ISMSにおける事業継続計画とは?策定する方法・ポイントを解説
災害やシステム障害、サイバー攻撃が発生したとき、情報資産を守りながら重要な業務を続けるには、平常時からの備えが重要です。ISMSでは、情報の機密性・完全性・可用性を維持する視点に加え、緊急時の事業継続まで見据えた対応が求められます。事業継続計画を整えておくことで、復旧の優先順位や代替手段を明確にし、混乱時にも判断しやすくなります。
当記事では、ISMSと事業継続計画の関係、作成方法、運用時のポイント、実際の策定事例を解説します。
目次
ISMSとは?ISO/IEC 27001との関係も解説
ISMSとは、企業や組織が持つ顧客情報、契約書、社員情報などの情報資産を守るための仕組みです。情報が外部に漏れないようにする「機密性」、内容が正しく保たれる「完全性」、必要なときに使える「可用性」の3つの観点から、起こり得るリスクを管理します。単にセキュリティ対策を入れて終わりではなく、状況に合わせて継続的に見直す点も特徴です。
ISO/IEC 27001は、ISMSをどのように作り、運用し、改善するかを定めた国際規格です。ISMSは情報を守る仕組み、ISO/IEC 27001はその仕組みを整えるための基準と言えます。
事業継続計画とは?
事業継続計画(BCP、Business Continuity Plan)とは、地震、台風、感染症、サイバー攻撃などで通常どおり業務を続けられなくなった場合に、重要な事業を止めない、または早く再開するための計画です。たとえば、誰が判断するか、どの業務を優先するか、代替手段や連絡方法をどうするかを事前に決めておきます。BCMは、BCPを作って終わりにせず、訓練や見直しを続ける管理の考え方です。
防災対策が人命や建物を守る備えを中心とするのに対し、事業継続計画は商品・サービスの提供、取引先への対応、社内体制の維持など、事業を続けるための備えまで含みます。企業の信頼を守り、被害を最小限に抑える大きな役割もあります。
ISMSにおいて事業継続計画が重要な理由
ISMSの運用では、平常時に情報を守るだけでなく、災害やサイバー攻撃などの緊急時にも情報セキュリティを保ちながら事業を続ける視点が必要です。重要な業務や情報資産の停止による影響を抑えるためにも、事業継続計画が役立ちます。
緊急時にも情報セキュリティを維持する必要があるため
ISMSでは、災害、システム障害、サイバー攻撃などが起きた場合でも、情報の機密性・完全性・可用性をできるだけ維持することが求められます。たとえば、緊急時に顧客情報を不用意に共有しない、復旧作業中にデータを誤って変更しない、必要なシステムを早く使える状態に戻す、といった対応が必要です。混乱した状況では、通常とは異なる連絡手段や代替作業が増え、情報の扱いが不安定になりやすくなります。
平常時のルールや権限管理だけでは、業務が止まった場面への備えとして不十分な場合があります。事業継続計画を用意しておくことで、中断時にも情報セキュリティを保ちながら、優先すべき業務の継続や復旧を進めやすくなります。
重要な業務や情報資産の停止による影響を抑えるため
重要業務や重要な情報資産が停止すると、受注、出荷、顧客対応、社内連絡などに支障が出て、事業全体や取引先との関係に大きな影響が及びます。たとえば、基幹システムや顧客データを利用できなければ、復旧までの判断や対応も遅れやすくなります。障害発生後に対応を考え始めると、連絡の混乱や作業の重複が起こり、停止時間が長引くおそれがあります。
被害を抑えるには、どの業務を先に戻すか、どの情報資産を優先して復旧するか、代替手段をどう確保するかを事前に整理しておく必要があります。ISMSの観点では、情報資産を守るだけでなく、緊急時にも事業を続けられる状態を整える考え方が欠かせません。
ISMS視点で事業継続計画を作成する方法
ISMS視点で事業継続計画を作成する際は、目的と対象業務を明確にし、情報資産へのリスクや復旧優先度を整理します。その上で、緊急時に実行できる具体策を決め、運用しやすい形で文書化することが大切です。
策定の目的と対象業務を明確にする
