ISO22301 事業継続マネジメントシステム
1.はじめに
企業を取り巻く脅威が多様化している現在、事業継続に対しての取り組みは、不十分であるケースがまだ多いです。また、事業継続の取り組みの必要性を理解していても、「理解が得られない」、「取組方法が分からない」などの理由で、なかなか推進できないという場合もあるかもしれません。
テロ事件やハリケーンなど、世界各国で事業継続についてのニーズが高まり、事業継続マネジメントシステム(BCMS)に関する要求事項を規定したISO22301(事業継続マネジメントシステム-要求事項)が2012年5月に発行されました。その後、2019年10月に改訂版が発行されています。
また日本では、東日本大震災以降も度重なる地震や毎年の様に各地で発生する風水害の被害において、緊急事態発生時の備えや復旧対応など、事業継続計画(BCP)の重要性が再認識されたことは、記憶に新しいところであります。
ISO22301は、効果的・効率的な事業継続マネジメントシステム(BCMS)の運用を実現するために、組織が遵守すべき必要最低限の項目を記載した国際規格です。
Ⅱ. ISO22301の構成
ISO22301は、ISO/IEC専門業務用指針 第1部“附属書SL”※に従った1~10の条項で構成されており、「1 適用範囲」~「7 支援」、「9 パフォーマンス評価」、「10 改善」には、他のマネジメントシステムとも共通する要求事項が定められています。各条項の概要は以下の通りです。
箇条4 「組織の状況」:組織の事業環境を明確にする
箇条5 「リーダーシップ」:組織のリーダーが事業継続のための責任権限を明確にし、リーダーシップを発揮する
箇条6 「計画」:事業継続の目標を定め、達成計画を明らかにする
箇条7 「支援」:事業継続のための資源(人材、インフラ、情報等)を明らかにし、必要なレベルを維持する
箇条8 「運用」:事業継続で実際にすること
箇条9 「パフォーマンス評価」:事業継続マネジメントシステムの運用状況をチェック、評価する
箇条10 「改善」:事業継続マネジメントシステムを継続的に改善する
| 条項番号 | 要求事項 | |
| 4.組織の状況 | 4.1 | 組織とその状況の理解 |
| 4.2 | 利害関係者のニーズ及び期待の理解 | |
| 4.3 | 事業継続マネジメントシステムの適用範囲の決定 | |
| 4.4 | 事業継続マネジメントシステム | |
| 5.リーダーシップ | 5.1 | リーダーシップ及びコミットメント |
| 5.2 | 経営者のコミットメント | |
| 5.3 | 方針 | |
| 5.4 | 組織の役割,責任及び権限 | |
| 6.計画 | 6.1 | リスク及び機会に対応するための処置 |
| 6.2 | 事業継続目的及び達成計画 | |
| 7.支援 | 7.1 | 資源 |
| 7.2 | 力量 | |
| 7.3 | 認識 | |
| 7.4 | コミュニケーション | |
| 7.5 | 文書化した情報 | |
| 8.運用 | 8.1 | 運用の計画及び管理 |
| 8.2 | 事業影響度分析及びリスクアセスメント | |
| 8.3 | 事業継続戦略 | |
| 8.4 | 事業継続手順の確立及び導入 | |
| 8.5 | 演習及び試験の実施 | |
| 9.パフォーマンス評価 | 9.1 | 監視,測定,分析及び評価 |
| 9.2 | 内部監査 | |
| 9.3 | マネジメントレビュー | |
| 10.改善 | 10.1 | 不適合及び是正処置 |
| 10.2 | 継続的改善 | |
ISO22301の「8 運用」には、(1)事業影響度分析及び (2)リスクアセスメントの実施、その結果に基づく (3)事業継続計画の作成、(4)演習及び試験 など、BCMSを構築・運用していくうえで、特に重要な内容について定めてられています。
(図1)事業継続マネジメントシステムの概念
※ISO/IEC専門業務用指針 第1部“附属書SL”:
マネジメントシステム規格の用語及び条項構成についての規定なお、現在に発行されているISO9001(品質)、ISO14001(環境)、ISO27001(情報セキュリティ)なども、“附属書SL”に従った1~10の条項構成に改訂されていく予定です。
Ⅲ. ISO22301認証取得のメリット
- 緊急事態発生時の的確な対応、素早い復旧など、リスクマネジメント力が強化されます。
- 事業継続による競争優位性が向上し、取引先など利害関係者からの信頼度が増します。
- 定期的に審査を受けることにより、BCMSの定着と継続的改善が図れます。
Ⅳ. テクノソフトの認証取得支援の特徴
- 貴社の状況に合った適切な事業継続の活動ができる体制作りを目指します。
- 事業継続の対象となるインシデントの事業影響度評価、リスクアセスメントをどのように実施すれば良いか、また、貴社の状況に合った運営体制確立に向けてのアドバイスを行ないます。
- 事業継続マネジメントシステムを業務上活用することを前提とした、事業継続計画、各種手順を明確にし、他のマネジメントシステム(ISO9001、ISO14001、ISO27001等)と整合した効率的なマネジメントシステムの確立を目指すアドバイスを行ないます。
- 主だった規定文書類は参考としてサンプル文書を活用し、作業の負荷軽減を図るとともに、無理・無駄のないマネジメントシステムの構築を支援いたします。
Ⅴ. ISO22301認証取得までの流れ
(表2)認証取得スケジュールの例
| 支援項目 / 活動項目 | 経過月 | |||||||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | |
| ISO22301規格要求事項の理解 | ■ | |||||||||||
| 組織の状況の理解 | ■ | |||||||||||
| 事業継続方針・目標策定 | ■ | |||||||||||
| 文書作成(システム構築) | ■ | ■ | ■ | ■ | ■ | |||||||
| ・事業継続マニュアルの作成 | ■ | ■ | ■ | ■ | ■ | |||||||
| ・規程類の作成 | ■ | ■ | ■ | ■ | ||||||||
| リスクアセスメント | ■ | ■ | ■ | ■ | ■ | |||||||
| ・事業影響度分析、リスクアセスメント | ■ | ■ | ■ | |||||||||
| ・事業継続戦略決定、BCP作成 | ■ | ■ | ■ | |||||||||
| システム運用 | ★ | ★ | ★ | ★ | ★ | ★ | ★ | |||||
| システムの教育(運用状況のチェック) | ■ | ■ | ■ | ■ | ■ | |||||||
| ・内部監査員養成(2日間) | ■ | |||||||||||
| ・内部監査実施 | ★ | |||||||||||
| ・マネジメントレビュー | ★ | |||||||||||
| 審査対策 | ■ | ■ | ||||||||||
| 審査後のフォロー | ■ | |||||||||||
| ■:コンサルタントが支援 ★:貴社で実施 ●:審査対応 | ||||||||||||
| 申請 | ● | |||||||||||
| 登録1次審査 | ● | |||||||||||
| 登録2次審査 | ● | |||||||||||
| 認証取得 | ● | |||||||||||