この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントの目的のために、ISO 22300, ISO 22301, および以下に記載されている用語と定義が適用されます。
注記ISO 22300 に含まれるすべての用語と定義は、ISO オンライン ブラウジング プラットフォーム ( www.iso.org/obp ) で入手できます。
3.1 ISO 22300 に含まれる用語
3.1.1
事業継続性
破壊的なインシデントの後、許容可能な事前定義されたレベルで製品またはサービスの提供を継続する組織の能力
[出典: ISO 22300:2012, 2.1.10]
3.1.2
ビジネスインパクト分析
活動を分析するプロセスと、ビジネスの混乱が活動に与える可能性のある影響
[出典: ISO 22300:2012, 2.2.6]
3.1.3
イベント
特定の一連の状況の発生または変化
注記 1事象は 1 回以上の発生であり、いくつかの原因が考えられる。
注記2:出来事は、起こっていないことから成り立つことがある。
注記 3:出来事は、「事件」または「事故」と呼ばれることがある。
注記4結果のない事象は、「ニアミス」、「インシデント」、「ニアヒット」または「ヒヤリハット」と呼ばれることもあります。
[出典: ISO 22300:2012, 2.1.8]
3.1.4
エクササイズ
組織内のパフォーマンスをトレーニング、評価、実践、および改善するためのプロセス
注記1:演習は、ポリシー、計画、手順、トレーニング、設備、および組織間の協定の検証、役割と責任における担当者の明確化とトレーニング、組織間の調整とコミュニケーションの改善、リソースのギャップの特定、個人のパフォーマンスの改善、および特定のために使用できます。改善の機会、および即興を練習する管理された機会。
注記2:テストは、計画されている演習の目標または目的の中に合格または不合格の要素の期待を組み込んだ、ユニークで特定の種類の演習です。
[出典: ISO 22300:2012, 2.4.8]
3.1.5
インシデント
混乱、損失、緊急事態または危機である可能性がある、またはそれらにつながる可能性のある状況
[出典: ISO 22300:2012, 2.1.15]
3.1.6
相互扶助協定
相互に支援を提供するために、2 つ以上のエンティティ間で事前に取り決められた理解
[出典: ISO 22300:2012, 2.2.13]
3.1.7
優先活動
影響を軽減するためにインシデント後に優先する必要がある活動
注記 1:このグループ内の活動を表すために一般的に使用される用語には、クリティカル、エッセンシャル、バイタル、緊急、および鍵が含まれます。
[出典: ISO 22300:2012, 2.3.5]
3.1.8
危険
目標に対する不確実性の影響
注記 1効果とは、期待値からの逸脱である: ポジティブおよび/またはネガティブ。
注記 2:目標は、さまざまな側面 (財務、健康と安全、および環境の目標など) を持つことができ、さまざまなレベル (戦略、組織全体、プロジェクト、製品、およびプロセスなど) で適用できます。
注記 3:リスクは、多くの場合、潜在的な事象、結果、またはこれらの組み合わせへの言及によって特徴付けられます。
注記 4:リスクは、多くの場合、事象 (状況の変化を含む) の結果と関連する発生可能性の組み合わせで表現されます。
注記 5不確実性とは,事象,その結果又は可能性に関連する情報,理解又は知識が部分的にでも不足している状態である。
[出典: ISO 22300:2012, 2.1.5]
3.1.9
トップマネジメント
組織を最高レベルで指揮し、管理する人または人々のグループ
注記1:トップマネジメントは、組織内で権限を委譲し、リソースを提供する権限を持っています。
注記2組織は,この目的のために,マネジメントシステムの実施の範囲を参照することによって識別することができる。
[出典: ISO 22300:2012, 2.2.4]
3.2 ISO 22301 に含まれる用語
3.2.1
アクティビティ
1 つまたは複数の製品およびサービスを生産またはサポートする組織 (または組織に代わって) が実施するプロセスまたは一連のプロセス
例:
このようなプロセスには、アカウント、コール センター、IT, 製造、流通が含まれます。
[出典: ISO 22301:2012, 3.1]
3.2.2
事業継続管理
組織に対する潜在的な脅威と、それらの脅威が実現した場合に発生する可能性のある事業運営への影響を特定し、主要な利害関係者の利益を保護する効果的な対応能力を備えた組織の回復力を構築するためのフレームワークを提供する総合的な管理プロセス。評判、ブランド、価値創造活動
[出典: ISO 22301:2012, 3.4]
3.2.3
事業継続マネジメントシステム
BCMS
事業継続性を確立、実施、運用、監視、見直し、維持、改善する全体的な管理システムの一部
注記1:マネジメントシステムには、組織構造、ポリシー、計画活動、責任、手順、プロセス、およびリソースが含まれます。
[出典: ISO 22301:2012, 3.5]
3.2.4
事業継続計画
組織が混乱後に対応、回復、再開、事前定義された運用レベルに復元するためのガイドとなる文書化された手順
注記 1:通常、これは、重要なビジネス機能の継続性を確保するために必要なリソース、サービス、および活動を対象としています。
[出典: ISO 22301:2012, 3.6]
3.2.5
事業継続プログラム
トップマネジメントによってサポートされ、ビジネス継続性管理を実装および維持するための適切なリソースを提供する継続的な管理およびガバナンスプロセス
[出典: ISO 22301:2012, 3.7]
3.2.6
当事者
利害関係者
決定または活動に影響を与える、影響を受ける、または影響を受けると認識できる人または組織
注記 1組織の決定または活動に関心を持つ個人またはグループを指します。
[出典: ISO 22301:2012, 3.21]
3.2.7
最低限の事業継続目標
MBCO
混乱時に組織がビジネス目標を達成するために許容できるサービスおよび/または製品の最小レベル
[出典: ISO 22301:2012, 3.28]
3.2.8
組織
目的を達成するための責任、権限、および関係を伴う独自の機能を持つ人または人々のグループ
注記 1:組織の概念には、個人事業主、会社、法人、会社、企業、当局、パートナーシップ、慈善団体または機関、またはそれらの一部または組み合わせが含まれますが、これらに限定されません。民間。
注記2複数の営業単位を持つ組織の場合、単一の営業単位を組織として定義できます。
[出典: ISO 22301:2012, 3.33]
3.2.9
外部委託
外部組織が組織の機能またはプロセスの一部を実行するように手配する
注記 1:外部組織はマネジメントシステムの範囲外ですが、外部委託された機能またはプロセスは範囲内にあります。
[出典: ISO 22301:2012, 3.34]
3.2.10
製品とサービス
組織が顧客、受領者、および利害関係者に提供する有益な成果。たとえば、製品、自動車保険、地域看護
[出典: ISO 22301:2012, 3.41]
3.2.11
目標復旧時間
RTO
- 製品またはサービスを再開する必要があります。
- 活動を再開する必要がある、または
- リソースを回復する必要があります
注記1:製品、サービス、および活動の場合、回復時間の目標は、製品/サービスを提供しない、または活動を実行しないことの結果として生じる悪影響が許容できなくなるまでにかかる時間よりも短くなければなりません。
[出典: ISO 22301:2012, 3.45]
3.2.12
資力
すべての資産、人員、スキル、情報、技術 (プラントと機器を含む)、施設、供給品、および情報 (電子的かどうかにかかわらず) で、組織が目的を達成するために必要なときに使用できるようにしておく必要があります。
[出典: ISO 22301:2012, 3.47]
3.3 この技術仕様に適用される用語と定義
3.3.1
重要な顧客
事業を失うと組織の存続が脅かされる個人または団体
3.3.2
重要なサプライヤー
重要な製品またはサービスのプロバイダー
注記 1:これには、顧客と同じ組織の一部である「内部サプライヤー」が含まれます。
3.3.3
重要な製品またはサービス
供給者から入手した資源で、入手できない場合、組織の重要な活動を混乱させ、組織の存続を脅かすもの
注記 1:重要な製品またはサービスは、BIA で特定された組織の優先度の高い活動およびプロセスをサポートするために不可欠なリソースです。
3.3.4
混乱
予期されたもの(例:労働ストライキまたはハリケーン)または予期されなかったもの(例:停電または地震)にかかわらず、組織の目的に従って、製品またはサービスの予想される配送から計画外の負の偏差を引き起こすイベント。
3.3.5
サプライチェーン
最終消費者の手に渡った製品やサービスの形で価値を生み出すプロセスや活動に、上流と下流のつながりを通じて関与する組織のネットワーク。
3.3.6
サプライチェーン継続管理
SCCM
サプライチェーンへの事業継続管理の適用
注記 1: BCM は、組織のサプライ チェーンのすべての階層に適用する必要があります。
注記 2:実際には、組織は通常、SCCM をサプライヤの第 1 層にのみ適用し、重要なサプライヤに影響を与えて、SCCM をサプライヤに適用します。
3.3.7
ティア 1 サプライヤー
通常、契約上の取り決めを通じて、製品またはサービスを組織に直接供給する
3.3.8
ティア 2 サプライヤー
製品またはサービスを組織に間接的に、または Tier 1 サプライヤーを通じて提供する
参考文献
| [1] | ISO 28000, サプライ チェーンのセキュリティ管理システムの仕様 |
| [2] | ISO 28002, サプライ チェーンのセキュリティ管理システム — サプライ チェーンにおける回復力の開発 — 使用のためのガイダンスを含む要件 |
| [3] | ISO 22313:2012, 社会保障 - 事業継続管理システム - ガイダンス |
| [4] | ISO 31000, リスク管理 — 原則とガイドライン |
| [5] | BS PAS 7000:2014, サプライ チェーンのリスク管理 — サプライヤーの事前資格認定 |
| [6] | BS 65000:2014, 組織のレジリエンスに関するガイダンス |
| [7] | BS 13500:2013, 組織の効果的なガバナンスを実現するための行動規範 |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300, ISO 22301, and the following apply.
