この物語は、BCMSチームメンバーである「みならい君」が、上司や先輩に指導を受けながら自社のBCMを構築する物語です。
第5回 ISO223018.4の事業継続手順に含まれる「手順」とは
いさお常務
みんな揃ったかな?そろそろ5回目のミーティングを実施するよ!
みならい君
は~い、準備OKです。とうとう具体的なBCPを作成するんですね。ここまで長かったな~。
けいこ先輩
本日もよろしくお願いします。開始前に一つ質問があるんですが、よろしいでしょうか?
みならい君
おっ!いきなり質問なんて、けいこ先輩は相変わらず、勤勉だな~。
けいこ先輩
本日は、前回実施した事業継続戦略の決定に基づいて、具体的な事業継続手順を作成すると思い、「ISO22301:2012の8.4事業継続手順の確立および導入」を予習してきたのですが、不明点がいくつかあるんです。
いさお常務
大変良いことだね。まず疑問を解消しよう。
みならい君
常務!僕も疑問に思うことがあります。
規格の表題で、“事業継続手順の確立および導入”とありますが、BCPの作成だけを要求しているのではないですよね?
他にも、インシデント対応体制や警告、回復の手順の作成も要求しているような…。
規格の表題で、“事業継続手順の確立および導入”とありますが、BCPの作成だけを要求しているのではないですよね?
他にも、インシデント対応体制や警告、回復の手順の作成も要求しているような…。
いさお常務
みならい君、規格の表題はそれらを総称して便宜上、“事業継続手順の確立および導入”としているだけだよ。
みならい君
な~んだ、そっか~。
けいこ先輩
常務、私の質問は、以前学習したBS25999は、インシデントの発生から終息までを担うIMP(Incident Management Plan)と事業の復旧および継続を担うBCP(Business Continuity Plan)作成する計画が明確で分と、かりやすかったのですが、ISO22301は、体制(Structure)や手順(Procedure)、計画(Plan)といろいろな言葉で規定されていて分かりにくいのですが……。
みならい君
そうですよね。BS25999では、警告やコミュニケーションもIMPの要素でしたもんね!
いさお常務
よし、まずは「ISO22301:2012の8.4事業継続手順の確立および導入」でどのような計画や手順を確立し導入することを意図しているかを整理することから始めよう。
けいこ先輩
よろしくお願いいたします!
いさお常務
「ISO22301:2012の8.4事業継続手順の確立および導入」で意図される手順や計画は、以下の通りだよ。
- IMP(事前的防災対策)
- IMP(事後的防災対策)
- BCP(事業の復旧・継続)
- BRP(事業の回復)
ただし、それぞれの名称や計画の構成は、組織の特性に応じて決めれば良いんだよ。
みならい君
なるほど、それらを全てあわせてBCPとして作成したり、(インシデントへの事前対策IMPや発生後の対応)とBCP&BRPの2つに分けて作成する等ですね!
けいこ先輩
こうすると整理されますね。8.4.3の警告およびコミュニケーションは、主としてIMPに入るのですね。
いさお常務
「ISO22301:2012の8.4事業継続手順の確立および導入」で意図される体制については、ISO22313の解説で、規模の大きな組織や複雑な組織では、以下のようなインシデントへの対応に段階的なアプローチを用いても良いと規定しているよ。
いさお常務
また、規模の比較的小さい組織では、全ての側面を一つのチームで担っても良いが、一個人に全責任を持たせることは望ましくないとしているね。
みならい君
よ~く分かりました!
いさお常務
インシデント対応体制について、海外では、ゴールドチーム、シルバーチーム、ブロンズチームなどの名称を付けるケースもあるね。
ゴールドチームは全てのインシデント管理や各段階の発動に関する最終意思決定を行い、シルバーチームは、インシデントの発生から終息までのあらゆる対応を実施し管理する。
そして、ブロンズチームが具体的なインシデントへの対応や復旧・継続を実行する役割を担うんだよ。
ゴールドチームは全てのインシデント管理や各段階の発動に関する最終意思決定を行い、シルバーチームは、インシデントの発生から終息までのあらゆる対応を実施し管理する。
そして、ブロンズチームが具体的なインシデントへの対応や復旧・継続を実行する役割を担うんだよ。
けいこ先輩
国内では、緊急事態対策本部、現地対策本部、インシデント対応チーム、BCPチームのような編成をするケースがありますね!
いさお常務
名称の違いだけで、本質的には違いはないよね。
それでは、各計画に含む内容を整理しよう。
それでは、各計画に含む内容を整理しよう。
みならい君
は~い!
各計画や手順に含まれる内容とは
みならい君
BCPやBRPはイメージがわくのですが、IMPに含まれる体制や手順は、どんなものがあるのですか?
いさお常務
IMPは、インシデントへの事前対策とインシデント発生後の対応に分けられるんだ。
例えば、地震や火災を想定したインシデント対応体制および手順であれば、以下のような要素が含まれることが想定されるよね。
例えば、地震や火災を想定したインシデント対応体制および手順であれば、以下のような要素が含まれることが想定されるよね。
みならい君
ありがとうございました。イメージがわきました!
いさお常務
二人とも完全に事業継続手順の作成について理解できたようだね。それぞれの手順や体制をどの計画に含めることが、当社にとって分かりやすい計画になるかを明確にすることが大事なんだよ。
じゃあ、そろそろ作業に取り掛かろうか!
じゃあ、そろそろ作業に取り掛かろうか!
けいこ先輩
はい、「事業継続手順作成ワークシート」このに記載していくんですね。
みならい君
よ~し、がんばるぞ!
第5回の連載はここまでです。
最終回となる、次回は、事業継続マネジメントにおける演習に関するプロセスについてのディスカッションを覗いてみましょう。