ナレッジ

BS 25777

ICT継続のためのベストプラクティス

ICT の中断は企業経営における重大なリスクであり、中断が発生した場合の影響は事業運営の混乱のみに留まらずブランドイメージの毀損にも繋がる。ここでは、ICT 継続のマネジメントシステムを構築、運用、改善するためのベストプラクティスとしてBS25777を解説する。

BS 25777とは

"BS 25777 (Information and communications technologies continuity management - Code of practice ICT 継続マネジメント - 実践規範)は、BSI(英国規格協会)が2008年12月に発行したICT(情報通信技術)継続性マネジメントシステム構築のためのガイドとなる英国の規格である。

 「Code of practice」(実践規範)とあるとおり、ICT継続のためのベストプラクティスの実施要項を提供するものである。

 多くの企業で製品やサービスの提供がICT に大きく依存する現在、ICT の中断は企業経営における重大なリスクであり、中断が発生した場合の影響は事業運営の混乱のみに留まらずブランドイメージの毀損にも繋がる。そのため、ICT サービスのリスクを把握し対策を講じ、予期せぬ事業の中断が発生しても一定のサービス提供能力を保持できるようにすることが必要なのだ。企業はBS 25777を活用することにより、ICT 継続のマネジメントシステムを構築、運用、改善することができるようになる。

BS 25777とBS 25999

BS 25777と同じく英国の規格であるBS 25999は、ICT に特化しない企業の事業全体を対象とした事業継続のマネジメントシステム規格として2006年11月にPart1が出版されているが、その中にICT に関する具体的な記述はほとんど見当たらない。しかし、この事実は事業継続におけるICT 継続の重要性が低いことを表しているわけではない。なぜなら、BS 25999が出版される直前の2006年8月にBS25777の前身であるPAS 77 IT Service Continuity Management が出版されているからである。つまり、事業継続のマネジメントシステムに占めるICT 継続のマネジメントシステムの重要性が、別の規格を作成する必要性を生み出したと言えるだろう。事業継続のためには事業を支えるICT の継続が欠かせないのと同じく、BS25999はBS 25777によって充足されると考えることができる。 

BS 25777の構成

BS 25777は、以下の内容から構成されている(カッコ内は筆者の試訳)。

1.Scope(適用範囲)

2.Terms and definitions(用語及び定義)

3.ICT continuity programme management(ICT継続プログラムマネジメント)

4.Understanding the ICT continuity requirements for business continuity(事業継続のためのICT 継続要件の理解)

5.Determining ICT continuity strategies(ICT継続戦略の決定)

6.Developing and implementing ICT strategies(ICT戦略の開発及び導入)

7.Exercising and testing(演習・テスト)

8.Maintenance, review and improvement(維持、レビュー及び改善)

Annexes(付属書) Annex A(Informative)ICT continuity management milestones( 付属書A( 参考)ICT 継続マネジメントのマイルストーン)

 

ICT 継続マネジメントを実践していくための具体的な内容は第3章から第8章に記載されている。

BS 25777の特徴と適用

特徴

BS 25777は、ICT 継続のためのガイドラインとして以下の特徴を持っている。ICT に特化した内容であるマネジメントシステムであり、PDCA サイクルを取り入れているBS 25999(Part1)と整合がとられており、BS25999とあわせて活用できるICT の中断を防ぐだけでなく、ICT の中断が発生した場合の影響を最小限にすること及び、中断から速やかに復旧することを目的としたこれらの特徴を理解した上で、企業は自らの事業の継続に向けて、BS 25777を活用していくことが可能となる。

 

適用

前述したとおり、BS 25777はベストプラクティスの実施要項であり、汎用的な規格であるため、あらゆる規模と形態の組織に適用可能である。
規格の章立てがPDCA サイクルを意識したものになっているので、その適用にあたっては規格に記されている項目を一つずつ実施していくことになる。具体的には図表2に示すプロセスとなり、サイクルを繰り返すことにより継続的な改善を実現していく。

BS 25777の認証取得

実践規範(Part1)だけでなく要求事項(Part2)も規定されているBS 25999とは異なり、BS 25777には要求事項はない。しかし、BSI の日本法人であるBSI グループジャパン株式会社ではBS 25777を元に要求事項を示したBS25777-2J を定め、独自に第三者認証サービスを提供している。
BS 25777は、現在ISO でISO はEC 27031として国際標準化が進んでいるので、今後ますますの活用が見込まれる。

お役に立ちましたか?