|
はじめに
Newton ITでは、当社がお客様に提供する全てのサービス事業について、事業継続マネジメントシステムBCMS: Business Continuity Management System)の世界初の第三者規格である英国規格「BS25999-Part2」を英国にて認証登録しています。
弊社では、従来より、災害対策や危機管理、事業継続マネジメント、リスクマネジメントなどに関する対策支援サービスの提供を行ってきました。さらには、2007年11月にBSI(英国規格協会)から「BS25999-Part2」が発行されたことを受け、「BS25999認証取得支援コンサルティングサービス」の提供も開始しています。
本稿では、「BS25999認証取得支援コンサルティングサービス」の開始に先駆け、自社自らで取り組んだ、事業継続マネジメントシステムの構築のための準備から、世界初の第三者規格「BS25999-Part2」の認証取得までの経験をご紹介いたします。
写真は、BSIマネジメントシステムのダイレクターによるBS25999認証授与式の模様です。
認証の内容
| 登録組織 |
Newton IT Ltd (London, United Kingdom) |
| 認証規格 |
BS25999-2: 2007 |
| 登録番号 |
BCMS 532228 |
| 認証登録範囲 |
お客様の情報資産を様々なリスクから守るためのコンサルティングサービスやマネジメントシステム構築支援、情報セキュリティの保たれたITインフラの設計・導入・保守・サポート、システム開発、及びセキュリティ監視サービス |
| 認証機関 |
BSI Management Systems(UK) |
尚、Newton IT Ltdは、当認証登録範囲において情報セキュリティマネジメントに関する国際規格「ISO27001」及び品質マネジメントに関する国際規格「ISO9001」の認証登録済みです。これら2つのマネジメントシステム2は、既に「統合マネジメントシステム(統合MS)」として運用されているため、事業継続マネジメントについても「統合マネジメントシステム」の一部として組み込むことが重要であると考えました。つまり、構築した事業継続マネジメントに関する仕組みが、「有事の際に必ず機能すること」を目指すだけでなく、マネジメントシステムの本質である、「企業の文化に根付き、日常業務の中で継続的に改善していくこと」を重視しています。
BS25999認証に必要な準備
BS25999要求事項に適合する、有効なBCMSの構築と継続的な改善を目指しました。尚、手順1:BCMSの計画、手順3:BCMSの監査・レビュー、及び手順4:BCMSの維持・改善につきましては、既存の統合マネジメントシステムの一部として追加しているため、当社での構築に要した時間は主に手順2:BCMSの導入・運用に要した約8ヶ月となります。
| 主な手順 |
主な内容 |
所要時間 |
| 手順1:BCMSの計画 |
適用範囲・基本方針の決定、責任者の任命 |
統合MSの一部として追加 |
| 教育及び伝達プログラムの確立 |
| 手順2:BCMSの導入・運用 |
事業インパクト分析・リスク分析 |
約2ヶ月 |
| BCM戦略の決定 |
約1ヶ月 |
| 事業継続対応のための体制の決定と計画の策定 |
約3ヶ月 |
| BCMの演習と維持・レビュー |
約2ヶ月 |
| 手順3:BCMSの監査・レビュー |
内部監査 |
統合MSの一部として追加 |
| マネジメントレビュー |
| 手順4:BCMSの維持・改善 |
予防措置・是正措置 |
統合MSの一部として追加 |
| 継続的な改善 |
本事例では、各手順についての簡単な内容と当社で開発・使用したツールのご紹介のみとなります。詳細な内容にご興味のある方は是非、お問い合わせください。
手順1:BCMSの計画
BCMSの計画で重要なことは、BCMSの境界(適用範囲)を明確にし、BCMS構築目的を周知徹底すること、及び、経営者のコミットメントと経営資源の割り当てを明確にし、適切な力量・権限を持つBCMS責任者を任命することです。当社では、適用範囲の決定に際し、「戦略的な事業インパクト分析(ハイレベル事業インパクト分析)」を実施し、事業継続要求事項や義務、ステークホルダーの要求事項などの分析を行っています。当社で開発・使用した「戦略的な事業インパクト分析(ハイレベル事業インパクト分析)」ツールの一部抜粋をご覧ください。
手順2:BCMSの導入・運用
戦略的な事業インパクト分析にて特定された重要な活動と主要なサービスの継続に必要な経営資源を特定し、それらに対する脅威を理解した上で、適切なリスク対応を選択することは極めて重要です。
①事業インパクト分析(BIA)
想定される事業の中断の影響の内容と範囲について、時間の経過による変化を検討します。その上で、活動とサービスごとに許容できる最大の停止時間(MTPD)の特定と、目標とする復旧時間(RTO)と復旧のレベル(RPO)及び復旧に必要な経営資源の決定を行いました。以下は当社で開発・使用したBIAシートの一部抜粋です。
②リスクアセスメント(RA)
次に、重要な活動(供給者や外部委託先から提供される活動も含む)とそれを支える経営資源についてリスクを測定します。事故や災害の規模の大小に関わらず、様々な理由で事業が中断された場合でも、重要な事業を継続できることは企業にとって必須条件です。そこで当社でのRAでは、事業継続マネジメントに係るリスクとして、災害リスクだけではなく、業種固有のリスクを含むオペレーショナルリスク全体を対象としました。
| 信用リスク |
デフォルト(債務不履行)リスク、貸し倒れリスク |
| 市場リスク |
市場価格(金利・株価・為替など)の下落によって、保有資産に損失が生じるリスク |
| オペレーショナルリスク |
災害リスク |
自然災害やテロ攻撃・火災・新型インフルエンザなど |
| 業務固有リスク |
経営管理リスク、システム障害や人員流出、法務リスク(情報セキュリティ違反や法令違反など)・設備事故・部品供給停止、インフラ障害など |
③戦略の決定とBCM対応方法の確立・導入
設定したRTO以内に重要な活動を復旧させることを可能にするBCMの取組みを特定(戦略の決定)した後、具体的なBCM対応方法の確立・導入を行います。まず、事業の中断への効果的な対応と復旧を可能にするための体制として、インシデントマネジメントチーム(IMT)を構成しました。
当社では、IMTの意思決定メンバーとして、その力量と権限を考慮した上で、3名の取締役を任命しています。当社の事業継続計画書(BCP)は会社全体のBCPと事業部単位のBCPと2つのレベルに分けて作成しました。 会社全体のBCP文書では、適用範囲やBCMに関する基本方針に加え、メディアや顧客へのコミュニケーション手順やBCMS演習、レビューなどについて記述しています。 事業部単位のBCPは概ね以下の内容が含まれています。
④演習と維持・レビュー
BCMの取組みの有効性を検証し、インシデント後に重要な活動が要求通りに復旧できることの確実性を確認することは陳腐化しやすいというBCMの性質上、極めて重要です。当社では、年間の演習プログラムを策定し、経営者が承認しています。演習プログラムの策定に際しては、BCMS全体の妥当性が確認できるよう、BCMSに含まれるすべての情報、すべての計画、すべての人員について演習を行うことを念頭におき、そのために様々な手法(デスクトップレビュー、セルフアセスメント、シナリオなど)の適切な組み合わせを検討しました。
手順3:BCMSの監査・レビュー
手順4:BCMSの維持・改善
先に述べたとおり、手順3:BCMS監査・レビュー 及び、手順4:BCMS維持・改善 については、既存の統合マネジメントシステムの一部として組み込むことにしましたので本稿でのご紹介は割愛いたします。
BS25999-2の審査から認証登録までの流れ
最後にBS25999の審査から認証登録までの流れについて簡単にご紹介いたします。
こちらは完全なオプションであり、実施の有無やその結果が本審査に影響を与えるものではありません。しかし、本審査前に、構築した事業継続マネジメントシステムがBS25999規格の受審準備として十分であるかの判断を行うことを目的とし、当社では予備審査の実施を選択しました。予備審査では、BCM文書の整備状況の確認と統合マネジメントシステムとしての運用状況の確認が主でしたが、また、当社BCM文書で使用されている用語と規格用語との整合性に関する確認も行われました。結果、審査員より受審準備は十分であると判断が下り、本審査へ進むことになりました。
② 第一次審査(所要時間:1日)
予備審査から約2ヵ月後に第一次審査を受けています。第一次審査は「整備状況の評価」が主であるため、BCM文書全体の整備状況について更に評価をされました。特に、「適用範囲」について詳細な確認をされています。「有事の際、どの事業を早期に復旧・継続させるか」という戦略的な決定方法については、上述の「戦略的な事業インパクト分析」にてご紹介していますが、認証の「適用範囲」という観点では、「戦略的に早期の復旧・継続が必要」と判断した「サービス・事業」を継続するのに必要な「人員」や「サイト」などの経営資源が適切に適用範囲として含まれているかに焦点があてられました。一部のBCM文書について、改善の余地があることを指摘はされましたが、その他に特に重要な問題はないとの判断により第二次審査への移行が決定しました。
③ 第二次審査(最終審査)(所要時間:1日)
第一次審査から約2ヶ月後に第二次審査(最終審査)を受審しています。第二次審査は、「運用状況の評価」が主であるために、BCM文書で規定された内容が適切に運用されているかについての評価をされています。例えば、「演習プログラムに沿って演習が適切に実行されているか」を確認するために、演習結果レポートの閲覧による「演習の適用範囲や演習手法の決定が適切であるか?」、あるいは、「演習の目的とそれに対する達成度が適切に評価されているか?」などの検証に加え、演習に参加した従業員へ直接インタビューを行い、彼らのBCMに関する認識レベルの検証も行われました。また、「BCM要員の力量」の重要性について焦点があたり、「BCMに関する役割ごとに必要な力量や権限が特定されているか?」、「それに見合った人員が任命されているか?」、「BCM要員に必要な教育や訓練は検討・実施されているか?」などの観点について慎重に審査されました。第二次審査でも重大な指摘事項はなかったため、審査終了時に審査員より「認証への推薦」を受け、約1週間後にはBSIでの審査レビューも終了し、正式な認証登録が完了しました。
④ 継続審査・更新審査
認証登録後は、他のマネジメントシステムと同様に、当社担当のクライアントマネージャーが継続審査・更新審査に訪れ、当社の事業継続マネジメントシステムの適合性と有効性を継続的に審査することになります。
BCM構築の効果
- BCMS以外のマネジメントシステム認証(ISO9001、ISO27001)との統合運用により、より効率的なマネジメントシステムの運用を実現した
- BCMS構築のための各種分析作業(事業インパクト分析、リスクアセスメント等)を通じて、自社の事業についての理解が深まった
- 全従業員参加による演習の実施を通じ、不測の事態にも「慌てない」という自信がついた
- (認証取得により)社外のステークホルダー(お客様、取引先)の皆様に、安心して取引先として選んでいただくための信用が向上した
|
