ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования (Переиздание)

Введение

Общие положения

Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).

Для достижения этой цели следует учесть следующие важные факторы:

a) осознание потребности в обеспечении непрерывности бизнеса и потребности в установлении политики и целей в области непрерывности бизнеса;

b) внедрение и осуществление средств и мероприятий по управлению совокупным риском при обеспечении непрерывности бизнеса организации;

c) проведение мониторинга и анализа эффективности СМНБ;

d) постоянное улучшение, основанное на достоверных и объективных измерениях.

СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:

a) политику;

b) человеческие ресурсы (персонал) с соответствующими обязанностями и полномочиями;

c) процессы менеджмента, которые касаются:

1) политики;

2) планирования;

3) внедрения и функционирования;

4) оценки выполнения работ;

5) анализа менеджмента;

6) улучшения;

d) записи, обеспечивающие свидетельства аудита;

e) специальные процессы, связанные с непрерывностью бизнеса, такие как анализ воздействия на бизнес (АВБ) и разработка плана обеспечения непрерывности бизнеса.

Цикл "планирование - осуществление - проверка - действие" (PDCA)

В настоящем стандарте цикл "планирование - осуществление - проверка - действие" применяется к разработке, внедрению, функционированию, мониторингу, проведению учений, поддержке и постоянному улучшению СМНБ организации.

Применение этого цикла обеспечивает необходимую степень соответствия СМНБ другим стандартам по системам менеджмента, таким как ИСО 9001:2005, ИСО 14001:2004, ИСО/МЭК 27001:2005 и серии ИСО/МЭК 20000, и поддерживает последовательное и интегрированное внедрение и функционирование системы со взаимосвязанными системами менеджмента (см. приложение А).

На рисунке 1 показаны входные данные СМНБ в виде требований к обеспечению непрерывности бизнеса и ожиданий заинтересованных сторон, которые через взаимосвязанные виды деятельности и процессы образуют выходные данные (результаты) обеспечения непрерывности бизнеса (т. е. к управлению непрерывностью бизнеса), которые отвечают этим требованиям и ожиданиям заинтересованных сторон.

Широко распространенный подход, объединяющий цикл PDCA и виды деятельности по обеспечению непрерывности бизнеса, рекомендованные в [12], приведен на рисунке 2. Данный итеративный процесс обеспечивает создание и постоянное управление непрерывностью бизнеса организации (описание элементов жизненного цикла менеджмента непрерывности бизнеса см. в 3.7 [12]).

Требования настоящего стандарта следует применять наряду с нормативными правовыми актами в области обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. По возможности следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации.

Рисунок 1 - Применение цикла PDCA к процессам СМНБ