ГОСТ Р 53647.2-2009
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
Часть 2
Требования
Business continuity management. Part 2. Requirements
ОКС 03.100.01
Дата введения 2010-12-01
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "HИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 998-ст
4 Настоящий стандарт идентичен национальному стандарту Великобритании BS 25999-2:2007* "Менеджмент непрерывности бизнеса. Часть 2. Требования" (BS 25999-2:2007 "Business continuity management - Part 2: Specification", IDT)
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Май 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Общие положения
Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).
Для достижения этой цели следует учесть следующие важные факторы:
a) осознание потребности в обеспечении непрерывности бизнеса и потребности в установлении политики и целей в области непрерывности бизнеса;
b) внедрение и осуществление средств и мероприятий по управлению совокупным риском при обеспечении непрерывности бизнеса организации;
c) проведение мониторинга и анализа эффективности СМНБ;
d) постоянное улучшение, основанное на достоверных и объективных измерениях.
СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:
a) политику;
b) человеческие ресурсы (персонал) с соответствующими обязанностями и полномочиями;
c) процессы менеджмента, которые касаются:
1) политики;
2) планирования;
3) внедрения и функционирования;
4) оценки выполнения работ;
5) анализа менеджмента;
6) улучшения;
d) записи, обеспечивающие свидетельства аудита;
e) специальные процессы, связанные с непрерывностью бизнеса, такие как анализ воздействия на бизнес (АВБ) и разработка плана обеспечения непрерывности бизнеса.
Цикл "планирование - осуществление - проверка - действие" (PDCA)
В настоящем стандарте цикл "планирование - осуществление - проверка - действие" применяется к разработке, внедрению, функционированию, мониторингу, проведению учений, поддержке и постоянному улучшению СМНБ организации.
Применение этого цикла обеспечивает необходимую степень соответствия СМНБ другим стандартам по системам менеджмента, таким как ИСО 9001:2005, ИСО 14001:2004, ИСО/МЭК 27001:2005 и серии ИСО/МЭК 20000, и поддерживает последовательное и интегрированное внедрение и функционирование системы со взаимосвязанными системами менеджмента (см. приложение А).
На рисунке 1 показаны входные данные СМНБ в виде требований к обеспечению непрерывности бизнеса и ожиданий заинтересованных сторон, которые через взаимосвязанные виды деятельности и процессы образуют выходные данные (результаты) обеспечения непрерывности бизнеса (т. е. к управлению непрерывностью бизнеса), которые отвечают этим требованиям и ожиданиям заинтересованных сторон.
Широко распространенный подход, объединяющий цикл PDCA и виды деятельности по обеспечению непрерывности бизнеса, рекомендованные в [12], приведен на рисунке 2. Данный итеративный процесс обеспечивает создание и постоянное управление непрерывностью бизнеса организации (описание элементов жизненного цикла менеджмента непрерывности бизнеса см. в 3.7 [12]).
Требования настоящего стандарта следует применять наряду с нормативными правовыми актами в области обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. По возможности следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации.
Рисунок 1 - Применение цикла PDCA к процессам СМНБ
Планирование | Установление политики, целей, задач, средств управления, процессов и процедур обеспечения непрерывности бизнеса, относящиеся к управлению риском и улучшению непрерывности бизнеса, для достижения результатов в соответствии с политикой и целями организации |
Осуществление | Внедрение и применение политики, средств управления, процессов и процедур в области непрерывности бизнеса |
Проверка | Мониторинг и анализ СМНБ на соответствие политике и целям в области непрерывности бизнеса, отчет по результатам для проведения анализа со стороны руководства, определение и утверждение корректирующих и предупреждающих действий, а также деятельности по улучшению |
Действие | Поддержка и улучшение СМНБ, выполнение предупреждающих и корректирующих действий, а также деятельности по улучшению, основанных на результатах анализа со стороны руководства, и повторная оценка области применения СМНБ, политики и целей в области непрерывности бизнеса |
Рисунок 2 - Элементы жизненного цикла менеджмента непрерывности бизнеса
В качестве синонимов термина "менеджмент непрерывности бизнеса" часто используют термины "управление непрерывностью бизнеса", "управление непрерывностью деятельности", "управление бесперебойностью работы". Выбор термина зависит от потребностей организации и требований ее причастных сторон.