NOTE All terms and definitions contained in ISO 22300 are available on the ISO Online Browsing Platform: www.iso.org/obp .
3.1 Terms included in ISO 22300
3.1.1
business continuity
capability of the organization to continue delivery of products or services at acceptable predefined levels following disruptive incident
[SOURCE: ISO 22300:2012, 2.1.10]
3.1.2
business impact analysis
process of analysing activities and the effect that the business disruption might have upon them
[SOURCE: ISO 22300:2012, 2.2.6]
3.1.3
event
occurrence or change of a particular set of circumstances
Note 1 to entry: An event can be one or more occurrences and can have several causes.
Note 2 to entry: An event can consist of something not happening.
Note 3 to entry: An event can sometimes be referred to as an “incident” or “accident”.
Note 4 to entry: An event without consequences can also be referred to as a “near miss”, “incident”, “near hit” or “close call”.
[SOURCE: ISO 22300:2012, 2.1.8]
3.1.4
exercise
process to train for, assess, practice, and improve performance in an organization
Note 1 to entry: Exercises can be used for validating policies, plans, procedures, training, equipment, and interorganizational agreements, clarifying and training personnel in roles and responsibilities, improving interorganizational coordination and communications, identifying gaps in resources, improving individual performance and identifying opportunities for improvement, and a controlled opportunity to practice improvisation.
Note 2 to entry: A test is a unique and particular type of exercise, which incorporates an expectation of a pass or fail element within the goal or objectives of the exercise being planned.
[SOURCE: ISO 22300:2012, 2.4.8]
3.1.5
incident
situation that might be, or could lead to, a disruption, loss, emergency or crisis
[SOURCE: ISO 22300:2012, 2.1.15]
3.1.6
mutual aid agreement
pre-arranged understanding between two or more entities to render assistance to each other
[SOURCE: ISO 22300:2012, 2.2.13]
3.1.7
prioritized activities
activities to which priority must be given following an incident in order to mitigate impacts
Note 1 to entry: Terms in common used to describe activities within this group include critical, essential, vital, urgent and key.
[SOURCE: ISO 22300:2012, 2.3.5]
3.1.8
risk
effect of uncertainty on objectives
Note 1 to entry: An effect is a deviation from the expected: positive and/or negative.
Note 2 to entry: Objectives can have different aspects (such as financial, health and safety, and environmental goals) and can apply at different levels (such as strategic, organization-wide, project, product and process).
Note 3 to entry: Risk is often characterized by reference to potential events, and consequences, or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes in circumstances) and the associated likelihood of occurrence.
Note 5 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood.
[SOURCE: ISO 22300:2012, 2.1.5]
3.1.9
top management
person or group of people that directs and controls an organization at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the organization.
Note 2 to entry: An organization can, for this purpose, be identified by reference to the scope of the implementation of a management system.
[SOURCE: ISO 22300:2012, 2.2.4]
3.2 Terms included in ISO 22301
3.2.1
activity
process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products and services
EXAMPLE:
Such processes include accounts, call centre, IT, manufacture, distribution.
