ISO 27001 & BS 25999

事業継続を中小企業に導入する意味はあるでしょうか。必要な情報はすべてオーナーの頭の中に入っているのに、事業継続のようなコストのかかるものが必要なのはなぜでしょう。

これは私が最近聞いた話です。ある小さな会社（多数の顧客にさまざまな設備を販売している）が強盗にあったそうです。盗賊は夜のオフィスに侵入し、コンピュータすべてと値打ちのある品物を盗んでいきました。 その会社のオーナーがデータをバックアップしていたのはよかったのですが、問題は、そのバックアップを同じオフィスの別のコンピュータに保存していたことです。 その会社は間もなく倒産しました。単に、事業関係の重要な情報を復元できなかったがために。

これは、中小企業の多くが患っている「まさかウチの会社でそんなことは起こらないだろう」症候群の古典的な例です。

事業継続のフレームワーク

これはつまり、中小企業もコストのかかる可用性の高い設備を持つ災害復旧用の代替地に投資する必要があるということでしょうか。もちろん違います。

必要な情報がすべてオーナーの頭の中にあるので、実際に事業継続が不要な会社もありますが、そのような例は稀です。中小企業の中にさまざまな重要情報をラップトップに保存していない会社がどれだけあるでしょうか。このような情報を災害時に利用する方法を考えること自体が、事業継続のための努力の一部です。

中小企業のオーナーは、事業にとって重要な情報（および他のリソース）はどれか、そのような情報や他のリソースを災害時に利用できることを保証する方法、および、災害時に事業活動を回復するために必要な手順を注意深く考える必要があります。 その手順とは、大企業が事業継続を導入する際に行っている通り、事業インパクト分析、事業継続戦略、事業継続計画を実行することに尽きます。 これらはすべて、事業継続の代表的な規格であるBS 25999-2に記載されています。

準備の方法

中小企業と大企業の違いは、事業継続のために中小企業が行う必要のある準備の複雑さやコストにあります。

• 電子的なデータのバックアップ - 中小企業では、データを即座にコンピュータからクラウドにバックアップするツールを利用できます。もちろん、必要な全データが含まれるように、しかるべき注意を払う必要があります。
• 紙ベースの文書のバックアップ - 中小企業は現在、日常の業務から紙ベースの文書をほぼ完全に排除して、すべてを電子的な形式に移行できる立場にあります。まれに紙ベースの文書が必要な場合には、事業継続のためにスキャンしておけばよいのです。
• オフィスの代替地 - ほとんどの場合、従業員が自宅で業務を継続するだけで十分です。そのための要件は、インターネット接続、ラップトップ/PC、および、パスワードを持っていることです。自宅勤務に向いていない場合、1 時間以内にホテルの部屋を借りることができます。
• ハードウェア - 事業に使っているのが特殊なコンピュータでない限り、代わりのものを見つけるのは極めて簡単です。家庭には普通個人用のコンピュータがありますし、親戚から借りることもできますし、近所のコンピュータ屋で買うこともできます。
• 労働力 – これがおそらく最も調達困難でしょう。他の人が知らない特定の情報（管理者パスワード、重要なプロジェクトで行う必要のある手順など）を知っている従業員がいなくなったときのことを考えてみましょう。そのような場合のための準備は、該当する情報をすべて文書化して、その従業員がいなくても利用できるようにすることでしょう。 もう一つ考えられるのは、いなくなった従業員の仕事を肩代わりする時間やスキルを持った人が他にいない場合です。そのような場合のための準備は、いなくなった従業員の仕事を臨時雇用で肩代わりできるような人を特定しておくことでしょう。ここで重要なことは、もちろん、適切なスキルや資格を持つ人材を特定することです。

結論： 事業継続フレームワークに関しては、大組織と小組織の間に違いはありません。どちらも、災害を乗り越えるために行う必要のある準備を細かく考える必要があります。 違いは準備の程度にあります。つまり、中小企業はごくわずかな投資で準備ができるということです。

—

また、弊社のウェビナー BS 25999-2 Foundations Part 3: Business Continuity Planning（市販トレーニング）もご利用ください。

経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。

1. 経営陣の支援を得る

これはBS 25999-2の必須の手順ではありませんが、間違いなく最初の重要な手順です。経営陣が事業継続の利益を理解せず、プロジェクトに積極的に関与しなければ、そのプロジェクトはたぶん失敗するでしょう。

2. プロジェクトとして扱う

事業継続管理システム（BCMS）の立ち上げには、極めて多くの時間や経営資源が必要です。やるべき事、時間枠、プロジェクト実施時の役割などを、明確に定義する必要があります。言い換えれば、プロジェクト管理の方法論を適用する必要があります。

