社会セキュリティ−事業継続マネジメントシステム−要求事項
JIS_Q_22301:2013
目 次
Links †
JIS Q 22301 日本工業規格 序文 † この規格は,2012 年に第 1 版として発行された ISO 22301 を基に,技術的内容及び構成を変更することなく作成した日本工業規格である。 0.1 一般 † この規格は,組織が効果的な事業継続マネジメントシステム(以下,BCMS という。)を策定し,運用するための要求事項について規定する。 BCMS は,他の全てのマネジメントシステム同様,次の重要な構成要素からなる。 0.2 PDCA (Plan-Do-Check-Act)モデル † この規格は,組織の BCMS の計画,確立,導入,運用,監視,レビュー,維持,及び有効性の継続的改善に“PDCA”(Plan-Do-Check-Act)モデルを適用する。 図 1−BCMS プロセスに適用される PDCA モデル 表 1−PDCA モデルの説明 計画及び確立 (Plan) 導入及び運用 (Do) 監視及びレビュー (Check) 維持及び改善 (Act) 0.3 この規格における PDCA の構成要素 † 表 1 で示す PDCA モデルについては,箇条 4 から箇条 10 で次の構成要素を網羅している。 1 適用範囲 † この規格は,事業の中断・阻害を引き起こすインシデントを防止し,その発生の起こりやすさを低減し,発生に備え,発生した場合には対応し,事業を復旧するための文書化したマネジメントシステムを計画し,確立し,導入し,運用し,監視し,レビューし,維持し,継続的に改善するために必要な事業継続マネジメントに関する要求事項について規定する。 この規格は,自らの事業継続のニーズ及び義務を果たす組織の能力を評価するために用いることができる。 2 引用規格 † 次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの規格は,その最新版(追補を含む。)を適用する。引用規格はない。 3 用語及び定義 † この規格で用いる主な用語及び定義は,次による。
4 組織の状況 †4.1 組織及びその状況の理解 † 組織は,組織の目的に関連し,かつ,その BCMS の意図した成果を達成する組織の能力に影響を与える,外部及び内部の課題を決定しなければならない。 4.2 利害関係者のニーズ及び期待の理解 †4.2.1 一般 BCMS を確立するに当たって,組織は次の事項を決定しなければならない。 − BCMS に関連する利害関係者 − その利害関係者の要求事項(例えば,明示されているか,暗に示されているか,義務か否かに関わらない利害関係者のニーズ及び期待) 4.2.2 法令及び規制の要求事項 組織は,その業務,製品及びサービスの継続並びに関係する利害関係者の関心のために,適用される法令及び規制の要求事項を特定し,入手し,評価するための手順を確立し,実施し,維持しなければならない。 組織は,これらの適用される法令及び規制の要求事項,並びに組織が同意するその他の要求事項を,BCMS の確立,実施及び維持において考慮することを確実にしなければならない。 組織は,この情報を文書化し,常に最新のものにしておかなければならない。法令,規制及びその他の要求事項の新規追加又は変更は,その影響を受ける従業員及びその他の利害関係者に周知しなければならない。 4.3 BCMS の適用範囲の決定 †4.3.1 一般 組織は,BCMS の適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。 この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。 − 4.1 に規定する外部及び内部の課題 − 4.2 に規定する要求事項 BCMS の適用範囲は,文書化した情報として利用可能な状態にしておかなければならない。 4.3.2 BCMS の適用範囲の決定方法 組織は,BCMS の適用範囲を決定するために,次に示す事項を実施しなければならない。 a) BCMS に含まれる組織の部署を明確にする。 b) 組織の使命及び目標,組織内外の義務(利害関係者に関係するものを含む。),並びに法令及び規制上の責任を考慮し,BCMS の要求事項を決定する。 c) BCMS の適用範囲に入る製品及びサービス,並びにそれらに関連する全ての事業活動を特定する。 d) 顧客,投資家,株主,サプライチェーン,公共及び/又は地域社会の意見,ニーズ,期待,利益(必要に応じて)など,利害関係者のニーズ及び利益を考慮に入れる。 e) 組織の規模,性質及び複雑度の観点から,それらに適した BCMS の適用範囲を定める。 適用範囲を定めるに当たって,組織は,除外事項を文書化し,説明しなければならない。いかなる除外事項も,事業影響度分析,又はリスクアセスメント並びに適用される法令及び規制の要求事項によって決定された,BCMS の要求事項を満たす事業及び業務を継続できる組織の能力及び責任に影響を与えてはならない。 4.4 BCMS †組織は,この規格の要求事項に従って,必要なプロセス及びそれらの相互作用を含む BCMS を確立し,実施し,維持し,かつ,継続的に改善しなければならない。 5 リーダーシップ †5.1 リーダーシップ及びコミットメント †トップマネジメントにある者,及びその他の関連する管理層の役割を担う者は,BCMS に関してリーダーシップを実証しなければならない。 例 このリーダーシップ及びコミットメントは,人員が BCMS の有効性に寄与できるよう動機付けし,権限を与えることによって示すことができる。 5.2 経営者のコミットメント †トップマネジメントは,次に示す事項によって,BCMS に関するリーダーシップ及びコミットメントを実証しなければならない。 − BCMS の方針及び目的を確立し,それらが組織の戦略的な方向性と両立することを確実にする。 − 組織の事業プロセスへの BCMS の要求事項の統合を確実にする。 − BCMS に必要な資源が利用可能であることを確実にする。 − 有効な事業継続マネジメント及び BCMS の要求事項への適合の重要性を伝達する。 − BCMS がその意図した成果を達成することを確実にする。 − BCMS の有効性に寄与するよう指示を与え,支援する。 − 継続的改善を促進する。 − その他の関連する管理層がその責任の領域においてリーダーシップ及びコミットメントを実証するよう,管理層の役割を支援する。 注記 1 この規格で“事業”という場合,それは,組織の存在の目的の中核となる活動という広義の意味で解釈することが望ましい。 トップマネジメントは,BCMS の確立,導入,運用,監視,レビュー,維持及び改善へのコミットメントの証拠を次の事項によって示さなければならない。 − 事業継続方針を策定する。 − BCMS の目的及び計画が策定されることを確実にする。 − 事業継続マネジメントのための役割,責任及び力量を決定する。 − BCMS の実施及び維持に責任を負うために適切な権限及び力量を備える 1 名以上の者を,BCMS の責任者に任命する。 注記 2 BCMS の責任者は,組織内で他の職務と兼務することができる。 トップマネジメントは,関連する役割に対して,責任及び権限を割り当て,組織内に伝達することを次に示す事項によって確実にしなければならない。 − リスク許容基準及びリスクの許容可能レベルを定める。 − 演習及び試験の実施に積極的に関与する。 − BCMS の内部監査の実施を確実にする。 − BCMS のマネジメントレビューを実施する。 − 継続的改善へのコミットメントを明確に示す。 5.3 方針 †トップマネジメントは,次の事項を満たす事業継続方針を確立しなければならない。 − 組織の目的に対して適切である。 − 事業継続目的の設定のための枠組みを示す。 − 適用される要求事項を満たすことへのコミットメントを含む。 − BCMS の継続的改善へのコミットメントを含む。 BCMS 方針は,次に示す事項を満たさなければならない。 − 文書化した情報として利用可能である。 − 組織内に伝達される。 − 必要に応じて,利害関係者が入手可能である。 − 定期的に及び大きな変更があった場合に,継続的に適切であるかをレビューする。 組織は,事業継続方針に関して文書化した情報を保持しなければならない。 5.4 組織の役割,責任及び権限 †トップマネジメントは,関連する役割に対して,責任及び権限を割り当て,組織内に伝達することを確実にしなければならない。 トップマネジメントは,次の事項に対して,責任及び権限を割り当てなければならない。 a) BCMS が,この規格の要求事項に適合することを確実にする。 b) BCMS のパフォーマンスをトップマネジメントに報告する。 6 計画 †6.1 リスク及び機会に対処する活動 †BCMS の計画を策定するとき,組織は,4.1 に規定する課題及び 4.2 に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。 − BCMS が,その意図した成果を達成できることを確実にする。 − 望ましくない影響を防止又は低減する。 − 継続的改善を達成する。 組織は,次の事項を計画しなければならない。 a) 上記によって決定したリスク及び機会に対処する活動 b) 次の事項を行う方法 1) その活動の BCMS プロセスへの統合及び実施(8.1 参照) 2) その活動の有効性の評価(9.1 参照) 6.2 事業継続目的及びそれを達成するための計画 †トップマネジメントは,事業継続目的が設定され,組織内の関連する部門及び階層において伝達されていることを確実にしなければならない。 事業継続目的は,次の事項を満たさなければならない。 a) 事業継続方針と整合している。 b) 組織が目的を達成するために許容できる製品及びサービスの最低限のレベルを考慮する。 c) (実行可能な場合)測定可能である。 d) 適用される要求事項を考慮に入れる。 e) 監視し,適切に更新する。 f) 伝達する。 組織は,事業継続目的に関する文書化した情報を保持しなければならない。 組織は,事業継続目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。 − 責任者 − 実施事項 − 必要な資源 − 達成期限 − 結果の評価方法 7 支援 †7.1 資源 †組織は,BCMS の確立,実施,維持及び継続的改善に必要な資源を決定し,提供しなければならない。 7.2 力量 †組織は,次の事項を行わなければならない。 a) 組織のパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。 b) 適切な教育,教育訓練及び経験に基づいて,それらの人々が力量を備えていることを確実にする。 c) 該当する場合には,必ず,必要な力量を身につける処置をとり,とった処置の有効性を評価する。 d) 力量の証拠として,適切な文書化した情報を保持する。 注記 適用される処置には,例えば,現在雇用している人々に対する教育訓練の提供,指導の実施,配置転換の実施などがあり,また,力量を備えた人々の雇用,そうした人々との契約締結などもある。 7.3 認識 †組織の管理下で働く人々は,次の事項に関して認識をもたなければならない。 a) 事業継続方針 b) BCMS ,パフォーマンスの向上によって得られる便益を含む,BCMS の有効性に対する自らの貢献 c) BCMS の要求事項に適合しないことの意味 d) 事業の中断・阻害を引き起こすインシデント発生時の自らの役割 7.4 コミュニケーション †組織は,次の事項を含め,BCMS に関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。 a) コミュニケーションの内容(何を伝達するか。) b) コミュニケーションの実施時期 c) コミュニケーションの対象者 組織は,次のための手順を確立し,実施し,維持しなければならない。 − 組織内の利害関係者及び従業員の間の内部コミュニケーション − 顧客,取引先,地域社会,及びメディアを含むその他の利害関係者との外部コミュニケーション − 利害関係者からのコミュニケーションの受け入れ,文書化及び対応 − 全国又は地域の災害警報システム又は同等システムの計画及び運用への採用及び組入れ(それが適切な場合) − 事業の中断・阻害を引き起こすインシデント発生時におけるコミュニケーション手段の確保 − 必要に応じて,関係当局との体系的なコミュニケーションの促進,及び複数の緊急対応機関と要員との相互運用性の確保 − 平時のコミュニケーションが中断・阻害されたときに使用するコミュニケーション機能の運用及び試験の実施 注記 インシデントに対応するコミュニケーションについては,これら以外の要求事項を 8.4.3 に規定している。 7.5 文書化した情報 †7.5.1 一般 組織の BCMS は,次の事項を含まなければならない。 − この規格が要求する文書化した情報 − BCMS の有効性のために必要であると組織が決定した,文書化した情報 注記 BCMS のための文書化した情報の程度は,次のような理由によって,それぞれの組織で異なる場合がある。 − 組織の規模,並びに活動,プロセス,製品及びサービスの種類 − プロセス及びその相互作用の複雑さ − 人々の力量 7.5.2 作成及び更新 文書化した情報を作成及び更新する際,組織は,次の事項を確実にしなければならない。 a) 適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号) b) 適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体),並びに適切性及び妥当性に関するレビュー及び承認 7.5.3 文書化した情報の管理 BCMS 及びこの規格で要求されている文書化した情報は,次の事項を確実にするために,管理しなければならない。 a) 文書化した情報が,必要なときに,必要なところで,入手可能かつ利用に適した状態である。 b) 文書化した情報が十分に保護されている(例えば,機密性の喪失,不適切な使用及び完全性の喪失からの保護)。 文書化した情報の管理に当たって,該当する場合には必ず,組織は,次の行動に取り組まなければならない。 − 配付,アクセス,検索及び利用 − 読みやすさが保たれることを含む,保管及び保存 − 変更の管理(例えば,版の管理) − 保持及び廃棄 − (削除) − 判読性(例えば,はっきりと読めること)の保護 − 廃止情報の誤使用の防止 注記 対応国際規格には“検索及び利用”が箇条に記載されているが重複するために削除した。 BCMS の計画及び運用のために組織が必要と決定した外部からの文書化した情報は,必要に応じて,特定し,管理しなければならない。 文書化した情報の管理を確立するに当たって,組織は,文書化した情報の適切な保護を確実にしなければならない(例 セキュリティ侵害,無断の変更又は削除の防護)。 