ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования (с Поправкой)

     8 Деятельность

8.1 Планирование и контроль

Организация должна планировать, внедрять и контролировать процессы, необходимые в соответствии с требованиями СМНБ и выполнять действия, определенные в 6.1, в том числе:

а) установить необходимые критерии для процессов;

b) осуществлять контроль над процессами в соответствии с критериями;

с) хранить документацию, подтверждающую, что процессы выполнены в соответствии с запланированными действиями.

Организация должна контролировать изменение запланированных действий и анализировать последствия непреднамеренных изменений, принимая меры по смягчению неблагоприятных воздействий.

Организация должна обеспечить контроль процессов аутсорсинга.

8.2 Анализ воздействия на бизнес и оценка риска

8.2.1 Общие положения

Организация должна установить, внедрить и поддерживать в рабочем состоянии формальный документированный процесс анализа воздействий на бизнес и оценки риска, в котором должны быть:

a) установлена область применения оценки риска, определены критерии и способы оценки возможных воздействий инцидента;

b) учтены юридические и другие требования, которые должна соблюдать организация;

c) предусмотрен систематический анализ, установлены приоритетность обработки риска и необходимые для этого затраты;

d) определены выходные данные анализа воздействия на бизнес и оценки риска;

e) установлены требования к актуализации и конфиденциальности этой информации.

Примечание - Существуют различные методологии анализа воздействия на бизнес и оценки риска.

8.2.2 Анализ воздействия на бизнес

Организация должна установить, внедрить и поддерживать в рабочем состоянии формальный и документированный процесс определения приоритетов, целей и задач непрерывности бизнеса. Этот процесс должен включать оценку последствий нарушения видов деятельности, которые поддерживают поставку продукции и услуг.

Анализ воздействия на бизнес должен включать:

a) идентификацию видов деятельности, которые поддерживают поставку продукции и услуг;

b) оценку последствий невыполнения этих видов деятельности;

c) установление приоритетных сроков возобновления деятельности на установленном минимальном приемлемом уровне с учетом времени, в течение которого неблагоприятные воздействия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, приводят к неприемлемым результатам;

d) идентификацию зависимостей и ресурсов для поддержания этих видов деятельности, включая поставщиков, партнеров по аутсортингу и других важных заинтересованных сторон.

8.2.3 Оценка риска

Организация должна установить, внедрить и поддерживать в рабочем состоянии формальный документированный процесс оценки риска для систематической идентификации, анализа и оценки риска разрушительных инцидентов для организации.

Примечание - Этот процесс может быть разработан в соответствии с ИСО 31000.

Организация должна:

a) идентифицировать риск нарушений в приоритетных видах деятельности организации, а также процессах, системах, информации, человеческих активах, аутсорсинге и ресурсах, которые их поддерживают;