BCMSの規格BS25999がいよいよISO化される様です。特にインフルエンザや地震の脅威が現実味を帯びる日本では、重要性が高まるかも知れませんん。
ところで、ISMSユーザにも事業継続管理として、インフルエンザ、地震を考慮済みのところがあります。ISMSに於ける事業継続管理とはどう違うのか,又は同じなのか興味があります。
一つの違いは、事業継続の対象物の定義に見られます。
ISMSは情報資産が対象です。BCMSは業務リソースが対象ですが、適用緒範囲をISMSと同じにすると実はBCMSもISMSも評価対象物が同じになり、全く重複するものだと云えます。つまり適用範囲がISMSと同じBCMSSはあまり価値がないかも知れません、同じリソースや情報資産は,事業継続に関し,BCMS、ISMSのどちらが適切かを分類する必要があります。
次の違いとして、リスクアセスメントの方法にあります。まずBCMSの手法ですが、
1..業務の洗い出し(業務フロー、業務分析)→業務毎のBIA(業務影響分析)
2.業務リソース洗い出し→RA(リスク分析)→脅威、現状管理策の洗い出し
3.脅威→RM(リスク管理)→追加管理策の検討
因にISMSのリスクアセスメントは次の通りです。
1.BIAは行いません。
2.業務リソースは情報資産として洗い出します。
大雑把では有りますが、、そう大きな違いは無いと捉えて構わないと思います.私が感じる一番の違いはISMSにも記述が有る,プロセスアプローチが徹底されてきた、ということです。ISMSでは不十分な面がありましたが、BCMSでは必須化された訳で、これからのマネジメントシステムには欠かせないものとなりそうです。