[SOURCE: ISO 22301:2012, 3.1]
3.2.2
business continuity management
holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities
[SOURCE: ISO 22301:2012, 3.4]
3.2.3
business continuity management system
BCMS
part of the overall management system that establishes, implements, operates, monitors, reviews, maintains and improves business continuity
Note 1 to entry: The management system includes organizational structure, policies, planning activities, responsibilities, procedures, processes and resources.
[SOURCE: ISO 22301:2012, 3.5]
3.2.4
business continuity plan
documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined level of operation following disruption
Note 1 to entry: Typically, this covers resources, services and activities required to ensure the continuity of critical business functions.
[SOURCE: ISO 22301:2012, 3.6]
3.2.5
business continuity programme
ongoing management and governance process supported by top management and appropriately resourced to implement and maintain business continuity management
[SOURCE: ISO 22301:2012, 3.7]
3.2.6
interested party
stakeholder
person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity
Note 1 to entry: This can be an individual or group that has an interest in any decision or activity of an organization.
[SOURCE: ISO 22301:2012, 3.21]
3.2.7
minimum business continuity objective
MBCO
minimum level of services and/or products that is acceptable to the organization to achieve its business objectives during a disruption
[SOURCE: ISO 22301:2012, 3.28]
3.2.8
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to achieve its objectives
Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm, enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public or private.
Note 2 to entry: For organizations with more than one operating unit, a single operating unit can be defined as an organization.
[SOURCE: ISO 22301:2012, 3.33]
3.2.9
outsource
make an arrangement where an external organization performs part of an organization’s function or process
Note 1 to entry: An external organization is outside the scope of the management system, although the outsourced function or process is within the scope.
[SOURCE: ISO 22301:2012, 3.34]
3.2.10
products and services
beneficial outcomes provided by an organization to its customers, recipients and interested parties, e.g. manufactured items, car insurance and community nursing
[SOURCE: ISO 22301:2012, 3.41]
3.2.11
recovery time objective
RTO
- product or service must be resumed,
- activity must be resumed, or
- resources must be recovered
Note 1 to entry: For products, services and activities, the recovery time objective must be less than the time it would take for the adverse impacts that would arise as a result of not providing a product/service or performing an activity to become unacceptable.
[SOURCE: ISO 22301:2012, 3.45]
3.2.12
resources
all assets, people, skills, information, technology (including plant and equipment), premises, and supplies and information (whether electronic or not) that an organization has to have available to use, when needed, in order to operate and meet its objective
[SOURCE: ISO 22301:2012, 3.47]
3.3 Terms and definitions applicable to this Technical Specification
3.3.1
critical customer
individual or entity, the loss of whose business would threaten the survival of the organization
3.3.2
critical supplier
provider of critical products or services
Note 1 to entry: This includes an “internal supplier”, who is part of the same organization as its customer.
3.3.3
critical products or services
resources obtained from a supplier which, if unavailable, would disrupt the organization’s critical activities and threaten the survival of the organization
Note 1 to entry: Critical products or services are essential resources to support an organization’s high priority activities and processes identified in its BIA.
3.3.4
disruption
event, whether anticipated (e.g. a labour strike or hurricane) or unanticipated (e.g. a blackout or earthquake), which causes an unplanned, negative deviation from the expected delivery of products or services according to the organization’s objectives
3.3.5
supply chain
network of organizations that are involved, through upstream and downstream linkages, in the processes and activities that produce value in the form of products and services in the hands of the ultimate consumer
3.3.6
supply chain continuity management
SCCM
application of business continuity management to a supply chain
Note 1 to entry: BCM should be applied to all the tiers of an organization’s supply chain.
Note 2 to entry: In practice, an organization usually would only apply it to the first tier of their suppliers and influence critical suppliers to apply SCCM to their suppliers.
3.3.7
Tier 1 supplier
directly supplies products or services to the organization usually through a contractual arrangement
3.3.8
Tier 2 supplier
provides products or services to an organization indirectly and through a Tier 1 supplier
Bibliography
| [1] | ISO 28000, Specification for security management systems for the supply chain |
| [2] | ISO 28002, Security management systems for the supply chain — Development of resilience in the supply chain — Requirements with guidance for use |
| [3] | ISO 22313:2012, Societal security — Business continuity management systems — Guidance |
| [4] | ISO 31000, Risk management — Principles and guidelines |
| [5] | BS PAS 7000:2014, Supply chain risk management — Supplier prequalification |
| [6] | BS 65000:2014, Guidance on organizational resilience |
| [7] | BS 13500:2013, Code of practice for delivering effective governance of organizations |