agosty.ru13. ОХРАНА ОКРУЖАЮЩЕЙ СРЕДЫ, ЗАЩИТА ЧЕЛОВЕКА ОТ ВОЗДЕЙСТВИЯ ОКРУЖАЮЩЕЙ СРЕДЫ. БЕЗОПАСНОСТЬ13.200. Борьба с несчастными случаями и катастрофами

ГОСТ Р 53647.5-2012 Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам

Обозначение:
ГОСТ Р 53647.5-2012
Наименование:
Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам
Статус:
Действует
Дата введения:
12.01.2013
Дата отмены:
-
Заменен на:
-
Код ОКС:
13.200

Текст ГОСТ Р 53647.5-2012 Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам

ГОСТ Р 53647.5-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Готовность к опасным ситуациям и инцидентам

Business continuity management. Emergency and incident preparedness

ОКС 13.200

Дата введения 2013-12-01

Предисловие

1 РАЗРАБОТАН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного перевода на русский язык международного документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. N 1421-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного документа IWA 5:2006* "Готовность к опасным ситуациям" (IWA 5:2006 "Emergency preparedness", NEQ).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .

Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Сентябрь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

В настоящее время в мировой практике недостаточно общепризнанных международных стандартов в области обеспечения готовности к инцидентам и опасным ситуациям. Происходящие крупномасштабные бедствия мирового уровня, такие как цунами, ураганы, землетрясения и терроризм, подчеркивают важность согласованности нормативной базы и международной координации в области обеспечения готовности к опасным ситуациям, выполнения ответных мер и усилий по восстановлению нормальной деятельности. Настоящий стандарт дает возможность обеспечить согласованность нормативной базы в области готовности к опасным ситуациям и обеспечению непрерывности деятельности организации.

Настоящий стандарт создан на основе существующих национальных стандартов в области готовности к опасным ситуациям, а также международных стандартов в области обеспечения безопасности, готовности к инцидентам и опасным ситуациям [1], [6].

Для обеспечения единства целей и области применения стандарта установлены основные аспекты деятельности в области обеспечения готовности к инцидентам и опасным ситуациям:

- планирование действий в условиях опасных ситуаций и инцидентов;

- управление действиями в условиях опасных ситуаций и инцидентов;

- обеспечение непрерывности деятельности;

- менеджмент непрерывности бизнеса.

Существуют общие элементы системы обеспечения готовности к опасным ситуациям и инцидентам и обеспечения непрерывности бизнеса, при этом отдельные элементы системы допускается совмещать, исключать, дополнять другими элементами. В таблице 1 представлены общие элементы системы обеспечения готовности к опасным ситуациям и системы менеджмента непрерывности бизнеса, установленные в международных стандартах.

Основополагающими международными стандартами в области готовности к опасным ситуациям и обеспечению непрерывности деятельности являются стандарты NFPA 1600, BS 25999, НВ 221, документы Японского промышленного комитета по стандартизации и института стандартизации Израиля (см. библиографию).

1 Область применения

Настоящий стандарт:

- представляет рекомендации в области готовности к опасным ситуациям и инцидентам;

- является основополагающим в данной области;

- применим для организаций всех форм собственности и размеров.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 51897 Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р 53647.1 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

ГОСТ Р 53647.2 Менеджмент непрерывности бизнеса. Часть 2. Требования

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины в соответствии с ГОСТ Р 51897, ГОСТ Р 53647.1 и ГОСТ Р 53647.2.

4 Система обеспечения готовности к опасным ситуациям и инцидентам и непрерывности деятельности

Одним из наиболее важных аспектов общественной безопасности является обеспечение готовности к опасным ситуациям и инцидентам и непрерывности деятельности.

В настоящем стандарте на основе стандартов [1]-[6] установлены два основных элемента этой системы:

1) обеспечение готовности к опасным ситуациям и инцидентам (см. приложение А)

2) обеспечение непрерывности деятельности (см. приложение В).

Содержание приложений А и В представлено только для информации и не может быть применено в качестве обязательных требований.

На основе перечня основных элементов обеспечения готовности к опасным ситуациям и инцидентам и обеспечения непрерывности деятельности (см. приложения А и В) можно идентифицировать основные элементы разрабатываемой системы (см. таблицу 1).

