事業継続管理規定
(1) 目的
本規定は、重大な故障又は災害の影響による事業活動の中断に対処するため、発生リスクを想定し被害を最小限に抑えるための対応計画と体制を定めものである。
(2) 適用範囲
本規定は、ISMSマニュアルの適用範囲で規定した部署、業務に適用する。
(3) 用語の定義
ISMSマニュアルに従う。
(4) 事業継続管理への取り組み方針
自然災害、火災、電気・通信障害、情報システムの停止、設備の破損、情報破壊・紛失などにより事業活動が中断することは、顧客の信頼を失うとともに、会社の事業継続に影響を与えることから、これらによる作業の中断を防止するため、次の方針で取り組む。(以下、事業継続管理という)
- リスクアセスメントを実施し作業が中断する事象を想定する。
- 想定障害に障害レベルを設定し、万一中断が発生したときは速やかに復旧すること対応計画(事業継続計画)を策定する。
- 早期回復のため優先順位を設定し、また復旧手順を設ける。大規模な災害が発生した場合は、従業員、その家族の安全を優先し、その上で復旧の活動を進めることとする。
- 事業継続計画は、定期的に、また必要に応じて随時見直しを行う。
- 復旧手順については、定期的に訓練する。
(5) 事業継続計画の策定の枠組み
リスク事象の発生時に策定した事業継続計画を確実に実施するための枠組みとして以下について取り組み、維持する。
- 整合性の取れた事業継続計画とするため、また情報セキュリティの要求事項に沿ったものとするため、役割、責任と権限、指示/連絡系統を整備する。
- 全社的な対応を要する事象が発生した場合は、災害対策本部の設置で対応し、部門の中で対応が取れる場合は部門長の指揮で行う体制を整える。
- 復旧作業の迅速の観点から、復旧責任者と復旧処理の優先順位を決めておく。
- 復旧責任者は、それぞれセキュリティ障害に対する事業継続計画の実施に責任を持つ。
(6) リスクアセスメント
事業継続管理の取り組み方針に従いリスクアセスメントを実施し、阻害要因となる脅威洗い出し、発生頻度を想定する。洗い出した脅威が事業に与える影響を評価し、事業継続のための対応の基準(レベル)を設定する。
リスクアセスメント結果を別紙1に示す。
(7) 事業継続計画の策定
リスクアセスメントの結果を踏まえた事業継続計画を策定する。
また、感染症対策に対して防止策を策定する。(2020.4.7)
事業継続計画を別紙2に示す。
(8) 災害対策本部
- 災害対策本部の設置
災害などにより、緊急かつ全社的な対応が必要な事象が発生した場合、社長を本部長とした災害対策本部を設置する。
災害対策本部の設置判断は、災害対策本部長の判断とする。 - 災害対策本部の役割
災害対策本部長の指揮のもと、被害、障害事象に関する情報収集すると共に、下記についての全社の意思決定と集中管理を行う。- 応急処置、復旧対応の検討
- 従業員、その家族への対応、顧客への対応
- 官公署等への報告
- 災害対策本部の構成
災害対策本部のメンバーは以下の通りとする。- 災害対策本部長:社長
- 災害対策本部メンバー:各部部長
- 連絡網(エスカレーション)
- 災害や事故の報告は「緊急連絡網」による。
- 災害対策本部は、本部長が各メンバーを招集することにより編成する。
(9) 事業継続計画の試験及び評価・見直し
- 試験の実施
大規模災害への対応:「緊急連絡網」の確認を定期的(1回/年)に行う。 - 教育・訓練の実施
従業員の訓練は定期的に実施する。
安否確認のメールアドレスは対象者が自由に変更できるために訓練前に変更の確認を再度促す。 - 評価・見直し
事業継続計画は年に一度定期的に見直す。
また計画の実施、試験の実施などを行った後は、対応結果を評価し見直す。
以上
【別紙1】情報システムの重大な故障または災害によるリスクアセスメント
| 基準レベル | 内容 | 原因(脅威) | 頻度 | 影響 |
|---|---|---|---|---|
| レベル5 | 大規模な自然災害 |
|
1回/数十年 | 建物崩壊、建物破損といった重大な被害を受けた場合、業務が停止。 |
| レベル4 | 個人情報・機密情報の紛失、漏えい |
|
1回/2~3年 | 個人情報・機密情報の紛失、漏洩による信用の低下や信頼の失墜。ビジネス機会の損失。 |
| レベル3 | 社会インフラの事故 |
|
1回/2~3年 | インフラサービスの提供が受けられず、システムやネットワーク停止で業務が中断。 |
| レベル2 | ハード障害 ソフト障害 |
|
1回/2~3年 | システム、ネットワークの停止、業務が中断 |
| レベル1 | キーマン不在 |
|
1回/2~3年 | 一時的な業務や運用作業が停止。 |
【別紙1】感染症によるリスクアセスメント
| 基準レベル | 内容 | 原因(脅威) | 頻度 | 影響 |
|---|---|---|---|---|
| レベル5 | 出勤者30%以下 |
|
1回/数十年 | 開発業務、及び保守業務の停止 |
| レベル4 | 出勤者50% |
|
1回/数十年 | 開発業務、及び保守業務の一部停止 |
| レベル3 | 出勤者60% |
|
1回/数十年 | 開発業務及び保守業務に影響大 |
| レベル2 | 出勤者80% |
|
1回/数十年 | 開発業務、及び保守業務に影響 |
| レベル1 | キーマン不在 出勤者95%以上 |
病気や事故による長短期の休暇 事故による遅刻 |
1回/2~3年 | 一時的な業務や運用作業が停止 |
【別紙2】事業継続計画の対応手順と優先順位
| レベル | 対応方針 | 復旧及び 事業継続手順 |
復旧までの時間 | 優先順位 | 訓練 |
|---|---|---|---|---|---|
| レベル5 | 災害対策本部を設置して対策を講じる。 本社が機能しない場合は社長宅とする。 |
|
数日から数ヶ月 |
|
|
| レベル4 | 拡大防止と情報元への対応を実施する。 |
|
業務は復旧するものの、信用、信頼が回復するまではかなりの時間を要する。 |
|
実施手順確認(机上訓練) |
| レベル3 | インフラサービスの提供元との連絡を密にして回復を待つ。 |
|
インフラサービスが復旧するまで。 | 通信網停止の場合、利用可能な代替手段(携帯電話、公衆電話など)で業務継続 |
実施手順確認(机上訓練) |
| レベル2 | リカバリプログラムを実施する。 |
|
数時間から数日 |
|
|
| レベル1 | 引継ぎや運用マニュアルを整備しておく。 |
|
数時間 | 交代要員で対応できる業務から開始する |
実施手順確認(机上訓練) |