Товары в корзине: 0 шт Оформить заказ
Стр. 1 

46 страниц

Содержит руководство, разработанное на основе лучшей международной практики по планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению документированной системы менеджмента непрерывности бизнеса, позволяющей организации быть готовой к инциденту, предпринять ответные меры и восстановить свою деятельность при возникновении разрушительных инцидентов.

 Скачать PDF

Идентичен ISO 22313:2012

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Область применения и условия деятельности

     4.1 Понимание особенностей организации и условий ее деятельности

     4.2 Понимание потребностей и ожиданий заинтересованных сторон

     4.3 Определение области применения системы менеджмента

     4.4 Система менеджмента непрерывности бизнеса

5 Лидерство

     5.1 Лидерство и приверженность

     5.2 Приверженность руководства

     5.3 Политика

     5.4 Функции, ответственность и полномочия

6 Планирование

     6.1 Действия по определению риска и возможностей организации

     6.2 Цели в области обеспечения непрерывности бизнеса и планы их достижения .

7 Поддержка

     7.1 Ресурсы

     7.2 Компетентность

     7.3 Осведомленность

     7.4 Обмен информацией

     7.5 Документированная информация

8 Деятельность

     8.1 Планирование и контроль

     8.2 Анализ воздействий на бизнес и оценка риска

     8.3 Стратегия непрерывности бизнеса

     8.4 Установление и выполнение процедур непрерывности бизнеса

     8.5 Учения и проверки

9 Анализ деятельности

     9.1 Мониторинг, измерение, анализ и сравнительная оценка

     9.2 Внутренний аудит

     9.3 Анализ со стороны руководства

10 Улучшение

     10.1 Несоответствия и корректирующие действия

     10.2 Непрерывное улучшение

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Библиография

 

46 страниц

Дата введения01.07.2016
Добавлен в базу01.02.2017
Актуализация01.01.2019

Этот ГОСТ находится в:

Организации:

18.11.2015УтвержденФедеральное агентство по техническому регулированию и метрологии1852-ст
ИзданСтандартинформ2015 г.
РазработанОАО НИЦ КД

Business continuity management systems. Guidance for implementation

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ГОСТ Р исо 22313—

2015

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Руководство по внедрению

ISO 22313:2012

Societal security — Business continuity management systems — Guidance

(IDT)

Издание официальное

Москва

Стандартинформ

2015

Предисловие

1    ПОДГОТОВЛЕН Открытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ОАО «НИЦ КД») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. № 1852-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 22313:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство» (ISO 22313:2012 «Societal security — Business continuity management systems — Guidance»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost. ги)

© Стандартинформ, 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Организация должна обеспечить, чтобы ее СМНБ функционировала в соответствии с правовыми и обязательными требованиями, а также требованиями заинтересованных сторон.

Организация должна пересмотреть существующие и разрабатывающиеся правовые и обязательные требования, которые могут включать в себя:

a)    ответные меры на инцидент: включая контроль чрезвычайной ситуации и правовые акты, касающиеся здоровья, безопасности и благосостояния;

b)    непрерывность: могут быть установлены область применения программы или объем и скорость выполнения ответных мер;

c)    риск: требования, определяющие область применения или методы программы менеджмента риска;

d)    опасности: требования функционирования, связанные с использованием опасных материалов, хранящихся в организации.

Примечание — Организации, имеющие отделения в других странах, часто должны учитывать требования, подпадающие под разные юрисдикции.

4.3    Определение области применения системы менеджмента
4.3.1    Общие положения

Организация должна определить область применения СМНБ и удобным способом обеспечить доведение ее до заинтересованных сторон. Важно, чтобы ограничения и применимость СМНБ были понятны и чтобы область применения включала вопросы, указанные в 4.1 и 4.2.

Область применения охватывает продукцию и услуги, отделения организации, функции, процессы и виды деятельности, на которые распространяется СМНБ. Это означает, что все зависимые лица должны быть вовлечены в процесс, даже если они четко не указаны в описании области применения. Например, если в области применения указано «вознаграждение работникам», значит, наличие фондов, утверждение руководством и распоряжение финансовым учреждениям осуществить платеж также должны входить в область применения по умолчанию.

Организация должна дать четкое описание области применения и содержания СМНБ в соответствующих документах.

4.3.2    Область применения СМНБ

Организация должна определить и документировать область применения СМНБ способом, соответствующим ее размеру, возможностям и структуре.

В области применения должны быть указаны:

a)    структурные подразделения организации, входящие в СМНБ;

b)    требования организации, относящиеся к СМНБ с учетом ее миссии, целей, юридической ответственности, внутренних и внешних обязательств;

c)    продукция и услуги организации с указанием всех связанных с ними видов деятельности, ресурсов и поставщиков;

d)    потребности и интересы заинтересованных сторон.

Область применения также может:

-    включать индикацию масштаба инцидента, при котором инцидент оказывает влияние на СМНБ, а также степень допустимого риска организации;

-    определять, как СМНБ организации интегрируется в общую стратегию менеджмента риска (если она имеется). Если часть организации не входит в область применения СМНБ, организация должна отразить это в документах с объяснением причины.

Цель определения области применения СМНБ заключается в том, чтобы обеспечить включение в СМНБ всех соответствующих видов деятельности, отделений и поставщиков (8.2.1, рисунок 6).

4.4    Система менеджмента непрерывности бизнеса

Основные требования к СМНБ, приведенные в ИСО 22301, не содержат руководства по внедрению СМНБ.

5 Лидерство

5.1 Лидерство и приверженность

Руководители всех соответствующих уровней организации должны демонстрировать свою приверженность и лидерство в выполнении политики и целей в области обеспечения непрерывности бизнеса. Это может быть достигнуто путем мотивации, вовлечения и расширения полномочий.

4

ГОСТ Р ИСО 22313-2015
5.2    Приверженность руководства

Руководство должно демонстрировать свою приверженность СМНБ.

Руководство должно представить свидетельства своей приверженности созданию и внедрению СМНБ, а также постоянному повышению ее результативности путем:

a)    соответствия действующим юридическим требованиям, а также другим требованиям организации (4.2.2);

b)    интегрирования процессов СМНБ в применяемые организацией процедуры поддержания и анализа процедур СМНБ;

c)    приведения политики и целей в области обеспечения непрерывности бизнеса в соответствие с целями, обязательствами и направлением стратегического развития организации (5.3);

d)    назначения одного или нескольких лиц, обладающих соответствующими полномочиями и компетенцией, ответственными за СМНБ и отвечающими за ее результативную работу (5.4);

e)    установления функций, ответственности и полномочий СМНБ (5.4);

f)    обеспечения достаточных ресурсов, включая соответствующий уровень финансирования (7.1);

д) информирования организации о важности осуществления политики и целей в области обеспечения непрерывности бизнеса (7.4);

h)    активного участия в учениях и проверках (8.5);

i)    проведения внутреннего аудита СМНБ (9.2);

j)    проведения анализа СМНБ со стороны руководства (9.3);

k)    оказания поддержки СМНБ, направленной на ее улучшение (10).

