この規格ページの目次
8
Q 22301 : 2013 (ISO 22301 : 2012)
び/又は製品のレベル。
3.29
監視(monitoring)
システム,プロセス又は活動の状況を明確にすること。
注記 状態を明確にするために,点検,監督又は注意深い観察が必要な場合もある。
3.30
相互支援協定(mutual aid agreement)
互いに助け合うため,二つ以上の主体の間であらかじめ取り交わした協定(JIS Q 22300参照)。
3.31
不適合(nonconformity)
要求事項を満たしていないこと(JIS Q 22300参照)。
3.32
目的(objective)
達成する結果(JIS Q 22300参照)。
注記1 目的は,戦略的,戦術的又は運用的であり得る。
注記2 目的は,様々な領域[例えば,財務,安全衛生,環境の到達点(goal)]に関連し得るもので
あり,様々な階層[例えば,戦略的レベル,組織全体,プロジェクト単位,製品ごと,プロ
セスごと]で適用できる。
注記3 目的は,例えば,意図する成果,目的(purpose),運用基準など,別の形で表現することも
できる。また,社会セキュリティ目的という表現の仕方もある。又は,同じような意味をも
つ別の言葉[例 : 狙い(aim),到達点(goal),目標(target)]で表すこともできる。
注記4 社会セキュリティマネジメントシステムの場合,組織は,特定の結果を達成するため,社会
セキュリティ方針と整合のとれた社会セキュリティ目的を設定する。
3.33
組織(organization)
自らの目的を達成するため,責任,権限及び相互関係を伴う独自の機能をもつ,個人又は人々の集まり。
注記1 組織という概念には,法人か否か,公的か私的かを問わず,自営業者,会社,法人,事業所,
企業,当局,共同経営会社,非営利団体若しくは協会,又はこれらの一部若しくは組合せが
含まれる。ただし,これらに限定されるものではない。
注記2 複数の業務ユニットがある組織は,一つの業務ユニットを一つの組織として定義することが
ある。
3.34
外部委託する(outsource)(動詞)
ある組織の機能又はプロセスの一部を外部の組織が実施するという取決めを行う。
注記 外部委託した機能又はプロセスはマネジメントシステムの適用範囲内にあるが,外部の組織は
マネジメントシステムの適用範囲の外にある。
3.35
パフォーマンス(performance)
測定可能な結果。
注記1 パフォーマンスは,定量的又は定性的な所見のいずれにも関連し得る。
――――― [JIS Q 22301 pdf 11] ―――――
9
Q 22301 : 2013 (ISO 22301 : 2012)
注記2 パフォーマンスは,活動,プロセス,製品(サービスを含む。),システム,又は組織の運営
管理に関係し得る。
3.36
パフォーマンス評価(performance evaluation)
パフォーマンスを判定するプロセス。
3.37
要員(personnel)
組織のために,その管理下で働く人々。
注記 要員の概念には,従業員,パートタイムのスタッフ,及び代理店のスタッフを含むが,これら
だけに限らない。
3.38
方針(policy)
トップマネジメントによって正式に表明された組織の意図及び方向付け。
3.39
手順(procedure)
活動又はプロセスを実行するために規定された方法。
3.40
プロセス(process)
インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動。
3.41
製品及びサービス(products and services)
組織が,その顧客,受領者及び利害関係者に供給する有益な結果(例 製造品,自動車保険,地域看護)。
3.42
優先事業活動(prioritized activities)
インシデントの発生後,影響を軽減するため,優先的に実施しなければならない事業活動(JIS Q 22300
参照)。
注記 同種の事業活動を記述する際に一般的に使われる用語としては,“重要な”,“必須の”,“不可欠
な”,“緊急の”,“主要な”,などがある。
3.43
記録(record)
達成した結果,又は実施した活動の証拠を記述したもの。
3.44
目標復旧時点,RPO(recovery point objective)
再開時に事業活動が実施できるようにするために,事業活動で使用される情報がどの状態まで復旧され
なければならないかを示す時点。
注記 “最大データ損失”ともいう。
3.45
目標復旧時間,RTO(recovery time objective)
インシデントの発生後,次のいずれかの事項までに要する時間。
− 製品又はサービスが再開される,
――――― [JIS Q 22301 pdf 12] ―――――
10
Q 22301 : 2013 (ISO 22301 : 2012)
− 事業活動が再開される,
− 資源が復旧される。
注記 製品,サービス及び事業活動について,目標復旧時間は,製品・サービスを提供しない,又は
事業活動を行わない結果として生じる悪影響が許容できなくなるまでの時間よりも短くなけれ
ばならない。
3.46
要求事項(requirement)
明示されている,通常暗黙のうちに了解されている又は義務として要求されている,ニーズ又は期待。
注記1 “通常暗黙のうちに了解されている”とは,対象となるニーズ又は期待が暗黙のうちに了解
されていることが,組織及び利害関係者にとって,慣習又は慣行であることを意味する。
注記2 規定要求事項とは,例えば,文書化した情報の中で,明示されている要求事項をいう。
3.47
資源(resources)
組織が業務を運営し,目的を達成するために,必要なときに利用可能な状態になければならない全ての
資産,人員,技能,情報,技術(工場及び設備を含む。),土地,供給品及び情報(電子的か否かを問わず。)。
3.48
リスク(risk)
目的に対する不確かさの影響(JIS Q 0073参照)。
注記1 影響とは,期待されていることから,好ましい方向及び/又は好ましくない方向にかい(乖)
離することをいう。
注記2 目的は,例えば,財務,安全衛生,環境に関する到達目標など,異なった側面があり,戦略,
組織全体,プロジェクト,製品,プロセスなど,異なったレベルで設定されることがある。
目的は,例えば,事業継続目的として,意図する結果,目標,運用基準,また,類似の意味
をもつ言葉[例えば,狙い(aim),到達点(goal),目標(target)]などのように,別の方法
で表現されることもある。
注記3 リスクは,起こり得る事象(JIS Q 0073の3.5.1.3)及び結果(JIS Q 0073の3.6.1.3),又はこ
れらの組合せについて述べることによって,その特徴を記述することが多い。
注記4 リスクは,ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさ(JIS Q 0073
の3.6.1.1)との組合せとして表現されることが多い。
注記5 不確かさとは,事象,その結果又はその起こりやすさに関する,情報,理解又は知識が,た
とえ部分的にでも欠落している状態をいう。
注記6 事業継続マネジメントシステム規格においては,事業継続目的は,明示された結果を出すた
めに,事業継続方針に沿って組織で設定される。事業継続目的にリスクという用語及びリス
クマネジメントの構成要素を適用するときは,6.2に規定する事業継続目的を含み,これらだ
けに限らず,組織の目的に関連付けられる。
3.49
リスク選好(risk appetite)
組織に追求する又は保有する意思があるリスクの量及び種類。
3.50
リスクアセスメント(risk assessment)
――――― [JIS Q 22301 pdf 13] ―――――
11
Q 22301 : 2013 (ISO 22301 : 2012)
リスク特定,リスク分析及びリスク評価のプロセス全体(JIS Q 0073参照)。
3.51
リスクマネジメント(risk management)
リスクについて,組織を指揮・統制するための調整された活動(JIS Q 0073参照)。
3.52
試験の実施(testing)
ものの有無,品質又は正確さを見極めるための手順(JIS Q 22300参照)。
注記1 試験の実施は,“試験(trial)”ともいう。
注記2 試験の実施は,支援計画に適用されることが多い。
3.53
トップマネジメント(top management)
最高位で組織を指揮し,管理する個人又は人々の集まり。
注記1 トップマネジメントは,組織内で,権限を委譲し,資源を供給する力をもっている。
注記2 マネジメントシステムの適用範囲が組織の一部だけの場合,トップマネジメントとは,組織
内のその一部を指揮し,管理する人をいう。
3.54
検証(verification)
証拠を提示することによって,規定の要求事項が満たされていることを確認すること。
3.55
作業環境(work environment)
作業が行われる場の一連の諸条件(JIS Q 22300参照)。
注記 条件には,物理的,社会的,心理的及び環境的要因が含まれる。例えば,温度,評価の仕組み,
