Точный
Статус документа
Статус документа

ГОСТ Р 53647.3-2015 Менеджмент непрерывности бизнеса. Часть 3. Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301 (Переиздание)

     7 Деятельность


В данном разделе рассмотрены элементы цикла PDCA. В разделе определены требования непрерывности бизнеса, способы управления в условиях инцидента. В раздел включены следующие элементы жизненного цикла МНБ (см. рисунок 3):

- анализ непрерывности бизнеса организации;

- определение стратегии МНБ;

- разработка и внедрение ответных мер МНБ;

- применение, поддержка и анализ МНБ.

Многие организации начинают разработку планов обеспечения непрерывности бизнеса с опасности возникновения возможности потери информации, нарушения информационных технологий или разрушения здания. Это традиционный подход к восстановлению бизнеса в условиях инцидента, который обеспечивает уверенность руководителей организации в адекватности предпринимаемых мер по защите бизнеса организации.

Однако при таком подходе существует вероятность того, что будут учтены не все критические виды деятельности и потребности организации.

Руководство организации может принять решение о внедрении СМНБ, которое основано именно на обеспечении непрерывности критических видов деятельности и процессов, которые производят или обеспечивают поставку ключевых продукции/услуг потребителям. Менеджмент непрерывности бизнеса хорошо согласуется с всеобщим менеджментом качества, который основан на взаимоотношениях с поставщиками и связанных с ними процессах.

Процесс деятельности каждой организация имеет свои входы и выходы независимо от размера, сектора экономики и типа производства (например, торговое предпринимательство, государственный орган, некоммерческая организация и т.д.). У всех организаций существуют потребители, которым они поставляют продукцию или оказывают услуги. Мотивация к поставке организацией продукции и/или услуг может быть различной (например, получение прибыли, социальное обеспечение, выполнение законодательных или обязательных требований) в зависимости от особенностей организации. Кроме того, существуют многочисленные заинтересованные стороны, которые осуществляют контроль за поставками организации, изготовлением продукции и оказанием услуг.

Требования к определению заинтересованных сторон, их потребностей и ожиданий представлены в настоящем стандарте как часть элемента "планирование" цикла PDCA.

7.1 Планирование и контроль

В начале раздела 5 приведены требования по установлению действий с рисками и возможностями СМНБ и (где это возможно) объединению и внедрению этих действий в процессы СМНБ. Поскольку организация развивает процессы МНБ, которые защищают непрерывность производства ключевых видов продукции и услуг, она должна обеспечить и выполнение соответствующего контроля, независимо от того, выполняет ли эти продукцию/услуги сама организация или они производятся по договору сторонней организацией.

7.2 Анализ воздействия на бизнес и оценка риска

Эти два действия имеют наибольшее значение и являются основой процедур непрерывности бизнеса. Организация должна выделить достаточное количество времени и ресурсов для решения этих задач и обеспечить компетентность работающих над этим сотрудников. Некоторые организации привлекают к этой работе внешних консультантов, но они должны удостовериться, что консультанты понимают процесс поставки ключевых видов продукции и услуг, работу процессов, особенности ресурсов и взаимодействий, поддерживающих процессы.

В соответствии с ГОСТ Р ИСО 22301-2014, пункт 8.2.1, организация должна установить, внедрить и поддерживать в рабочем состоянии документированный процесс анализа воздействия на бизнес и оценки риска, в котором:

1) установлена область применения оценки риска, определены критерии и способы оценки возможных воздействий инцидента на бизнес;

2) учтены юридические и другие требования, которые должна соблюдать организация;

3) предусмотрен систематический анализ, установлены приоритетность обработки риска и необходимые для этого затраты;

4) определены выходные данные анализа воздействия на бизнес и оценки риска;

5) установлены требования к актуализации и конфиденциальности этой информации.

7.3 Воздействие и риск

Стандарт в явном виде не указывает, в каком порядке должны быть выполнены анализ воздействия на бизнес и оценка риска. Традиционный подход менеджмента риска основан на анализе опасностей, которые могут разрушить критические виды деятельности организации, поддерживающие поставку ключевых видов продукции и/или услуг, и действиях, направленных на предотвращение этих опасностей.

С другой стороны в СМНБ применен подход, основанный на двух показателях: воздействия и времени. В рамках такого подхода необходимо исследовать воздействие на организацию (прерывания и/или остановки критических видов деятельности). При этом следует исследовать воздействие, а не его причины, поскольку не все события, которые могут произойти, можно предсказать.

Одним из основных требований менеджмента непрерывности бизнеса является то, что организация должна рассмотреть возможное воздействие на нее и на заинтересованные стороны остановки или прекращения поставки ключевых продукции или услуг и поддерживающих их критические виды вспомогательных работ.

7.4 Определение ключевых продукции и услуг

Существует два способа определения ключевых продукции и услуг организации. Первый включает в себя определение входных данных, полученных от руководителей среднего и, при необходимости, высшего звена о том, что они считают важным для организации. Результаты необходимо сопоставить, определить очередность действий по восстановлению.

Опасность в реализации этого подхода состоит в том, что многие руководители видят свои собственные области деятельности как критические, и поэтому ранжирование может вызывать трудности. Также существует возможность, что при представлении анализа высшему руководству результаты могут быть оспорены или не приняты.

Второй и предпочтительный подход заключается в использовании группы высшего руководства, рассмотрении организации как единого целого, обеспечении ранжирования ключевых продукции или услуг. При этом организация должна учесть потребности и ожидания заинтересованных сторон, определить юридические и другие требования, относящиеся к организации. Такой подход обеспечивает оптимальное направление первого этапа внедрения управления непрерывностью бизнеса.