Точный
Статус документа
Статус документа

ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности

     6 Планирование

6.1 Общие положения

Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуры идентификации угроз и опасностей, процедуры оценки риска, уязвимостей и опасностей и процедуры анализа воздействий на деятельность. На данной стадии устанавливают параметры стратегии и планирования, что позволит организации уменьшить вероятность нарушений/разрушений (при возникновении инцидента) и обеспечить непрерывность достижения поставленных целей путем продолжения выполнения критических видов деятельности на приемлемом для организации уровне. Анализ деятельности организации проводят на основе данных по идентификации и оценке потенциального риска и угроз нарушений/разрушений деятельности организации, а также продолжительности нарушений/разрушений, приемлемой для причастных сторон. На этом этапе организация должна провести анализ своей продукции и услуг и обеспечивающих их критических видов деятельности. Составление карты процесса и другие способы управления процессом могут помочь организации в анализе и документировании критических видов деятельности.

6.2 Законодательные и другие требования

Организация должна установить и поддерживать процедуры идентификации и оценки применимых законодательных, обязательных и иных требований, принятых организацией и связанных с угрозами и риском для оборудования, видов деятельности, продукции, услуг, подрядчиков и цепи поставок. Организация должна постоянно актуализировать эту информацию и проводить обмен информацией по законодательным и иным требованиям с персоналом и другими третьими лицами, включая подрядчиков.

Система IPOCM должна обеспечивать выполнение действующих законов и принятых обязательств, соответствовать требованиям стандартов организации, ее политике, а также основываться на исследованиях и применении передового промышленного опыта в области IPOCM.

6.3 Оценка риска и анализ воздействий

Существуют различные методы оценки риска и анализа воздействий на деятельность организации, на основе которых определяют этапы анализа.

6.4 Идентификация угроз, опасностей, риска

Идентификация угроз, опасностей, риска должна включать в себя (перечень может быть дополнен):

- опасности естественного происхождения, не зависящие от воздействия человека, способные прямо или косвенно воздействовать на деятельность, персонал, имущество и/или окружающую среду (геологические, метеорологические и биологические опасности) организации;

- события (случайные и преднамеренные), вызванные деятельностью человека и применяемыми технологиями;

- события, связанные с бизнесом (позитивные или негативные).

Идентификация риска должна стать непрерывной деятельностью. Организация должна выяснить источники и возможности причинения ущерба и идентифицировать опасные события. Организация должна консультироваться с государственными структурами и общественными организациями при идентификации опасностей для организации и причастных сторон.

6.5 Оценка риска

Организация может использовать формальный зарегистрированный процесс оценки риска, чтобы идентифицировать опасные события и угрозы, вероятность их возникновения, а также уязвимость и связанные с ней критические проблемы для персонала, имущества, среды и организации в целом. Организация должна количественно или качественно оценить вероятность возникновения идентифицированных опасных событий и их комбинации. Полученные результаты количественной оценки должны быть использованы как входные данные к процессу сравнительной оценки риска и ранжирования источников риска.

Организация должна оценивать риск на основе разумных критериев, учитывая совокупный риск ее деятельности. Организация должна учитывать различные аспекты, такие как опасность для жизни человека, активы, компенсации, доходы, кредиты и состояние окружающей среды. Организация должна провести анализ информации о риске и выбрать те виды риска, которые могут привести к существенным и/или недопустимым последствиям.

Организация должна обеспечить актуальность и конфиденциальность информации, связанной с оценкой угроз, риска и критических состояний. Эти оценки необходимо пересматривать при изменениях, происходящих в организации или ее операционной среде, процедурах, подразделениях и услугах.

6.6 Анализ воздействия на деятельность

Организация должна провести анализ воздействия нарушений/разрушений на свою деятельность и идентифицировать критические виды деятельности, первоочередные для восстановления, чтобы установить целевой срок восстановления (RTO) (см. приложение А).

Организация должна провести анализ воздействий нарушений/разрушений на свою деятельность, включая (но не ограничиваясь) следующие показатели:

- здоровье и безопасность людей в пострадавших районах в момент инцидента (травмирование и гибель людей);

- здоровье и безопасность персонала, ответственного за выполнение ответных мер в условиях инцидента;

- непрерывность деятельности;

- сохранение имущества, оборудования и инфраструктуры;

- непрерывность предоставления услуг;

- защита окружающей среды;

- благосостояние причастных сторон;

- экономическое и финансовое воздействие (включая анализ экономической эффективности защитных мер);