会社案内

事業継続管理規定

(1) 目的

  • 本規定は、重大な故障又は災害の影響による事業活動の中断に対処するため、発生リスクを想定し被害を最小限に抑えるための対応計画と体制を定めものである。

(2) 適用範囲

  • 本規定は、ISMSマニュアルの適用範囲で規定した部署、業務に適用する。

(3) 用語の定義

  • ISMSマニュアルに従う。

(4) 事業継続管理への取り組み方針

自然災害、火災、電気・通信障害、情報システムの停止、設備の破損、情報破壊・紛失などにより事業活動が中断することは、顧客の信頼を失うとともに、会社の事業継続に影響を与えることから、これらによる作業の中断を防止するため、次の方針で取り組む。(以下、事業継続管理という)

  • リスクアセスメントを実施し作業が中断する事象を想定する。
  • 想定障害に障害レベルを設定し、万一中断が発生したときは速やかに復旧すること対応計画(事業継続計画)を策定する。
  • 早期回復のため優先順位を設定し、また復旧手順を設ける。大規模な災害が発生した場合は、従業員、その家族の安全を優先し、その上で復旧の活動を進めることとする。
  • 事業継続計画は、定期的に、また必要に応じて随時見直しを行う。
  • 復旧手順については、定期的に訓練する。

(5) 事業継続計画の策定の枠組み

リスク事象の発生時に策定した事業継続計画を確実に実施するための枠組みとして以下について取り組み、維持する。

  • 整合性の取れた事業継続計画とするため、また情報セキュリティの要求事項に沿ったものとするため、役割、責任と権限、指示/連絡系統を整備する。
  • 全社的な対応を要する事象が発生した場合は、災害対策本部の設置で対応し、部門の中で対応が取れる場合は部門長の指揮で行う体制を整える。
  • 復旧作業の迅速の観点から、復旧責任者と復旧処理の優先順位を決めておく。
  • 復旧責任者は、それぞれセキュリティ障害に対する事業継続計画の実施に責任を持つ。

(6) リスクアセスメント

  • 事業継続管理の取り組み方針に従いリスクアセスメントを実施し、阻害要因となる脅威洗い出し、発生頻度を想定する。洗い出した脅威が事業に与える影響を評価し、事業継続のための対応の基準(レベル)を設定する。
    リスクアセスメント結果を別紙1に示す。

(7) 事業継続計画の策定

  • リスクアセスメントの結果を踏まえた事業継続計画を策定する。
    また、感染症対策に対して防止策を策定する。(2020.4.7)
    事業継続計画を別紙2に示す。

(8) 災害対策本部

  • 災害対策本部の設置
    災害などにより、緊急かつ全社的な対応が必要な事象が発生した場合、社長を本部長とした災害対策本部を設置する。
    災害対策本部の設置判断は、災害対策本部長の判断とする。
  • 災害対策本部の役割
    災害対策本部長の指揮のもと、被害、障害事象に関する情報収集すると共に、下記についての全社の意思決定と集中管理を行う。
    • 応急処置、復旧対応の検討
    • 従業員、その家族への対応、顧客への対応
    • 官公署等への報告
  • 災害対策本部の構成
    災害対策本部のメンバーは以下の通りとする。
    • 災害対策本部長:社長
    • 災害対策本部メンバー:各部部長
  • 連絡網(エスカレーション)
    • 災害や事故の報告は「緊急連絡網」による。
    • 災害対策本部は、本部長が各メンバーを招集することにより編成する。

(9) 事業継続計画の試験及び評価・見直し

  • 試験の実施
    大規模災害への対応:「緊急連絡網」の確認を定期的(1回/年)に行う。
  • 教育・訓練の実施
    従業員の訓練は定期的に実施する。
    安否確認のメールアドレスは対象者が自由に変更できるために訓練前に変更の確認を再度促す。
  • 評価・見直し
    事業継続計画は年に一度定期的に見直す。
    また計画の実施、試験の実施などを行った後は、対応結果を評価し見直す。