Приверженность руководства также может быть продемонстрирована путем:

-    оперативной работы в подготовительных группах;

-    включения вопросов из области обеспечения непрерывности бизнеса в повестку дня совещаний в качестве постоянного пункта.

5.3    Политика

Руководство должно определить политику в области обеспечения непрерывности бизнеса с учетом целей и обязательств организации и обеспечить:

-    соответствие политики назначению организации (с учетом размера организации, ее особенностей и структуры, а также традиций организации, ее зависимых сторон и рабочего окружения);

-    создание структуры объективного управления политикой;

-    наличие четких обязательств, связанных с применимыми требованиями, включая нормативноправовые обязательства и постоянное улучшение СМНБ;

-    доведение до сведений персонала организации и разъяснение политики в области СМНБ;

-    дополнение других важных стратегий;

-    доведение политики до сведения заинтересованных сторон после ее утверждения руководством.

Необходимо предусмотреть приемлемые условия для утверждения политики, хранения документированной информации о ней и периодического ее анализа (например, раз в год), а также при значительных изменениях внутренних или внешних условий (например, изменениях состава высшего руководства или введении новых законодательных актов). Пригодность таких требований зависит от размера, сложности, особенностей и структуры организации.

Политика должна также:

-    обеспечивать границы области применения системы менеджмента непрерывности бизнеса организации, включая ограничения и исключения;

-    определять необходимых полномочных и делегированных лиц, включая лицо или лица, отвечающие за СМНБ организации;

-    установить критерии для определения типов и масштабов рассматриваемых инцидентов;

-    содержать ссылки на стандарты, рекомендации, положения и стратегии, которым СМНБ должна соответствовать.

Политика в области обеспечения непрерывности бизнеса может содержать:

-    ключевые условия;

-    финансовые обязательства;

-    ссылки на другие важные стратегии;

-    требование обеспечивать непрерывность бизнеса;

-    обязательство выполнять и поддерживать непрерывность бизнеса.

5

5.4 Функции, ответственность и полномочия

Руководство должно обеспечить распределение ответственности и полномочий внутри СМНБ.

Один из членов руководства организации должен быть ответственным за СМНБ в целом.

Руководство организации должно возложить на представителей руководства (одного или нескольких) функции, ответственность и полномочиями:

-    по обеспечению разработки внедрения и функционирования МНБ в соответствии с политикой в области обеспечения непрерывности бизнеса;

-    по представлению отчетов о работе МНБ руководству для анализа и улучшения МНБ;

-    по повышению осведомленности о деятельности по обеспечению непрерывности бизнеса внутри организации;

-    по обеспечению результативности процедур, разработанных для принятия ответных мер при возникновении инцидента, при этом их проведение во время инцидента может быть необязательным.

Представитель руководства может:

-    быть «руководителем в области непрерывности бизнеса»;

-    быть ответственным за другие участки работы в организации;

-    совмещать несколько функций в организации в зависимости от ее размера, сложности и особенностей.

От каждого подразделения и каждой функции организации могут быть назначены представители для оказания содействия в применении СМНБ. Их обязанности, подотчетность, ответственность и полномочия должны быть отражены в должностных инструкциях, которые могут быть частью политики организации по оценке, вознаграждению и признанию труда работников.

Руководство может назначить другие органы, например комитет для осуществления общего надзора за внедрением и непрерывного мониторинга МНБ.

Все функции, ответственность и полномочия персонала в области МНБ должны быть определены, документированы и быть объектом аудита.

6 Планирование

6.1    Действия по определению риска и возможностей организации

Организация должна определить способ работы с вопросами, идентифицированными в 4.1, и требованиями, установленными в 4.2. Для этого необходимо решить, насколько необходим план действий:

-    для предотвращения непредвиденных результатов;

-    для использования всех возможностей для улучшения СМНБ. При необходимости они могут включать:

-    интегрирование и внедрение этих действий в процесс СМНБ (8.1);

-    обеспечение свободного доступа к зафиксированной в документах информации, если действия окажутся результативными (7.5).

6.2    Цели в области обеспечения непрерывности бизнеса и планы их достижения

Должен быть составлен план внедрения и управления СМНБ (как указано в разделе 8), который должен предусматривать распределение ответственности и установление соответствующих и реалистичных целей для выполнения задач. План должен быть основан на целях в области обеспечения непрерывности бизнеса, установленных и разосланных в соответствующие подразделения организации. Выполнение плана необходимо контролировать и документировать.

Этот план следует анализировать и при необходимости регулярно пересматривать по мере развития СМНБ.

Примеры целей в области непрерывности бизнеса, которые могут в определенных случаях соответствовать требованиям, установленным в ИСО 22301:

-    «внедрить СМНБ, соответствующую ИСО 22313 к (дата)»;

-    «завершить сертификацию СМНБ на соответствие ИСО 22301:2012 к (дата)»;

-    «к (дата) внедрить систему менеджмента непрерывности бизнеса в соответствии с обязательствами перед ключевыми заказчиками»;

-    «внедрить МНБ по ключевой продукции и услугам к (дата)».

ГОСТ Р ИСО 22313-2015

7 Поддержка

7.1    Ресурсы
7.1.1    Общие положения

Организация должна определить необходимые для СМНБ ресурсы, которые обеспечат:

a)    выполнение политики в области обеспечения непрерывности бизнеса и достижение установленных целей;

b)    соответствие организации изменяющимся требованиям;

c)    эффективный обмен информацией (как внутренний, так и внешний) по вопросам, связанным с системой менеджмента непрерывности бизнеса;

d)    функционирование и постоянное улучшение системы менеджмента непрерывности бизнеса.

Определение необходимых для СМНБ ресурсов должно быть сделано своевременно и качественно.

7.1.2    Ресурсы СМНБ

Определяя ресурсы, необходимые для функционирования СМНБ, организация должна предусмотреть в достаточных количествах:

a)    резервы и ресурсы, связанные с человеческим фактором, включая:

1)    время, необходимое для выполнения функций и обязательств СМНБ,

2)    тренировки, обучение, знания и учения,

3)    управление персоналом СМНБ;

b)    здания и сооружения, включая производственные помещения и инфраструктуру;

c)    информационные и коммуникационные технологии (ИКТ), в том числе приложения, обеспечивающие эффективное управление программой;

d)    управление и контроль всех форм документированной информации;

e)    связь с заинтересованными сторонами (см. рисунок 4);

f)    финансы и субсидирование.

