ISMS事業継続計画とは?その内容や作成方法、事例について解説

この記事は約14分で読めます。

皆さんは業務でOneDriveや、Googleドキュメントといったクラウドサービスを利用しているでしょうか。そのクラウドで利用できるサービスが突如、利用できなくなると業務に支障が出てしまいますよね。

事業において重要なことは「不測の事態があっても、事業継続ができる体制を整えること」です。

ISMSISO27001)の要求事項には、事業継続計画として、企業が震災のような緊急事態に直面しても、事業を継続できるよう対応策を考えて計画することが書かれています。

ISMS(ISO27001)を運用する上で、事業継続計画を作成することが求められているのです。

今回は、ISMS事業継続計画とはなんなのか、その内容や作成方法、事例について解説します。

ぜひ最後までご覧ください。

また、これからISMS認証の取得をお考えの方へ、LRMでは、ISMS認証取得に必要な対応を抜けもれなく実施できるTodoリストを無料で配布しています。経験豊富なコンサルタントが作成したものですので、ぜひご覧ください。

認証取得するぞ!でも、何から始めれば...?ISMS認証取得ToDoリスト 無料ダウンロードはこちら

ISMS事業継続計画とは

ISMS事業継続計画とは、震災のような緊急事態に直面しても事業を継続できるようにするための計画です。

事業継続を有効に対応するためのフレームワーク、またはマネジメントプロセスを事業継続マネジメント(BCM: Business Continuity Management)、経営者を巻き込んで策定する計画書を事業継続計画(BCP:Business Continuity Plan)といいます。

事業が中断しないようにし、万が一継続ができなくても、可能な限り短時間で事業を再開させることが目的となっています。

また、可能な限り事業継続をすることで、サービス品質の向上、競合他社との差別化、企業評価の向上が主な目的です。

ISMS事業継続計画に関するISMS規格の記載

2022年10月に、情報セキュリティマネジメントシステムに関する国際規格のISO27001の改訂が発表され、最新版は「ISO/IEC 27001:2022」となっています。

ISMS事業継続計画に関するISMS規格は「A.17 事業継続マネジメントにおける情報セキュリティの側面(4項目)」から「5.29 事業の中断・阻害時の情報セキュリティ」に統合されていますが、内容や趣旨としては大きく変わっていません。

規格 ISO/IEC 27001:2013 ISO/IEC 27001:2022
条項 A.17.1 情報セキュリティ継続
  • A.17.1.1 情報セキュリティ継続の計画
  • A.17.1.2 情報セキュリティ継続の実施
  • A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価
5.29 事業の中断・阻害時の情報セキュリティ
A.17.2 冗長性
  • A.17.2.1 情報処理施設の可用性
8.14 情報処理施設の冗長性

それぞれ解説します。

5.29 事業の中断・阻害時の情報セキュリティ(2013年版 A.17.1 情報セキュリティ継続)

組織は常に、地震をはじめとした自然災害や火事、最近ではコロナ禍など、事業継続が困難な状況に陥る可能性があります。

仮に上記のような状況に陥った場合、いかにして事業継続ができるようにし、提供サービスの欠落を最小限に抑えるのか、といったことを管理する考え方として「事業継続マネジメント」というものがあります。

この章は、事業継続マネジメントにおいて、情報セキュリティの面からもリスクを考えて対応できるようにしておくことを目的としています。

2013年版の管理策に則って流れを確認してみましょう。

情報セキュリティ継続の計画(2013年版 A.17.1.1)

まずはじめにすべきことは、事業継続が困難な状況に陥ったときに、情報セキュリティの管理(機密性・完全性・可用性の維持)や情報セキュリティマネジメント(情報セキュリティのための取り組み)を継続させるための要求されるニーズや期待を決めることです。

具体的には、「社内ネットワークを〇時間以内に復旧させる」「提供サービスを〇時間以内に復旧させる」などが考えられます。

また、提供するサービスの停止原因がAWSなどインフラサービス側でのトラブルであることが想定される場合などには、「AWS復旧後、〇時間以内に復旧させる」といった形の計画を立てることも想定されます。

ここで立てた計画は、絶対に守らないといけないというわけではありませんが、事業を継続させるために、より高い水準の目標を掲げて、その計画を達成できるように準備をしておくことが重要です。

情報セキュリティ継続の実施(2013年版 A.17.1.2)

次にすべきは、前項で定めた計画を達成するための準備をしておく実際に困難な状況に陥ったときにはあらかじめ準備したことに基づいて実行する、ということです。

具体的には、ネットワークや提供サービスを復旧させるための手順書を準備しておくことや、それぞれの状況に応じて必要な人員に対する緊急連絡網を用意しておく、通常時に利用している連絡手段が取れなくなった場合の連絡方法を用意しておくなどといったことが考えられます。

情報セキュリティ継続の検証、レビュー及び評価(2013年版 A.17.1.3)

最後にすべきことは、実際に準備した方法で困難な状況に対処できるか、現実的に最初に定めた要求レベルに応えられるものであるかということを定期的にテスト・評価します。

いくら準備していても、いざトラブルが起きた時には慌ててうまくいかないことも容易に想像できますし、準備していた方法では要求レベルに応えることができない・復旧できないケースもあります。

