BCPの文書もISMS関連文書として紐づけしておいた方が良いのでしょうか。
BCP(事業継続計画)とISMSとの関係について、「事業継続のためのICTの備え」が追加されたと聞いたのですが、BCPの文書もISMS関連文書として紐づけしておいた方が良いのでしょうか。
結論から申し上げますと、BCP(事業継続計画)とISMS関連文書を紐づけ、あるいは一体化させて運用することは非常に有効であり、推奨される対応です。
1. 管理策の再編:5.29 と 5.30 の役割
「事業継続のためのICTの備え」に関してですが、ISO/IEC27001:2013にある、以下の3つの管理策が、2023年版では「5.29 事業の中断・阻害時の情報セキュリティ」として1つになりました。
- A.17.1.1 情報セキュリティ継続の計画
- A.17.1.2 情報セキュリティ継続の実施
- A.17.1.3 情報セキュリティ継続の検証,レビュー及び評価
※ JIS Q 27001:2023(IS0/IEC27001:2022) より
旧規格(2013年版)では「情報セキュリティ継続」としてまとめられていた3つの管理策が、新規格では以下の2つに整理・強化されました。
- 5.29 事業の中断・阻害時の情報セキュリティ:
中断時であっても「情報の機密性・完全性」などをどう守るかというソフト面の管理策です。 - 5.30 事業継続のためのICTの備え:
システムの復旧目標(RTO/RPO)を定め、インフラの可用性をどう確保するかというハード・運用面(ICT-BCP)の管理策です。
2. 文書を紐づけるべき理由
ご質問の「5.30 事業継続のためのICTの備え」は、この5.29とペアになっているような管理策となります。
事業の中断・阻害時における、組織の情報及びその他の関連資産の可用性を確実にするための管理策となっており、事業継続計画と連動させたICT-BCP計画の策定や事業継続計画と一体化させた対応も考えられます。
新規格の「5.30」では、ICTの備えを「事業継続計画(BCP)の要求事項に基づいて」実施することが明確に求められています。
- 一体化のメリット:
全体BCPの中にICTセクションを設けることで、事業復旧とシステム復旧の優先順位が一致し、実効性が高まります。 - 参照(紐づけ)のメリット:
既存のBCPがある場合、ISMS側からそれを参照することで、組織全体の文書整合性を保ち、二重管理を防げます。
3. 実務的な対応のアドバイス
組織の規模や既存のBCPの有無に合わせて、以下のいずれかの方法で構成するのが一般的です。
- 統合型:
全体BCPの中に、ICT復旧(5.30)とセキュリティ維持(5.29)の項目を一つの計画書として組み込む。 - 参照型:
ISMSの規定内には「詳細は〇〇規定(既存のBCP本体)に従う」と記述し、文書間をリンクさせる。
審査では「ICTの復旧目標が、事業側のニーズと合致しているか」が重視されるため、何らかの形で連携させておくことが重要です。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
