事業継続マネジメント (BCM) の本質とは? 本システム監査協会近畿部第 166 回定例研究会 2017 年 5 19 株式会社マネジメント総研代表取締役俊

本システム監査協会近畿部第 166 回定例研究会 2017 年 5 19 株式会社マネジメント総研代表取締役俊

はじめに ( 当社の事業継続針 ) 株式会社マネジメント総研 ( 以下当社 ) は啐琢という経営理念の下お客さまに品質のコンサルティング及び教育研修サービスを安定してご提供することがプロとしてのつとめであると考えております当社の事業の要はと情報でありそれらが脅かされるリスクを分析し必要かつ合理的な事前対策及び緊急事態発時の体制並びに対応順を定め役員及び従業員並びに関係者に周知徹底し確実な履に努めます 1. 当社はすべての事業を対象に国際標準規格社会セキュリティ- 事業継続マネジメントシステム- 要求事項 (ISO 22301) に準拠した事業継続マネジメントシステム ( 以下 BCMS ) を確し安定したサービス提供に取組みます 2. 当社は事業継続に関する演習及び試験内部監査マネジメントレビューを定期的に実施することを通じて BCMSの継続的な改善に努めます 3. 当社はコンサルティング会社としてBCMSの啓発普及に努め社だけでなくお客さま社会におけるリスク低減に貢献いたします制定 :2013 年 11 1 株式会社マネジメント総研代表取締役俊 Copyright 2017 Management Souken Ltd. All Rights Reserved. 2

次 1. そもそも BCP とは? 2.BCPの使われ 3.BCPの策定 4. 改めて BCP とは? 5.BCMS(ISO 22301) 6.BCMの本質を考える社でBCMSを構築し ISO 22301 認証を取得活するとともにクライアント企業のBCPやBCMSの構築運援をっております実際の構築運現場での取組みをもとに BCPに関する誤解や BCPとBCM BCMSの違い BCMの本質などについてお話をさせていただきますまた BCMSの内部監査や外部審査において情報システムがどのように確認されるかについてもお話させていただきます本のゴール BCM の本質を押さえる Copyright 2017 Management Souken Ltd. All Rights Reserved. 3

1. そもそも BCP とは? (1) 語の定義 BCP(Business Continuity Plan) 1 事業の中断阻害に対応し事業を復旧し再開しあらかじめ定められたレベルに回復するように組織を導く書化した順 3 2 ( ISO 22301:2012 より ) ( 補 ) 1 事業の中断阻害インシデント例: 地震台洪感染症機器故障システム障害など 2 あらかじめ定められたレベルに回復キーワード: 事業影響度分析 (BIA) 標復旧時間(RTO) 標復旧レベル(RLO) 3 書化した順 BCP( 事業継続計画 ) は基本的に書をさす事業継続を管理する仕組みを BCM( 事業継続マネジメント ) という Copyright 2017 Management Souken Ltd. All Rights Reserved. 4

1. そもそも BCP とは? (2) 防災計画との違い着眼点防災計画命の安全確保物的被害の軽減事業継続計画 (BCP) 重要事業の継続単位本社店拠点場など場所単位製品サービス単位対策への評価労働安全的道的な観点からの評価死傷者数物的損害額など事業の観点からの評価 ( 顧客からの期待関係者への説明責任 ) 経営関係者に及ぼす影響出発点原因 ( インシデント ) の把握規模災害など事業継続を危うくする要因や事象を特定結果 ( インパクト ) の把握緊急時の組織への影響度と復旧の切迫性に注し特定 Copyright 2017 Management Souken Ltd. All Rights Reserved. 5 ( 事業継続ガイドライン (2013 年 8 改定内閣府 ) 表 1.2-1 企業における従来の防災活動と BCM の較表をもとに作成 )

