ГОСТ Р ИСО 22301-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Надежность в технике

СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ

Требования

Dependability in technics. Business continuity management systems. Requirements

ОКС 03.100.01;

        03.100.70

Дата введения 2022-01-01

Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 октября 2021 г. N 1059-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 22301:2019* "Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Требования" (ISO 22301:2019 "Security and resilience - Business continuity management systems - Requirements", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Международный стандарт разработан Техническим комитетом ISO/ТС 292.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО 22301-2014

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие положения

Настоящий стандарт устанавливает структуру системы менеджмента непрерывности деятельности (СМНД) в соответствии с количеством и типом воздействий, на которые организация может или не может реагировать при нарушении деятельности организации в работе, а также требования к внедрению и поддержанию этой системы.

Результаты применения СМНД сформированы организацией с учетом правовых, нормативных, организационных и отраслевых требований, особенностей продукции и услуг, процессов, размера и структуры организации, а также требований заинтересованных сторон.

В СМНД уделено особое внимание важности:

- понимания потребностей организации и необходимости установления политики и целей обеспечения непрерывности деятельности;

- функционирования и поддержке процессов, возможностей и структур реагирования для преодоления организацией возможных нарушений деятельности организации;

- мониторинга и анализа результативности и эффективности СМНД;

- постоянного улучшения на основе качественных и количественных показателей.

СМНД, как и любая другая система управления, включает в себя следующие компоненты:

a) политику;

b) компетентный персонал с установленными обязанностями;

c) процессы управления, которые связаны:

1) с политикой;

2) планированием;

3) разработкой и функционированием;

4) оценкой результатов работы;

5) анализом со стороны руководства;

6) постоянным улучшением;

d) документированную информацию, поддерживающую оперативное управление и позволяющую выполнять оценку результатов.

0.2 Преимущества системы управления непрерывностью деятельности

Целью СМНД является подготовка, обеспечение и поддержка средств контроля и управления и обеспечения возможностей для продолжения работы организации во время нарушении ее деятельности. При внедрении этой системы организация может достичь следующих преимуществ:

a) в области перспектив деятельности:

1) поддержки своих стратегических целей;

2) создания конкурентных преимуществ;

3) защиты и укрепления репутации и доверия к организации;

4) повышения устойчивости организации;

b) в области финансов:

1) снижения подверженности негативным воздействиям в правовой и финансовой сферах;

2) снижения прямых и косвенных затрат в случае нарушений деятельности организации;

c) в области перспектив для заинтересованных сторон:

1) защиты жизни, имущества и окружающей среды;

2) учета ожиданий заинтересованных сторон;

3) обеспечения уверенности в достижении организацией успеха;

d) в области внутренних процессов:

1) повышения возможностей организации эффективно функционировать в период нарушения ее деятельности;

2) демонстрации эффективного и результативного преактивного контроля риска;

3) устранения уязвимостей в работе.

0.3 Цикл Plan-Do-Check-Act (PDCA)

В настоящем стандарте использован цикл "Планирование (создание)", "Выполнение (внедрение и эксплуатация)", "Проверка (мониторинг и проверка)" и "Действие (поддержание и улучшение)" (PDCA) для реализации, поддержания и постоянного повышения эффективности СМНД организации.

Настоящий стандарт согласован со стандартами других систем менеджмента, такими как ИСО 9001, ИСО 14001, ИСО/МЭК 20000-1, ИСО/МЭК 27001 и ИСО 28000, обеспечивая последовательное интегрированное выполнение и работу СМНД со связанными системами менеджмента.

В соответствии с циклом PDCA в разделах 4-10 приведены следующие требования.

- В разделе 4 приведены требования, необходимые для установления условий применения СМНД в организации, а также соответствующие потребности, требования и область применения.

- В разделе 5 приведены требования к высшему руководству СМНД и способы отражения ожиданий руководства в политике организации.

- В разделе 6 приведены требования к установлению стратегических целей и руководящих принципов СМНД в целом.

- Раздел 7 поддерживает функции СМНД, связанные с установлением компетенции и обменом информацией на регулярной основе (по мере необходимости) с заинтересованными сторонами при документировании, контроле, поддержке и хранении необходимой документированной информации.

- В разделе 8 определены потребности в обеспечении непрерывности деятельности, способы их удовлетворения, разработки процедур управления организацией при нарушении работы.

- В разделе 9 приведены общие требования к измерению показателей непрерывности деятельности, соответствия СМНД настоящему стандарту и проведению анализа со стороны руководства.

- В разделе 10 определены действия по реагированию на несоответствия и постоянному улучшению СМНД посредством корректирующих и предупреждающих действий.

0.5 Содержание стандарта

Настоящий стандарт соответствует требованиям ИСО к стандартам на системы менеджмента. Эти требования включают в себя структуру высокого уровня, идентичный основной текст и общие термины с основными определениями для помощи пользователям, применяющим стандарты ИСО на системы менеджмента.

Настоящий стандарт не включает требования, специфичные для других систем менеджмента, хотя элементы настоящего стандарта могут быть согласованы или интегрированы с элементами других систем менеджмента.

Настоящий стандарт устанавливает требования, которые могут быть использованы организацией при разработке СМНД и оценке ее соответствия требованиям настоящего стандарта. Организация, которая желает продемонстрировать соответствие своей СМНД требованиям настоящего стандарта, может сделать это:

- путем самоопределения и декларации о соответствии;

- получения подтверждения соответствия от сторон, заинтересованных в организации, таких как потребители;

- подтверждения своей декларации внешней стороной;

- сертификации/регистрации своей СМНД сторонней организацией.

В разделах 1-3 настоящего стандарта приведены ограничения, нормативные ссылки, а также термины и определения, применяемые при использовании настоящего стандарта. В разделах 4-10 приведены требования, которые должны быть использованы при оценке соответствия СМНД требованиям настоящего стандарта.

Информация, приведенная в примечаниях, предназначена для понимания или разъяснения соответствующего требования. Примечания в разделе 3 предоставляют информацию, которая дополняет терминологические данные и может содержать положения, касающиеся использования термина.

     1 Область применения

В настоящем стандарте установлены требования к разработке, применению и улучшению системы менеджмента для защиты организации от нарушения ее деятельности, уменьшения вероятности его возникновения, подготовке к реагированию и восстановлению после нарушения деятельности организации при его возникновении.

Требования, установленные в настоящем стандарте, являются общими и предназначены для применения ко всем организациям или их частям, независимо от типа, размера и особенностей организации. Степень применения этих требований зависит от условий работы организации и ее сложности.

Настоящий стандарт применим ко всем типам и размерам организаций, которые:

a) разрабатывают, применяют и улучшают СМНД;

b) стремятся обеспечить соответствие СМНД заявленной политике в области непрерывности деятельности;

c) нуждаются в возможности продолжения поставки продукции и услуг на приемлемом предопределенном уровне в период нарушения деятельности организации;

d) стремятся повысить устойчивость организации за счет эффективного применения СМНД.

Настоящий стандарт может быть использован для оценки способности организации удовлетворять свои потребности и обязательства в области обеспечения непрерывности деятельности.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующий стандарт:

ISO 22300, Security and resilience - Vocabulary (Безопасность и устойчивость к негативным внешним воздействиям. Словарь)

     3 Термины и определения