Организация должна анализировать ресурсы и их распределение и при необходимости пересматривать с целью обеспечения их адекватности. Привлечение к этому процессу высшего руководства может быть полезным.

7.1.3    Персонал, выполняющий ответные меры на инцидент

Для управления в условиях инцидента организация должна назначить персонал, обладающий необходимой ответственностью, полномочиями и компетенцией для выполнения ответных мер на инцидент.

Персонал должен сформировать группу, отвечающую за управление в условиях любого разрушительного инцидента, который оказывает или может оказать значительное воздействие на деятельность организации.

Персонал назначают в группы, в зависимости от его компетентности, для работы с различными аспектами ответных мер, например:

-    управление в условиях инцидента/стратегический менеджмент (8.4.4.3.1);

-    обмен информацией (8.4.4.3.2);

-    безопасность и благосостояние (8.4.4.3.3);

-    спасательные работы и безопасность (8.4.4.3.4);

-    возобновление деятельности (8.4.4.3.5);

-    восстановление информационных технологий и обмена информацией (8.4.4.3.6).

Весь персонал, входящий в эти группы, должен иметь четко установленные полномочия и ответственность, действующие до, во время и после инцидента.

7.2 Компетентность

Организация должна установить результативную систему обеспечения компетентности персонала СМНБ.

Руководство должно определить уровень компетентности, необходимый для выполнения функций и обязанностей СМНБ, а также информированности, знаний, понимания, навыков и опыта. Весь персонал, действующий внутри организации, должен демонстрировать необходимый уровень компетентности и иметь возможность обучения и развития, а также получать поддержку, необходимую для выполнения своих обязанностей. Программа повышения квалификации может включать в себя:

-    оценку уровня компетентности, необходимой для выполнения той или иной функции;

-    разработку персональной программы развития, предполагающей обучение, повышение уровня образования и другую поддержку, необходимые для достижения требуемой компетентности;

7

-    обеспечение профессиональной подготовки и наставничества, включая выбор подходящих методов и материала;

-    передачу знаний;

-    разделение работы;

-    наем или подписание контрактов с компетентными работниками;

-    обучение целевых групп;

-    документирование и мониторинг полученного обучения;

-    анализ полученных знаний в сопоставлении с требованиями к обучению с целью подтверждения его соответствия требованиям СМНБ;

-    улучшение программы развития при необходимости.

Организация должна организовать процесс выявления и удовлетворения потребностей всех участников обучения в области непрерывности бизнеса, а также анализа результативности этого процесса.

Направления обучения, соответствующие некоторым специальным функциям:

a)    установление и управление СМНБ:

1)    установление и менеджмент непрерывности бизнеса,

2)    анализ воздействий на бизнес,

3)    оценка риска,

4)    навыки общения,

5)    разработка и ведение документации в области непрерывности бизнеса,

6)    выполнение программы учений;

b)    противодействие инциденту и восстановление деятельности:

1)    анализ инцидента,

2)    эвакуация и обеспечение убежища, готового к работе руководства, включая процессы

регистрации и учета персонала,

3)    организация деятельности на альтернативных рабочих площадках,

4)    работа со СМИ.

Навыки по противодействию инцидентам и компетентность всех работников организации в выполнении ответных действий на инцидент должны быть сформированы путем практического обучения, в том числе участия в учениях.

Группы, выполняющие ответные меры и действия по восстановлению деятельности, должны проводить тренировку в соответствии с их ответственностью и обязанностями, включая взаимодействие с аварийными службами и другими заинтересованными сторонами. Группы должны проводить тренировки регулярно (не реже одного раза в год), а вновь принятые члены — при поступлении на работу или при включении в группу. Эти группы должны также проходить обучение и тренировки выполнения действий по предотвращению инцидентов, которые могут перерасти в кризис.

Изменения в условиях деятельности влияют на способы планирования, разработки и внедрения обеспечения непрерывности бизнеса. Организация может повысить свою информированность относительно МНБ, например, принимая активное участие в деятельности МНБ, которая может включать в себя:

-    членство в промышленной группе, объединенной по интересам;

-    членство в организационном комитете по подготовке конференций;

-    выступления с презентациями на конференциях и семинарах;

-    участие в региональных и международных конференциях по МНБ.

Активное участие характеризуется:

-    членством в организационном комитете по подготовке конференций и семинаров;

-    выступлениями с докладами на конференциях и семинарах.

Повышению компетентности способствуют:

-    интеграция достижений СМНБ в систему вознаграждения и признания организации;

-    интеграция достижений СМНБ в систему оценки результативности организации;

-    интеграция функций отчетности, ответственности и полномочий СМНБ в должностные инструкции и описание квалификации;

-    активное участие бизнес-пользователей и высшего руководства в репетициях, учениях и тренировках.

Организация должна разработать программы обучения и повышения информированности для всех работников, которые на текущий момент могут попасть под воздействие разрушительного инцидента, и потребовать от подрядчиков, осуществляющих деятельность от ее имени, продемонстрировать,

ГОСТ Р ИСО 22313-2015

что лица, работающие под их руководством, обладают необходимой компетентностью для осуществления деятельности в СМНБ и своих функций при выполнении ответных мер на инцидент.

7.3    Осведомленность

Лица, работающие под контролем организации, должны обладать необходимой осведомленностью о СМНБ. К таким лицам могут быть отнесены персонал, подрядчики, поставщики. Они должны быть осведомлены о политике в области обеспечения непрерывности бизнеса организации:

-    функциях ответственности в отношении предотвращения инцидентов, обнаружения, ослабления, самозащиты, эвакуации, ответных мер, непрерывности бизнеса и восстановления;

-    важности согласованности деятельности с политикой и процедурами в области непрерывности бизнеса;

-    внесении изменений в деятельность организации;

-    вкладе в результативность СМНБ, включая суммарные выгоды от улучшения МНБ;

-    функциях и ответственности в достижении соответствия ее требованиям.

-    организация должна способствовать внедрению культуры организации, которая:

-    является частью основополагающих ценностей и менеджмента организации;

-    обеспечивает осведомленность заинтересованных сторон о политике в области непрерывности бизнеса и связанных с этим функциях.

Организация, обладающая высокой культурой в области обеспечения непрерывности бизнеса, может:

-    более эффективно развивать обеспечение непрерывности бизнеса;

-    обеспечивать уверенность всех заинтересованных сторон (в особенности сотрудников и заказчиков) в способности организации действовать в условиях инцидента;

-    со временем повышать свою устойчивость путем учета политики и целей в области непрерывности бизнеса при принятии решений на всех уровнях;

-    минимизировать вероятность и последствия нарушений деятельности.

Развитие культуры организации в области непрерывности бизнеса способствует:

-    вовлечению всего персонала организации;

-    рассредоточению руководящих функций по всей организации;

-    распределению обязанностей;

-    измерению на основе показателей функционирования;

-    интеграции непрерывности бизнеса в установленный менеджмент;

-    повышению осведомленности;

-    практическому обучению;

-    осуществлению планов в области непрерывности бизнеса.

Программа по повышению осведомленности может включать:

-    консультации со всеми сотрудниками организации относительно введения и управления СМНБ;

-    обсуждение вопросов в области непрерывности бизнеса в информационных бюллетенях организации, на брифингах, в рекламных программах или журналах (включая ориентирование новых работников);

-    размещение темы непрерывности бизнеса на соответствующих интернет-страницах;

-    включение МНБ в повестку дня заседаний рабочих групп персонала и руководства;

-    выборочные публикации отчетов о деятельности в период после инцидентов;

-    брифинги руководства;

-    посещение предусмотренных альтернативных площадок (например, площадок для восстановления деятельности);

-    инструктирование ключевых поставщиков и дистрибьюторов организации по мероприятиям в области обеспечения непрерывности бизнеса.

7.4    Обмен информацией

При внедрении СМНБ организация должна иметь результативную систему связи, консультаций и обмена информацией с заинтересованными сторонами.

Эта система должна включать:

а) внутренний обмен информацией между заинтересованными сторонами, включая сотрудников организации;

9

b)    внешний обмен информацией с заказчиками, поставщиками, местным сообществом и другими заинтересованными сторонами, включая средства массовой информации;

c)    получение, документирование и реагирование на сообщения, полученные от всех заинтересованных сторон;

d)    адаптацию и интеграцию национальной или региональной системы предупреждения катастроф или ее аналогов к использованию в планировании и эксплуатации, если это приемлемо;

e)    обеспечение средств связи в период разрушительного инцидента;

f)    обеспечение организации возможности обмена информацией с внешними органами власти и, если это уместно, обеспечение возможности сотрудникам других организаций обмениваться информацией между собой;

д) проверку работы и испытание возможностей систем связи, предназначенных для использования во время нарушения обычных систем связи.

Организация может привлекать любые внешние ресурсы, которые могут быть задействованы при реагировании на инцидент, такие как пожарные службы, полицию, службы здравоохранения и представителей третьих сторон для обсуждения с руководством процедур обеспечение непрерывности бизнеса и их элементов.

Организация может включать справочную информацию по системе менеджмента непрерывности бизнеса и мероприятиям по обеспечению непрерывности бизнеса в информационные бюллетени и брифинги поставщиков и заказчиков.

Организация должна обеспечить результативную систему внешнего обмена информацией как часть программы повышения информированности (7.3) и возобновления деятельности в период, следующий за инцидентом (8.4).

7.5 Документированная информация
7.5.1 Общие положения

Документированная информация представляет собой подтверждения соответствия требованиям и результативной деятельности СМНБ.

Термин «процедура» означает установленный способ осуществления деятельности или процесса. Термин «документированная процедура» означает, что эта процедура должна быть установлена и записана на любых носителях.

Один документ может содержать требования к одной или нескольким документированным процедурам, а требование к документированной процедуре может содержаться более чем в одном документе.

Документируемой информацией являются:

-    область применения и условия функционирования организации (4.1);

-    правовые, обязательные и другие требования, а также свидетельства соответствия (4.2.2);

-    область применения СМНБ и все исключения (4.3.2);

-    политика в области обеспечения непрерывности бизнеса (5.3);

-    цели в области обеспечения непрерывности бизнеса (6.2);

-    требования к компетентности персонала (7.2);

-    процесс анализа воздействия на бизнес и оценки риска (8.2);

-    стратегия непрерывности бизнеса (8.3), включая рассмотренные варианты стратегии;

-    процедуры непрерывности бизнеса, управления в условиях инцидента и восстановления (8.4);

-    отчеты об учениях (8.5);

-    мониторинг СМНБ (9.1);

-    внутренний аудит (9.2);

-    анализ со стороны руководства (9.3);

-    несоответствия и корректирующие действия (10.1).

В дополнение для обеспечения результативности СМНБ может потребоваться следующая документированная информация:

-    контракты с заказчиками и уровень оказания услуг;

-    результаты анализа воздействия на бизнес;

-    результаты оценки рисков;

-    определение и выбор стратегии обеспечения непрерывности бизнеса;

-    анализ ответных мер на инцидент;

-    программа повышения осведомленности;

ГОСТ Р ИСО 22313-2015

-    средства обмена информацией о СМНБ и инцидентах с персоналом и заинтересованными сторонами, такие как информационные листки, резолюции совещаний и предупреждения;

-    обучающие программы для организации и отдельных лиц;

-    график учений;

-    контракты и договоры на обслуживание с поставщиками;

-    уведомление заказчиков и поставщиков и порядок выполнения ответных действий;

-    данные контроля, технического обслуживания и калибровки;

-    отчеты о последствиях инцидентов;

-    протоколы заседаний по анализу СМНБ.

7.5.2    Разработка и актуализация

В целях выполнения требований по созданию и актуализации документированной информации:

-    вся документированная информация должна иметь идентификацию и описание (например, наименование, дату, имя автора, номер, контрольную ссылку и т. п.);

-    для сбора и предоставления документированной информации необходимо четко установить приемлемые форматы (например, язык, версию программного обеспечения, шрифт) и носитель данных (бумажный, электронный);

-    всю документированную информацию необходимо анализировать и проверять на ее адекватность.

При сборе и предоставлении информации необходимо использовать принятые параметры оформления (например, язык, версия программного обеспечения, шрифт) и носитель данных (бумажный, электронный).

Объем документированной информации об СМНБ в разных организациях различен в зависимости:

-    от размеров организации, особенностей продукции и услуг и деятельности организации;

-    от сложности деятельности и взаимодействия ее видов;

-    от компетентности персонала.

7.5.3    Контроль документированной информации

Вся документированная информация должна быть управляемой.

Целью управления документацией является обеспечение возможности организации разрабатывать, сохранять и защищать документы в порядке, приемлемом и достаточном для внедрения и функционирования СМНБ. Основное внимание необходимо уделять именно этой цели, а не только созданию сложной системы управления информацией.

Примером защиты документации может служить предотвращение дискредитации документов, несанкционированного внесения в них изменений и случайного удаления документов.

