HOME » ISO22301取得の流れ

BCMSの認証取得の流れ

以下に、事業継続マネジメントシステム(BCMS)の構築作業から審査受審までの流れを記します。
※詳細は各フェーズをクリックしてください。

  • 現状の把握 BCM戦略の決定
  • BCMの実装(体制決定・経営資源の準備・文書化)
  • エクササイズ、(実演・試験)、レビュー、改善
  • 事業継続マネジメントシステム(BCM)運用管理
  • 受審

1. 現状の把握・BCMS戦略の決定

BCMSでは、組織にとって中断が致命的な事業について検討を行ってゆきます。まず事業内容の洗い出しと、中断がもたらす影響を分析します(BIA: ビジネスインパクト分析)。
その上で重要業務が抱えるリスクを識別、分析、評価します(RA: リスクアセスメント)。リスクは、他の必須プロセスへの影響(社内外の業務含む)や、リソース(ヒト・モノ・カネ)の代替策の状況、復帰までの時間的な猶予、問題発生以前の予防策の効力、法令遵守などの側面も考慮します。

その結果、重要な業務の復旧に関する優先順位や、復旧時間と復旧水準の目標を設定します。次に、設定された優先順位や目標設定を踏まえ、これらを達成するための対策を選択します。

2. BCMSの実装(体制決定・経営資源の準備・文書化)

選択された対策を実現するためのさまざまな取り決めを行う段階です。各対策を実施するための体制作りや、経営資源(ヒト・モノ・カネ)の手当て、さらには計画書・手順書といった形で文書化を行います。

すでに防災対策を含む緊急時対応のルールが整備されている企業も多いことでしょう。既存のルールを活かし、事業継続の考え方で足りない部分を追加してゆくことになります。

3. エクササイズ(演習・試験)、レビュー、改善

事業継続マネジメントシステム(BCMS)においても、PDCAサイクルが基本となるのは他のマネジメントシステムに準じます。

ただし、BCMSに特徴的な点として、策定した計画は日常的に実施されるものではない点があげられるでしょう。策定した事業継続計画が発動するのは、事業中断を伴うトラブルが発生した時だけだからです。しかし、事業継続計画を策定したままでは、緊急事態に際してその計画が本当に有効に働くか判断できません。また、企業を取り巻く状況の変化が計画に盛り込まれない事態も考えられるかもしれません。

したがって、計画(Plan)・実施(Do)・点検(Check)・改善(Act)というPDCAサイクルにおいて、BCMS固有のポイントとしては、策定した事業継続計画の有効性を維持するための「演習・試験」が「実施(Do)」段階の重要な作業にあたることがあげられます。

机上演習や実地訓練を通じ、緊急時の手順を検証し、必要に応じて見直しすることが要求されます。

4. 事業継続マネジメントシステム(BCMS)の運用管理

前述の1から3までの活動を、組織として整合させ、確実に実施してゆくためにも、事業継続マネジメントシステムそのものの運用状況のチェックである「内部監査」や経営者への運用状況の報告と評価・改善指示の機会である「マネジメントレビュー」を実施し、マネジメントシステム自体のPDCAサイクルを1回転させます。

5.受審

他のマネジメントシステムの認証制度と同様、初めての受審時には、2段階に分かれた初回審査を受けることになります。第1段階審査はフレームワークの審査で、事業継続マネジメントシステム(BCMS)の運用を規程した文書類や、事業継続計画策定に際してのビジネスインパクト分析、リスクアセスメントの実施、演習の実施状況や、その他マネジメントシステムの運営状況が確認されます。 そして、第2段階審査において、その可否を決定されます。第2段階審査では、各サイトにおけるBCMSの運用状況の確認が中心となります。

認証取得後も、マネジメントシステムの継続的な改善が求められています。BCMS戦略や演習・訓練を踏まえての個々の計画の見直しなど、毎年実施してゆくことになります。また、認証を維持するためには毎年の継続審査(サーベイランス)、3年毎の更新審査を受審する必要があります。

ISO27001(ISMS)認証取得についてのご相談はこちらへ