信頼とノウハウのISO認証取得コンサルティング
ISO22301(事業継続マネジメントシステム、JIS Q 22301)とは、企業に降りかかる震災や火災、ITシステム障害、取引先の倒産など、さまざまな災害や事件、事故などに備え、実際に遭遇したときには迅速に事業活動を復旧・継続するための規格です。当社のISO22301認証取得コンサルティングでは、ISO22301認証の取得を通じて、貴社の事業継続マネジメントシステム(BCMS)の構築・運用をご支援いたします。
BCMSを第三者認証として運用するための国際規格が、ISO22301(JIS Q 22301)です。コンサルティングをご依頼いただいた場合には、ISO22301の規格を詳細にご説明いたします。
| 項番 | タイトル | 概要 | 審査対象 |
|---|---|---|---|
| 序文 | – | 基本となる概念の説明 | |
| 1 | 適用範囲 | 規格の立ち位置、対象についての説明 | |
| 2 | 引用規格 | 引用規格の説明 | |
| 3 | 用語及び定義 | 用語の説明 | |
| 4 | 組織の状況 | 組織が抱える課題や利害関係者の要求特定、適用範囲の決定 | 〇 |
| 5 | リーダーシップ | トップマネジメントの責任 | 〇 |
| 6 | 計画 | リスク・機会の特定、評価とその対応、目標設定 | 〇 |
| 7 | 支援 | ヒト、モノ、情報といった資源の管理、社内外のコミュニケーション、文書管理 | 〇 |
| 8 | 運用 | 事業影響度分析、リスク分析の実施、BCPの策定等 | 〇 |
| 9 | パフォーマンス評価 | パフォーマンスの分析・評価、内部監査、活動の振返り | 〇 |
| 10 | 改善 | 不適合の是正と改善の継続 | 〇 |
BCP = Business Continuity Plan
(事業継続計画)
BCMS = Business Continuity Management System
(事業継続マネジメントシステム)
日本においては、東日本大震災を機にBCP(事業継続計画)の重要性がクローズアップされ、大手企業を中心として急速に取り組みが進みました。さらに、現在では中小企業にも取り組みが拡がっており、業界によっては、取引条件としてBCPの構築、厳しい場合はBCMSまで要求されます。
厳密に言えば、BCPには以下の3つの計画が含まれています。
次の図のようなPDCAサイクルを回し続けることで、策定したBCPを継続的に改善し続けるシステムがBCMSです。PDCAサイクルによる継続的な改善には、ノウハウが必要です。初めてお取組みの場合には、コンサルタントが丁寧にご説明いたします。
次のような組織で、BCP策定やBCMS構築・運用に取り組まれることが多いです。
BIA = Business Impact Analysis
(事業影響度分析)
BIAとは、特定の業務プロセスが停止したり中断した場合に、事業全体が受ける業務上・財務上の影響の度合いを分析・評価することです。
| 主な項目 | 例 |
|---|---|
| 業務プロセス |
|
| 影響 |
|
| 復旧までの許容時間 |
|
| 目標復旧時間 |
|
| 目標復旧レベル |
|
| 復旧優先順位 |
|
| 復旧に必要な経営資源 |
|
ISO22301では、以下のようなリスクアセスメントが要求されます。
| 主な項目 | 例 |
|---|---|
| 業務プロセス |
|
| 経営資源 |
|
| 脅威 |
|
| 影響 |
|
| 脆弱性 |
|
| 事業停止につながる事象例 | 影響 | 影響の例 |
|---|---|---|
etc. |
直接的影響 |
etc. |
| 間接的影響 |
etc. |
はじめてISO22301認証を取得する場合の工程と、 ISO22301認証取得に要するおおよその時間は、次の図のようになります。
適用範囲とは、BCMSを運用する範囲のことであり、「認証範囲=審査対象範囲」とお考えください。
※特定された課題や、利害関係者のニーズと整合しない適用範囲の設定は、不適合となります。また、BCMSは代替事業所の検討などの要素が入り込むことが多く、③④は広くなる傾向にあります。
ISO22301の規格要求では、BCPをより実践的に改善する仕組みが求められます。
規格では、一部文書化を要求していますが、全てのルールを文書化する必要はありません。極論すれば、大半のルールが明文化されていなくとも、全ての要員が正しく行動できるのであれば、ルールの明文化は不要です。通常はこれが難しいため、明文化することになります。
| 規程・手順類 | 記録類 |
|---|---|
| 適用範囲定義書 | 社外文書管理台帳 |
| (事業継続)方針 | 法規制一覧 |
| 事業影響度分析ルール | 議事録 |
| リスク分析ルール | 力量評価記録 |
| リスク対応ルール | 教育訓練計画・報告書 |
| 職務分掌・権限ルール | 内部監査計画・報告書 |
| 文書管理ルール | 是正処置記録 |
| 目標管理ルール | 事業影響度分析シート |
| 教育・訓練実施ルール | リスク分析シート |
| コミュケーションルール | リスク対応計画 |
| BCP策定、演習ルール | 目標設定シート |
| BCP本体 | インシデント報告書 etc. |
| 内部監査ルール | |
| インシデント報告ルール | |
| 是正処置ルール | |
| その他、就業規則 etc. |
ISO22301の審査は、2段階に分かれていて、2段階両方の審査を通過すると認証が付与されます。
