JIS/Q_22301

---

---

Links †

• JIS Q 22301:2013
  • 社会セキュリティ−事業継続マネジメントシステム−要求事項(Societal security-Business continuity management systems-Requirements)
  • ISO/IEC 22301:2012のJIS規格
  • http://kikakurui.com/q/Q22301-2013-01.html
  • JIS規格

---

JIS Q 22301

---

日本工業規格
JIS Q 22301：2013
(ISO 22301：2012)
社会セキュリティ−
事業継続マネジメントシステム−要求事項
Societal security-
Business continuity management systems-Requirements

序文 †

　この規格は，2012 年に第 1 版として発行された ISO 22301 を基に，技術的内容及び構成を変更することなく作成した日本工業規格である。
　なお，この規格で点線の下線を施してある参考事項は，対応国際規格にはない事項である。

0.1 一般 †

　この規格は，組織が効果的な事業継続マネジメントシステム（以下，BCMS という。）を策定し，運用するための要求事項について規定する。
　BCMS の重要事項を，次に示す。
　− 組織のニーズ並びに事業継続マネジメントの方針及び目的を確立する必要性の理解
　− 事業の中断・阻害を引き起こすインシデントへの組織の総合的な対応能力を活かすための管理策及び手段の導入及び運用
　− BCMS のパフォーマンス及び有効性の監視及びレビュー
　− 客観的な測定に基づく継続的改善

　BCMS は，他の全てのマネジメントシステム同様，次の重要な構成要素からなる。
a) 方針
b) 明確に定められた責任をもつ人員
c) 次の事項に関するマネジメントプロセス
　1) 方針
　2) 計画
　3) 導入及び運用
　4) パフォーマンスのアセスメント
　5) マネジメントレビュー
　6) 改善
d) 監査に必要な文書類
e) 組織にとって適切な事業継続マネジメントプロセス
　事業継続は，社会のレジリエンス（resilience）の向上に寄与する。幅広いコミュニティ及び組織を取り巻く環境が組織に影響を与えており，したがって，場合によっては復旧のプロセスに他の組織の関与も必要となる。

0.2 PDCA （Plan-Do-Check-Act）モデル †

　この規格は，組織の BCMS の計画，確立，導入，運用，監視，レビュー，維持，及び有効性の継続的改善に“PDCA”（Plan-Do-Check-Act）モデルを適用する。
　このことは，JIS Q 9001，JIS Q 14001，JIS Q 27001，JIS Q 20000-1，ISO 28000 など，他のマネジメントシステム規格とのある程度の一貫性を確保することによって，関連するマネジメントシステムと整合のとれた，統合的な導入及び運用を支援する。
　図 1 は，BCMS が利害関係者及び事業継続マネジメントの要求事項をインプットし，必要な処置及びプロセスを通して，それらの要求事項を満たす継続性の結果（すなわち，運用管理された事業継続）をどのように生み出すかを示したものである。

図 1−BCMS プロセスに適用される PDCA モデル

表 1−PDCA モデルの説明

計画及び確立 （Plan）
　組織の全体的な方針及び目的に沿った結果を出すために，事業継続の改善に適した事業継続の方針，目的，目標，管理策，プロセス及び手順を確立する。

導入及び運用 （Do）
　事業継続の方針，管理策，プロセス及び手順を導入し，運用する。

監視及びレビュー （Check）
　事業継続の方針及び目的に照らしてパフォーマンスを監視及びレビューし，その結果を経営者に報告してレビューに付し，是正及び改善の処置を決定し，許可する。

維持及び改善 （Act）
　マネジメントレビューの結果に基づいた是正処置をとり，BCMS の適用範囲，事業継続の方針及び目的を再評価することによって，BCMS を維持し，改善する。

0.3 この規格における PDCA の構成要素 †

　表 1 で示す PDCA モデルについては，箇条 4 から箇条 10 で次の構成要素を網羅している。
　− 箇条 4 は，計画及び確立（Plan）の構成要素である。ここでは，組織に適用される BCMS の状況設定のために必要な要求事項，利害関係者のニーズ，適用法令等の要求事項及び適用範囲を規定する。
　− 箇条 5 は，計画及び確立（Plan）の構成要素である。ここでは，BCMS におけるトップマネジメントの役割に固有の要求事項及び事業継続方針を表明し，リーダーシップによって，その期待をどのように組織に明確に伝えるかを規定する。
　− 箇条 6 は，計画及び確立（Plan）の構成要素である。ここでは，BCMS 全体の戦略目的及び計画策定に関係する要求事項を規定する。箇条 6 の内容は，リスクアセスメントに基づくリスク対応の機会の設定，及び復旧目標の設定につながる事業影響度分析とは異なる。
　　注記 事業影響度分析及びリスクアセスメントプロセスについての要求事項は，箇条 8 で規定する。
　− 箇条 7 は，計画及び確立（Plan）の構成要素である。ここでは，要求される文書類を文書化し，管理し，維持し，保持しながら，人々の力量，並びに利害関係者との反復的及び必要に応じたコミュニケーションを確立することを通じて，BCMS の運用の支援について規定する。
　− 箇条 8 は，導入及び運用（Do）の構成要素である。ここでは，事業継続に関する要求事項を定め，それらへの対応方法，及び中断・阻害を引き起こすインシデントに対処する手順の策定方法を規定する。
− 箇条 9 は，監視及びレビュー（Check）の構成要素である。ここでは，事業継続マネジメントのパフォーマンス，BCMS のこの規格への適合，及び経営者の期待を測定するために必要な要求事項を規定し，期待に関して経営者のフィードバックを求める。
　− 箇条 10 は，維持及び改善（Act）の構成要素である。ここでは，BCMS のこの規格への不適合を特定し，是正処置によって対応することを規定する。

1 適用範囲 †

　この規格は，事業の中断・阻害を引き起こすインシデントを防止し，その発生の起こりやすさを低減し，発生に備え，発生した場合には対応し，事業を復旧するための文書化したマネジメントシステムを計画し，確立し，導入し，運用し，監視し，レビューし，維持し，継続的に改善するために必要な事業継続マネジメントに関する要求事項について規定する。
　この規格に規定する要求事項は汎用的なものであり，組織の形態及び規模，並びに事業の性質にかかわらず，あらゆる組織又はその一部に適用できるように意図されている。これらの要求事項の適用度合いは，当該組織の事業環境及び複雑度によって異なる。
　この規格の意図は，事業継続マネジメントシステム（BCMS）の構造の均一化を示唆することではなく，組織が，そのニーズにかな（適）い，利害関係者の要求事項を満たす BCMS を設計できるようにすることである。これらのニーズは，法令，規制，組織及び業界の要求事項，製品・サービス，使用するプロセス，組織の規模及び構造，並びに組織の利害関係者の要求事項によって形成される。
　この規格は，次に示す事項を行おうとする，あらゆる形態及び規模の組織に適用できる。
a) BCMSを確立し，実施し，維持し，改善する。
b) 表明した事業継続方針とこの規格との適合を保証する。
c) この規格に適合していることを他者に実証する。
d) 第三者の認証機関に BCMS の認証・登録を求める。
e) この規格に適合していることを自己認証し，宣言する。

　この規格は，自らの事業継続のニーズ及び義務を果たす組織の能力を評価するために用いることができる。
　注記 この規格の対応国際規格及びその対応の程度を表す記号を，次に示す。
　　ISO 22301:2012，Societal security−Business continuity management systems−Requirements（IDT）
　　なお，対応の程度を表す記号“IDT”は，ISO/IEC Guide 21-1 に基づき，“一致している”ことを示す。