人間工学的側面,大気成分などがある。
4 組織の状況
4.1 組織及びその状況の理解
組織は,組織の目的に関連し,かつ,そのBCMSの意図した成果を達成する組織の能力に影響を与える,
外部及び内部の課題を決定しなければならない。
組織のBCMSを確立し,実施し,維持するに当たって,これらの課題を考慮しなければならない。
組織は,次の事項を特定し,文書化しなければならない。
a) 組織の事業活動,機能,サービス,製品,取引関係,サプライチェーン,利害関係者との関係,及び
事業の中断・阻害を引き起こすインシデントに関係する潜在的な影響
b) 事業継続方針と,組織の目的及び組織の総合的なリスクマネジメント戦略を含むその他の方針とのつ
ながり
c) 組織のリスク選好
状況を明確にするに当たって,組織は次を実施しなければならない。
1) 事業継続に関係するものを含め,組織の目的を明確に述べる。
2) リスクを生じさせる不確かさを生む内部及び外部の要因を定義する。
3) リスク選好を考慮に入れて,リスク基準を設定する。
4) CMSの目的を定義する。
――――― [JIS Q 22301 pdf 14] ―――――
12
Q 22301 : 2013 (ISO 22301 : 2012)
4.2 利害関係者のニーズ及び期待の理解
4.2.1 一般
BCMSを確立するに当たって,組織は次の事項を決定しなければならない。
− BCMSに関連する利害関係者
− その利害関係者の要求事項(例えば,明示されているか,暗に示されているか,義務か否かに関わら
ない利害関係者のニーズ及び期待)
4.2.2 法令及び規制の要求事項
組織は,その業務,製品及びサービスの継続並びに関係する利害関係者の関心のために,適用される法
令及び規制の要求事項を特定し,入手し,評価するための手順を確立し,実施し,維持しなければならな
い。
組織は,これらの適用される法令及び規制の要求事項,並びに組織が同意するその他の要求事項を,
BCMSの確立,実施及び維持において考慮することを確実にしなければならない。
組織は,この情報を文書化し,常に最新のものにしておかなければならない。法令,規制及びその他の
要求事項の新規追加又は変更は,その影響を受ける従業員及びその他の利害関係者に周知しなければなら
ない。
4.3 BCMSの適用範囲の決定
4.3.1 一般
組織は,BCMSの適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。
この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。
− 4.1に規定する外部及び内部の課題
− 4.2に規定する要求事項
BCMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない。
4.3.2 BCMSの適用範囲の決定方法
組織は,BCMSの適用範囲を決定するために,次に示す事項を実施しなければならない。
a) CMSに含まれる組織の部署を明確にする。
b) 組織の使命及び目標,組織内外の義務(利害関係者に関係するものを含む。),並びに法令及び規制上
の責任を考慮し,BCMSの要求事項を決定する。
c) CMSの適用範囲に入る製品及びサービス,並びにそれらに関連する全ての事業活動を特定する。
d) 顧客,投資家,株主,サプライチェーン,公共及び/又は地域社会の意見,ニーズ,期待,利益(必
要に応じて)など,利害関係者のニーズ及び利益を考慮に入れる。
e) 組織の規模,性質及び複雑度の観点から,それらに適したBCMSの適用範囲を定める。
適用範囲を定めるに当たって,組織は,除外事項を文書化し,説明しなければならない。いかなる除外
事項も,事業影響度分析,又はリスクアセスメント並びに適用される法令及び規制の要求事項によって決
定された,BCMSの要求事項を満たす事業及び業務を継続できる組織の能力及び責任に影響を与えてはな
らない。
4.4 BCMS
組織は,この規格の要求事項に従って,必要なプロセス及びそれらの相互作用を含むBCMSを確立し,
実施し,維持し,かつ,継続的に改善しなければならない。
――――― [JIS Q 22301 pdf 15] ―――――
次のページ PDF 16
JIS Q 22301:2013の引用国際規格 ISO 一覧
- ISO 22301:2012(IDT)
JIS Q 22301:2013の国際規格 ICS 分類一覧
- 03 : サービス.経営組織,管理及び品質.行政.運輸.社会学. > 03.100 : 経営組織及び管理 > 03.100.01 : 経営組織及び管理一般