Точный
Статус документа
Статус документа

ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования (Переиздание)

     5 Мониторинг и анализ СМНБ


Цель - обеспечение со стороны руководства мониторинга и анализа результативности и эффективности СМНБ, анализа пригодности и целесообразности политики, целей и области применения непрерывности бизнеса, а также определение и утверждение действий по исправлению и улучшению СМНБ.

5.1 Внутренний аудит

Примечание - Внутренний аудит СМНБ отличается от самооценки или аудита мероприятий МНБ, определенных в 4.4.3.3 (см. также примечание к 2.22).

5.1.1 Организация должна обеспечить проведение внутреннего аудита СМНБ через запланированные интервалы времени для того, чтобы:

a) определить, действительно ли СМНБ:

- соответствует запланированному МНБ, включая соответствие требованиям настоящего стандарта,

- должным образом внедрена и поддерживается в рабочем состоянии,

- эффективно отвечает политике и целям в области непрерывности бизнеса организации;

b) предоставить информацию о результатах аудита руководству организации.

5.1.2 Организация должна запланировать, установить, внедрить и поддерживать в рабочем состоянии программу(ы) проведения аудита с учетом анализа воздействий на бизнес, мер по оценке, управлению и снижению риска, а также результатов предыдущих аудитов.

5.1.3 Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуру аудита СМНБ, ориентированную на:

a) определение обязанностей и компетентности вовлеченного персонала, требований к планированию и проведению аудитов, выполнение отчетов о результатах аудита и регистрацию связанных записей;

b) определение критериев, области применения, регулярности и методов аудита.

5.1.4 Выбор аудиторов и проведение аудита должны обеспечивать объективность и беспристрастность процесса аудита.

5.2 Анализ СМНБ со стороны руководства
     

    5.2.1 Общие положения

5.2.1.1 Руководство должно проводить анализ СМНБ организации через запланированные интервалы времени и/или при существенных изменениях в организации, обеспечивать постоянную пригодность, адекватность и эффективность СМНБ.

5.2.1.2 Этот анализ должен включать оценку возможностей для улучшений и потребности в изменениях СМНБ, включая политику и цели в области непрерывности бизнеса.

5.2.1.3 Результаты проведенного анализа должны быть зарегистрированы, записи должны поддерживаться в рабочем состоянии.

5.2.2 Входные данные для анализа

Входные данные для анализа со стороны руководства должны включать:

a) результаты аудита и анализа СМНБ и, если применимо, результаты аудита СМНБ ключевых поставщиков и подрядчиков;

b) данные обратной связи с заинтересованными сторонами, включая независимых наблюдателей;

c) методы, продукцию или процедуры, которые могут быть использованы организацией для улучшения функционирования и повышения эффективности СМНБ;

d) предупреждающие и корректирующие действия;

e) уровень остаточного и приемлемого риска;

f) уязвимости или угрозы, которым не было уделено достаточного внимания при предыдущей оценке или обработке риска;

g) действия, предпринятые после предыдущих анализов со стороны руководства;