ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению


ГОСТ Р ИСО 22313-2015


Группа Т59

     
     
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

     
     
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

     
Руководство по внедрению

     
Business continuity management systems. Guidance for implementation



ОКС 03.100.01


Дата введения 2016-07-01

     
     
Предисловие

1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (О "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. N 1852-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 22313:2012* "Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство" (ISO 22313:2012 "Societal security - Business continuity management systems - Guidance").
________________
* Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке на сайт http://shop.cntd.ru. - Примечание изготовителя базы данных.


Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ


Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.rи)

Введение

Общие положения


В настоящем стандарте приведено руководство по выполнению требований ИСО 22301:2012ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению, а также соответствующих рекомендаций и предположений. Настоящий стандарт охватывает все аспекты непрерывности бизнеса.
________________
ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению ИСО 22301:2012 "Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования" (ISO 22301 "Societal security - Business continuity management systems - Requirements").


Стандарт содержит те же разделы, что и ИСО 22301, за исключением требований к системам менеджмента непрерывности бизнеса, а также терминов и определений. Информация по этим вопросам приведена в ИСО 22301 и ИСО 22300ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению.
________________
ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению ИСО 22300:2012 "Социальная безопасность. Терминология" (ISO 22300:2012 "Societal security - Terminology").


Для дополнительного разъяснения некоторых ключевых положений в стандарте приведены рисунки. Все рисунки приведены только с иллюстративной целью.

Система менеджмента непрерывности бизнеса (СМНБ) подчеркивает важность:

- понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса;

- внедрения и осуществления мероприятий по управлению совокупными возможностями организации для управления в условиях разрушительных инцидентов;

- проведения мониторинга и анализа результативности СМНБ;

- постоянного улучшения на основе объективных данных.

СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:

a) политику;

b) человеческие ресурсы с соответствующим распределением обязанностей;

c) процессы менеджмента, которые охватывают:

1) политику,

2) планирование,

3) внедрение и функционирование,

4) анализ выполнения работ,

5) анализ со стороны руководства,

6) улучшения;

d) документацию, обеспечивающую свидетельства аудита;

e) процессы организации, связанные с СМНБ.

Внедрение СМНБ в организации может иметь большое значение для общества и третьих сторон. Возможно наличие внешних организаций, от которых организация зависит, а также организаций, зависящих от нее. Поэтому результативное обеспечение непрерывности бизнеса вносит свой вклад в достижение более устойчивого общества.

Цикл "Планирование - осуществление - проверка - действие"

В настоящем стандарте цикл "планирование - осуществление - проверка - действие" (PDCA) применен к планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению результативности СМНБ организации.

На рисунке 1 показаны входные данные СМНБ в виде требований к менеджменту непрерывности бизнеса (МНБ) заинтересованных сторон, которые через необходимые действия и процессы образуются в выходные данные обеспечения непрерывности бизнеса (т.е. управляемую непрерывность бизнеса), отвечающие этим требованиям.

Рисунок 1 - Применение модели PDCA к процессам СМНБ

ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению


Рисунок 1 - Применение модели PDCA к процессам СМНБ



Таблица 1 - Пояснения модели PDCA

Планирование (установление)

Установление политики, целей, средств контроля, процессов и процедур обеспечения непрерывности бизнеса, относящихся к улучшению непрерывности бизнеса, для достижения результатов в соответствии с общей политикой и целями организации

Действие (внедрение и применение)

Внедрение и применение политики, целей, средств контроля, процессов и процедур в области непрерывности бизнеса

Проверка (мониторинг и анализ)

Мониторинг и анализ деятельности на соответствие целям и политике в области непрерывности бизнеса, отчет по результатам для проведения анализа со стороны руководства, определения и утверждения корректирующих действий, а также деятельности по улучшению

Действие (поддержка и улучшение)

Поддержка и улучшение СМНБ путем выполнения корректирующих действий, определенных на основе анализа со стороны руководства, и повторное определение области применения СМНБ, политики и целей в области непрерывности бизнеса


Компоненты PDCA в настоящем стандарте

Существует прямая связь содержания рисунка 1 с разделами настоящего стандарта.


Таблица 2 - Связь моделей PDCA с разделами 4-10

Компонент PDCA

Соответствующий раздел настоящего стандарта

Планирование (установление)

Раздел 4 устанавливает, что организации необходимо сделать, чтобы СМНБ соответствовала ее требованиям с учетом всех внешних и внутренних факторов, в том числе:

- потребностей и ожиданий заинтересованных сторон;

- обязательств организации перед юридическими и регулирующими органами;

- требуемой области применения СМНБ

Раздел 5 определяет ключевую роль руководства в выполнении принятых обязательств, определении политики и распределении обязанностей, ответственности и полномочий

Раздел 6 устанавливает действия, необходимые для разработки стратегических целей и руководящих принципов СМНБ в целом, область применения анализа воздействия на бизнес и оценки риска (8.2) и стратегии непрерывности бизнеса (8.3)

Раздел 7 определяет ключевые элементы, необходимые для поддержания СМНБ, а именно: ресурсы, компетентность персонала и осведомленность, обмен информацией и документированную информацию

Осуществление (внедрение и применение)

Раздел 8 определяет элементы менеджмента непрерывности бизнеса (МНБ), необходимые для обеспечения непрерывности бизнеса

Проверка (мониторинг и анализ)

Раздел 9 обеспечивает основу для улучшения СМНБ через измерение показателей ее деятельности и их анализ

Действие (поддержка и улучшение)

Раздел 10 охватывает корректирующие действия, необходимые для устранения несоответствий, выявленных в результате анализа деятельности


Непрерывность бизнеса

Непрерывность бизнеса - это способность организации продолжать поставлять продукцию или услуги на приемлемом установленном уровне в период, следующий за произошедшим разрушительным инцидентом. Менеджмент непрерывности бизнеса (МНБ) - это процесс обеспечения непрерывности бизнеса организации и ее возможности противостоять разрушительным инцидентам, которые могут препятствовать достижению поставленных целей.

Интеграция МНБ в структуру и системы менеджмента организации формирует систему менеджмента непрерывности бизнеса (СМНБ), позволяющую контролировать, анализировать и постоянно улучшать МНБ.

В настоящем стандарте слово "бизнес" используется в качестве общей терминологии, относящейся к действиям и услугам, осуществляемым организацией с целью достижения поставленных целей или миссии. Оно в равной степени применимо к крупным, средним и мелким организациям, осуществляющим свою деятельность в промышленном, коммерческом, государственном и некоммерческом секторах.

Любой инцидент, крупный или мелкий, природный, случайный или преднамеренный обладает потенциалом, способным нанести значительный ущерб деятельности организации и отрицательно сказаться на ее способности поставлять продукцию и оказывать услуги. Однако внедрение системы непрерывности бизнеса до возникновения разрушительного инцидента дает возможность организации возобновить свою деятельность до момента, когда негативное воздействие достигнет неприемлемого уровня.

МНБ обеспечивает:

a) четкое определение ключевых видов продукции и услуг организации, а также деятельности по их производству (оказанию);

b) установление приоритетов возобновления деятельности и необходимых для этого ресурсов;

c) наличие четкого понимания угроз деятельности организации, включая зависящие от этой деятельности стороны, а также знание последствий невозобновления деятельности;

d) наличие проверенных надежных мер возобновления деятельности после разрушительного инцидента;

e) регулярный анализ и обновление этих мер для обеспечения их результативности в любых условиях.

Непрерывность бизнеса может быть результативной как при внезапных разрушительных инцидентах (например, взрывах), так и при постепенных (например, эпидемиях гриппа) разрушающих воздействиях.

Деятельность может быть нарушена широким спектром разнообразных инцидентов, многие из которых трудно спрогнозировать или проанализировать. Ориентируясь на воздействие нарушений, в отличие от их причины, в процессе внедрения непрерывности бизнеса идентифицируют виды деятельности, от которых зависит живучесть организации, ее возможность определения необходимых мер для продолжения деятельности и обеспечения непрерывности выполнения своих обязательств. Внедрение системы непрерывности бизнеса позволяет организации еще до возникновения разрушительного инцидента определить необходимые ответные меры для защиты своих ресурсов (людей, производственных площадей, технологий, информации), системы поставок, заинтересованных сторон и репутации. При этом организация может получить реальное представление о том, что необходимо предпринять при возникновении разрушительного инцидента для преодоления его последствий без недопустимой задержки поставок продукции или оказания услуг.

Организация, выполняющая действия по обеспечению непрерывности бизнеса, может использовать дополнительные возможности, которые в других ситуациях могли бы считаться слишком рискованными.

На рисунках 2 и 3 показано, как непрерывность бизнеса в определенных ситуациях может быть использована для уменьшения неблагоприятных последствий. Оба рисунка не учитывают временные рамки соответствующих этапов.