Настоящий стандарт устанавливает требования к планированию, созданию, внедрению, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса (СМНБ) с позиций управления совокупным риском бизнеса организации.
Установленные в настоящем стандарте требования являются общими и могут быть применены различными организациями (или их отдельными подразделениями), независимо от типа, размера и характера бизнеса. Степень применения этих требований зависит от операционной среды организации и уровня ее сложности.
Настоящий стандарт не содержит типовой структуры СМНБ, организации следует создать СМНБ, соответствующую своим потребностям и требованиям причастных сторон. Эти потребности должны быть определены на основе: законодательных и обязательных требований; требований, установленных потребителями; требований к бизнесу; выпускаемых продукции и услуг; используемых процессов; размера и структуры организации и требований ее причастных сторон.
Настоящий стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, для оценки соответствия установленным организацией требованиям к непрерывности бизнеса, соответствующим требованиям потребителей, законодательным и обязательным требованиям.
В настоящем стандарте применены следующие термины с соответствующими определениями:
2.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.
Примечание - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.
2.2 аудит (проверка) (audit): Систематический, независимый и документированный процесс получения свидетельств аудита (проверки) и их объективной сравнительной оценки с целью установления степени выполнения согласованных критериев аудита (проверки).
2.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.
2.4 менеджмент непрерывности бизнеса (business continuity management; BCM); МНБ: Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.
Примечание - Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, направленных на осуществление и актуализацию планов непрерывности бизнеса.
2.5 жизненный цикл менеджмента непрерывности бизнеса (business continuity management lifecycle): Совокупность действий по обеспечению непрерывности бизнеса, которые охватывают все аспекты и элементы программы менеджмента непрерывности бизнеса.
Примечание - Этапы жизненного цикла менеджмента непрерывности бизнеса показаны на рисунке 2.
2.6 персонал менеджмента непрерывности бизнеса (business continuity management personnel): Должностные лица организации, ответственные за политику в области СМНБ и ее реализацию, внедрение и поддержку СМНБ, а также за инициирование планов менеджмента непрерывности бизнеса и планов управления инцидентом, обладающие соответствующими полномочиями.
2.7 программа менеджмента непрерывности бизнеса (business continuity management programme): Процесс постоянного менеджмента, поддерживаемый со стороны высшего руководства и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия потенциальных потерь, поддержку жизнеспособной стратегии непрерывности бизнеса и планов восстановления бизнеса, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения и проведения учений, внедрения, анализа и поддержания в рабочем состоянии непрерывности бизнеса организации.
2.8 ответные меры менеджмента непрерывности бизнеса (business continuity management response): Элемент МНБ, направленный на разработку и внедрение соответствующих планов и мер, обеспечивающих непрерывность критических видов деятельности и контролируемость инцидента.
2.9 система менеджмента непрерывности бизнеса; СМНБ (business continuity management system; BCMS): Часть интегрированной системы менеджмента организации, охватывающая создание, внедрение, функционирование, мониторинг, анализ, поддержку и улучшение менеджмента непрерывности бизнеса в организации.
Примечание - СМНБ включает в себя структуру, политику, план действий, распределение ответственности и полномочий, процедуры, процессы и ресурсы организации
2.10 план обеспечения непрерывности бизнеса; ПНБ (business continuity plan; BCP): Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне.
2.11 стратегия непрерывности бизнеса (business continuity strategy): Способы обеспечения непрерывности бизнеса организации, направленные на восстановление и продолжение ее деятельности в случае инцидентов, вызывающих нарушение в ее работе.
2.12 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.
2.13 последствие (consequence): Результат инцидента, который может повлиять на достижение целей организации.
Примечания
1 Для каждого инцидента должно быть проведено ранжирование последствий.
2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации.
2.14 анализ эффективности затрат (cost-benefit analysis): Финансово-экономический метод, применение которого позволяет оценить затраты на МНБ, сопоставить их с полученной от его внедрения выгодой.
Примечание - Выгода может быть определена с позиции финансов, репутации, производства продукции, предоставления услуг, выполнения обязательных требований и т.п.