ただの“文字列”じゃない 国際標準「ISO 22332」が示す“危機管理”の具体策：「ISO 22332」をBCPに生かす【前編】

国際標準規格は、企業の事業継続計画（BCP）や災害復旧（DR）計画の指針となる。ISOが2021年5月に公開した「ISO 22332」は、企業が危機に備えるための手順を提示している。具体的にどのような内容なのか。

[Paul Kirvan，TechTarget]

　新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）や、後を絶たないサイバー攻撃――。こうした危機に直面している企業は「万が一」に備え、事業継続計画（BCP）や災害復旧（DR）計画を策定することが重要だ。しかしその際、具体的な取り組みとして何を盛り込むべきなのか、担当者は頭を悩ます。

併せて読みたいお薦め記事

事業継続計画は万全？　BCPをおさらい

• 「レジリエンス」とは何か？　なぜ必要か？　事業継続計画（BCP）を補完
• 「デプラットフォーム」による事業継続性リスクを軽減する方法
• いまさら聞けないRPO（目標復旧時点）とRTO（目標復旧時間）の違い

　2021年5月、国際標準化機構（ISO）はセキュリティ対策やBCP管理のガイドラインを定めた下記規格を公開した。

• ISO/TS 22332:2021（ISO 22332）
  • Security and resilience - Business continuity management systems - Guidelines for developing business continuity plans and procedures（セキュリティと回復力――事業継続管理システム――事業継続計画と手順を作成するためのガイドライン）

「3つの計画」で万全の備えを　ISO 22332が提示する指針とは

　ISO 22332は企業に対してBCPやDR計画に取り組む際、次の「3つの計画」を立てることを勧めている。企業はこの3つの計画を、起こり得るさまざまな危機への対処に生かすことができる。

• 「戦略」の計画
  • 破壊的な出来事が発生したときの対策の手順を決める
• 「戦術」の計画
  • BCPとDR計画の実行を全体的に管理する
• 「運用」の計画
  • 製造施設や研究所、管理部門など部署ごとの対策に落とし込む

　具体策としてISO 22332は、講じるべき対策の文書化とその管理、従業員の意識向上に向けたトレーニング、計画のレビューといった点を取り上げている。自社の組織にどのような対策が最適なのかを考え、ISO 22332をうまく応用して“身の丈に合った”計画を考えることを心掛けよう。

---

　後編は、ISO 22332の応用に当たっての注意点を紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。