事業継続計画を作成する際は、まず何を守るための計画なのかを明確にします。人命や顧客対応、契約上の責任、サービス提供の継続など、目的が曖昧なままでは、緊急時に優先すべき判断がぶれやすくなります。ISMSの視点では、どの業務が止まると影響が大きいか、どの情報資産を優先して守るべきかを整理することが欠かせません。
たとえば、顧客情報、受発注データ、基幹システムなどを対象に含めるかを確認します。対象業務や情報資産を絞り込むことで、復旧目標時間や復旧の優先度を決める前提が整い、実効性のある計画につながります。
リスクを洗い出して復旧の優先順位を決める
次に、自然災害、情報漏えい、サイバー攻撃、システム障害など、業務や情報資産に影響するリスクを洗い出します。すべてのリスクに同じ対策を取るのは現実的ではないため、発生する可能性と影響の大きさを見て、復旧の優先順位を決めることが大切です。ISMSの視点では、まず顧客情報、受発注データ、基幹システムなど、重要な情報資産や重要業務から整理します。
どの情報が使えなくなると業務が止まるのか、どの業務を先に戻すべきかを確認しておくことで、限られた人員や時間を必要な対策に集中しやすくなります。復旧順を事前に決めるほど、初動の迷いも減らせます。
実行できる具体策を決めて文書化する
対策は、応急処置、連絡体制、代替手段、バックアップ、復旧手順などを、実際に動けるレベルまで具体化します。たとえば、誰が被害状況を確認するか、どの連絡手段を使うか、システム停止時にどの手順で復旧するかを決めておく必要があります。担当者や判断基準が曖昧だと、緊急時に確認や指示待ちが増え、対応が遅れやすくなります。
机上の計画で終わらせないために、役割分担、連絡先、作業手順、記録方法を文書化し、誰が何をするか分かる状態に整えます。作成後は訓練や見直しを行い、実際の業務に合う内容へ更新していくことも重要です。
ISMS視点で事業継続計画を機能させるポイント
ISMS視点で事業継続計画を機能させるには、策定時から実際に動ける内容にしておくことが欠かせません。守るべき情報資産、優先する業務、連絡体制、復旧手順を明確にし、担当者が迷わず行動できる形に整理します。また、計画は作成して終わりではなく、社内周知や訓練を通じて従業員が内容を理解しておく必要があります。業務の担当者が限られている場合は、手順書の整備や代替担当の設定も有効です。
クラウドサービスやバックアップを活用する場合も、復旧方法や管理責任を確認しておきます。取引先や委託先と関わる業務では、緊急時の連絡方法や代替対応も事前に共有します。訓練結果や業務変更に合わせて見直すことで、緊急時に使える計画に近づきます。
事業継続計画の策定事例
事業継続計画の事例として、まずITベンダーでは、ISO/IEC 27001の取得を契機に社内体制と社員教育を見直しました。毎月の教育訓練や抜き打ちの攻撃メール訓練、情報管理組織の設置を通じて、サイバー攻撃への危機意識を高めています。セキュリティ水準の維持・向上は、新規受注や顧客からの信頼にもつながりました。
別の事例として、廃棄物処理業では、災害時にも生活環境を守るため、優先業務を定めた事業継続計画を整備しました。清掃車の分散、電源や通信回線の確保、データ管理の分散、緊急連絡網の整備を進め、ごみの種類ごとに収集再開の優先順位も決めています。事例から分かるのは、事業継続計画は自社の事業特性に合わせて、教育、代替手段、復旧優先度を具体化することが重要だという点です。
まとめ
ISMSにおける事業継続計画は、災害やサイバー攻撃などの緊急時にも、情報の機密性・完全性・可用性を保ちながら事業を続けるための備えです。策定時は、守るべき情報資産や対象業務を明確にし、リスクの洗い出し、復旧優先度の設定、具体的な対応手順の文書化まで進めます。策定後も、社内教育や訓練、委託先との連絡体制、バックアップの確認を続けることで、実際に使える計画になります。
事例からも、事業継続計画は被害の軽減だけでなく、顧客や取引先からの信頼向上にもつながる取り組みだと分かります。平常時から見直しを重ね、自社の状況に合う内容へ更新しておくことが求められます。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい