БЕСПЛАТНО проверьте актуальность своей документации
с «Кодекс/Техэксперт АССИСТЕНТ»

ГОСТ Р ИСО 22301-2014

      
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ БИЗНЕСА

Общие требования

Business continuity management systems. Requirements

     

ОКС 03.100.01*

________________

     * Поправка (ИУС N 12-2020)

Дата введения 2015-12-01

     

Предисловие

1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (АО "НИЦ КД") на основе собственного перевода англоязычной версии стандарта, указанного в разделе 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2014 г. N 1351-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 22301:2012* "Социальная безопасность Системы менеджмента непрерывности бизнеса. Требования" (ISO 22301:2012 "Societal security - Business continuity management systems - Requirements", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов, указанных в библиографии настоящего стандарта, соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)


ВНЕСЕНА поправка, опубликованная в ИУС N 12, 2020 год

Поправка внесена изготовителем базы данных

Введение

0.1 Общие положения

Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).

СМНБ подчеркивает важность

- понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса,

- внедрения средств и показателей управления общей способностью организации противостоять разрушительным инцидентам,

- анализа и мониторинга выполнения и результативности СМНБ,

- непрерывного совершенствования, основанного на объективных измерениях.

Ключевыми элементами СМНБ, как и любой другой системы менеджмента, являются:

а) политика;

b) люди с установленными обязанностями;

c) процессы управления, относящиеся к:

1) политике;

2) планированию;

3) внедрению и функционированию;

4) оценке выполнения;

5) анализу со стороны руководства;

6) совершенствованию;

d) документация, обеспечивающая доказательства соответствия;

e) все процессы управления непрерывностью бизнеса в организации.

Непрерывность бизнеса способствует устойчивости общества. В процесс восстановления организации после разрушительных инцидентов может быть вовлечено общество и другие организации.

0.2 Модель "Планирование - Выполнение - Проверка - Действие" (PDCA)

Настоящий стандарт использует модель PDCA для планирования, установления, внедрения, функционирования, мониторинга, поддержки и непрерывного совершенствования результативности СМНБ организации.

Стандарт обеспечивает определенную степень соответствия другим стандартам в области систем менеджмента, таким как ИСО 9001:2008 "Система менеджмента качества. Требования", ИСО 14001:2004 "Системы экологического менеджмента. Требования и руководство по применению", ИСО/МЭК 27001:2013 "Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", ИСО/МЭК 20000-1:2011 "Информационные технологии. Менеджмент услуг. Часть 1. Требования к системе менеджмента услуг", и ИСО 28000:2007 "Системы менеджмента безопасности цепи поставок. Технические условия".

На рисунке 1 показано, как СМНБ, используя на входе заинтересованные стороны и требования к управлению непрерывностью бизнеса и, посредством необходимых действий и процессов, получает результаты (то есть управляемую непрерывность бизнеса), отвечающие этим требованиям.


Рисунок 1 - Модель PDCA, примененная к процессам СМНБ

   

Таблица 1 - Объяснение модели PDCA

Планирование
(Установление)

Установление политики в области непрерывности бизнеса, целей, задач, элементов управления, процессов и процедур, важных для совершенствования непрерывности бизнеса. Результаты должны поддерживать общую политику и задачи организации.

Выполнение
(Внедрение и работа)

Внедрение и работа политики непрерывности бизнеса, средств управления, процессов и процедур.

Проверка
(Наблюдение и контроль)

Отслеживание и анализ выполнения СМНБ с учетом политики и целей, сообщение результатов руководству, определение и санкционирование действий для исправления и совершенствования.

Действие
(Поддержка и совершенствование)

Поддержка и совершенствование СМНБ с помощью принятия корректирующих действий, основанных на результатах анализа менеджмента и пересмотре области применения СМНБ, а также политики и целей непрерывности бизнеса.

