情報セキュリティと事業継続には、一見あまり共通点はありません。唯一似ているのは、どちらもITに関係していることぐらいだと言う人もいるでしょう。
情報セキュリティ管理を定義しているのは国際規格ISO/IEC 27001であり、事業継続管理を定義しているのは英国工業規格BS 25999-2です。したがって、両者を比較したい場合には、この2つの規格の内容を見るのが賢明です。
まずISO 27001でもBS 25999-2でも、ITは重要な部分ではありますが、この2つの規格はいかなる意味でも、ITだけの規格ではありません。その重点は、業務プロセスと資産、および、関連するリスクにあります。データを処理する主なツールがITであることは事実ですが、人間の悪意や無意識の行動に最大のリスクがあるという事実に変わりはありません。 したがって、情報セキュリティや事業継続に関するリスクは、情報技術だけでは解決できません。組織の編成・プロセス・責任を定義することの方がはるかに重要です。
では、情報セキュリティの本質とは何でしょう。 ISO 27001では、それを「情報の機密性、完全性及び可用性を維持すること」と定義しています。 一方BS 25999-2では、事業継続を「あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント及び事業中断(混乱)に対して計画を立案し対応する、組織の戦略的及び戦術的な能力」と定義しています。
この両者はそれほど似ているようには見えません。 けれども、この両者に共通するものが一つあります。それは可用性です。 情報セキュリティおよび事業継続が重視しているのは、必要とする人が情報を利用できるようにすることです。その点、ISO 27001の附属書Aで提供しているのは、事業継続専用の管理策です。
またどちらの規格でも、情報に関する潜在的な問題を特定するために、リスクアセスメントを実施することを要求していますし、文書管理、内部監査の実施、マネジメントレビュー、是正措置・予防処置を要求しています。つまり、ISO 27001用の文書があれば、BS 25999-2でも(わずかな修正だけで)同じ手順を利用できるということです。
では両者の差はどこにあるのでしょう。主な違いは、細かさにあります。 ISO 27001の方がはるかに広い領域を扱っているので、事業継続に関する記述はあまり厳密ではありません。一方BS 25999-2では、事業インパクト分析を実行する方法、事業継続戦略を定義する方法、事業継続計画のあるべき内容などを詳細に記述しています。
結論としては、事業継続は情報セキュリティの一部として考えられるというのがポイントです。これを応用すると、事業継続をISO 27001の文脈で導入する際には、BS 25999-2をガイドラインとして使うことが最善だということになります。
—
また、弊社の無料ウェビナーISO 27001 & ISO 22301: Why is it better to implement them together?もご利用ください。