ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007

Группа Т59

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

     

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

     
Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности

     
Business continuity management. Guideline for incident preparedness and operational continuity management

ОКС 03.100.01

Дата введения 2012-12-01

     

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в разделе 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 679-ст

4 Настоящий стандарт идентичен международному документу ISO/PAS 22399:2007* "Социальная безопасность. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности" (ISO/PАS 22399:2007 "Societal security - Guideline for incident preparedness and operational continuity management").

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

ВНЕСЕНА поправка, опубликованная в ИУС N 2, 2013 год

Поправка внесена изготовителем базы данных

Введение

Настоящий стандарт устанавливает процесс, основные принципы и термины в области обеспечения готовности к инцидентам и непрерывности деятельности (IPOCM*) организации. Целью настоящего стандарта является установление основных положений для понимания, разработки и внедрения процессов обеспечения готовности к инцидентам и непрерывности деятельности организации, а также создания доверия общества, партнеров, потребителей и клиентов к организации. Настоящий стандарт содержит методы, которые могут позволить государственным и частным организациям исследовать воздействующие факторы при возникновении неумышленных, преднамеренных или природных инцидентов (например, авария, кризис или стихийное бедствие) и разработать необходимые действия, направленные на контроль за инцидентом и принятие надлежащих мер для обеспечения непрерывной деятельности организации. Настоящий стандарт также позволяет организации оценить в соответствии с общепринятыми методами свою способность к обеспечению готовности к инцидентам и непрерывности деятельности. Стандарт содержит общую схему обеспечения готовности к инцидентам и непрерывности деятельности, применимую к организациям всех видов деятельности и размеров, позволяющую учесть разнообразие их географических, культурных, экономических, национальных, политических и социально-бытовых особенностей.

________________

* IPOCM - Incident preparedness and operational (business) continuity management - Обеспечение готовности к инцидентам и непрерывности деятельности.

Причастные стороны (заинтересованные стороны) требуют от организации быть заранее готовой к возможным инцидентам и нарушениям/разрушениям, чтобы не допустить приостановки критических видов деятельности, и, если произошла их полная остановка, быть способной быстро восстановить деятельность, поставку продукции и предоставление услуг (см. рисунок 1). Обеспечение готовности к инцидентам и непрерывности деятельности является процессом менеджмента, в рамках которого следует идентифицировать возможные негативные воздействия на организацию и создать структуру управления, направленную на минимизацию их воздействий.

1 - после внедрения IPOCM; 2 - до внедрения IPOCM

Рисунок 1 - Концепция готовности к инцидентам и IPOCM

В настоящем стандарте приведен полный набор средств управления, основанных на передовых методах IPOCM, используемых на всех этапах руководства и управления организацией. Стандарт будет полезен специалистам, ответственным за оперативное управление организацией как государственного, так и частного сектора, директорам и руководителям всех уровней организации, малым и средним предприятиям, а также большим и транснациональным корпорациям.

Настоящий стандарт подробно описывает общие процессы планирования и управления, которые помогут организации при:

- анализе среды функционирования организации, ограничений и угроз для ее работы, которые могут привести к существенным разрушениям;

- количественной оценке воздействия нарушений/разрушений на критические виды деятельности и процессы организации;

- определении видов ее деятельности, которые являются критическими для достижения целей в краткосрочной и долгосрочной перспективе;

- идентификации инфраструктуры и ресурсов, необходимых организации для обеспечения непрерывности деятельности на минимальном уровне;

- документировании ключевых ресурсов, инфраструктуры, целей и распределении ответственности, необходимых для поддержки критических видов деятельности в случае возникновения нарушений/разрушений;

- установлении процессов, актуализации используемой информации и учета изменений риска и производственной среды;

- повышении осведомленности вовлеченного персонала, заказчиков, поставщиков и других причастных сторон об обеспечении готовности к инцидентам и непрерывности деятельности организации и, при необходимости, применении в организации всех требуемых процедур;

- выполнении принятых решений и обеспечении постоянного улучшения всех процессов.