3. 目標および適用範囲を定義し、BCM方針を書く

コンプライアンス、リスクのレベルを下げること、顧客/パートナーの要件など、BCMSによって実現したい事を定義する必要があります。 また、BCMSの対象範囲、つまり、組織全体かその一部かも定義する必要があります。たとえば、顧客にホスティング・サービスを提供している場合、データセンタだけを対象に決めてもかまいません。これらはすべてBCM方針の中に文書化する必要があります。

4. BCMSにおける役割及び責任を定義する

BCMSは組織の永久的な活動になるので、特にBCMSの「スポンサー」、「BCMコーディネータ」、「BCM管理者」など、BCMSに関する積極的な任務を持つ一人か二人の人にはっきりとした責任を定義する必要があります。このような役割や責任は、文書化しておくに越したことはありません。

5. 必須の手順を実施する

BS 25999-2では、文書および記録の管理、内部監査、予防処置・是正処置という、必須とされる4手順を実施する必要があります。これらの手順は、 ISO 27001やISO 9001と同様、実際のマネジメントシステムの基盤となります。

6. 事業インパクト分析およびリスクアセスメントを実施する

事業インパクト分析では、重要な活動、最大許容停止時間、重要な活動同士の依存関係（供給者や外部委託パートナーとの依存関係を含む）を特定して、目標復旧時間を設定する必要があります。

リスクアセスメントを行うと、重要な活動の中断原因となりうるものを実際に発見できます。それは天災であることも、人災（悪意があるか偶発的かを問わす）であることもあります。また、リスク対応も行う必要があります。つまり、困った事態の可能性を減らす方法を判断する必要があります。残念なことに、この規格では、リスクアセスメントや対応はあまり明確に定義されていません。したがって、これらをより詳しく記述したISO 27001を参照した方がよいかもしれません。

7. 事業継続戦略を決定する

事業継続計画を書き始める前に、重要な活動を再開するために必要な人材・場所・データ・ハードウェア・ソフトウェア・供給者・外部委託パートナーなどの経営資源を実際に判断する必要があります。

事業継続戦略では、必要な経営資源だけでなく、その経営資源を提供する方法も決定する必要があります。

8. インシデント管理計画および事業継続計画を開発する

インシデント管理計画の目的は、インシデントの広がりを防いで、直接的な影響を抑えるために、インシデント（火災・地震・爆弾テロ・停電など）の発生に直接対応する方法を記述することです。

一方、事業継続計画の目的は、重要な活動を復旧する方法や、準備した経営資源を投入する方法を記述することです。つまり、組織の活動を再開するために、誰が、いつ、どのようなデータや技術を使い、何をするかを記述する必要があります。

このような計画はすべて、主な担当者がいない場合でも実行できなければならないので、それだけ詳しく記述する必要があります。つまり、誰か他の人でも実行できるように書く必要があります。

9. 訓練および意識向上

中断時の事業継続計画の実行に必要な能力のレベルを定義し、さらに、そのレベルに到達するまで全職員（従業員および外部パートナー）を訓練する必要があります。

ただし、これではまだ足りません。さらに、なぜBCMが必要かを職員に説明する必要があります。 現実を直視しましょう。事業継続計画はおそらく一生に一回しか使われることはないので、多くの人は時間の無駄としか思っていません。したがって、なぜそのような計画が存在する必要があるかを説明する必要があります。（「BCM懐疑論者に対処する方法」も参照 )

10. BCMSの演習

これで完璧な計画を書けたと思っているとしたら、おそらく間違っています。最初から誤りのない計画を書くことは、ほとんど不可能です。 BCMSで演習が必須になっているのは、そのためです。計画はおおよそ実際の中断に似た状況でテストする必要があります。 そうやって初めて、計画のいいところと悪いところがわかるのです。

11. BCMSの維持およびレビュー

BCMSが古くならないようにするもう一つの方法は、事業継続計画や他の準備（供給者や外部委託パートナーとの契約、訓練および意識向上など）をレビューする間隔を定義することです。 環境の中には、あなたの文書を陳腐化するような、あらゆる種類の変化があります。たとえば、BCMSで特定の役割を果たす人間が会社を去るだけで、計画の中の電話番号は使えなくなります。

インシデントが実際に発生した場合には、インシデント後のレビューを行うことも必須です。その目的は、組織が実際にどう対処したか、それが計画通りだったかを調べることです。

12. 内部監査

内部監査の目的は、不備がないかどうかを、客観的に調べることです。内部監査員は、BCMSに不備があるかどうかを調べて、是正できる人間である必要があります。内部監査は、正しく行われれば、BCMSを改善する最善の方法の一つです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

13. マネジメントレビュー

先に述べたように、経営陣をプロジェクトに参加させることは極めて重要です。そのために設計されたのが マネジメントレビューです。この規格では、経営陣がBCMに関連するあらゆる事実を調べて、目標が達成されたかどうかを判断する必要があります。マネジメントレビューが済んだら、経営陣はどのような改善を行うべきかを決める必要があります。

14. 予防処置および是正処置

間違い（BS 25999用語では「不適合」）は、起こる前に防ぐに越したことはありません。これこそが予防処置の目的です。つまり、問題が起こる前に是正するための体系的な方法です。予防処置と同様に、起こってしまった問題を解決する是正処置もあります。

では、BS 25999-2を使うのはなぜでしょうか。 BS 25999-2はまだ国際規格ではありませんが、全世界の事業継続規格の中で最も人気のある規格です。上述の手順は、最高の事業継続専門家によって設計されたものなので、事業継続のベスト・プラクティスを導入したい場合には、他を探す必要はありません。

をクリックすれば、以上の全手順を示したBS 25999-2導入プロセスの図を、必要な文書と共にダウンロードすることができます（登録が必要）。

あなたはおそらく、リスクアセスメントが済んでいるのに、なぜ事業インパクト分析（BIA）を実施しなければならないかを不思議に思っているでしょう。 リスクの特定は済んでいます。すでに企業の分析に長時間を費やしているのに、なぜさらなる分析が必要なのでしょうか。

BIAは目的が違うのです。 事業継続では、すべてが時間の問題です。適当な時間内に事業活動を復旧できないなら、復旧できるかどうかは問題ではなくなります。 この「適当」こそがBIAで決める事です。その主な目的は、組織の重要な活動のそれぞれについて、目標復旧時間を発見することです。

この種の分析は軽く見られがちです。企業は通常、誤った結果が不必要な出費や不適切な事業継続戦略につながることを認識していないばかりか、BIAを実施するために必要な労力が過小評価しています。

そこで、事業インパクト分析より効果的なものにするためのヒントを以下に紹介します。

（小さい）プロジェクトとして扱う。 導入に責任を持つ人、および、その権限を定義します。適用範囲・目標・時間枠を定義します。

準備として、優れたアンケートを作成する。よくできたアンケートは、時間を大幅に節約し、より正確な結果をもたらします。 BS 25999-1、BS 25999-2規格は、アンケートに含むべき質問について、非常によいヒントを与えてくれます。特に、中断による影響を特定して、時間にともなう変化を判定し、復旧に必要な経営資源を特定する必要があります。 影響を特定する際に、定性的な質問と定量的な質問の両方を使うのはよい方法です。

明確な基準を定義する。 回答者が質問に回答する際に、たとえば1～5の値を割り当てなければならない場合、その5個のマークが持つ意味を正確に説明するようにしましょう。同じ事象を、一般の従業員が破滅的と評価するのに対し、首脳部が中程度と評価することは珍しくありません。

人的交流によりデータを収集する。最善の結果は、事業継続に熟練した人が、重要な活動に責任を持つ人と面談することにより実現されます。そうすれば、未解決の疑問の多くがはっきりし、バランスのとれた解答が得られます。面談が不可能な場合には、全員参加のワークショップを最低でも一回は開催して、参加者が困っている事をすべて聞くようにしましょう。 言い換えれば、単にアンケートを送りつけて、送り返さない人を非難するようなことはやめましょう。

目標復旧時間を決定するのは、依存関係のすべてを特定してからにする。 たとえば、アンケートにより、重要な活動「A」の最大許容停止時間は2日間であると結論付けたとします。でも、重要な活動「B」の最大許容停止時間は1日間で、重要な活動「A」の支援がないと復旧できないとします。 つまり、この場合の「A」の目標復旧時間」は、2日間ではなく1日間であるということです。

私の経験では、BIAの結果はしばしば予想外です。目標復旧時間は通常、当初想定したより長いことが多く、BIAは、実際には単一障害点である経営資源間の依存関係を明らかにします。 でも、事業インパクト分析は何よりも、人々に想定外の事について考えさせる最も効果的な方法であり、そのような意識を生み出すことにより、企業の生存率を増やしてくれます。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 1: Business Impact Analysis（市販トレーニング）もご利用ください。