Существуют различные уровни доступа и их комбинации, которые могут допускать, например, только чтение, чтение и внесение изменений или доступ для служебного пользования.

Должна быть установлена документированная процедура для определения способов управления, необходимых:

a)    для распространения документированной информации;

b)    для обеспечения доступа к информации (вид доступа включает, например, разрешение и полномочия на чтение или изменение документированной информации);

c)    для утверждения адекватности документов перед их публикацией;

d)    для анализа и пересмотра при необходимости, а также повторного утверждения документов;

e)    для обеспечения того, что внесенные изменения и статус документа указаны;

f)    для обеспечение наличия на местах соответствующих редакций используемых документов;

д) для обеспечения читаемости и быстрой распознаваемости документов;

h)    для обеспечения идентификации и контроля распространения входящих документов, утвержденных организацией как необходимые для использования в планировании и применении СМНБ;

i)    для предотвращения непреднамеренного использования устаревших документов и нанесение на них соответствующей идентификации при сохранении;

j)    для установления параметров хранения и архивирования документов;

k)    для обеспечения защиты и неразглашения конфиденциальной информации.

Организации должны обеспечить целостность документированной информации, ограждая ее от

неумелого обращения, повреждения, изнашивания и утраты, обеспечивая резервное дублирование и доступ только для уполномоченных сотрудников.

Организация должна выполнять законодательные и обязательные требования, касающиеся хранения документированной информации, а также разработать, внедрить и применять процессы, необходимые для достижения соответствия этим требованиям.

11

8 Деятельность

8.1    Планирование и контроль

Организация должна определять, планировать, осуществлять и контролировать действия, необходимые для выполнения своей политики в области обеспечения непрерывности бизнеса и достижения ее целей, а также для удовлетворения имеющихся потребностей и требований.

Эти действия могут быть объединены в программу, которая гарантирует, что управление непрерывностью бизнеса является результативным.

Организация должна установить методы контроля, которые должны включать в себя:

a)    решение о том, как действия в области МНБ должны быть определены, спланированы, проконтролированы, например, путем разработки и выполнения плана и согласования приемлемой методологии для внедрения МНБ;

b)    гарантию того, что методы контроля этих действий согласованы с решениями, принятыми, например, при планировании этапов выполнения проекта и их ожидаемыми результатами;

c)    хранение документированной информации для доказательства того, что процессы выполнены в соответствии с планом.

Организация должна обеспечить, чтобы запланированные изменения происходили под контролем, а непредвиденные изменения были проанализированы и учтены.

8.1.1    Элементы МНБ

МНБ включает элементы, представленные на рисунке 5.

Рисунок 5 — Элементы менеджмента непрерывности бизнеса (МНБ)

К элементам МНБ относятся:

a)    Планирование и контроль деятельности (8.1)

Результативные планирование и контроль деятельности являются главной составной частью менеджмента непрерывности бизнеса. Их должен возглавлять ответственный сотрудник, назначенный руководством.

b)    Анализ воздействий на бизнес и оценка риска (8.2)

Согласие и понимание приоритетов и требований в области непрерывности бизнеса достигают на основе анализа воздействий на бизнес и оценки риска. Анализ воздействий на бизнес обеспечивает организации расстановку приоритетов при восстановлении деятельности, первоочередность действий, направленных на поддержание изготовления продукции и предоставления услуг. Оценка риска способствует пониманию источников риска и определению первоочередных ответных мер и зависимых сторон, а также возможных последствий инцидента. Это понимание дает возможность организации выбрать соответствующие стратегии непрерывности бизнеса.

ГОСТ Р ИСО 22313-2015

c)    Стратегия непрерывности бизнеса (8.3)

Идентификация и анализ вариантов стратегий обеспечения непрерывности бизнеса дают возможность организации выбрать необходимые превентивные меры, не допускающие остановки ее приоритетной деятельности, а также при прерывании згой деятельности. Выбранные стратегии обеспечения непрерывности бизнеса способствуют возобновлению деятельности на приемлемом уровне и в согласованные сроки.

Примечание — Выбранные стратегии должны учитывать уже выполненную (8.3.3) обработку риска.

d)    Установление и выполнение процедур непрерывности бизнеса (8.4)

Выполнение деятельности в области непрерывности бизнеса приводит к созданию структуры ответных мер на инцидент (8.4.2), средств выявления и реагирования на инцидент (8.4.3), планов в области обеспечения непрерывности бизнеса (8.4.4) и процедур восстановления бизнеса (8.4.5).

e)    Учения и проверки (8.5)

Учения и проверки дают организации возможность:

-    повышать информированность и компетентность персонала;

-    обеспечивать непрерывность бизнеса и гарантировать, что процедуры в области непрерывности бизнеса достаточны, современны и уместны;

-    определять возможности по улучшению обеспечения непрерывности бизнеса.

8.1.2    Менеджмент среды функционирования МНБ

Результативный менеджмент среды функционирования МНБ включает:

a)    обеспечение непрерывного соответствия области применения, функций и ответственности в сфере непрерывности бизнеса;

b)    продвижение и встраивание действий по обеспечению непрерывности бизнеса в структуру организации и других заинтересованных сторон, где приемлемо;

c)    управление затратами, связанными с обеспечением непрерывности бизнеса;

d)    установление и мониторинг управления изменениями и последующими условиями работы в системе менеджмента непрерывности бизнеса;

e)    организацию или обеспечение соответствующего обучения персонала и повышения его информированности;

f)    поддержание программной документации, соответствующей особенностям организации.

Каждый элемент МНБ организации, включая документацию, должен регулярно подвергаться

анализу, проверкам и обновлению. Эти мероприятия также необходимо анализировать и обновлять в случае значимых изменений в среде функционирования организации, ее структуре, местоположении, рабочей силе, процессах и технологии, или при выявлении в ходе учения или инцидента недостатков.

Для обеспечения эффективного управления программой МНБ организация может использовать известный метод управления проектом.

8.1.3    Поддержка обеспечения непрерывности бизнеса

Поддержка результативного обеспечения непрерывности бизнеса включает в себя:

a)    поддержание МНБ на должном уровне на основе постоянных тренировок;

b)    администрирование программы обучения;

c)    координирование регулярного анализа и обновления СМНБ, включая анализ воздействия на бизнес (АВБ), его корректировку и оценку риска;

d)    обеспечение поддержки процедур непрерывности бизнеса в соответствии с потребностями группы ответных мер.

8.1.4    Определение результативности

Для определения результативности необходимо проводить:

a)    мониторинг деятельности по обеспечению непрерывности бизнеса;

b)    мониторинг и анализ мероприятий по обеспечению непрерывности бизнеса за пределами организации и возможностей поставщиков в области МНБ.

Примеры показателей, которые могут быть использованы для определения результативности МНБ:

-    деятельность и ресурсы восстанавливают в запланированные сроки, информацию распространяют должным образом (целевой срок восстановления);

-    необходимые помещения и оборудование имеются в наличии на альтернативных площадках для восстановления и возобновления деятельности;

-    компетентность персонала, необходимая для возобновления приоритетных видов деятельности в указанный целевой срок продемонстрирована;

-    компетентность персонала, необходимая для выполнения ответных мер и управления в условиях инцидента, продемонстрирована.

13

ГОСТ Р ИСО 22313-2015

Содержание

1    Область применения.................................................................1

2    Нормативные ссылки.................................................................1

3    Термины и определения...............................................................1

4    Область применения и условия деятельности.............................................2

4.1    Понимание особенностей организации и условий ее деятельности........................2

4.2. Понимание потребностей и ожиданий заинтересованных сторон.........................2

4.3    Определение области применения системы менеджмента...............................4

4.4    Система менеджмента непрерывности бизнеса........................................4

5    Лидерство...............................................................................4

5.1    Лидерство и приверженность.......................................................4

5.2    Приверженность руководства.......................................................5

5.3    Политика........................................................................5

5.4    Функции, ответственность и полномочия..............................................6

6    Планирование.......................................................................6

6.1    Действия по определению риска и возможностей организации...........................6

6.2    Цели в области обеспечения непрерывности бизнеса и планы их достижения..............6

7    Поддержка..........................................................................7

7.1    Ресурсы ........................................................................7

7.2    Компетентность..................................................................7

7.3    Осведомленность................................................................9

7.4    Обмен информацией..............................................................9

7.5    Документированная информация..................................................10

8    Деятельность.......................................................................12

8.1    Планирование и контроль.........................................................12

8.2    Анализ воздействий на бизнес и оценка риска........................................14

8.3    Стратегия непрерывности бизнеса.................................................17

8.4    Установление и выполнение процедур непрерывности бизнеса..........................23

8.5    Учения и проверки...............................................................30

9    Анализ деятельности................................................................32

9.1    Мониторинг, измерение, анализ и сравнительная оценка...............................32

9.2    Внутренний аудит...............................................................34

9.3    Анализ со стороны руководства....................................................35

10    Улучшение.............................................................................35

10.1    Несоответствия и корректирующие действия........................................35

10.2    Непрерывное улучшение........................................................36

Приложение ДА (справочное) Сведения о соответствии ссылочных

международных стандартов национальным стандартам

Российской Федерации..................................................37

Библиография........................................................................38

III

8.1.5 Результаты

Признаками, указывающими на результативность МНБ, могут быть:

a)    способность управления в условиях инцидента гарантирует результативные ответные действия;

b)    понимание организацией своей деятельности и взаимоотношений с другими организациями, регулирующими органами или правительственными департаментами, местными органами власти и экстренными аварийными службами разработаны, документированы и понятны;

c)    проведение регулярных учений, гарантирующих способность персонала результативно выполнять ответные меры в случае инцидента или нарушения деятельности;

d)    требования заинтересованных сторон понятны и могут быть удовлетворены;

e)    обеспечение персонала необходимой поддержкой и связями в случае нарушения деятельности;

f)    защита репутации организации;

д) соответствие организации своим нормативно-правовым обязательствам;

h) поддержание финансовых средств контроля организации в течение всего инцидента организации.

8.2 Анализ воздействий на бизнес и оценка риска

8.2.1 Общие положения

Организация должна установить, внедрить и поддерживать официальный документированный процесс анализа воздействий на бизнес и оценки риска. Понимание, достигаемое организацией благодаря анализу воздействия на бизнес и оценке риска, обеспечивает основу для результативного обеспечения непрерывности бизнеса.

Организация достигает своей цели, поставляя свою продукцию и оказывая услуги заказчикам. Поэтому важно сформировать понимание отрицательного воздействия на цели и деятельность организации (стечением времени) прерывания поставок продукции и оказания услуг. Важно также понимать взаимозависимость и ресурсные потребности тех видов деятельности, которые связаны с изготовлением продукции и оказанием услуг, а также существующие для них угрозы.

На основе понимания организация способна обеспечить соответствие деятельности в области непрерывности бизнеса целям организации, законодательству и обязательствам перед заинтересованными сторонами. Понимание основано на анализе воздействия на бизнес и оценке риска. Эти процессы предоставляют информацию, необходимую организации для определения и выбора стратегий обеспечения непрерывности бизнеса (8.3.1).


Поставщики

и

партнеры со стороны


Организация


Внешняя

область

применения


Внутренняя

область

применения

Цель организации

Продукт / услуга

*-

Продукт/услуга


£ *





Деятельность Деятельность Деятельность Деятельность Деятельность


Зависимые стороны и поддерживающая деятельность



Заказчики


Основные фонды и ресурсы


Рисунок 6 — Понимание организации

14


Введение

Общие положения

В настоящем стандарте приведено руководство по выполнению требований ИСО 22301:2012^, а также соответствующих рекомендаций и предположений. Настоящий стандарт охватывает все аспекты непрерывности бизнеса.

Стандарт содержит те же разделы, что и ИСО 22301, за исключением требований к системам менеджмента непрерывности бизнеса, а также терминов и определений. Информация по этим вопросам приведена в ИСО 22301 и ИСО 223001 2).

Для дополнительного разъяснения некоторых ключевых положений в стандарте приведены рисунки. Все рисунки приведены только с иллюстративной целью.

Система менеджмента непрерывности бизнеса (СМНБ) подчеркивает важность:

-    понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса;

-    внедрения и осуществления мероприятий по управлению совокупными возможностями организации для управления в условиях разрушительных инцидентов;

-    проведения мониторинга и анализа результативности СМНБ;

-    постоянного улучшения на основе объективных данных.

СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:

a)    политику;

b)    человеческие ресурсы с соответствующим распределением обязанностей;

c)    процессы менеджмента, которые охватывают:

1)    политику,

2)    планирование,

3)    внедрение и функционирование,

4)    анализ выполнения работ,

5)    анализ со стороны руководства,

6)    улучшения;

d)    документацию, обеспечивающую свидетельства аудита;

e)    процессы организации, связанные с СМНБ.

Внедрение СМНБ в организации может иметь большое значение для общества и третьих сторон. Возможно наличие внешних организаций, от которых организация зависит, а также организаций, зависящих от нее. Поэтому результативное обеспечение непрерывности бизнеса вносит свой вклад в достижение более устойчивого общества.

Цикл «Планирование — осуществление — проверка — действие»

В настоящем стандарте цикл «планирование — осуществление — проверка — действие» (PDCA) применен к планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению результативности СМНБ организации.