Таблица 1 - Основные элементы системы обеспечения готовности к опасным ситуациям и инцидентам и обеспечения непрерывности деятельности

N п/п

Элемент

1

Управление программами и администрирование

2

Определение законодательных, обязательных и других требований

3

Идентификация опасностей, оценка риска и анализ воздействий на деятельность

4

Снижение и предупреждение опасностей, разработка защитных мер

5

Менеджмент ресурсов

6

Взаимопомощь и взаимопонимание

7

Планирование

8

Руководство, управление и координация в условиях инцидента или опасной ситуации

9

Обмен информацией и предупреждение об опасности

10

Процессы и процедуры, связанные с предупреждением и снижением опасности, обеспечением готовности к инцидентам, реализацией ответных мер и восстановлением деятельности организации

11

Логистика и оборудование

12

Обучение

13

Проведение учений, оценка системы и выполнение корректирующих действий

14

Обмен информацией в кризисных ситуациях и публичная информация

15

Финансирование

Договоренность об общем понимании того или иного вопроса.

Приведенные в таблице 1 элементы обеспечения готовности к опасным ситуациям и инцидентам и обеспечения непрерывности деятельности могут быть использованы при разработке стандартов организации и при необходимости детализированы в дополнительных внутренних документах.

5 Потенциальные области исследования

Развитие системы обеспечения готовности к опасным ситуациям и инцидентам и обеспечение непрерывности деятельности осуществляется в следующих направлениях:

- обмен информацией об опасных ситуациях и инцидентах;

- готовность к опасным ситуациям и инцидентам на локальном уровне;

- готовность к воздействиям человеческого фактора.

Система обеспечения готовности к опасным ситуациям и инцидентам и непрерывности деятельности должна быть интегрирована с системой менеджмента риска и взаимоувязана с ней. Кроме того, необходимо обеспечить соответствие системы обеспечения готовности к опасным ситуациям и инцидентам и обеспечения непрерывности деятельности установленным требованиям организации.

6 Выводы

При создании системы обеспечения готовности к опасным ситуациям и инцидентам и непрерывности деятельности следует учитывать национальный и международный опыт в данной области. Использование мирового опыта позволит создать более совершенную систему обеспечения готовности к опасным ситуациям и инцидентам и непрерывности деятельности, соответствующую единым международным стандартам.

Приложение А
(справочное)

Основные элементы системы обеспечения готовности к опасным ситуациям и инцидентам

Основными элементами системы обеспечения готовности к опасным ситуациям и инцидентам являются:

- Управление программами и администрирование:

1) установление функций, ответственности и полномочий;

2) определение порядка взаимодействия с причастными сторонами;

3) определение требований причастных сторон;

4) применение подхода "Все опасности", охватывающего все виды риска;

5) проведение необходимых исследований.

- Определение обязательных требований.

- Идентификация опасностей, оценка риска и анализ воздействий на деятельность:

1) оценка влияния на деятельность человеческого фактора;

2) определение опасностей и угроз;

3) оценка риска (вероятности) опасного события;

4) оценка уязвимости;

5) оценка последствий;

6) определение конфиденциальности данных;

7) анализ экономической эффективности.

- Снижение и предупреждение опасностей, разработка защитных мер.

- Менеджмент ресурсов:

1) управление ресурсами;

2) управление персоналом (человеческими ресурсами);

3) планирование производительности труда.

- Взаимопомощь и взаимопонимание.

- Планирование.

- Руководство, управление и координация в условиях инцидента или опасной ситуации:

1) создание и обеспечение работы системы управления в условиях инцидента;

2) создание и обеспечение работы центра управления в опасной ситуации;

3) взаимодействие с аварийно-спасательными службами.

- Обмен информацией и предупреждение об опасности:

1) сигналы тревоги и информирование об опасности;

2) способы обмена информацией с заинтересованными сторонами.

- Процессы и процедуры, связанные с предупреждением и снижением опасности, обеспечением готовности к инцидентам, реализацией ответных мер и восстановлением деятельности организации:

1) снижение опасности;

2) обеспечение готовности к инцидентам;

3) разработка и выполнение ответных мер;

4) восстановление деятельности.

- Логистика и оборудование.

- Обучение.

- Проведение учений, оценка системы и выполнение корректирующих действий:

1) обеспечение качества обучения;

2) оценка результатов обучения.

- Обмен информацией в кризисных ситуациях и публикация информации.

- Финансирование.

Приложение В
(справочное)

Основные элементы системы обеспечения непрерывности деятельности

В.1 Область применения обеспечения непрерывности деятельности (программы реагирования на опасные ситуации), анализ непрерывности деятельности организации, планирование:

- принятие обязательств высшего руководства;

- формирование рабочей группы;

- определение области применения;

- обсуждение плана обеспечения непрерывности деятельности;

- описание продукции организации, а также ее деятельности, ресурсов, систем и процессов;

- аудит или GAP-анализ, направленные на исследование деятельности организации;

_______________

GAP-анализ (анализ разрывов) - метод стратегического анализа, с помощью которого осуществляется поиск действий, необходимых для достижения заданной цели (Прим. пер.).

- определение регламентирующих и иных требований;

- определение опасных ситуаций и риска;

- оценка уязвимости организации;

- установление целей и задач;

- SWOT-анализ.

_______________

SWOT-анализ - метод оценки слабых и сильных сторон организации, а также возможностей и угроз, которые могут быть в будущем.

В.2 Стратегия разработки и внедрения программы обеспечения непрерывности деятельности

В.2.1 Процессы обеспечения непрерывности деятельности/восстановления в опасных ситуациях

Общая схема основных процессов обеспечения непрерывности деятельности и восстановления после инцидента приведена на рисунке 1.


Рисунок 1 - Основные процессы обеспечения непрерывности деятельности/восстановления после инцидента

В.2.2 Разработка стратегии обеспечения непрерывности деятельности/восстановления после инцидента

При разработке стратегии обеспечения непрерывности деятельности/восстановления после инцидента организация может использовать следующие стандарты:

НВ 221 Менеджмент непрерывности бизнеса (ответные меры; действия по обеспечению непрерывности деятельности; мероприятия по восстановлению деятельности; проверка системы) (см. [1]).

NFPA 1600 Менеджмент опасностей и аварийных ситуаций и управление программами обеспечения непрерывности бизнеса (разработка стратегии обеспечения непрерывности деятельности; план действий в условиях инцидента; план снижения риска и последствий инцидента; план восстановления деятельности после инцидента (краткосрочный и долгосрочный); план работ по обеспечению непрерывности деятельности) (см. [2]).

SI 24001 Системы менеджмента безопасности и непрерывности деятельности (программа обеспечения безопасности) (см. [3]).

BS 25999 Менеджмент непрерывности деятельности (определение общей стратегии обеспечения непрерывности деятельности; определение стратегии отдельных элементов обеспечения непрерывности деятельности; определение стратегии обеспечения безопасности людей; установление стратегии управления ресурсами и активами) (см. [4]).

JISC Серия стандартов по менеджменту качества и устойчивому росту (определение политики обеспечения непрерывности деятельности; разработка годового плана работ по обеспечению непрерывности деятельности; разработка организационной структуры обеспечения непрерывности деятельности и ее внедрение) (см. [5]).

В.3 Разработка и внедрение ответных мер

В.3.1 План управления в условиях инцидента должен содержать:

- введение и область применения;

- информацию о владельцах процесса;

- функции рабочей группы кризисного управления;

- порядок инициирования работ по плану мобилизации;

- порядок создания центра кризисного управления;

- распределение функций и ответственности членов рабочей группы кризисного управления;

- структуру подчиненности в условиях инцидента;

- способы анализа ситуации и документирования результатов;

- анализ воздействия человеческого фактора на деятельность организации с учетом изменения уровней безопасности, здоровья и благосостояния людей;

- порядок разработки планов действий;

- контактную информацию;

- порядок взаимодействия с причастными сторонами;

- приложения.

В.3.2 План обеспечения непрерывности деятельности

План обеспечения непрерывности деятельности должен включать:

- введение;

- цели и область применения;

- распределение функций и обязанностей;

- структуру подчиненности руководителей;

- перечень лиц, ответственных за план обеспечения непрерывности деятельности и его актуализацию;

- контактную информацию;

- порядок разработки планов действий и перечня задач;

- требования к ресурсам;

- перечень особо важной (жизненно-необходимой) информации;

- необходимые формы и приложения.