Очевидно, что эффективное внедрение IPOCM требует основательных изменений деятельности организации, включая исследование и принятие решений в условиях неопределенности. На всех уровнях организации должно быть понимание того, что риск присущ каждому принимаемому решению и виду деятельности и может вызвать ее нарушение/разрушение. Поэтому на всех уровнях организации должен быть проведен анализ способов управления в условиях нарушения/разрушения.

Настоящий стандарт позволяет государственным и частным организациям оценить и управлять риском с целью повышения устойчивости и бесперебойной долгосрочной работы организации. Стандарт не устанавливает конкретную модель применения. Существуют различные признанные модели и методы, которые помогают внедрить систему IPOCM в деятельность организации, что позволяет сделать более эффективной и конкурентоспособной ее деятельность и гибко реагировать на любые возникающие проблемы. Настоящий стандарт предоставляет ряд методов идентификации и поиска решений по обеспечению готовности к инцидентам и непрерывности деятельности. Применяя динамические системные модели процессов управления, основанные на оценке риска, к системе обеспечения готовности к инциденту и непрерывности деятельности, следует учитывать имеющиеся ресурсы организации. Выбранная модель должна быть внедрена для обеспечения непрерывности деятельности организации.

Обычно модели управления включают в себя общие элементы: разработку политики, планирование, внедрение и функционирование, оценку выполнения, постоянное улучшение и анализ управления. В настоящем стандарте дано общее представление о содержании этих элементов, разработке и внедрении модели управления с учетом потребностей организации и ее места в обществе.

Выбранная организацией модель управления должна содержать полный спектр мероприятий, установленный IPOCM. IPOCM напрямую связана с организационным менеджментом и внедрением передового мирового опыта менеджмента. Система IPOCM устанавливает стратегическую и тактическую структуру опережающего менеджмента и обеспечения устойчивости работы организации в условиях разрушения, нарушения, перебоев или потерь при поставке продукции и предоставлении услуг. Эта система не должна носить только корректирующий характер и не должна быть направлена исключительно на устранение последствий инцидента. Одним из основных требований системы IPOCM является всестороннее планирование деятельности и составление программ развития организации. В связи с этим устойчивость организации обеспечивается квалификацией персонала, а также применением современных технологий и холистического подхода при внедрении модели или методов IPOCM.

К наилучшим результатам для всех причастных (заинтересованных) сторон может привести систематическая адаптация и внедрение набора методов IPOCM. Однако применение только одного настоящего стандарта не позволит обеспечить высокую степень готовности к инцидентам и непрерывности деятельности организации. Для достижения целей программы обеспечения готовности к инцидентам и непрерывности деятельности следует поощрять применение передового мирового опыта, методов и технологий, если они подходят организации и экономически обоснованы. Необходимо также учитывать рентабельность внедрения методов, технологий и мирового опыта.

Внедрение IPOCM требует координации и согласования различных элементов и субъектов в государственных и частных секторах (таких как правительственные и общественные организации на различных уровнях, торгово-промышленные объединения, неправительственные организации и отдельные граждане). У каждого из них существуют свои собственные интересы, цели, задачи и обязательства, ресурсы и возможности, правила, методы и процедуры работы. Необходимо учитывать, что ключевые элементы программы IPOCM связаны и взаимодействуют с функциями и интересами различных субъектов, которые могут быть вовлечены при возникновении инцидента. Поэтому ключевые положения программы IPOCM необходимо рассматривать с учетом всех вышеназванных элементов и субъектов и их связи с программой IPOCM.

Реакция организации на опасные события, целью которой является минимизация их воздействия и сокращение социальных потерь, должна способствовать повышению социальной ответственности организации. В период разрушительных инцидентов необходимо понимать, что сотрудничество и помощь другим организациям в распределении человеческих и материальных ресурсов является существенным фактором в обеспечении непрерывности деятельности самой организации, поскольку собственные ресурсы, необходимые для восстановления в период инцидента, могут оказаться недостаточными или нерационально размещенными. Организация должна активно работать совместно с гражданским населением, местными органами власти, службами чрезвычайного реагирования и другими вовлеченными сторонами, принимая участие в аварийно-восстановительных работах, предоставляя необходимые ресурсы и помогая в действиях, направленных на спасение человеческих жизней. Организация должна также сотрудничать с представителями общественности и партнерами, чтобы учитывать их позицию в своей деятельности.

