ГОСТ Р ИСО 22313-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Надежность в технике
СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ
Руководство
Dependability in technics. Business continuity management systems. Guide
ОКС 03.100.70
03.100.01
Дата введения 2022-01-01
1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 октября 2021 г. N 1060-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 22313:2020 "Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Руководство по применению ISO 22301" (ISO 22313:2020 "Security and resilience - Business continuity management systems - Guidance on the use of ISO 22301", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Международный стандарт разработан Техническим комитетом ISO/ТС 292.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВЗАМЕН ГОСТ Р ИСО 22313-2015
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
0.1 Общие положения
В настоящем стандарте приведены руководящие указания к требованиям, установленным в ИСО 22301. Настоящий стандарт не содержит общее руководство по всем аспектам обеспечения непрерывности деятельности.
Настоящий стандарт включает в себя те же разделы, что и ИСО 22301, но не дублирует требования и связанные с ними термины и определения.
Цель руководства состоит в объяснении и разъяснении смысла и цели требований ИСО 22301 и связанных с этим вопросов. Дополнительное руководство, которое можно использовать при применении настоящего стандарта, содержат ISO/TS 22317, ISO/TS 22318, ИСО 22322, ISO/TS 22330, ISO/TS 22331 и ИСО 22398.
Область применения этих стандартов может выходить за рамки требований ИСО 22301. Поэтому организации должны всегда использовать ИСО 22301 для проверки требований, которые должны быть выполнены.
Для дальнейшего разъяснения ключевых моментов в настоящий стандарт включены несколько рисунков. Рисунки приведены только для целей иллюстрации, приоритетом является соответствующий текст в основной части настоящего стандарта.
Система менеджмента непрерывности деятельности (СМНД) подчеркивает важность:
- установления политики и целей обеспечения непрерывности деятельности, которые согласуются с общими целями организации;
- управления и поддержки процессов, возможностей и структур реагирования для преодоления организацией всех нарушений ее деятельности;
- мониторинг и анализ эффективности и результативности СМНД;
- постоянное улучшение, основанное на качественном и количественном измерении.
СМНД, как и любая другая система менеджмента, включает в себя следующие компоненты:
a) политику;
b) компетентный персонал с установленными обязанностями;
c) управленческие процессы, связанные с:
1) политикой;
2) планированием;
3) внедрением и функционированием;
4) оценкой эффективности;
5) анализом со стороны руководства;
6) постоянным улучшением;
d) документированную информацию, поддерживающую оперативное управление и способствующую оценке эффективности.
Непрерывность деятельности, как правило, имеет свои особенности для организации. Однако ее реализация может иметь далеко идущие последствия для более широкого круга сообществ и других третьих сторон. Организация зачастую имеет внешние организации, от которых она зависит и/или которые зависят от нее. Таким образом, эффективное обеспечение непрерывности деятельности способствует повышению устойчивости общества.
0.2 Преимущества системы менеджмента непрерывности деятельности
СМНД повышает уровень готовности организации к продолжению работы во время нарушений деятельности. СМНД приводит к улучшению понимания внутренних и внешних связей организации, улучшению обмена информацией с заинтересованными сторонами и созданию условий для постоянного улучшения. Существует потенциально много дополнительных преимуществ для внедрения СМНД в соответствии с рекомендациями, содержащимися в настоящем стандарте, и в соответствии с требованиями ИСО 22301.
Следование рекомендациям раздела 4 ("Область применения в организации") предполагает, что организация:
- проводит пересмотр своих стратегических целей, чтобы СМНД работала на их поддержку;
- проводит пересмотр потребностей, ожиданий и требований заинтересованных сторон;
- обладает знанием применимых правовых, нормативных и иных требований.
Следование рекомендациям раздела 5 ("Лидерство") предполагает, что организация:
- проводит пересмотр ролей и обязанностей менеджмента;
- продвигает культуру постоянного улучшения;
- проводит распределение ответственности за мониторинг, оценку эффективности и отчетность.
Следование рекомендациям раздела 6 ("Планирование") предполагает, что организация:
- проводит пересмотр своих рисков и возможностей и определяет меры по их устранению и/или использованию;
- внедряет эффективное управление изменениями.
Следование рекомендациям раздела 7 ("Поддержка") предполагает, что организация обеспечивает:
- установление эффективного управления ресурсами СМНД, включая управление компетенциями;
- повышение осведомленности сотрудников о вопросах, важных для высшего руководства;
- наличие эффективных механизмов внутреннего и внешнего обмена информацией и коммуникаций;
- эффективное управление документацией СМНД.
Следование рекомендациям раздела 8 ("Функционирование") приводит к тому, что организация рассматривает:
- непреднамеренные последствия изменений;
- приоритеты и требования обеспечения непрерывности деятельности;
- зависимости;
- уязвимости с точки зрения воздействия;
- риски нарушений деятельности и определение наилучших способов их устранения;
- альтернативные решения для ведения работы с ограниченными ресурсами;
- эффективные структуры и процедуры для борьбы с нарушениями;
- ответственность перед обществом и другими заинтересованными сторонами.
Следование рекомендациям раздела 9 ("Оценка показателей СМНД") предполагает, что организация обеспечивает:
- наличие эффективных механизмов мониторинга, измерения и оценки эффективности деятельности;
- вовлечение руководства в мониторинг результатов деятельности и содействие повышению эффективности СМНД.
Следование рекомендациям раздела 10 ("Улучшение") предполагает, что организация обеспечивает:
- наличие процедур мониторинга и повышения эффективности;
- извлечение выгоды из постоянного улучшения своих систем менеджмента.
В результате внедрения СМНД в организации может быть достигнуто следующее:
a) защита жизни, имущества и окружающей среды;
b) защита и укрепление репутации и доверие к организации;
c) повышение конкурентных преимуществ организации, так как СМНД позволяет работать во время нарушений деятельности;
d) сокращение расходов, возникающих в результате нарушений деятельности, и повышение способности организации оставаться постоянно эффективной;
e) повышение общей организационной устойчивости организации;
f) повышение уверенности заинтересованных сторон в успехе организации;
g) снижение правового и финансового риска организации;
h) помощь в демонстрации способности организации управлять риском и устранить уязвимости в процессе функционирования.
0.3 Цикл "Планируй - Делай - Проверяй - Действуй" (PDCA)
Настоящий стандарт применяет цикл "Планируй - Делай - Проверяй - Действуй" (PDCA) к планированию, созданию, внедрению, функционированию, мониторингу, анализу со стороны руководства, поддержке и постоянному улучшению СМНД организации. Разъяснение цикла PDCA приведено в таблице 1.
На рисунке 1 показано, как СМНД принимает требования заинтересованных сторон в качестве исходных данных для менеджмента непрерывности деятельности и посредством необходимых действий и процессов обеспечивает результаты (выходные данные) непрерывности деятельности (т.е. управляемую непрерывность деятельности), которые отвечают этим требованиям.
Таблица 1 - Объяснение цикла PDCA
Планируй (установление) | Разработка политики, целей, средств контроля, процессов и процедур обеспечения непрерывности деятельности, связанных с улучшением непрерывности деятельности в соответствии с общей политикой и целями организации |
Делай (внедрение и функционирование) | Внедрение и функционирование политики непрерывности деятельности, средств контроля, процессов и процедур |
Проверяй | Мониторинг и анализ результатов деятельности в соответствии с политикой и целями обеспечения непрерывности деятельности, представление отчетов для выполнения анализа со стороны руководства, а также определение и санкционирование действий по коррекции и улучшению |
Действуй | Поддержка и улучшение СМНД путем принятия корректирующих мер на основе результатов анализа со стороны руководства и повторная оценка области применения СМНД, а также политики и целей обеспечения непрерывности деятельности в организации |