ISO22301(BCMS)認証取得コンサルティング
ISO22301認証取得コンサルティング
ISO22301(事業継続マネジメントシステム JIS Q 22301)とは、企業に降りかかる震災や火災、ITシステム障害、取引先の倒産など、さまざまな災害や事件、事故などに備え、実際に遭遇したときには迅速に事業活動を復旧・継続するための規格です。
当社のISO22301認証取得コンサルティングでは、ISO22301認証の取得を通じて、貴社の事業継続マネジメントシステム(BCMS)の構築・運用をご支援いたします。
ISO22301(JISQ22301)とは
BCMSを第三者認証として運用するための国際規格が、ISO22301(JIS Q 22301)です。
コンサルティングをご依頼いただいた場合には、ISO22301の規格を詳細にご説明いたします。
| 項番 | タイトル | 概要 | 審査対象 |
|---|---|---|---|
| 序文 | – | 基本となる概念の説明 | |
| 1 | 適用範囲 | 規格の立ち位置、対象についての説明 | |
| 2 | 引用規格 | 引用規格の説明 | |
| 3 | 用語及び定義 | 用語の説明 | |
| 4 | 組織の状況 | 組織が抱える課題や利害関係者の要求特定、適用範囲の決定 | 〇 |
| 5 | リーダーシップ | トップマネジメントの責任 | 〇 |
| 6 | 計画 | リスク・機会の特定、評価とその対応、目標設定 | 〇 |
| 7 | 支援 | ヒト、モノ、情報といった資源の管理、社内外のコミュニケーション、文書管理 | 〇 |
| 8 | 運用 | 事業影響度分析、リスク分析の実施、BCPの策定 等 | 〇 |
| 9 | パフォーマンス評価 | パフォーマンスの分析・評価、内部監査、活動の振返り | 〇 |
| 10 | 改善 | 不適合の是正と改善の継続 | 〇 |
BCPとBCMS
BCP = Business Continuity Plan (事業継続計画)
BCMS = Business Continuity Management System (事業継続マネジメントシステム)
日本においては、東日本大震災を機にBCP(事業継続計画)の重要性がクローズアップされ、大手企業を中心として急速に取り組みが進みました。さらに、現在では中小企業にも取り組みが拡がっており、業界によっては、取引条件としてBCPの構築、厳しい場合はBCMSまで要求されます。
BCPとは
厳密に言えば、BCPには以下の3つの計画が含まれています。
BCMSとは
次の図のようなPDCAサイクルを回し続けることで、策定したBCPを継続的に改善し続けるシステムがBCMSです。PDCAサイクルによる継続的な改善には、ノウハウが必要です。初めてお取組みの場合には、コンサルタントが丁寧にご説明いたします。
BCP策定やBCMS構築・運用に取り組んだ組織例
次のような組織で、BCP策定やBCMS構築・運用に取り組まれることが多いです。
- ◎顧客の依存度が高い企業、代替がきかない企業
- ◎東日本大震災のような災害で大きなダメージを負った業界
- ◎社会的責任が大きい企業・組織
- ◎海外企業と取引をする企業
- ◎競合他社と差別化したい企業
BIAとは
BIA = Business Impact Analysis (事業影響度分析)
BIAとは、特定の業務プロセスが停止したり中断した場合に、事業全体が受ける業務上・財務上の影響の度合いを分析・評価することです。
| 主な項目 | 例 |
|---|---|
| 業務プロセス | 企業調査 | ○○製造 |
| 影響 | ○日、○週間中断することによる顧客に対しての影響 |
| 復旧までの許容時間 | ○時間 | ○日 | ○週間 |
| 目標復旧時間 | ○時間 | ○日 | ○週間 |
| 目標復旧レベル | ○% | ○が稼働するまで |
| 復旧優先順位 | 高・中・低 | 1・2・3 |
| 復旧に必要な経営資源 | 人 | 設備 | 外部サービス |
ISO22301のリスクアセスメントとは
ISO22301では、以下のようなリスクアセスメントが要求されます。
1. どの経営資源(オフィス、工場等の建屋、サーバ等の情報設備、従業員等)に対し