Благодаря обеспечению непрерывности бизнеса последствия внезапного разрушения могут быть ослаблены.

Рисунок 2 - Иллюстрация результативности непрерывности бизнеса при внезапном разрушении

ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению


Рисунок 2 - Иллюстрация результативности непрерывности бизнеса при внезапном разрушении


Благодаря обеспечению непрерывности бизнеса последствия постепенного разрушения могут быть ослаблены.

Рисунок 3 - Иллюстрация результативности непрерывности бизнеса при постепенном разрушении (например, при распространении эпидемии)

ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению


Рисунок 3 - Иллюстрация результативности непрерывности бизнеса при постепенном разрушении (например, при распространении эпидемии)

1 Область применения


Настоящий стандарт содержит руководство, разработанное на основе лучшей международной практики по планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению документированной системы менеджмента непрерывности бизнеса, позволяющей организации быть готовой к инциденту, предпринять ответные меры и восстановить свою деятельность при возникновении разрушительных инцидентов.

Настоящий стандарт не ставит своей целью введение единообразия структуры СМНБ, а разработан для оказания помощи организациям в разработке СМНБ, соответствующей потребностям и отвечающей требованиям заинтересованных сторон. Потребности организации зависят от юридических, нормативных, организационных и промышленных требований, особенностей изготавливаемой продукции, оказываемых услуг, используемых процессов, окружающей среды, в которой организация осуществляет свою деятельность, размера и структуры организации, а также требований заинтересованных сторон.

Настоящий стандарт устанавливает общие требования и может быть использован организациями любых размеров и типов, включая крупные, средние и мелкие организации, работающие в промышленном, коммерческом, государственном и некоммерческом секторах, которые намерены:

a) создать, внедрить, поддерживать и улучшать СМНБ;

b) обеспечить соответствие политики организации принципам непрерывности бизнеса;

c) заявить о своем соответствии требованиям настоящего стандарта.

Настоящий стандарт не может быть использован для проверки соответствия организации своим потребностям в области непрерывности бизнеса, требованиям заказчика, правовым и обязательным требованиям. Для демонстрации соответствия деятельности организации этим требованиям при сертификации своей СМНБ, аккредитованной третьей стороной, следует использовать ИСО 22301.

2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты*: ИСО 22300 Социальная безопасность. Термины (ISO 22300 Societal security - Terminology) ИСО 22301 Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования (ISO 22301 Societal security - Business continuity management systems - Requirements)
________________
* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

3 Термины и определения


В настоящем стандарте применены термины по ИСО 22300 и ИСО 22301.

4 Область применения и условия деятельности

4.1 Понимание особенностей организации и условий ее деятельности


Настоящий раздел касается понимания области и условий деятельности организации при создании и функционировании СМНБ. Вопросы создания и управления СМНБ рассмотрены в 8.1.

Организация должна исследовать и понять внутренние и внешние факторы, влияющие на ее цели и деятельность. Эту информацию необходимо учитывать при разработке, внедрении, осуществлении и совершенствовании СМНБ организации, а также при определении ее преимуществ.

Внешние условия деятельности организации должны включать (если это уместно):

- политические и нормативно-правовые условия, в том числе международные, национальные, региональные и местные;

- социально-культурные, финансовые, технические, экономические, природные и конкурентные условия, в том числе международные, национальные, региональные и местные;

- поддержку поставщиков и взаимоотношения с ними;

- рассмотрение результатов собственного исследования рисков с учетом других соответствующих систем управления информацией и любой другой информации, относящейся к менеджменту знаний;

- ключевые движущие силы и тенденции, влияющие на цели и деятельность организации;

- взаимоотношения с внешними заинтересованными сторонами, учет их восприятия и ценностей.

Изучение внутренних условий деятельности организации должно охватывать (где это уместно):

- продукцию и услуги, деятельность, ресурсы, поставщиков и взаимоотношения с заинтересованными сторонами;

- возможности в области ресурсов и знаний (т.е. капитал, время, люди, процессы, системы и технологии);

- информационные системы, информационные потоки и процессы принятия решений (как официальных, так и неформальных);

- заинтересованные стороны внутри организации;

- политику и цели, а также стратегию их достижения;

- будущие возможности и приоритеты бизнеса;

- восприятие, ценности и культуру организации;

- стандарты и эталонные модели, принятые организацией;

- структуру организации (например, руководство, обязанности и подотчетность).

4.2. Понимание потребностей и ожиданий заинтересованных сторон

4.2.1 Общие положения


При создании СМНБ организация должна учитывать требования заинтересованных сторон.

Организация должна выявить все заинтересованные стороны, имеющие отношение к ее СМНБ, и на основании их потребностей и ожиданий определить их требования. Важно определить не только обязательные и заявленные требования, но и подразумевающиеся требования.

Примечание - Организации необходимо иметь представление обо всех, кто проявляет интерес к организации (например, СМИ, общественные организации в непосредственном окружении, конкуренты и т.д.).


При планировании и внедрении СМНБ важно идентифицировать действия, отвечающие ожиданиям заинтересованных сторон, но дифференцировать их по категориям. Например, если уместно, информировать все заинтересованные стороны о наступлении разрушительного инцидента, но не обязательно информировать все заинтересованные стороны о разработке и внедрении СМНБ (8.1.1).

4.2.2 Обязательные и правовые требования

Все системы менеджмента должны работать в тех нормативно-правовых условиях, в которых организация осуществляет свою деятельность. Поэтому организация должна идентифицировать и учесть в своей СМНБ все соответствующие и применимые юридические и обязательные требования, которые на нее распространяются, а также потребности заинтересованных сторон.

Информация, связанная с этими требованиями, должна быть документирована и постоянно обновляться. Новые правовые и обязательные требования или их изменения должны быть доведены до сведения персонала, а также до заинтересованных сторон.

При создании, внедрении и функционировании СМНБ организация должна учитывать и документировать применяемые законодательные требования, другие требования, выполняемые организацией, а также требования заинтересованных сторон.

Рисунок 4 - Примеры заинтересованных сторон в государственном и частном секторах.

Заинтересованные стороны

ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению


Рисунок 4 - Примеры заинтересованных сторон в государственном и частном секторах


Организация должна обеспечить, чтобы ее СМНБ функционировала в соответствии с правовыми и обязательными требованиями, а также требованиями заинтересованных сторон.

Организация должна пересмотреть существующие и разрабатывающиеся правовые и обязательные требования, которые могут включать в себя:

a) ответные меры на инцидент: включая контроль чрезвычайной ситуации и правовые акты, касающиеся здоровья, безопасности и благосостояния;

b) непрерывность: могут быть установлены область применения программы или объем и скорость выполнения ответных мер;

c) риск: требования, определяющие область применения или методы программы менеджмента риска;

d) опасности: требования функционирования, связанные с использованием опасных материалов, хранящихся в организации.

Примечание - Организации, имеющие отделения в других странах, часто должны учитывать требования, подпадающие под разные юрисдикции.

4.3 Определение области применения системы менеджмента

4.3.1 Общие положения


Организация должна определить область применения СМНБ и удобным способом обеспечить доведение ее до заинтересованных сторон. Важно, чтобы ограничения и применимость СМНБ были понятны и чтобы область применения включала вопросы, указанные в 4.1 и 4.2.

Область применения охватывает продукцию и услуги, отделения организации, функции, процессы и виды деятельности, на которые распространяется СМНБ. Это означает, что все зависимые лица должны быть вовлечены в процесс, даже если они четко не указаны в описании области применения. Например, если в области применения указано "вознаграждение работникам", значит, наличие фондов, утверждение руководством и распоряжение финансовым учреждениям осуществить платеж также должны входить в область применения по умолчанию.

Организация должна дать четкое описание области применения и содержания СМНБ в соответствующих документах.

4.3.2 Область применения СМНБ

Организация должна определить и документировать область применения СМНБ способом, соответствующим ее размеру, возможностям и структуре.

В области применения должны быть указаны:

a) структурные подразделения организации, входящие в СМНБ;

b) требования организации, относящиеся к СМНБ с учетом ее миссии, целей, юридической ответственности, внутренних и внешних обязательств;

c) продукция и услуги организации с указанием всех связанных с ними видов деятельности, ресурсов и поставщиков;

d) потребности и интересы заинтересованных сторон.

Область применения также может:

- включать индикацию масштаба инцидента, при котором инцидент оказывает влияние на СМНБ, а также степень допустимого риска организации;

- определять, как СМНБ организации интегрируется в общую стратегию менеджмента риска (если она имеется). Если часть организации не входит в область применения СМНБ, организация должна отразить это в документах с объяснением причины.

Цель определения области применения СМНБ заключается в том, чтобы обеспечить включение в СМНБ всех соответствующих видов деятельности, отделений и поставщиков (8.2.1, рисунок 6).

4.4 Система менеджмента непрерывности бизнеса


Основные требования к СМНБ, приведенные в ИСО 22301, не содержат руководства по внедрению СМНБ.

5 Лидерство

5.1 Лидерство и приверженность


Руководители всех соответствующих уровней организации должны демонстрировать свою приверженность и лидерство в выполнении политики и целей в области обеспечения непрерывности бизнеса. Это может быть достигнуто путем мотивации, вовлечения и расширения полномочий.

5.2 Приверженность руководства


Руководство должно демонстрировать свою приверженность СМНБ.

Руководство должно представить свидетельства своей приверженности созданию и внедрению СМНБ, а также постоянному повышению ее результативности путем:

a) соответствия действующим юридическим требованиям, а также другим требованиям организации (4.2.2);

b) интегрирования процессов СМНБ в применяемые организацией процедуры поддержания и анализа процедур СМНБ;

c) приведения политики и целей в области обеспечения непрерывности бизнеса в соответствие с целями, обязательствами и направлением стратегического развития организации (5.3);

d) назначения одного или нескольких лиц, обладающих соответствующими полномочиями и компетенцией, ответственными за СМНБ и отвечающими за ее результативную работу (5.4);

e) установления функций, ответственности и полномочий СМНБ (5.4);

f) обеспечения достаточных ресурсов, включая соответствующий уровень финансирования (7.1);

g) информирования организации о важности осуществления политики и целей в области обеспечения непрерывности бизнеса (7.4);

h) активного участия в учениях и проверках (8.5);

i) проведения внутреннего аудита СМНБ (9.2);

j) проведения анализа СМНБ со стороны руководства (9.3);

k) оказания поддержки СМНБ, направленной на ее улучшение (10).

Приверженность руководства также может быть продемонстрирована путем:

- оперативной работы в подготовительных группах;

- включения вопросов из области обеспечения непрерывности бизнеса в повестку дня совещаний в качестве постоянного пункта.

5.3 Политика


Руководство должно определить политику в области обеспечения непрерывности бизнеса с учетом целей и обязательств организации и обеспечить:

- соответствие политики назначению организации (с учетом размера организации, ее особенностей и структуры, а также традиций организации, ее зависимых сторон и рабочего окружения);

- создание структуры объективного управления политикой;

- наличие четких обязательств, связанных с применимыми требованиями, включая нормативно-правовые обязательства и постоянное улучшение СМНБ;

- доведение до сведений персонала организации и разъяснение политики в области СМНБ;

- дополнение других важных стратегий;

- доведение политики до сведения заинтересованных сторон после ее утверждения руководством.

Необходимо предусмотреть приемлемые условия для утверждения политики, хранения документированной информации о ней и периодического ее анализа (например, раз в год), а также при значительных изменениях внутренних или внешних условий (например, изменениях состава высшего руководства или введении новых законодательных актов). Пригодность таких требований зависит от размера, сложности, особенностей и структуры организации.

Политика должна также:

- обеспечивать границы области применения системы менеджмента непрерывности бизнеса организации, включая ограничения и исключения;

- определять необходимых полномочных и делегированных лиц, включая лицо или лица, отвечающие за СМНБ организации;

- установить критерии для определения типов и масштабов рассматриваемых инцидентов;

- содержать ссылки на стандарты, рекомендации, положения и стратегии, которым СМНБ должна соответствовать.

Политика в области обеспечения непрерывности бизнеса может содержать:

- ключевые условия;

- финансовые обязательства;

- ссылки на другие важные стратегии;

- требование обеспечивать непрерывность бизнеса;

- обязательство выполнять и поддерживать непрерывность бизнеса.

5.4 Функции, ответственность и полномочия


Руководство должно обеспечить распределение ответственности и полномочий внутри СМНБ.

Один из членов руководства организации должен быть ответственным за СМНБ в целом.

Руководство организации должно возложить на представителей руководства (одного или нескольких) функции, ответственность и полномочиями*:
________________
* Текст соответствует оригиналу. - Примечание изготовителя базы данных.


- по обеспечению разработки внедрения и функционирования МНБ в соответствии с политикой в области обеспечения непрерывности бизнеса;

- по представлению отчетов о работе МНБ руководству для анализа и улучшения МНБ;

- по повышению осведомленности о деятельности по обеспечению непрерывности бизнеса внутри организации;

- по обеспечению результативности процедур, разработанных для принятия ответных мер при возникновении инцидента, при этом их проведение во время инцидента может быть необязательным.

Представитель руководства может:

- быть "руководителем в области непрерывности бизнеса";

- быть ответственным за другие участки работы в организации;

- совмещать несколько функций в организации в зависимости от ее размера, сложности и особенностей.

От каждого подразделения и каждой функции организации могут быть назначены представители для оказания содействия в применении СМНБ. Их обязанности, подотчетность, ответственность и полномочия должны быть отражены в должностных инструкциях, которые могут быть частью политики организации по оценке, вознаграждению и признанию труда работников.

Руководство может назначить другие органы, например комитет для осуществления общего надзора за внедрением и непрерывного мониторинга МНБ.

Все функции, ответственность и полномочия персонала в области МНБ должны быть определены, документированы и быть объектом аудита.

6 Планирование

6.1 Действия по определению риска и возможностей организации


Организация должна определить способ работы с вопросами, идентифицированными в 4.1, и требованиями, установленными в 4.2. Для этого необходимо решить, насколько необходим план действий:

- для предотвращения непредвиденных результатов;

- для использования всех возможностей для улучшения СМНБ. При необходимости они могут включать:

- интегрирование и внедрение этих действий в процесс СМНБ (8.1);

- обеспечение свободного доступа к зафиксированной в документах информации, если действия окажутся результативными (7.5).

6.2 Цели в области обеспечения непрерывности бизнеса и планы их достижения


Должен быть составлен план внедрения и управления СМНБ (как указано в разделе 8), который должен предусматривать распределение ответственности и установление соответствующих и реалистичных целей для выполнения задач. План должен быть основан на целях в области обеспечения непрерывности бизнеса, установленных и разосланных в соответствующие подразделения организации. Выполнение плана необходимо контролировать и документировать.

Этот план следует анализировать и при необходимости регулярно пересматривать по мере развития СМНБ.

Примеры целей в области непрерывности бизнеса, которые могут в определенных случаях соответствовать требованиям, установленным в ИСО 22301:

- "внедрить СМНБ, соответствующую ИСО 22313 к (дата)";

- "завершить сертификацию СМНБ на соответствие ИСО 22301:2012 к (дата)";

- "к (дата) внедрить систему менеджмента непрерывности бизнеса в соответствии с обязательствами перед ключевыми заказчиками";

- "внедрить МНБ по ключевой продукции и услугам к (дата)".

7 Поддержка

7.1 Ресурсы

7.1.1 Общие положения


Организация должна определить необходимые для СМНБ ресурсы, которые обеспечат:

a) выполнение политики в области обеспечения непрерывности бизнеса и достижение установленных целей;

b) соответствие организации изменяющимся требованиям;

c) эффективный обмен информацией (как внутренний, так и внешний) по вопросам, связанным с системой менеджмента непрерывности бизнеса;

d) функционирование и постоянное улучшение системы менеджмента непрерывности бизнеса.

Определение необходимых для СМНБ ресурсов должно быть сделано своевременно и качественно.

7.1.2 Ресурсы СМНБ


Определяя ресурсы, необходимые для функционирования СМНБ, организация должна предусмотреть в достаточных количествах:

a) резервы и ресурсы, связанные с человеческим фактором, включая:

1) время, необходимое для выполнения функций и обязательств СМНБ,

2) тренировки, обучение, знания и учения,

3) управление персоналом СМНБ;

b) здания и сооружения, включая производственные помещения и инфраструктуру;

c) информационные и коммуникационные технологии (ИКТ), в том числе приложения, обеспечивающие эффективное управление программой;

d) управление и контроль всех форм документированной информации;

e) связь с заинтересованными сторонами (см. рисунок 4);

f) финансы и субсидирование.

Организация должна анализировать ресурсы и их распределение и при необходимости пересматривать с целью обеспечения их адекватности. Привлечение к этому процессу высшего руководства может быть полезным.

7.1.3 Персонал, выполняющий ответные меры на инцидент

Для управления в условиях инцидента организация должна назначить персонал, обладающий необходимой ответственностью, полномочиями и компетенцией для выполнения ответных мер на инцидент.

Персонал должен сформировать группу, отвечающую за управление в условиях любого разрушительного инцидента, который оказывает или может оказать значительное воздействие на деятельность организации.

Персонал назначают в группы, в зависимости от его компетентности, для работы с различными аспектами ответных мер, например:

- управление в условиях инцидента/стратегический менеджмент (8.4.4.3.1);

- обмен информацией (8.4.4.3.2);

- безопасность и благосостояние (8.4.4.3.3);

- спасательные работы и безопасность (8.4.4.3.4);

- возобновление деятельности (8.4.4.3.5);

- восстановление информационных технологий и обмена информацией (8.4.4.3.6).

Весь персонал, входящий в эти группы, должен иметь четко установленные полномочия и ответственность, действующие до, во время и после инцидента.

7.2 Компетентность


Организация должна установить результативную систему обеспечения компетентности персонала СМНБ.

Руководство должно определить уровень компетентности, необходимый для выполнения функций и обязанностей СМНБ, а также информированности, знаний, понимания, навыков и опыта. Весь персонал, действующий внутри организации, должен демонстрировать необходимый уровень компетентности и иметь возможность обучения и развития, а также получать поддержку, необходимую для выполнения своих обязанностей. Программа повышения квалификации может включать в себя:

- оценку уровня компетентности, необходимой для выполнения той или иной функции;

- разработку персональной программы развития, предполагающей обучение, повышение уровня образования и другую поддержку, необходимые для достижения требуемой компетентности;

- обеспечение профессиональной подготовки и наставничества, включая выбор подходящих методов и материала;

- передачу знаний;

- разделение работы;

- наем или подписание контрактов с компетентными работниками;

- обучение целевых групп;

- документирование и мониторинг полученного обучения;

- анализ полученных знаний в сопоставлении с требованиями к обучению с целью подтверждения его соответствия требованиям СМНБ;

- улучшение программы развития при необходимости.

Организация должна организовать процесс выявления и удовлетворения потребностей всех участников обучения в области непрерывности бизнеса, а также анализа результативности этого процесса.

Направления обучения, соответствующие некоторым специальным функциям:

a) установление и управление СМНБ:

1) установление и менеджмент непрерывности бизнеса,

2) анализ воздействий на бизнес,

3) оценка риска,

4) навыки общения,

5) разработка и ведение документации в области непрерывности бизнеса,

6) выполнение программы учений;

b) противодействие инциденту и восстановление деятельности:

1) анализ инцидента,

2) эвакуация и обеспечение убежища, готового к работе руководства, включая процессы регистрации и учета персонала,

3) организация деятельности на альтернативных рабочих площадках,

4) работа со СМИ.

Навыки по противодействию инцидентам и компетентность всех работников организации в выполнении ответных действий на инцидент должны быть сформированы путем практического обучения, в том числе участия в учениях.

Группы, выполняющие ответные меры и действия по восстановлению деятельности, должны проводить тренировку в соответствии с их ответственностью и обязанностями, включая взаимодействие с аварийными службами и другими заинтересованными сторонами. Группы должны проводить тренировки регулярно (не реже одного раза в год), а вновь принятые члены - при поступлении на работу или при включении в группу. Эти группы должны также проходить обучение и тренировки выполнения действий по предотвращению инцидентов, которые могут перерасти в кризис.

Изменения в условиях деятельности влияют на способы планирования, разработки и внедрения обеспечения непрерывности бизнеса. Организация может повысить свою информированность относительно МНБ, например, принимая активное участие в деятельности МНБ, которая может включать в себя:

- членство в промышленной группе, объединенной по интересам;

- членство в организационном комитете по подготовке конференций;

- выступления с презентациями на конференциях и семинарах;

- участие в региональных и международных конференциях по МНБ.

Активное участие характеризуется:

- членством в организационном комитете по подготовке конференций и семинаров;

- выступлениями с докладами на конференциях и семинарах.

Повышению компетентности способствуют:

- интеграция достижений СМНБ в систему вознаграждения и признания организации;

- интеграция достижений СМНБ в систему оценки результативности организации;

- интеграция функций отчетности, ответственности и полномочий СМНБ в должностные инструкции и описание квалификации;

- активное участие бизнес-пользователей и высшего руководства в репетициях, учениях и тренировках.

Организация должна разработать программы обучения и повышения информированности для всех работников, которые на текущий момент могут попасть под воздействие разрушительного инцидента, и потребовать от подрядчиков, осуществляющих деятельность от ее имени, продемонстрировать, что лица, работающие под их руководством, обладают необходимой компетентностью для осуществления деятельности в СМНБ и своих функций при выполнении ответных мер на инцидент.

7.3 Осведомленность


Лица, работающие под контролем организации, должны обладать необходимой осведомленностью о СМНБ. К таким лицам могут быть отнесены персонал, подрядчики, поставщики. Они должны быть осведомлены о политике в области обеспечения непрерывности бизнеса организации:

- функциях ответственности в отношении предотвращения инцидентов, обнаружения, ослабления, самозащиты, эвакуации, ответных мер, непрерывности бизнеса и восстановления;

- важности согласованности деятельности с политикой и процедурами в области непрерывности бизнеса;

- внесении изменений в деятельность организации;

- вкладе в результативность СМНБ, включая суммарные выгоды от улучшения МНБ;

- функциях и ответственности в достижении соответствия ее требованиям.

- организация должна способствовать внедрению культуры организации, которая:

- является частью основополагающих ценностей и менеджмента организации;

- обеспечивает осведомленность заинтересованных сторон о политике в области непрерывности бизнеса и связанных с этим функциях.

Организация, обладающая высокой культурой в области обеспечения непрерывности бизнеса, может:

- более эффективно развивать обеспечение непрерывности бизнеса;

- обеспечивать уверенность всех заинтересованных сторон (в особенности сотрудников и заказчиков) в способности организации действовать в условиях инцидента;

- со временем повышать свою устойчивость путем учета политики и целей в области непрерывности бизнеса при принятии решений на всех уровнях;

- минимизировать вероятность и последствия нарушений деятельности.

Развитие культуры организации в области непрерывности бизнеса способствует:

- вовлечению всего персонала организации;

- рассредоточению руководящих функций по всей организации;

- распределению обязанностей;

- измерению на основе показателей функционирования;

- интеграции непрерывности бизнеса в установленный менеджмент;

- повышению осведомленности;

- практическому обучению;

- осуществлению планов в области непрерывности бизнеса.

Программа по повышению осведомленности может включать:

- консультации со всеми сотрудниками организации относительно введения и управления СМНБ;

- обсуждение вопросов в области непрерывности бизнеса в информационных бюллетенях организации, на брифингах, в рекламных программах или журналах (включая ориентирование новых работников);

- размещение темы непрерывности бизнеса на соответствующих интернет-страницах;

- включение МНБ в повестку дня заседаний рабочих групп персонала и руководства;

- выборочные публикации отчетов о деятельности в период после инцидентов;

- брифинги руководства;

- посещение предусмотренных альтернативных площадок (например, площадок для восстановления деятельности);

- инструктирование ключевых поставщиков и дистрибьюторов организации по мероприятиям в области обеспечения непрерывности бизнеса.

7.4 Обмен информацией


При внедрении СМНБ организация должна иметь результативную систему связи, консультаций и обмена информацией с заинтересованными сторонами.

Эта система должна включать:

а) внутренний обмен информацией между заинтересованными сторонами, включая сотрудников организации;

b) внешний обмен информацией с заказчиками, поставщиками, местным сообществом и другими заинтересованными сторонами, включая средства массовой информации;

c) получение, документирование и реагирование на сообщения, полученные от всех заинтересованных сторон;

d) адаптацию и интеграцию национальной или региональной системы предупреждения катастроф или ее аналогов к использованию в планировании и эксплуатации, если это приемлемо;

e) обеспечение средств связи в период разрушительного инцидента;

f) обеспечение организации возможности обмена информацией с внешними органами власти и, если это уместно, обеспечение возможности сотрудникам других организаций обмениваться информацией между собой;

g) проверку работы и испытание возможностей систем связи, предназначенных для использования во время нарушения обычных систем связи.

Организация может привлекать любые внешние ресурсы, которые могут быть задействованы при реагировании на инцидент, такие как пожарные службы, полицию, службы здравоохранения и представителей третьих сторон для обсуждения с руководством процедур обеспечение непрерывности бизнеса и их элементов.

Организация может включать справочную информацию по системе менеджмента непрерывности бизнеса и мероприятиям по обеспечению непрерывности бизнеса в информационные бюллетени и брифинги поставщиков и заказчиков.

29.05.2017, 40 просмотров.

Атрибуты

Номер документа ИСО 22313-2015
Вид документа ГОСТ Р
Принявший орган Росстандарт
Статус Действующий
Опубликован Официальное издание. М.: Стандартинформ, 2015 год
Дата принятия 18.11.2015
Дата начала действия 01.07.2016
Система управления сайтом Host CMS