ГОСТ Р ИСО 22313-2015
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
Руководство по внедрению
Business continuity management systems. Guidance for implementation
ОКС 03.100.01
Дата введения 2016-07-01
Предисловие
1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ОАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. N 1852-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 22313:2012* "Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство" (ISO 22313:2012 "Societal security - Business continuity management systems - Guidance", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Общие положения
В настоящем стандарте приведено руководство по выполнению требований ИСО 22301:2012, а также соответствующих рекомендаций и предположений. Настоящий стандарт охватывает все аспекты непрерывности бизнеса.
________________
ИСО 22301:2019 "Безопасность и устойчивость к негативным внешним воздействиям. Системы менеджмента непрерывности бизнеса. Требования" (ISO 22301:2019, Security and resilience - Business continuity management systems - Requirements).
Стандарт содержит те же разделы, что и ИСО 22301, за исключением требований к системам менеджмента непрерывности бизнеса, а также терминов и определений. Информация по этим вопросам приведена в ИСО 22301 и ИСО 22300.
________________
ИСО 22300:2018 "Безопасность и устойчивость к негативным внешним воздействиям. Словарь" (ISO 22300:2018, Security and resilience - Vocabulary).
Для дополнительного разъяснения некоторых ключевых положений в стандарте приведены рисунки. Все рисунки приведены только с иллюстративной целью.
Система менеджмента непрерывности бизнеса (СМНБ) подчеркивает важность:
- понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса;
- внедрения и осуществления мероприятий по управлению совокупными возможностями организации для управления в условиях разрушительных инцидентов;
- проведения мониторинга и анализа результативности СМНБ;
- постоянного улучшения на основе объективных данных.
СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:
a) политику;
b) человеческие ресурсы с соответствующим распределением обязанностей;
c) процессы менеджмента, которые охватывают:
1) политику,
2) планирование,
3) внедрение и функционирование,
4) анализ выполнения работ,
5) анализ со стороны руководства,
6) улучшения;
d) документацию, обеспечивающую свидетельства аудита;
e) процессы организации, связанные с СМНБ.
Внедрение СМНБ в организации может иметь большое значение для общества и третьих сторон. Возможно наличие внешних организаций, от которых организация зависит, а также организаций, зависящих от нее. Поэтому результативное обеспечение непрерывности бизнеса вносит свой вклад в достижение более устойчивого общества.
Цикл "Планирование - осуществление - проверка - действие"
В настоящем стандарте цикл "планирование - осуществление - проверка - действие" (PDCA) применен к планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению результативности СМНБ организации.
На рисунке 1 показаны входные данные СМНБ в виде требований к менеджменту непрерывности бизнеса (МНБ) заинтересованных сторон, которые через необходимые действия и процессы образуются в выходные данные обеспечения непрерывности бизнеса (т.е. управляемую непрерывность бизнеса), отвечающие этим требованиям.
|
Рисунок 1 - Применение модели PDCA к процессам СМНБ
Таблица 1 - Пояснения модели PDCA
Планирование (установление) | Установление политики, целей, средств контроля, процессов и процедур обеспечения непрерывности бизнеса, относящихся к улучшению непрерывности бизнеса, для достижения результатов в соответствии с общей политикой и целями организации |
Действие (внедрение и применение) | Внедрение и применение политики, целей, средств контроля, процессов и процедур в области непрерывности бизнеса |
Проверка (мониторинг и анализ) | Мониторинг и анализ деятельности на соответствие целям и политике в области непрерывности бизнеса, отчет по результатам для проведения анализа со стороны руководства, определения и утверждения корректирующих действий, а также деятельности по улучшению |
Действие (поддержка и улучшение) | Поддержка и улучшение СМНБ путем выполнения корректирующих действий, определенных на основе анализа со стороны руководства, и повторное определение области применения СМНБ, политики и целей в области непрерывности бизнеса |
Компоненты PDCA в настоящем стандарте
Существует прямая связь содержания рисунка 1 с разделами настоящего стандарта.