2. どのような脅威(地震、津波といった天災、パンデミック、大規模情報漏洩等)が
3. どのような影響(オフィスの崩壊、データの破壊等)を引き起こし
4. どの程度の脆弱性(オフィスビルの耐震強度、バックアップの保管状況)があるか
| 主な項目 | 例 |
|---|---|
| 業務プロセス | ○○製造 | ○○輸送 | ○○販売 |
| 経営資源 | ○○製造工場 | 輸送用○tトラック | 顧客データベース | 委託業者○○ |
| 脅威 | 地震 | 火災 | 停電 | パンデミック | 大量退職 |
| 影響 | 機器損傷 | データ破壊 | 業務委託先、サプライヤーの事業停止 |
| 脆弱性 |
弱耐強度が低い | バックアップデータが集中している サプライヤーの代替が無い |
事業停止に繋がる事象と影響
| 事業停止につながる事象例 | 影響 | 影響の例 |
|---|---|---|
|
直接的影響 |
|
| 間接的影響 |
|
|
ISO22301認証取得までの主な行程
はじめてISO22301認証を取得する場合の工程と、 ISO22301認証取得に要するおおよその時間は、次の図のようになります。
適用範囲の決定
適用範囲とは、BCMSを運用する範囲のことであり、「認証範囲=審査対象範囲」とお考えください。
-
1. 状況理解
①内部外部の課題特定
②利害関係者と利害関係者からの要求や期待の特定
-
2. 対象業務の決定
-
3. 対象組織の決定
-
4. 対象サイト
(場所)の決定
-
適用 企業信用調査 除外 ISO認証取得支援 -
適用 部門A 除外 部門B -
適用 本社 除外 大阪支社
※特定された課題や、利害関係者のニーズと整合しない適用範囲の設定は、不適合となります。
また、BCMSは代替事業所の検討などの要素が入り込むことが多く、③④は広くなる傾向にあります。
BCPの策定手順例
BCPの演習と改善
ISO22301の規格要求では、BCPをより実践的に改善する仕組みが求められます。
【参考】 文書(規定や記録)化対応
規格では、一部文書化を要求していますが、全てのルールを文書化する必要はありません。極論すれば、大半のルールが明文化されていなくとも、全ての要員が正しく行動できるのであれば、ルールの明文化は不要です。通常はこれが難しいため、明文化することになります。
【参考】文書(例)
| 規程・手順類 | 記録類 |
| 適用範囲定義書 | 社外文書管理台帳 |
|---|---|
| (事業継続)方針 | 法規制一覧 |
| 事業影響度分析ルール | 議事録 |
| リスク分析ルール | 力量評価記録 |
| リスク対応ルール | 教育訓練計画・報告書 |
| 職務分掌・権限ルール | 内部監査計画・報告書 |
| 文書管理ルール | 是正処置記録 |
| 目標管理ルール | 事業影響度分析シート |
| 教育・訓練実施ルール | リスク分析シート |
| コミュケーションルール | リスク対応計画 |
| BCP策定、演習ルール | 目標設定シート |
| BCP本体 | インシデント報告書 等 |
| 内部監査ルール | |
| インシデント報告ルール | |
| 是正処置ルール | |
| その他、就業規則 等 |
ISO22301の審査
審査の流れ
ISO22301の審査は、2段階に分かれていて、2段階両方の審査を通過すると認証が付与されます。
第1段階審査では、形式審査としてBCMSのフレームワークができているかどうかの確認(主に文書の審査)や、トップインタビューが行われます。トップインタビューは、第2段階で実施の場合も有ります。 第2段階審査では、第1段階審査保留事項の確認や一般従業者インタビュー、目視確認のサイトツアーが行われます。
審査機関
審査機関による主な違い
審査機関は、現在のところ外資系、内資系合わせて5機関あります。審査機関による主な違いは、次の通りです。
| 審査料金 | 審査機関によって料金が異なります。 |
|---|---|
| 対応可能規格 | ISO22301の審査は可能だが、22000はできないといった例があります。 |
| 審査のスタンス | 審査機関によって指摘の傾向が異なります。 |
審査が不適合になる主なパターン
審査はテストではなく、「カンニング」などという概念もありません。
審査のポイントは、
1. 構築されたBCMSが規格要求に適合しているかどうか
2. 構築されたBCMSが運用されているかどうか
なので、事故が起きたから即不適合というわけでもありません。
審査が不適合になる主なパターンをまとめました。
| 規格要求を理解していない | 何がどこに記載されているか、誰に聞けばよいのかも分からないようなケースや、BIA、RA等のロジックを理解できていないケースがあります。 |
|---|---|
| BCMSを運用できていない | 例えば、全員がBCMSを全く順守できていないような、ルールが極端に順守されていないケースです。 |
|
規格で要求されている文書が 存在しない |
例えば、方針がない、適用範囲を定義した文章がないなどです。 |
推進体制の例
審査サイクル
ISO22301の再認証審査(更新審査)は3年毎にあります。再認証審査(更新審査)が無い年には、継続審査(定期審査)があります。
審査と審査の間の活動
ISO22301を取得したら、再認証審査(更新審査)が3年毎にありますが、各審査の間に、「運用計画の策定」「運用計画に則した活動」などが必要です。また、事業内容や組織体制などに変更があったときにも、それらの変化に応じた対応が必要になります。
※ 運用負荷を下げるためのヒントは規格にあります。
規格要求の解釈が進めば進むほど、「やらなくてもよいこと」「どの程度実施すれば適合するのか」が見えてきて運用負荷の低減につながります。
認証取得までの主な費用
ISO22301を取得するためには、審査費用がかかります。また、事業継続性を高めるための投資や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかることがあります。
| 1 | 審査費用 | 必須 |
| 2 | 事業継続性を高めるための投資 | 状況と目的による |
| 3 |
外部からの支援費用 (コンサルティング費用) |
費用1-審査費用
必須となるのが審査費用です。審査費用は一律ではなく、審査機関によって異なります。また、対象となる事業活動や対象人数などによって異なってきます。
審査費用を決める主な要素
1. 適用範囲
①対象となる事業活動
②対象人数
③対象サイト数(拠点数)
2. 他のISO認証取得状況(同時審査等が可能かどうか)
3. 審査機関の選択(審査機関は任意で選択可能です)
審査費用の種類
| 種別 | 時期 | 審査規模・費用 |
| 初回審査費用 | 新規取得時 | 大 |
|---|---|---|
| 継続審査(サーベイランス・定期審査)費用 | 再認証と再認証の間 | 小 |
| 再認証審査(更新審査)費用 | 3年毎 | 中 |
費用2-事業継続性を上げるための投資
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。
費用3-外部からの支援費用(コンサルティング費用)
ISO22301認証取得コンサルティングの費用は、主に次のような要素によって決まります。
金額を決める主な要素
| 1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマがあるのか |
| 2 | 期間 | 極端に短期間(1年未満)、極端に長期間(1年半以上) |
| 3 |
対象組織規模 事業内容 |
調査や分析にどの程度の時間を要するか 監査にどの程度の時間を要するか |
| 4 |
他認証の有無 既存文書内容・量 設備環境 |
システムの理解、文書の読込にどの程度の時間を要するか 既にどの程度要求事項に適合しているか |
| 5 | 支援範囲 | どの工程を支援するか |
| 6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか 等 |
帝国データバンクネットコミュニケーションなら
帝国データバンクネットコミュニケーションの認証取得コンサルティングは、
次の3つの強みを主としてお客様の事業発展に貢献します。
信頼とノウハウ
2000年創業以来、大小1,000件以上の実績を積み重ね、当社のコンサルティングを多くのお客様にご満足をいただいております。これからも、信頼とノウハウを積み重ねてまいります。
