ГОСТ Р 53647.3-2010

Группа Т59

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Часть 3

Руководство по внедрению

Business continuity management. Part 3. Guide of implementation

ОКС 03.100.01

Дата введения 2011-12-01

     

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 735-ст

4 Настоящий стандарт разработан с учетом основных требований национального документа Великобритании BIP 2142:2007* "Маршрутная карта менеджмента непрерывности бизнеса. Внедрение требований BS 25999" (BIP 2142:2007 The Route Map to Business Continuity Management. Meeting the Requirements of BS 25999, NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Менеджмент непрерывности бизнеса - это процесс управления, в рамках которого определяют потенциальные угрозы и их воздействие на деловые операции организации. Этот процесс является основой для повышения гибкости организации и направлен на обеспечение эффективного реагирования на угрозы и защиту интересов ключевых причастных сторон (в т.ч. потребителей, поставщиков, персонала), репутации, бренда и деятельности, добавляющей ценность, а также соответствия законодательным и обязательным требованиям.

Основной задачей системы менеджмента непрерывности бизнеса является обеспечение бесперебойной и непрерывной работы организации. Поставка продукции и услуг организации должны продолжаться в независимости от любых внешних воздействующих факторов. Бизнес должен быть непрерывным.

Требования настоящего стандарта следует применять наряду с нормативно-правовыми актами в области здоровья, экологии и обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно-правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. При этом следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации.

В качестве синонимов термина "менеджмент непрерывности бизнеса" часто используют термины "управление непрерывностью бизнеса", "управление непрерывностью деятельности", "управление бесперебойностью работы". Выбор термина зависит от потребностей организации и требований ее причастных сторон.

При разработке настоящего стандарта учтены основные требования национального документа Великобритании BIP 2142:2007 "Маршрутная карта менеджмента непрерывности бизнеса. Внедрение требований BS 25999".

     1 Область применения

Настоящий стандарт содержит руководящие указания по внедрению системы менеджмента непрерывности бизнеса в организации. Целью настоящего стандарта является обеспечение организации дополнительной информацией для понимания, разработки и внедрения, анализа и постоянного улучшения деятельности организации на основе стандартов серии ГОСТ Р 53647.

В основу рекомендаций настоящего стандарта положен опыт внедрения системы менеджмента непрерывности бизнеса (МНБ) предприятиями различных направлений бизнеса.

Настоящий стандарт предназначен для организаций всех размеров и форм собственности и специалистов, ответственных за обеспечение непрерывности бизнеса организации.

В область применения настоящего стандарта не входит планирование действий в чрезвычайных и других ситуациях, относящихся к области гражданской обороны и МЧС.

Основные принципы МНБ для организации финансовой сферы приведены в приложении А.

     2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты:

ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство (BS 25999-1:2006, Business continuity management - Part 1: Code of practice)

ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования (BS 25999-2:2007, Business continuity management - Part 2: Specification)

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов и классификаторов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

     3 Внедрение серии стандартов ГОСТ Р 53647

Серия стандартов ГОСТ Р 53647 по менеджменту непрерывности бизнеса состоит из двух стандартов:

Стандарт ГОСТ Р 53647.1 устанавливает руководящие указания по применению методов организации эффективного менеджмента непрерывности бизнеса. Организации могут использовать этот документ в полном объеме или в части, необходимой для конкретной ситуации. Данный стандарт также может быть использован для самооценки или взаимной оценки двумя организациями. ГОСТ Р 53647.1 не устанавливает требований к МНБ.

Стандарт ГОСТ Р 53647.2 устанавливает способы внедрения МНБ. Стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, для оценки соответствия организации законодательным и обязательным требованиям, а также требованиям потребителей и собственным требованиям организации. ГОСТ Р 53647.2 содержит требования, соответствие которым может быть установлено в ходе аудита. Демонстрация выполнения требований ГОСТ Р 53647.2 может быть использована организацией для обеспечения уверенности заинтересованных сторон в успешном внедрении ею МНБ.

Так же, как в современных стандартах в области систем менеджмента, в стандарте ГОСТ Р 53647.2 использован цикл PDCA* (планирование - осуществление - проверка - действие), представленный на рисунке 1, направленный на разработку, внедрение и повышение эффективности системы менеджмента непрерывности бизнеса организации.

_______________

* PDCA - "Plan-Do-Check-Act".

     
Рисунок 1 - Применение цикла PDCA в разработке, внедрении и повышении эффективности системы МНБ

На рисунке 2 показан цикл PDCA применительно к системе менеджмента непрерывности бизнеса (СМНБ) в соответствии с ГОСТ Р 53647.2. Применение цикла PDCA приводит к достижению запланированных результатов в области непрерывности бизнеса, которые отвечают требованиям и ожиданиям заинтересованных сторон.

     
Рисунок 2 - Применение цикла PDCA к процессам СМНБ

Элементы цикла PDCA в соответствии с СМНБ, установленные в ГОСТ Р 53647.2, включают в себя:

- Планирование: установление политики, целей, задач, средств управления, процессов и процедур обеспечения непрерывности бизнеса, относящихся к управлению риском и улучшению непрерывности бизнеса для достижения результатов в соответствии с политикой и целями организации.

- Осуществление: внедрение и применение политики, средств управления, процессов и процедур в области непрерывности бизнеса.

- Проверка: мониторинг и анализ СМНБ на соответствие политике и целям в области непрерывности бизнеса, отчет по результатам анализа для проведения анализа со стороны руководства, определение и утверждение корректирующих и предупреждающих действий, а также деятельности по улучшению.

- Действие: поддержка и улучшение СМНБ, выполнение предупреждающих и корректирующих действий, а также деятельность по улучшению, основанная на результатах анализа со стороны руководства, и актуализация области применения СМНБ, политики и целей в области непрерывности бизнеса.

Подход PDCA, используемый в ГОСТ Р 53647.2, обеспечивает необходимую степень согласованности с другими стандартами, регламентирующими требования к системам менеджмента, таким как ИСО 9001 и ИСО 14001.

Схематичное изображение жизненного цикла МНБ, соответствующего ГОСТ Р 53647.1, представлено на рисунке 3.

Общепризнано, что подход PDCA может быть применен к каждому этапу процессов жизненного цикла МНБ, поэтому для целей настоящего стандарта использован следующий подход.

Рисунок 3 может быть представлен в виде колеса МНБ. Центр колеса (управление программой МНБ) и шина (внедрение МНБ в культуру организации) являются элементами, связанными с элементами "планирование, проверка и действие" в цикле PDCA. Спицы колеса (анализ непрерывности бизнеса организации, определение стратегии МНБ, разработка и внедрение ответных мер МНБ, применение, поддержка и анализ МНБ) относятся к элементу цикла PDCA "осуществление".

Рисунок 3 - Жизненный цикл менеджмента непрерывности бизнеса

     4 Планирование системы менеджмента непрерывности бизнеса

Разделы 4-7 относятся к элементу цикла PDCA "планирование".

Для обеспечения успешного внедрения СМНБ должна быть введена в действие и одобрена высшим руководством организации, участие которого в работе с МНБ необходимо. Постоянная поддержка высшего руководства организации является необходимым условием ответственного отношения к МНБ персонала организации в целом. Важно обеспечить хранение данных о разработке и внедрении СМНБ в организации, достоверных свидетельств принятых решений, записях о выполненных планах, отчетов всех видов аудитов, а также результатах соответствия СМНБ требованиям ГОСТ Р 53647.2.

4.1 Начальный этап разработки

В основе жизненного цикла МНБ лежит управление программой МНБ. В отличие от управления проектом, в котором есть начало и конец разработки, МНБ является непрерывным процессом, поэтому управление программой МНБ следует рассматривать как программу действий по обеспечению своевременности и релевантности СМНБ и гарантии ее существования в пределах организации.

При разработке и внедрении СМНБ организация должна установить:

- требования к непрерывности бизнеса с учетом целей и обязательств организации, а также законодательных, обязательных и договорных требований и налогов;

- интересы ключевых причастных сторон;

- область применения СМНБ с позиции ее ключевых продукции и услуг.

4.2 Определение требований к МНБ

На первом этапе должны быть установлены причины необходимости внедрения МНБ организацией. Следует определить, действительно ли внедрение МНБ сделает организацию более гибкой и устойчивой, экономически эффективной и/или конкурентоспособной. Является ли СМНБ важным элементом управления риском и достижения поставленных целей организацией. Не является ли внедрение СМНБ только данью моде. Не начато ли внедрение СМНБ под давлением внешних коммерческих партнеров?

Для успешной разработки и внедрения СМНБ необходимо понимание внешней макросреды организации.

Существуют различные способы подготовки ответа на поставленные вопросы, одним из которых является Шпиль-анализ (см. рисунок 4), который применяют для анализа внешней среды.

     
Рисунок 4 - Схема Шпиль-анализа

Ниже приведены некоторые из вопросов, на которые следует ответить организации при выполнении каждого элемента анализа:

- Какие социальные обязательства организация имеет перед обществом, например обеспечение занятости населения, безопасности персонала?

- Как общество рассматривает деятельность организации, например как угрозу личной безопасности или потенциальную причину ущерба?

- Какова зависимость организации от внешних условий, например коммуникаций? Как быстро меняются технологии, используемые организацией?

- Каков экономический климат, в котором действует организация? Каково отношение к долгу финансовых учреждений, с которыми взаимодействует организация? Насколько развита экономическая система стран, в которых работает организация и сотрудничает в сфере торговли?

- Какова этика торговых отношений? Каково отношение общественности и СМИ к организации и ее деятельности?

- Является ли стабильным политический климат страны, в которой работает организация? Влияет ли смена правительства на отношение государства к организации и ее сфере деятельности? Существует ли угроза терроризма и общественных беспорядков для организации?

- Какие законы и нормативные акты применимы к организации? Они являются национальными или международными?