この規格ページの目次
3
Q 22301 : 2013 (ISO 22301 : 2012)
0.3 この規格におけるPDCAの構成要素
表1で示すPDCAモデルについては,箇条4から箇条10で次の構成要素を網羅している。
− 箇条4は,計画及び確立(Plan)の構成要素である。ここでは,組織に適用されるBCMSの状況設定
のために必要な要求事項,利害関係者のニーズ,適用法令等の要求事項及び適用範囲を規定する。
− 箇条5は,計画及び確立(Plan)の構成要素である。ここでは,BCMSにおけるトップマネジメント
の役割に固有の要求事項及び事業継続方針を表明し,リーダーシップによって,その期待をどのよう
に組織に明確に伝えるかを規定する。
− 箇条6は,計画及び確立(Plan)の構成要素である。ここでは,BCMS全体の戦略目的及び計画策定
に関係する要求事項を規定する。箇条6の内容は,リスクアセスメントに基づくリスク対応の機会の
設定,及び復旧目標の設定につながる事業影響度分析とは異なる。
注記 事業影響度分析及びリスクアセスメントプロセスについての要求事項は,箇条8で規定する。
− 箇条7は,計画及び確立(Plan)の構成要素である。ここでは,要求される文書類を文書化し,管理
し,維持し,保持しながら,人々の力量,並びに利害関係者との反復的及び必要に応じたコミュニケ
ーションを確立することを通じて,BCMSの運用の支援について規定する。
− 箇条8は,導入及び運用(Do)の構成要素である。ここでは,事業継続に関する要求事項を定め,そ
れらへの対応方法,及び中断・阻害を引き起こすインシデントに対処する手順の策定方法を規定する。
− 箇条9は,監視及びレビュー(Check)の構成要素である。ここでは,事業継続マネジメントのパフ
ォーマンス,BCMSのこの規格への適合,及び経営者の期待を測定するために必要な要求事項を規定
し,期待に関して経営者のフィードバックを求める。
− 箇条10は,維持及び改善(Act)の構成要素である。ここでは,BCMSのこの規格への不適合を特定
し,是正処置によって対応することを規定する。
1 適用範囲
この規格は,事業の中断・阻害を引き起こすインシデントを防止し,その発生の起こりやすさを低減し,
発生に備え,発生した場合には対応し,事業を復旧するための文書化したマネジメントシステムを計画し,
確立し,導入し,運用し,監視し,レビューし,維持し,継続的に改善するために必要な事業継続マネジ
メントに関する要求事項について規定する。
この規格に規定する要求事項は汎用的なものであり,組織の形態及び規模,並びに事業の性質にかかわ
らず,あらゆる組織又はその一部に適用できるように意図されている。これらの要求事項の適用度合いは,
当該組織の事業環境及び複雑度によって異なる。
この規格の意図は,事業継続マネジメントシステム(BCMS)の構造の均一化を示唆することではなく,
組織が,そのニーズにかな(適)い,利害関係者の要求事項を満たすBCMSを設計できるようにすること
である。これらのニーズは,法令,規制,組織及び業界の要求事項,製品・サービス,使用するプロセス,
組織の規模及び構造,並びに組織の利害関係者の要求事項によって形成される。
この規格は,次に示す事項を行おうとする,あらゆる形態及び規模の組織に適用できる。
a) CMSを確立し,実施し,維持し,改善する。
b) 表明した事業継続方針とこの規格との適合を保証する。
c) この規格に適合していることを他者に実証する。
d) 第三者の認証機関にBCMSの認証・登録を求める。
e) この規格に適合していることを自己認証し,宣言する。
――――― [JIS Q 22301 pdf 6] ―――――
4
Q 22301 : 2013 (ISO 22301 : 2012)
この規格は,自らの事業継続のニーズ及び義務を果たす組織の能力を評価するために用いることができ
る。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO 22301:2012,Societal security−Business continuity management systems−Requirements(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。
2 引用規格
次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
規格は,その最新版(追補を含む。)を適用する。
引用規格はない。
3 用語及び定義
この規格で用いる主な用語及び定義は,次による。
3.1
事業活動(activity)
一つ又は複数の製品・サービスを生産する又は提供する組織によって(又はその組織のために)行われ
るプロセス又は一連のプロセス。
例 このようなプロセスは,会計,コールセンター,情報技術(IT),製造,流通などがある。
3.2
監査(audit)
監査基準が満たされている程度を判定するために,監査証拠を収集し,それを客観的に評価するための,
体系的で,独立し,文書化したプロセス。
注記1 監査は内部監査(第一者)又は外部監査(第二者・第三者)のいずれでも,又は複合監査(複
数の分野の組合せ)でもあり得る。
注記2 “監査証拠”及び“監査基準”は,JIS Q 19011に定義されている。
3.3
事業継続(business continuity)
事業の中断・阻害などを引き起こすインシデントの発生後,あらかじめ定められた許容レベルで,製品
又はサービスを提供し続ける組織の能力(JIS Q 22300参照)。
注記 組織の能力だけでなく,組織の行為を示す場合もある。
3.4
事業継続マネジメント(business continuity management)
組織への潜在的な脅威,及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を
特定し,主要な利害関係者の利益,組織の評判,ブランド,及び価値創造の活動を保護する効果的な対応
のための能力を備え,組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロ
セス。
3.5
事業継続マネジメントシステム,BCMS(business continuity management system)
マネジメントシステム全体の中で,事業継続の確立,導入,運用,監視,レビュー,維持及び改善を担
――――― [JIS Q 22301 pdf 7] ―――――
5
Q 22301 : 2013 (ISO 22301 : 2012)
う部分。
注記 マネジメントシステムには,組織の構造,方針,計画作成活動,責任,手順,プロセス及び資
源が含まれる。
3.6
事業継続計画(business continuity plan)
事業の中断・阻害に対応し,事業を復旧し,再開し,あらかじめ定められたレベルに回復するように組
織を導く文書化した手順。
注記 多くの場合,この計画は,重要業務の継続を確実にするために必要な資源,サービス及び活動
を対象とする。
3.7
事業継続プログラム(business continuity programme)
事業継続マネジメントを実施し,維持するための適切な資源が供給され,トップマネジメントによって
支援される,継続的なマネジメント及び統治のプロセス。
3.8
事業影響度分析(business impact analysis)
活動,及びその活動に対して事業の中断・阻害が及ぼし得る影響を分析するプロセス(JIS Q 22300参照)。
3.9
力量(competence)
意図した結果を達成するために,知識及び技能を適用する能力(JIS Q 22300参照)。
3.10
適合(conformity)
要求事項を満たしていること(JIS Q 22300参照)。
3.11
継続的改善(continual improvement)
パフォーマンスを向上するために繰り返し行われる活動(JIS Q 22300参照)。
3.12
修正(correction)
検出された不適合を除去するための処置(JIS Q 22300参照)。
3.13
是正処置(corrective action)
不適合の原因を除去し,再発を防止するための処置(JIS Q 22300参照)。
注記 望ましくない結果の場合,その原因の最小化又は除去,及びその影響の低減又は再発の防止の
ため,処置が必要である。この定義においては,このような処置は“是正処置”の概念には当
てはまらない。
3.14
文書(document)
情報及びそれを保持する媒体。
注記1 媒体としては,紙,磁気,電子式若しくは光学式コンピューターディスク,写真若しくはマ
スターサンプル,又はこれらの組合せがあり得る。
注記2 仕様書,記録などの一連の文書は,“文書類”ということが多い。
――――― [JIS Q 22301 pdf 8] ―――――
6
Q 22301 : 2013 (ISO 22301 : 2012)
3.15
文書化した情報(documented information)
組織が管理し,維持するよう要求されている情報,及びそれが含まれている媒体。
注記1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得る
ことができる。
注記2 文書化した情報には,次に示すものがあり得る。
− 関連するプロセスを含むマネジメントシステム