そういった、準備不足をなるべく減らし、実際の障害が起きたときのための万全な対策を構築することを目的としたテストです。

例としては、学校などでよく行われている避難訓練がわかりやすいでしょう。

ちなみに、実は避難訓練もここで挙げられる準備のためのテストとして有効な方法です。

一見、情報セキュリティの側面とはつながっていないように見えますが、従業者という人的資源は情報セキュリティ継続にとっては重要な資源のひとつであり、その人的資源を適切に保護するという意味では、立派な情報セキュリティ継続の方法です。

その他の方法として、「緊急連絡網や導入している安否確認システムを実施してみる」「実際にファイルサーバが止まった際の復旧を手順に則って行ってみる」といった実践を想定した方法。実際にシステムを止めることが難しい場合は、あらかじめ作成したマニュアルをもとに、試験環境で対応をシミュレーションしてみるといったこともテストに有効です。

最近では、近年増えているリモートワークを実施して不具合が発生しないかといったことをテストとして実施するケースも多くみられます。

上記のように、事業継続が困難になった場合の情報セキュリティ面からの要求レベルを想定して、そのための準備をして、準備した方法が有効かテストするといった事業継続のための小さなPDCAを回していきましょう。

8.14 情報処理施設・設備の冗長性(2013年版 A.17.2 冗長性)

提供するシステムや、自社のネットワークなど情報処理を行う設備や施設に障害が発生した場合にも、場合によって事業の継続は難しくなることがあります。

この章の目的は、上記のような情報処理を行う設備や施設を、利用が許可されている人が利用したいときに利用できるよう状態を維持するということです。

そのための方法として、冗長性という考え方が出てきます。

冗長性(Redundancy)とは、冗長化によって信頼性と安全性が向上した状態のことを冗長性がある状態といいます。

冗長とは、文字通り「余分」「余剰」という意味で、耐障害性を高めるためにシステムを二重化して余裕を持たせて置き、万が一の時でも予備のシステムで稼働できる状態にしておくことをいいます。

冗長性を確保するために、具体的には、システムやネットワークは、同様の予備システムを用意しておき、できるだけ早く予備システムに移行し運用再開できるようにしておくなどが挙げられます。

ただし、同じシステムなどを複数用意することはコストのかかることであるため、止まったら大きな損失や障害につながる可能性のあるシステム(特に金融システム、インフラシステムなど)を決めて、そこに対してのみ重点的に行っていくといった取捨選択も大切になってきます。

その他には、冗長性が担保された外部サービス(クラウドストレージサービスなど)を利用することや、サービス提供において複数のリージョンを利用するといったことも考えられます。

ISMS事業継続計画の作成方法

では、実際にISMS事業継続計画(BCP)を作成するには、具体的に何をすればよいのでしょうか。

BCPを策定する場合の具体的な手順を見ていきましょう。BCPを初めて策定するときは、段階を踏んで順に進めていく形を取ります。

  1. BCPを策定する目的を精査
  2. 業務におけるリスクの洗い出し
  3. リスクに優先順位を設定
  4. 現実的な具体策を設定

BCPを策定する目的を精査

まず、BCPを策定する目的を精査するところから始まります。

経営理念や基本方針にまで立ち返り、企業としてこれから目指すものは何か、それも踏まえながら、何のためにBCPを策定するのかを精査します。

「クライアントからの信用を維持する」「サービス品質向上をする」など、基本方針を確認することが重要です。

業務におけるリスクの洗い出し

次に、業務において、リスクとなるものを洗い出します。

なにかしらの障害が起きてしまったときの事業継続にあたって、最も優先すべき事業(中核事業)が何かを考えます。具体的には「人が足りない」「サーバーがダウンしてしまった」「停電してしまった」というような、イレギュラ―な状況で、優先して継続すべき事業は何かという視点で洗い直す作業を行いましょう。

優先する事業は、各企業により異なり「一番売上が高い事業」「納期に余裕がない事業」「ライフラインに直結する事業」「認知度に大きく貢献している事業」「サービスが停止していると、ユーザー離れが深刻になる事業」というように、自社に会った選択をする必要があります。

事業ごとに、止まればどんなリスクがあるのかを明確にすることで、具体的な対策を計画できます。

リスクの例として、地震や洪水といった自然災害、コロナ禍のような伝染病の流行、システム障害、サイバー攻撃といったものが多数存在します。これらを考慮し、事業においてどんな被害が出るか洗い出しましょう。

リスクに優先順位を設定

先述したようにリスクを洗い出すことは重要です。ただ、そうはいっても全てのリスクに対応することは現実的ではありません。

費用・時間・資源など、かけられるコスト・リソースには限界があるからです。災害時ならばなおさらです。

限られたリソースを効果的に投入するためには、リスクに優先順位を設定し、優先度の高いリスクに優先的にBCPを策定するのが効果的でしょう。

優先順位をつける際基準となるは、リスクの発生頻度深刻度です

たとえば、そのリスクはどれぐらいの頻度で発生するのか考えてみましょう。

毎週発生するリスクなのか、年に一度程度のリスクなのか、はたまた数年に一度あるかもしれないリスクなのか……発生頻度から、対策するべきか否かの見極めができます。

また、どれくらいの損失が発生するかも同様に重要です。

滅多に発生しないリスクであっても、万が一発生したら事業継続が不可能になってしまうほどの損失がコスト面にせよリソース面にせよあるのであれば、それは対策が必要なリスクです。逆に、頻繁に発生するリスクでも、かなり軽く許容できる範囲の損失であるなら、大きな対策は必要ないかもしれません。

このように、発生頻度と深刻度(コスト・リソースの損失の程度)のバランスを考えて、総合的に判断するとよいでしょう

現実的な具体策を設定

リスクに優先順位を設定したら、具体的にどんな対策をするのかを決めます。

特に災害時には、誰が指揮をとるのか明確にしていなければ、現場は混乱してしまいます。そのため、誰が指示をして現場で動くのか具体的に決めておきましょう。

また、実際に災害が発生した際、どのようにして事業を継続するか、対応方法を設定します。

  1. 被害状況の確認
  2. 応急処置の方法
  3. 平常時へ復旧

ここでは、どのような被害が発生しているのか把握し理解することが重要です。

たとえば、従業員の安否確認や、サーバーの障がい状況、サービスの状況を正しく過不足なく把握しましょう。

また、現場の混乱を防ぐため、緊急時にはどのような手段で情報を共有して、だれがどのように行動するのか事前に取り決めておき、スムーズな対応を出来ようにすることが重要です。

応急処置の方法

次に、応急処置の方法を策定します。

応急処置と言うと、怪我をしてしまった人の治療を指すのが一般的です。

情報セキュリティの事業継続においては、例えば、ダウンしたサーバを切り替えてサービス継続を試みる、停電時には一時的に予備電源を利用してサービスを継続するといった、その場その場で用意できるリソースを活用して復旧までの時間をつなぐことが応急処置です。

平常時へ復旧

応急処置が終われば、復旧作業に移ります。

復旧を行うためには、サービスの稼働状況などを正確に確認し、事業によってはデータの保護、電気の復旧など様々な状態を回復させる必要があります。

特に現在では、信頼性が高く安全なクラウドサービスが登場しているため、インターネット回線を確保を優先することが、事業継続においては重要です。

内閣府からも事業継続計画のサンプルを公開しています。こちらも参考にして作ってみてください。

ISMS事業継続計画の事例

では具体的に、事業継続計画をどのようにして立てているのか、内閣府が公表している実際の事例に基づき解説します。

ISMS事業継続計画を立てた企業(建設業)

業種 建設業(総合工事業)
企業規模 大企業(従業員数千人以上)
事業環境 主な事業は土木、建築工事に関する設計、請負、マネジメント業務等(いわゆるゼネコン)
事業を取り巻く環境は以下の通り。
  • 道路や橋梁など公共性の高い社会インフラの整備を行う企業であり、発注元である公的機関からの要請に応える必要がある。
  • 地震の発生によって、通常よりも業務量が増加するという特徴がある。
  • 一方で民間企業との取引もあり、災害時には限られたリソースでどの被災現場の復旧を優先するかという判断が必要となる。
  • 建設現場の業務のほとんどが外注であるため、現場の復旧を行うための建設機材等は自社で保有しておらず、自社だけで事業継続することは難しい。
  • (製造業等と異なり)案件毎に取引先や現場が変わるため、BCP対策の継続的な取組が重要となる。
内閣府「企業の事業継続計画(BCP)策定事例「建設業(総合工事業)」https://www.bousai.go.jp/kyoiku/kigyou/keizoku/bcpjirei.html より

このケースでは、本社が東京にあり、被害想定に関しては、東京湾北部地震を取り上げています。

  • 一部の企業では、出勤可能人員数や物件被害について、人員被害を想定している
  • 自社社屋の被災、人員の損失についても想定している
  • 地震の発生時間を、平日昼間と休日夜間の2ケースについて想定

これらの想定を踏まえ、

  • 被害軽減緊急地震速報を活用して早期に警報を発動。業務中の従業員の人的被害軽減をする
  • 災害時行動マニュアルに基づいて従業員・作業員及び来訪者の安全を確保
  • 初期消火、火災防止、機械停止を実施
  • 避難所を確保し、宿泊場所を確保する

などの事業継続計画を立てています。

まとめ

ISMS 事業継続計画について解説しました。

事業継続計画を立てて、万が一の時に備えておきましょう。

また、ISO27001は、発行日は2022年10月の末から3年間の移行期間を設けています。この3年間を使って、ISMS事業継続計画で最新版に沿った移行を実施しましょう。

弊社LRMでは、ISMS認証取得コンサルティングを実施しています。専属コンサルチームがクラウドツールで効率的に貴社の認証取得をご支援いたします。ぜひお気軽にお問い合わせください。

専属コンサルチームが徹底サポート 
はじめてのISMS取得を確実に対応したいなら LRMのコンサルサービスを見る
ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました