BCP / ISMS / ITIL

引き続き、2008年度技術士二次試験見直し

今回のネタは．．．
情報工学部門（午後）　情報システムデータ工学のI-1-4

I-1-4　情報システムに関わる以下の用語を説明せよ。
BCP (Business Continuity Plan), ISMS (Information Security Management System), ITIL (Information Technology Infrastructure Library)

この設問は、どう捕らえてよいのか難しいところですね。正直、よく分かりません。
技術士の試験である以上、単に物知りクイズというのでは無いはずです。
BCP/ISMSとITILだと話のLevelが異なると思うのですが．．．どう応えればよいのか？
とりあえず、BCPとISMSは綺麗に纏めて、ITILは別な話として考えて見ます。

個人的な考え方では、BCPもISMSも情報システムの問題と言うよりは企業経営・企業統治の問題で、純粋な情報工学の話では無いと思います。とは言え、最終的に情報システムの話も入ってきますし、技術士に求められるものが単なる技術的知識だけでなく、その社会に及ぼす影響や社会的背景といったことが問われてくるので、おさえておくべき内容なのでしょう。

先ず、BCPとISMSですが、背景には企業活動のグローバル化があるのだと考えています。つまり、企業活動に関わる利害関係者が増えるに従って、一つの企業の問題が多くの企業に影響を及ぼすようになってきた。例えばBCPであれば、新潟中越沖地震における、ピストンリングメーカー・リケンの問題が有名です（http://itpro.nikkeibp.co.jp/article/COLUMN/20080723/311320/）。この例は、代替メーカーのいない状態でのリケンへの部品供給の依存により、多くの自動車メーカーがリケンの操業停止の影響を受け減産に追い込まれましたというものです。ISMSは扱うもの自身は情報セキュリティですが、企業活動において取引相手の情報セキュリティの管理体制が自社の経営に影響を及ぼすという点では同じ様な位置付けと考えて良いのではないでしょうか。

両社に共通して言えることは、「取引相手がちゃんとそういったことを考えておいてくれないと、危なくって取引できない」ということです。ですので、BCPもISMSも認証制度があります。ISMSは元はBS7799として英国で、その後ISO/IEC17700としてISOかされています。BCPは2007年末にBS25999として、BS化していますが、未だISO化まではしていません。そういった意味では、ISO9000シリーズやISO14000シリーズと似たような考え方と考えてよいのでしょう。

何れもいっていることは正しいのですが、個人的には、なんでもかんでもこうして認証制度化するというのは、どうなんだろう？？？という違和感もあります。

では、本題のBCPとISMSに関してですが、いろんなサイトから言葉を繋げると以下のような感じでしょうか？

BCP (Business Continuity Plan)
天災・戦争といった不測の事態に対して、事業を継続するための事前の対策。ここには、そういった事態に対して事業を継続・早期復旧のための対策から、維持・撤退の判断のプロセスも含む。昨今の企業活動において、情報システムは基盤をなすものである為、情報システムの不測の事態におけるサービスの継続、バックアップ・復旧等もBCPの一部として重要である。従来のバックアップを中心としたディザスタリカバリに加えて、事業継続の視点からリカバリにどの程度の時間が許されるのかといった視点や、サービスの継続の観点から、システムの冗長化やASPを利用したアウトソーシングまでを考慮するひつようがある。

ISMS (Information Security Management System)
企業などの組織が情報を適切に管理し、機密を守るための包括的な枠組み。コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針やそれに基づいた具体的な計画・実施・見直しまでを含むものである。ISMSでは情報の重要性の決定等は企業の判断に委ねられており、組織が情報セキュリティ確保・維持するためのPDCAサイクルに基づいた枠組みであり、第三者機関により、客観的に評価し認証する制度でもある。


ITILはBCPやISMSとは異なり、情報システムの運用のBest Practiceとい位置付けだと思います。先ずは、言葉の定義を各種サイトからの継ぎ接ぎで作っておきます。

ITIL (Information Technology Infrastructure Library)
情報システム運用管理のベストプラクティスの標準であり、サービスサポート・サービスデリバリの2つのカテゴリに対して標準を提供する。サービスサポートはサービスデスクの運用からインシデント管理等のサポート業務の標準であり、サービスデリバリはサービスレベル管理から、財務管理・可用性管理といった、サービスの管理業務の標準である。

ITILにもBS15000およびISO/IEC20000の認証制度があります。ただ、BCP・ISMSの場合、一般的な企業にたいして、「取引相手がちゃんとそういったことを考えておいてくれないと、危なくって取引できない」と、いう意味で必要とされていた認証であるのに対し、ITILの認証は運用まで請け負うSIやASP等の情報システムサービスの提供者が、サービス利用者に対してサービスのレベルを証明するためのもので、ちょっと位置づけが違います。

とは言え、情報システムに関するアウトソーシングという観点から言うと、認証が必要な背景はおなじとも言えなくもありません。

しかし、認証だらけの世の中ですねぇ．．．