ワンストップ
ISO27001とプライバシーマークを中心に、各種認証取得コンサルティングが可能。
専門性の高いコンサルタントが、ISO27001の認証取得に限らず、他の認証取得もワンストップにてコンサルティングが可能です。
発展性
認証取得のみならず、様々な事業発展コンサルティングが可能。ISO22301などの認証取得のほかにも、インターネットを活用したご提案を通じて事業発展に貢献しています。
ISO22301認証取得はこのような企業におすすめ
- ◎以前の震災時に、事業の復旧に時間がかかり過ぎた
- ◎いつあるか分からない震災に備えた業務体制を構築したい
- ◎自社で震災復旧時の業務体制を作ったが、これで正しいかどうかが心配
- ◎予期せぬトラブルに強い業務体制を構築したい
- ◎役員や社員の危機管理に対する意識を高めたい
- ◎震災時の業務体制を構築したいが、何から始めたら良いかわからない
このようなことでお困りなら ー ISO22301 認証取得を目指し・・・・・・・・・・・・・・・・・・・・・
1震災に強い社内体制づくり
2役員や社員の危機管理への意識向上
3認証取得を通じて会社の信頼性アップ
帝国データバンクネットコミュニケーションはこのようなお客さまにお役に立ちます
次のようなお客様に、帝国データバンクネットコミュニケーションの
コンサルティングがお役に立ちます。
- ISO22301の認証取得で社員の労力を極力減らしたい。
- とにかく早くISO22301を取得したい。
- ISO22301を取得した後も、維持や更新も対応してもらいたい。
- 事業継続コンサルティングを行い、災害に強い業務体制を整えつつ、
併せてISO22301も認証取得したい。 - 事業継続の担当者を育成し、社員全員の意識を高めたい。
お客様のご要望や規模に応じてプランをカスタマイズ
お客様のご要望や事業規模などで、認証取得を目指す速度や事業継続マネジメントシステムの内容が異なってまいります。
5つの基本プランをカスタマイズして、お客様に最適なコンサルティングプランをご提案致します。
-
なるべく苦労なく取得
ISO22301認証取得には苦労が伴うものです。ご担当者様には必要最低限のことを行って頂き、それ以外のことはコンサルタントが代行します。お忙しい方におすすめのプランです。
-
なるべく早く取得
認証取得が案件受注の条件であるなど、認証取得を急ぎたい方のプランです。コンサルタントと協力をして、迅速な認証取得を目指します。
-
認証を維持/更新
認証を取得した後も、認証を維持・更新する必要があります。更新時期が迫って慌てる前に、コンサルタントが更新のアドバイスをします。
-
業務改善の相談
自社の規模やリスクに応じた情報資産の管理体制強化が主で、併せてISO22301を認証取得したいというお客様のための、業務改善コンサルティングサービスです。
-
スマート化/実効性強化
構築した事業継続マネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、復旧手順や基準の見直しを行い、お客様にとって最適なシステムを再構築します。
コンサルティング開始から認証取得までの流れ(例)
コンサルティングを開始してからISO22301を取得するまでの流れは、「構築」「運用」「審査」の3つの期間に分かれます。ここで、BCMSとは、「Business Continuity Management System」の略で、事業継続マネジメントシステムです。またBIAとは、「Business Impact Analysis」の略で、事業影響度分析です。そして、BCPとは、「Business Continuity Plan」の略で、事業継続のための計画です。
構築期間では、現状調査をしながら方針を策定し、文書の作成や影響度の分析を行います。BCPの設計・策定が行われたら、運用期間に入ります。
運用期間に入ると、教育の実施や計画の修正・改善、内部監査、マネジメントレビューを実施します。
審査では、何段階かの審査が行われて、合格しますと認証が取得できます。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00
コンサルティング開始までの流れ
1 お問い合わせ
ISO22301認証取得コンサルティングをご検討の方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。
2 概算見積りご案内
必要に応じて概算見積りをお作り致します。
3 訪問してのご説明
お客様のところに訪問し、コンサルティングの手法や流れについての概要を説明させて頂きます。
お客様の状況や、コンサルティングのプラン、本見積りの作成のために必要なことをヒアリングさせて頂きます。
4 本見積りご案内
ヒアリングの内容より、お客様に最適なコンサルティングプランのご提案と本見積リを作成致します。
後日、再度のご訪問にて、お客様独自のプランをご説明致します。
5 お申込み
コンサルティングのプランやお見積りの内容にご納得頂けましたらお申込みください。
6 ご契約
ご契約時には、契約書類や秘密保持契約の取り交わしを行います。
7 開始前打ち合わせ
ISO22301認証取得コンサルティング開始前に、コンサルティングの流れや日程調整、従業員の方々への説明などの事前打ち合わせをさせて頂きます。
8 コンサルティング開始
お客様の業務内容にパンデミック対策を取り入れ、ISO22301認証取得に向けてコンサルティングを開始します。
よくあるご質問
Q. 事業継続マネジメントシステム(BCMS)とは何ですか?
企業や自治体などの組織には、震災や火災、ITシステム障害、取引先の倒産など、さまざまな災害や事件、事故が降りかかることがあります。事業継続マネジメントシステム(BCMS)とは、そのような災害や事件、事故などに備え、実際に遭遇したときには迅速に事業活動を復旧・継続するためのマネジメントシステムです。
Q. BCPとは何ですか?
BCPとは「Business Continuity Plan」の略で、日本語では事業継続計画です。広義では、緊急時の対応計画(IMP)、事業再開のための計画(狭義のBCP)、事業復旧のための計画(BRP)の3つを合わせた計画です。
Q. コンサルティングをお願いしてから、ISO22301の認証が得られるまで、どれぐらいの日数がかかりますか?
策定したBCP(Business Continuity Planning:事業継続計画)の演習が必要であるため、規模にもよりますが1年間程度かかります。
Q. ISO22301を取得するまでに、どれぐらいの費用がかかりますか?
ISO22301を取得するための費用は、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類です。それぞれ、内容によって異なりますので、ご相談ください。
Q. ISO22301を取得したらどのようなメリットがありますか?
災害時の事業継続性が上がります。日本国内で認証を取得している企業は、まだ僅かですので、客観的な信頼度が増します。
Q. ISO22301はどのような企業が取得すべきでしょうか?
どのような企業にも有効ではありますが、公共性の高い事業や代替の効かないサプライヤーと取引をなさっている企業は特にご検討いただく価値は高いと思われます。
Q. BCPの策定と何が違うのですか?
BCP(Business Continuity Planning:事業継続計画)を策定し、それを運用・改善するためのマネジメントシステムがBCMS(Business Continuity Management System:事業継続のための管理の仕組み)であり、そのBCMSを構築・運用するための要求事項がISO22301です。
Q. ISO22301を取得するためには、何をしたらいいのですか?
BCMSを構築し運用します。一定期間運用したら、審査を受けることができます。
審査に合格すれば、ISO22301の登録証が発行されます。
Q. BCPを策定するための手順を教えてください。
一般的な手順としては、各事業の重要度を評価し、事業継続マネジメントシステムを構築すべき事業活動を特定します。その上で、事業継続マネジメントシステムの対象となる事業活動をすべて詳らかにします。「詳らか」とは、各事業においてどのような資源をどのくらい利用しているのかを明らかにすることです。その資源を利用できなくなるリスクを特定し、リスクシナリオを策定し、そのリスクシナリオに対応する計画を立てます。
ご挨拶
ISO22301は、地震・火災・インフルエンザのようなパンデミック・システム障害など様々な事業継続を阻害するリスクの予防、リスクが顕在化した際の影響の低減を目的とした規格です。
海外では以前から重要な経営課題として認識されていましたが、日本では東日本大震災を機に注目され始めました。ISO22301認証取得に取り組むことにより、危機管理能力の高い企業となり、顧客からの信頼性が高まります。地震大国や火山大国などと言われる日本では、今後さらにISO22301を取得することの重要性が増してくると思います。
忘れたころにやってくるパンデミックですが、それに備えることも企業の責務ではないかとお考えの社長様も多いと思います。帝国データバンクネットコミュニケーションでは、ISO22301認証取得支援を通じて、日本全国のお客様と社会の繋がりに貢献いたします。
BCMSの構築やISO22301認証取得のことなら、当社までお気軽にご相談ください。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00