Таблица 2 - Связь моделей PDCA с разделами 4-10
Компонент PDCA | Соответствующий раздел настоящего стандарта |
Планирование (установление) | Раздел 4 устанавливает, что организации необходимо сделать, чтобы СМНБ соответствовала ее требованиям с учетом всех внешних и внутренних факторов, в том числе: |
Раздел 5 определяет ключевую роль руководства в выполнении принятых обязательств, определении политики и распределении обязанностей, ответственности и полномочий | |
Раздел 6 устанавливает действия, необходимые для разработки стратегических целей и руководящих принципов СМНБ в целом, область применения анализа воздействия на бизнес и оценки риска (см. 8.2) и стратегии непрерывности бизнеса (см. 8.3) | |
Раздел 7 определяет ключевые элементы, необходимые для поддержания СМНБ, а именно: ресурсы, компетентность персонала и осведомленность, обмен информацией и документированную информацию | |
Осуществление (внедрение и применение) | Раздел 8 определяет элементы менеджмента непрерывности бизнеса (МНБ), необходимые для обеспечения непрерывности бизнеса |
Проверка (мониторинг и анализ) | Раздел 9 обеспечивает основу для улучшения СМНБ через измерение показателей ее деятельности и их анализ |
Действие (поддержка и улучшение) | Раздел 10 охватывает корректирующие действия, необходимые для устранения несоответствий, выявленных в результате анализа деятельности |
Непрерывность бизнеса
Непрерывность бизнеса - это способность организации продолжать поставлять продукцию или услуги на приемлемом установленном уровне в период, следующий за произошедшим разрушительным инцидентом. Менеджмент непрерывности бизнеса (МНБ) - это процесс обеспечения непрерывности бизнеса организации и ее возможности противостоять разрушительным инцидентам, которые могут препятствовать достижению поставленных целей.
Интеграция МНБ в структуру и системы менеджмента организации формирует систему менеджмента непрерывности бизнеса (СМНБ), позволяющую контролировать, анализировать и постоянно улучшать МНБ.
В настоящем стандарте слово "бизнес" используется в качестве общей терминологии, относящейся к действиям и услугам, осуществляемым организацией с целью достижения поставленных целей или миссии. Оно в равной степени применимо к крупным, средним и мелким организациям, осуществляющим свою деятельность в промышленном, коммерческом, государственном и некоммерческом секторах.
Любой инцидент, крупный или мелкий, природный, случайный или преднамеренный обладает потенциалом, способным нанести значительный ущерб деятельности организации и отрицательно сказаться на ее способности поставлять продукцию и оказывать услуги. Однако внедрение системы непрерывности бизнеса до возникновения разрушительного инцидента дает возможность организации возобновить свою деятельность до момента, когда негативное воздействие достигнет неприемлемого уровня.
МНБ обеспечивает:
a) четкое определение ключевых видов продукции и услуг организации, а также деятельности по их производству (оказанию);
b) установление приоритетов возобновления деятельности и необходимых для этого ресурсов;
c) наличие четкого понимания угроз деятельности организации, включая зависящие от этой деятельности стороны, а также знание последствий невозобновления деятельности;
d) наличие проверенных надежных мер возобновления деятельности после разрушительного инцидента;
e) регулярный анализ и обновление этих мер для обеспечения их результативности в любых условиях.
Непрерывность бизнеса может быть результативной как при внезапных разрушительных инцидентах (например, взрывах), так и при постепенных (например, эпидемиях гриппа) разрушающих воздействиях.
Деятельность может быть нарушена широким спектром разнообразных инцидентов, многие из которых трудно спрогнозировать или проанализировать. Ориентируясь на воздействие нарушений, в отличие от их причины, в процессе внедрения непрерывности бизнеса идентифицируют виды деятельности, от которых зависит живучесть организации, ее возможность определения необходимых мер для продолжения деятельности и обеспечения непрерывности выполнения своих обязательств. Внедрение системы непрерывности бизнеса позволяет организации еще до возникновения разрушительного инцидента определить необходимые ответные меры для защиты своих ресурсов (людей, производственных площадей, технологий, информации), системы поставок, заинтересованных сторон и репутации. При этом организация может получить реальное представление о том, что необходимо предпринять при возникновении разрушительного инцидента для преодоления его последствий без недопустимой задержки поставок продукции или оказания услуг.
Организация, выполняющая действия по обеспечению непрерывности бизнеса, может использовать дополнительные возможности, которые в других ситуациях могли бы считаться слишком рискованными.
На рисунках 2 и 3 показано, как непрерывность бизнеса в определенных ситуациях может быть использована для уменьшения неблагоприятных последствий. Оба рисунка не учитывают временные рамки соответствующих этапов.
Благодаря обеспечению непрерывности бизнеса последствия внезапного разрушения могут быть ослаблены.
|
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно