多くの規格と同様に、(BS 7799-2 からなど) ISO 27001 への移行は避けられず、国際標準化機構 (ISO) は BS 25999 に代わる ISO 22301 の準備を開始しました。 この規格は、2011 年に草案版が一般公開され、2012 年半ばに ISO 22301 社会保障 - 事業継続マネジメント システムという名前で最終版が発行されました。
ISO 22301 では、破壊的なイベントが発生したときに組織が準備を整え、即応して対応できるように、文書化された管理システムの要件を指定しています。
ISO 22301規格の一般的な特徴
- あらゆる種類や規模の業界や分野に適用可能
- 体系的なアプローチのための実証済みのフレームワークを提供します
- 顧客のニーズ、社内のニーズ、規制、法的要件を満たすフレームワークを提供します。
- 事業継続のための標準要件を設定する
- 中断があってもビジネスニーズに一貫して応えるモデルを提供
- 定義された要件が満たされていることを証明する認証の基礎を形成します
ISO 22301 事業継続マネジメントシステム規格の概要
事業継続管理システム (BCMS) に関連する規格の主要なセクションは、次の項目番号にあります。
第4条:組織内容
記事5:リーダーシップ
記事6:計画
記事7:サポート
記事8:操作
記事9:パフォーマンス評価
記事10:改善
これらの主要なアクティビティのそれぞれについて、以下に説明します。
ISO 22301 第4条:組織の内容
BCMS に関連する規格の最初の条項には、組織の構造、BCMS の範囲、およびリスク基準を決定するためのガイドラインがあります。
これらの声明は次のように要約されます。
- 組織の活動、製品およびサービス、およびその関係者との関係、
- リスク基準、リスクを引き起こす可能性のある内部および外部要因の決定、
- リスクを取る傾向(リスク選好)と、破壊的な出来事が利害関係者に及ぼす潜在的な影響、
- 関連当事者のニーズと期待、およびİSYSの規制要件、
- BCMS に含まれる組織部分の性質と複雑さに応じた BCMS の範囲と必要性。
などのタイトルの定義と説明の必要性が含まれます。
ISO 22301 第 5 条: リーダーシップ
マネジメントシステムの構築と維持には、経営幹部から権限を与えられた事業継続マネジメントシステムリーダーが必要です。 このリーダーは、管理者の組織目標の決定、必要なリソースと権限の提供、効果的な作業環境の作成などの理由から、管理システムに継続的に関与することを示す必要があります。
事業継続リーダーの基準。
- 事業継続目標に従ってポリシーと戦略を確立し、
- リソースが利用可能であることを確認し、
- リーダーシップとコミットメントをモチベーションと権限として活用し、
- 継続的改善への取り組みを含む組織の目的に沿った事業継続方針を組織内および関係者に公表し、
- パフォーマンス測定は、必要な承認を得て上級管理職に提出されます。
その責任を表します。
ISO 22301 第 6 条: 計画
事業継続マネジメントシステムの運用中は、マネジメントシステムの構築方法を含めた計画を策定し、その計画に基づいて取り組みます。 主な目標は、ビジネス継続性の目標を達成することです。 事業継続目標の達成を計画する際、組織は次のことを決定する必要があります。
- 誰が責任を負うのか
- 彼はどうするだろうか、
- どのようなリソースが必要になるか
- いつ完成しますか
- 結果はどのように評価されますか?
ISO 22301 第 7 条: サポート
これは、事業継続マネジメント システムのインストール、実行、保守、開発に必要なすべてのリソース、能力、意識、コミュニケーション、文書の内容とその方法を説明するセクションです。
ISO 22301 第8条:運用
「運用」セクションでは、決定された範囲とポリシーに従って、権限のある担当者の責任の下、事業継続マネジメント システムを構築する各段階と、それに含まれる組織部分について説明します。
段階は簡単に次のとおりです。
- 基準を決め、書類を決め、計画を立て、
- ビジネスへの影響分析とリスク評価の調査には、以下を含める必要があります。
- 分析・評価を経て事業継続戦略を策定し、
- 事業継続ポリシーに応じて、事業継続の手順と指示を準備する。
- インシデント対応体制に情報を提供し、連絡するための体制を構築する。
- 時間が重要なビジネスプロセスが中断された場合にどのように行動するかについての事業継続計画を作成します。
- 維持されてきた活動がイベント発生前の状態に確実に戻るように計画を確立する。
- 演習やテストを通じて、事業継続目標に沿って確立されたこれらの継続手順の適合性を管理します。
ISO 22301 第9条:性能評価
このセクションでは、監視、測定、分析、評価の各段階が含まれており、第 6 条で作成された基準の決定および測定評価計画に従って、確立された管理システムの適用性と有効性の管理について説明されています。
運用段階ではなく管理システム全体の運用性と有効性を管理する。 このセクションには、手順の評価、内部監査とマネジメントレビュー、および業績評価の実施方法が含まれます。
ISO 22301 第10条:改善
構築・運用されている事業継続マネジメントシステムに不適合が発生した場合、是正措置により不適合を是正し、管理する必要があります。 このセクションでは、管理システムの有効性を高めるための是正措置の取り組みと継続的な改善要件について説明します。 したがって、達成された目標と管理システムの効率が常にテストされ、改善が行われます。