ISMS事業継続計画とは？

災害をはじめとした緊急事態にあったときに、情報資産を保護しながら業務を継続していくための手順をまとめたものが「ISMS事業継続計画」です。ここでは、ISMS事業継続計画に関する規格や計画の作成方法についてわかりやすく解説しています。

ISMS事業継続計画（BCP）とは

システム障害や災害など、不測の事態が発生しても組織の情報資産を保護しながら事業を継続していくための計画をISMS事業継続計画（BCP）といいます。

ISMS事業継続計画（BCP）には、リスクに対応するための具体的な対策や関係者の役割分担、障害発生時からの復旧手順などの内容が含まれます。そのため、リスク管理に備えるだけではなく、事業の中断を最小限に抑え、組織の安定性を高めるといった理由からも重要です。

計画を練る前に知りたいISMS事業継続計画に関するISMS規格

ISMS事業継続計画は、ISMSにおいて重要な要素の一つに位置づけられています。そのため計画は慎重に練る必要があるため、まず計画を練る前にISMS規格について理解しましょう。

A.17.1 情報セキュリティ継続

ISMS事業継続計画は組織の存続に不可欠なものであり、不測の事態が発生した場合でも情報資産を保護し、組織の事業を継続できるようにするためのものです。また、ISMS事業継続計画に関する規格では、環境の変化に対応するため計画を定期的に見直し、改善を行うことも要求事項に定められています。

ISMS事業継続計画に関するISMS規格の要求事項について、それぞれを見ていきましょう。

A.17.1.1 情報セキュリティ継続の計画

情報セキュリティ継続の計画では、自然災害やサイバー攻撃などの状況に陥った場合でも事業継続ができるように対応策を考えることを目的としています。そのため、想定されるリスクを洗い出しや、発生した事態によってどのような影響が出るのかを評価し、復旧させるべき事項の優先順位から決定していきます。

組織内のシステムの復旧手順や代替システムの利用方法などを計画を具体的に検討し、ここで立てる計画はやや高めの水準を掲げておくのもよいでしょう。絶対に守らなければならないというわけではありませんが、目標の水準を達成できるように備えておきましょう。

A.17.1.2 情報セキュリティ継続の実施

情報セキュリティ継続の実施は、計画を達成するための準備です。実際に困難な状況に陥った場合、あらかじめ準備したことに基づいて実行できるように、マニュアルや手順書に落とし込むなどが考えられます。

具体的には、組織内のシステムの復旧手順書や代替システムの利用手順書や状況に応じて必要な人員に対する緊急連絡網を用意しておくことなどです。もしも、スムーズに連絡を取ることができなければ、迅速な対応もできません。連絡がつかない時の対処法まで検討しておきましょう。

ただし、災害時やトラブルの際の計画には、緊急連絡網のように「個人情報保護法」に基づいて扱わなければなならないものもあります。運用方法を間違えると混乱を招く可能性もあるため、情報の持ち出しについてのルールも検討しておきましょう。

A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価

情報セキュリティ継続の検証、レビュー及び評価は、準備した方法で困難な状況に対処できるか、定期的にテストを行い評価することです。

実際に困難な状況に陥った場合、状況が変わっており準備している方法では対処できないケースもゼロではありません。こうした準備不足を減らすため、定期的に計画の見直しを行い、常に状況の変化に合わせた最新の状態に更新しておくことを目的としたテストです。可能な範囲で実地訓練を行い、マニュアルや手順書などの有効性を確認します。併せて、改訂されたマニュアルや手順書などの内容を周知徹底しておくことも必要です。

A.17.2 冗長性

同じシステムを複数用意し災害に備えるなど、予期せぬ事態が発生した場合でもシステムの継続稼働の可能性を高め、ダウンタイムを抑えられる冗長性。デメリットもありますが、障害発生時などに可用性を維持するためにはメリットの多い手法です。

A.17.2.1 情報処理施設の可用性

情報処理施設の可用性は、システムが安定して稼働し、事業を継続できる状態であることを意味します。万が一、組織内のネットワークシステムなど、情報処理を行う施設や設備に障害が発生してしまえば、事業の継続は難しくなることもあります。しかし、災害やサイバー攻撃など、予期せぬ状況に陥った場合でも、必要な機能を平常時と同様な性能で利用できる情報処理施設の可用性は、組織の安定に不可欠な要素です。

ISMS事業継続計画の作成方法

ISMS事業継続計画作成のポイントは、シンプルでわかりやすいこと。組織の関係者全員が理解できるよう簡潔に、そして誰にでもわかりやすい言葉で記述しましょう。ISMS事業継続計画の作成方法について、それぞれの内容をまとめました。

ISMS事業継続計画を作る目的を精査する

ISMS事業継続計画は、災害やサイバー攻撃などの事態が発生した場合に、適切な対応ができるように作成するものです。その目的は、組織の業種や規模、想定されるリスクによって異なりますが、サービス提供を継続・法的なリスクを最小限に抑えることなどが考えられます。どのような事態が発生した場合に、どのような影響が出るのか評価し、精査した目的にもとづいて具体的な目的を文章化します。

業務におけるリスクを洗い出す

業務におけるリスクを、事業の目的達成に影響を与えかねない全ての事象と捉えて、リストアップしましょう。損失のみをリスクだと捉えてしまうと、思わぬリスクの発生を見落とすおそれがあるため注意が必要です。リスクを洗い出しを行う段階では、少しでも組織に影響を与えそうなリスクを省かないことが大切です。

リスクに対して優先度を作る

リスクに対する優先度付けは、限られた資源を効果的に分配するためにも大切です。影響の大きさやリスクが発生する確率を考慮し、リスクの高い順に優先度を付けましょう。優先度の高いリスクから対策を講じることで、組織への影響も最小限に抑えられるでしょう。

具体的な対策を設定する

リスクに優先度を付けたら、より実効性の高い対策を目指すために、具体的な対策を設定します。計画が機能するかどうかは、訓練を実施するなどして検証することも必要です。新たに課題が発見されれば改善し、有効性について確認後は記録し、文書化したデータを蓄積することで、改善後の効果を具体的に測ることもできます。

しかし、ISMS事業継続計画やリスク対策は、平時における業務には直接関係ないことから優先順位が下がりやすく、緊急時に実行できない状況に陥りやすいもの。組織内に定着させるために、適用範囲内にある業務従事者への周知と教育を行い、対策の一環を担っていることを自覚できるようにしましょう。

まとめ

万全の対策を講じていても、自然災害やサイバー攻撃などのリスクを完全に回避することはできません。そこで、ISMS事業継続計画（BCP）を考えることで、万が一の事態が発生したときの事業への影響を抑える必要があります。

日々の業務で手一杯という場合や自社の知識やノウハウでは対応が難しいと判断した場合には、手遅れになる前にコンサルを利用するなど、プロに相談するのもひとつの方法です。