注記 アクセスとは,文書化した情報の閲覧だけの許可に関する決定,文書化した情報の閲覧及び変更の許可及び権限に関する決定,などを意味する。 8 運用 †8.1 運用の計画及び管理 †組織は,次に示す事項の実施によって,要求事項を満たすため,及び 6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,管理しなければならない。 a) プロセスに関する基準の設定 b) その基準に従った,プロセスの管理の実施 c) プロセスが計画どおりに実行されたという確信をもつために必要な程度の,文書化した情報の保持 組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。 組織は,外部委託したプロセスが管理されていることを確実にしなければならない。 8.2 事業影響度分析及びリスクアセスメント †8.2.1 一般 組織は,事業影響度分析及びリスクアセスメントのために,次の内容を含む正式に文書化したプロセスを確立し,実施し,維持しなければならない。 a) アセスメントの状況を設定し,基準を定め,事業の中断・阻害を引き起こすインシデントの潜在的な影響を評価する。 b) 法的,及び組織が同意するその他の要求事項を考慮する。 c) 体系的な分析,リスク対応の優先順位付け,及びそれらに係るコストを含める。 d) 事業影響度分析及びリスクアセスメントから必要とされるアウトプットを定義する。 e) a)∼d)の情報を常に最新に保ち,機密扱いにするための要求事項を規定する。 注記 事業影響度分析及びリスクアセスメントを実施する順序を決める様々な手法がある。 8.2.2 事業影響度分析 組織は,事業継続及び復旧の優先順位付け,目的及び達成目標を設定するために,正式に文書化した評価プロセスを確立し,実施し,及び維持しなければならない。このプロセスには,組織の製品・サービスを支える活動が中断・阻害された場合の影響の評価が含まれていなければならない。 事業影響度分析には,次を含めなければならない。 a) 製品及びサービスの提供を支援する事業活動を特定する。 b) これらの事業活動を実施しないことによる経時的な影響を評価する。 c) これらの事業活動が再開しないことによる影響が許容できなくなるまでの時間を考慮し,明示した最低限の許容できるレベルでこれらの事業活動を再開するために優先順位付けされた時間枠を設定する。 d) サプライヤ,外部委託先,及びその他該当する利害関係者を含め,それらの活動の依存関係及びそれらの事業活動を支える資源を特定する。 8.2.3 リスクアセスメント 組織は,組織に事業の中断・阻害を引き起こすインシデントのリスクを体系的に特定し,分析し,評価するために正式に文書化したリスクアセスメントプロセスを確立し,実施し,維持しなければならない。 注記 このプロセスは,JIS Q 31000 に準拠して実施できる。 組織は,次を実施しなければならない。 a) 組織の優先事業活動,並びにそれらを支えるプロセス,システム,情報,人,資産,外部委託先,及びその他の資源に対する事業の中断・阻害のリスクを特定する。 b) リスクを体系的に分析する。 c) 対応を必要とする,事業の中断・阻害を引き起こすリスクを評価する。 d) 事業継続目的に合致し,組織のリスク選好に応じた対応策を特定する。 注記 組織は,金融又は行政上の特定の義務として,これらのリスクを様々な詳細度で開示する必要があることを認識しなければならない。加えて,特定の社会的なニーズから,この情報を適切な詳細度で開示することが求められることがある。 8.3 事業継続戦略 †8.3.1 決定及び選択 戦略の決定及び選択は,事業影響度分析及びリスクアセスメントのアウトプットに基づかなければならない。 組織は,次のための適切な事業継続戦略を決定しなければならない。 a) 優先事業活動を保護する。 b) 優先事業活動及びそれらの依存関係,並びに支援する資源を安定させ,継続し,再開し,復旧する。 c) 影響を軽減し,対応し,対処する。 戦略の決定には,活動再開のための優先順位を定めた時間が承認されていなければならない。 組織は,サプライヤの事業継続の能力の評価を実施しなければならない。 8.3.2 資源に関する要求事項の設定 組織は,選択した戦略を実施するための資源に関する要求事項を決定しなければならない。考慮される資源の種類には次のものが含まれるが,これらだけに限らない。 a) 人 b) 情報及びデータ c) 建物,作業環境及び関連ユーティリティ d) 施設,設備及び消耗品 e) 情報通信技術(ICT)システム f) 交通機関 g) 資金 h) 取引先及びサプライヤ 8.3.3 保護及び軽減 対応が必要であると特定されたリスクに対して,組織は次のような事前対策を考慮しなければならない。 a) 事業の中断・阻害の発生の起こりやすさを低減する。 b) 事業の中断・阻害の時間を短縮する。 