認識
して、BCMSを構築することが事業継続性の確保のための有効な
アプローチであり、そうした方法論に対するニーズが高くなってき
ている。
BCMライフサイクルが効果的に運用管理され、改善されることを
確実にするマネジメントシステムがBCMSである。BCMSはITシス
テムと密接に関わっているため、ISMSやITSMSなどの既存のIT
関連の規格との整合性からのアプローチも有効である。
Copyright JIPDEC BCMS, 2008
24
Business Continuity Management System
BCMS実証運用の概要
（１） BCMS実証運用の目的
BCMS適合性評価制度の正式運用を実施するための準備として、
平成20年度の実施をBCMS実証運用と位置付け、実証運用により
組織の認証審査等を評価することを目的とする。
実証運用時に適用する認証規格はBCMS認証基準（BS25999-2）
とし、実証運用を通じて正式運用時のBCMS認証基準の内容も検討
していくこととする。
（２）実施方法
BCMS実証運用の実施では、当協会は申請された認証機関の評価を
行い、認証機関は組織へのBCMS認証を行う。
なお、実証運用では「仮認定」、「仮認証」とし、実証運用期間終了後、
審査等を経て正式な「認定」、「認証」に移行する。
（３）審査員の力量
マネジメントシステムの審査スキルのほか、事業継続に関する専門的な基
礎知識、業界特性の知識などが要求される。
Copyright JIPDEC BCMS, 2008
25
Business Continuity Management System
BCMS実証運用実施体制
BCMS準備運営委員会
委員長：渡辺研司（長岡技術科学大学）
報告
他委員：８名
役割：実証運用の立上げ，評価などの
全体管理
方針
BCMS技術専門部会
（情報セキュリティ専門部会）
主査：篠原雅道（BCI日本支部代表）
他委員：８名
役割：技術側面のサポート
事務局： JIPDEC情報マネジメント推進センター
Copyright JIPDEC BCMS, 2008
26
Business Continuity Management System
BCMS実証運用スケジュール
2006年 2008年
4月
4月
2008年
2009年
8月
8月
準備運営委員会等立ち上げ
・方針の検討
実証運用の開始
・基準の作成
（認定、研修コース等）
・ユーザーズガイドの作成
・準備運営委員会を中心に全体運用管理
・実証運用実施の準備
・実証運用実施要領の公開
（組織運営体制等）
・実証運用に関わる基準等の公開
正式運用の開始（予定）
・実証運用結果の評価等・・・・・・
・基準等の公開
・正式運用実施要領の公開
等
認証に用いる規格
BCMS
検討期間
BCMS
準備期間
BCMS認証基準（BS25999-2）
BCMS認証基準
BCMS
実証運用期間
BCMS
正式運用
Copyright JIPDEC BCMS, 2008
27
Business Continuity Management System
BCMに必要なスキルと人材
現存するBCM関連の個人資格は、主に英国BCIと米国DRIIである。この
資格は、フレームワーク（枠組み）を理解・習得しているというよりも、手順・
手続きに精通していることを求められ、BCMを実践するコア人材として期
待される。
-例-海外でのBCMに関する資格
英国BCIの資格
BCMに関する実務経験の専門性と従事期間の長さ、及びスキルセット分
野の経験範囲によりランク付けされる。
米国DRIIの資格
研修・トレーニングの受講及び資格試験とその専門度合いや専門領域に
よって、資格レベルが決まる。
Copyright JIPDEC BCMS, 2008
28
Business Continuity Management System
BCMに必要なスキル・セット分野
① Initiation and Management （事業継続管理の始動とマネジメント）
② Business Impact Analysis （事業インパクト分析：BIA）
③ Risk Evaluation and Control （リスク評価とコントロール）
④ Developing Business Continuity Management Strategies
（事業継続マネジメントに係る戦略立案）
⑤ Emergency Response and Operations（危機対応と緊急措置の運用）
⑥ Developing and Implementing Business Continuity and Crisis
Managements Plans （事業継続と危機管理に関する計画の策定と導入）
⑦ Awareness and Training Programmes （啓発とトレーニングのプログラム）
⑧ Maintaining and Exercising Business Continuity and Crisis Managements
Plans （事業継続と危機管理に関する計画の更新と訓練の実施）
⑨ Crisis Communications（危機コミュニケーション）
⑩ Co-ordination with External Agencies （行政機関との調整）
Copyright JIPDEC BCMS, 2008
29
Business Continuity Management System
既存のガイド等との関連性

ISMSとの関連性





資産保護の目的を達成するために必要不可欠な考え方
リスクを顕在化させないための予防策と同時に起きた場合へ
の対応
事前に事業継続計画を策定し試験をしておくことの重要性
JIS Q 27001 A14.事業継続管理
BCP/BCMに関するガイドライン・指針との関連性

BS25999のフレームワークを用いてBCMSを構築する際に、
BCP/BCMに関するガイドライン・指針の活用。
Copyright JIPDEC BCMS, 2008
30
Business Continuity Management System
BCMに関する取組み（JIPDEC）

事業継続管理（BCM）に関するガイドライン（2005年発行）
国内外で発行されているBCMに関する様々なガイドラインの調査
BCMと関係領域に関する調査報告書（2006年発行）
BCMと様々な領域（CSR、リスクマネジメント、ITガバナンス、情報セ
キュリティ）の関係性の調査
 BCMSに関する規格・ガイドラインの調査（2007年）
 セキュリティ技術国際動向調査研究報告書（2005年～2007年発行）
BCM/BCPに関する国内外の取組み及び事業継続に関連するセ
キュリティ技術の調査
 BCMSユーザーズガイドの発行（2008年7月未発行）
組織がBCMSを構築・運用する上での参考ガイド

Copyright JIPDEC BCMS, 2008
31
Business Continuity Management System
ご静聴ありがとうございました
(財)日本情報処理開発協会
情報マネジメント推進センター
Tel: 03-3432-9386
FAX: 03-3432-6200
E-mail: [email protected]
Web: http://www.isms.jipdec.jp/
Copyright JIPDEC BCMS, 2008
32

Download Report