1. そもそも BCP とは? (3) 事業継続の考えサービスレベル許容停時間内に事業を復旧させる 100% インシンデント発標復旧レベル (RLO) 現状許容標最事業継続標 (MBCO) 定以上のサービスレベルで継続させる標復旧時間 (RTO) 最許容停時間 (MTPD) 復旧可能時間時間 ( BCMS ユーザーズガイドより ) 1 初動対応計画 2 事業継続計画 3 事業復旧計画 ( 検知避難安否確認次被災防対策本部設置など ) ( 重要な業務プロセスの復旧代替段による再開など ) ( 完全復旧対応保険回収など ) Copyright 2017 Management Souken Ltd. All Rights Reserved. 6

1. そもそも BCP とは? (4) 起源と展望 (Going Concern) DRP 代替策 BCP BCM ディザスタリカバリープラン BCMS 事業継続計画事業継続マネジメント事業継続マネシメントシステム 1980 年代 : 代替サイト市場 1970 年代 : データ保管サービス 2006 年 6 : 中企業 BCP 策定運指針 ( 中企業庁 ) 2005 年 8 : 事業継続ガイドライン ( 内閣府 ) 2005 年 3 : 事業継続計画策定ガイドライン ( 経済産業省 ) (2001 年 : 国同時多発テロ事件 ) (1995 年 1 : 阪神淡路震災 ) 2012 年 5 :ISO 22301(BCMS) (2011 年 3 : 東本震災 ) 2010 年 3 :BCMS 適合性評価制度の正式運開始 1950-60 年代 : 国書類データ等のバックアップを代替サイトに保管 2013 年 12 : 国強靱化基本法公布施 2013 年 : 事業競争強化モデル事業 ( 経済産業省 ) 2001 年 : 融機関等におけるコンティンジェンシープラン策定のための引書 (FISC) 2001 年 :JIS Q 2001( リスクマネジメントシステム構築のための指針 ) Copyright 2017 Management Souken Ltd. All Rights Reserved. 7

3.BCP の策定 (1) 策定状況は? 2015 年度調査結果 <BCP 策定済み> 企業 60.4% 中堅企業 29.9% 中企業 15.3% (n=861) (n=1,008) (n=674) (n=369) (n=600) (n=556) (n=616) 中企業 15.3 (n=443) (n=282) 9.1 (n=534) 10.9 64.7 (n=3,197) Copyright 2017 Management Souken Ltd. All Rights Reserved. 9 ( 平成 27 年度企業の事業継続及び防災の取組に関する実態調査 (2016 年 3 内閣府 ) より ) ( 中企業のリスクマネジメントと信向上に関する調査報告書 (2016 年 3 みずほ総合研究所 ) より )

3.BCP の策定 (2) 策定の動機 (1/2) 事業継続計画の策定の動機や背景 (n=1,103) 経営層による経営判断があったため顧客への供給責任を重視したため親会社グループ会社から要請があったためリスク管理リスクマネジメントに意識を払う社があるためリスクが顕在化 ( 発 ) して事業に影響がじた経験があるから販売先から要請があったため報道等で社会的に必要とされていると感じたため企業イメージの向上のため地域貢献地域との連携のため業界団体から策定を促されたため融機関から要請があったため仕先から要請があったため従業員から策定を求める意があったため政の補助等を活するため株主からの要請があったため 36.9% 27.7% 21.8% 20.9% 18.0% 17.5% 13.1% 11.9% 7.6% 4.8% 4.6% 2.7% 2.5% 2.0% 50.1% 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% Copyright 2017 Management Souken Ltd. All Rights Reserved. 10 ( 中企業のリスクマネジメントと信向上に関する調査報告書 (2016 年 3 みずほ総合研究所 ) をもとに作成 )

3.BCP の策定 (3) 策定上の課題事業継続計画の策定検証訓練直しにおける問題点課題について BCP 策定にかかるスキルノウハウの不不経費上の問題 (n=307) 46.9% 45.0% 36.5% 同業他社と連携することが困難取引先 ( 仕先販売先 ) において策定していない社の規模事業内容の上で特に重要ではない地域に連携先がない取引先 ( 仕先販売先 ) から要請されない連携できない社外に相談相がいない融機関から評価されないその他 10.1% 9.8% 5.9% 4.2% 2.6% 2.3% 1.0% 4.9% 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% Copyright 2017 Management Souken Ltd. All Rights Reserved. 12 ( 中企業のリスクマネジメントと信向上に関する調査報告書 (2016 年 3 みずほ総合研究所 ) をもとに作成 )

3.BCP の策定 (4) 策定のために協を得る先事業継続計画の策定や検証訓練直しのために協を得る先 (n=1,104) 取引先 ( 仕先販売先 ) 税理融機関その他コンサルタント親会社関連会社業界団体同業他社政機関 ( 担当課相談窓等 ) 弁護リスクコンサルタント商会議所商会担当者公認会計情報システムコンサルタント消防警察その他特にいない 20.5% 18.5% 15.2% 14.3% 14.0% 12.1% 10.8% 9.3% 8.5% 8.3% 7.9% 7.2% 7.1% 4.6% 5.2% 17.5% 0.0% 5.0% 10.0% 15.0% 20.0% 25.0% Copyright 2017 Management Souken Ltd. All Rights Reserved. 13 ( 中企業のリスクマネジメントと信向上に関する調査報告書 (2016 年 3 みずほ総合研究所 ) をもとに作成 )

3.BCP の策定 (5) 主な参考ガイド事業継続ガイドライン第 3 版 (2013 年 8 内閣府 ) http://www.bousai.go.jp/kyoiku/kigyou/keizoku/sk_04.html BCP 普及の状況東本震災やタイにおける害の教訓国際動向を踏まえ改訂された事業継続計画策定ガイドライン (2005 年経済産業省 ) http://www.bousai.go.jp/kyoiku/kigyou/keizoku/pdf/sec_gov-report.pdf 情報システムデータの維持復旧のための法に及されている IT サービス継続ガイドライン (2008 年経済産業省 ) http://www.bousai.go.jp/kyoiku/kigyou/keizoku/pdf/itsc_gl.pdf 経済産業省の事業継続計画策定ガイドラインの IT にかかる部分を具体化したもの中企業 BCP 策定運指針第 2 版 (2012 年 3 中企業庁 ) http://www.chusho.meti.go.jp/bcp/ 基本中級上級の 3 コースにコースが加わるとともに東本震災を含む災害対応事例を盛り込んだ製造業サービス売業運送業飲宿泊業の策定事例が追加された中企業事業継続計画 (BCP) 策定運の引き (2014 年 11 滋賀県 ) http://www.pref.shiga.lg.jp/f/shokokanko/bcp/bcp2013.html 中企業庁の中企業 BCP 策定運指針第 2 版の基本コースをもとに滋賀県の中企業が BCP 策定により取り組みやすくするため作成されたもの ISO 22301 ( 社会セキュリティ - 事業継続マネジメントシステム - 要求事項 ) 2012 年 5 に発された国際規格 BCMS 認証基準 Copyright 2017 Management Souken Ltd. All Rights Reserved. 14

3.BCP の策定 (6) 参考ガイドの内容例中企業事業継続計画策定運の引き 1.BCP 基本針の案 2.BCP 策定運体制の確 3.BCPの策定と運 3.1. 事業の理解 3.2.BCP 準備事前対策検討 3.3.BCP 策定 3.4.BCP 化の定着 3.5.BCPの診断維持更新 1BCPのチェックをう 2BCPの維持更新をう 1 事業への影響度を評価するあなたの会社の中核事業は? 中核事業及び重要業務を継続するために必要な資源は? 中核事業の標復旧時間は? 2 対象とする災害事故等を選定しリスクを評価する中核事業が影響を受けると思われるリスクは? 想定したリスクが中核事業の継続に必要な各資源に与える影響は? 3 財務状況を分析する被災時の建物設備の復旧費や事業中断による損失は? 被害を軽減するために採るべき事前対策は? ( 例 : 操業停に備えた資の確保損害保険の加事前の対策実施等 ) 1 事業継続のための代替策を検討しておく ( 情報連絡拠点事業復旧場所応援要員資インフラ情報バックアップ針 ) 2 事前対策を検討実施する ( ソフト : 避難計画従業員連絡リストの作成防災教育ハザードマップ調査等 ) ( ハード : 施設の耐震化棚の固定防災具の購等 ) 1BCPの発動基準を明確にする 2BCP 発動時の体制を明確にする 3 事業継続に関連する情報の整理と書化をする 1 従業員へのBCP 教育を実施する 2BCP 訓練を実施する 3BCP 化を醸成する ( 意識をめる取組み ) Copyright 2017 Management Souken Ltd. All Rights Reserved. 15 ( 中企業事業継続計画 (BCP) 策定運の引き (2014 年 11 滋賀県 ) より )

5.BCMS(ISO 22301) 利害関係者 4. 組織の状況 4.1 組織とその状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 マネジメントシステムの適範囲の決定 4.4 事業継続マネジメントシステム 5. リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 経営者のコミットメント 5.3 針 5.4 組織の役割責任及び権限 BCMS 6. 計画 6.1 リスク及び機会に対応するための処置 6.2 事業継続的及び達成計画 7. 援 7.1 資源 7.2 量 7.3 認識 7.4 コミュニケーション 7.5 書化した情報 Plan 利害関係者事業継続の要求事項 10. 改善 10.1 不適合及び是正処置 10.2 継続的改善 Act ISO 22301 Do 8. 運 8.1 運の計画及び管理 8.2 事業影響度分析及びリスクアセスメント 8.5 演習及び試験の実施 8.3 事業継続戦略運営管理された事業継続 8.4 事業継続順の確及び導 9. パフォーマンス評価 9.1 監視測定分析及び評価 9.2 内部監査 9.3 マネジメントレビュー Check Copyright 2017 Management Souken Ltd. All Rights Reserved. 17

まとめ次 1. そもそも BCP とは? 2.BCPの使われ 3.BCPの策定 4. 改めて BCP とは? 5.BCMS(ISO 22301) 6.BCMの本質を考える社でBCMSを構築し ISO 22301 認証を取得活するとともにクライアント企業のBCPやBCMSの構築運援をっております実際の構築運現場での取組みをもとに BCPに関する誤解や BCPとBCM BCMSの違い BCMの本質などについてお話をさせていただきますまた BCMSの内部監査や外部審査において情報システムがどのように確認されるかについてもお話させていただきます本のゴール BCMの本質を押さえる Copyright 2017 Management Souken Ltd. All Rights Reserved. 19

参考資料事業継続ガイドライン第 3 版 (2013 年 8 内閣府 ) http://www.bousai.go.jp/kyoiku/kigyou/keizoku/sk_04.html 中企業 BCP 策定運指針第 2 版 (2012 年 3 中企業庁 ) http://www.chusho.meti.go.jp/bcp/ 中企業事業継続計画 (BCP) 策定運の引き (2014 年 11 滋賀県 ) http://www.pref.shiga.lg.jp/f/shokokanko/bcp/bcp2013.html 平成 27 年度企業の事業継続及び防災の取組に関する実態調査 (2016 年 3 内閣府 ) http://www.bousai.go.jp/kyoiku/kigyou/pdf/h27_bcp_report.pdf 中企業のリスクマネジメントと信向上に関する調査報告書 (2016 年 3 みずほ総合研究所 ) http://www.meti.go.jp/meti_lib/report/2016fy/000521.pdf 平成 24 年度版中企業 BCP の策定促進に向けて (BCP 広報冊 ) (2012 年中企業庁 ) http://www.chusho.meti.go.jp/bcp/2012/download/24fybcp.pdf ISO 22301:2012(JIS Q 22301:2013) ( 社会セキュリティ - 事業継続マネジメントシステム - 要求事項 ) http://www.jisc.go.jp/ BCMS ユーザーズガイド (2013 年 5 般財団法本情報経済社会推進協会 ) https://isms.jp/bcms/bcmsug.html Copyright 2017 Management Souken Ltd. All Rights Reserved. 20

事業継続マネジメント (BCM) の本質とは? 本システム監査 協会近畿 部第 166 回定例研究会 2017 年 5 19 株式会社マネジメント総研代表取締役 俊

事業継続マネジメント (BCM) の本質とは? 本システム監査協会近畿部第 166 回定例研究会 2017 年 5 19 株式会社マネジメント総研代表取締役俊