c) 事業の中断・阻害が組織の重要な製品及びサービスに及ぼす損害の大きさを抑制する。 組織は,自らのリスク選好に応じて,適切なリスク対応策を選択し,実施しなければならない。 8.4 事業継続手順の確立及び実施 †8.4.1 一般 組織は,事業影響度分析で設定された復旧の目標に基づいて事業の中断・阻害を引き起こすインシデントに対処し,事業活動を継続するための事業継続手順を確立し,実施し,維持しなければならない。 組織は,事業活動の継続及び事業の中断・阻害を引き起こすインシデントへの対応を確実にするための手順(必要な取組みを含む。)を文書化しなければならない。 手順は,次のようなものでなければならない。 a) 組織内部及び外部の適切なコミュニケーション手順を確立する。 b) 事業の中断・阻害時の緊急の処置が明示されている。 c) 不測の脅威,及び組織内外の状況変化に柔軟に対応する。 d) 潜在的に事業の中断・阻害を引き起こすおそれのある事象の影響に焦点を当てる。 e) 所定の前提及び相互依存の分析に基づいて策定される。 f) 適切な軽減戦略の実施によって影響を最小限に抑えることに効果的である。 8.4.2 インシデント対応の体制 組織は,インシデントに対処するために必要な責任,権限及び力量をもつ要員を用い,事業の中断・阻害を引き起こすインシデントに対応するための手順及び運営管理体制を確立し,文書化し,実施しなければならない。 対応の体制は,次のようなものでなければならない。 a) 正式な対応を発動させる事態のレベルの基準を決定する。 b) 事業の中断・阻害を引き起こすインシデント及びその潜在的な影響の性質及び程度を評価する。 c) 適切な事業継続対応策を発動する。 d) 対応の発動,運用,調整及びコミュニケーションのためのプロセス及び手順を備える。 e) 影響を最小限に抑えるために,事業の中断・阻害を引き起こすインシデントに対処するプロセス及び手順を支える利用可能な資源を確保する。 f) 利害関係者及び関係当局,並びにメディアとのコミュニケーションを行う。 組織は,人命を最優先とし,また関係する利害関係者と協議し,重大なリスク及び影響について外部に伝えるか否かを決定し,その決定を文書化しなければならない。伝える決定を下した場合には,組織は,必要に応じて,メディアを含め外部へのコミュニケーション,警報及び警告のための手順を確立し,実施しなければならない。 8.4.3 警告及びコミュニケーション 組織は,次のための手順を確立し,実施し,維持しなければならない。 a) インシデントの検知 b) インシデントの定期的な監視 c) 組織内部のコミュニケーション,並びに利害関係者からのコミュニケーションの受け入れ,文書化及び対応 d) 全国若しくは地域の災害情報提供システム,又は同等のシステムからの勧告の受理,文書化及び対応 e) 事業の中断・阻害を引き起こすインシデント発生時の通信手段の確保 f) 緊急事態対応機関との組織化されたコミュニケーションの促進 g) インシデント,実施された処置,及び下された決定に関する重要な情報の記録 次の事項についても考慮し,該当する場合は必ず実施しなければならない。 − 事業の中断・阻害を引き起こすインシデントの発生又はそれが差し迫っているとき,影響を受ける利害関係者への警報 − 複数の緊急事態対応機関と要員との相互運用性の確保 − 通信設備の運用 コミュニケーション及び警告の手順を定期的に演習しなければならない。 8.4.4 事業継続計画 組織は,事業の中断・阻害を引き起こすインシデントへの対応,及びあらかじめ設定した時間枠内で事業活動を継続又は復旧する方法について,文書化した手順を確立しなければならない。このような手順には,それらを使用する者に関する要求事項を含めなければならない。 事業継続計画には,全体として次の事項が含まれていなければならない。 a) インシデント発生時及びその後について権限をもつ者及びチームの明確に定められた役割及び責任 b) 対応策を発動するプロセス c) 次のことに相当な配慮をし,事業の中断・阻害を引き起こすインシデントの直接的影響に対処するための詳細事項 1) 個々人の福祉 2) その中断・阻害に対応する戦略的,戦術的及び運用面の選択肢 3) 波及する損害又は優先事業活動が実施できなくなることの防止 d) 組織がどのように,またどのような状況で,従業員及びその近親者,主要な利害関係者,並びに緊急連絡先と連絡をとるかについての詳細事項 e) 組織があらかじめ定めた時間枠内で優先事業活動を継続又は復旧する方法 f) 次を含む,インシデント発生後の組織のメディア対応に関する詳細事項 1) コミュニケーション戦略 2) メディアに対する優先連絡窓口 3) メディアに対する声明文を作成するための指針又はひな(雛)形 4) 適切な広報担当者 g) インシデント終了後の解除プロセス 各計画は,次の事項を定義しなければならない。 − 目的及び適用範囲 − 達成目標 − 発動基準及び手順 − 実施手順 − 役割,責任及び権限 − コミュニケーションに関する要求事項及び手順 − 組織内外の相互依存及び相互作用関係 − 資源に関する要求事項 − 情報の流れ及び文書化のプロセス 8.4.5 復旧 組織は,インシデント発生後,採用された暫定的処置から,平常の事業活動の要求事項を満たすことができるまでに,事業活動を回復し,復帰させるための手順を文書化して備えなければならない。 8.5 演習及び試験の実施 †組織は,事業継続手順が事業継続目的に合致していることを確実にするために,手順を演習し,試験しなければならない。 組織は,次のような演習及び試験を実施しなければならない。 a) BCMSの適用範囲及び目的と合致している。 b) 明確に定められた狙いと達成目標をもって,周到に計画された適切なシナリオに基づいている。 c) 該当する利害関係者を含めた事業継続の取組みについて,長期にわたる総合的な妥当性を確認する。 d) 事業の中断・阻害のリスクを最小限に抑える。 e) 結果,提言,及び改善を実施するための処置を含めた正式な演習実施報告書を作成する。 f) 継続的改善を促進する観点からレビューする。 g) あらかじめ定めた間隔,及び組織内又は組織が活動する環境に大きな変化があった場合に実施する。 9 パフォーマンス評価 †9.1 監視,測定,分析及び評価 †9.1.1 一般 組織は,次の事項を決定しなければならない。 a) 必要とされる監視及び測定の対象 b) 該当する場合には必ず,妥当な結果を確実にするための,監視,測定,分析及び評価の方法 c) 監視及び測定の実施時期 d) 監視及び測定の結果の,分析及び評価の時期 組織は,この結果の証拠として,適切な文書化した情報を保持しなければならない。 組織は,BCMS,パフォーマンス及び BCMS の有効性を評価しなければならない。 さらに,組織は次を実施しなければならない。 − 好ましくない傾向又は結果に対処する必要がある場合,不適合が生じる前に処置をとる。 − 結果の証拠として,文書化した関係情報を保持する。 パフォーマンスを監視する手順は,次の事項を規定しなければならない。 − 組織のニーズに適したパフォーマンス測定基準の設定 − 組織の事業継続方針,目的及び目標の達成程度の監視 − 優先事業活動を保護するプロセス,手順及び機能のパフォーマンス − この規格及び事業継続目的に対する適合の監視 − BCMS のパフォーマンス不足に関する過去の証拠の監視 − その後の是正処置を促進するための,監視及び測定のデータ及び結果の記録 注記 パフォーマンス不足には,不適合,ニアミス,誤報,実際のインシデントなどがある。 9.1.2 事業継続手順の評価 事業継続手順は,次によって評価する。 a) 組織は,事業継続手順及び能力の適切性,妥当性及び有効性の継続を確保するために,それらの評価を実施しなければならない。 b) これらの評価は,定期的なレビュー,演習,試験,インシデント発生後の報告,及びパフォーマンス評価を通して行われなければならない。大きな変更があった場合は,遅滞なく手順に反映しなければならない。 c) 組織は,適用される法令及び規制の要求事項の順守,業界のベストプラクティスとの適合,並びに組織の事業継続方針及び目的との適合を定期的に評価しなければならない。 d) 組織は,あらかじめ定めた間隔で,また大きな変更があった場合にも,評価を実施しなければならない。 事業の中断・阻害を引き起こすインシデントが発生し,事業継続手順の発動に至った場合,組織は,インシデント発生後のレビューを実施し,結果を記録しなければならない。 9.2 内部監査 †組織は,BCMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。 a) 次の事項に適合している。 1) BCMSに関して,組織自体が規定した要求事項 2) この規格の要求事項 b) 有効に実施され,維持されている。 組織は,次に示す事項を行わなければならない。 − 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。 − 各監査について,監査基準及び監査範囲を明確にする。 − 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。 − 監査の結果を関連する管理層に報告することを確実にする。 − 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。 あらゆるスケジュールを含めた監査プログラムは,組織の活動に関するリスクアセスメントの結果及び前回までの監査結果に基づかなければならない。監査手順には,監査の実行及び結果報告に関する責任及び要求事項だけでなく,範囲,頻度,方法及び力量も含めなければならない。 監査対象の部門に責任をもつ管理層は,検知した不適合及びその原因を除去するために,必要な修正及び是正処置が不当に遅延することなく実施されることを確実にしなければならない。フォローアップ活動には,実施された処置の検証及び検証結果の報告を含めなければならない。 9.3 マネジメントレビュー †トップマネジメントは,組織の BCMS が,引き続き,適切,妥当かつ有効であることを確実にするために,あらかじめ定めた間隔で,BCMS をレビューしなければならない。 マネジメントレビューは,次の事項を考慮しなければならない。 a) 前回までのマネジメントレビューの結果とった処置の状況 b) BCMSに関連する外部及び内部の課題の変化 c)次に示す傾向を含めた,事業継続パフォーマンスに関する情報 1) 不適合及び是正処置 2) 監視及び測定の評価の結果 3) 監査結果 d) 継続的改善の機会 マネジメントレビューでは,次の事項を含む組織のパフォーマンスを考慮しなければならない。 − 前回までのマネジメントレビューからのフォローアップ処置 − 方針及び目的を含む,BCMS に変更を加える必要性 − 改善の機会 − 必要に応じて,重要なサプライヤ及び取引先を含めた,BCMS の監査及びレビューの結果 − BCMS のパフォーマンス及び有効性の改善に組織内で利用できる技術,製品又は手順 − 是正処置の状況 − 演習及び試験の結果 − 過去のいずれのリスクアセスメントでも適切に取り上げていなかったリスク又は問題点 − BCMS の適用範囲内であるか否かを問わず,BCMS に影響を与える可能性のある変化 − 方針の妥当性 − 改善のための助言 − 事業の中断・阻害を引き起こすインシデントから学んだ教訓,及び実施した処置 − 新しい優れた実践及び指針 マネジメントレビューからのアウトプットには,継続的改善の機会,及び BCMS のあらゆる変更の必要性に関する決定を含めなければならない。また,次も含めなければならない。 a) BCMS の適用範囲の変更 b) BCMS の有効性の改善 c) リスクアセスメント,事業影響度分析,事業継続計画及び関連する手順の更新 d) 次の事項の変更を含め,BCMS に影響を与える可能性のある組織内外の事象に対応するための手順及び管理策の修正 1) 事業及びその活動に関する要求事項 2) リスク軽減及びセキュリティに関する要求事項 3) 事業活動の条件及びプロセス 4) 法令及び規制の要求事項 5) 契約上の義務 6) リスクのレベル及び/又はリスクの許容基準 7) 資源のニーズ 8) 資金及び予算の要求事項 e) 管理策の有効性の測定方法 組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない。 組織は,次を行わなければならない。 − マネジメントレビューの結果を該当する利害関係者に伝達する。 − それらの結果に関する適切な処置をとる。 10 改善 †10.1 不適合及び是正処置 †不適合が発生した場合,組織は,次の事項を行わなければならない。 a) 不適合を特定する。 b) その不適合に対処し,該当する場合は必ず,次の事項を行う。 1) その不適合を管理し,修正するための処置をとる。 2) その不適合によって起こった結果に対処する。 c) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。 1) その不適合をレビューする。 2) その不適合の原因を明確にする。 3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。 4) 不適合の再発,又はほかでの発生の防止を確実にするための是正処置の必要性を評価する。 5) 必要な是正処置を決定し,実施する。 6) (削除) 7) (削除) 注記 対応国際規格には 6)及び 7)が記載されているが,下記 e)及び f)と重複するために削除した。 d) 必要な処置を実施する。 e) とった全ての是正処置の有効性をレビューする。 f) 必要な場合には,BCMS の変更を行う。 是正処置は,検出された不適合のもつ影響に応じたものでなければならない。 組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。 − 不適合の性質及びとった処置 − 是正処置の結果 10.2 継続的改善 †組織は,BCMS の適切性,妥当性及び有効性を継続的に改善しなければならない。 注記 組織は,リーダーシップ,計画,パフォーマンス評価など BCMS のプロセスを使って改善を達成することができる。 