この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則に対する ISO の遵守に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html .
このドキュメントは、技術委員会 ISO/TC 292, セキュリティとレジリエンスによって作成されました。
序章
このドキュメントでは、事業継続戦略の決定と選択に関する詳細なガイドラインを提供します。これは、ISO 22301 の要件と一致しています。これは、事業継続管理システム (BCMS) または事業継続プログラムの一部であるかどうかにかかわらず、あらゆる事業継続戦略の決定および選択作業のパフォーマンスに適用されます。これ以降、「事業継続プログラム」という用語は、BCMS または事業継続プログラムのいずれかを意味します。
組織の事業継続戦略の決定と選択には、次の戦略オプションを含める必要があります。
- 優先活動の保護。
- 優先される活動を安定させ、継続し、再開し、回復させる。
- 影響の軽減、対応、および管理 (ISO 22301:2012, 8.3 を参照)
注このドキュメントでは、事業継続戦略オプションは、ソリューションおよび機能と同じ意味を持ちます。
図 1 は、事業継続戦略の決定および選択プロセスと、事業継続プログラム全体との関係を示しています。ビジネス インパクト分析とリスク評価は、さまざまなビジネス継続性戦略の要件を提供します。事業継続戦略の決定と選択は、効果的な事業継続手順の策定の基礎となります。
図 1 —事業継続管理の要素
注出典: ISO 22313:2012, 図
ビジネスへの影響分析により、製品/サービスの提供要件と、アクティビティとリソースの回復のための優先時間枠が特定されます。ビジネス影響分析により、組織は、優先活動を実行するために必要なリソース (施設、人、設備、情報、通信および技術資産、物資、および資金調達など) を決定できます。ビジネス インパクト分析では、アクティビティ間の相互依存性と、サプライ チェーン、パートナー、およびその他の利害関係者への依存性も特定します。
リスク評価では、混乱のリスクを特定、分析、評価し、リスク対応の選択肢を特定します。
ビジネス継続性戦略は、ビジネス影響分析とリスク評価の結果に対処し、組織が回復力を高め、幅広い破壊的なインシデントに対処できるようにする方法を決定します。
このドキュメントの目的は、組織が次のことを行えるようにするためのガイダンスを提供することです。
- 一連の事業継続戦略オプションを特定する。
- ビジネス継続性の要件に基づいて適切な機能を選択します。
- 事業継続戦略の継続的な適合性を確保する。
- 包括的な事業継続プログラム内で、事業継続戦略の決定と選択を効果的に調整します。
事業継続戦略の決定と選択の結果には、次のものが含まれます。
- 破壊的なインシデントの頻度と、これらの破壊的なインシデントに関連する影響を減らすための対策;
- 破壊的なインシデントに対応するために必要な財源の特定。
- 効果的な内部および外部通信機能。
- 施設の喪失またはアクセス不能に対処するための代替ワークスペース機能。
- 人員の不在に対処するための手配。
- 損失が発生した場合に活動を実行するためのリソースを維持、修正、および交換する代替方法。
- データを含む、失われた情報通信技術 (ICT) 資産を回復する機能。
- サプライ チェーンの混乱に直面したときに製品やサービスを提供するための代替手段。
図 2 は、事業継続戦略の決定と選択のプロセスを、前提条件と、事業継続手順の作成との関係とともに示しています。
図 2 —事業継続戦略の決定、選択、および実施アプローチ
1 スコープ
このドキュメントは、事業継続戦略の決定と選択に関するガイダンスを提供します。民間、公共、非営利部門のいずれであっても、種類、規模、性質に関係なく、すべての組織に適用できます。
これは、戦略の決定と選択の責任者または参加者による使用を目的としています。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、テキスト内で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 22300, セキュリティとレジリエンス — 語彙
- ISO Guide 73, リスク管理 — 語彙
3 用語と定義
このドキュメントの目的のために、ISO 22300 および ISO Guide 73 に記載されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
参考文献
| [1] | ISO 22301:2012, 社会保障 - 事業継続管理システム - 要件 |
| [2] | ISO 22313, 社会保障 - 事業継続マネジメントシステム - ガイダンス |
| [3] | ISO/TS 22317, 社会保障 — 事業継続管理システム — ビジネス影響分析 (BIA) のガイドライン |
| [4] | ISO/TS 22318, 社会保障 - 事業継続マネジメントシステム - サプライチェーン継続のためのガイドライン |
| [5] | ISO/TS 22330, 社会保障 - 事業継続管理システム - 事業継続の人的側面 |
| [6] | ISO/IEC 27031, 情報技術 — セキュリティ技術 — 事業継続のための情報通信技術の準備に関するガイドライン |
| [7] | ISO 31000, リスク管理 — ガイドライン |
| [8] | IEC 31010, リスク管理 — リスク評価技術 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Introduction
This document provides detailed guidelines for business continuity strategy determination and selection. It is consistent with the requirements of ISO 22301. It is applicable to the performance of any business continuity strategy determination and selection effort, whether part of a business continuity management system (BCMS) or a business continuity programme. Hereafter, the term “business continuity programme” means either a BCMS or a business continuity programme.
The organization’s business continuity strategy determination and selection should include strategy options for:
- protecting prioritized activities;
- stabilizing, continuing, resuming and recovering prioritized activities;
- mitigating, responding to and managing impacts (see ISO 22301:2012, 8.3).
NOTE In this document, business continuity strategy options has the same meaning as solutions and capabilities.
Figure 1 notes the relationship of the business continuity strategy determination and selection process to the business continuity programme as a whole. The business impact analysis and risk assessment provide the requirements for a range of business continuity strategies. The determination and selection of a business continuity strategy is the basis for the development of effective business continuity procedures.
Figure 1—Elements of business continuity management
NOTE Source: ISO 22313:2012, Figure 5.
Business impact analysis identifies the product/service delivery requirements and the prioritized timeframes for activity and resource recovery. The business impact analysis enables the organization to determine the resources needed to perform priority activities (e.g. facilities, people, equipment, information, communication and technology assets, supplies and financing). The business impact analysis also identifies interdependencies between activities and dependencies on supply chains, partners and other interested parties.
The risk assessment identifies, analyses and evaluates the risk of disruption and identifies risk treatment options.
Business continuity strategy addresses the outcomes of the business impact analysis and risk assessment and determines how the organization can become more resilient and capable of dealing with a wide range of disruptive incidents.
The purpose of this document is to provide guidance that will enable organizations to:
- identify a range of business continuity strategy options;
- select appropriate capabilities based on business continuity requirements;
- ensure the ongoing suitability of business continuity strategies;
- coordinate business continuity strategy determination and selection effectively within the overarching business continuity programme.
Business continuity strategy determination and selection outcomes include:
- measures to attempt to decrease the frequency of disruptive incidents and the impact associated with these disruptive incidents;
- identification of the financial resources needed to respond to a disruptive incident;
- effective internal and external communications capabilities;
- alternate workspace capabilities to address the loss or inaccessibility of premises;
- arrangements to address the unavailability of personnel;
- alternative methods of maintaining, fixing and replacing resources for performing activities in the event of loss;
- capabilities to recover lost information and communications technology (ICT) assets, including data;
- alternate means to deliver products and services when faced with a supply chain disruption.
Figure 2 displays the business continuity strategy determination and selection process, together with prerequisites and its relationship to the creation of business continuity procedures.
Figure 2—Business continuity strategy determination, selection and implementation approach
1 Scope
This document gives guidance for business continuity strategy determination and selection. It is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors.
It is intended for use by those responsible for, or participating in, strategy determination and selection.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 22300, Security and resilience — Vocabulary
- ISO Guide 73, Risk management — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and ISO Guide 73 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
Bibliography
| [1] | ISO 22301:2012, Societal security — Business continuity management systems — Requirements |
| [2] | ISO 22313, Societal security — Business continuity management systems — Guidance |
| [3] | ISO/TS 22317, Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA) |
| [4] | ISO/TS 22318, Societal security — Business continuity management systems — Guidelines for supply chain continuity |
| [5] | ISO/TS 22330, Societal security — Business continuity management systems — People aspects of business continuity |
| [6] | ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity |
| [7] | ISO 31000, Risk management — Guidelines |
| [8] | IEC 31010, Risk management — Risk assessment techniques |