この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
適合性評価に関連する ISO 固有の用語および表現の意味に関する説明、および技術的貿易障壁 (TBT) における WTO 原則への ISO の準拠に関する情報については、次の URL を参照して ください 。
このドキュメントを担当する委員会は、ISO/TC 292, セキュリティと回復力です。
序章
この技術仕様は、ISO 22301 の要件と一致するビジネス影響分析 (BIA) プロセスを確立、実装、および維持するための詳細なガイダンスを提供します。この技術仕様は、ビジネス継続性管理システムの一部であるかどうかにかかわらず、あらゆる BIA プロセスのパフォーマンスに適用できます。 (BCMS) または事業継続プログラム (BC プログラム)以降、BC プログラムとは、BCMS または BC プログラムのいずれかを意味します。
図 1 は、BIA プロセスと BC プログラム全体の関係を示しています。組織は、事業継続戦略を選択する前に、BIA プロセスのサイクルを完了する必要があります。
図 1 —事業継続管理の要素
(出典: ISO 22313)
BIA プロセスは、組織に対する破壊的なインシデントの影響を分析します。結果は、ビジネス継続性要件のステートメントと正当化です。
BIA プロセスは、それぞれが BC プログラム範囲のサブセットに焦点を当てた多数の個別の BIA で構成されます。 BIA プロセスは、製品とサービスに優先順位を付け、BC プログラムの全範囲をカバーするプロセスと活動に優先順位を付け続けます。組織によって決定された期間の後、個々の BIA が繰り返され、BC 要件が最新の状態に保たれます。
注記この技術仕様では、ビジネス継続性要件は、継続性と回復の優先順位、目的、および目標と同じ意味を持ちます (ISO 22301:2012, 8.2.2)
この技術仕様の目的は次のとおりです。
- 組織内で効果的な BIA プロセスを理解し、開発し、実施し、レビューし、維持し、継続的に改善するための基礎を提供する。
- BIA の計画、実施、および報告に関するガイダンスを提供する。
- 組織が優れた慣行を反映した一貫した方法で BIA を実施するのを支援します。
- BIA プロセスと包括的な BC プログラムとの間の適切な調整を可能にします。
BIA プロセスの結果には、次のようなものがあります。
- 組織の BC プログラム範囲の承認または変更。
- 法律上、規制上、および契約上の要件 (義務) と、それらが事業継続要件に及ぼす影響の特定。
- 経時的な組織への影響の評価。これは、事業継続要件 (時間と能力) の正当化として役立ちます。
- 破壊的なインシデント後の製品/サービス提供要件の特定と確認。これにより、アクティビティとリソースの優先時間枠が設定されます。
- 製品/サービス、プロセス、活動、およびリソース間の関係の識別と確立。
- 優先順位付けされた活動を実行するために必要なリソースの決定 (例: 施設、人、機器、情報、通信、および技術資産、物資、および資金調達);
- 他の活動、サプライ チェーン、パートナー、およびその他の利害関係者への依存関係の理解。
- 情報がどの程度最新である必要があるかの決定。
注この技術仕様の目的のために、サプライ チェーンは商品、作業、およびサービスの供給を生み出します。これらは、このドキュメントの残りの部分で「供給」と呼ばれます。
次の図は、BIA プロセスを、前提条件および戦略の特定との関係とともに示しています。図で参照されている条項は、この技術仕様のサブセクションです。
図 2 —ビジネス インパクト分析プロセス
1 スコープ
この技術仕様は、組織が正式で文書化されたビジネス影響分析 (BIA) プロセスを確立、実装、および維持するためのガイダンスを提供します。この技術仕様は、BIA を実行するための統一プロセスを規定するものではありませんが、組織がそのニーズに適した BIA プロセスを設計するのに役立ちます。
この技術仕様は、種類、規模、および性質に関係なく、民間、公共、または非営利部門のすべての組織に適用されます。ガイダンスは、組織のニーズ、目的、リソース、および制約に適合させることができます。
これは、BIA プロセスの責任者が使用することを目的としています。
2 参考文献
以下の文書の全体または一部は、この文書で規範的に参照されており、その適用に不可欠です。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 22300, 社会保障 - 用語
3 用語と定義
このドキュメントでは、ISO 22300 の用語と定義が適用されます。
注記ISO 22300 に含まれるすべての用語と定義は、ISO オンライン ブラウジング プラットフォーム ( www.iso.org/obp ) で入手できます。
参考文献
| [1] | ISO 22300, 社会保障 - 用語 |
| [2] | ISO 22301:2012, 社会保障 - 事業継続管理システム - 要件 |
| [3] | ISO 22313, 社会保障 - 事業継続マネジメントシステム - ガイダンス |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 292, Security and resilience.
Introduction
This Technical Specification provides detailed guidance for establishing, implementing, and maintaining a business impact analysis (BIA) process consistent with the requirements in ISO 22301. This Technical Specification is applicable to the performance of any BIA process, whether part of a business continuity management system (BCMS) or business continuity programme (BC programme). Hereinafter, BC programme means either BCMS or BC programme.
Figure 1 notes the relationship of the BIA process to the BC programme as a whole. The organization should complete a cycle of the BIA process before business continuity strategies are selected.
Figure 1—Elements of business continuity management
(Source: ISO 22313)
The BIA process analyses the consequences of a disruptive incident on the organization. The outcome is a statement and justification of business continuity requirements.
The BIA process consists of a number of individual BIAs, each focusing of a sub-set of the BC programme scope. The BIA process prioritizes products and services, and continues with prioritizing processes and activities that together cover the entire scope of the BC programme. After a period of time determined by the organization, individual BIAs are repeated to ensure that the BC requirements remain current.
NOTE In this Technical Specification, business continuity requirements has the same meaning as continuity and recovery priorities, objectives, and targets (ISO 22301:2012, 8.2.2).
The purposes of this Technical Specification are the following:
- provide a basis for understanding, developing, implementing, reviewing, maintaining, and continually improving an effective BIA process within an organization;
- provide guidance for planning, conducting, and reporting on a BIA;
- assist the organization with conducting a BIA in a consistent manner that reflects good practices;
- enable proper coordination between the BIA process and the overarching BC programme.
The outcomes of the BIA process include the following:
- endorsement or modification of the organization’s BC programme scope;
- identification of legal, regulatory, and contractual requirements (obligations) and their effect on business continuity requirements;
- evaluation of impacts on the organization over time, which serves as the justification for business continuity requirements (time and capability);
- identification and confirmation of product/service delivery requirements following a disruptive incident, which then sets the prioritized timeframes for activities and resources;
- identification and establishment of the relationships between products/services, processes, activities, and resources;
- determination of the resources needed to perform prioritized activities (e.g. facilities; people; equipment; information, communication and technology assets; supplies; and financing);
- understanding of the dependencies on other activities, supply chains, partners, and other interested parties;
- determination of how up to date the information needs to be.
NOTE For purposes of this Technical Specification, supply chains produce supplies of goods, works, and services, which are referred to as ‘supplies‘ throughout the remainder of this document.
The following diagram displays the BIA process, together with prerequisites and its relationship to strategy identification. The clauses referenced in the diagram are subsections of this Technical Specification.
Figure 2—Business impact analysis process
1 Scope
This Technical Specification provides guidance for an organization to establish, implement, and maintain a formal and documented business impact analysis (BIA) process. This Technical Specification does not prescribe a uniform process for performing a BIA, but will assist an organization to design a BIA process that is appropriate to its needs.
This Technical Specification is applicable to all organizations regardless of type, size, and nature, whether in the private, public, or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources, and constraints of the organization.
It is intended for use by those responsible for the BIA process.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 22300, Societal security — Terminology
3 Terms and definitions
For the purposes of this document, the terms and definitions in ISO 22300 apply.
NOTE All terms and definitions contained in ISO 22300 are available on the ISO Online Browsing Platform: www.iso.org/obp .
Bibliography
| [1] | ISO 22300, Societal security — Terminology |
| [2] | ISO 22301:2012, Societal security — Business continuity management systems — Requirements |
| [3] | ISO 22313, Societal security — Business continuity management systems — Guidance |