以上

別紙1 ▼

情報システムの重大な故障または災害によるリスクアセスメント

基準レベル 内容 原因(脅威) 頻度 影響
レベル5 大規模な自然災害
  • 地震
  • 火災
  • 爆発、その他の自然災害
 1回/数十年 建物崩壊、建物破損といった重大な被害を受けた場合、業務が停止。
レベル4 個人情報・機密情報の紛失、漏えい
  • 外部要員による不正アクセス
  • 内部要員による不正アクセス
  • 人的ミスによる事故
 1回/2~3年 個人情報・機密情報の紛失、漏洩による信用の低下や信頼の失墜。ビジネス機会の損失。
レベル3 社会インフラの事故
  • 公共サービス(電力、通信網、ガス、水道)の事故、被災
 1回/2~3年 インフラサービスの提供が受けられず、システムやネットワーク停止で業務が中断。
レベル2 ハード障害
ソフト障害
  • 内部ネットワークの異常、又は停止
  • システムの異常、停止
  • サーバ等の機器装置の故障
  • 業務処理プログラムの障害
 1回/2~3年 システム、ネットワークの停止、業務が中断
レベル1 キーマン不在
  • 病気や事故による長短期の休暇
  • 事故による遅刻
 1回/2~3年 一時的な業務や運用作業が停止。

感染症によるリスクアセスメント

基準レベル 内容 原因(脅威) 頻度 影響
レベル5 出勤者30%以下
  • インフルエンザや未知のウィルス等の罹患による欠勤
 1回/数十年 開発業務、及び保守業務の停止
レベル4 出勤者50%
  • インフルエンザや未知のウィルス等の罹患による欠勤
 1回/数十年 開発業務、及び保守業務の一部停止
レベル3 出勤者60%
  • インフルエンザや未知のウィルス等の罹患による欠勤
 1回/数十年 開発業務及び保守業務に影響大
レベル2 出勤者80%
  • インフルエンザや未知のウィルス等の罹患による欠勤
 1回/数十年 開発業務、及び保守業務に影響
レベル1 キーマン不在
出勤者95%以上
  • 病気や事故による長短期の休暇
  • 事故による遅刻
 1回/2~3年 一時的な業務や運用作業が停止

別紙2 ▼

事業継続計画の対応手順と優先順位

レベル 対応方針 復旧及び
事業継続手順		 復旧までの時間 優先順位 訓練
レベル5 災害対策本部を設置して対策を講じる。
本社が機能しない場合は社長宅とする。
  • 災害対策本部長(社長)の指示で、災害対策本部を設置する。
  • 緊急連絡網により、全社員の安否確認を行う。
  • 各部長は被害状況等の情報収集を行い、災害対策本部に報告を行う。
  • 案件ごとに優先順位をつけ、それに従って対策を検討する。
 数日から数ヶ月
  • インフラ整備(電気、通信網、ガス、水道等)
  • 手作業で復旧できる本社業務の復旧
  • 社内情報システムの復旧
  • 全社の整合が取れた完全復旧
  • 避難訓練(年1回実施)
  • 安否確認訓練(不定期)
レベル4 拡大防止と情報元への対応を実施する。
  • 部門長が対応する。対策本部の設置が必要と判断した場合、社長に上申する。
  • 原因の究明を行い、拡大防止対策を実施する。
  • 紛失、漏洩した情報元に連絡し、連絡窓口を通知して対応する。
  • 官公署等へ報告する。
  • 再発防止策を検討し、実施する。
 業務は復旧するものの、信用、信頼が回復するまではかなりの時間を要する。
  • 被害拡大防止策実施(当該業務停止など)
  • 関係者(個人情報本人、取引関係、監督機関)への連絡
  • 当該業務の復旧

実施手順確認(机上訓練)
レベル3 インフラサービスの提供元との連絡を密にして回復を待つ。
  • 管理課長がインフラサービスの提供元と連絡を行い、復旧時間を交渉する。
  • 管理課長の指示でインフラサービスの復旧時間を全社員に伝える。
 インフラサービスが復旧するまで。

通信網停止の場合、利用可能な代替手段(携帯電話、公衆電話など)で業務継続

実施手順確認(机上訓練)
レベル2 リカバリプログラムを実施する。
  • 原因を調査し、情報セキュリティ管理責任者に報告する。
  • 情報セキュリティ管理責任者の指示に従ってリカバリプログラムを実施する。
 数時間から数日
  • 基幹業務(人事、経理)の復旧
  • メールシステムの復旧
  • 情報機器代替訓練(不定期)
  • データリカバリ訓練(不定期)
レベル1 引継ぎや運用マニュアルを整備しておく。
  • 交代要員に連絡し、業務を引継ぐ。
  • 交代要員が用意されていない場合は、別途要員を設定し、引継ぎを行う。
 数時間

交代要員で対応できる業務から開始する

実施手順確認(机上訓練)
ページ上部へ戻る