ISO22301(BCMS)は、結果事象型BCPを策定、維持するための枠組みを提供しています。
ISO22301とは?
ISO22301の発行の背景
事業継続マネジメントに関するISO化(国際規格化)は、2001年9月の米国同時多発テロの発生を背景に、2003年に米国からISO(国際標準化機構)に対し、セキュリティ関連の標準化提案がなされたことに端を発します。
その後、ISOのセキュリティ委員会において「社会セキュリティ(Societal Security) 」という切り口から、組織のレジリエンス*を向上させることをねらいとした事業継続マネジメントの国際標準化がすすめられ、2012年5月15日にISO22301:2012として発行されました。
*レジリエンスとは、インシデントに対して業務の中断が発生しないようにする「対応力」と、業務の中断が発生した際に、業務をいち早く復旧・回復させる「復旧力」の双方を指します。
発生事象型BCPの限界
現在、日本の企業が策定している多くのBCPは、地震やインフルエンザなど特定のインシデントの発生を想定し、作られています(発生事象型BCP)。
しかしながら、そのようなBCPは、インシデントにより想定されていないシナリオが発生した場合、または想定されていないインシデントが発生した場合、その場での応用が難しく、うまく活用できないケースがあります。
そこで、組織の製品/サービスを提供する上で、”鍵となる活動”と”鍵となる活動を行う上で必要な資源”にフォーカスし、その”鍵となる活動を行う上で必要な資源”が使用できなかった場合を想定し、策定するBCPが現在注目されています(結果事象型BCP)。
このアプローチを採用することにより、想定通りのシナリオまたはインシデントでなくでも、BCPを活用することが可能になります。
認証取得までの3ステップ
ISO22301を認証取得するためには、次の3ステップが必要となります。
STEP1 ISO22301に基づく、BCMS(事業継続マネジメントシステム)の構築
ISO22301の規格要求事項に適合した仕組みを構築します。
一般的には「規格要求事項の理解」、「必要な体制の構築及びルールの策定」、「必要な文書・記録の作成」を行います。
STEP2 構築したBCMSの運用
BCMSの導入教育を行い、組織内に構築したBCMSを導入します。
また、1.5~3.0ヶ月間運用を行った後に、内部監査(BCMSが適切に運用されているか組織内の者によって確認されるチェック活動)、マネジメントレビュー(トップマネジメントによるBCMSの全体的なレビュー活動)を行います。
マネジメントレビューまで終了すると、認証審査を受審することができます。
STEP3 第三者認証機関による審査の受審
ISO22301の認証審査を行っている第三者認証機関から審査を受けます。
初回審査は、2段階に分かれており、第一段階目審査では体制面に関する審査、第二段階目審査では運用面に関する審査が行われます。 なお、体制面に関する審査は、ISO22301に基づいて適切にBCMSが構築されているか確認することを目的としており、運用面に関する審査は、構築したBCMS通りに運用がされているか確認することを目的としています。
審査において適切に構築・運用されていることが確認されると、審査の約1ヶ月後に正式にISO22301の認証が授与されます。
当社のコンサルティングサービスの内容
キックオフから認証の取得まで、ISO22301の認証を全般的にサポートさせていただきます。
[1]ISO22301入門勉強会及び推進手順の説明
貴社のキックオフミーティングに参加させていただき、事務局の方及び部門の代表者の方に事業継続マネジメントやBCP、ISO22301(BCMS)の概要及び認証取得のための推進手順をご説明させていただきます。
[2]ISO22301の要求事項勉強会
推進する事務局の方及び部門の代表者の方にISO22301(BCMS)が何を求めているのかをご説明させていただきます。 規格の要求事項を正しく理解することが構築の成功の最も重要なポイントです。
[3]GAP分析・基本要件の決定
ワークシートや調査票を提供させていただき、ISO22301(BCMS)の規格要求事項を実現するための基本要件決定のご支援をいたします。
[4]BIA(事業影響度分析)、リスクアセスメントの実施及びBCP(事業継続計画)の策定支援
BIA及びリスクアセスメント勉強会の開催、BIA&リスクアセスメントツールの提供を通じて、効率的、効果的な事業影響度分析及びリスクアセスメントの実施、及びBCP(事業継続計画)策定のご支援をいたします。
[5]手順の文書化
決定した基本要件及びBIA、リスクアセスメント結果に基づき、貴社がルールを文書化する際に事業継続方針、BCMSマニュアル、手順書・基準書、及び書式などのサンプルを提供し、効果的で効率的な文書を作成できるようにサポートさせていただきます。
[6]審査機関の決定
貴社が審査機関を選定する際のサポートをさせていただきます。 貴社の業種や業務に精通した適切な審査機関をご紹介いたします。
[7]BCMS導入教育
貴社が主催する構築した BCMSを導入のための「BCMS手順の説明会」に参加させていただき、対象社員向けに「ISO22301(BCMS)入門勉強会」を開催させていただきます。
[8]内部監査制度構築
内部監査員養成のための勉強会の開催、手順書、様式サンプルの提供及び内部監査の実施指導を支援いたします。 勉強会の参加者には「BCMS内部監査員コース修了証」を発行させていただきます。
[9]認証審査
審査前の模擬審査の実施及び受審準備、認証審査の立ち合い、及び審査後のフォローアップなど審査の受審に必要なすべてのサポートを提供させていただきます。
お気軽にお問い合わせください
当社では、ISO22301の新規認証に関するご支援や取得後の改善支援等、各種サービスを取り揃えております。
また、ご要望のお客様には個別相談会やメール・電話でのご質問を承っております。
お気軽にお問い合わせください。