まず、BCMSのBC
“事業継続”だが、規格では、「あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント(事業中断(混乱含む)、損失、非常事態、または危機である可能性のある、またはそれらを引き起こす可能性のある状況)および事業中断(混乱)に対して計画を立案し対応する組織の戦略的および戦術的な能力」としている。その上で、BCMSを、「事業継続の
“確立”、
“導入および運用”、
“監視およびレビュー”、
“維持および改善”を担うシステム」と定義している。ここで言う
“確立”、
“導入および運用”、
“監視およびレビュー”、
“維持および改善”を整理するとそれぞれ次のとおりになる。なお、この規格においても、品質、環境、セキュリティなどのマネジメント系規格と同様、PDCAサイクルが適用されている。
“確立” 全般的方針および目的に従った結果を出すために、リスクマネジメントおよび事業継続の改善に関連した事業継続の方針、目的、目標、管理手法、プロセスおよび手順を確立する。
“導入および運用” 確立した事業継続の方針、管理手法、プロセスおよび手順を導入し、運用する。
“監視およびレビュー” 運用について、事業継続の目的および方針に対するパフォーマンスを監視し、その結果について経営陣によるレビューを実施する。また、必要に応じて修正および改善のための処置を決定し、経営陣の承認を得る。
“維持および改善” 経営陣の承認を得た修正および改善のための処置について、予防処置および改善処置を実施する。また、BCMSの適用範囲ならびに事業継続の方針および目的を再評価することにより、BCMSを維持および改善する。
※クリックで拡大 |
図:BCMSにおけるPDCAサイクル(BS 25999-2: 2007より) |
BCMSの特徴
BCMSの特徴は、導入および運用において
ビジネスインパクト分析(BIA: Business impact analysis)を行い
事業継続計画(BCP: Business continuity plan)および
インシデントマネジメント計画(IMP: Incident management plan)を作成する点である。ここで言うビジネスインパクト分析とは、「事業中断(混乱含む)が事業に与える可能性のある影響を分析するプロセス」が要求されている。計画を作成し、導入した後は、定期的に演習を行いその結果をレビューする。そのレビューでは、演習の目標および目的に対する達成度を評価しなければならない。この評価により計画の妥当性および有効性を確認する。この活動により、インシデント発生時のビジネスインパクトを最小限に抑えることが可能となる。