事業継続計画とは

組織を運営する上で、困難な状況に陥っても継続できるための備えを計画し、検証することを意味します。BCPと称されることも多いです。

ISO27001(ISMS)と事業継続計画

ISO27001(ISMS)では付属書Aの中で情報セキュリティ継続の計画と訓練実施、検証とレビュー及び評価を要求しています。
事業継続計画は言い換えると緊急事態への対策です。
緊急事態として、災害はもちろん、感染症流行、重大な事件や事故、不正アクセスなどによる大規模な情報漏洩、システム障害、あるいは組織によって従業員の入院なども該当します。
緊急事態によって取引や売上が大幅に減少、インフラ故障などによる業務停止、従業員の健康不安や退職、社会的な信頼の低下などにつながり、事業縮小や事業撤退、場合によっては倒産になる可能性も出てきます。
重要なのは緊急事態が起こっても通常業務に戻せるための仕組みと訓練をしておくことです。

事業継続計画の策定

事業継続計画は、どれだけ早く作業やサービスを復旧できるかを想定して訓練し、問題があれば対策しておくことが重要です。
実際に事業継続計画を策定するにあたっては、いつ・誰が・何を・どうするのかを時系列にしておくとわかりやすいでしょう。

まとめ

どれだけ緊急時の想定をしていても100％その通りにできるとは限りません。
できるだけ多くの人ができるだけ早く適切な判断を下せるようにするためにも、定期的に事業継続計画を実施し、訓練しておくことが重要です。