В данном разделе рассмотрены элементы цикла PDCA. В разделе определены требования непрерывности бизнеса, способы управления в условиях инцидента. В раздел включены следующие элементы жизненного цикла МНБ (см. рисунок 3):
- анализ непрерывности бизнеса организации;
- определение стратегии МНБ;
- разработка и внедрение ответных мер МНБ;
- применение, поддержка и анализ МНБ.
Многие организации начинают разработку планов обеспечения непрерывности бизнеса с опасности возникновения возможности потери информации, нарушения информационных технологий или разрушения здания. Это традиционный подход к восстановлению бизнеса в условиях инцидента, который обеспечивает уверенность руководителей организации в адекватности предпринимаемых мер по защите бизнеса организации.
Однако при таком подходе существует вероятность того, что будут учтены не все критические виды деятельности и потребности организации.
Руководство организации может принять решение о внедрении СМНБ, которое основано именно на обеспечении непрерывности критических видов деятельности и процессов, которые производят или обеспечивают поставку ключевых продукции/услуг потребителям. Менеджмент непрерывности бизнеса хорошо согласуется с всеобщим менеджментом качества, который основан на взаимоотношениях с поставщиками и связанных с ними процессах.
Процесс деятельности каждой организация имеет свои входы и выходы независимо от размера, сектора экономики и типа производства (например, торговое предпринимательство, государственный орган, некоммерческая организация и т.д.). У всех организаций существуют потребители, которым они поставляют продукцию или оказывают услуги. Мотивация к поставке организацией продукции и/или услуг может быть различной (например, получение прибыли, социальное обеспечение, выполнение законодательных или обязательных требований) в зависимости от особенностей организации. Кроме того, существуют многочисленные заинтересованные стороны, которые осуществляют контроль за поставками организации, изготовлением продукции и оказанием услуг.
Требования к определению заинтересованных сторон, их потребностей и ожиданий представлены в настоящем стандарте как часть элемента "планирование" цикла PDCA.
7.1 Планирование и контроль
В начале раздела 5 приведены требования по установлению действий с рисками и возможностями СМНБ и (где это возможно) объединению и внедрению этих действий в процессы СМНБ. Поскольку организация развивает процессы МНБ, которые защищают непрерывность производства ключевых видов продукции и услуг, она должна обеспечить и выполнение соответствующего контроля, независимо от того, выполняет ли эти продукцию/услуги сама организация или они производятся по договору сторонней организацией.
7.2 Анализ воздействия на бизнес и оценка риска
Эти два действия имеют наибольшее значение и являются основой процедур непрерывности бизнеса. Организация должна выделить достаточное количество времени и ресурсов для решения этих задач и обеспечить компетентность работающих над этим сотрудников. Некоторые организации привлекают к этой работе внешних консультантов, но они должны удостовериться, что консультанты понимают процесс поставки ключевых видов продукции и услуг, работу процессов, особенности ресурсов и взаимодействий, поддерживающих процессы.
В соответствии с ГОСТ Р ИСО 22301-2014, пункт 8.2.1, организация должна установить, внедрить и поддерживать в рабочем состоянии документированный процесс анализа воздействия на бизнес и оценки риска, в котором:
1) установлена область применения оценки риска, определены критерии и способы оценки возможных воздействий инцидента на бизнес;
2) учтены юридические и другие требования, которые должна соблюдать организация;
3) предусмотрен систематический анализ, установлены приоритетность обработки риска и необходимые для этого затраты;
4) определены выходные данные анализа воздействия на бизнес и оценки риска;
5) установлены требования к актуализации и конфиденциальности этой информации.
7.3 Воздействие и риск
Стандарт в явном виде не указывает, в каком порядке должны быть выполнены анализ воздействия на бизнес и оценка риска. Традиционный подход менеджмента риска основан на анализе опасностей, которые могут разрушить критические виды деятельности организации, поддерживающие поставку ключевых видов продукции и/или услуг, и действиях, направленных на предотвращение этих опасностей.
С другой стороны в СМНБ применен подход, основанный на двух показателях: воздействия и времени. В рамках такого подхода необходимо исследовать воздействие на организацию (прерывания и/или остановки критических видов деятельности). При этом следует исследовать воздействие, а не его причины, поскольку не все события, которые могут произойти, можно предсказать.
Одним из основных требований менеджмента непрерывности бизнеса является то, что организация должна рассмотреть возможное воздействие на нее и на заинтересованные стороны остановки или прекращения поставки ключевых продукции или услуг и поддерживающих их критические виды вспомогательных работ.
7.4 Определение ключевых продукции и услуг
Существует два способа определения ключевых продукции и услуг организации. Первый включает в себя определение входных данных, полученных от руководителей среднего и, при необходимости, высшего звена о том, что они считают важным для организации. Результаты необходимо сопоставить, определить очередность действий по восстановлению.
Опасность в реализации этого подхода состоит в том, что многие руководители видят свои собственные области деятельности как критические, и поэтому ранжирование может вызывать трудности. Также существует возможность, что при представлении анализа высшему руководству результаты могут быть оспорены или не приняты.
Второй и предпочтительный подход заключается в использовании группы высшего руководства, рассмотрении организации как единого целого, обеспечении ранжирования ключевых продукции или услуг. При этом организация должна учесть потребности и ожидания заинтересованных сторон, определить юридические и другие требования, относящиеся к организации. Такой подход обеспечивает оптимальное направление первого этапа внедрения управления непрерывностью бизнеса.