事業継続管理
事業継続管理(BCM)はISMSの要求宇治公であるとともに、内部統制の強化などと並び、企業経営における重要課題となっている。ここでは事業継続管理及び継続計画(BCP)の要点について解説する。
4.9.1 BCP BCM の概要
事業継続管理に関するISMSの要求事項
ISMSの管理策では「事業継続マネジメントにおける情報セキュリティの側面」として次のように記述している。
- 組織は困難な状況における情報セキュリティ及び情報セキュリティマネジメントを継続のための要求事項を決定すること
- 組織は困難んあ状況下で情報セキュリティを継続するためのプロセス、手順、管理策を確立して文書化し、実施・維持すること
- 情報セキュリティ継続のための管理策が妥当かつ有効であることを確実にするため、定期的に当該管理策を検証すること
- 情報処理施設は、可用性の要求鵜事項を満たすのに十分な冗長性を持って導入すること
4.9.2 BCP策定、BCM確立における要点
BCPを策定し、BCMを実践するための要点を次に示す。
- BCMにおいては企業の存続において、もっとも重要度の高い事業やサービスを優先的に復旧・継続させることが前提となる
- BCPの策定においては、まずビジネスインパクト分析(BIA)によって、当該組織の事業継続においてボトルネックとなる業務プロセスやリスクを把握する
- BIAによって認識された重要な業務について、中断時の損失額などを算出するとともに、次に示す目標値を設定する。
- 目標復旧時間(Recovery Time Objective : RTO)
業務中断後、いつまでに業務を普及させるのかを示す
- 目標復旧時間(Recovery Time Objective : RTO)
- 目標復旧レベル
業務中断後RIO内にどのレベルまで業務を復旧させるのかを示す
- 目標復旧レベル
- 目標復旧時点(Recovery Point Objective : RPO)
業務中断から遡って、いつの時点の状態まで戻すのかを示す
- 目標復旧時点(Recovery Point Objective : RPO)
BCPにおいて設定する目標値のイメージ |
---|
- 重要業務の停止時に目標時間内に普及させるための具体的な計画や手順をBCPとして策定する
- BCPの策定においては、次に示すような普及までの段階を想定し、各々の段階における対応体制を構築する
- 緊急対応フェーズ:
災害や事故などのインシデントが発生した直後の対応段階
- 緊急対応フェーズ:
- 業務再開フェーズ:
業務継続上、最も重要度が高い業務を再開させる段階
- 業務再開フェーズ:
- 業務回復フェーズ:
業務先会フェーズに続き、重要度の低い行うにまで範囲を広げて再開させる段階
- 業務回復フェーズ:
- 全面回復フェーズ:
全ての業務を定常的に継続できる体制に移行する段階
- 全面回復フェーズ:
- 策定したBCPについて定期的に訓練や試験を実施することで、その有効性を検証するとともに、組織のBCM文化を根付かせる
- 事業内容や事業規模などに変化が生じた灰には、適時BIAを実施し、BCPの見直しを行う