Точный
Статус документа
Статус документа

Р 50.1.096-2014 Менеджмент непрерывности бизнеса. Руководство по проведению учений и проверке планов непрерывности бизнеса

     3 Программа менеджмента


В настоящем разделе приведено руководство по установлению программы, способствующей развитию компетентности и уверенности сотрудников посредством обучения и учений.

3.1 Для обеспечения уверенности в пригодности планов и процедур и высокой компетентности, выполняющих их людей, крайне важное значение имеет регулярное проведение учений с привлечением всего персонала, который может участвовать в выполнении ответных мер на инцидент. Такие учения должны подтверждать способность организации к обеспечению непрерывности бизнеса и действиям в нештатных ситуациях. Разовое учение или реальный инцидент вряд ли обеспечат необходимый уровень уверенности. Кроме того, при выборе направления каждого учения важно понимать, что менее требовательный сценарий учения может не обеспечить соответствующий уровень валидации планов. Этот риск должен соответствовать цели и задачам учений.

3.2 Если при выполнении ответных мер задействована вся организация или множество ее филиалов, скорее всего будет обеспечено выполнение ответных действий на разрушительный инцидент. Для обеспечения обоснованного уровня уверенности у всех причастных сторон в том, что организация может успешно справиться с инцидентом, должны быть отработаны ответные меры на него. Однако, поскольку вовлечение всех сотрудников в каждое учение не рационально, желательно разработать программу учений, состоящую из серии небольших учений, направленных на проверку планов или повышающих компетентность сотрудников до проведения комплексных учений [см. 5.1, перечисление д)].

3.3 Программа учений должна быть разработана для:

а) прогрессивного повышения компетентности персонала и их уверенности в своих действиях;

б) испытания конкретных элементов ответных мер на инцидент для проверки их надлежащей работы;

в) помощи в интеграции отдельных элементов ответных мер в объединенные ответные меры;

г) идентификации необходимых корректировок в стратегии непрерывности бизнеса или действий в нештатных ситуациях и ответных мерах;

д) демонстрации выгод организации от инвестиций в проведение учений.

Программа может также быть использована для демонстрации готовности организации к инциденту или событию, нарушающему ее деятельность.

3.4 Программа учений должна быть документирована для обеспечения основы аудита. Программа обучения должна включать:

а) частоту проведения учений;

б) область применения программы, включая местоположения, сферы бизнеса, и т.д.;

в) совокупные риски, которыми управляет программа;

г) ресурсы, требуемые для эффективного выполнения программы;

д) компетентность, ответственных за проведение учений и отчетность;

е) одобрение высшего руководства.