特集/連載
ただの“文字列”じゃない 国際標準「ISO 22332」が示す“危機管理”の具体策:「ISO 22332」をBCPに生かす【前編】
国際標準規格は、企業の事業継続計画(BCP)や災害復旧(DR)計画の指針となる。ISOが2021年5月に公開した「ISO 22332」は、企業が危機に備えるための手順を提示している。具体的にどのような内容なのか。
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)や、後を絶たないサイバー攻撃――。こうした危機に直面している企業は「万が一」に備え、事業継続計画(BCP)や災害復旧(DR)計画を策定することが重要だ。しかしその際、具体的な取り組みとして何を盛り込むべきなのか、担当者は頭を悩ます。
「3つの計画」で万全の備えを ISO 22332が提示する指針とは
併せて読みたいお薦め記事
事業継続計画は万全? BCPをおさらい
- 「レジリエンス」とは何か? なぜ必要か? 事業継続計画(BCP)を補完
- 「デプラットフォーム」による事業継続性リスクを軽減する方法
- いまさら聞けないRPO(目標復旧時点)とRTO(目標復旧時間)の違い
2021年5月、国際標準化機構(ISO)はセキュリティ対策やBCP管理のガイドラインを定めた下記規格を公開した。
- ISO/TS 22332:2021(ISO 22332)
- Security and resilience - Business continuity management systems - Guidelines for developing business continuity plans and procedures(セキュリティと回復力――事業継続管理システム――事業継続計画と手順を作成するためのガイドライン)
ISO 22332は企業に対してBCPやDR計画に取り組む際、次の「3つの計画」を立てることを勧めている。企業はこの3つの計画を、起こり得るさまざまな危機への対処に生かすことができる。
- 「戦略」の計画
- 破壊的な出来事が発生したときの対策の手順を決める
- 「戦術」の計画
- BCPとDR計画の実行を全体的に管理する
- 「運用」の計画
- 製造施設や研究所、管理部門など部署ごとの対策に落とし込む
具体策としてISO 22332は、講じるべき対策の文書化とその管理、従業員の意識向上に向けたトレーニング、計画のレビューといった点を取り上げている。自社の組織にどのような対策が最適なのかを考え、ISO 22332をうまく応用して“身の丈に合った”計画を考えることを心掛けよう。
後編は、ISO 22332の応用に当たっての注意点を紹介する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.