2 引用規格 †

　次に掲げる規格は，この規格に引用されることによって，この規格の規定の一部を構成する。これらの規格は，その最新版（追補を含む。）を適用する。引用規格はない。

3 用語及び定義 †

　この規格で用いる主な用語及び定義は，次による。

• 3.1 事業活動（activity） 　一つ又は複数の製品・サービスを生産する又は提供する組織によって（又はその組織のために）行われるプロセス又は一連のプロセス。
  　例 このようなプロセスは，会計，コールセンター，情報技術（IT），製造，流通などがある。
• 3.2 監査（audit） 　監査基準が満たされている程度を判定するために，監査証拠を収集し，それを客観的に評価するための，体系的で，独立し，文書化したプロセス。
  　注記 1 監査は内部監査（第一者）又は外部監査（第二者・第三者）のいずれでも，又は複合監査（複数の分野の組合せ）でもあり得る。
  　注記 2 “監査証拠”及び“監査基準”は，JIS Q 19011 に定義されている。
• 3.3 事業継続（business continuity） 　事業の中断・阻害などを引き起こすインシデントの発生後，あらかじめ定められた許容レベルで，製品又はサービスを提供し続ける組織の能力（JIS Q 22300 参照）。
  　注記 組織の能力だけでなく，組織の行為を示す場合もある。
• 3.4 事業継続マネジメント（business continuity management） 　組織への潜在的な脅威，及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し，主要な利害関係者の利益，組織の評判，ブランド，及び価値創造の活動を保護する効果的な対応のための能力を備え，組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロセス。
• 3.5 事業継続マネジメントシステム，BCMS（business continuity management system） 　マネジメントシステム全体の中で，事業継続の確立，導入，運用，監視，レビュー，維持及び改善を担う部分。
  　注記 マネジメントシステムには，組織の構造，方針，計画作成活動，責任，手順，プロセス及び資源が含まれる。
• 3.6 事業継続計画（business continuity plan） 　事業の中断・阻害に対応し，事業を復旧し，再開し，あらかじめ定められたレベルに回復するように組織を導く文書化した手順。
  　注記 多くの場合，この計画は，重要業務の継続を確実にするために必要な資源，サービス及び活動を対象とする。
• 3.7 事業継続プログラム（business continuity programme） 　事業継続マネジメントを実施し，維持するための適切な資源が供給され，トップマネジメントによって支援される，継続的なマネジメント及び統治のプロセス。
• 3.8 事業影響度分析（business impact analysis） 　活動，及びその活動に対して事業の中断・阻害が及ぼし得る影響を分析するプロセス（JIS Q 22300 参照）。
• 3.9 力量（competence） 　意図した結果を達成するために，知識及び技能を適用する能力（JIS Q 22300 参照）。
• 3.10 適合（conformity） 　要求事項を満たしていること（JIS Q 22300 参照）。
• 3.11 継続的改善（continual improvement） 　パフォーマンスを向上するために繰り返し行われる活動（JIS Q 22300 参照）。
• 3.12 修正（correction） 　検出された不適合を除去するための処置（JIS Q 22300 参照）。
• 3.13 是正処置（corrective action） 　不適合の原因を除去し，再発を防止するための処置（JIS Q 22300 参照）。
  　注記 望ましくない結果の場合，その原因の最小化又は除去，及びその影響の低減又は再発の防止のため，処置が必要である。この定義においては，このような処置は“是正処置”の概念には当てはまらない。
• 3.14 文書（document） 　情報及びそれを保持する媒体。
  　注記 1 媒体としては，紙，磁気，電子式若しくは光学式コンピューターディスク，写真若しくはマスターサンプル，又はこれらの組合せがあり得る。
  　注記 2 仕様書，記録などの一連の文書は，“文書類”ということが多い。
• 3.15 文書化した情報（documented information） 　組織が管理し，維持するよう要求されている情報，及びそれが含まれている媒体。
  　注記 1 文書化した情報は，あらゆる形式及び媒体の形をとることができ，あらゆる情報源から得ることができる。
  　注記 2 文書化した情報には，次に示すものがあり得る。
  　　− 関連するプロセスを含むマネジメントシステム
  　　− 組織の運用のために作成された情報（文書類）
  　　− 達成された結果の証拠（記録）
• 3.16 有効性（effectiveness） 　計画した活動を実行し，計画した結果を達成した程度（JIS Q 22300 参照）。
• 3.17 事象（event） 　ある一連の周辺状況の出現又は変化（JIS Q 0073 参照）。
  　注記 1 事象は，発生が一度以上であることがあり，幾つかの原因をもつことがある。
  　注記 2 事象は，何かが起こらないことを含むことがある。
  　注記 3 事象は，“インシデント”又は“事故”と呼ばれることがある。
  　注記 4 結果にまで至らない事象は，“ニアミス”，“インシデント”，“ヒヤリハット”又は“間一髪”と呼ばれることがある。
• 3.18 演習（exercise） 　組織内で，パフォーマンスに関する教育訓練を実施し，評価し，練習し，改善するプロセス（JIS Q 22300参照）。
  　注記 1 演習は，次の目的に利用できる。
  　　− 方針，計画，手順，教育訓練，装置又は組織間合意の妥当性確認
  　　− 役割及び責任を担う要員の明確化並びにそれらの教育訓練
  　　− 組織間の連携及びコミュニケーションの改善
  　　− 資源の不足部分の特定
  　　− 個人のパフォーマンスの改善及び改善の機会の特定
  　　− 臨機応変な対応を練習するために統制された機会
  　注記 2 試験は，演習の独特かつ特有の形態であり，計画中の演習の到達点又は目的の枠内で，合否の要素を予想することが含まれている。
• 3.19 インシデント（incident） 　中断・阻害，損失，緊急事態又は危機になり得る又はそれらを引き起こし得る状況（JIS Q 22300 参照）。
• 3.20 インフラストラクチャ（infrastructure） 　組織の運営に必要な施設，設備及びサービスの基盤。
• 3.21 利害関係者（interested party） 　ある決定事項又は活動に影響を与え得るか，その影響を受け得るか，又は，その影響を受けると認識している，個人又は組織。
  　注記 組織のいかなる決定事項又は活動にも関心のある個人又は集団がなり得る。
• 3.22 内部監査（internal audit） 　組織自身又はその代理者によって，マネジメントレビュー及びその他組織内部の目的のために行う監査。組織の自己適合宣言の根拠となることもある。
  　注記 多くの場合，特に比較的規模の小さい組織においては，監査の独立性は，その組織自身がその監査対象の活動に責任を負っていないことで実証できる。
• 3.23 発動（invocation） 　重要な製品又はサービスの提供を継続するために，組織の事業継続の取決めを実施する必要があることを宣言する行為。
• 3.24 マネジメントシステム（management system） 　方針，目的及びその目的を達成するためのプロセスを確立するための，相互に関連する又は相互に作用する，組織の一連の要素。
  　注記 1 一つのマネジメントシステムは，単一又は複数の分野を取り扱うことができる。
  　注記 2 システムの要素には，組織の構造，役割及び責任，計画，運用などが含まれる。
  　注記 3 マネジメントシステムの適用範囲としては，組織全体，組織内の固有で特定された機能，組織内の固有で特定された部門，複数の組織の集まりを横断する一つ又は複数の機能，などがあり得る。
• 3.25 最大許容停止，MAO（maximum acceptable outage） 　製品・サービスを提供しない，又は事業活動を行わない結果として生じる可能性のある悪影響が，許容不能な状態になるまでの時間。
  　注記 最大許容停止時間も参照。
• 3.26 最大許容停止時間，MTPD（maximum tolerable period of disruption） 　製品・サービスを提供しない，又は事業活動を行わない結果として生じる可能性のある悪影響が，許容不能な状態になるまでの時間。
  　注記 最大許容停止も参照。
• 3.27 測定（measurement） 　値を決定するプロセス。
• 3.28 最小事業継続目標，MBCO（minimum business continuity objective） 　事業の中断・阻害発生時に事業の目的を達成するために，組織にとって許容できる最低限のサービス及び／又は製品のレベル。
• 3.29 監視（monitoring） 　システム，プロセス又は活動の状況を明確にすること。
  　注記 状態を明確にするために，点検，監督又は注意深い観察が必要な場合もある。
• 3.30 相互支援協定（mutual aid agreement） 　互いに助け合うため，二つ以上の主体の間であらかじめ取り交わした協定（JIS Q 22300 参照）。
• 3.31 不適合（nonconformity） 　要求事項を満たしていないこと（JIS Q 22300 参照）。
• 3.32 目的（objective） 　達成する結果（JIS Q 22300 参照）。
  　注記 1 目的は，戦略的，戦術的又は運用的であり得る。
  　注記 2 目的は，様々な領域［例えば，財務，安全衛生，環境の到達点（goal）］に関連し得るものであり，様々な階層［例えば，戦略的レベル，組織全体，プロジェクト単位，製品ごと，プロセスごと］で適用できる。
  　注記 3 目的は，例えば，意図する成果，目的（purpose），運用基準など，別の形で表現することもできる。また，社会セキュリティ目的という表現の仕方もある。又は，同じような意味をもつ別の言葉［例：狙い（aim），到達点（goal），目標（target）］で表すこともできる。
  　注記 4 社会セキュリティマネジメントシステムの場合，組織は，特定の結果を達成するため，社会セキュリティ方針と整合のとれた社会セキュリティ目的を設定する。
• 3.33 組織（organization） 　自らの目的を達成するため，責任，権限及び相互関係を伴う独自の機能をもつ，個人又は人々の集まり。
  　注記 1 組織という概念には，法人か否か，公的か私的かを問わず，自営業者，会社，法人，事業所，企業，当局，共同経営会社，非営利団体若しくは協会，又はこれらの一部若しくは組合せが含まれる。ただし，これらに限定されるものではない。
  　注記 2 複数の業務ユニットがある組織は，一つの業務ユニットを一つの組織として定義することがある。
• 3.34 外部委託する（outsource）（動詞） 　ある組織の機能又はプロセスの一部を外部の組織が実施するという取決めを行う。
  　注記 外部委託した機能又はプロセスはマネジメントシステムの適用範囲内にあるが，外部の組織はマネジメントシステムの適用範囲の外にある。
• 3.35 パフォーマンス（performance） 　測定可能な結果。
  　注記 1 パフォーマンスは，定量的又は定性的な所見のいずれにも関連し得る。
  　注記 2 パフォーマンスは，活動，プロセス，製品（サービスを含む。），システム，又は組織の運営管理に関係し得る。
• 3.36 パフォーマンス評価（performance evaluation） 　パフォーマンスを判定するプロセス。
• 3.37 要員（personnel） 　組織のために，その管理下で働く人々。
  　注記 要員の概念には，従業員，パートタイムのスタッフ，及び代理店のスタッフを含むが，これらだけに限らない。
• 3.38 方針（policy） 　トップマネジメントによって正式に表明された組織の意図及び方向付け。
• 3.39 手順（procedure） 　活動又はプロセスを実行するために規定された方法。
• 3.40 プロセス（process） 　インプットをアウトプットに変換する，相互に関連する又は相互に作用する一連の活動。
• 3.41 製品及びサービス（products and services） 　組織が，その顧客，受領者及び利害関係者に供給する有益な結果（例 製造品，自動車保険，地域看護）。
• 3.42 優先事業活動（prioritized activities） 　インシデントの発生後，影響を軽減するため，優先的に実施しなければならない事業活動（JIS Q 22300参照）。
  　注記 同種の事業活動を記述する際に一般的に使われる用語としては，“重要な”，“必須の”，“不可欠な”，“緊急の”，“主要な”，などがある。
• 3.43 記録（record） 　達成した結果，又は実施した活動の証拠を記述したもの。
• 3.44 目標復旧時点，RPO（recovery point objective） 　再開時に事業活動が実施できるようにするために，事業活動で使用される情報がどの状態まで復旧されなければならないかを示す時点。
  　注記 “最大データ損失”ともいう。
• 3.45 目標復旧時間，RTO（recovery time objective） 　インシデントの発生後，次のいずれかの事項までに要する時間。
  　− 製品又はサービスが再開される，
  　− 事業活動が再開される，
  　− 資源が復旧される。
  　注記 製品，サービス及び事業活動について，目標復旧時間は，製品・サービスを提供しない，又は事業活動を行わない結果として生じる悪影響が許容できなくなるまでの時間よりも短くなければならない。
• 3.46 要求事項（requirement） 　明示されている，通常暗黙のうちに了解されている又は義務として要求されている，ニーズ又は期待。
  　注記 1 “通常暗黙のうちに了解されている”とは，対象となるニーズ又は期待が暗黙のうちに了解されていることが，組織及び利害関係者にとって，慣習又は慣行であることを意味する。
  　注記 2 規定要求事項とは，例えば，文書化した情報の中で，明示されている要求事項をいう。
• 3.47 資源（resources） 　組織が業務を運営し，目的を達成するために，必要なときに利用可能な状態になければならない全ての資産，人員，技能，情報，技術（工場及び設備を含む。），土地，供給品及び情報（電子的か否かを問わず。）。
• 3.48 リスク（risk） 　目的に対する不確かさの影響（JIS Q 0073 参照）。
  　注記 1 影響とは，期待されていることから，好ましい方向及び／又は好ましくない方向にかい（乖）離することをいう。
  　注記 2 目的は，例えば，財務，安全衛生，環境に関する到達目標など，異なった側面があり，戦略，組織全体，プロジェクト，製品，プロセスなど，異なったレベルで設定されることがある。目的は，例えば，事業継続目的として，意図する結果，目標，運用基準，また，類似の意味をもつ言葉［例えば，狙い（aim），到達点（goal），目標（target）］などのように，別の方法で表現されることもある。
  　注記 3 リスクは，起こり得る事象（JIS Q 0073 の 3.5.1.3）及び結果（JIS Q 0073 の 3.6.1.3），又はこれらの組合せについて述べることによって，その特徴を記述することが多い。
  　注記 4 リスクは，ある事象（周辺状況の変化を含む。）の結果とその発生の起こりやすさ（JIS Q 0073 の 3.6.1.1）との組合せとして表現されることが多い。
  　注記 5 不確かさとは，事象，その結果又はその起こりやすさに関する，情報，理解又は知識が，たとえ部分的にでも欠落している状態をいう。
  　注記 6 事業継続マネジメントシステム規格においては，事業継続目的は，明示された結果を出すために，事業継続方針に沿って組織で設定される。事業継続目的にリスクという用語及びリスクマネジメントの構成要素を適用するときは，6.2 に規定する事業継続目的を含み，これらだけに限らず，組織の目的に関連付けられる。
• 3.49 リスク選好（risk appetite） 　組織に追求する又は保有する意思があるリスクの量及び種類。
• 3.50 リスクアセスメント（risk assessment） 　リスク特定，リスク分析及びリスク評価のプロセス全体（JIS Q 0073 参照）。
• 3.51 リスクマネジメント（risk management） 　リスクについて，組織を指揮・統制するための調整された活動（JIS Q 0073 参照）。
• 3.52 試験の実施（testing） 　ものの有無，品質又は正確さを見極めるための手順（JIS Q 22300 参照）。
  　注記 1 試験の実施は，“試験（trial）”ともいう。
  　注記 2 試験の実施は，支援計画に適用されることが多い。
• 3.53 トップマネジメント（top management） 　最高位で組織を指揮し，管理する個人又は人々の集まり。
  　注記 1 トップマネジメントは，組織内で，権限を委譲し，資源を供給する力をもっている。
  　注記 2 マネジメントシステムの適用範囲が組織の一部だけの場合，トップマネジメントとは，組織内のその一部を指揮し，管理する人をいう。
• 3.54 検証（verification） 　証拠を提示することによって，規定の要求事項が満たされていることを確認すること。
• 3.55 作業環境（work environment） 　作業が行われる場の一連の諸条件（JIS Q 22300 参照）。
  　注記 条件には，物理的，社会的，心理的及び環境的要因が含まれる。例えば，温度，評価の仕組み，人間工学的側面，大気成分などがある。

4 組織の状況 †

4.1 組織及びその状況の理解 †

　組織は，組織の目的に関連し，かつ，その BCMS の意図した成果を達成する組織の能力に影響を与える，外部及び内部の課題を決定しなければならない。
　組織の BCMS を確立し，実施し，維持するに当たって，これらの課題を考慮しなければならない。
　組織は，次の事項を特定し，文書化しなければならない。
a) 組織の事業活動，機能，サービス，製品，取引関係，サプライチェーン，利害関係者との関係，及び事業の中断・阻害を引き起こすインシデントに関係する潜在的な影響 b) 事業継続方針と，組織の目的及び組織の総合的なリスクマネジメント戦略を含むその他の方針とのつながり c) 組織のリスク選好 　状況を明確にするに当たって，組織は次を実施しなければならない。 　1) 事業継続に関係するものを含め，組織の目的を明確に述べる。 　2) リスクを生じさせる不確かさを生む内部及び外部の要因を定義する。 　3) リスク選好を考慮に入れて，リスク基準を設定する。 　4) BCMS の目的を定義する。

4.2 利害関係者のニーズ及び期待の理解 †

4.2.1 一般 　BCMS を確立するに当たって，組織は次の事項を決定しなければならない。 　− BCMS に関連する利害関係者 　− その利害関係者の要求事項（例えば，明示されているか，暗に示されているか，義務か否かに関わらない利害関係者のニーズ及び期待）

4.2.2 法令及び規制の要求事項 　組織は，その業務，製品及びサービスの継続並びに関係する利害関係者の関心のために，適用される法令及び規制の要求事項を特定し，入手し，評価するための手順を確立し，実施し，維持しなければならない。 　組織は，これらの適用される法令及び規制の要求事項，並びに組織が同意するその他の要求事項を，BCMS の確立，実施及び維持において考慮することを確実にしなければならない。 　組織は，この情報を文書化し，常に最新のものにしておかなければならない。法令，規制及びその他の要求事項の新規追加又は変更は，その影響を受ける従業員及びその他の利害関係者に周知しなければならない。

4.3 BCMS の適用範囲の決定 †

4.3.1 一般 　組織は，BCMS の適用範囲を定めるために，その境界及び適用可能性を決定しなければならない。 　この適用範囲を決定するとき，組織は，次の事項を考慮しなければならない。 　− 4.1 に規定する外部及び内部の課題 　− 4.2 に規定する要求事項

　BCMS の適用範囲は，文書化した情報として利用可能な状態にしておかなければならない。

4.3.2 BCMS の適用範囲の決定方法 　組織は，BCMS の適用範囲を決定するために，次に示す事項を実施しなければならない。 　a) BCMS に含まれる組織の部署を明確にする。 　b) 組織の使命及び目標，組織内外の義務（利害関係者に関係するものを含む。），並びに法令及び規制上の責任を考慮し，BCMS の要求事項を決定する。 　c) BCMS の適用範囲に入る製品及びサービス，並びにそれらに関連する全ての事業活動を特定する。 　d) 顧客，投資家，株主，サプライチェーン，公共及び／又は地域社会の意見，ニーズ，期待，利益（必要に応じて）など，利害関係者のニーズ及び利益を考慮に入れる。 　e) 組織の規模，性質及び複雑度の観点から，それらに適した BCMS の適用範囲を定める。

　適用範囲を定めるに当たって，組織は，除外事項を文書化し，説明しなければならない。いかなる除外事項も，事業影響度分析，又はリスクアセスメント並びに適用される法令及び規制の要求事項によって決定された，BCMS の要求事項を満たす事業及び業務を継続できる組織の能力及び責任に影響を与えてはならない。

4.4 BCMS †

　組織は，この規格の要求事項に従って，必要なプロセス及びそれらの相互作用を含む BCMS を確立し，実施し，維持し，かつ，継続的に改善しなければならない。

5 リーダーシップ †

5.1 リーダーシップ及びコミットメント †

　トップマネジメントにある者，及びその他の関連する管理層の役割を担う者は，BCMS に関してリーダーシップを実証しなければならない。 　例 このリーダーシップ及びコミットメントは，人員が BCMS の有効性に寄与できるよう動機付けし，権限を与えることによって示すことができる。

5.2 経営者のコミットメント †

　トップマネジメントは，次に示す事項によって，BCMS に関するリーダーシップ及びコミットメントを実証しなければならない。 　− BCMS の方針及び目的を確立し，それらが組織の戦略的な方向性と両立することを確実にする。 　− 組織の事業プロセスへの BCMS の要求事項の統合を確実にする。 　− BCMS に必要な資源が利用可能であることを確実にする。 　− 有効な事業継続マネジメント及び BCMS の要求事項への適合の重要性を伝達する。 　− BCMS がその意図した成果を達成することを確実にする。 　− BCMS の有効性に寄与するよう指示を与え，支援する。 　− 継続的改善を促進する。 　− その他の関連する管理層がその責任の領域においてリーダーシップ及びコミットメントを実証するよう，管理層の役割を支援する。 　注記 1 この規格で“事業”という場合，それは，組織の存在の目的の中核となる活動という広義の意味で解釈することが望ましい。

　トップマネジメントは，BCMS の確立，導入，運用，監視，レビュー，維持及び改善へのコミットメントの証拠を次の事項によって示さなければならない。 　− 事業継続方針を策定する。 　− BCMS の目的及び計画が策定されることを確実にする。 　− 事業継続マネジメントのための役割，責任及び力量を決定する。 　− BCMS の実施及び維持に責任を負うために適切な権限及び力量を備える 1 名以上の者を，BCMS の責任者に任命する。 　注記 2 BCMS の責任者は，組織内で他の職務と兼務することができる。

　トップマネジメントは，関連する役割に対して，責任及び権限を割り当て，組織内に伝達することを次に示す事項によって確実にしなければならない。 　− リスク許容基準及びリスクの許容可能レベルを定める。 　− 演習及び試験の実施に積極的に関与する。 　− BCMS の内部監査の実施を確実にする。 　− BCMS のマネジメントレビューを実施する。 　− 継続的改善へのコミットメントを明確に示す。

5.3 方針 †

　トップマネジメントは，次の事項を満たす事業継続方針を確立しなければならない。 　− 組織の目的に対して適切である。 　− 事業継続目的の設定のための枠組みを示す。 　− 適用される要求事項を満たすことへのコミットメントを含む。 　− BCMS の継続的改善へのコミットメントを含む。

　BCMS 方針は，次に示す事項を満たさなければならない。 　− 文書化した情報として利用可能である。 　− 組織内に伝達される。 　− 必要に応じて，利害関係者が入手可能である。 　− 定期的に及び大きな変更があった場合に，継続的に適切であるかをレビューする。 　組織は，事業継続方針に関して文書化した情報を保持しなければならない。

5.4 組織の役割，責任及び権限 †

　トップマネジメントは，関連する役割に対して，責任及び権限を割り当て，組織内に伝達することを確実にしなければならない。 　トップマネジメントは，次の事項に対して，責任及び権限を割り当てなければならない。 　a) BCMS が，この規格の要求事項に適合することを確実にする。 　b) BCMS のパフォーマンスをトップマネジメントに報告する。

6 計画 †

6.1 リスク及び機会に対処する活動 †

　BCMS の計画を策定するとき，組織は，4.1 に規定する課題及び 4.2 に規定する要求事項を考慮し，次の事項のために対処する必要があるリスク及び機会を決定しなければならない。 　− BCMS が，その意図した成果を達成できることを確実にする。 　− 望ましくない影響を防止又は低減する。 　− 継続的改善を達成する。 　組織は，次の事項を計画しなければならない。 　a) 上記によって決定したリスク及び機会に対処する活動 　b) 次の事項を行う方法 　　1) その活動の BCMS プロセスへの統合及び実施（8.1 参照） 　　2) その活動の有効性の評価（9.1 参照）

6.2 事業継続目的及びそれを達成するための計画 †

　トップマネジメントは，事業継続目的が設定され，組織内の関連する部門及び階層において伝達されていることを確実にしなければならない。 　事業継続目的は，次の事項を満たさなければならない。 　a) 事業継続方針と整合している。 　b) 組織が目的を達成するために許容できる製品及びサービスの最低限のレベルを考慮する。 　c) （実行可能な場合）測定可能である。 　d) 適用される要求事項を考慮に入れる。 　e) 監視し，適切に更新する。 　f) 伝達する。

　組織は，事業継続目的に関する文書化した情報を保持しなければならない。 　組織は，事業継続目的をどのように達成するかについて計画するとき，次の事項を決定しなければならない。 　− 責任者 　− 実施事項 　− 必要な資源 　− 達成期限 　− 結果の評価方法

7 支援 †

7.1 資源 †

　組織は，BCMS の確立，実施，維持及び継続的改善に必要な資源を決定し，提供しなければならない。

7.2 力量 †

　組織は，次の事項を行わなければならない。 　a) 組織のパフォーマンスに影響を与える業務をその管理下で行う人（又は人々）に必要な力量を決定する。 　b) 適切な教育，教育訓練及び経験に基づいて，それらの人々が力量を備えていることを確実にする。 　c) 該当する場合には，必ず，必要な力量を身につける処置をとり，とった処置の有効性を評価する。 　d) 力量の証拠として，適切な文書化した情報を保持する。 　　注記 適用される処置には，例えば，現在雇用している人々に対する教育訓練の提供，指導の実施，配置転換の実施などがあり，また，力量を備えた人々の雇用，そうした人々との契約締結などもある。

7.3 認識 †

　組織の管理下で働く人々は，次の事項に関して認識をもたなければならない。 　a) 事業継続方針 　b) BCMS ，パフォーマンスの向上によって得られる便益を含む，BCMS の有効性に対する自らの貢献 　c) BCMS の要求事項に適合しないことの意味 　d) 事業の中断・阻害を引き起こすインシデント発生時の自らの役割

7.4 コミュニケーション †

　組織は，次の事項を含め，BCMS に関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。 　a) コミュニケーションの内容（何を伝達するか。） 　b) コミュニケーションの実施時期 　c) コミュニケーションの対象者 　組織は，次のための手順を確立し，実施し，維持しなければならない。 　− 組織内の利害関係者及び従業員の間の内部コミュニケーション 　− 顧客，取引先，地域社会，及びメディアを含むその他の利害関係者との外部コミュニケーション 　− 利害関係者からのコミュニケーションの受け入れ，文書化及び対応 　− 全国又は地域の災害警報システム又は同等システムの計画及び運用への採用及び組入れ（それが適切な場合） 　− 事業の中断・阻害を引き起こすインシデント発生時におけるコミュニケーション手段の確保 　− 必要に応じて，関係当局との体系的なコミュニケーションの促進，及び複数の緊急対応機関と要員との相互運用性の確保 　− 平時のコミュニケーションが中断・阻害されたときに使用するコミュニケーション機能の運用及び試験の実施 　注記 インシデントに対応するコミュニケーションについては，これら以外の要求事項を 8.4.3 に規定している。

7.5 文書化した情報 †

7.5.1 一般 　組織の BCMS は，次の事項を含まなければならない。 　− この規格が要求する文書化した情報 　− BCMS の有効性のために必要であると組織が決定した，文書化した情報 　　注記 BCMS のための文書化した情報の程度は，次のような理由によって，それぞれの組織で異なる場合がある。 　− 組織の規模，並びに活動，プロセス，製品及びサービスの種類 　− プロセス及びその相互作用の複雑さ 　− 人々の力量

7.5.2 作成及び更新 　文書化した情報を作成及び更新する際，組織は，次の事項を確実にしなければならない。 　a) 適切な識別及び記述（例えば，タイトル，日付，作成者，参照番号） 　b) 適切な形式（例えば，言語，ソフトウェアの版，図表）及び媒体（例えば，紙，電子媒体），並びに適切性及び妥当性に関するレビュー及び承認

7.5.3 文書化した情報の管理 　BCMS 及びこの規格で要求されている文書化した情報は，次の事項を確実にするために，管理しなければならない。 　a) 文書化した情報が，必要なときに，必要なところで，入手可能かつ利用に適した状態である。 　b) 文書化した情報が十分に保護されている（例えば，機密性の喪失，不適切な使用及び完全性の喪失からの保護）。 　文書化した情報の管理に当たって，該当する場合には必ず，組織は，次の行動に取り組まなければならない。 　− 配付，アクセス，検索及び利用 　− 読みやすさが保たれることを含む，保管及び保存 　− 変更の管理（例えば，版の管理） 　− 保持及び廃棄 　− （削除） 　− 判読性（例えば，はっきりと読めること）の保護 　− 廃止情報の誤使用の防止 　注記 対応国際規格には“検索及び利用”が箇条に記載されているが重複するために削除した。

