5.情報システムの事業継続管理(BCP)に関する基本原則

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅱ.情報セキュリティに関する管理部の職務」の

「5.情報システムの事業継続管理(BCP)に関する基本原則」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
スポンサーリンク

Ⅱ.情報セキュリティに関する管理部の職務

5.情報システムの事業継続管理(BCP)に関する基本原則

BCP:Business continuity planning(事業継続計画)

5.1 事業継続管理手続への情報セキュリティの反映

情報セキュリティ管理責任者及び部門セキュリティ責任者は、その責任範囲の組織の事業継続に影響を与える重要な業務プロセス(以下、重要な業務プロセスという)の継続に必要な情報セキュリティの要求事項を取り扱う管理された手続きを策定し、維持する。

事業継続を管理する手続きには次の要素を取り入れること。

  • 重要な業務プロセスをリストアップし、優先順位を付ける。
  • 重要な業務プロセスに関わる情報資産を識別する。
  • 重要な業務プロセスの責任者を明確にする。
  • 情報セキュリティ事故の発生によって生じる重要な業務プロセスの中断が、事業に及ぼす又は及ぼすと思われる影響を分析し、把握する。
  • 重要な業務プロセスに求められる情報セキュリティの要求事項を明確にし、文書化する。
  • 情報セキュリティの要求事項を盛り込んだ事業継続計画を策定し、文書化する。
  • 策定した事業継続計画及び事業継続手順に従って、策定内容を検証し、必要に応じ、更新する。
  • 策定した事業継続計画及び事業継続手順を関係者に周知徹底する。
スポンサーリンク

5.2 事業継続に関するリスクアセスメント

情報セキュリティ管理責任者及び部門セキュリティ責任者は、その責任範囲の業務領域における重要な業務プロセスの中断・停止を引き起こすおそれのある事象の影響及び情報セキュリティに及ぼす結果を特定する。そのために、次の事項を考慮したリスクアセスメントを実施する。

リスクアセスメントには、情報セキュリティの要求事項を含める。
リスク分析を行う。
リスクの特定
リスクの特定に際しては、重大なリスクが漏れないように多角的観点から検討する。
リスクの算定
リスク評価を行う。
リスクアセスメント結果を文書化する。
スポンサーリンク

5.3 情報セキュリティを反映した事業継続計画の策定及び実施

情報セキュリティ管理責任者及び部門セキュリティ責任者は、その責任範囲の業務領域における重要な業務プロセスの中断・不具合発生後も運用を維持又は復旧させるため、及び要求されたレベル・時間内での情報の可用性を確実にするための計画を策定し、実施する。

事業継続計画を策定・実施する際は次の事項を考慮する。

(1)次の内容を盛り込んだ事業継続計画を策定し、文書化する。

  • 責任の明確化
  • 受容可能な情報の損失の特定
  • 受容可能なサービス停止の特定
  • 要求された時間内に業務の運用及び情報の可用性を回復・復旧させるための手順(以下、「回復・復旧手順」という)
  • 回復・復旧に関わる要員の教育
  • 回復・復旧手順の検証及び更新

(2)策定した事業継続計画を関係者に周知徹底する。

スポンサーリンク

5.4 事業継続計画策定の枠組み

情報セキュリティ管理責任者及び部門セキュリティ責任者は、すべての計画の整合を確実にするため、及び検証・保守の優先順位を特定するために、事業継続計画の枠組みを維持する。

事業継続計画策定の枠組みには次の事項を考慮する。

事業継続への取り組み方針
事業継続計画の発動条件
責任者及び責任範囲
事業継続計画の実施項目毎及び実施段階毎に責任者及び責任範囲を定める。必要に応じ、代行者を定める。
緊急時手順
業務の運用を危険にさらす事態が発生した場合に取るべき処置について記載した手順を定める。
代替及び臨時の運用手順
必要に応じ、次に挙げる臨時運用手順を定める。
・主要な事業活動又はその活動を支援するサービスの拠点を一時的な代替場所に移動するため、及び業務プロセスを要求された時間内に回復するために取るべき処置について記載した手順
・損傷を受けたプロセスが回復及び復旧するまでの間、損傷を受けなかったプロセスによる臨時の運用手順
再開手順
正常操業に復帰するために取るべき処置について記載した再開手順を定める。
維持計画手順
事業継続計画をいつ、どのように検証するかを定めた維持計画予定表及びその計画を維持するための手続きを定める。
変更管理手順
新しい要求事項(情報セキュリティに関する要求事項を含む)が明確になった際に、関連する既存の事業継続計画を新しい要求事項に合わせて更新するための手順を定める。
意識向上活動、教育活動、訓練活動
事業継続手続きを理解させ、手続きが継続して有効であることを確実にするための各種活動を定める。
スポンサーリンク

5.5 事業継続計画の検証、維持及び再評価

情報セキュリティ管理責任者及び部門セキュリティ責任者は、事業継続計画が最新で効果的なものであることを確実にするために、次の事項を実施する。

(1)次に挙げる方法を選択及び組み合わせ、事業継続計画を検証する。

机上検証
障害例を用いて様々な状況における机上検証を行う。
模擬検証
特に、事故発生後の管理上の役割について、要員を教育・訓練する。
技術的回復検証
情報システムを有効に復旧するための検証を行う。
代替及び臨時の事業所(拠点・オフィス)における回復検証回復運転と並行して、主事業所(拠点・オフィス)から離れた場所で業務プロセスを実施する検証を行う。
外部の提供者の設備及び供給サービスの検証
外部から提供されるサービス及び製品が契約事項を満たしていることを検証する。
全体的な模擬回復検証
組織、要員、装置、施設及び手続きが障害に対処できることを検証する。

(2)実施した検証の実施内容及び結果を記録する。

(3)実施した検証の結果をレビューし、必要に応じ、事業継続計画を改善・更新する。

まとめ

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅱ.情報セキュリティに関する管理部の職務」の

「5.情報システムの事業継続管理(BCP)に関する基本原則」について、以下の内容を説明しました。

  • 事業継続管理手続への情報セキュリティの反映
  • 事業継続に関するリスクアセスメント
  • 情報セキュリティを反映した事業継続計画の策定及び実施
  • 事業継続計画策定の枠組み
  • 事業継続計画の検証、維持及び再評価
タイトルとURLをコピーしました