第1段階審査では、形式審査としてBCMSのフレームワークができているかどうかの確認(主に文書の審査)や、トップインタビューが行われます。トップインタビューは、第2段階で実施の場合も有ります。
第2段階審査では、第1段階審査保留事項の確認や一般従業者インタビュー、目視確認のサイトツアーが行われます。
審査機関は、現在のところ外資系、内資系合わせて5機関あります。審査機関による主な違いは、次の通りです。
| 審査料金 | 審査機関によって料金が異なります。 |
|---|---|
| 対応可能規格 | ISO22301の審査は可能だが、22000はできないといった例があります。 |
| 審査のスタンス | 審査機関によって指摘の傾向が異なります。 |
審査はテストではなく、「カンニング」などという概念もありません。審査のポイントは、
なので、事故が起きたから即不適合というわけでもありません。審査が不適合になる主なパターンをまとめました。
| 規格要求を理解していない | 何がどこに記載されているか、誰に聞けばよいのかも分からないようなケースや、BIA、RA等のロジックを理解できていないケースがあります。 |
|---|---|
| BCMSを運用できていない | 例えば、全員がBCMSを全く順守できていないような、ルールが極端に順守されていないケースです。 |
| 規格で要求されている文書が存在しない | 例えば、方針がない、適用範囲を定義した文章がないなどです。 |
ISO22301の再認証審査(更新審査)は3年毎にあります。再認証審査(更新審査)が無い年には、継続審査(定期審査)があります。
ISO22301を取得したら、再認証審査(更新審査)が3年毎にありますが、各審査の間に、「運用計画の策定」「運用計画に則した活動」などが必要です。また、事業内容や組織体制などに変更があったときにも、それらの変化に応じた対応が必要になります。
※ 運用負荷を下げるためのヒントは規格にあります。規格要求の解釈が進めば進むほど、「やらなくてもよいこと」「どの程度実施すれば適合するのか」が見えてきて運用負荷の低減につながります。
ISO22301を取得するためには、審査費用がかかります。また、事業継続性を高めるための投資や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかることがあります。
| 1 | 審査費用 | 必須 |
| 2 | 事業継続性を高めるための投資 | 状況と目的による |
| 3 | 外部からの支援費用 (コンサルティング費用) |
必須となるのが審査費用です。審査費用は一律ではなく、審査機関によって異なります。また、対象となる事業活動や対象人数などによって異なってきます。
| 種別 | 時期 | 審査規模・費用 |
|---|---|---|
| 初回審査費用 | 新規取得時 | 大 |
| 継続審査(サーベイランス・定期審査)費用 | 再認証と再認証の間 | 小 |
| 再認証審査(更新審査)費用 | 3年毎 | 中 |
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。
ISO22301認証取得コンサルティングの費用は、主に次のような要素によって決まります。
| 1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマがあるのか |
| 2 | 期間 | 極端に短期間(1年未満)、極端に長期間(1年半以上) |
| 3 | 対象組織規模 事業内容 | 調査や分析にどの程度の時間を要するか 監査にどの程度の時間を要するか |
| 4 | 他認証の有無 既存文書内容・量 設備環境 | システムの理解、文書の読込にどの程度の時間を要するか 既にどの程度要求事項に適合しているか |
| 5 | 支援範囲 | どの工程を支援するか |
| 6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか等 |
帝国データバンクネットコミュニケーションの認証取得コンサルティングは、次の3つの強みを主としてお客様の事業発展に貢献します。
2000年創業以来、大小1,000件以上の実績を積み重ね、当社のコンサルティングを多くのお客様にご満足をいただいております。これからも、信頼とノウハウを積み重ねてまいります。
ISO27001とプライバシーマークを中心に、各種認証取得コンサルティングが可能。専門性の高いコンサルタントが、ISO22301の認証取得に限らず、他の認証取得もワンストップにてコンサルティングが可能です。
認証取得のみならず、様々な事業発展コンサルティングが可能。ISO22301などの認証取得のほかにも、インターネットを活用したご提案を通じて事業発展に貢献しています。
次のようなお客様に、帝国データバンクネットコミュニケーションのコンサルティングがお役に立ちます。
お客様のご要望や事業規模などで、認証取得を目指す速度や事業継続マネジメントシステムの内容が異なってまいります。
5つの基本プランをカスタマイズして、お客様に最適なコンサルティングプランをご提案致します。
ISO22301認証取得には苦労が伴うものです。ご担当者様には必要最低限のことを行って頂き、それ以外のことはコンサルタントが代行します。お忙しい方におすすめのプランです。
認証取得が案件受注の条件であるなど、認証取得を急ぎたい方のプランです。コンサルタントと協力をして、迅速な認証取得を目指します。
認証を取得した後も、認証を維持・更新する必要があります。更新時期が迫って慌てる前に、コンサルタントが更新のアドバイスをします。
