ICT 継続マネジメントシステム (BS25777)

�@事業インパクト分析（BIA）

　ＢＩＡによって、
（ア） 事業に与える影響の大きな業務の特定
（イ） ICTサービスの継続に必要な資源の特定
（ウ） 業務の復旧優先度及び復旧目標の決定
　を実施します。

�Aリスクアセスメント（RA）

ICTサービスの継続を脅かすリスク・脅威・脆弱性を分析し、ICT継続要件を満たすにあたっての課題を特定します。

�BICT継続戦略の策定

リスクアセスメントにより特定された課題を解決し、レジリエンシーを求められる水準にまで引き上げるための戦略を決定します。
この戦略には、実施するリスク対応策、業務の復旧順位、想定する脅威、インシデントマネジメント計画（解説は後述）、ICT継続計画（解説は請後述）などの策定に関する、方針や計画などが含まれます。

�CICT継続計画・インシデントマネジメント計画（ＩＭＰ）の策定、リスク対応策の実施

ICT継続戦略をもとに、ICT継続要件を満たすよう、レジリエンシーを向上させる施策を導入します。
・事故発生直後から、ICTサービスをＲＬＯに引き上げるまでの間の初動計画として、ＩＭＰを策定します。
　なお、ＩＭＰ計画を個別に策定せず、初動計画をICT継続計画に含めることもあります。
・ICTを平常時の運用レベルまで復旧させるための活動の計画として、ICT継続計画を策定します。
・その他、継続戦略に従い、経営資源の確保ルートの整備や購入などの、様々なリスク対応策を実施します。

�Dその他マネジメント文書の作成

　要員の能力要件と教育、ＩＭＰやICT継続計画の演習、ICT継続マネジメントの活動結果のレビュー、文書・記録管理など、ICT継続マネジメントをとりまく様々な活動を計画又は規定する文書を作成します。

�E要員の教育

要員の能力要件を満たすため、また、組織にICTサービスの継続の重要性を啓蒙するため、要員の教育を行います。

�FICT継続マネジメントの演習

　導入したICT継続計画、インシデントマネジメント計画（ＩＭＰ）、リスク対応策がICT継続要件を満たすことを確実にする為、以下の方法などにより、演習を実施します。

　・ICTサービスに関するテスト　 　（机上テスト、コンポーネント単位の復旧テスト、エンドツーエンドの復旧テスト、ユーザ利用テスト・・・）
　・レジリエンシー能力や、システム監視の信頼性テスト
　・ICT継続計画とインシデントマネジメント計画（ＩＭＰ）の実施演習

　なお、演習実施の際は、演習行為そのものが引き起こす業務中断のリスクを最小限にするように、計画しなければなりません。

�G定期レビュー

　策定した規程や計画、教育や演習の結果など、ICT継続マネジメントの活動全体のレビューを定期的に実施します。
　レビューは、自己評価、経営者によるレビュー（マネジメントレビュー）など、様々な形態が考えられます。
　レビューで考慮すべき点は、以下のようなものが挙げられます。

　・ICT継続要件の妥当性
　・ICT継続マネジメントにおける様々な計画の妥当性（ICT継続要件を満たすか？）と、有効性（現実的か？効果はあるか？）
　・計画どおりに実行されているか
　・活動によって得られた利害関係者からのフィードバック
　・組織の内部要因、又は法令、市場、技術などの外部要因の変化が、ICT継続マネジメントに与える影響
　・（実際にICTサービスの中断が発生した場合は） インシデントマネジメント計画（ＩＭＰ）やICT継続計画の発動の記録
　・など・・・

　ここで挙げられた課題は、必要に応じて改善の仕組みにインプットし、予防処置、是正処置を行います。