開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2009/07/08

【連載】情報セキュリティの投資対効果を追求する(16)事業継続マネジメントシステム(BCMS)とは?

これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。第16回は、事業継続マネジメントシステム(BCMS)について考察する。

加藤道明

加藤道明

○シニアセキュリティコンサルタント ○JIPDEC ISMS主任審査員(ISJ-B00023) ○財団法人日本科学技術連盟所属MS審査員(ISMS、ITSMS、BCMS) ○平成15年度保健医療福祉分野ISMS制度WGメンバー ○電気情報通信学会員  金沢工業大学大学院(情報工学専攻)卒業、1986年関西日本電気入社、日本電気、住商情報システムのセキュリティ・ソリューション課長を経て、2004年9月独立開業、現在に至る。  基幹業務システム(主に販売管理と生産管理)と情報通信およびセキュリティに精通。1997年、金沢市と米国サンフランシスコのオフィス間にVPN(仮想閉域網)を構築。以来、ネットワークセキュリティ、情報セキュリティマネジメント、個人情報保護に関して、コンサルティングや教育およびシステム設計で数多くの実績を持つ。また、行政系介護支援事業における個人情報保護コンサルティングおよび同事業情報セキュリティ委員会事務局などの経験もあり。ISMS/BS7799、プライバシーマーク認証取得および運用、また、システムセキュリティ設計の実績豊富。

BCMS適合性評価制度始動

 2007年11月、事業継続マネジメントの仕様を規格化した英国規格BS 25999-2: 2007が発行された。これを受けて、国内では英和対訳版の発売が開始され、2008年7月、日本情報処理開発協会(JIPDEC)がBCMS適合性評価制度、いわゆる認証登録の実証運用を開始した。現在、いくつかのISO審査機関が実証運用に参加する事業者を募集している。来春には、認証を取得した事業者が公開されるであろう。

BCMSとは?

 まず、BCMSのBC“事業継続”だが、規格では、「あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント(事業中断(混乱含む)、損失、非常事態、または危機である可能性のある、またはそれらを引き起こす可能性のある状況)および事業中断(混乱)に対して計画を立案し対応する組織の戦略的および戦術的な能力」としている。その上で、BCMSを、「事業継続の“確立”“導入および運用”“監視およびレビュー”“維持および改善”を担うシステム」と定義している。ここで言う“確立”“導入および運用”“監視およびレビュー”“維持および改善”を整理するとそれぞれ次のとおりになる。なお、この規格においても、品質、環境、セキュリティなどのマネジメント系規格と同様、PDCAサイクルが適用されている。

“確立”
 全般的方針および目的に従った結果を出すために、リスクマネジメントおよび事業継続の改善に関連した事業継続の方針、目的、目標、管理手法、プロセスおよび手順を確立する。

“導入および運用”
 確立した事業継続の方針、管理手法、プロセスおよび手順を導入し、運用する。

“監視およびレビュー”
 運用について、事業継続の目的および方針に対するパフォーマンスを監視し、その結果について経営陣によるレビューを実施する。また、必要に応じて修正および改善のための処置を決定し、経営陣の承認を得る。

“維持および改善”
 経営陣の承認を得た修正および改善のための処置について、予防処置および改善処置を実施する。また、BCMSの適用範囲ならびに事業継続の方針および目的を再評価することにより、BCMSを維持および改善する。


※クリックで拡大
図:BCMSにおけるPDCAサイクル(BS 25999-2: 2007より)



BCMSの特徴

 BCMSの特徴は、導入および運用においてビジネスインパクト分析(BIA: Business impact analysis)を行い事業継続計画(BCP: Business continuity plan)およびインシデントマネジメント計画(IMP: Incident management plan)を作成する点である。ここで言うビジネスインパクト分析とは、「事業中断(混乱含む)が事業に与える可能性のある影響を分析するプロセス」が要求されている。計画を作成し、導入した後は、定期的に演習を行いその結果をレビューする。そのレビューでは、演習の目標および目的に対する達成度を評価しなければならない。この評価により計画の妥当性および有効性を確認する。この活動により、インシデント発生時のビジネスインパクトを最小限に抑えることが可能となる。

お客様に影響を及ぼす恐れがあるビジネスインパクト

 最後に一言。BIAでは社内におけるビジネスインパクトだけでなく、ぜひ、お客様に影響を及ぼす恐れがあるビジネスインパクトも考慮してほしい。むしろ、お客様に影響を及ぼす恐れがあるビジネスインパクトに主眼を当てて取り組む方が利害も明確になり、取り組む動機も強固になる。場合にもよるが、BCMSによって収益増が望める場合もあるであろう。BCMSを守りだけでなく、攻めの施策として導入することをおすすめしたい。


《次回へつづく》

《撮影:郡川正次》

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

IT投資・インフラ戦略 ジャンルのトピックス

IT投資・インフラ戦略 ジャンルのIT導入支援情報

関連リンク

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!