BCM(BS25999、事業継続マネジメント)構築,運用支援
ISMSの豊富な経験
- ISMSにおける事業継続管理をベースに、今後ISO化が期待できる本規格のコンサルを、IT事業継続計画を中核にしたコンサルを実施します。
----
BCMSの主なタスク
- 計画(P)
- 適用範囲:事業継続の適用範囲(システム、業務の範囲等)を明確にする。
- BBCMの方針:事業継続マネジメントに対するコミットメントを明確にする。
- BCMの役割、責任、力量及び権限を明確にする。
- BCMSの文書及び記録:以下を文書化する。
- ① 適用範囲
- ② 方針
- ③ 経営資源の提供
- ④ BCM要員の力量及び関連する教育・訓練記録
- ⑤ 事業インパクト分析
- ⑥ リスクアセスメント
- ⑦ 事業継続戦略
- ⑧ インシデント対応体制
- ⑨ 事業継続計画及びインシデントマネジメント計画
- ⑩ BCMの演習
- ⑪ BCMの取り組みの維持及びレビュー
- ⑫ 内部監査
- ⑬ BCMSのマネジメントレビュー
- ⑭ 予防処置及び是正処置
- ⑮ 継続的改善
- 導入及び運用(D)
- 事業インパクト分析:事業活動の中断の影響を評価する方法を明確化する。
- リスクアセスメント:明確で適切な方法を備えなければならない。
- 事業継続戦略の決定:目標時間内に復旧させることを可能にするBCMの取り組みを特定する。
- 個別の事業継続計画(BCP)の策定:重要な全ての活動及びインシデントマネジメントを確実にする計画を立案する。
- BCMの演習、維持及びレビュー:BCPを定期的に演習し、問題点を改善し、BCMの有効性を維持しなければならない。
- BCMSの監視及びレビュー(C)
- 内部監査
- マネジメントレビュー
- BCMSの維持及び改善(A)
- 予防処置
- 是正処置
----
主なコンサル内容
- 計画(P)
- 適用範囲:
- ① 適用範囲定義文書ひな形提供
- ② 適用範囲のアドバイス
- BBCMの方針:
- ① 方針文書ひな形の提供
- ② 方針内容アドバイス
- BCMの役割、責任、力量及び権限を明確にする。
- ① 役割、責任、力器量及び権限文書ひな形提供
- ② 内容のアドバイス
- BCMSの文書及び記録:以下を文書ひな形を提供する。また以下以外の必要な文書に対する作成支援を行う。
- ① 適用範囲
- ② 方針
- ③ 経営資源の提供
- ④ BCM要員の力量及び関連する教育・訓練記録
- ⑤ 事業インパクト分析
- ⑥ リスクアセスメント
- ⑦ 事業継続戦略
- ⑧ インシデント対応体制
- ⑨ 事業継続計画及びインシデントマネジメント計画
- ⑩ BCMの演習
- ⑪ BCMの取り組みの維持及びレビュー
- ⑫ 内部監査
- ⑬ BCMSのマネジメントレビュー
- ⑭ 予防処置及び是正処置
- ⑮ 継続的改善
- 導入及び運用(D)
- 事業インパクト分析:
- ① インパクト分析手順書ひな形の提供
- ② インパクト分析ワークシートひな形の提供
- リスクアセスメント:
- ① リスクアセスメント手順書ひな形の提供
- ② リスクアセスメント評価シートひな形の提供
- 事業継続戦略の決定:
- ① 文書ひな形の提供
- 個別の事業継続計画(BCP)の策定:
- ① BCP文書ひな形の提供
- ② リスクマネジメント計画ひな形文書の提供
- BCMの演習、維持及びレビュー:
- ① 演習、維持及びレビュー手順書ひな形の提供
- ② 演習計画ひな形文書の提供
- ③ 演習評価、レビューシートひな形の提供
- BCMSの監視及びレビュー(C)
- 内部監査
- ① 内部監査手順書ひな形の提供
- ② 内部監査記録のひな形提供
- マネジメントレビュー
- ① マネジメントレビュー手順書ひな形の提供
- ② マネジメントレビュー記録のひな形の提供
- BCMSの維持及び改善(A)
- 予防処置
- ① 予防処置手順書ひな形の提供
- ② 予防処置記録のひな形の提供
- 是正処置
- ① 是正処置手順書のひな形の提供
- ② 是正処置記録のひな形の提供
BIA(事業影響評価)手順
- 適用範囲の決定
- 適用範囲の事業を洗い出す
- 事業を支える業務の洗い出し(業務、その概要、主管部署など)