　BCMS の計画及び運用のために組織が必要と決定した外部からの文書化した情報は，必要に応じて，特定し，管理しなければならない。 　文書化した情報の管理を確立するに当たって，組織は，文書化した情報の適切な保護を確実にしなければならない（例 セキュリティ侵害，無断の変更又は削除の防護）。 　注記 アクセスとは，文書化した情報の閲覧だけの許可に関する決定，文書化した情報の閲覧及び変更の許可及び権限に関する決定，などを意味する。

8 運用 †

8.1 運用の計画及び管理 †

　組織は，次に示す事項の実施によって，要求事項を満たすため，及び 6.1 で決定した活動を実施するために必要なプロセスを計画し，実施し，管理しなければならない。 　a) プロセスに関する基準の設定 　b) その基準に従った，プロセスの管理の実施 　c) プロセスが計画どおりに実行されたという確信をもつために必要な程度の，文書化した情報の保持

　組織は，計画した変更を管理し，意図しない変更によって生じた結果をレビューし，必要に応じて，有害な影響を軽減する処置をとらなければならない。 　組織は，外部委託したプロセスが管理されていることを確実にしなければならない。

8.2 事業影響度分析及びリスクアセスメント †

8.2.1 一般 　組織は，事業影響度分析及びリスクアセスメントのために，次の内容を含む正式に文書化したプロセスを確立し，実施し，維持しなければならない。 　a) アセスメントの状況を設定し，基準を定め，事業の中断・阻害を引き起こすインシデントの潜在的な影響を評価する。 　b) 法的，及び組織が同意するその他の要求事項を考慮する。 　c) 体系的な分析，リスク対応の優先順位付け，及びそれらに係るコストを含める。 　d) 事業影響度分析及びリスクアセスメントから必要とされるアウトプットを定義する。 　e) a)∼d)の情報を常に最新に保ち，機密扱いにするための要求事項を規定する。 　注記 事業影響度分析及びリスクアセスメントを実施する順序を決める様々な手法がある。

8.2.2 事業影響度分析 　組織は，事業継続及び復旧の優先順位付け，目的及び達成目標を設定するために，正式に文書化した評価プロセスを確立し，実施し，及び維持しなければならない。このプロセスには，組織の製品・サービスを支える活動が中断・阻害された場合の影響の評価が含まれていなければならない。 　事業影響度分析には，次を含めなければならない。 　a) 製品及びサービスの提供を支援する事業活動を特定する。 　b) これらの事業活動を実施しないことによる経時的な影響を評価する。 　c) これらの事業活動が再開しないことによる影響が許容できなくなるまでの時間を考慮し，明示した最低限の許容できるレベルでこれらの事業活動を再開するために優先順位付けされた時間枠を設定する。 　d) サプライヤ，外部委託先，及びその他該当する利害関係者を含め，それらの活動の依存関係及びそれらの事業活動を支える資源を特定する。

8.2.3 リスクアセスメント 　組織は，組織に事業の中断・阻害を引き起こすインシデントのリスクを体系的に特定し，分析し，評価するために正式に文書化したリスクアセスメントプロセスを確立し，実施し，維持しなければならない。 　注記 このプロセスは，JIS Q 31000 に準拠して実施できる。 　組織は，次を実施しなければならない。 　a) 組織の優先事業活動，並びにそれらを支えるプロセス，システム，情報，人，資産，外部委託先，及びその他の資源に対する事業の中断・阻害のリスクを特定する。 　b) リスクを体系的に分析する。 　c) 対応を必要とする，事業の中断・阻害を引き起こすリスクを評価する。 　d) 事業継続目的に合致し，組織のリスク選好に応じた対応策を特定する。 　注記 組織は，金融又は行政上の特定の義務として，これらのリスクを様々な詳細度で開示する必要があることを認識しなければならない。加えて，特定の社会的なニーズから，この情報を適切な詳細度で開示することが求められることがある。

8.3 事業継続戦略 †

8.3.1 決定及び選択 　戦略の決定及び選択は，事業影響度分析及びリスクアセスメントのアウトプットに基づかなければならない。 　組織は，次のための適切な事業継続戦略を決定しなければならない。 　a) 優先事業活動を保護する。 　b) 優先事業活動及びそれらの依存関係，並びに支援する資源を安定させ，継続し，再開し，復旧する。 　c) 影響を軽減し，対応し，対処する。

　戦略の決定には，活動再開のための優先順位を定めた時間が承認されていなければならない。 　組織は，サプライヤの事業継続の能力の評価を実施しなければならない。

8.3.2 資源に関する要求事項の設定 　組織は，選択した戦略を実施するための資源に関する要求事項を決定しなければならない。考慮される資源の種類には次のものが含まれるが，これらだけに限らない。 　a) 人 　b) 情報及びデータ 　c) 建物，作業環境及び関連ユーティリティ 　d) 施設，設備及び消耗品 　e) 情報通信技術（ICT）システム 　f) 交通機関 　g) 資金 　h) 取引先及びサプライヤ

8.3.3 保護及び軽減 　対応が必要であると特定されたリスクに対して，組織は次のような事前対策を考慮しなければならない。 　a) 事業の中断・阻害の発生の起こりやすさを低減する。 　b) 事業の中断・阻害の時間を短縮する。 　c) 事業の中断・阻害が組織の重要な製品及びサービスに及ぼす損害の大きさを抑制する。

　組織は，自らのリスク選好に応じて，適切なリスク対応策を選択し，実施しなければならない。

8.4 事業継続手順の確立及び実施 †

8.4.1 一般 　組織は，事業影響度分析で設定された復旧の目標に基づいて事業の中断・阻害を引き起こすインシデントに対処し，事業活動を継続するための事業継続手順を確立し，実施し，維持しなければならない。 　組織は，事業活動の継続及び事業の中断・阻害を引き起こすインシデントへの対応を確実にするための手順（必要な取組みを含む。）を文書化しなければならない。 　手順は，次のようなものでなければならない。 　a) 組織内部及び外部の適切なコミュニケーション手順を確立する。 　b) 事業の中断・阻害時の緊急の処置が明示されている。 　c) 不測の脅威，及び組織内外の状況変化に柔軟に対応する。 　d) 潜在的に事業の中断・阻害を引き起こすおそれのある事象の影響に焦点を当てる。 　e) 所定の前提及び相互依存の分析に基づいて策定される。 　f) 適切な軽減戦略の実施によって影響を最小限に抑えることに効果的である。

8.4.2 インシデント対応の体制 　組織は，インシデントに対処するために必要な責任，権限及び力量をもつ要員を用い，事業の中断・阻害を引き起こすインシデントに対応するための手順及び運営管理体制を確立し，文書化し，実施しなければならない。 　対応の体制は，次のようなものでなければならない。 　a) 正式な対応を発動させる事態のレベルの基準を決定する。 　b) 事業の中断・阻害を引き起こすインシデント及びその潜在的な影響の性質及び程度を評価する。 　c) 適切な事業継続対応策を発動する。 　d) 対応の発動，運用，調整及びコミュニケーションのためのプロセス及び手順を備える。 　e) 影響を最小限に抑えるために，事業の中断・阻害を引き起こすインシデントに対処するプロセス及び手順を支える利用可能な資源を確保する。 　f) 利害関係者及び関係当局，並びにメディアとのコミュニケーションを行う。

　組織は，人命を最優先とし，また関係する利害関係者と協議し，重大なリスク及び影響について外部に伝えるか否かを決定し，その決定を文書化しなければならない。伝える決定を下した場合には，組織は，必要に応じて，メディアを含め外部へのコミュニケーション，警報及び警告のための手順を確立し，実施しなければならない。

8.4.3 警告及びコミュニケーション 　組織は，次のための手順を確立し，実施し，維持しなければならない。 　a) インシデントの検知 　b) インシデントの定期的な監視 　c) 組織内部のコミュニケーション，並びに利害関係者からのコミュニケーションの受け入れ，文書化及び対応 　d) 全国若しくは地域の災害情報提供システム，又は同等のシステムからの勧告の受理，文書化及び対応 　e) 事業の中断・阻害を引き起こすインシデント発生時の通信手段の確保 　f) 緊急事態対応機関との組織化されたコミュニケーションの促進 　g) インシデント，実施された処置，及び下された決定に関する重要な情報の記録

　次の事項についても考慮し，該当する場合は必ず実施しなければならない。 　− 事業の中断・阻害を引き起こすインシデントの発生又はそれが差し迫っているとき，影響を受ける利害関係者への警報 　− 複数の緊急事態対応機関と要員との相互運用性の確保 　− 通信設備の運用 　コミュニケーション及び警告の手順を定期的に演習しなければならない。

8.4.4 事業継続計画 　組織は，事業の中断・阻害を引き起こすインシデントへの対応，及びあらかじめ設定した時間枠内で事業活動を継続又は復旧する方法について，文書化した手順を確立しなければならない。このような手順には，それらを使用する者に関する要求事項を含めなければならない。 　事業継続計画には，全体として次の事項が含まれていなければならない。 　a) インシデント発生時及びその後について権限をもつ者及びチームの明確に定められた役割及び責任 　b) 対応策を発動するプロセス 　c) 次のことに相当な配慮をし，事業の中断・阻害を引き起こすインシデントの直接的影響に対処するための詳細事項 　　1) 個々人の福祉 　　2) その中断・阻害に対応する戦略的，戦術的及び運用面の選択肢 　　3) 波及する損害又は優先事業活動が実施できなくなることの防止 　d) 組織がどのように，またどのような状況で，従業員及びその近親者，主要な利害関係者，並びに緊急連絡先と連絡をとるかについての詳細事項 　e) 組織があらかじめ定めた時間枠内で優先事業活動を継続又は復旧する方法 　f) 次を含む，インシデント発生後の組織のメディア対応に関する詳細事項 　　1) コミュニケーション戦略 　　2) メディアに対する優先連絡窓口 　　3) メディアに対する声明文を作成するための指針又はひな（雛）形 　　4) 適切な広報担当者 　g) インシデント終了後の解除プロセス 　各計画は，次の事項を定義しなければならない。 　− 目的及び適用範囲 　− 達成目標 　− 発動基準及び手順 　− 実施手順 　− 役割，責任及び権限 　− コミュニケーションに関する要求事項及び手順 　− 組織内外の相互依存及び相互作用関係 　− 資源に関する要求事項 　− 情報の流れ及び文書化のプロセス

8.4.5 復旧 　組織は，インシデント発生後，採用された暫定的処置から，平常の事業活動の要求事項を満たすことができるまでに，事業活動を回復し，復帰させるための手順を文書化して備えなければならない。

8.5 演習及び試験の実施 †

　組織は，事業継続手順が事業継続目的に合致していることを確実にするために，手順を演習し，試験しなければならない。 　組織は，次のような演習及び試験を実施しなければならない。 　a) BCMSの適用範囲及び目的と合致している。 　b) 明確に定められた狙いと達成目標をもって，周到に計画された適切なシナリオに基づいている。 　c) 該当する利害関係者を含めた事業継続の取組みについて，長期にわたる総合的な妥当性を確認する。 　d) 事業の中断・阻害のリスクを最小限に抑える。 　e) 結果，提言，及び改善を実施するための処置を含めた正式な演習実施報告書を作成する。 　f) 継続的改善を促進する観点からレビューする。 　g) あらかじめ定めた間隔，及び組織内又は組織が活動する環境に大きな変化があった場合に実施する。

9 パフォーマンス評価 †

9.1 監視，測定，分析及び評価 †

9.1.1 一般 　組織は，次の事項を決定しなければならない。 　a) 必要とされる監視及び測定の対象 　b) 該当する場合には必ず，妥当な結果を確実にするための，監視，測定，分析及び評価の方法 　c) 監視及び測定の実施時期 　d) 監視及び測定の結果の，分析及び評価の時期

　組織は，この結果の証拠として，適切な文書化した情報を保持しなければならない。 　組織は，BCMS，パフォーマンス及び BCMS の有効性を評価しなければならない。 　さらに，組織は次を実施しなければならない。 　− 好ましくない傾向又は結果に対処する必要がある場合，不適合が生じる前に処置をとる。 　− 結果の証拠として，文書化した関係情報を保持する。 　パフォーマンスを監視する手順は，次の事項を規定しなければならない。 　− 組織のニーズに適したパフォーマンス測定基準の設定 　− 組織の事業継続方針，目的及び目標の達成程度の監視 　− 優先事業活動を保護するプロセス，手順及び機能のパフォーマンス 　− この規格及び事業継続目的に対する適合の監視 　− BCMS のパフォーマンス不足に関する過去の証拠の監視 　− その後の是正処置を促進するための，監視及び測定のデータ及び結果の記録 　注記 パフォーマンス不足には，不適合，ニアミス，誤報，実際のインシデントなどがある。

9.1.2 事業継続手順の評価 　事業継続手順は，次によって評価する。 　a) 組織は，事業継続手順及び能力の適切性，妥当性及び有効性の継続を確保するために，それらの評価を実施しなければならない。 　b) これらの評価は，定期的なレビュー，演習，試験，インシデント発生後の報告，及びパフォーマンス評価を通して行われなければならない。大きな変更があった場合は，遅滞なく手順に反映しなければならない。 　c) 組織は，適用される法令及び規制の要求事項の順守，業界のベストプラクティスとの適合，並びに組織の事業継続方針及び目的との適合を定期的に評価しなければならない。 　d) 組織は，あらかじめ定めた間隔で，また大きな変更があった場合にも，評価を実施しなければならない。

　事業の中断・阻害を引き起こすインシデントが発生し，事業継続手順の発動に至った場合，組織は，インシデント発生後のレビューを実施し，結果を記録しなければならない。

9.2 内部監査 †

　組織は，BCMS が次の状況にあるか否かに関する情報を提供するために，あらかじめ定めた間隔で内部監査を実施しなければならない。 　a) 次の事項に適合している。 　　1) BCMSに関して，組織自体が規定した要求事項 　　2) この規格の要求事項 　b) 有効に実施され，維持されている。 　組織は，次に示す事項を行わなければならない。 　− 頻度，方法，責任及び計画に関する要求事項及び報告を含む，監査プログラムの計画，確立，実施及び維持。監査プログラムは，関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。 　− 各監査について，監査基準及び監査範囲を明確にする。 　− 監査プロセスの客観性及び公平性を確保するために，監査員を選定し，監査を実施する。 　− 監査の結果を関連する管理層に報告することを確実にする。 　− 監査プログラムの実施及び監査結果の証拠として，文書化した情報を保持する。 　あらゆるスケジュールを含めた監査プログラムは，組織の活動に関するリスクアセスメントの結果及び前回までの監査結果に基づかなければならない。監査手順には，監査の実行及び結果報告に関する責任及び要求事項だけでなく，範囲，頻度，方法及び力量も含めなければならない。 　監査対象の部門に責任をもつ管理層は，検知した不適合及びその原因を除去するために，必要な修正及び是正処置が不当に遅延することなく実施されることを確実にしなければならない。フォローアップ活動には，実施された処置の検証及び検証結果の報告を含めなければならない。