На рисунке 1 показаны входные данные СМНБ в виде требований к менеджменту непрерывности бизнеса (МНБ) заинтересованных сторон, которые через необходимые действия и процессы образуются в выходные данные обеспечения непрерывности бизнеса (т. е. управляемую непрерывность бизнеса), отвечающие этим требованиям.

ГОСТ Р ИСО 22313-2015

Таблица 1 — Пояснения модели PDCA

Планирование

(установление)

Установление политики, целей, средств контроля, процессов и процедур обеспечения непрерывности бизнеса, относящихся к улучшению непрерывности бизнеса, для достижения результатов в соответствии с общей политикой и целями организации

Действие(внедрение и применение)

Внедрение и применение политики, целей, средств контроля, процессов и процедур в области непрерывности бизнеса

Проверка(мониторинг и анализ)

Мониторинг и анализ деятельности на соответствие целям и политике в области непрерывности бизнеса, отчет по результатам для проведения анализа со стороны руководства, определения и утверждения корректирующих действий, а также деятельности по улучшению

Действие (поддержка и улучшение)

Поддержка и улучшение СМНБ путем выполнения корректирующих действий, определенных на основе анализа со стороны руководства, и повторное определение области применения СМНБ, политики и целей в области непрерывности бизнеса

Компоненты PDCA в настоящем стандарте

Существует прямая связь содержания рисунка 1 с разделами настоящего стандарта. Таблица 2 — Связь моделей PDCA с разделами 4-10

Компонент PDCA

Соответствующий раздел настоящего стандарта

Планирование

(установление)

Раздел 4 устанавливает, что организации необходимо сделать, чтобы СМНБ соответствовала ее требованиям с учетом всех внешних и внутренних факторов, в том числе:

-    потребностей и ожиданий заинтересованных сторон;

-    обязательств организации перед юридическими и регулирующими органами;

-    требуемой области применения СМНБ

Раздел 5 определяет ключевую роль руководства в выполнении принятых обязательств, определении политики и распределении обязанностей, ответственности и полномочий

Раздел 6 устанавливает действия, необходимые для разработки стратегических целей и руководящих принципов СМНБ в целом, область применения анализа воздействия на бизнес и оценки риска (8.2) и стратегии непрерывности бизнеса (8.3)

Раздел /определяет ключевые элементы, необходимые для поддержания СМНБ, а именно: ресурсы, компетентность персонала и осведомленность, обмен информацией и документированную информацию

V

Окончание таблицы 2

Компонент PDCA

Соответствующий раздел настоящего стандарта

Осуществление (внедрение и применение)

Раздел 8 определяет элементы менеджмента непрерывности бизнеса (МНБ), необходимые для обеспечения непрерывности бизнеса

Проверка(мониторинг и анализ)

Раздел 9 обеспечивает основу для улучшения СМНБ через измерение показателей ее деятельности и их анализ

Действие (поддержка и улучшение)

Раздел 10 охватывает корректирующие действия, необходимые для устранения несоответствий, выявленных в результате анализа деятельности

Непрерывность бизнеса

Непрерывность бизнеса — это способность организации продолжать поставлять продукцию или услуги на приемлемом установленном уровне в период, следующий за произошедшим разрушительным инцидентом. Менеджмент непрерывности бизнеса (МНБ) — это процесс обеспечения непрерывности бизнеса организации и ее возможности противостоять разрушительным инцидентам, которые могут препятствовать достижению поставленных целей.

Интеграция МНБ в структуру и системы менеджмента организации формирует систему менеджмента непрерывности бизнеса (СМНБ), позволяющую контролировать, анализировать и постоянно улучшать МНБ.

В настоящем стандарте слово «бизнес» используется в качестве общей терминологии, относящейся к действиям и услугам, осуществляемым организацией с целью достижения поставленных целей или миссии. Оно в равной степени применимо к крупным, средним и мелким организациям, осуществляющим свою деятельность в промышленном, коммерческом, государственном и некоммерческом секторах.

Любой инцидент, крупный или мелкий, природный, случайный или преднамеренный обладает потенциалом, способным нанести значительный ущерб деятельности организации и отрицательно сказаться на ее способности поставлять продукцию и оказывать услуги. Однако внедрение системы непрерывности бизнеса до возникновения разрушительного инцидента дает возможность организации возобновить свою деятельность до момента, когда негативное воздействие достигнет неприемлемого уровня.

МНБ обеспечивает:

a)    четкое определение ключевых видов продукции и услуг организации, а также деятельности по их производству (оказанию);

b)    установление приоритетов возобновления деятельности и необходимых для этого ресурсов;

c)    наличие четкого понимания угроз деятельности организации, включая зависящие от этой деятельности стороны, а также знание последствий невозобновления деятельности;

d)    наличие проверенных надежных мер возобновления деятельности после разрушительного инцидента;

e)    регулярный анализ и обновление этих мер для обеспечения их результативности в любых условиях.

Непрерывность бизнеса может быть результативной как при внезапных разрушительных инцидентах (например, взрывах), так и при постепенных (например, эпидемиях гриппа) разрушающих воздействиях.

Деятельность может быть нарушена широким спектром разнообразных инцидентов, многие из которых трудно спрогнозировать или проанализировать. Ориентируясь на воздействие нарушений, в отличие от их причины, в процессе внедрения непрерывности бизнеса идентифицируют виды деятельности, от которых зависит живучесть организации, ее возможность определения необходимых мер для продолжения деятельности и обеспечения непрерывности выполнения своих обязательств. Внедрение системы непрерывности бизнеса позволяет организации еще до возникновения разрушительного инцидента определить необходимые ответные меры для защиты своих ресурсов (людей, производственных площадей, технологий, информации), системы поставок, заинтересованных сторон и репутации. При этом организация может получить реальное представление о том, что необходимо предпринять при возникновении разрушительного инцидента для преодоления его последствий без недопустимой задержки поставок продукции или оказания услуг.

ГОСТ Р ИСО 22313-2015

Организация, выполняющая действия по обеспечению непрерывности бизнеса, может использовать дополнительные возможности, которые в других ситуациях могли бы считаться слишком рискованными.

На рисунках 2 и 3 показано, как непрерывность бизнеса в определенных ситуациях может быть использована для уменьшения неблагоприятных последствий. Оба рисунка не учитывают временные рамки соответствующих этапов.


Благодаря обеспечению непрерывности бизнеса последствия внезапного разрушения могут быть ослаблены.

Благодаря обеспечению непрерывности бизнеса последствия постепенного разрушения могут быть ослаблены.

