本コラムではドライブで考えるISO27001事業継続計画をお送りいたします。
まずは、ISO27001から軽くおさらいをしていきます。

ISO27001とは?

この規格は、情報セキュリティマネジメントシステム(以下、ISMSという。)を確立し、
実施、維持し、継続的に改善するための要求事項を提供するために作成
された。

ISMSの採用は、組織の戦略的決定である。
組織のISMSの確立及び構造によって影響を受ける。
影響をもたらすこれらの要因すべては、時間とともに変化することが見込まれる。

ISMSは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性を維持し、
かつ、リスクを適切に管理しているという信頼を利害関係者に与える。
ISMSを組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むこと、
並びにプロセス、情報システム及び管理策を設計する上で情報セキュリティを考慮することは、重要である。
ISMSの導入は、その組織のニーズに合わせて規模で行うことが期待される。

この規格は、組織自身の情報セキュリティ要求事項を満たす組織の能力を、
組織の内部で評価するためにも、また外部関係者が評価するためにも用いることができる。

うーん、難しいですね。

すごく簡単にいうと情報セキュリティを守るための規格ですね。
情報には3つの側面があります。

① 機密性
② 完全性
③ 可用性

それぞれの判断基準は会社ごとに違いますが、簡単に言うと、

「機密性」は漏れてはいけないもの。(社内の極秘情報等)
「完全性」は情報が正確でないといけないもの。(給与情報等)
「可用性」は情報をすぐに使える状態にしておくこと。(クラウドや使用しているツール)

これらを守っていくためにルールや必要に応じて文書化して運用をしていくものです。
適用範囲といって限定的に取得も可能です。

さてISMSの説明をしたところで今回は事業継続計画についてお話できればと思います。

事業継続計画とは?

項番A17事業継続における情報セキュリティの側面、A17.1情報セキュリティ継続に記載がされています。
目的としては情報セキュリティを組織の事業継続マネジメントに組み込まなければいけません。
A17の項番は3つに分かれています。

① 計画
② 実施
③ 検証をおこなった評価

実際におこなう際に手順及び管理策を確立したうえで文書化する必要があります。

事業継続が困難な状況下でどんなことをするか。
その手順を記載する必要があります。

会社で事業の継続が難しいと言われてもよくわからないと思います。
そこでドライブで考えてみましょう。

ドライブで考える事業継続

なぜドライブなのか?それは私が大好きだからです。
毎年年間1万キロはドライブをして出かけております。

さてドライブはとても楽しいですよね?
ドライブをしている中で運転の続行(事業継続)が難しくなることはどんなことがあるでしょうか?

例えば、事故原因ともなる居眠り運転。
睡魔に襲われてしまうためウトウトしてしまい思わぬ重大事故に!なんてこともあり得ますね。
他にも霧や吹雪、大雨による視界不良でその先に進めないなどもありますね。
車自体のトラブルもあります。エンジントラブル、タイヤのパンク、バッテリーが上がってしまうなど。

このような事態に陥ってしまったら、、
せっかく考えていたドライブのプランが台無しになります。

このように会社として事業継続が困難になることをまずは洗い出すことが大事です。
会社としての困難な状況は会社の資産(ヒト・モノ・カネ)が脅かされるときです。

例としては、地震が起きた。
サーバは大丈夫か?従業員の安否は?誰が確認するのか、誰に連絡するのか。
それが決まっているのと、決まっていないのとでは被害レベルが変わりますよね?

またサーバが止まってしまい、業務が全くできなくなってしまった。
サーバのリストア手順はあるのか?
できる人がごく一部の人間のみで対応者がいないと業務がその間滞ってしまうのか。

手順、管理策を決めることが大事になります。

そのケースに対して対応できる策と手順を確立して、困難な状況の想定を計画し実際に行うことで、
これはダメだった、こうした方がもっと良くなるといった内容になります。
イメージとしては避難訓練です。

ここで一度ドライブの話に戻ってみましょう。

ドライブで一番怖いのは私にとっては居眠りです。
その日の運転時間が4時間を超えてくると、すごく眠くなります。

眠いとなる前に休憩をすることで眠気を防止することができる(対応策)
1時間運転をしたら先を急がず休憩をする(ルール)
実際にドライブに行った際には1時間に1回休憩をする(計画)
往復500キロのドライブを行い1時間に1回は休憩をした(実施)
眠くはならないが1時間に1回の休憩がネックになり時間が取られてしまった(結果)
1時間半に調整をして次のドライブで実施をしてみる(検証・評価)

このような形でまずは会社を運営していく上で困難な状況は何があるか。
それを洗い出し計画をして実施をしていくと事業継続につながると思います。

まとめ

いかがでしたでしょうか?
ISMSに関係なく事業継続を考えていれば会社としても強い組織になっていくと思います。
みなさんもぜひ、事業継続を考えるときは好きなもので考えてみてはいかがでしょうか?

ISMS総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

Pocket

タグ   :

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03