9.3 マネジメントレビュー †

　トップマネジメントは，組織の BCMS が，引き続き，適切，妥当かつ有効であることを確実にするために，あらかじめ定めた間隔で，BCMS をレビューしなければならない。 　マネジメントレビューは，次の事項を考慮しなければならない。 　a) 前回までのマネジメントレビューの結果とった処置の状況 　b) BCMSに関連する外部及び内部の課題の変化 　c)次に示す傾向を含めた，事業継続パフォーマンスに関する情報 　　1) 不適合及び是正処置 　　2) 監視及び測定の評価の結果 　　3) 監査結果 　d) 継続的改善の機会 　マネジメントレビューでは，次の事項を含む組織のパフォーマンスを考慮しなければならない。 　− 前回までのマネジメントレビューからのフォローアップ処置 　− 方針及び目的を含む，BCMS に変更を加える必要性 　− 改善の機会 　− 必要に応じて，重要なサプライヤ及び取引先を含めた，BCMS の監査及びレビューの結果 　− BCMS のパフォーマンス及び有効性の改善に組織内で利用できる技術，製品又は手順 　− 是正処置の状況 　− 演習及び試験の結果 　− 過去のいずれのリスクアセスメントでも適切に取り上げていなかったリスク又は問題点 　− BCMS の適用範囲内であるか否かを問わず，BCMS に影響を与える可能性のある変化 　− 方針の妥当性 　− 改善のための助言 　− 事業の中断・阻害を引き起こすインシデントから学んだ教訓，及び実施した処置 　− 新しい優れた実践及び指針 　マネジメントレビューからのアウトプットには，継続的改善の機会，及び BCMS のあらゆる変更の必要性に関する決定を含めなければならない。また，次も含めなければならない。 　a) BCMS の適用範囲の変更 　b) BCMS の有効性の改善 　c) リスクアセスメント，事業影響度分析，事業継続計画及び関連する手順の更新 　d) 次の事項の変更を含め，BCMS に影響を与える可能性のある組織内外の事象に対応するための手順及び管理策の修正 　　1) 事業及びその活動に関する要求事項 　　2) リスク軽減及びセキュリティに関する要求事項 　　3) 事業活動の条件及びプロセス 　　4) 法令及び規制の要求事項 　　5) 契約上の義務 　　6) リスクのレベル及び／又はリスクの許容基準 　　7) 資源のニーズ 　　8) 資金及び予算の要求事項 　e) 管理策の有効性の測定方法 　組織は，マネジメントレビューの結果の証拠として，文書化した情報を保持しなければならない。 　組織は，次を行わなければならない。 　− マネジメントレビューの結果を該当する利害関係者に伝達する。 　− それらの結果に関する適切な処置をとる。

10 改善 †

10.1 不適合及び是正処置 †

　不適合が発生した場合，組織は，次の事項を行わなければならない。 　a) 不適合を特定する。 　b) その不適合に対処し，該当する場合は必ず，次の事項を行う。 　　1) その不適合を管理し，修正するための処置をとる。 　　2) その不適合によって起こった結果に対処する。 　c) その不適合が再発又は他のところで発生しないようにするため，次の事項によって，その不適合の原因を除去するための処置をとる必要性を評価する。 　　1) その不適合をレビューする。 　　2) その不適合の原因を明確にする。 　　3) 類似の不適合の有無，又はそれが発生する可能性を明確にする。 　　4) 不適合の再発，又はほかでの発生の防止を確実にするための是正処置の必要性を評価する。 　　5) 必要な是正処置を決定し，実施する。 　　6) （削除） 　　7) （削除） 　　注記 対応国際規格には 6)及び 7)が記載されているが，下記 e)及び f)と重複するために削除した。 　d) 必要な処置を実施する。 　e) とった全ての是正処置の有効性をレビューする。 　f) 必要な場合には，BCMS の変更を行う。 　是正処置は，検出された不適合のもつ影響に応じたものでなければならない。 　組織は，次に示す事項の証拠として，文書化した情報を保持しなければならない。 　− 不適合の性質及びとった処置 　− 是正処置の結果

10.2 継続的改善 †

　組織は，BCMS の適切性，妥当性及び有効性を継続的に改善しなければならない。 　注記 組織は，リーダーシップ，計画，パフォーマンス評価など BCMS のプロセスを使って改善を達成することができる。

参考文献 †

[1] JIS Q 9001 品質マネジメントシステム−要求事項 　注記 対応国際規格：ISO 9001，Quality management systems−Requirements（IDT）

[2] JIS Q 14001 環境マネジメントシステム−要求事項及び利用の手引 　注記 対応国際規格：ISO 14001，Environmental management systems−Requirements with guidance for use（IDT）

[3] JIS Q 19011 マネジメントシステム監査のための指針 　注記 対応国際規格：ISO 19011，Guidelines for auditing management systems（IDT）

[4] JIS Q 20000-1 情報技術−サービスマネジメント−第 1 部：サービスマネジメントシステム要求事項 　注記 対応国際規格：ISO/IEC 20000-1，Information technology−Service management−Part 1: Service management system requirements（IDT）

[5] JIS Q 22300 社会セキュリティ−用語 　注記 対応国際規格：ISO 22300，Societal security−Terminology（IDT）

[6] ISO/PAS 22399， Societal security − Guideline for incident preparedness and operational continuity management

[7] ISO/IEC 24762， Information technology − Security techniques − Guidelines for information and communications technology disaster recovery services

[8] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項 　注記 対応国際規格：ISO/IEC 27001，Information technology−Security techniques−Information security management systems−Requirements（IDT）

[9] ISO/IEC 27031， Information technology − Security techniques − Guidelines for information and communication technology readiness for business continuity

[10]JIS Q 31000 リスクマネジメント−原則及び指針 　注記 対応国際規格：ISO 31000，Risk management−Principles and guidelines（IDT）

[11] JIS Q 31010 リスクマネジメント−リスクアセスメント技法 　注記 対応国際規格：ISO/IEC 31010，Risk management−Risk assessment techniques（IDT）

[12] JIS Q 0073 リスクマネジメント−用語 　注記 対応国際規格：ISO Guide 73，Risk management−Vocabulary（IDT）

[13] BS 25999-1，Business continuity management−Code of practice, British Standards Institution (BSI)

[14] BS 25999-2，Business continuity management−Specification, British Standards Institution (BSI)

[15] SI 24001，Security and continuity management systems−Requirements and guidance for use, Standards Institution of Israel

[16] NFPA 1600，Standard on disaster/emergency management and business continuity programs, National Fire Protection Association (USA)

[17] 事業継続計画策定ガイドライン，経済産業省（日本），2005 年

[18] 事業継続ガイドライン，中央防災会議，内閣府，日本政府，2005 年

[19] ANSI/ASIS SPC/1，Organizational Resilience: Security, Preparedness, and Continuity Management Systems −Requirements with Guidance for Use

[20] SS 540:2008，Singapore Standard for Business Continuity Management

[21] ANSI/ASIS/BSI/BCM.01，Business Continuity Management Systems: Requirements with Guidance for Use

[22] ISO 28000 ，Specification for security management systems for the supply chain

---