BCPの文書もISMS関連文書として紐づけしておいた方が良いのでしょうか。
BCP(事業継続計画)とISMSとの関係について、「事業継続のためのICTの備え」が追加されたと聞いたのですが、BCPの文書もISMS関連文書として紐づけしておいた方が良いのでしょうか。
「事業継続のためのICTの備え」に関してですが、ISO/IEC27001:2013にある、以下の3つの管理策が、2023年版では「5.29 事業の中断・阻害時の情報セキュリティ」として1つになりました。
- A.17.1.1 情報セキュリティ継続の計画
- A.17.1.2 情報セキュリティ継続の実施
- A.17.1.3 情報セキュリティ継続の検証,レビュー及び評価
※ JIS Q 27001:2023(IS0/IEC27001:2022) より
ご質問の「5.30 事業継続のためのICTの備え」は、この5.29とペアになっているような管理策となります。
事業の中断・阻害時における、組織の情報及びその他の関連資産の可用性を確実にするための管理策となっており、事業継続計画と連動させたICT-BCP計画の策定や事業継続計画と一体化させた対応も考えられます。
どのように対応するかは、組織の事情によるかと思います。
以上、ご参考ください。