Организация может выбрать область применения элементов настоящего стандарта, ограничиваясь его использованием к конкретным услугам, продукции или в одном, или в нескольких регионах. Любое подобное ограничение области применения требований стандарта должно быть зарегистрировано.

Необходимо отметить, что настоящий стандарт не устанавливает абсолютные требования к системе IPOCM, при ее разработке следует учитывать обязательства, принятые в политике организации, установленные законодательные, обязательные и иные требования, мероприятия по предупреждению риска, предотвращению нарушений/разрушений и постоянному внедрению усовершенствований. Настоящий стандарт можно применять к системе постоянного улучшения, однако его положения не могут быть использованы в качестве критериев для оценки соответствия.

     1 Область применения

Настоящий стандарт содержит общее руководство по установлению критериев оценки обеспечения готовности к инцидентам и непрерывности деятельности и разработке соответствующей системы менеджмента организации. Стандарт устанавливает основные положения для разработки и внедрения системы обеспечения непрерывности деятельности организации, а также обеспечения доверия со стороны общества, причастных сторон, потребителей и клиентов. Стандарт содержит методы оценки устойчивости организации к инцидентам и нарушениям/разрушениям ее деятельности.

Стандарт применим к организациям любых размеров и форм собственности, заинтересованных в обеспечении непрерывности поставки своей продукции, услуг или работы основных процессов. Применение настоящего стандарта помогает:

- проанализировать внешнюю и внутреннюю среду организации;

- идентифицировать критические для организации цели деятельности;

- проанализировать барьеры, опасные события, угрозы, риск и нарушения/разрушения, которые могут препятствовать достижению критических целей;

- оценить остаточный и приемлемый риск для понимания полученных результатов от применения стратегий снижения риска и внедрения средств управления риском;

- планировать способы обеспечения непрерывности достижения организацией поставленных целей при возникновении инцидента;

- разработать процедуры ответных мер на инциденты и аварийные ситуации, процедуры обеспечения непрерывности деятельности и процедуры восстановления ее нарушений/разрушений, вызванных инцидентом;

- определить обязанности, ответственность и обязательства, а также необходимые ресурсы для выполнения ответных мер, направленных на обеспечение непрерывности бизнеса в условиях инцидента;

- оценить соответствие действующим законодательным, обязательным и иным требованиям;

- обеспечить взаимопомощь с другими организациями и общественную поддержку;

- взаимодействовать со службами экстренного реагирования и средствами массовой информации (СМИ);

- изменить культуру организации и признать, что риск присущ каждому решению и действию и необходимо применять эффективный менеджмент организации.

Настоящий стандарт устанавливает общие принципы и элементы обеспечения готовности к инцидентам и непрерывности деятельности организации. Степень их применения зависит от таких факторов, как политика организации, особенности ее деятельности, выпускаемой продукции и предоставляемых услуг, месторасположения и условий организации производства.

Область применения настоящего стандарта не включает в себя действия в чрезвычайных ситуациях, такие как помощь при стихийных бедствиях и восстановление социальной инфраструктуры, которые выполняют государственные службы в соответствии с действующим законодательством. Однако следует координировать действия организации с действиями аварийных служб и регистрировать все выполненные действия в этой ситуации.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующий документ:

Руководство ИСО/МЭК 73:2002 Менеджмент риска. Термины и определения. Руководящие указания по использованию в стандартах (ISO/IEC Guide 73:2002, Risk management. Vocabulary. Guidelines for use in standards)*

________________

* Международный документ Руководство ИСО/МЭК 73:2002 заменен на документ Руководство ИСО 73:2009 "Менеджмент риска. Словарь" (ISO Guide 73:2009 Risk management - Vocabulary).

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 критические виды деятельности (critical activities): Виды деятельности организации, которые должны быть выполнены для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных целей организации.

3.2 последствие (consequence): Результат воздействия события на объект.

Примечание 1 - Результатом воздействия события может быть одно или несколько последствий.

Примечание 2 - Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.