ISO 27001 & BS 25999

種々の情報源によれば、事業継続の代表的な規格であるBS 25999-2は、2011年末までに国際規格ISO 22301に移行するそうです。 （更新：最新の予定では 2012 年の 6～7 月） このような移行は珍しいことではありません。同じことはマネジメント規格のほとんどで起こっています。たとえば、BS 7799-2は2005年にISO 27001に引き継がれました。

ここで注意して欲しい大切な事が一つあります。ISO 22301はまだ正式に公表されていないので、この規格の最終版はまだ存在しません。ですから、私がここに書いたことの一部は最終版ではなくなっている可能性があるということです。私が使っているのは、2011年2月にBSiの草稿レビュー用ウェブサイトに公開された草稿版です。

ISO 22301の表題は、「ISO 22301 社会セキュリティ - 事業継続管理システム - 要求事項」になる予定です。 「社会セキュリティ」というのは、事業継続との関係を考えると奇妙に響くかもしれませんが、ISOでは「社会セキュリティ」を「全関係者間の技術的・人的・組織的・機能的な相互運用性の改善や状況認識の共有を通じた、危機管理や事業継続能力の強化を目標とする、社会セキュリティ領域の標準化」と定義しています。

BS 25999-2の基本的な要素はすべてISO 22301にも存在しますが、ISO 22301の構造がBS 25999-2とは大幅に異なることは一目でわかります。

より詳しく見てみましょう。

共通点

最大の共通点は、BS 25999-2の中にあった、事業継続方針、事業インパクト分析、リスクアセスメント、事業継続戦略（ISO 22301では「事業継続オプション」）、事業継続計画、演習、テストなどの事業継続の中心的要素は、ISO 22301の中にも存在するということです。

事業インパクト分析はおそらく、複数の項目に分割されて、さらなる正確さが求められるようになるでしょう。 対応手順や復旧計画を含む事業継続計画の要件も、たとえば通信関係の部分などがより詳しくなります。

また、BS 25999-2の文書管理・内部監査・マネジメントレビュー・是正処置・予防処置・人事管理などの管理関係の部分も新規格に移行します（これらの要素は、ISO 9001、ISO 14001、ISO 27001など他のあらゆるマネジメント規格にも含まれています）。

ただし、文書化は「文書化された情報」となり、予防処置は「問題や懸念に対処するための処置」となります。

相違点

計画-実行-点検-処置（PDCA）モデルに関しては、BS 25999-2はISO 27001ほど明確ではありませんが、ISO 22301ではさらに不明確になります。 けれども、この規格の主な部分は論理的に構成されているので、このことは規格を導入する過程の明確さには影響しないと思います。

ISO 22301では明らかに目標の設定や実績・測定基準の監視をより重視して、事業継続を首脳部の考え方により近いものにしようとしています。

このような方針に従い、ISO 22301では、経営陣に対する期待を明確化し、単一の項目にまとめています。

ISO 22301は、BS 25999-2の欠点の一つを解決し、事業継続を保証するために必要なリソースの計画や準備をより慎重に行うことを要求します。この要件は拡大されより明確な構成になります。

最後の相違点は、ISO 12230は国際規格だということです。つまり、認証機関はこの規格に対する認証をより厳しくするので、規格はより速やかに普及するでしょう。

結論としては、おそらく、BS 25999-2の基本的な要素はすべてISO 22301にも存在し、ISO 22301の方がより正確でより要求が厳しくなるだけだと思われます。 すでにBS 25999-2を導入済みでISO 22301に「アップグレード」したいと考える組織は、より細部に注意を払い、より多くの時間をシステムの準備や維持に費やす必要があるでしょう。 その一方、ISO 22301は、組織が回復力や信頼性の水準を向上させるためにも役立つはずです。これは、6年前にBS 7799-2がISO 27001に移行した際にも起きたことです。

This post is also available in: 英語, ドイツ語, スペイン語, クロアチア語, ポルトガル語（ブラジル）