ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Информационные технологии.

Сеть управления электросвязью

РАСШИРЕННАЯ СХЕМА ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ СВЯЗИ (еТОМ)

Декомпозиция и описания процессов. Процессы уровня 2 еТОМ. Управление организацией. Управление рисками организации

ITU-T М.3050.2 (03.2007) (NEQ)

Издание официальное

Москва

Стандартинформ

2015

Предисловие

1    РАЗРАБОТАН Автономной некоммерческой организацией «Научно-технический центр информатики» (АНО «НТЦИ»)

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 480 «Связь»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 июня 2015 г. № 594-ст

4    Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта МСЭ-Т М.3050.2. (03.2007) «Сеть управления электросвязью. Расширенная схема деятельности организации связи. Декомпозиция и описания процессов» [ITU-T М.3050.2 (03.2007) «Telecommunications management network. Enhanced Telecom Operations Map (eTOM) — Process decompositions and descriptions», NEQ]

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Продолжение таблицы 1

Иденти фикатор Наименование элемента процессов Функциональная характеристика Процессы оперативного управления безопасностью, осуществляющие сбор детальных данных о деятельности организации, а также анализ данных мониторинга деятельности на наличие потенциальных угроз или нарушений безопасности. По выявленным угрозам/нарушениям безопасности проводят следственные действия для обнаружения злоумышленников. Процессы внешних взаимодействий с другими системами безопасности, полицией и следственными органами. Процессы управления безопасностью применяют на разных уровнях архитектуры организации, на всех уровнях управления сетью и на уровне пользователя 1.3.2.3 Борьба с мошенничеством (Fraud management) Процессы формирования корпоративной политики борьбы с мошенничеством, подготовки руководств, применения лучших практик и процедур управления для минимизации вреда от мошенничества. Процессы выявления мошеннических действий в финансовой области, в области интеллектуальной собственности, при краже персональных данных и других действиях, приводящих к потере доходов или к ухудшению репутации организации. Процессы упреждающей борьбы с мошенничеством, осуществляющие определение областей риска мошенничества (внутренние и внешние источники рисков) и мониторинг отраслевых тенденций и лучших практик для поддержания организации на современном уровне защиты от мошенничества. Области риска мошенничества разделяют по категориям и приоритетам. Поддержка процессов из области OPS, осуществляющих внедрение процедур борьбы с мошенничеством и средств мониторинга. Процессы оперативной борьбы с мошенничеством, осуществляющие сбор детальных данных о деятельности организации, а также анализ данных мониторинга деятельности на наличие потенциальных случаев мошенничества. По выявленным фактам мошенничества проводят следственные действия для обнаружения злоумышленников. Процессы борьбы с мошенничеством применяют на разных уровнях архитектуры организации, на всех уровнях управления сетью и на уровне пользователя 1.3.2.4 Управление аудитом (Audit management) Процессы предоставления высшему руководству организации гарантий в том, что операционные процессы и средства управления работают эффективно и соответствуют стандартам, принятым в организации (к принятым стандартам относятся как государственные и отраслевые стандарты, так и стандарты организации). Примечание — Процессы аудита могут выполняться как внешними независимыми организациями, так и специалистами своей организации. Процессы разработки методологии оценки рисков и систем учета количественных показателей, а также процессы уведомления эксплуатационного персонала. Процессы выбора, назначения приоритетов и управления программами аудита, процессы определения политик и процедур аудита, оценки операционной деятельности. Процессы выполнения оценок с помощью средств управления, в какой мере операционные процедуры выполняются и насколько они эффективны. Процессы выпуска отчетов для высшего руководства о соответствии требованиям и отчетов о имеющихся возможностях организации 1.3.2.5 Управление страхованием (Insurance management) Процессы оценки и управления рисками организации, которые подлежат страхованию. Процессы выявления областей и видов деятельности в пределах организации, где риски подлежат страхованию, и процессы анализа стоимости/преиму-ществ, связанных с конкретными видами страхования. Процессы информирования и консультирования по вопросам страхования деятельности организации. Процессы администрирования политик и номенклатуры страхования 1.3.2.6 Г арантирование доходов (Revenue assurance management) Процессы внедрения базовой архитектуры политики гарантирования доходов и сопутствующих операционных средств, способных разрешить любые выявленные случаи снижения и потери доходов.

Окончание таблицы 1

Иденти фикатор Наименование элемента процессов Функциональная характеристика Процессы выявления областей рисков утечек доходов внутри организации. Области риска утечек доходов разделяют по категориям и приоритетам. Процессы мониторинга отраслевых тенденций и лучших практик для поддержания организации на современном уровне минимизации потерь от утечек доходов. Поддержка процессов из областей SIP и OPS, осуществляющих внедрение процедур гарантирования доходов и сопутствующих средств мониторинга. Процессы сбора детальных данных о деятельности организации и анализа данных мониторинга деятельности для выявления и устранения утечек доходов. К процессам гарантирования доходов относятся процессы, выполняющие следующие функции: -    ввод в действие и управление базовой архитектурой политики гарантирования доходов, включая средства управления и измерения; -    ввод в действие и управление средствами операционных процессов, которые способны выявить и разрешить случаи снижения и потери доходов; -    ввод в действие и управление средствами периодического пересмотра базовой архитектурой политики гарантирования доходов с тем, чтобы она соответствовала изменяющимся целям организации

8

ГОСТ P 53633.10—2015

Приложение А (обязательное)

Наименования и идентификаторы элементов процессов уровня 2 для группы процессов

«Управление рисками организации»

А.1 Наименования и идентификаторы элементов процессов уровня 2 для группы процессов «Управление рисками организации» (Enterprise risk management) должны соответствовать данным таблицы А.1.

Таблица А.1 — Группа процессов «Управление рисками организации»

Идентификатор	Наименование элемента процессов	Английский эквивалент наименования
1.3.2.1	Обеспечение непрерывности бизнеса	Business continuity management
1.3.2.2	Управление безопасностью	Security management
1.3.2.3	Борьба с мошенничеством	Fraud management
1.3.2.4	Управление аудитом	Audit management
1.3.2.5	Управление страхованием	Insurance management
1.3.2.6	Гарантирование доходов	Revenue assurance management

9

УДК 621.391:006.354    ОКС 35.020

Ключевые слова: еТОМ, общая структура бизнес-процессов, группы процессов, элементы процессов, декомпозиция процессов

10

Редактор М.М. Меламед Технический редактор В.Н. Прусакова Корректор Е.Д. Дульнева Компьютерная верстка Л.А. Круговой

Сдано в набор 03.08.2015. Подписано в печать 27.08.2015. Формат 60 х 84^. Гарнитура Ариал. Уел. печ. л. 1,86. Уч.-изд. л. 1,40. Тираж 34 экз. Зак. 2880.

Издано и отпечатано во ФГУП «СТАНДАРТИНФОРМ», 123995 Москва, Гранатный пер., 4. www.gostinfo.ru    info@gostinfo.ru

ГОСТ P 53633.10—2015

Содержание

1    Область применения............................................1

2    Нормативные ссылки............................................1

3    Термины и определения..........................................2

4    Общие положения.............................................3

5    Идентификация процессов.........................................3

6    Структура и назначение процессов группы «Управление рисками организации»...........5

7    Элементы процессов уровня 2 для группы «Управление рисками организации»...........6

Приложение А (обязательное) Наименования и идентификаторы элементов процессов уровня 2

для группы процессов «Управление рисками организации»..............9

Введение

Группа стандартов «Расширенная схема деятельности организации связи (еТОМ)» разработана с учетом рекомендаций М.3050.x сектора стандартизации электросвязи Международного союза электросвязи (МСЭ-Т).

Рекомендации по еТОМ (Enhanced Telecom Operations Мар) входят в состав серии рекомендаций М.Зххх МСЭ-Т, которая стандартизирует «Сеть управления электросвязью» TMN (Telecommunications Management Network) — модель управления оборудованием, сетями и услугами электросвязи.

Стандарты еТОМ устанавливают классификационную схему производственных процессов организаций связи, терминологию, метод иерархической декомпозиции процессов, стандартные элементы процессов и методологию построения моделей производственных процессов из стандартных элементов.

Модель еТОМ, определенная группой рекомендаций МСЭ-Т по еТОМ, была разработана международной ассоциацией ТМ Forum (Форум управления телекоммуникациями) в рамках программы работ «Новое поколение систем управления и программного обеспечения» NGOSS (New Generation Operations Systems and Software).

Модель еТОМ предназначена для применения при моделировании и реорганизации производственных процессов, при разработке систем управления и OSS/BSS — систем поддержки деятельнос-ти/бизнеса организаций связи, при системной интеграции систем автоматизации производственных процессов из компонентов разных производителей.

Общая структура бизнес-процессов еТОМ, стандартизированная в ГОСТ Р 53633.0, определяет структуры уровней для уровней 0 и 1 еТОМ, а также их элементы. Структуры и элементы процессов для уровней 2 и 3 иерархической структуры еТОМ определяются другими стандартами группы еТОМ.

Структура и элементы процессов уровня 2 образованы в результате декомпозиции групп процессов уровня 1 еТОМ. Каждой группе процессов уровня 1 соответствует своя совокупность элементов процессов уровня 2, которая устанавливается отдельным стандартом.

Настоящий стандарт определяет структуру и элементы процессов уровня 2 для группы процессов уровня 1 «Управление рисками организации» в главной области процессов «Управление организацией».

Соблюдение основных положений стандарта при автоматизации деятельности организаций связи обеспечит возможность построения систем автоматизации из компонентов со стандартными интерфейсами и позволит выбирать лучшие в своем классе компоненты среди компонентов разных производителей.

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии. Сеть управления электросвязью

РАСШИРЕННАЯ СХЕМА ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ СВЯЗИ (еТОМ)

Декомпозиция и описания процессов. Процессы уровня 2 еТОМ.

Управление организацией. Управление рисками организации

Information technologies. Telecommunications management network. Enhanced telecom operations map (eTOM). Process decompositions and descriptions. eTOM level 2 processes. Enterprise management. Enterprise risk

management

Дата введения — 2015—09—01

1    Область применения

Настоящий стандарт устанавливает структуру и элементы процессов уровня 2 для группы процессов «Управление рисками организации» (Enterprise risk management), являющейся элементом структуры уровня 1 в главной области «Управление организацией» модели еТОМ (Enhanced Telecom Operations Мар). Эта группа процессов определена в базовом стандарте ГОСТ Р 53633.0.

Настоящий стандарт распространяется на процессы управления рисками, которые включают выявление рисков и угроз доходам или репутации организации, выполнение необходимых управляющих действий для минимизации или устранения влияния выявленных рисков. Успешное управление рисками позволяет организации выполнять свои критически важные функции, процессы и приложения в условиях серьезных инцидентов, связанных с угрозами/нарушениями безопасности и с попытками мошенничества.

Стандарт предназначен для применения организациями связи, системными интеграторами и производителями систем автоматизации производственных процессов.

Организации связи, выступающие в роли оператора связи и/или оператора сети, могут применять настоящий стандарт при моделировании, оптимизации и реорганизации производственных процессов и структуры организации, а также при заказе систем автоматизации производственных процессов.

Системные интеграторы могут применять настоящий стандарт при проектировании комплексных систем автоматизации производственных процессов с использованием систем и компонентов разных производителей.

Производители систем автоматизации производственных процессов могут применять настоящий стандарт при разработке компонентной структуры и интерфейсов своих систем, а также при согласовании с заказчиками требований на их поставку.

Требования настоящего стандарта не распространяются на действующие стандарты, которые были приняты до введения его в действие.

2    Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 53633.0-2009 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (еТОМ). Общая структура бизнес-процессов.

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указате-

Издание официальное

лю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1    бизнес-процесс (business process): Производственный процесс организации связи.

3.2    иерархическая декомпозиция процесса (hierarchical process decomposition): Метод последовательной детализации процессов более высокого уровня на процессы более низкого уровня с целью обеспечения возможности моделирования протекания процессов высокого уровня с помощью процессов нижележащего уровня.

3.3    клиент (customer): Физическое или юридическое лицо, покупающее у организации связи или получающее бесплатно продукты и услуги.

3.4    оператор связи (service provider): Юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии; поставщик инфокоммуни-кационных услуг клиентам.

3.5    оператор сети (network operator): Организация связи, производственная деятельность которой направлена на предоставление трактов передачи информации и соединений через сети электросвязи.

3.6    организация (enterprise): Юридическое лицо, осуществляющее деятельность в области связи в качестве основного вида деятельности.

3.7    основная деятельность (operations; OPS): Главная область бизнес-процессов еТОМ, относящихся к повседневной деятельности персонала организации.

3.8    партнер (partner): Участник совместной с организацией связи деятельности по предоставлению услуг клиентам, связанный с организацией договорными отношениями, которые определяют долю прибыли и материальную ответственность по рискам.

3.9    поставщик (supplier): Юридическое лицо, взаимодействующее с организацией связи в обеспечении товаров и услуг, которые используются организацией при предоставлении продуктов и услуг клиентам.

Примечание — Предполагается, что организация связи использует средства еТОМ для моделирования своих производственных процессов.

3.10    продукт (product): Материальная и/или нематериальная сущность, предлагаемая или предоставляемая организацией связи клиенту.

Примечание — Продукт должен включать компонент предоставления услуги. Продукт может включать также обработанные материалы, программное обеспечение и/или аппаратные средства и любую их комбинацию.

3.11    процесс (process): Последовательность связанных действий или задач, необходимых для достижения определенного результата.

3.12    расширенная схема деятельности организации связи (Enhanced Telecom Operations Мар; еТОМ): Эталонная общая структура производственной деятельности организации связи, определяющая стандартные элементы процессов, из которых должны строиться модели всех производственных процессов.

3.13    ресурсы (resource): Физические и логические компоненты, используемые для формирования услуг.

Примечание — В качестве ресурсов используются приложения, средства вычислительной техники и элементы сетевой инфраструктуры.

3.14    сеть управления электросвязью (Telecommunications Management Network; TMN): Модель управления оборудованием, сетями и услугами электросвязи, определенная в серии рекомендаций М.3000 МСЭ-Т.

ГОСТ P 53633.10—2015

3.15    система поддержки бизнеса (Business Support System; BSS): Система, поддерживающая процессы еТОМ из главной области «Стратегия, инфраструктура и продукт».

3.16    система поддержки основной деятельности (Operations Support System; OSS): Система, поддерживающая процессы еТОМ из главной области «Основная деятельность».

3.17    сквозной процесс (end-to-end process flow): Совокупность всех подпроцессов, действий и порядок их следования, которые необходимы для достижения целей выполнения процесса.

Примечание — Сквозные процессы проектируются с использованием стандартных элементов процессов, определенных в еТОМ.

3.18    стратегия, инфраструктура и продукт (Strategy, infrastructure and product; SIP): Главная область бизнес-процессов еТОМ, осуществляющих планирование и управление жизненным циклом сетевой инфраструктуры и продуктов.

3.19    сущность (entity): Конкретизация или абстракция, различаемые в пределах системы.

Примечание — Примерами сущностей являются система, подсистема, компонент, класс, объект, интерфейс, клиент, процесс, приложение, спецификация.

3.20    управление организацией (Enterprise Management; ЕМ): Главная область бизнес-процессов еТОМ, осуществляющих управление организацией и поддержку ее бизнеса.

3.21    услуга связи (service): Деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений. Является составной частью продукта, предназначенной для продажи клиенту в составе продукта.

Примечание — Одна и та же услуга может входить во множество различных продуктов, предоставляемых по различной цене.

3.22    цепочка поставок (supply chain): Сущности и процессы, в том числе внешние процессы организации, которые задействованы при поставке товаров и услуг, необходимых для предоставления продуктов и услуг клиентам.

3.23    элементы процессов (process elements): Стандартные блоки или компоненты, используемые для сборки сквозных бизнес-процессов.

4    Общие положения

4.1    Расширенная схема деятельности организации связи (еТОМ) является инструментальным средством для моделирования, анализа, оптимизации и реорганизации производственных процессов и структуры организаций связи.

4.2    Стандартные группы процессов уровня 1 и элементы процессов уровней 2 и 3 еТОМ являются категориями, используемыми для классификации производственных процессов организации, а не моделями реальных процессов. Они определены с максимально возможной степенью общности таким образом, чтобы быть независимыми от продуктов, услуг и технологий сетей электросвязи.

4.3    Настоящий стандарт устанавливает структуру и элементы процессов уровня 2 для группы процессов уровня 1 «Управление рисками организации» из главной области «Управление организацией».

Элементы процессов уровня 2, определенные настоящим стандартом, могут использоваться в качестве строительных блоков при построении потоковых диаграмм реальных производственных процессов, связанных с выявлением рисков, инцидентов нарушения безопасности, фактов мошенничества и угроз потери доходов, а также при построении процессов, которые обеспечивают минимизацию или устранение влияния выявленных рисков.

5    Идентификация процессов

5.1 Для индикации позиционирования элементов процессов уровня 2 на графическом представлении структуры уровня 1 еТОМ применяют пиктограммы матричной структуры еТОМ. Матричная структура образуется путем наложения вертикальных групп процессов на горизонтальные группы процессов еТОМ.

Место элемента процессов или группы процессов в структуре уровня 1 еТОМ показывают путем выделения темным фоном соответствующих элементов матрицы на пиктограмме.

На рисунке 1 приведено стандартное графическое представление структуры уровня 1 еТОМ в соответствии с ГОСТ Р 53633.0. Пиктограмма группы «Управление рисками организации» представлена на рисунке 2. На обоих рисунках рассматриваемая группа процессов выделена темным фоном.

Управление организацией (ЕМ)

Планирование Управление рисками организации Управление Управление знаниями стратегии и развития эффективностью организации организации организации и исследованиями

Управление финансами и активами Управление отношениями с заинтересованными сторонами и внешними связями Управление персоналом

Рисунок 1 — Структура уровня 1 общей структуры бизнес-процессов еТОМ

ш

Рисунок 2 — Пиктограмма группы процессов уровня 1 «Управление рисками организации»

4

ГОСТ Р 53633.10-2015

5.2    В еТОМ принята схема нумерации главных областей, групп и элементов процессов с помощью идентификаторов процессов ID (identifier). Идентификатор процессов имеет следующий формат:

aaaaaa.b.x.c.d.e,

где аааааа — номер, назначаемый организацией связи. Этот номер является префиксом к Ю стандартного элемента процесса. Префикс применяется в тех случаях, когда организация считает необходимым расширить или изменить определен нестандартного элемента процесса; b— цифра, указывающая разработчика процесса. Значение 1 относится кТМ Forum, значение 2 — ко всем другим разработчикам; х— цифра, представляющая номер главной области процессов. Принята следующая нумерация: 1 — «Основная деятельность» OPS, 2 — «Стратегия, инфраструктура и продукт» SIP, 3 — «Управление организацией» ЕМ; с — цифра, представляющая номер группы процессов уровня 1 в пределах главной области. В главных областях OPS и SIP принята нумерация горизонтальных групп процессов сверху вниз в пределах области в соответствии с рисунком 1; d — цифра, представляющая номер элемента процессов уровня 2 в структуре группы процессов уровня 1;

е — цифра, представляющая номер элемента процессов уровня 3 в структуре элемента процессов уровня 2.

5.3    Идентификаторы процессов связаны с функциональными описаниями групп и элементов процессов еТОМ и используются в качестве ссылок на определения стандартных процессов.

6 Структура и назначение процессов группы «Управление рисками организации»

6.1 Структура группы процессов «Управление рисками организации» и соответствующие элементы процессов уровня 2 приведены на рисунке 3.

Идентификатор группы: 1.3.2.

I .. I    I    I

Обеспечение непрерывности бизнеса Управление безопасностью Борьба с мошенничеством Управление аудитом Управление страхованием Гарантирование доходов

Рисунок 3 —Декомпозиция группы процессов «Управление рисками организации» на элементы процессов уровня 2

6.2    Процессы группы 1.3.2 предназначены для выявления рисков и угроз потери доходов или репутации организации, кроме того, они должны обеспечивать минимизацию или устранение влияния выявленных рисков. Обнаружение рисков должно осуществляться как для физических, так и для логи-ческих/виртуальных рисков.

6.3    Процессы управления рисками должны обеспечивать выполнение целевых задач, процессов, приложений и взаимодействий в условиях серьезных инцидентов, связанных с угрозами/наруше-ниями безопасности и с попытками мошенничества.

6.4    Процессы страхования рисков должны применяться к внешним рискам, которые не могут быть минимизированы или устранены с помощью процессов, выполняющихся внутри организации.

6.5    Процессы аудита должны обеспечивать независимую оценку эффективности применения защитных и восстановительных действий.

5

6.6 Данные соответствия идентификаторов элементов процессов уровня 2 наименованиям этих процессов в составе группы процессов «Управление рисками организации» представлены в таблице А.1 приложения А.

7 Элементы процессов уровня 2 для группы «Управление рисками организации»

7.1    Функциональные описания элементов процессов уровня 2 устанавливают классификационные признаки, по которым реальные процессы могут быть отнесены к категории процессов, соответствующей конкретному элементу процессов.

7.2    Функциональное описание для элемента процессов уровня 2 содержит: идентификатор, наименование и функциональную характеристику. Всем элементам процессов уровня 2 соответствует одна общая пиктограмма, показанная на рисунке 2. Реальный процесс считается относящимся к стандартному элементу процессов еТОМ, если он выполняет одну из функций, указанных в функциональной характеристике элемента процессов.

7.3    Функциональные описания элементов процессов уровня 2 для группы «Управление рисками организации» должны соответствовать данным таблицы 1.

Таблица 1 — Функциональные описания элементов процессов уровня 2 для группы «Управление рисками организации»

Иденти фикатор Наименование элемента процессов Функциональная характеристика 1.3.2.1 Обеспечение непрерывности бизнеса (Business continuity management) Процессы разработки стратегий, политик, планов, ответственности подразделений и процедур реагирования, предназначенных для обеспечения бесперебойного функционирования бизнеса в случаях серьезных и/или длительных аварий. Процессы ввода в действие планов и процедур, обеспечивающих непрерывное функционирование бизнеса или выполняющих рестарт основных бизнес-процессов для восстановления возможностей инфраструктуры до нормальных уровней. К процессам обеспечения непрерывности относятся процессы, выполняющие следующие функции: -    планирование непрерывности бизнеса, в том числе предварительное планирование и тестирование непрерывности бизнеса и эксплуатационных процедур; -    планирование восстановления инфраструктуры, обеспечивающее предварительную подготовку и тестирование процедур резервного копирования и восстановления для всех основных аспектов инфраструктуры; -    планирование управления важными инцидентами, включающее назначение ролей и ответственности персоналу, а также предварительную подготовку эксплуатационных процедур и критериев реагирования на аномальные ситуации; -    планирование восстановления бизнеса после катастроф 1.3.2.2 Управление безопасностью (Security manage ment) Процессы оценки угроз организации и обеспечения средств и управляющих воздействий для минимизации выявленных угроз. Процессы принимают меры по отношению к внутренним и внешним источникам нарушения безопасности. Процессы формирования корпоративной политики управления безопасностью, подготовки руководств, применения лучших практик и аудита на соответствие требованиям организации. Процессы упреждающего управления безопасностью, осуществляющие определение областей угроз (внутренние и внешние источники угроз) и мониторинг отраслевых тенденций и лучших практик для поддержания системы обеспечения безопасности организации на современном уровне. Примечание — Области угроз могут быть физическими (например, взлом, теракт, несанкционированное использование сети) или логическими (например, несанкционированный доступ и использование информационной технологии). Области угроз разделяют по категориям и приоритетам. Поддержка процессов из областей SIP и OPS, осуществляющих внедрение физической инфраструктуры, процедур управления безопасностью и средств мониторинга.