ГОСТ Р 53647.2-2009

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Часть 2

Требования

Business continuity management. Part 2. Requirements

     

ОКС 03.100.01

Дата введения 2010-12-01

Предисловие     

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "HИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 998-ст

4 Настоящий стандарт идентичен национальному стандарту Великобритании BS 25999-2:2007* "Менеджмент непрерывности бизнеса. Часть 2. Требования" (BS 25999-2:2007 "Business continuity management - Part 2: Specification", IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Май 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Общие положения

Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).

Для достижения этой цели следует учесть следующие важные факторы:

a) осознание потребности в обеспечении непрерывности бизнеса и потребности в установлении политики и целей в области непрерывности бизнеса;

b) внедрение и осуществление средств и мероприятий по управлению совокупным риском при обеспечении непрерывности бизнеса организации;

c) проведение мониторинга и анализа эффективности СМНБ;

d) постоянное улучшение, основанное на достоверных и объективных измерениях.

СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:

a) политику;

b) человеческие ресурсы (персонал) с соответствующими обязанностями и полномочиями;

c) процессы менеджмента, которые касаются:

1) политики;

2) планирования;

3) внедрения и функционирования;

4) оценки выполнения работ;

5) анализа менеджмента;

6) улучшения;

d) записи, обеспечивающие свидетельства аудита;

e) специальные процессы, связанные с непрерывностью бизнеса, такие как анализ воздействия на бизнес (АВБ) и разработка плана обеспечения непрерывности бизнеса.

Цикл "планирование - осуществление - проверка - действие" (PDCA)

В настоящем стандарте цикл "планирование - осуществление - проверка - действие" применяется к разработке, внедрению, функционированию, мониторингу, проведению учений, поддержке и постоянному улучшению СМНБ организации.

Применение этого цикла обеспечивает необходимую степень соответствия СМНБ другим стандартам по системам менеджмента, таким как ИСО 9001:2005, ИСО 14001:2004, ИСО/МЭК 27001:2005 и серии ИСО/МЭК 20000, и поддерживает последовательное и интегрированное внедрение и функционирование системы со взаимосвязанными системами менеджмента (см. приложение А).

На рисунке 1 показаны входные данные СМНБ в виде требований к обеспечению непрерывности бизнеса и ожиданий заинтересованных сторон, которые через взаимосвязанные виды деятельности и процессы образуют выходные данные (результаты) обеспечения непрерывности бизнеса (т. е. к управлению непрерывностью бизнеса), которые отвечают этим требованиям и ожиданиям заинтересованных сторон.

Широко распространенный подход, объединяющий цикл PDCA и виды деятельности по обеспечению непрерывности бизнеса, рекомендованные в [12], приведен на рисунке 2. Данный итеративный процесс обеспечивает создание и постоянное управление непрерывностью бизнеса организации (описание элементов жизненного цикла менеджмента непрерывности бизнеса см. в 3.7 [12]).

Требования настоящего стандарта следует применять наряду с нормативными правовыми актами в области обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. По возможности следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации.

Рисунок 1 - Применение цикла PDCA к процессам СМНБ

Рисунок 2 - Элементы жизненного цикла менеджмента непрерывности бизнеса

В качестве синонимов термина "менеджмент непрерывности бизнеса" часто используют термины "управление непрерывностью бизнеса", "управление непрерывностью деятельности", "управление бесперебойностью работы". Выбор термина зависит от потребностей организации и требований ее причастных сторон.

     1 Область применения

Настоящий стандарт устанавливает требования к планированию, созданию, внедрению, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса (СМНБ) с позиций управления совокупным риском бизнеса организации.

Установленные в настоящем стандарте требования являются общими и могут быть применены различными организациями (или их отдельными подразделениями), независимо от типа, размера и характера бизнеса. Степень применения этих требований зависит от операционной среды организации и уровня ее сложности.

Настоящий стандарт не содержит типовой структуры СМНБ, организации следует создать СМНБ, соответствующую своим потребностям и требованиям причастных сторон. Эти потребности должны быть определены на основе: законодательных и обязательных требований; требований, установленных потребителями; требований к бизнесу; выпускаемых продукции и услуг; используемых процессов; размера и структуры организации и требований ее причастных сторон.

Настоящий стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, для оценки соответствия установленным организацией требованиям к непрерывности бизнеса, соответствующим требованиям потребителей, законодательным и обязательным требованиям.

     2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

2.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.

Примечание - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.

2.2 аудит (проверка) (audit): Систематический, независимый и документированный процесс получения свидетельств аудита (проверки) и их объективной сравнительной оценки с целью установления степени выполнения согласованных критериев аудита (проверки).

2.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

2.4 менеджмент непрерывности бизнеса (business continuity management; BCM); МНБ: Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.

Примечание - Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, направленных на осуществление и актуализацию планов непрерывности бизнеса.

2.5 жизненный цикл менеджмента непрерывности бизнеса (business continuity management lifecycle): Совокупность действий по обеспечению непрерывности бизнеса, которые охватывают все аспекты и элементы программы менеджмента непрерывности бизнеса.

Примечание - Этапы жизненного цикла менеджмента непрерывности бизнеса показаны на рисунке 2.

2.6 персонал менеджмента непрерывности бизнеса (business continuity management personnel): Должностные лица организации, ответственные за политику в области СМНБ и ее реализацию, внедрение и поддержку СМНБ, а также за инициирование планов менеджмента непрерывности бизнеса и планов управления инцидентом, обладающие соответствующими полномочиями.

2.7 программа менеджмента непрерывности бизнеса (business continuity management programme): Процесс постоянного менеджмента, поддерживаемый со стороны высшего руководства и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия потенциальных потерь, поддержку жизнеспособной стратегии непрерывности бизнеса и планов восстановления бизнеса, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения и проведения учений, внедрения, анализа и поддержания в рабочем состоянии непрерывности бизнеса организации.

2.8 ответные меры менеджмента непрерывности бизнеса (business continuity management response): Элемент МНБ, направленный на разработку и внедрение соответствующих планов и мер, обеспечивающих непрерывность критических видов деятельности и контролируемость инцидента.

2.9 система менеджмента непрерывности бизнеса; СМНБ (business continuity management system; BCMS): Часть интегрированной системы менеджмента организации, охватывающая создание, внедрение, функционирование, мониторинг, анализ, поддержку и улучшение менеджмента непрерывности бизнеса в организации.

Примечание - СМНБ включает в себя структуру, политику, план действий, распределение ответственности и полномочий, процедуры, процессы и ресурсы организации

2.10 план обеспечения непрерывности бизнеса; ПНБ (business continuity plan; BCP): Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне.

2.11 стратегия непрерывности бизнеса (business continuity strategy): Способы обеспечения непрерывности бизнеса организации, направленные на восстановление и продолжение ее деятельности в случае инцидентов, вызывающих нарушение в ее работе.

2.12 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.

2.13 последствие (consequence): Результат инцидента, который может повлиять на достижение целей организации.

Примечания

1 Для каждого инцидента должно быть проведено ранжирование последствий.

2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации.

2.14 анализ эффективности затрат (cost-benefit analysis): Финансово-экономический метод, применение которого позволяет оценить затраты на МНБ, сопоставить их с полученной от его внедрения выгодой.

Примечание - Выгода может быть определена с позиции финансов, репутации, производства продукции, предоставления услуг, выполнения обязательных требований и т.п.