参考文献 †[1] JIS Q 9001 品質マネジメントシステム−要求事項 注記 対応国際規格:ISO 9001,Quality management systems−Requirements(IDT) [2] JIS Q 14001 環境マネジメントシステム−要求事項及び利用の手引 注記 対応国際規格:ISO 14001,Environmental management systems−Requirements with guidance for use(IDT) [3] JIS Q 19011 マネジメントシステム監査のための指針 注記 対応国際規格:ISO 19011,Guidelines for auditing management systems(IDT) [4] JIS Q 20000-1 情報技術−サービスマネジメント−第 1 部:サービスマネジメントシステム要求事項 注記 対応国際規格:ISO/IEC 20000-1,Information technology−Service management−Part 1: Service management system requirements(IDT) [5] JIS Q 22300 社会セキュリティ−用語 注記 対応国際規格:ISO 22300,Societal security−Terminology(IDT) [6] ISO/PAS 22399, Societal security − Guideline for incident preparedness and operational continuity management [7] ISO/IEC 24762, Information technology − Security techniques − Guidelines for information and communications technology disaster recovery services [8] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項 注記 対応国際規格:ISO/IEC 27001,Information technology−Security techniques−Information security management systems−Requirements(IDT) [9] ISO/IEC 27031, Information technology − Security techniques − Guidelines for information and communication technology readiness for business continuity [10]JIS Q 31000 リスクマネジメント−原則及び指針 注記 対応国際規格:ISO 31000,Risk management−Principles and guidelines(IDT) [11] JIS Q 31010 リスクマネジメント−リスクアセスメント技法 注記 対応国際規格:ISO/IEC 31010,Risk management−Risk assessment techniques(IDT) [12] JIS Q 0073 リスクマネジメント−用語 注記 対応国際規格:ISO Guide 73,Risk management−Vocabulary(IDT) [13] BS 25999-1,Business continuity management−Code of practice, British Standards Institution (BSI) [14] BS 25999-2,Business continuity management−Specification, British Standards Institution (BSI) [15] SI 24001,Security and continuity management systems−Requirements and guidance for use, Standards Institution of Israel [16] NFPA 1600,Standard on disaster/emergency management and business continuity programs, National Fire Protection Association (USA) [17] 事業継続計画策定ガイドライン,経済産業省(日本),2005 年 [18] 事業継続ガイドライン,中央防災会議,内閣府,日本政府,2005 年 [19] ANSI/ASIS SPC/1,Organizational Resilience: Security, Preparedness, and Continuity Management Systems −Requirements with Guidance for Use [20] SS 540:2008,Singapore Standard for Business Continuity Management [21] ANSI/ASIS/BSI/BCM.01,Business Continuity Management Systems: Requirements with Guidance for Use [22] ISO 28000 ,Specification for security management systems for the supply chain |