情報セキュリティスペシャリスト
情報技術者試験まとめへ

情報セキュリティマネジメント(7)

事業継続管理

BCPとBCM

BCP(Business Continuity Plan;事業継続性計画)

大規模な災害などによって、企業活動を支える重要な情報システムに障害が発生したような場合でも、企業活動の継続を可能にするために、あらかじめ策定する計画

BCM(Business Continuity Management;事業継続性管理)

大規模な災害などによって、企業活動を支える重要な情報システムに障害が発生したような場合でも、企業活動の継続を可能にするために、あらかじめ策定する管理
計画なのか、管理なのかの違い
両者は共通する概念なので、同じ意味合いで話をすることがある

ISMS要求事項

BCMに関する規格・認証制度

規格
BS25999

英国規格協会(BSI)が発行した、事業継続マネジメントに関する英国国家規格。2006年11月に発行されたPart1(実践規範)と、2007年11月に発行されたPart2(認証用規格)の二部構成になっている

ISO 22301:2012

地震や火災、ITシステム障害や金融危機、取引先の倒産、あるいは新型インフルエンザの感染爆発(パンデミック)など、災害や事故、事件などが現実となった場合に備えて、さまざまな企業や組織が、対策を立案し効率的かつ効果的に対応するための事業継続マネジメントシステム(BCMS)の国際規格

認証制度
BCMS適合性評価制度

日本情報経済社会推進協会(JIPDEC)により、組織における重要業務が継続される仕組みが確立・維持されていることを国際規格ISO 22301の要求事項との適合性について、第三者である認証機関が評価を行うことで、利害関係者に対して保証するもの

BCMライフサイクル

Part-1で詳述されるBCMライフサイクルは図に示すように5つの領域で構成されている

<

組織文化へのBCMの定着化
組織の理解
BCM戦略の決定
BCM対応の開発と導入
エクササイズ、維持と見直し

BCP作成のポイント

事業継続計画の目的は事業の中断を最小限にしていかに"事業を継続"するかに重点が置かれている。このため、通常の防災計画の要素に加えて、下記の検討がポイントとなる

<

目標復旧時間(RTO:Recovery Time Objective)

事故後、業務を復旧させるまでの目標期間(時間)

目標復旧ポイント(RPO:Recovery Point Objective)

事故後に事故前のどの時点までデータを復旧できるようにするかの目標時点(時間)

目標復旧レベル(RLO:Recovery Level Objective)

事故後、業務をどのレベルまで復旧させるか、あるいは、どのレベルで継続させるかの指標

≪BCPと類似するもの≫

事件・事故・災害などの不測の事態が発生することを想定し、その被害や損失を最小限にとどめるために、あらかじめ定めた対応策や行動手順のこと
リスク発生時の損害の大きさとリスク発生の確率を加味して策定される。内容は、緊急時における各メンバーの行動指針や行動計画、顧客やマスコミへの対応方針、業務や機能の継続・復旧作業の優先順位といった文書成果物のほか、代替設備・業者の用意、安全在庫の確保といった対策まで含まれる

災害復旧。災害などによる致命的なシステム障害から情報システムを復旧させること。ないしはそうした障害復旧に備えるための予防的措置や機能、運用体制などのこと
地震や風水害などの天災だけではなく、不法侵入やテロ、サイバーアタックなどの人災を含み、さらに修復不能なエラーや機器故障などを指す場合もある

 

ページトップへ 次へ