ISMS審査対応と災害への備えを両立!実践的な「安否確認訓練」とシステム活用
情報セキュリティのISO認証、ISMS(ISO/IEC 27001、JIS Q 27001とも呼ばれます)を取得済み、または取得を検討されている企業・団体では、マニュアル(規程類)の整備だけでなく運用として様々な活動が不可欠です。そのため、マニュアルに記載された『内部監査』や『マネジメントレビュー』以外にも、多岐にわたる活動に取り組まれているのではないでしょうか。
ISMSでは管理策集の中に『事業継続のためのICT(情報通信技術)の備え『が設けられており、管理策として『事業継続の目的及びICT継続の要求事項に基づいてICTの備えを“計画⇒実施⇒維持⇒試験”しなければならない』と記載されています。
この項のポイントをまとめると、以下の2つとなります。
-
自組織に必要な『事業継続およびICT継続の活動』を定めなければならない。
何らかのルールやマニュアルが必要。 -
計画や試験が求められる。
年間の運用スケジュールに組み込まれた活動、特に試験に該当する活動が必要。
情報セキュリティの認証というと、つい『サーバーのバックアップ』や『機器故障』といった狭い範囲の備えをイメージしがちですが、求められているのは『事業の継続』です。単純なサーバーのバックアップや復旧作業を試験とするケースも見受けられますが、事業継続(BCP、BCMとも呼ばれます)の観点を取り入れ、災害やトラブルが発生した際の対応や手順を定めた訓練を実施することも重要です。
※ISOの事業継続認証:BCMS(ISO/IEC 22301)を取得されている場合は、ICTに関連した内容を盛り込んでいれば、ISMSの審査でも問題なく認められるかと思います。
手軽な訓練としては、
※ビルや施設の防火訓練、避難訓練に職員が参加する。(自社ビルであれば、消防法に基づき自社で実施)
※近隣自治体の防災訓練に職員が参加する。
といったケースも見受けられますが『内容が事業継続や復旧に直結しない』、『職員の知識習得や啓発に留まるので有効性に疑問がある』といった課題が残ります。
そこで今回、オススメしたい有効性の高い活動(試験・訓練)は『安否確認訓練』です。
安否確認の手順や安否確認サービスを備えてはいるものの、訓練を定期的に実施していなければ、実際の災害やトラブル時に有効に機能しません。操作手順が分からない、職員の連絡先が変更されていてメッセージが届かない、確認結果の集計や報告が省略されている、といった『実際の災害時』に発覚しては手遅れとなる課題の検出にも役立ちます。
安否確認訓練の大まかな流れ
- 安否確認の発信(メッセージ送信)
- 安否情報の回答(各自が安否状況を入力)
- 回答の集計、経営層への報告(ISMSの記録作成にも繋がります)
- (必要に応じて)安否の未回答者への再連絡(実際の災害では行方不明者の可能性アリ)
※一連の流れを訓練として最低でも年1回の実施をオススメします。PDCAサイクルの中で最低1回は実施が求められます。
※訓練で34が実施されていない、想定されていない場合は『形だけの安否確認』となってしまう可能性が大きいため、訓練シナリオへの組み込みをお忘れなく。
弊社が提供する『安否確認プライム』は、1〜4のプロセスに準拠した画面遷移を実現しています。
災害時の企業や団体の活動(例:災害後の業務活動や社内外の連絡体制等)には職員の存在が不可欠となるため、職員の無事や被害状況を素早く把握するためには、安否確認システムの導入が欠かせません。
安否確認プライムを活用し、ISMS審査への対応だけでなく、災害やトラブルへの備えの強化もぜひご検討ください。