自社の規模やリスクに応じた情報資産の管理体制強化が主で、併せてISO22301を認証取得したいというお客様のための、業務改善コンサルティングサービスです。
構築した事業継続マネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、復旧手順や基準の見直しを行い、お客様にとって最適なシステムを再構築します。
コンサルティングを開始してからISO22301を取得するまでの流れは、「構築」「運用」「審査」の3つの期間に分かれます。ここで、BCMSとは、「Business Continuity Management System」の略で、事業継続マネジメントシステムです。またBIAとは、「Business Impact Analysis」の略で、事業影響度分析です。そして、BCPとは、「Business Continuity Plan」の略で、事業継続のための計画です。
構築期間では、現状調査をしながら方針を策定し、文書の作成や影響度の分析を行います。BCPの設計・策定が行われたら、運用期間に入ります。
運用期間に入ると、教育の実施や計画の修正・改善、内部監査、マネジメントレビューを実施します。審査では、何段階かの審査が行われて、合格しますと認証が取得できます。
必要に応じて概算見積をお作り致します。
お客様のところに訪問し、コンサルティングの手法や流れについての概要を説明させて頂きます。お客様の状況や、コンサルティングのプラン、本見積の作成のために必要なことをヒアリングさせて頂きます。
ヒアリングの内容より、お客様に最適なコンサルティングプランのご提案と本見積を作成致します。後日、再度のご訪問にて、お客様独自のプランをご説明致します。
コンサルティングのプランやお見積りの内容にご納得頂けましたらお申込みください。
ご契約時には、契約書類や秘密保持契約の取り交わしを行います。
ISO22301認証取得コンサルティング開始前に、コンサルティングの流れや日程調整、従業員の方々への説明などの事前打ち合わせをさせて頂きます。
お客様の業務内容にパンデミック対策を取り入れ、ISO22301認証取得に向けてコンサルティングを開始します。
企業や自治体などの組織には、震災や火災、ITシステム障害、取引先の倒産など、さまざまな災害や事件、事故が降りかかることがあります。事業継続マネジメントシステム(BCMS)とは、そのような災害や事件、事故などに備え、実際に遭遇したときには迅速に事業活動を復旧・継続するためのマネジメントシステムです。
BCPとは「Business Continuity Plan」の略で、日本語では事業継続計画です。広義では、緊急時の対応計画(IMP)、事業再開のための計画(狭義のBCP)、事業復旧のための計画(BRP)の3つを合わせた計画です。
策定したBCP(Business Continuity Planning:事業継続計画)の演習が必要であるため、規模にもよりますが1年間程度かかります。
ISO22301を取得するための費用は、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類です。それぞれ、内容によって異なりますので、ご相談ください。
災害時の事業継続性が上がります。日本国内で認証を取得している企業は、まだ僅かですので、客観的な信頼度が増します。
どのような企業にも有効ではありますが、公共性の高い事業や代替の効かないサプライヤーと取引をなさっている企業は特にご検討いただく価値は高いと思われます。
BCP(Business Continuity Planning:事業継続計画)を策定し、それを運用・改善するためのマネジメントシステムがBCMS(Business Continuity Management System:事業継続のための管理の仕組み)であり、そのBCMSを構築・運用するための要求事項がISO22301です。
BCMSを構築し運用します。一定期間運用したら、審査を受けることができます。審査に合格すれば、ISO22301の登録証が発行されます。
一般的な手順としては、各事業の重要度を評価し、事業継続マネジメントシステムを構築すべき事業活動を特定します。その上で、事業継続マネジメントシステムの対象となる事業活動をすべて詳らかにします。「詳らか」とは、各事業においてどのような資源をどのくらい利用しているのかを明らかにすることです。その資源を利用できなくなるリスクを特定し、リスクシナリオを策定し、そのリスクシナリオに対応する計画を立てます。
ISO22301は、地震・火災・インフルエンザのようなパンデミック・システム障害など様々な事業継続を阻害するリスクの予防、リスクが顕在化した際の影響の低減を目的とした規格です。
海外では以前から重要な経営課題として認識されていましたが、日本では東日本大震災を機に注目され始めました。ISO22301認証取得に取り組むことにより、危機管理能力の高い企業となり、顧客からの信頼性が高まります。地震大国や火山大国などと言われる日本では、今後さらにISO22301を取得することの重要性が増してくると思います。
忘れたころにやってくるパンデミックですが、それに備えることも企業の責務ではないかとお考えの社長様も多いと思います。帝国データバンクネットコミュニケーションでは、ISO22301認証取得支援を通じて、日本全国のお客様と社会の繋がりに貢献いたします。
BCMSの構築やISO22301認証取得のことなら、当社までお気軽にご相談ください。
ISO22301認証取得コンサルティングをご検討の方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。