ISO 27001 & BS 25999

経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。

1. 経営陣の支援を得る

これはBS 25999-2の必須の手順ではありませんが、間違いなく最初の重要な手順です。経営陣が事業継続の利益を理解せず、プロジェクトに積極的に関与しなければ、そのプロジェクトはたぶん失敗するでしょう。

2. プロジェクトとして扱う

事業継続管理システム（BCMS）の立ち上げには、極めて多くの時間や経営資源が必要です。やるべき事、時間枠、プロジェクト実施時の役割などを、明確に定義する必要があります。言い換えれば、プロジェクト管理の方法論を適用する必要があります。

3. 目標および適用範囲を定義し、BCM方針を書く

コンプライアンス、リスクのレベルを下げること、顧客/パートナーの要件など、BCMSによって実現したい事を定義する必要があります。 また、BCMSの対象範囲、つまり、組織全体かその一部かも定義する必要があります。たとえば、顧客にホスティング・サービスを提供している場合、データセンタだけを対象に決めてもかまいません。これらはすべてBCM方針の中に文書化する必要があります。

4. BCMSにおける役割及び責任を定義する

BCMSは組織の永久的な活動になるので、特にBCMSの「スポンサー」、「BCMコーディネータ」、「BCM管理者」など、BCMSに関する積極的な任務を持つ一人か二人の人にはっきりとした責任を定義する必要があります。このような役割や責任は、文書化しておくに越したことはありません。

5. 必須の手順を実施する

BS 25999-2では、文書および記録の管理、内部監査、予防処置・是正処置という、必須とされる4手順を実施する必要があります。これらの手順は、 ISO 27001やISO 9001と同様、実際のマネジメントシステムの基盤となります。

6. 事業インパクト分析およびリスクアセスメントを実施する

事業インパクト分析では、重要な活動、最大許容停止時間、重要な活動同士の依存関係（供給者や外部委託パートナーとの依存関係を含む）を特定して、目標復旧時間を設定する必要があります。

リスクアセスメントを行うと、重要な活動の中断原因となりうるものを実際に発見できます。それは天災であることも、人災（悪意があるか偶発的かを問わす）であることもあります。また、リスク対応も行う必要があります。つまり、困った事態の可能性を減らす方法を判断する必要があります。残念なことに、この規格では、リスクアセスメントや対応はあまり明確に定義されていません。したがって、これらをより詳しく記述したISO 27001を参照した方がよいかもしれません。

7. 事業継続戦略を決定する

事業継続計画を書き始める前に、重要な活動を再開するために必要な人材・場所・データ・ハードウェア・ソフトウェア・供給者・外部委託パートナーなどの経営資源を実際に判断する必要があります。

事業継続戦略では、必要な経営資源だけでなく、その経営資源を提供する方法も決定する必要があります。

8. インシデント管理計画および事業継続計画を開発する

インシデント管理計画の目的は、インシデントの広がりを防いで、直接的な影響を抑えるために、インシデント（火災・地震・爆弾テロ・停電など）の発生に直接対応する方法を記述することです。

一方、事業継続計画の目的は、重要な活動を復旧する方法や、準備した経営資源を投入する方法を記述することです。つまり、組織の活動を再開するために、誰が、いつ、どのようなデータや技術を使い、何をするかを記述する必要があります。

このような計画はすべて、主な担当者がいない場合でも実行できなければならないので、それだけ詳しく記述する必要があります。つまり、誰か他の人でも実行できるように書く必要があります。

9. 訓練および意識向上

中断時の事業継続計画の実行に必要な能力のレベルを定義し、さらに、そのレベルに到達するまで全職員（従業員および外部パートナー）を訓練する必要があります。

ただし、これではまだ足りません。さらに、なぜBCMが必要かを職員に説明する必要があります。 現実を直視しましょう。事業継続計画はおそらく一生に一回しか使われることはないので、多くの人は時間の無駄としか思っていません。したがって、なぜそのような計画が存在する必要があるかを説明する必要があります。（「BCM懐疑論者に対処する方法」も参照 )

10. BCMSの演習

これで完璧な計画を書けたと思っているとしたら、おそらく間違っています。最初から誤りのない計画を書くことは、ほとんど不可能です。 BCMSで演習が必須になっているのは、そのためです。計画はおおよそ実際の中断に似た状況でテストする必要があります。 そうやって初めて、計画のいいところと悪いところがわかるのです。

11. BCMSの維持およびレビュー

BCMSが古くならないようにするもう一つの方法は、事業継続計画や他の準備（供給者や外部委託パートナーとの契約、訓練および意識向上など）をレビューする間隔を定義することです。 環境の中には、あなたの文書を陳腐化するような、あらゆる種類の変化があります。たとえば、BCMSで特定の役割を果たす人間が会社を去るだけで、計画の中の電話番号は使えなくなります。

インシデントが実際に発生した場合には、インシデント後のレビューを行うことも必須です。その目的は、組織が実際にどう対処したか、それが計画通りだったかを調べることです。

12. 内部監査

内部監査の目的は、不備がないかどうかを、客観的に調べることです。内部監査員は、BCMSに不備があるかどうかを調べて、是正できる人間である必要があります。内部監査は、正しく行われれば、BCMSを改善する最善の方法の一つです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

13. マネジメントレビュー

先に述べたように、経営陣をプロジェクトに参加させることは極めて重要です。そのために設計されたのが マネジメントレビューです。この規格では、経営陣がBCMに関連するあらゆる事実を調べて、目標が達成されたかどうかを判断する必要があります。マネジメントレビューが済んだら、経営陣はどのような改善を行うべきかを決める必要があります。

14. 予防処置および是正処置

間違い（BS 25999用語では「不適合」）は、起こる前に防ぐに越したことはありません。これこそが予防処置の目的です。つまり、問題が起こる前に是正するための体系的な方法です。予防処置と同様に、起こってしまった問題を解決する是正処置もあります。

では、BS 25999-2を使うのはなぜでしょうか。 BS 25999-2はまだ国際規格ではありませんが、全世界の事業継続規格の中で最も人気のある規格です。上述の手順は、最高の事業継続専門家によって設計されたものなので、事業継続のベスト・プラクティスを導入したい場合には、他を探す必要はありません。

をクリックすれば、以上の全手順を示したBS 25999-2導入プロセスの図を、必要な文書と共にダウンロードすることができます（登録が必要）。

あなたは、BCMは「不可能」「不要」「大災害時には役に立たない」などと言われた事はありませんか。事業継続管理を導入した人なら、おそらくあるはずです。このような態度はもちろんプロジェクトの邪魔になるので、そのような人に対処する方法をいくつか教えましょう。

「大災害が発生した場合には、どうすることもできない」

これがおそらく最も多い批判でしょう。 この批判は、あなたが実際に起こりうるあらゆるシナリオを想定して、事業継続戦略や 事業継続計画を作成していなければ、正しいかもしれません。しかし、あなたがあらゆるシナリオを想定していれば、どんな災害にでも耐えられるほど距離の離れた代替地を準備していたこと、データのバックアップコピーを作成済みであること、会社のあらゆる従業員に代替要員がいること、重要なあらゆるサービスに代替供給者がいること、などを説明できるでしょう。

「核戦争が起こったら、うまくいかないだろう」

なるほど。でも軍事供給者でもない限りは、問題ではありませんよね。違いますか。 この種の破滅的なシナリオにおいては、あなたの事業はおそらく存在する意味がなくなっているでしょう。

「不必要なのでは」

もう事業継続を利用する必要がないことを祈るだけですね。 9/11やハリケーン・カトリーナのような周知の例を出すまでもなく、こう尋ねれば十分でしょう。「停電を経験したことはありませんか？」あるいは「サーバが故障したことは？」あるいは「重要なデータを保存したPCが故障したことは？」「完全に焼失した建物の話を聞いたことは？」このような事が誰にでも起こりうることを理解するには、新聞の見出しを読めば十分です。

