Точный
Статус документа
Статус документа

ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности

Введение


Настоящий стандарт устанавливает процесс, основные принципы и термины в области обеспечения готовности к инцидентам и непрерывности деятельности (IPOCM*) организации. Целью настоящего стандарта является установление основных положений для понимания, разработки и внедрения процессов обеспечения готовности к инцидентам и непрерывности деятельности организации, а также создания доверия общества, партнеров, потребителей и клиентов к организации. Настоящий стандарт содержит методы, которые могут позволить государственным и частным организациям исследовать воздействующие факторы при возникновении неумышленных, преднамеренных или природных инцидентов (например, авария, кризис или стихийное бедствие) и разработать необходимые действия, направленные на контроль за инцидентом и принятие надлежащих мер для обеспечения непрерывной деятельности организации. Настоящий стандарт также позволяет организации оценить в соответствии с общепринятыми методами свою способность к обеспечению готовности к инцидентам и непрерывности деятельности. Стандарт содержит общую схему обеспечения готовности к инцидентам и непрерывности деятельности, применимую к организациям всех видов деятельности и размеров, позволяющую учесть разнообразие их географических, культурных, экономических, национальных, политических и социально-бытовых особенностей.

________________

* IPOCM - Incident preparedness and operational (business) continuity management - Обеспечение готовности к инцидентам и непрерывности деятельности.


Причастные стороны (заинтересованные стороны) требуют от организации быть заранее готовой к возможным инцидентам и нарушениям/разрушениям, чтобы не допустить приостановки критических видов деятельности, и, если произошла их полная остановка, быть способной быстро восстановить деятельность, поставку продукции и предоставление услуг (см. рисунок 1). Обеспечение готовности к инцидентам и непрерывности деятельности является процессом менеджмента, в рамках которого следует идентифицировать возможные негативные воздействия на организацию и создать структуру управления, направленную на минимизацию их воздействий.


1 - после внедрения IPOCM; 2 - до внедрения IPOCM

Рисунок 1 - Концепция готовности к инцидентам и IPOCM


В настоящем стандарте приведен полный набор средств управления, основанных на передовых методах IPOCM, используемых на всех этапах руководства и управления организацией. Стандарт будет полезен специалистам, ответственным за оперативное управление организацией как государственного, так и частного сектора, директорам и руководителям всех уровней организации, малым и средним предприятиям, а также большим и транснациональным корпорациям.

Настоящий стандарт подробно описывает общие процессы планирования и управления, которые помогут организации при:

- анализе среды функционирования организации, ограничений и угроз для ее работы, которые могут привести к существенным разрушениям;

- количественной оценке воздействия нарушений/разрушений на критические виды деятельности и процессы организации;

- определении видов ее деятельности, которые являются критическими для достижения целей в краткосрочной и долгосрочной перспективе;

- идентификации инфраструктуры и ресурсов, необходимых организации для обеспечения непрерывности деятельности на минимальном уровне;

- документировании ключевых ресурсов, инфраструктуры, целей и распределении ответственности, необходимых для поддержки критических видов деятельности в случае возникновения нарушений/разрушений;

- установлении процессов, актуализации используемой информации и учета изменений риска и производственной среды;

- повышении осведомленности вовлеченного персонала, заказчиков, поставщиков и других причастных сторон об обеспечении готовности к инцидентам и непрерывности деятельности организации и, при необходимости, применении в организации всех требуемых процедур;

- выполнении принятых решений и обеспечении постоянного улучшения всех процессов.

Очевидно, что эффективное внедрение IPOCM требует основательных изменений деятельности организации, включая исследование и принятие решений в условиях неопределенности. На всех уровнях организации должно быть понимание того, что риск присущ каждому принимаемому решению и виду деятельности и может вызвать ее нарушение/разрушение. Поэтому на всех уровнях организации должен быть проведен анализ способов управления в условиях нарушения/разрушения.

Настоящий стандарт позволяет государственным и частным организациям оценить и управлять риском с целью повышения устойчивости и бесперебойной долгосрочной работы организации. Стандарт не устанавливает конкретную модель применения. Существуют различные признанные модели и методы, которые помогают внедрить систему IPOCM в деятельность организации, что позволяет сделать более эффективной и конкурентоспособной ее деятельность и гибко реагировать на любые возникающие проблемы. Настоящий стандарт предоставляет ряд методов идентификации и поиска решений по обеспечению готовности к инцидентам и непрерывности деятельности. Применяя динамические системные модели процессов управления, основанные на оценке риска, к системе обеспечения готовности к инциденту и непрерывности деятельности, следует учитывать имеющиеся ресурсы организации. Выбранная модель должна быть внедрена для обеспечения непрерывности деятельности организации.

Обычно модели управления включают в себя общие элементы: разработку политики, планирование, внедрение и функционирование, оценку выполнения, постоянное улучшение и анализ управления. В настоящем стандарте дано общее представление о содержании этих элементов, разработке и внедрении модели управления с учетом потребностей организации и ее места в обществе.

Выбранная организацией модель управления должна содержать полный спектр мероприятий, установленный IPOCM. IPOCM напрямую связана с организационным менеджментом и внедрением передового мирового опыта менеджмента. Система IPOCM устанавливает стратегическую и тактическую структуру опережающего менеджмента и обеспечения устойчивости работы организации в условиях разрушения, нарушения, перебоев или потерь при поставке продукции и предоставлении услуг. Эта система не должна носить только корректирующий характер и не должна быть направлена исключительно на устранение последствий инцидента. Одним из основных требований системы IPOCM является всестороннее планирование деятельности и составление программ развития организации. В связи с этим устойчивость организации обеспечивается квалификацией персонала, а также применением современных технологий и холистического подхода при внедрении модели или методов IPOCM.

К наилучшим результатам для всех причастных (заинтересованных) сторон может привести систематическая адаптация и внедрение набора методов IPOCM. Однако применение только одного настоящего стандарта не позволит обеспечить высокую степень готовности к инцидентам и непрерывности деятельности организации. Для достижения целей программы обеспечения готовности к инцидентам и непрерывности деятельности следует поощрять применение передового мирового опыта, методов и технологий, если они подходят организации и экономически обоснованы. Необходимо также учитывать рентабельность внедрения методов, технологий и мирового опыта.

Внедрение IPOCM требует координации и согласования различных элементов и субъектов в государственных и частных секторах (таких как правительственные и общественные организации на различных уровнях, торгово-промышленные объединения, неправительственные организации и отдельные граждане). У каждого из них существуют свои собственные интересы, цели, задачи и обязательства, ресурсы и возможности, правила, методы и процедуры работы. Необходимо учитывать, что ключевые элементы программы IPOCM связаны и взаимодействуют с функциями и интересами различных субъектов, которые могут быть вовлечены при возникновении инцидента. Поэтому ключевые положения программы IPOCM необходимо рассматривать с учетом всех вышеназванных элементов и субъектов и их связи с программой IPOCM.

Реакция организации на опасные события, целью которой является минимизация их воздействия и сокращение социальных потерь, должна способствовать повышению социальной ответственности организации. В период разрушительных инцидентов необходимо понимать, что сотрудничество и помощь другим организациям в распределении человеческих и материальных ресурсов является существенным фактором в обеспечении непрерывности деятельности самой организации, поскольку собственные ресурсы, необходимые для восстановления в период инцидента, могут оказаться недостаточными или нерационально размещенными. Организация должна активно работать совместно с гражданским населением, местными органами власти, службами чрезвычайного реагирования и другими вовлеченными сторонами, принимая участие в аварийно-восстановительных работах, предоставляя необходимые ресурсы и помогая в действиях, направленных на спасение человеческих жизней. Организация должна также сотрудничать с представителями общественности и партнерами, чтобы учитывать их позицию в своей деятельности.

Организация может выбрать область применения элементов настоящего стандарта, ограничиваясь его использованием к конкретным услугам, продукции или в одном, или в нескольких регионах. Любое подобное ограничение области применения требований стандарта должно быть зарегистрировано.

Необходимо отметить, что настоящий стандарт не устанавливает абсолютные требования к системе IPOCM, при ее разработке следует учитывать обязательства, принятые в политике организации, установленные законодательные, обязательные и иные требования, мероприятия по предупреждению риска, предотвращению нарушений/разрушений и постоянному внедрению усовершенствований. Настоящий стандарт можно применять к системе постоянного улучшения, однако его положения не могут быть использованы в качестве критериев для оценки соответствия.