- 業務復旧優先度の決定
- 目標復旧時間(RTO)・目標復旧レベル(RLO)の設定
- 業務が中断することによる影響の度合
- 業務を支えるリソースの特定
- 業務中断の影響度合に応じた、リソースの重要度を決める
---
事業を支える業務の洗い出し
- 経験則から重要な事業を支える業務は何か、ある程度あたりをつけることは可能です。しかし、重要な業務の抜け・漏れを防ぐために、また各業務が何に依存しているかを明らかにするためには、すべての業務についていったん棚卸しすることが重要です。これがBIAの最初のステップとなります。
- 業務毎見出されてリソースの事業継続的重要度を評価する、1:価値が低い、5:価値が高い
- 業務洗い出し
| 事業名 | 業務名 | 概要(業務内容) | 管理部門 (業務オーナー) |
業務リソース |
|---|---|---|---|---|
| システム受託開発 | 設計 | 仕様書作成 | 開発部 | SE,顧客資料、PC、インターネット、メール、電話,FAX |
| 製造 | プログラム作成 | 開発部 | SE、プログラマ、開開発環境 | |
| 外注 | プログラム外注 | 開発部 | 外注先SE、プログラマ、開発環境 | |
| テスト | 納品検収 | 開発部 | SE、テスト環境 |
---
業務中断の影響評価
- 各業務が中断した場合に、その中断が、時間の経過とともに事業に対してどのような影響を与えるかを特定します。影響を特定する方法は、定量的であっても定性的であっても構いません。例えば、定性的な方法としては、「顧客からのクレーム」という観点から、どれくらい業務が中断するとクレームが発生するのかを想定する、などの例が挙げられます。
- このように特定した中断による影響をもとに、「何時間(何日・何ヶ月間)ままでなら、その業務の中断を許容できるか」という「最大許容停止時間(MTPD)」も、あわせて特定します。
中断の影響
| 事業名 | 業務名 | ・・・ | 影響度 |
|---|---|---|---|
| システム受託開発 | 設計 | 高 | |
| 製造 | 高 | ||
| 外注 | 高 | ||
| テスト | 高 |
---
復旧優先度
- 『業務中断の影響評価』の情報をもとに、各業務の復旧優先度を特定します。例えば、『事業を支える業務の洗い出し』で洗い出した業務のうち、『業務中断の影響評価』の分析の結果として、「1ヶ月以上停止しても事業継続できる(つまり事業継続上は影響がない)」と判断される業務もあるかもしれません。このような業務については、復旧優先度は「低い」ということになります。復旧優先度が低いものは、事業継続上「重要ではない業務」として以降の分析対象からはずしてしまう場合もあります。
---
復旧目標設定
- 業務を復旧させるまでの目安となる時間(RTO:Recovery Time Objective)と、その復旧の時点でどの程度の操業レベルを目指すのか(RLO:Recovery Level Objective)を決定します。
---
使用する様式
---
リスクアセスメント手順
- 詳細プロセスを識別する
適用範囲の業務プロセスを詳細プロセスに分析する。
(顧客))|(WEBサーバ)|(営業部)|(DM代行会社) 顧客情報入力→情報蓄積→エクセルに出力→DM発送作業→DM受け取り
---
プロセスベースで資産と遵守法令を洗い出す
- 上記詳細プロセス毎に、インプットであるリソース、アウトプットであるレコード、基準とするクライテリアを洗い出す。このリソースとレコードが情報資産である。レコードは次のプロセスのリソースでもある。
- ①リソース:インプット情報及びプロセスで利用するリソース
- ②レコード:アウトプット情報
- ③クライテリア:該当プロセスで遵守すべき法令、内部規程、ガイドライン等(JIS Q27001附属書A.15.1.1に適合)
- 情報資産の種類は次を参考に、幅広く見出す。
- 資産価値を評価する
洗い出した各情報資産の資産価値を定性的に評価する。価値は次の3つについて評価する。この結果資産価値の認められた資産を資産台帳に登録し、確実に管理する。 - 機密性:情報が秘密であることの重大さ。特に別途定める、資産の公開レベルが侵害されたときに受ける影響の大きさ。「信頼性」
- 完全性:情報が完全である事の重大さ、あるいはその資産が製品やサービス品質に影響を及ぼす度合。「品質性」
- 可用性:情報が利用できることの重大さ、あるいはその資産が製品やサービスに対して納期やコストに影響を及ぼす度合。「生産性」
- 評価手順
- 適用業務の業務価値を「機密性」、「完全性」、「可用性」の観点で評価する。
- 適用業務を構成する、各プロセス価値を上記業務価値を参考に価値評価する。
- 各プロセスに該当する情報資産(プロセスのリソース、レコード)をプロセス価値を参考に評価する。
(プロセス)リソース 顧客の個人情報 WEBサーバ 個人情報収集システム インターネット WEBサーバオペレータ ファイアウォール ISP → 顧客情報入力 ← クライテリア WEBサーバログイン手順 障害対応手順 顧客対応手順 不正アクセス防止法 → レコード ログイン情報 顧客データ システムログ ネットワークログ
| 分類名 | 解説 |
|---|---|
| 施設・設備 | マシン室、コールセンタールーム、本社社屋、非常電源設備、空調設備、入退室管理設備、防犯設備、消火設備等 |
| ハードウェア | パソコン、サーバ、ルータ、LANスイッチ、ファイアウォール等 |
| 人 | サーバルームオペレータ、システム管理技術者、コールセンター要因、各業務部門担当者等 |
| 書類情報 | 書類形態の情報 |
| 電子情報 | コンピュータ、サーバ,電子媒体(USB,CD−ROM等)上の情報 |
| 媒体 | CD,DVD,USB,HDD、各種メモリード。場合によっては紙も媒体と捉える |
| ソフトウェア | 業務アプリ、オフィス系アプリ、通信系アプリ、ツール(圧縮、暗号、PDF、スキャナ等)等 |
| サービス | 電子商取引決済サービス、ホスティング、ハウジング、保守サービス、運送等 |
機密性 高い → 完全性 高い → 低い → 高い 可用性 評価の値 2:高い 1:中位 0:低い
---
詳細リスク分析手順
- 詳細リスク分析を実施する資産の基準を定める:資産価値の3つの要素のうち、1つでも「H」以上の評価がなされた資産に対して実施する。
- 各資産に対する「脅威」を洗い出す。
- 脅威に対する現状の管理策を見出す。管理策は「低減」、「保有」、「回避」及び「移転」等がある。
- 現状の管理策を踏まえてぜい弱性を洗い出し、表にまとめる。但しこの時見出された脅威が、先に評価した資産価値に準じているかに十分注意する。つまり機密性が高い資産は、機密性を犯す脅威がより多く見出される。このバランスが悪い場合、資産価値評価からやり直す。
- 管理策を規格書の附属書A、詳細管理策との関連を見出す。
- 見出した現状管理策の規程、手順に反映すること。
- リスク値を求める:
- ①脅威の度合いの評価:その脅威が起こりそうな度合いをぜい弱性を勘案しながら定量的に評価する。1(低い)〜5(高い)点
- 脅威の度合=脅威レベル+脆弱性レベル
- 脅威レベル 脅威の潜在的な発生可能性を評価する。
- 1:脅威はほとんどない 2:脅威はやや大きい 3:脅威は非常に大きい
- ぜい弱性レベル 脅威に対応する現状管理策の弱さによる発生可能性の度合
- 0:ほとんどぜい弱では無い 1:ややぜい弱である 2:全くぜい弱である
- ②業務影響度評価:その脅威が発生したら、業務与える影響度合いを定量的に評価する。
- (低い)〜5(高い)点
- 業務影響度=資産価値+業務影響レベル
- 資産価値 0=低い,1=中位,2=高い
- 業務影響レベル 脅威が実際に発生した際、現状管理策や代替手段で補えていない業務上の影響度
- 1=低い,2=中位,3=高い
- ③リスク値を求める:脅威の度合い(1〜5)+業務影響度(1〜5)
aaaaa
---
保証の度合いと残留リスクを決定する(リスクマネジメント)
- リスク値の大きい順に並べて表にする。
- 保証の度合の決定:経営者はリスクの状況から、許容する残残留リスクを見極めるリスク値を定める。これを保証の度合という。
- 残留リスクの承認:例えばリスク値6を保証の度合いと決定した場合、リスク値6までのリスクは残留リスクとして許容することができる。経営者はこの残留リスクを承認しなければならない。
- 残留リスクの概要は、リスクアセスメント報告書に記述すること。
---
対策の追加と残余リスクの承認
- 保証の度合いを超えるリスク値をもつ脅威に対して管理策を検討する。管理策は「低減」、「保有」、「回避」及び「移転」等である。
- 追加した管理策と規格書の附属書A、詳細管理策との関連を見出す。
- 上記管理策の結果想定されるリスク値を再評価する。
- 保証の度合いに収まるまで、管理策を追加する。
- リスク値が保証の度合以下に収まらない、又はリスク値が保証の度合を超えた状態で「保有」したリスクは、残余リスクとして経営が承認を得なければならない。リスクアセスメント報告書に残余リスクの詳細を記述すること。
- 追加した対策は、各規程,手順に反映する。
参考:脅威・ぜい弱性例
| 脆弱性 | 脅威 |
|---|---|
| 要員の不在 | スタッフの不足 |
| 監督を受けない外部スタッフ又は清掃員による作業 | 窃盗 |
| 不十分なセキュリティ訓練 | オペレーションスタッフのエラー |
| セキュリティ意識の欠如 | ユーザーエラー |
| 文書化が不十分なソフトウェア | オペレーションスタッフのエラー |
| 監視機構の不足 | 無許可の方法でのソフトウェアの使用 |
| リモート機器の正確な使用に対するポリシー不足 | 無許可の方法でのソフトウェアの使用ネットワーク施設の使用 |
| 不適切な要員募集の手順 | 故意の損傷 |
| 脆弱性 | 脅威 |
|---|---|
| 建物、部屋及び事務所への物理的 アクセス制御の不適切又は不注意な使用 |
故意の損傷 |
| 建物、戸及び窓の物理的防護の欠如 | 窃盗 |
| 洪水の起き易い場所での立地 | 洪水 |
| 保護されていない保存 | 窃盗 |
| 保存媒体の不十分なメンテナンス/誤った設置 | メンテナンスエラー |
| 定期的な媒体の置き換え計画の欠如 | 保存媒体の劣化 |
| 機器が湿度、塵埃、汚れの影響を受け易い | 空中浮遊微粒子/塵埃 |
| 機器が温度変化の影響を受け易い | 過度の温度 |
| 機器が電圧変化の影響を受け易い | 電源変動 |
| 配電網が不安定である | 電源変動 |
| 脆弱性 | 脅威 |
|---|---|
| 通信回線が保護されていない | 通信の傍受 |
| 共同のケーブル施設が貧弱である | 通信回線への侵入 |
| 識別及び真正確認機構の不足 | 他人成り済まし |
| パスワードの転送が透明 | 不正アクセス |
| メッセージの送受信の証拠が不足 | 拒否 |
| ダイアルアップ回線 | 不正アクセス |
| 要注意のトラフィックが保護されない | 通信の傍受 |
| 故障単一点 | 通信サービスの故障 |
| ネットワーク管理が不適切 | トラフィックの過負荷 |
| 不注意な廃棄処分 | 窃盗 |
| コピーが管理されていない | 窃盗 |
| 公衆ネットワーク接続が保護されていない | 不正アクセス |
| 脆弱性 | 脅威 |
|---|---|
| 複雑なユーザインターフェース | オペレーションスタッフのエラー |
| 保存媒体を適切に消去せずに廃棄処分又は再使用 | 無許可ユーザによるソフトウェアの使用 |
| 監査証跡の不足 | 無許可の方法によるソフトウェアの使用 |
| ドキュメンテーションの不足 | オペレーションスタッフのエラー |
| 有効な変更管理の不足 | ソフトウェアの故障 |
| ユーザ真正確認の不足 | 他人成り済まし |
| 席を外す時にログアウトしない | 無許可ユーザによるソフトウェアの使用 |
| ソフトウェア試験の不十分 | 無許可ユーザによるソフトウェアの使用 |
| パスワード管理が不十分 | 他人成り済まし |
| 開発者のための仕様書が不完全 | ソフトウェアの故障 |
| ソフトウェアのダウンロード、使用が管理されていない | 悪質ソフトウェア |
| パスワード表が保護されていない | 他人成り済まし |
| ソフトウェアに既知の欠陥がある | 無許可ユーザによるソフトウェアの使用 |
| アクセス権の割り付けが誤っている | 無許可の方法によるソフトウェアの使用 |
---