事業継続の考え方から認証取得に関するノウハウ、日々のニュースの中の事業継続の話題などを網羅的に収集、提供します。
運営:ニュートン・コンサルティング(株)| IMP: Incident Management Plan |
IMP(インシデントマネジメント計画)とは、組織がインシデントや中断に直面した際の初期・初動対応のアクションプランを示した計画文書です。規格では事業継続・復旧活動に入る前段階におこなうアクションについて記すこととなっていますが、次段階の計画と切り離して制定することが困難な場合もあります。その場合は、BCP(事業継続計画)の一部として制定することも可能です。
IMPでは下記項目を網羅しておくことが望まれます。
①訪問者の安否確認
②従業員とその家族の安否確認
③被害拡大の防止
④被害状況の確認
⑤メディア対応
⑥BCP(事業継続計画)の発動
先日日本初で認証取得、と報道されていた富士通は「プライベート認証」だったため、今後正式認証に移行する予定だとのことです。
------
認定機関や審査機関といった言葉について、よく分からないという方のために、各言葉の意味と上記記事が持つ意義について以下に解説します。
「審査」というものは、誰が誰に対して行おうと自由ですが、たとえば、あなたが突然審査会社を作り、ある企業の審査を行い、合格証を発行したとしても、他の企業の人達がその審査結果について信頼してくれるかどうかについては、大きく疑問の余地が残ります。したがって、あなたがきちんとした審査を行うためには、信頼のおける誰か(第三者)に「あなた(審査機関)は、ちゃんとしているから大丈夫ですよ」という、きちんとした(審査したい規格ごとに)お墨付きをもらう必要があります。
この「信頼のおける誰か」が認定機関であり、1国1組織が原則とされています。たとえば、イギリスではUKAS、日本ではJIPDECやJAB、フランスではCOFRAC、オランダではRVAがこれに該当します。なお、「日本の審査会社だからJIPDECからお墨付きをもらわなければならない」というルールはありません。もちろん日本であれば、JIPDECやJABからの認定を受ける審査機関が一般的ですが、認定機関としての世界的知名度はUKASが群を抜いており、UKASやRVAなどといった複数の認定機関から「お墨付き」をもらっている審査機関も少なくありません。
これに対して「プライベート認証」とは、「ある規格」について、認定機関(JABやJIPDEC、UKASなど)から認定を受けていない審査会社が、自分たち独自の手順で審査を行い、認証を行うことを意味します。
たとえば、Aという企業が、BS25999の認証審査について、BSIジャパンの審査を受け合格したとします。この時点で、BSIジャパン自体が認定機関から「BS25999の審査を適切に実行できる機関として認めます」という認定を受けていなかったとしたら、それが「プライベート認証」と呼ばれるものです。審査結果はあくまでもBSIジャパンという一企業によって認められたもの、という意味しか持ちません。認証の信頼性は、その審査機関の信頼性に比例することになります。逆に、この時点で、BSIジャパンが、既にUKASからお墨付きをもらっていたのであれば、それはBSIジャパンのみならず、広く国家的に信頼されているUKASという組織によって認められた結果であるという意味を持ちます。
なお、審査機関がこうした「お墨付き」をもらう道のりは険しく、長い期間を要するため、見切り発車的に、まずは「プライベート認証」からスタートさせることが多いようです。いずれかの認定機関から認定された後、第三者認証に切り替える手続きをとります。
なお、BS25999については比較的新しい規格であるため、世界ではまだUKASしか認定を行っていません。日本ではJIPDECがイニシアティブをとり認定制度をスタートさせようという動きがありますが、現時点ではまだ開始されていないため、UKASから認定を受けた審査機関のみが正式な審査をスタートすることができることになります。この意味で、BSIジャパンがUKASから認定を受けたということは、現時点で日本においては、BSIジャパンのみが正式な審査登録を行えるようになったことを意味します。
【参考リンク】
BSIジャパン プレスリリース
JIPDEC: Japan Information Processing Development Corporation(財団法人 日本情報処理開発協会)
JAB: Japan Accreditation Board for Conformity Assessment(財団法人 日本適合性認定協会)
UKAS: The United Kingdom Accreditation Service
COFRAC: French Committee of Accreditation
RVA: Raad voor Accreditatie
| MTPD : Maximum Tolerable Period of Disruption |
MTPD(最大許容停止時間)とは、事業が中断した際に、「それ以上中断が続くと事業の復旧を見込めなくなる」という時間を表す指標です。例えば、もし1ヶ月を超えて事業が中断すると、キャッシュフローが悪化し、取引先への不渡りにより倒産にいたってしまうような場合、その事業のMTPDは1ヶ月間ということになります。
| RTO : Recovery Time Objective |
RTO(目標復旧時間)とは、事業が中断した際に、「いつまでに事業を復旧するか」という目標時間を表す指標です。このRTOは、業種やサービスの内容によって、数時間から数週間まで様々な設定が考えられます。
例えば、金融業や電気・ガスなどの公共インフラを提供する企業の場合は、他業種と比べ圧倒的に短いRTOを設定している場合が多く見受けられます。一方、サービス業や製造業では、数日から、場合によっては数週間の単位で復旧を目指す企業もあります。
