• (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 & ISO 22301 知識ベース

    ISO 27001とBS 25999-2の類似点と相違点

    情報セキュリティと事業継続には、一見あまり共通点はありません。唯一似ているのは、どちらもITに関係していることぐらいだと言う人もいるでしょう。

    情報セキュリティ管理を定義しているのは国際規格ISO/IEC 27001であり、事業継続管理を定義しているのは英国工業規格BS 25999-2です。したがって、両者を比較したい場合には、この2つの規格の内容を見るのが賢明です。

    まずISO 27001でもBS 25999-2でも、ITは重要な部分ではありますが、この2つの規格はいかなる意味でも、ITだけの規格ではありません。その重点は、業務プロセスと資産、および、関連するリスクにあります。データを処理する主なツールがITであることは事実ですが、人間の悪意や無意識の行動に最大のリスクがあるという事実に変わりはありません。 したがって、情報セキュリティや事業継続に関するリスクは、情報技術だけでは解決できません。組織の編成・プロセス・責任を定義することの方がはるかに重要です。

    では、情報セキュリティの本質とは何でしょう。 ISO 27001では、それを「情報の機密性、完全性及び可用性を維持すること」と定義しています。 一方BS 25999-2では、事業継続を「あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント及び事業中断(混乱)に対して計画を立案し対応する、組織の戦略的及び戦術的な能力」と定義しています。

    この両者はそれほど似ているようには見えません。 けれども、この両者に共通するものが一つあります。それは可用性です。 情報セキュリティおよび事業継続が重視しているのは、必要とする人が情報を利用できるようにすることです。その点、ISO 27001の附属書Aで提供しているのは、事業継続専用の管理策です。

    またどちらの規格でも、情報に関する潜在的な問題を特定するために、リスクアセスメントを実施することを要求していますし、文書管理、内部監査の実施、マネジメントレビュー、是正措置・予防処置を要求しています。つまり、ISO 27001用の文書があれば、BS 25999-2でも(わずかな修正だけで)同じ手順を利用できるということです。

    では両者の差はどこにあるのでしょう。主な違いは、細かさにあります。 ISO 27001の方がはるかに広い領域を扱っているので、事業継続に関する記述はあまり厳密ではありません。一方BS 25999-2では、事業インパクト分析を実行する方法、事業継続戦略を定義する方法、事業継続計画のあるべき内容などを詳細に記述しています。

    結論としては、事業継続は情報セキュリティの一部として考えられるというのがポイントです。これを応用すると、事業継続をISO 27001の文脈で導入する際には、BS 25999-2をガイドラインとして使うことが最善だということになります。

    また、弊社の無料ウェビナーISO 27001 & ISO 22301: Why is it better to implement them together?もご利用ください。

    Advisera Dejan Kosutic
    著者
    Dejan Kosutic
    Dejan holds a number of certifications, including Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, and Associate Business Continuity Professional. Dejan leads our team in managing several websites that specialize in supporting ISO and IT professionals in their understanding and successful implementation of top international standards. Dejan earned his MBA from Henley Management College, and has extensive experience in investment, insurance, and banking. He is renowned for his expertise in international standards for business continuity and information security – ISO 22301 & ISO 27001 – and for authoring several related web tutorials, documentation toolkits, and books.