ISO 27001 & BS 25999

経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。

1. 経営陣の支援を得る

これはBS 25999-2の必須の手順ではありませんが、間違いなく最初の重要な手順です。経営陣が事業継続の利益を理解せず、プロジェクトに積極的に関与しなければ、そのプロジェクトはたぶん失敗するでしょう。

2. プロジェクトとして扱う

事業継続管理システム（BCMS）の立ち上げには、極めて多くの時間や経営資源が必要です。やるべき事、時間枠、プロジェクト実施時の役割などを、明確に定義する必要があります。言い換えれば、プロジェクト管理の方法論を適用する必要があります。

3. 目標および適用範囲を定義し、BCM方針を書く

コンプライアンス、リスクのレベルを下げること、顧客/パートナーの要件など、BCMSによって実現したい事を定義する必要があります。 また、BCMSの対象範囲、つまり、組織全体かその一部かも定義する必要があります。たとえば、顧客にホスティング・サービスを提供している場合、データセンタだけを対象に決めてもかまいません。これらはすべてBCM方針の中に文書化する必要があります。

4. BCMSにおける役割及び責任を定義する

BCMSは組織の永久的な活動になるので、特にBCMSの「スポンサー」、「BCMコーディネータ」、「BCM管理者」など、BCMSに関する積極的な任務を持つ一人か二人の人にはっきりとした責任を定義する必要があります。このような役割や責任は、文書化しておくに越したことはありません。

5. 必須の手順を実施する

BS 25999-2では、文書および記録の管理、内部監査、予防処置・是正処置という、必須とされる4手順を実施する必要があります。これらの手順は、 ISO 27001やISO 9001と同様、実際のマネジメントシステムの基盤となります。

6. 事業インパクト分析およびリスクアセスメントを実施する

事業インパクト分析では、重要な活動、最大許容停止時間、重要な活動同士の依存関係（供給者や外部委託パートナーとの依存関係を含む）を特定して、目標復旧時間を設定する必要があります。

リスクアセスメントを行うと、重要な活動の中断原因となりうるものを実際に発見できます。それは天災であることも、人災（悪意があるか偶発的かを問わす）であることもあります。また、リスク対応も行う必要があります。つまり、困った事態の可能性を減らす方法を判断する必要があります。残念なことに、この規格では、リスクアセスメントや対応はあまり明確に定義されていません。したがって、これらをより詳しく記述したISO 27001を参照した方がよいかもしれません。

7. 事業継続戦略を決定する

事業継続計画を書き始める前に、重要な活動を再開するために必要な人材・場所・データ・ハードウェア・ソフトウェア・供給者・外部委託パートナーなどの経営資源を実際に判断する必要があります。

事業継続戦略では、必要な経営資源だけでなく、その経営資源を提供する方法も決定する必要があります。

8. インシデント管理計画および事業継続計画を開発する

インシデント管理計画の目的は、インシデントの広がりを防いで、直接的な影響を抑えるために、インシデント（火災・地震・爆弾テロ・停電など）の発生に直接対応する方法を記述することです。

一方、事業継続計画の目的は、重要な活動を復旧する方法や、準備した経営資源を投入する方法を記述することです。つまり、組織の活動を再開するために、誰が、いつ、どのようなデータや技術を使い、何をするかを記述する必要があります。

このような計画はすべて、主な担当者がいない場合でも実行できなければならないので、それだけ詳しく記述する必要があります。つまり、誰か他の人でも実行できるように書く必要があります。

9. 訓練および意識向上

中断時の事業継続計画の実行に必要な能力のレベルを定義し、さらに、そのレベルに到達するまで全職員（従業員および外部パートナー）を訓練する必要があります。

ただし、これではまだ足りません。さらに、なぜBCMが必要かを職員に説明する必要があります。 現実を直視しましょう。事業継続計画はおそらく一生に一回しか使われることはないので、多くの人は時間の無駄としか思っていません。したがって、なぜそのような計画が存在する必要があるかを説明する必要があります。（「BCM懐疑論者に対処する方法」も参照 )

10. BCMSの演習

これで完璧な計画を書けたと思っているとしたら、おそらく間違っています。最初から誤りのない計画を書くことは、ほとんど不可能です。 BCMSで演習が必須になっているのは、そのためです。計画はおおよそ実際の中断に似た状況でテストする必要があります。 そうやって初めて、計画のいいところと悪いところがわかるのです。

11. BCMSの維持およびレビュー

BCMSが古くならないようにするもう一つの方法は、事業継続計画や他の準備（供給者や外部委託パートナーとの契約、訓練および意識向上など）をレビューする間隔を定義することです。 環境の中には、あなたの文書を陳腐化するような、あらゆる種類の変化があります。たとえば、BCMSで特定の役割を果たす人間が会社を去るだけで、計画の中の電話番号は使えなくなります。

インシデントが実際に発生した場合には、インシデント後のレビューを行うことも必須です。その目的は、組織が実際にどう対処したか、それが計画通りだったかを調べることです。

12. 内部監査

内部監査の目的は、不備がないかどうかを、客観的に調べることです。内部監査員は、BCMSに不備があるかどうかを調べて、是正できる人間である必要があります。内部監査は、正しく行われれば、BCMSを改善する最善の方法の一つです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

13. マネジメントレビュー

先に述べたように、経営陣をプロジェクトに参加させることは極めて重要です。そのために設計されたのが マネジメントレビューです。この規格では、経営陣がBCMに関連するあらゆる事実を調べて、目標が達成されたかどうかを判断する必要があります。マネジメントレビューが済んだら、経営陣はどのような改善を行うべきかを決める必要があります。

14. 予防処置および是正処置

間違い（BS 25999用語では「不適合」）は、起こる前に防ぐに越したことはありません。これこそが予防処置の目的です。つまり、問題が起こる前に是正するための体系的な方法です。予防処置と同様に、起こってしまった問題を解決する是正処置もあります。

では、BS 25999-2を使うのはなぜでしょうか。 BS 25999-2はまだ国際規格ではありませんが、全世界の事業継続規格の中で最も人気のある規格です。上述の手順は、最高の事業継続専門家によって設計されたものなので、事業継続のベスト・プラクティスを導入したい場合には、他を探す必要はありません。

をクリックすれば、以上の全手順を示したBS 25999-2導入プロセスの図を、必要な文書と共にダウンロードすることができます（登録が必要）。

あなたはおそらく、リスクアセスメントが済んでいるのに、なぜ事業インパクト分析（BIA）を実施しなければならないかを不思議に思っているでしょう。 リスクの特定は済んでいます。すでに企業の分析に長時間を費やしているのに、なぜさらなる分析が必要なのでしょうか。

BIAは目的が違うのです。 事業継続では、すべてが時間の問題です。適当な時間内に事業活動を復旧できないなら、復旧できるかどうかは問題ではなくなります。 この「適当」こそがBIAで決める事です。その主な目的は、組織の重要な活動のそれぞれについて、目標復旧時間を発見することです。

この種の分析は軽く見られがちです。企業は通常、誤った結果が不必要な出費や不適切な事業継続戦略につながることを認識していないばかりか、BIAを実施するために必要な労力が過小評価しています。

そこで、事業インパクト分析より効果的なものにするためのヒントを以下に紹介します。

（小さい）プロジェクトとして扱う。 導入に責任を持つ人、および、その権限を定義します。適用範囲・目標・時間枠を定義します。

準備として、優れたアンケートを作成する。よくできたアンケートは、時間を大幅に節約し、より正確な結果をもたらします。 BS 25999-1、BS 25999-2規格は、アンケートに含むべき質問について、非常によいヒントを与えてくれます。特に、中断による影響を特定して、時間にともなう変化を判定し、復旧に必要な経営資源を特定する必要があります。 影響を特定する際に、定性的な質問と定量的な質問の両方を使うのはよい方法です。

明確な基準を定義する。 回答者が質問に回答する際に、たとえば1～5の値を割り当てなければならない場合、その5個のマークが持つ意味を正確に説明するようにしましょう。同じ事象を、一般の従業員が破滅的と評価するのに対し、首脳部が中程度と評価することは珍しくありません。

人的交流によりデータを収集する。最善の結果は、事業継続に熟練した人が、重要な活動に責任を持つ人と面談することにより実現されます。そうすれば、未解決の疑問の多くがはっきりし、バランスのとれた解答が得られます。面談が不可能な場合には、全員参加のワークショップを最低でも一回は開催して、参加者が困っている事をすべて聞くようにしましょう。 言い換えれば、単にアンケートを送りつけて、送り返さない人を非難するようなことはやめましょう。

目標復旧時間を決定するのは、依存関係のすべてを特定してからにする。 たとえば、アンケートにより、重要な活動「A」の最大許容停止時間は2日間であると結論付けたとします。でも、重要な活動「B」の最大許容停止時間は1日間で、重要な活動「A」の支援がないと復旧できないとします。 つまり、この場合の「A」の目標復旧時間」は、2日間ではなく1日間であるということです。

私の経験では、BIAの結果はしばしば予想外です。目標復旧時間は通常、当初想定したより長いことが多く、BIAは、実際には単一障害点である経営資源間の依存関係を明らかにします。 でも、事業インパクト分析は何よりも、人々に想定外の事について考えさせる最も効果的な方法であり、そのような意識を生み出すことにより、企業の生存率を増やしてくれます。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 1: Business Impact Analysis（市販トレーニング）もご利用ください。

あなたは事業継続管理/BS 25999-2規格の導入を検討中ですね。けれども、大変なコストがかかるという話を聞きましたね。 確かにコストはかかりますが、必ずしもあなたが思っている程ではありません。コストの問題は、すぐれた事業継続戦略があれば解決できます。

事業継続戦略とは、BS 25999-2規格の定義によれば、「災害又はその他大規模なインシデント、若しくは事業中断（混乱）などに直面したときに、組織の復旧及び継続を確実にする、組織によるアプローチ」です。したがって重要なのは、そのような災害が発生したときに、それに対処するための最善の準備をしておくことです。この準備には、組織的方策（計画立案・供給者/パートナーとの契約・演習・レビュー・意識向上など）と設備・インフラストラクチャなどに対する投資などの方策とがあります。

復旧時に極めて重要な要素は時間です。時間内に事業を復旧できないと、顧客や取引自体を失う可能性が高くなります。したがって、事業継続戦略では、重要な活動ごとに目標復旧時間（RTO）を設定する必要があります。RTOは活動ごとに異なる可能性があります。

ここで重要なことが一つあります。 それは、RTOを短くするほど、必要な投資は増えるということです。たとえば、データセンタを1時間以内に復旧するには、元の場所とほとんど同じ設備を持つ代替地に投資する必要があるでしょう。逆に、データセンタを2週間で復旧するために必要な投資ははるかに少なくて済むでしょう。なぜなら、代替地にはバックアップ・テープを保管しておけば十分ですし、必要な設備は2週間あれば調達できるからです。つまり、RTOは長すぎても短すぎてもいけないということです。

RTOの設定が済んだ後も、多少の投資を行う必要があります。けれども、優れた事業継続戦略があれば、投資を抑制しながら、目標復旧時間内で重要な活動を復旧することができます。以下はその例です。

• 代替地には独自のデータセンタが必要とは限りません。多くの国では、そのような場所を専門の企業から賃貸することができます。つまり、インフラストラクチャだけでなく、設備やソフトウェアに対する投資さえ不要な可能性があります。
• 代替地にはオフィスが必要とは限りません。顧客と対面する必要のない従業員は、在宅勤務でもかまいません。
• 別の場所に他の事業部門があって、災害の影響を受けた重要な活動を引き継ぐことができれば、代替地をまったく必要としない可能性もあります。
• RTO以内の設備納品を保証できる供給者を見つけることができれば、設備を事前に購入しなくてよい可能性があります。
• その他。

以上の例はすべて組織の能力向上を必要としますが、お金を節約したいのなら、確実に検討する価値があります。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 2: Business Continuity Strategy（市販トレーニング）もご利用ください。