− 組織の運用のために作成された情報(文書類)
− 達成された結果の証拠(記録)
3.16
有効性(effectiveness)
計画した活動を実行し,計画した結果を達成した程度(JIS Q 22300参照)。
3.17
事象(event)
ある一連の周辺状況の出現又は変化(JIS Q 0073参照)。
注記1 事象は,発生が一度以上であることがあり,幾つかの原因をもつことがある。
注記2 事象は,何かが起こらないことを含むことがある。
注記3 事象は,“インシデント”又は“事故”と呼ばれることがある。
注記4 結果にまで至らない事象は,“ニアミス”,“インシデント”,“ヒヤリハット”又は“間一髪”
と呼ばれることがある。
3.18
演習(exercise)
組織内で,パフォーマンスに関する教育訓練を実施し,評価し,練習し,改善するプロセス(JIS Q 22300
参照)。
注記1 演習は,次の目的に利用できる。
− 方針,計画,手順,教育訓練,装置又は組織間合意の妥当性確認
− 役割及び責任を担う要員の明確化並びにそれらの教育訓練
− 組織間の連携及びコミュニケーションの改善
− 資源の不足部分の特定
− 個人のパフォーマンスの改善及び改善の機会の特定
− 臨機応変な対応を練習するために統制された機会
注記2 試験は,演習の独特かつ特有の形態であり,計画中の演習の到達点又は目的の枠内で,合否
の要素を予想することが含まれている。
3.19
インシデント(incident)
中断・阻害,損失,緊急事態又は危機になり得る又はそれらを引き起こし得る状況(JIS Q 22300参照)。
3.20
インフラストラクチャ(infrastructure)
組織の運営に必要な施設,設備及びサービスの基盤。
――――― [JIS Q 22301 pdf 9] ―――――
7
Q 22301 : 2013 (ISO 22301 : 2012)
3.21
利害関係者(interested party)
ある決定事項又は活動に影響を与え得るか,その影響を受け得るか,又は,その影響を受けると認識し
ている,個人又は組織。
注記 組織のいかなる決定事項又は活動にも関心のある個人又は集団がなり得る。
3.22
内部監査(internal audit)
組織自身又はその代理者によって,マネジメントレビュー及びその他組織内部の目的のために行う監査。
組織の自己適合宣言の根拠となることもある。
注記 多くの場合,特に比較的規模の小さい組織においては,監査の独立性は,その組織自身がその
監査対象の活動に責任を負っていないことで実証できる。
3.23
発動(invocation)
重要な製品又はサービスの提供を継続するために,組織の事業継続の取決めを実施する必要があること
を宣言する行為。
3.24
マネジメントシステム(management system)
方針,目的及びその目的を達成するためのプロセスを確立するための,相互に関連する又は相互に作用
する,組織の一連の要素。
注記1 一つのマネジメントシステムは,単一又は複数の分野を取り扱うことができる。
注記2 システムの要素には,組織の構造,役割及び責任,計画,運用などが含まれる。
注記3 マネジメントシステムの適用範囲としては,組織全体,組織内の固有で特定された機能,組
織内の固有で特定された部門,複数の組織の集まりを横断する一つ又は複数の機能,などが
あり得る。
3.25
最大許容停止,MAO(maximum acceptable outage)
製品・サービスを提供しない,又は事業活動を行わない結果として生じる可能性のある悪影響が,許容
不能な状態になるまでの時間。
注記 最大許容停止時間も参照。
3.26
最大許容停止時間,MTPD(maximum tolerable period of disruption)
製品・サービスを提供しない,又は事業活動を行わない結果として生じる可能性のある悪影響が,許容
不能な状態になるまでの時間。
注記 最大許容停止も参照。
3.27
測定(measurement)
値を決定するプロセス。
3.28
最小事業継続目標,MBCO(minimum business continuity objective)
事業の中断・阻害発生時に事業の目的を達成するために,組織にとって許容できる最低限のサービス及
――――― [JIS Q 22301 pdf 10] ―――――
次のページ PDF 11
JIS Q 22301:2013の引用国際規格 ISO 一覧
- ISO 22301:2012(IDT)
JIS Q 22301:2013の国際規格 ICS 分類一覧
- 03 : サービス.経営組織,管理及び品質.行政.運輸.社会学. > 03.100 : 経営組織及び管理 > 03.100.01 : 経営組織及び管理一般