守るべきものは何ですか? 優先度の高いビジネスを見極めましょう! BCP構築は、まずここから! ITなくして事業は成り立たちません! 全社BCPと連携したIT-BCPの策定が求められています。 コンサルティングから実装まで、総合的な支援が可能です。 IT-BCP策定はCTCにご相談ください!

  • プロダクト詳細
  • BCP策定支援サービス
  • BCMS構築支援サービス
  • IT-BCP策定支援サービス
  • IT-BCP運用対策コンサルティングサービス
  • IT資産の保全/復旧
  • クライアント/アクセス環境
  • アウトソーシング

事業継続とは?:企業の存続を脅かす事象に対抗し、社会的な責任を果たすために必要な組織統治のシステム

企業がその事業を継続し、競合他社に打ち勝って収益を上げていくためには、サプライチェーンの中で役割と責任を果たしていく必要があります。また、多くの企業は、直接、最終消費者に向けて、安全の確保や健康的な生活維持のための製品・サービスを提供しています。
事業継続とは、こうした企業の存続を脅かす事象(脅威)に対し、抵抗力(レジリエンシー)を確保し、社会的な責任を果たすという大きな2つの目標のために必要な組織の統治システムであると言えます。
Japan Riskとは?
2011年の東日本大震災では企業は大きな影響を受け、被災地だけでなく遠隔地でも事業が停止したケースがありました。地震の脅威が日本特有のカントリーリスクとして大きく取り上げられ、「Japan Risk」(日本企業と組むとサプライチェーンに震災リスクがある)と言われています。グローバル競争のもとでパートナーとして信頼されるためには、事業継続の取り組みの必要性はますます高まっているのです。

日本のBCPの動向:防災の観点からまとめられていることが多い国内のガイドライン

わが国では事業継続の取り組みは、これまで主に防災の観点から語られてきました。国内で策定された事業継続の主なガイドラインには、以下のようなものがあります。

ガイドライン名 概要
内閣府
「事業継続ガイドライン」
「民間と市場の力を生かした防災力向上に関する専門調査会」の活動の一環として策定されたもので、想定事象として地震を取り上げた防災対策の傾向があります。(平成17年8月発表)
経済産業省
「事業継続計画対策ガイドライン」
「企業における情報セキュリティガバナンスのあり方に関する研究会」の報告書の一部として策定。情報システム関連の事業継続計画(IT-BCP)を意識しています。付録として国内外のBCPに関するガイドラインの動向がまとめられています。(平成17年3月発表)
中小企業庁
「中小企業BCP策定運用指針」
中小企業向けのBCP策定の手順を解説しており、ガイドラインとサンプル資料を提供しています。(平成18年2月発表)

標準化(ISO化)の動き:英国規格BS25999をもとに国際標準化(ISO化)が完了

国外では、英国規格協会(BSI:British Standard Institute)が認証規格BS25999を発行しました。これは事業を脅かす事象を特定せず、事業を停止または混乱させる「インシデント」に対する対応をまとめていることに特徴があります。主に自然災害(地震)による脅威が特徴的である日本に比べて、国外ではテロや洪水、地震など脅威に多様性があるため、そうした事象が発生した時点を出発点としているためです。BS25999は、BS25999-1:2006(実践規範)、BS25999-2:2007(BCMS)の2つの規格からなり、後者はPDCAを取り入れたマネジメントシステムのフレームワークを提供しています。このBS25999をベースとして、事業継続の国際規格ISO22301が発効しました。

BCP構築のためのガイドライン

ガイドライン名 制定機関 最新改訂日
ISO22301 ISO(国際標準化機構) 2012.5
中央省庁における情報システム運用継続計画ガイドライン 内閣官房情報セキュリティセンター(NISC) 2011.3
The BCI Good Practice Guidelines Business Continuity Institute 2010
NFPA1600 National Fire Protection Association 2010
IT サービス継続ガイドライン 経済産業省 2008.9
地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン 総務省 2008.8
中小企業BCP策定運用指針 中小企業庁 2006.2
事業継続計画策定ガイドライン 経済産業省 2005.6
↓
どのガイドラインを選定するのか、組織の課題

ISO22301:グローバル化する企業活動で問われるISO22301による事業継続の整備

1.ISO22301の概要

ISO22301はISO/TC223で最終討議が進んでいましたが、これらの結果、2012年5月15日に国際規格として発効されました。ベース規格となったのは、英国規格協会が発行したBS25999です。これには次のような特徴が組み込まれております。

ISO22301の要求事項

【1】適用範囲の明確化

事業継続マネジメントシステムでは、事業継続が困難になる事象(地震など)が発生した場合、組織が持つすべてのリソース(人的、資金など)を事業継続のために投入することは現実的ではありません。
想定されるリスクにすべてのリソースを振り向けることは、本来の正常な活動にも影響を与えることであり、事業継続そのものの意味を失います。このため、組織が生き残るための正しい適用範囲の選択が不可欠であり、極めて高い経営判断が必要となります。
この考え方は規格に反映され、適用範囲に対する要求が明確になりました。
組織は強いリーダーシップのもと、マネジメントシステムを構築する際に組織の中期計画、事業戦略と整合し、有事における事業継続の領域を決定していく必要があります。

事業継続範囲は戦略的に決定される

【2】目標復帰時間(RTO)

原典となった英国規格BS25999で明示されていた目標復帰時間(RTO)は、用語の説明項目に残ったものの、規格要求事項からは姿を消しました。
これは、prioritized timeframe として同様の要求が国際規格に残りましたが、極めて重要な概念であることには変わりありません。
事業継続マネジメントシステムとは、事業を継続していくための仕組みであり、潤沢なリソースを投入すれば、より「迅速な」回復が期待できます。
しかしながら、企業組織等ではこれらのリスク対応に投下できる資金等には限りがあり、その投入レベルを判断する必要があります。これらの判断基準が、目標復帰時間(RTO)です。「より早く」回復すれば事業に与えるダメージは少ないわけであり、組織は早い回復を望みます。しかしながら、一般的にRTOを早めれば大きなリソース(資金、設備、人)が必要であり、ゆっくり回復させれば、少ないリソースで事足りることになります。
目標復帰時間とは「努力目標」ではなく、「保証される目標」に近いものと理解できるため、これらの時間を決定することは投入する経営リソースを判断することと同義であり、高度な経営判断になることがおわかりかと思います。

最大許容停止時間と目標復帰時間(RTO)の関係(イメージ)

【3】他のマネジメントシステムとの整合

1987年におけるISO9001の発行以来、マネジメントシステムに関する国際規格は、環境管理ISO14001、情報セキュリティISO27001、運用ISO20000、航空宇宙AS9100、その他、医療、食品、自動車とさまざまな分野が生まれました。同時に、組織はこれら多くのマネジメントシステムを導入することになり、同一組織に類似ではあるが異なる手順が、複数生まれることになりました。
この問題を解消するために開発されたスキームが、MSS(Management system standard)です。これは、これまで開発されたマネジメントシステムに関するフレームワークを統一しようとする動きであり、現在もGuide83としてISOで討議されています。
ISO22301はこのMSSに従ったフレームワークに従って発効された最初の規格であり、今後開発されるであろう他の規格との整合性が取られています。
従ってISO22301によるマネジメントシステム構築により、すでにISO9001、ISO14001などと統合して手順構築を行えることになります。

2.国内での普及

2011年の大震災以来、残念ながら海外からは「ジャパンリスク」といった見方が広がっているのは事実です。これを払拭するのは、災害に対するレジリエンシー(事件・事故に対応する抵抗力)であり、事業継続に関する手続きを国際基準に従って可視化することは、「将来の顧客」がそれらの仕組みを確認できることになるため、結果的に海外からの信頼を獲得することになります。
国内ではこれまで自然災害が発生するたびに、対応する防災マニュアルが作られ、主に国、自治体などを中心として運用されてきました。
しかしながら、グローバル社会で問われているのは、共通のスタンダードであり、これらを考えると、今回のISO22301で事業継続を整備することには大きな意味があることが見えてきます。
また、今回のISO22301については、日本の経済産業省、内閣府のガイドラインも参照され、規格参照部分に掲載されています。

3.ISO22301による組織の整備

いくつかのポイントを取り上げて、ISO22301による整備を説明いたします。

ISO22301  4.組織の状況

BCMSを構築するための、組織を取り巻く環境(組織の選好するリスク、適用する法令、BCMSの適用範囲)について規定します。BCMSでは、サプライチェーンも含めて、関連する利害関係者が明確になっていないと、全体として機能しません。
「組織の選好するリスク」とは、組織の抱えるさまざまなリスク(地政学的なもの、立地、IT、財務などあらゆるリスク)のうち、BCMSとしてどのようなものに集中的に取り組んでマネジメントシステムを構築していくか、という組織の基本方針です。

ISO22301  5.リーダーシップ

事業継続に関するトップマネジメントの方針、その展開方法、組織での責任/権限について規定します。特にBCMSでは、責任/権限について、対象施設までの距離なども考慮する必要があります。
また、BCMSでは特に事業継続の目的が重要です。4項で組織の持つ組織の状況(Context of organization)が明らかになり、どのような分野を事業継続の対象として保全していくのか明確になります。5項ではこれらを受け、トップマネジメントがリーダーシップを持って事業継続の目的を示すことにより、必要となるリソースを無駄なく投入できることになります。

ISO22301  6.計画

事業継続の目的を達成し、有効に機能するため、マネジメントシステムの計画を行います。MSS(共通テキスト)として要求される部分でもあります。
4項で決められたリスクを考慮して、マネジメントシステムが意図した結果を達成することが要求されており、予防的な処置を実行することと考えられます。

ISO22301  7.支援

必要な資源、教育、認識、コミュニケーション、文書化について規定されます。
事業継続を中断するような事象(地震、火災、その他災害など)が発生した場合、特に初期対応で重要なのは通信です。東北の大震災では、多くの通信機能が奪われ、災害に影響されない衛星電話により救助要請を行った自治体がありました。また、市民レベルではTwitter、Facebookなど、新しいSNSが機能して活躍し、避難所の状況、不足する食糧、医薬品などの情報が流れ、結果的に一命を救った実例もあり、今後、ITシステムの活用といった観点から、深い研究が必要な分野でもあります。
これらは、IMP(インシデントマネジメント計画)で規定していくものであり、実際の状況を想定して、具体的な手順を考案していく必要があります。
また、7項では文書化についても要求されます。これら文書化については、特に気を配る必要があり、混乱状態でかつ日常では使わないマニュアルを参照しなければならない状況に留意する必要があります。現在の企業組織では多くがITシステム化していますが、紙ベースの活用も含め、十分な事前検討も行うべきです。

ISO22301  8.運用

BCMSを構築する上で、最も重要な項目になります。

ビジネスインパクト分析から事業継続手続き
適用スコープが決まると、これらのビジネスプロセスを個別活動に分解し、それらが消失した場合のビジネスインパクトについて判断していきます。それらの活動では、回復するための目標時間(RTO)を決定し、依存する委託先、仕入先などを考慮の上、回復のためのリソースを洗い出します。これらをビジネスインパクト分析(BIA)と呼びます。
ビジネスインパクト分析では重要なプロセスが明確になるため、それらの活動について、関連するリスクを洗い出し、対策を行います。
その後、インシデント対応を行います。インシデントとは、事業中断を引き起こす原因、具体的には自然災害などの発生を意味します。インシデント対応で要求されることは、英国規格BS25999から大きく外れた部分はありませんが、より具体的になりました。
その後に行うことが、事業回復のための活動です。国内ガイドラインではどちらかというと防災の観点に主眼を置いたものが多かった印象ですが、ISO22301では特に回復の手続きに重点を置いています。
しかしながらISO22301では、回復のための具体的事例、手続きには触れていません。従って、これらは、組織によってどのような時間を取るのか、設備を用意するのか、回復期における人的ケアなど、さまざまな配慮をおこなった手順を創らなければなりません。

演習
演習は本項で要求されます。BCMSでは、演習が重要なポイントのひとつとなります。事業継続は「予期せぬ、事業継続を中断するような事象」、つまり地震災害等で起動する手続きであって、普段はあまり機能しません。しかしながら、それら緊急時とその後の回復手続きが有効であるか、これらを確認することは極めて重要であり、BCMSの要であり、単なる防火訓練とは異なります。規格では、クリアに定義された狙いと目的により、計画されたシナリオによって実行することが求められます。

