_ |
14 事業継続管理 |
_ |
_ |
14.1 事業継続管理における情報セキュリティの側面 |
_ |
_ |
_ |
14.1.1 事業継続管理手続きへの情報セキュリティの組み込み |
_ |
_ |
_ |
管理策 |
_ |
_ |
_ |
組織全体を通じた事業継続のために、組織の事業継続に必要な情報セキュリティの要求事項を取り扱う、管理された手続を、策定し、維持することが望ましい。 |
_ |
_ |
_ |
実施の手引 |
_ |
_ |
_ |
事業継続管理手続きには、次の重要な要素を組み込むことが望ましい。 |
_ |
_ |
_ |
a) |
重要な業務プロセスの識別及び優先順位付けも含め、組織が直面しているリスクを、可能性及び影響の面から理解する(14.1.2参照)。 |
_ |
_ |
_ |
b) |
重要なプロセスにかかわる全ての資産を識別する(7.1.1参照)。 |
_ |
_ |
_ |
c) |
情報セキュリティインシデントによって発生する業務プロセスの中断が事業に及ぼすと思われる影響を理解し、情報処理施設の事業目的を確立する。
なお、組織の存続性を脅かす可能性のある重大なインシデントと同様に、影響がそれほど大きくないインシデントにも対処する解決策を見出すことが重要である。 |
_ |
_ |
_ |
d) |
運用上のリスク管理の一部であることと同様、事業継続手続き全体の一部をなす場合もある適切な保険への加入を考慮する。 |
_ |
_ |
|
e) |
予防及び緩和のための追加管理策を特定し、それらの実施を考慮する。 |
|
|
|
f) |
識別された情報セキュリティの要求事項を取り扱うのに十分な、財政上、組織上、技術上及び環境上の経営資源を特定する。 |
|
|
|
g) |
要員の安全並びに情報処理設備及び組織の資産の保護を確実にする。 |
|
|
|
h) |
合意された事業継続戦略に沿って情報セキュリティの要求事項を取り扱った事業継続計画を策定し、文書化する(14.1.3参照)。 |
|
|
|
i) |
策定した計画及び手続を定めに従って試験し、更新する(14.1.5参照)。 |
|
|
|
j) |
事業継続管理を組織のプロセス及び機構に組み込むことを確実にする。 事業継続管理手続きの責任は、組織内の適切な階層に割り当てることが望ましい(6.1.1参照)。 |