Уровень

деятельности

Рисунок 3 — Иллюстрация результативности непрерывности бизнеса при постепенном разрушении

(например, при распространении эпидемии)


VII


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Руководство по внедрению

Business continuity management systems. Guidance for implementation

Дата введения — 2016—07—01

1    Область применения

Настоящий стандарт содержит руководство, разработанное на основе лучшей международной практики по планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению документированной системы менеджмента непрерывности бизнеса, позволяющей организации быть готовой к инциденту, предпринять ответные меры и восстановить свою деятельность при возникновении разрушительных инцидентов.

Настоящий стандарт не ставит своей целью введение единообразия структуры СМНБ, а разработан для оказания помощи организациям в разработке СМНБ, соответствующей потребностям и отвечающей требованиям заинтересованных сторон. Потребности организации зависят от юридических, нормативных, организационных и промышленных требований, особенностей изготавливаемой продукции, оказываемых услуг, используемых процессов, окружающей среды, в которой организация осуществляет свою деятельность, размера и структуры организации, а также требований заинтересованных сторон.

Настоящий стандарт устанавливает общие требования и может быть использован организациями любых размеров и типов, включая крупные, средние и мелкие организации, работающие в промышленном, коммерческом, государственном и некоммерческом секторах, которые намерены:

a)    создать, внедрить, поддерживать и улучшать СМНБ;

b)    обеспечить соответствие политики организации принципам непрерывности бизнеса;

c)    заявить о своем соответствии требованиям настоящего стандарта.

Настоящий стандарт не может быть использован для проверки соответствия организации своим потребностям в области непрерывности бизнеса, требованиям заказчика, правовым и обязательным требованиям. Для демонстрации соответствия деятельности организации этим требованиям при сертификации своей СМНБ, аккредитованной третьей стороной, следует использовать ИСО 22301.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ИСО 22300 Социальная безопасность. Термины (ISO 22300 Societal security — Terminology)

ИСО 22301 Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования (ISO 22301 Societal security — Business continuity management systems — Requirements)

3    Термины и определения

В настоящем стандарте применены термины по ИСО 22300 и ИСО 22301.

Издание официальное

4 Область применения и условия деятельности

4.1    Понимание особенностей организации и условий ее деятельности

Настоящий раздел касается понимания области и условий деятельности организации при создании и функционировании СМНБ. Вопросы создания и управления СМНБ рассмотрены в 8.1.

Организация должна исследовать и понять внутренние и внешние факторы, влияющие на ее цели и деятельность. Эту информацию необходимо учитывать при разработке, внедрении, осуществлении и совершенствовании СМНБ организации, а также при определении ее преимуществ.

Внешние условия деятельности организации должны включать (если это уместно):

-    политические и нормативно-правовые условия, в том числе международные, национальные, региональные и местные;

-    социально-культурные, финансовые, технические, экономические, природные и конкурентные условия, в том числе международные, национальные, региональные и местные;

-    поддержку поставщиков и взаимоотношения с ними;

-    рассмотрение результатов собственного исследования рисков с учетом других соответствующих систем управления информацией и любой другой информации, относящейся к менеджменту знаний;

-    ключевые движущие силы и тенденции, влияющие на цели и деятельность организации;

-    взаимоотношения с внешними заинтересованными сторонами, учет их восприятия и ценностей.

Изучение внутренних условий деятельности организации должно охватывать (где это уместно):

-    продукцию и услуги, деятельность, ресурсы, поставщиков и взаимоотношения с заинтересованными сторонами;

-    возможности в области ресурсов и знаний (т. е. капитал, время, люди, процессы, системы и технологии);

-    информационные системы, информационные потоки и процессы принятия решений (как официальных, так и неформальных);

-    заинтересованные стороны внутри организации;

-    политику и цели, а также стратегию их достижения;

-    будущие возможности и приоритеты бизнеса;

-    восприятие, ценности и культуру организации;

-    стандарты и эталонные модели, принятые организацией;

-    структуру организации (например, руководство, обязанности и подотчетность).

4.2. Понимание потребностей и ожиданий заинтересованных сторон
4.2.1    Общие положения

При создании СМНБ организация должна учитывать требования заинтересованных сторон.

Организация должна выявить все заинтересованные стороны, имеющие отношение к ее СМНБ, и на основании их потребностей и ожиданий определить их требования. Важно определить не только обязательные и заявленные требования, но и подразумевающиеся требования.

Примечание — Организации необходимо иметь представление обо всех, кто проявляет интерес к организации (например, СМИ, общественные организации в непосредственном окружении, конкуренты и т. д.).

При планировании и внедрении СМНБ важно идентифицировать действия, отвечающие ожиданиям заинтересованных сторон, но дифференцировать их по категориям. Например, если уместно, информировать все заинтересованные стороны о наступлении разрушительного инцидента, но не обязательно информировать все заинтересованные стороны о разработке и внедрении СМНБ (8.1.1).

4.2.2    Обязательные и правовые требования

Все системы менеджмента должны работать в тех нормативно-правовых условиях, в которых организация осуществляет свою деятельность. Поэтому организация должна идентифицировать и учесть в своей СМНБ все соответствующие и применимые юридические и обязательные требования, которые на нее распространяются, а также потребности заинтересованных сторон.

Информация, связанная с этими требованиями, должна быть документирована и постоянно обновляться. Новые правовые и обязательные требования или их изменения должны быть доведены до сведения персонала, а также до заинтересованных сторон.

При создании, внедрении и функционировании СМНБ организация должна учитывать и документировать применяемые законодательные требования, другие требования, выполняемые организацией, а также требования заинтересованных сторон.

Граждане


Заказчики


Дистрибуторы


Причастные стороны


Инвесторы


Собственники


Страховщики


Правительство


Инспекторы


Поставщики услуг по восстановлению деятельности


Заинтересованные стороны


ОРГАНИЗАЦИЯ


Руководство!

Высшее руководство

Разработчики политики и целей СМНБ


Персонал, внедряющий и осуществляющий менеджмент непрерывности бизнеса

Персонал, осуществляющий процедуры непрерывности бизнеса


Владельцы процедур непрерывности бизнеса


Рисунок 4 — Примеры заинтересованных сторон в государственном и частном секторах


Конкуренты


СМИ


Комментаторы


Торговые группы


Соседи


Влиятельные группы


Экстренные аварийные службы


Другие организации, привлекаемые к ликвидации последствий


Транспортные службы


Члены семей персонала



1

^ ИСО 22301:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования» (ISO 22301 «Societal security — Business continuity management systems — Requirements»).

2

) ИСО 22300:2012 «Социальная безопасность. Терминология» (ISO 22300:2012 «Societal security — Terminology»).