BCMS事業継続マネジメントシステム｜BCMS認証取得
・他ISO取得・
　スリープロサポート株式会社

ISOコンサルタント：トップ ＞ その他規格導入支援コンサルティング ＞ BCM事業継続マネジメント ＞ BCMS適合性評価制度

　BCMS適合性評価制度

　事業継続マネジメントシステムの国際規格「ISO22301」が2012年5月15日に正式発行されました。ISO22301とは、組織が震災やITシステム障害、金融危機、取引先の倒産、新型インフルエンザの感染爆発（パンデミック）などの突発的な災害や事故などに直面した時に備え、組織の重要業務・サービスの影響を最小限に抑え、事業を継続するため、効率・効果的な対応をあらかじめ対策計画（BCP）で策定し、演習により計画の実効性の評価を行いシステムを運用する事業継続マネジメントシステム（BCMS）の国際規格です。国内では、JIPDECが2008年から「BS25999-2:2007」（事業継続マネジメント−要求事項）を認証基準として「BCMS適合性評価制度」を運営していまたが、正式なISO22301発行に伴い、2012年8月からISO22301に基づいた認証制度を運用しています。2014年12月時点で77組織が認証を受けています。

　組織はISO22301を満たしたBCMSを構築、運用後、JIPDECより認定された認証機関へ（2012年12月現在6機関：JQA、SGS、JICQA、BSI、BV、JACO）審査を依頼します。プライバシーマーク制度と違い、地区、及び業界などでの指定もなく自由に選定でき、審査費用も異なります。また、同時にJIPDEC自体の審査もありません。ISO22301の認証機関はそれぞれコストや条件違いますので、十分に検討し審査登録機関を決定します。

　認証機関を選定すると次に審査日時を決定します。審査は、第1段階審査と第2段階審査の2段階で実施されます。審査日数、工数は適用範囲や企業規模等により異なります。
　第1段階審査では、組織のBCMS方針や目的に照らし合わせ構築したBCMSの理解や準備状況の確認を行い、第2段階審査を計画するうえでの焦点を明確にします。
　第2段階審査では運用を確実にしているかの確認、及び規格要求事項であるISO22301との適合性を確認します。初回審査をクリアし認証登録が終わると、通常1年ごとにサーベランス（定期監査）が行われ3年後に更新審査となります。

　BCMS適合性評価制度は、JIPDECに登録されている「BCMS認証機関」により審査が行われ、認証登録されます。規格自体が新しい事もあり、審査機関や審査員により要求事項の解釈の違いがあり微妙な差はありますが審査では以下の様な点を重点的にチェックされます。

※参考例）JQAにおけるISO 22301審査で重視しているポイント

【事業インパクト分析・リスクアセスメントによる適切なリスク管理】

　事業継続する上で、何が主要な製品およびサービスか？それを支える活動と経営資源は何か？それらの活動と経営資源が脅威に直面したとき、いかなるリスクがあるか？などの視点から、事業インパクト分析、リスクアセスメントをもとに審査を行います。

【事業継続計画（BCP）と演習による適切性、妥当性、有効性の確認】

　事業インパクト分析、リスクアセスメントに基づき作成されたBCPを演習を通じて改善します。また、これらの活動が組織の目的、BCMS方針にとって、適切で有効なものかを審査します。

【マネジメントシステムの有効性】

　組織が構築、運用している事業継続マネジメントシステムがPDCAサイクルに基づいて継続的に改善され、ステークホルダーを含めた組織のニーズを満たすものになっているかに重点を置いて審査します。

　ISO22301は、「JIPDEC」運用の「BCMS適合性評価制度」以外でも認証取得は可能です。ISO9001やISO27001と同じく、既存のISO審査登録機関がISO22301の審査コードをもっていればISO22301認証審査は可能です。審査基準も難易度もBCMSの価値も変わりませんが、JIPDECのロゴは使用できず、JIPDEC未登録のISO審査機関で認証を受ける場合、その審査登録機関のロゴを使用する事になります。JIPDEC登録の審査機関以外での認証を考える事で組織の選択の幅も広がりますので、ISO認証機関でISO22301の認証を考える組織はスリープロサポートへ是非ご相談ください。

　ISO22301認証、BCMS認証（BCMS適合性評価制度）のコンサルティングは是非スリープロサポートへご相談ください。貴社のニーズにお応えする様々なコンサルティングを提供させて頂きます。