海外では昨年に事業継続マネジメントシステムの認証制度が開始され、日本でもようやくスタートした。ただ、日本では一部の審査機関が、大手コンピューターベンダーの保守部門に対して、独自に認証を発行しているオレオレ認証(認定機関に基づかない認証をいう)を出しており、先走った事例もある。
また、既に内閣府、経済産業省、中小企業庁から「事業継続計画」に関する文書が次々公開されているが、事業継続マネジメントとの違いは大きい。そして、今後の企業に大きな影響を与えていくだろう。そこで企業が取り組める事業継続マネジメントシステムを作る方法を通して、情報セキュリティにどのように軽減し、影響を与えていくのか連載する形式となるが、解説していきたい。
事業継続計画と事業継続マネジメントシステムの違い
まず、用語が長いので、可読性を考慮し、事業継続計画は、BCPと略し、事業継続マネジメントシステムはBCMSと略して説明する。この違いは、BCPは選択された災害・事故などのインシデントへの計画書であり、BCMSはBCPが想定しないインシデントを含めて考慮された組織の一連の行動を含む態勢全般である。よって、BCMSは、BCPをカバーしている。