「ウチは審査員を納得されればいいんだ」

優先順位が間違っています。 適切に実施すれば、あなた自身を守り、その結果として審査員も満足するのです。

「あらゆるインシデントを予測することなんかできない」

これは少なくとも最初のうちは真実です。 けれども、適切なリスクアセスメントを実施して、資料やさまざまな経営資源を利用し、評価を定期的にレビューすれば、起こりうるあらゆるリスクを想定することが可能になるでしょう。リスクを想定できれば、それに対する対応を準備することができます。

「人間は非常の際に、仕事よりも家族のことを考えるだろう」

これも真実です。 地震のときにまず家族の無事を確認しない人はいないでしょう。 けれども、インシデント発生後に帰宅してよい人と残って事態の解決を図る人を注意深く割り振って、残らなくてはならない従業員の家族の面倒を（他の従業員に頼んで）見ることにすれば、おそらくこの問題は解決できるでしょう。

「人間は危機的な状況になると不合理な行動をとる」

間違いなく真実です。けれども、従業員（供給者/パートナー）を日常的に訓練し、なおかつ、事業継続計画を実施しておけば、彼らはストレスの多い状況に慣れるので、そのような事態が発生してもおそらく適切に対処してくれるでしょう。

同様なプロジェクトを導入したことがある方なら、意識向上の重要性をご存知でしょう。同僚がプロジェクトの目的を認識していないと、導入時にかなりの困難を経験するはずです。 プロジェクトが完全に失敗するかもしれないことは言うまでもありません。これが意識向上を事前に考慮しなければならない理由です。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 2: Business Continuity Strategy（市販トレーニング）もご利用ください。

あなたは事業継続管理/BS 25999-2規格の導入を検討中ですね。けれども、大変なコストがかかるという話を聞きましたね。 確かにコストはかかりますが、必ずしもあなたが思っている程ではありません。コストの問題は、すぐれた事業継続戦略があれば解決できます。

事業継続戦略とは、BS 25999-2規格の定義によれば、「災害又はその他大規模なインシデント、若しくは事業中断（混乱）などに直面したときに、組織の復旧及び継続を確実にする、組織によるアプローチ」です。したがって重要なのは、そのような災害が発生したときに、それに対処するための最善の準備をしておくことです。この準備には、組織的方策（計画立案・供給者/パートナーとの契約・演習・レビュー・意識向上など）と設備・インフラストラクチャなどに対する投資などの方策とがあります。

復旧時に極めて重要な要素は時間です。時間内に事業を復旧できないと、顧客や取引自体を失う可能性が高くなります。したがって、事業継続戦略では、重要な活動ごとに目標復旧時間（RTO）を設定する必要があります。RTOは活動ごとに異なる可能性があります。

ここで重要なことが一つあります。 それは、RTOを短くするほど、必要な投資は増えるということです。たとえば、データセンタを1時間以内に復旧するには、元の場所とほとんど同じ設備を持つ代替地に投資する必要があるでしょう。逆に、データセンタを2週間で復旧するために必要な投資ははるかに少なくて済むでしょう。なぜなら、代替地にはバックアップ・テープを保管しておけば十分ですし、必要な設備は2週間あれば調達できるからです。つまり、RTOは長すぎても短すぎてもいけないということです。

RTOの設定が済んだ後も、多少の投資を行う必要があります。けれども、優れた事業継続戦略があれば、投資を抑制しながら、目標復旧時間内で重要な活動を復旧することができます。以下はその例です。

• 代替地には独自のデータセンタが必要とは限りません。多くの国では、そのような場所を専門の企業から賃貸することができます。つまり、インフラストラクチャだけでなく、設備やソフトウェアに対する投資さえ不要な可能性があります。
• 代替地にはオフィスが必要とは限りません。顧客と対面する必要のない従業員は、在宅勤務でもかまいません。
• 別の場所に他の事業部門があって、災害の影響を受けた重要な活動を引き継ぐことができれば、代替地をまったく必要としない可能性もあります。
• RTO以内の設備納品を保証できる供給者を見つけることができれば、設備を事前に購入しなくてよい可能性があります。
• その他。

以上の例はすべて組織の能力向上を必要としますが、お金を節約したいのなら、確実に検討する価値があります。

—

また、弊社のウェビナーBS 25999-2 Foundations Part 2: Business Continuity Strategy（市販トレーニング）もご利用ください。