Точный
Статус документа
Статус документа

ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности

     7 Внедрение и функционирование

7.1 Ресурсы, функции, ответственность и полномочия

Организация должна определить и обеспечить ресурсы, а также заключить соглашения о сотрудничестве, существенно необходимые для внедрения и управления системой IPOCM и постоянного повышения ее эффективности. Ресурсы включают в себя человеческие ресурсы (например, персонал, выполняющий работу), инфраструктуру, технологии, финансовые, информационные и интеллектуальные ресурсы. Персонал должен обладать необходимой компетентностью на основе соответствующего образования, обучения, навыков и опыта.

Функции, обязанности и полномочия персонала и причастных сторон должны быть определены и зарегистрированы, для обеспечения эффективности IPOCM следует обмениваться информацией о них.

Высшее руководство организации должно возглавить весь процесс и назначить представителя(ей) из числа высшего руководства, который(е), независимо от других обязанностей, должен определять функции, обязанности и полномочия для:

- обеспечения создания, внедрения и поддержки элементов и процессов системы IPOCM;

- оценки, анализа и отчета высшему руководству о внедрении системы IPOCM и представления предложений по ее улучшению;

- содействия повышению осведомленности об элементах системы IPOCM персонала организации.

Организация должна установить логистические возможности и процедуры по привлечению, размещению, сохранению, проверке и учету персонала, ресурсов, материалов и средств, произведенных или пожертвованных для поддержки системы IPOCM.

При установлении целей управления ресурсами необходимо проанализировать, как минимум, следующие факторы:

- персонал (необходимость его обучения), оборудование, средства, фонды, мнения экспертов, материалы и календарные сроки, в пределах которых они будут востребованы из общих ресурсов организации или у партнеров;

- время реагирования, возможности, ограничения, затраты, объем и ответственность, связанные с использованием вовлеченных ресурсов.

7.2 Внедрение IPOCM

Создание, распространение и внедрение культуры IPOCM в организации обеспечивает повышение качества корпоративного управления, при этом IPOCM может стать дополнительным активом организации (см. приложение D). При эффективном внедрении IPOCM повышает доверие причастных сторон к способности организации справиться с крупными сбоями и нарушениями деятельности.

Успешное внедрение подразумевает, что IPOCM действует во всей организации, весь персонал должен быть вовлечен в этот процесс. На всех уровнях управления в высшем и среднем звене руководители играют существенную роль в начале, при выборе критических видов деятельности и процессов, поэтому получение их поддержки на начальной стадии жизненно важно. Весь штатный персонал должен быть убежден, что IPOCM - важное направление деятельности для организации, и персонал играет в нем важную роль, обеспечивая непрерывность поставки продукции и услуг их клиентам и потребителям. Уровень осведомленности персонала и программы его обучения должны быть установлены как часть полного внедрения системы IPOCM.

Важна осведомленность персонала организации о том, что будет внедрено в рамках IPOCM и почему. Персонал должен убедиться, что IPOCM - долгосрочная инициатива, которую поддерживают руководители организации. Персонал должен быть уверен, что его работа защищена от воздействия всех инцидентов, разрушающих деятельность организации. Критически важно, чтобы персонал, вовлеченный в реализацию планов IPOCM, знал, какие действия он обязан предпринять при активации соответствующих планов.

Новый персонал организации должен быть ознакомлен с политикой IPOCM и своих функциях в программах IPOCM. Этого можно достичь путем включения материалов IPOCM в программы вводного инструктажа.

Осведомленность о полной программе IPOCM должна постоянно актуализироваться. Методы актуализации могут включать в себя внутренние газеты, электронные письма, интернет, совещания групп и обмен информацией с высшим руководством. Могут пропагандироваться примеры успешного преодоления организацией инцидентов и/или успешного выполнения персоналом поставленной задачи. Организация может также изучить передовой опыт работы с внешними отказами и внедрить его в свою деятельность.

7.3 Компетентность, обучение и осведомленность

Организация должна обеспечить необходимую компетентность персонала на основе соответствующего образования, подготовки, навыков или опыта (записи об этом должны быть зарегистрированы) или причастных сторон, выполняющих работы для организации или от ее имени, которые могут быть вовлечены в деятельность по предупреждению инцидентов, исследованию их причин, выполнению ответных мер, снижению последствий или могут быть подвержены воздействию идентифицированных опасностей или угроз.

Организация должна оценить потребности в обучении персонала, разработать и внедрить план обучения и план повышения уровня образования для поддержки программы IPOCM. Эти планы должны быть направлены на выполнение всех применимых обязательных требований. Целью обучения является повышение осведомленности и навыков, необходимых для разработки, внедрения, поддержки программы IPOCM. Периодичность и программа обучения должны быть идентифицированы.

Организация должна установить, внедрить и поддерживать процедуры обеспечения осведомленности персонала (лиц, работающих для нее или от ее имени) о:

- важности соответствия политике, процедурам и другим элементам системы IPOCM;

- существенных угрозах, опасностях, фактических или потенциальных воздействиях, связанных с работой персонала, и преимуществах усовершенствованных способов ее выполнения;

- своей роли и обязанностях в достижении целей и задач программы IPOCM;

- процедурах сдерживания, снижения, реагирования и восстановления до, во время и после инцидента/разрушения;

- потенциальных последствиях отклонения от указанных процедур.

7.4 Обмен информацией и предупреждение об опасности

Организация должна установить, внедрить и поддерживать процедуры ответов на запросы и распространения информации относительно угроз, опасностей, риска и требований системы IPOCM до, во время и после инцидента/разрушения. Должны быть разработаны процедуры предоставления информации внутренней и внешней аудитории, включая СМИ и их запросы о текущих и аварийных ситуациях, для: