ГОСТ Р ИСО 22301-2014
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ БИЗНЕСА
Общие требования
Business continuity management systems. Requirements
ОКС 03.100.01*
________________
* Поправка (ИУС N 12-2020)
Дата введения 2015-12-01
1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (АО "НИЦ КД") на основе собственного перевода англоязычной версии стандарта, указанного в разделе 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2014 г. N 1351-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 22301:2012* "Социальная безопасность Системы менеджмента непрерывности бизнеса. Требования" (ISO 22301:2012 "Societal security - Business continuity management systems - Requirements", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов, указанных в библиографии настоящего стандарта, соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
ВНЕСЕНА поправка, опубликованная в ИУС N 12, 2020 год
Поправка внесена изготовителем базы данных
0.1 Общие положения
Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).
СМНБ подчеркивает важность
- понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса,
- внедрения средств и показателей управления общей способностью организации противостоять разрушительным инцидентам,
- анализа и мониторинга выполнения и результативности СМНБ,
- непрерывного совершенствования, основанного на объективных измерениях.
Ключевыми элементами СМНБ, как и любой другой системы менеджмента, являются:
а) политика;
b) люди с установленными обязанностями;
c) процессы управления, относящиеся к:
1) политике;
2) планированию;
3) внедрению и функционированию;
4) оценке выполнения;
5) анализу со стороны руководства;
6) совершенствованию;
d) документация, обеспечивающая доказательства соответствия;
e) все процессы управления непрерывностью бизнеса в организации.
Непрерывность бизнеса способствует устойчивости общества. В процесс восстановления организации после разрушительных инцидентов может быть вовлечено общество и другие организации.
0.2 Модель "Планирование - Выполнение - Проверка - Действие" (PDCA)
Настоящий стандарт использует модель PDCA для планирования, установления, внедрения, функционирования, мониторинга, поддержки и непрерывного совершенствования результативности СМНБ организации.
Стандарт обеспечивает определенную степень соответствия другим стандартам в области систем менеджмента, таким как ИСО 9001:2008 "Система менеджмента качества. Требования", ИСО 14001:2004 "Системы экологического менеджмента. Требования и руководство по применению", ИСО/МЭК 27001:2013 "Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", ИСО/МЭК 20000-1:2011 "Информационные технологии. Менеджмент услуг. Часть 1. Требования к системе менеджмента услуг", и ИСО 28000:2007 "Системы менеджмента безопасности цепи поставок. Технические условия".
На рисунке 1 показано, как СМНБ, используя на входе заинтересованные стороны и требования к управлению непрерывностью бизнеса и, посредством необходимых действий и процессов, получает результаты (то есть управляемую непрерывность бизнеса), отвечающие этим требованиям.
Рисунок 1 - Модель PDCA, примененная к процессам СМНБ
Таблица 1 - Объяснение модели PDCA
Планирование | Установление политики в области непрерывности бизнеса, целей, задач, элементов управления, процессов и процедур, важных для совершенствования непрерывности бизнеса. Результаты должны поддерживать общую политику и задачи организации. |
Выполнение | Внедрение и работа политики непрерывности бизнеса, средств управления, процессов и процедур. |
Проверка | Отслеживание и анализ выполнения СМНБ с учетом политики и целей, сообщение результатов руководству, определение и санкционирование действий для исправления и совершенствования. |
Действие | Поддержка и совершенствование СМНБ с помощью принятия корректирующих действий, основанных на результатах анализа менеджмента и пересмотре области применения СМНБ, а также политики и целей непрерывности бизнеса. |
0.3 Компоненты PDCA в настоящем стандарте
Разделы 4-10 настоящего стандарта посвящены следующим элементам модели "Планирование-Выполнение-Проверка-Действие".
- В разделе 4 (Планирование) приведены требования, необходимые для установления условий СМНБ в организации, а также к ее потребностям, требованиям и области применения.
- В разделе 5 (Планирование) приведены требования к функциям высшего руководства в СМНБ, и описано, как высшее руководство выражает свои ожидания в отношении организации посредством установления политики в области непрерывности бизнеса.
- В разделе 6 (Планирование) приведены требования, относящиеся к установлению стратегических целей и руководящих принципов СМНБ в целом. Содержание раздела 6 отличается от установления возможных вариантов обработки риска, выявляемых при оценке риска, так же как и целей восстановления, выявляемых во время анализа воздействия на бизнес (BIA).
Примечание - Требования к процессу анализа воздействия на бизнес и оценке риска приведены в разделе 8.
- Раздел 7 (Планирование) посвящен функционированию СМНБ в части установления компетентности и обмена информацией с заинтересованными сторонами и включает рекомендации по управлению, поддержке и сохранению требуемой документации.
- В разделе 8 (Выполнение) установлены требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.
- В разделе 9 (Проверка) приведены требования, необходимые для выполнения измерений в области менеджмента непрерывности бизнеса, соответствия СМНБ требованиям настоящего стандарта и ожиданиями руководства, и обратной связи с руководством относительно его ожиданий.
- В разделе 10 (Действие) идентифицированы корректирующие действия по устранению несоответствий СМНБ.
В настоящем стандарте установлены требования к планированию, созданию, внедрению, функционированию, мониторингу, поддержке в рабочем состоянии и постоянному улучшению документированной системы менеджмента для защиты от инцидентов, снижения вероятности их реализации, подготовки ответных действий и восстановления после инцидентов при их возникновении.
Требования, установленные в настоящем стандарте, являются универсальными и применимы ко всем организациям независимо от типа, размера и других особенностей. Применимость этих требований зависит от производственной среды, структуры и других особенностей организации.
Настоящий стандарт не устанавливает единообразную структуру системы менеджмента непрерывности бизнеса (СМНБ). Стандарт помогает организовать проектирование СМНБ, соответствующей потребностям организации и требованиям заинтересованных сторон. Эти требования формируются в зависимости от юридических, нормативных, организационных и производственных требований, особенностей продукции и услуг, используемых процессов, размера и структуры организации, а также требований заинтересованных сторон.
Настоящий стандарт применим к организациям всех типов и размеров, которые имеют намерения:
а) установить, внедрить, поддерживать и улучшать СМНБ;
b) обеспечить соответствие деятельности организации установленной политике в области непрерывности бизнеса;
c) демонстрировать это соответствие другим сторонам;
d) провести сертификацию/регистрацию своей СМНБ независимым аккредитованным органом по сертификации;
e) самостоятельно проверять и декларировать соответствие СМНБ требованиям настоящего стандарта.
Настоящий стандарт может быть использован для оценки способности организации удовлетворять ее потребностям и обязательствам в области непрерывности бизнеса.
В настоящем стандарте нет ссылок на нормативные документы.
В настоящем стандарте применены следующие термины с соответствующими определениями.
3.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.
Пример - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.
3.2 аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита и их объективной сравнительной оценки с целью установления степени выполнения согласованных критериев аудита.
Примечание 1 - Термин "независимый" не обязательно означает "сторонний по отношению к организации". В большинстве случаев, особенно в небольших организациях, независимость может означать, что аудитор не отвечает за выполнение той деятельности, которая является предметом аудита.
Примечание 2 - Дополнительные справочные материалы по фактическим данным и критериям аудита см. в ИСО 19011 [3].
3.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидента и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.
[ИСО 22300]
3.4 менеджмент непрерывности бизнеса (business continuity management): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.