ГОСТ Р 53647.8-2013
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
Управление человеческими ресурсами
Business continuity management. Management of human resources
ОКС 03.100.01
Дата введения 2014-12-01
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в разделе 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 ноября 2013 г. N 1667-ст
4 Настоящий стандарт подготовлен с учетом основных нормативных положений документа PD 25111:2010* "Менеджмент непрерывности бизнеса. Руководство по человеческим аспектам непрерывности бизнеса" ("Business continuity management. Guidance on human aspects of business continuity", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Наименование настоящего стандарта изменено относительно наименования указанного национального стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Май 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
В настоящем стандарте установлено руководство по планированию и разработке стратегии и политики управления человеческими ресурсами при возникновении инцидента, предусматривающее:
- меры реагирования при непосредственном воздействии инцидента;
- организационные действия на этапе восстановления после воздействия инцидента (обеспечения непрерывности деятельности);
- поддержку персонала при восстановлении деятельности организации.
В настоящем стандарте определены дополнительные требования к обеспечению непрерывности деятельности, соответствующие требованиям, установленным в стандартах серии ГОСТ Р 53647. Стандарт предназначен для высшего руководства, ответственного за управление человеческими ресурсами организации. Стандарт применим к организациям любых форм собственности и видов деятельности вне зависимости от численности персонала.
Настоящий стандарт не содержит полного руководства по управлению человеческими ресурсами в условиях инцидента, стандарт направлен на снижение воздействия инцидента на персонал и другие причастные стороны.
В настоящем стандарте применены следующие термины с соответствующими определениями:
2.1 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.
2.2 менеджмент непрерывности бизнеса, МНБ (business continuity management; ВСМ): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости деятельности организации к инцидентам и направлен на реализацию эффективных ответных мер, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности.
Примечание - Менеджмент непрерывности бизнеса направлен на обеспечение управления восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, разработки и актуализации планов непрерывности бизнеса.
2.3 план обеспечения непрерывности бизнеса, ПНБ (business continuity plan, ВСР): Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне.
2.4 нарушение (разрушение) деятельности (организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением.
2.5 программа помощи персоналу, ППП (employee assistance programme, ЕАР): Оказание услуг персоналу по договорам со сторонними медицинскими учреждениями и/или медицинскими работниками.
Примечание - Сотрудникам организации предоставляется бесплатный контактный номер телефона, по которому они могут позвонить и задать вопросы в случае возникновения инцидента. Телефонная линия укомплектована консультантами, которые могут дать совет или рекомендации по телефону или при личной встрече (по договоренности). К работе в программе помощи персоналу привлекают квалифицированных консультантов, которые могут давать рекомендации от своего лица. Позвонившие могут также получить доступ к жизненно важным услугам, в широком диапазоне проблем, таких как права в области занятости, развод, управление денежными средствами. Организация должна использовать возможности программы помощи персоналу при реагировании на инцидент, а также для разъяснения персоналу кризисных ситуаций.
2.6 управление человеческими ресурсами в системе менеджмента непрерывности бизнеса (human aspects of business continuity): Элементы управления персоналом, вовлеченным или затронутым инцидентом, используемые для снижения травматизма, повышения производительности труда, восстановление после инцидента, а также сокращение сроков восстановления после инцидента и достижение целей непрерывности бизнеса.
2.7 анализ воздействия на человека (human impact analysis): Метод определения вероятного воздействия инцидента на здоровье и благополучие человека, альтернативных действий или решений
2.8 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.
2.9 план управления в условиях инцидента (incident management plan): Точно установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно охватывает вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены в соответствии с процессом управления в условиях инцидента.
2.10 группа управления в условиях инцидента; ГУИ (incident management team, IMT): Группа управления, специально сформированная для управления действиями организации до, во время и после инцидента.
2.11 перемещение (invacuate): Передвижение людей из опасных мест в заранее установленные зоны в здании/помещении для их защиты от внешних опасностей во время инцидента.
2.12 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.
Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.
Примечание
1 Распределение обычно бывает упорядоченным.
2 Организация может быть государственной или частной
3.1 Введение
Существуют разные причины разрушений и нарушений деятельности, на предотвращение которых направлена система управления непрерывностью деятельности (бизнеса). В рамках системы разрабатывают и выполняют планы управления последствиями подобных нарушений (разрушений) с помощью заранее установленных, выполненных и проверенных ответных мер. Прогнозирование реакции человека на разрушения или нарушения деятельности является более сложной задачей. Поэтому целесообразно отдельно разработать процесс управления человеческими ресурсами в системе менеджмента непрерывности бизнеса, который позволит ответственным лицам учесть и обеспечить потребности всех людей, вовлеченных в инциденты или затронутых ими.
Такой процесс направлен на поддержание в рабочем состоянии основных бизнес-процессов организации или их восстановление в сроки, установленные с момента признания нарушения до нормального функционирования. При этом необходимо учитывать потребности людей, вовлеченных в разработку и внедрение решений по непрерывности бизнеса.
3.2 Воздействие нарушений/разрушений деятельности на человека
Организация должна определить ресурсы, необходимые для поддержания в рабочем состоянии или восстановления основных видов деятельности. Одним из основных элементов реализации системы управления непрерывностью деятельности является анализ воздействий на деятельность (бизнес) организации. Этот анализ необходим для идентификации критических видов деятельности и процессов, которые обеспечивают поставку ключевых продукции и услуг организации. Если организация устанавливает для себя более высокий приоритет благополучия и безопасности людей перед другими элементами бизнеса, то это приводит к повышению мотивации персонала и репутации организации в обществе.
Однако, в процессе анализа воздействия на бизнес обычно не учитывают вклад различных групп персонала или иных вовлеченных лиц в обеспечение непрерывности деятельности. Даже если вовлеченный ключевой персонал идентифицирован, организация должна иметь достаточно оснований для уверенности в способности или готовности этого персонала реагировать в соответствии с планом непрерывности деятельности (бизнеса). Поэтому группа разработки системы обеспечения непрерывности деятельности должна включать специалиста, ответственного за управление человеческими ресурсами в организации.
Организация должна также рассмотреть весь спектр воздействий нарушения/разрушения деятельности на группы персонала и отдельных лиц, не идентифицированных в качестве ключевого персонала для поддержания или восстановления нормального функционирования организации. Кроме того, организация имеет обязательства по отношению к широкому кругу лиц из числа персонала, от лояльности которого могут зависеть отношения с поставщиками и потребителями, с которыми организация должна сотрудничать на долгосрочной основе (см. приложение А).
Наиболее распространенными видами нарушений/разрушений, влияющих на деятельность организации, являются отказы в области информационных и коммуникационных технологий, нарушения в поставке энергоснабжения, нарушения коммунальных услуг, а также погодные катаклизмы. Обеспечение непрерывности деятельности обычно связано с устранением последствий таких событий, пониманием их воздействия на людей (см. приложение Б), а также анализом возможных проблем у людей, которые должна решать организация после инцидента. Поэтому рекомендуется, чтобы процесс планирования обеспечения непрерывности деятельности организации включал анализ воздействия нарушений/разрушений на человека в качестве элемента анализа воздействия инцидента на деятельность организации. Организация должна исследовать возможные воздействия нарушений/разрушений на человека. Примеры воздействий наиболее распространенных нарушений/разрушений деятельности на человека приведены в приложении Б.
При разработке ответных мер на инцидент организация должна проанализировать вопросы благополучия персонала и обеспечения обмена информацией, решение которых необходимо для снижения беспокойства персонала и повышения его мотивации к восстановлению деятельности после инцидента. Кроме того, организация должна обеспечить поддержку персонала при возникновении инцидента, работа которого при необходимости может быть быстро организована. Каждый из этих вопросов должен систематически применяться к группам персонала и иным лицам, идентифицированным в приложении А, в соответствии с разделами 4, 5 и 6 настоящего стандарта. При решении этих вопросов необходимо учитывать следующее:
а) благополучие персонала:
- ответные меры должны быть в первую очередь применены к лицам, наиболее пострадавшим при инциденте;
- организация должна обеспечить благополучие и безопасность людей, за которых она несет ответственность;
- организация должна реагировать на индивидуальные проблемы людей;
- необходимо обеспечить всем необходимым лиц, ответственных за реагирование на инцидент;
- организация должна понимать непредсказуемый характер реакций человека на инцидент и адекватно действовать в ответ на такие реакции;
- при выполнении положений общей политики организация должна помогать людям, демонстрируя уважительное отношение к ним и их проблемам.
б) обмен информацией:
- необходимо обеспечить достаточность информации о местоположении людей и определить их текущее положение и проблемы;
- следует сообщить людям об инциденте и, по возможности, успокоить их;
- необходимо объяснить людям действия, которые они должны выполнить;
- необходимо наладить управление потоком информации от персонала и других причастных сторон;
- с учетом потребностей людей, затронутых инцидентом, необходимо признавать, что адекватная и своевременная информация жизненно необходима для группы управления в условиях инцидента.
в) организация поддержки персонала при возникновении инцидента:
- следует организовать поддержку персонала при возникновении инцидента, что позволяет успокоить персонал и иных причастных лиц, а также мотивировать их к выполнению необходимых действий в соответствии с планами управления инцидентом и системой обеспечения непрерывности деятельности;
- необходимо обеспечить четкое, точное и эффективное руководство на всех уровнях и во всех подразделениях организации;
- следует обеспечить, чтобы все сотрудники, затронутые инцидентом, оставались положительно настроенными по отношению к организации.
После завершения инцидента очень важно отметить заслуги персонала, участвовавшего в реагировании на инцидент и восстановлении деятельности организации. Весь персонал, вовлеченный в инцидент, должен быть осведомлен об изменениях, которые могут произойти в результате инцидента. Необходимо довести до людей информацию о том, что полученный опыт изучен и подобный инцидент не повторится. Лицам, работавшим сверхурочно и/или взявшим на себя выполнение дополнительных задач, должна быть вынесена благодарность за их усилия. Это может быть сделано неофициально, обычно эта функция возложена на руководителей среднего и высшего звена.
Ключевой персонал, ответственный за реагирование на инцидент, должен знать порядок действий при возникновении инцидента. Для этого необходимо провести соответствующее обучение, например, первой психологической помощи. Такое обучение должно быть проведено со специалистами организации (например, службы поддержки, группы первого реагирования на инцидент, кадровой службы, отдела техники безопасности и гигиены труда), которые могут столкнуться с проблемами персонала в кризисной ситуации. Обучение должно включать описание выхода из стресса после завершения кризисной ситуации.