ISO22301  9.パフォーマンスの評価

BCMS運用状況のパフォーマンス評価をするほか、内部監査、マネジメントレビューなどに関する要求となります。パフォーマンス評価については、BCMSの運用状況を判断する重要な指標です。項番8でも記載した通り、通常は作動しない活動について指標判断しますので、手順には工夫が必要です。また、内部監査、マネジメントレビューについては、他のマネジメントシステムと共通化して構築することが望ましい部分です。

ISO22301  10.改善

PDCAの改善(Act)に関する要求事項です。この規格では、MSS(共通テキスト)に準拠して開発された結果、従来のマネジメントシステム規格にあった「予防処置」がなくなりました。マネジメントシステム全体を通して、それらに準拠しない部分について明確にして、改善する要求事項です。

4.認証について

現在、ISO22301では認証制度を確立するため、JIPDEC(一般財団法人日本情報経済社会推進協会)を中心として、認定スキームの開発が行われており、CTCはこれらに委員として参加、貢献しております。

認証の意義

ISO認証では、これまでの各種マネジメントシステムと同様に、審査登録機関による審査が行われ、基準を満たしていると判断された場合、認証が公的に登録されるとともに、認証書が発効されます。
これらの効果は次のようなものがあります。

① グローバル化への対応
昨年の不幸な大震災以来、海外企業の見方として、日本企業の高い技術力を認めると同時に、地震災害などの発生などにも目線が落ちております。
認証とは第3者が仕組みを審査し、公的にその証明を行う仕組みです。従って、国際規格で構築したBCMSは、グローバルで認められるものとなります。
② 確実な構築
ISO審査では、規格要求事項に要求される機能が、フルセットで組織の備えらていることが求められます。
事業継続マネジメントシステムとは日常業務以外での手続きを定めて運用するものであり、そういった点で関係者が多くなると、普及が難しくなります。
その点で、審査登録はサポート力となるでしょう。
③ メンテナンス
一般的にマネジメントシステムのメンテナンスは改訂、周知、教育など発生する作業を考えると、維持が困難な環境にあります。
認証は初回登録後、定期的に第3者審査登録機関による確認(サーベイランス)が行われるため、スケジュール遵守、関連予算の獲得などにおいても、有利な状況となります。

 

今後、企業活動がさらにグローバル化し、海外のステークホルダーに対して、認証はさらに重要なものとなるでしょう。

お問い合わせ・資料請求はこちら
ページの先頭へ

変化する事業継続の概念:BCPからBCM、BCMSへ―組織全体で事業継続をマネジメント、ITの事業継続も重要に

データセンター

特定の脅威の想定から発生事象主義へ、単なる事業継続計画(BCP)から、事業継続マネジメント(BCM)、事業継続マネジメントシステム(BCMS)へと、事業継続に関する取り組みの概念は変化してきました。
過去において、日本ではBCPを作っても、そのまま作りっぱなしという傾向が見られましたが、これを組織全体でマネジメントしていくという考えが徐々に浸透しつつあると言えます。
IT-BCP
企業の活動の大部分が、IT(情報システム)に強く依存するようになった今では、ITの事業継続(IT-BCP)は企業活動の維持に非常に重要な施策となっています。近年ではクラウドコンピューティングの普及もあり、ITリソースを組織としてどのようにマネジメントしていくかが、企業目標を達成するための重要な検討事項となっています。

お問い合わせ・資料請求はこちら
ページの先頭へ

全社BCPとIT-BCP:IT(情報システム)の事業継続計画にも着目

IT-BCPとは、企業・組織の中でITの担う機能に着目して、緊急時の事業継続計画(BCP)を組みあげておこうとするものです。
しかしながら、事業継続とは、事業を中断するような事象が発生した場合、ビジネスを通常の状態まで復帰させるためのプロセスであり、それを実現するためには相応の費用が発生します。
ビジネスインパクト分析
企業が提供する製品やサービスが失われた場合、どのような影響があるかを分析し(ビジネスインパクト分析)、BCPのための資金投入の優先度を決めます。リソースは有限である以上、インパクトの大きいビジネスのプロセスに集中的に資金を投下し、それに関連するITシステムにも事業継続のための仕組みを構築していくべきです。

ITのスコープ:ITが担う分野を明確にし、重要なプロセスには優先的にリソース投下

現在、企業などの組織にとって、ITは非常に重要な機能となっています。金融業、通信業ではITなくして事業は成り立ちません。ITにも担当する分野があり、それは金融業では市場取引機能であったり、通信業ではネットワーク維持機能であったりします。一般の企業でも人事管理や財務管理にITはかかせません。更に、日常で提案書を作成するような行為でもITは利用されています。
インパクトの大きいビジネスプロセスとそのITには優先的にリソースを投下するべきですが、一方で、IT-BCPは全社BCPの一部であり、完全な整合性を維持しなければなりません。IT-BCPではIT資産の回復、全社BCPでは、組織機能の回復を目指します。

IT-BCPと全社BCPの全体像
お問い合わせ・資料請求はこちら
ページの先頭へ

CTCの総合力:「サービス」「開発・SI」「製品」の提供を通じITライフサイクルのすべてに精通

CTCは、総合力を兼ね備えたソリューションプロバイダとして、フロント系基幹システムの開発やオープン系システムの大規模インフラ構築から、データセンター事業を活用したアウトソーシングサービスまで、ITライフサイクルのすべてのフェーズで最適なソリューションを提供しています。
IT-BCPは、ITとその運用ルールが融合してはじめて有効となるものです。CTCは、これまでITサービスで築いてきた実績と経験を活かして、的確にお客様のIT-BCPをサポートします。

BCPに対するCTCの取り組み:BCMSユーザーグループとして国際規格認証開発に協力

BCMは、事業継続を危うくするような大規模災害、大規模なサイバー攻撃など緊急事態に発動されるものです。従って、計画した回復の手続きの有効性については、利害関係を超えて組織の経験を生かすことが重要となります。
CTCはITという観点から、有効な事業継続計画について意見発信を行っています。また、2012年5月発効した事業継続の国際規格ISO22301については、規格認証開発に協力しています。
※CTCは、JIPDEC規格国際化対応委員としても協力しています。
 JIPIDEC:一般財団法人日本情報経済社会推進協会

一般社団法人BCMSユーザーグループ

事業継続マネジメントシステム(BCMS)の重要性を社会へ訴え、普及を図ることを目的として結成された団体。
1) BCMSの民産学官に対する普及・啓発活動、BCMSセミナーの共同開催、情報交換会の開催等
2) BCMS関連情報の共有
3) BCMS規格への提言
CTCは、株式会社インターリスク総研〔三井住友海上保険保険(株)グループ〕と共に事務局としてBCMSユーザーグループを支援しています。

一般社団法人BCMSユーザーグループ:
http://bcmsusr.org/index.html

お問い合わせ・資料請求はこちら
ページの先頭へ

IT-BCPを上流から実現:「C-BizRecovery」はコンサルティングから実装までIT-BCP構築を総合的に支援します

現在のITシステムは複雑なネットワークを形成していること、ビッグデータを含めて消失した情報の回復には天文学的な時間がかかることなどから、CTCでは、IT-BCPとして、IT全域の事業継続考案をお勧めしています。
もちろん、ITシステムには組織の規模によって差があり、大規模組織の場合は、ITシステムにも適切なビジネスインパクト分析によるスコーピングを行う必要があります。
CTCはこういった判断を含めて、お客様のIT-BCPを上流から実現するお手伝いをいたします。

CTC総合BCPサービス 「C-BizRecovery」 説 明
・C-BizRecoveryは、IT-BCP構築を目指す企業のための総合アドバイザーサービスです。
・導入初期の概要プラン作成から、プロダクト導入のお手伝いまで、総合的にアドバイスします。
・BCP構築にあたっては、ご指定の国内外のガイドラインに準拠するとともに、広く通用する手続きによって標準化を進めます。
BCP策定
支援サービス
BCMS構築
支援サービス
IT-BCP策定
支援サービス
IT-BCP運用対策
コンサルティングサービス
IT資産の
保全/復旧
クライアント/
アクセス環境
アウトソーシング    
お問い合わせ・資料請求はこちら
ページの先頭へ