Точный
Статус документа
Статус документа

ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности

     5 Политика

5.1 Проектирование и разработка программы

Целью создания программы обеспечения готовности к инцидентам и непрерывности деятельности является разработка, согласование и внедрение действий по управлению риском и обеспечению непрерывности деятельности организации. Эти действия должны соответствовать размеру, сложности и характеру деятельности организации и быть направлены на достижение ее способности гибко реагировать на любые возникающие изменения. Необходимо установить структуру управления способностью организации к непрерывности деятельности.

Установленные действия включают в себя проектирование, разработку, внедрение, первоначальные проверки и учения, направленные на внедрение в организации менеджмента непрерывности деятельности. Необходимо на ранних стадиях интегрировать методы и процедуры IPOCM при проектировании организационных или бизнес-процессов, процессов планирования, производства, обучения, разработки финансовой и экономической политики и соответствующих процедур. Работу по обеспечению непрерывности деятельности необходимо регулярно проверять, актуализировать и пересматривать всякий раз, когда возникают существенные изменения в организации (например, во внешней среде, персонале, процессах или технологиях). IPOCM должна также обеспечивать защиту причастных сторон от возможного неблагоприятного воздействия последствий нарушения/разрушения деятельности организации.

Таким образом, программа IPOCM включает три основных компонента: создание структуры IPOCM, организационные мероприятия по ее внедрению и постоянное обеспечение непрерывности деятельности организации.

5.2 Определение области применения программы

Организация должна установить, зарегистрировать, внедрить, поддерживать в рабочем состоянии, оценивать и постоянно улучшать свои программы обеспечения готовности к инцидентам и непрерывности деятельности.

Организация должна определить критические цели и виды деятельности, идентифицированные в стратегиях, бизнес-планах, политике, задачах, планах менеджмента риска, определить средства управления, такие как анализ SWOT* (сила, слабости, возможности и угрозы), и систему сбалансированных показателей. Критические для непрерывности деятельности процессы должны быть идентифицированы и зарегистрированы. Это позволит сконцентрировать ресурсы, требуемые для поддержания непрерывности критических видов деятельности организации с учетом существующих экономических ограничений.

_________________

* SWOT - Strengths, Weakness, Opportunities and Threats.


Организация должна обосновать программу IPOCM, чтобы определить преимущества принятого подхода для всей организации. Обоснование может быть основано на:

- опасных предшествующих событиях, произошедших в организации;

- известной и возможной экспозиции опасных событий;

- тенденциях нарушений/разрушений деятельности с учетом опыта предшествующих инцидентов;

- росте затрат и потери доходов в случае реализации возможных разрушений;

- риске финансовых затрат;

- принятых обязательствах;

- социальной ответственности;

- достижениях и неудачах по другим проектам и программам IPOCM.

Организация должна определить и зарегистрировать область применения своей системы IPOCM, а также имеет право свободно и гибко определять границы системы IPOCM и может внедрить ее во всей организации, только в отдельных подразделениях или применить к отдельным видам деятельности. Следует рассмотреть взаимосвязь с другими организациями (партнерами) и причастными сторонами, которые могут помочь или повлиять на деятельность организации, включая воздействие процессов и действий по аутсорсингу и в цепи поставок. Область применения системы IPOCM должна быть напрямую связана с критическими видами деятельности, функциями, продукцией и услугами организации путем определения параметров оценки риска и разработки программы, основанной на их критическом состоянии, потенциальной вероятности и последствиях инцидента.

5.3 Лидерство и обязательства руководства

Эффективность программы IPOCM напрямую зависит от степени ее интегрирования в процессы менеджмента организации и поддержки со стороны высшего руководства. Программой IPOCM необходимо управлять на функциональном и организационном уровнях.

Привлечение специалистов в области других систем менеджмента может помочь при поддержке и управлении программой IPOCM. Количество требуемых ресурсов зависит от размера организации и разнообразия ее видов деятельности.

5.4 Разработка политики в области IPOCM

Организация должна разработать политику в области IPOCM. Первоначально это может быть заявление о политике на уровне высшего руководства с дальнейшим совершенствованием и углублением данного документа по мере развития и совершенствования обеспечения непрерывности деятельности организации. Политику следует регулярно анализировать и актуализировать в соответствии с потребностями организации.

Политика в области IPOCM должна содержать документированные принципы, к которым необходимо стремиться и в соответствии с которыми можно измерить способность организации к IPOCM.

Процесс установления политики организации должен включать в себя ряд элементов. Высшее руководство должно:

- принять решение о разработке программы IPOCM и довести принятое решение до сведения всей организации;

- установить основу политики в области IPOCM;