0.3 Компоненты PDCA в настоящем стандарте

Разделы 4-10 настоящего стандарта посвящены следующим элементам модели "Планирование-Выполнение-Проверка-Действие".

- В разделе 4 (Планирование) приведены требования, необходимые для установления условий СМНБ в организации, а также к ее потребностям, требованиям и области применения.

- В разделе 5 (Планирование) приведены требования к функциям высшего руководства в СМНБ, и описано, как высшее руководство выражает свои ожидания в отношении организации посредством установления политики в области непрерывности бизнеса.

- В разделе 6 (Планирование) приведены требования, относящиеся к установлению стратегических целей и руководящих принципов СМНБ в целом. Содержание раздела 6 отличается от установления возможных вариантов обработки риска, выявляемых при оценке риска, так же как и целей восстановления, выявляемых во время анализа воздействия на бизнес (BIA).

Примечание - Требования к процессу анализа воздействия на бизнес и оценке риска приведены в разделе 8.


- Раздел 7 (Планирование) посвящен функционированию СМНБ в части установления компетентности и обмена информацией с заинтересованными сторонами и включает рекомендации по управлению, поддержке и сохранению требуемой документации.

- В разделе 8 (Выполнение) установлены требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.

- В разделе 9 (Проверка) приведены требования, необходимые для выполнения измерений в области менеджмента непрерывности бизнеса, соответствия СМНБ требованиям настоящего стандарта и ожиданиями руководства, и обратной связи с руководством относительно его ожиданий.

- В разделе 10 (Действие) идентифицированы корректирующие действия по устранению несоответствий СМНБ.

     1 Область применения


В настоящем стандарте установлены требования к планированию, созданию, внедрению, функционированию, мониторингу, поддержке в рабочем состоянии и постоянному улучшению документированной системы менеджмента для защиты от инцидентов, снижения вероятности их реализации, подготовки ответных действий и восстановления после инцидентов при их возникновении.

Требования, установленные в настоящем стандарте, являются универсальными и применимы ко всем организациям независимо от типа, размера и других особенностей. Применимость этих требований зависит от производственной среды, структуры и других особенностей организации.

Настоящий стандарт не устанавливает единообразную структуру системы менеджмента непрерывности бизнеса (СМНБ). Стандарт помогает организовать проектирование СМНБ, соответствующей потребностям организации и требованиям заинтересованных сторон. Эти требования формируются в зависимости от юридических, нормативных, организационных и производственных требований, особенностей продукции и услуг, используемых процессов, размера и структуры организации, а также требований заинтересованных сторон.

Настоящий стандарт применим к организациям всех типов и размеров, которые имеют намерения:

а) установить, внедрить, поддерживать и улучшать СМНБ;

b) обеспечить соответствие деятельности организации установленной политике в области непрерывности бизнеса;

c) демонстрировать это соответствие другим сторонам;

d) провести сертификацию/регистрацию своей СМНБ независимым аккредитованным органом по сертификации;

e) самостоятельно проверять и декларировать соответствие СМНБ требованиям настоящего стандарта.

Настоящий стандарт может быть использован для оценки способности организации удовлетворять ее потребностям и обязательствам в области непрерывности бизнеса.

     2 Нормативные ссылки


В настоящем стандарте нет ссылок на нормативные документы.

     3 Термины и определения


В настоящем стандарте применены следующие термины с соответствующими определениями.

3.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.

Пример - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.

3.2 аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита и их объективной сравнительной оценки с целью установления степени выполнения согласованных критериев аудита.

Примечание 1 - Термин "независимый" не обязательно означает "сторонний по отношению к организации". В большинстве случаев, особенно в небольших организациях, независимость может означать, что аудитор не отвечает за выполнение той деятельности, которая является предметом аудита.

Примечание 2 - Дополнительные справочные материалы по фактическим данным и критериям аудита см. в ИСО 19011 [3].

3.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидента и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

[ИСО 22300]

3.4 менеджмент непрерывности бизнеса (business continuity management): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.