В.3.3 Содержание плана восстановления деятельности

План восстановления деятельности должен включать основные этапы восстановления деятельности организаций после возникновения опасных ситуаций и инцидентов. Планирование восстановления зависит от характера и сферы деятельности организаций. Содержание этапов плана восстановления должно быть достаточно подробным, позволяющим персоналу, вовлеченному в деятельность по восстановлению, понимать свои функции в восстановительной деятельности.

В.4 Внедрение обеспечения непрерывности деятельности и проведение необходимого обучения

В.4.1 Общие положения

Разработка, внедрение и поддержание в рабочем состоянии системы обеспечения непрерывности деятельности дает организации дополнительные конкурентные преимущества. Обеспечение непрерывности деятельности должно стать частью управления организацией. Если внедрение системы обеспечения непрерывности деятельности эффективно, то причастные стороны будут выше оценивать способность организации к восстановлению деятельности.

Необходимо учитывать, что создание и внедрение системы обеспечения непрерывности деятельности в организации может быть трудоемким процессом и столкнуться со значительным сопротивлением со стороны консервативно настроенного персонала.

В обеспечении непрерывности деятельности должен участвовать весь персонал организации. Каждый работник организации должен быть убежден, что обеспечение непрерывности деятельности - составляющая часть управления организацией и играет важную роль в обеспечении непрерывности поставки продукции и оказания услуг потребителям. Важно, чтобы элементом внедрения системы обеспечения непрерывности деятельности стало соответствующее обязательное обучение персонала.

Каждая организация имеет свой уровень консервативно настроенного персонала. Чаще всего - это руководители среднего звена организации. Особый акцент необходимо сделать на их вовлечение и мотивацию к внедрению системы обеспечения непрерывности деятельности в организации. Этот персонал играет наиболее важную роль при определении критических видов работ и процессов, и поэтому его поддержка (особенно на начальной стадии) очень важна для внедрения системы обеспечения непрерывности деятельности.

Персонал организации должен понимать важность и необходимость внедрения системы обеспечения непрерывности деятельности, должен видеть, что данная инициатива носит долгосрочный характер и исходит от высшего руководства организации. Персонал должен быть уверен, что его работа будет оценена при возникновении инцидентов и разрушений. Также важно, чтобы каждый работник, вовлеченный в реализацию планов обеспечения непрерывности деятельности, знал, какие действия следует предпринять для выполнения своих функций в соответствии с планом обеспечения непрерывности деятельности.

Вновь принятые на работу сотрудники организации должны быть информированы о политике и их участии в обеспечении непрерывности деятельности. Это может быть достигнуто путем включения соответствующих материалов в программы первичного инструктажа.

В организации должна быть обеспечена осведомленность персонала об общей программе обеспечения непрерывности деятельности. Применяемые для этого методы работы могут включать в себя газеты, выпускаемые организацией, электронные письма, интранет, совещания и общение с высшим руководством. При этом следует приводить примеры подразделений, успешно внедривших систему обеспечения непрерывности деятельности, а также особо отличившихся работников. Организация может исследовать и применять опыт работы других организаций при возникновении отказов и сбоев.

В.4.2 Основные элементы внедрения системы обеспечения непрерывности деятельности в организации

Для успешного внедрения системы обеспечения непрерывности деятельности в организации необходимо:

- выделение ресурсов в необходимом объеме;

- понимание руководством и причастными сторонами организации того, что обеспечение непрерывности деятельности является преимуществом организации и неотъемлемой частью успешного менеджмента;

- принятие официального заявления о политике в области непрерывности деятельности, согласованного причастными сторонами и исполнительным руководством;

- назначение ответственного за реализацию политики в области непрерывности деятельности из числа высшего руководства;

- консультации с руководителями среднего звена и вовлеченным персоналом организации по вопросам внедрения обеспечения непрерывности деятельности и их участия в этом процессе;

- распределение ответственности и полномочий в области непрерывности деятельности во всех структурах организации (не только в области управления оборудованием или информационных технологий), назначение руководителей, ответственных за обеспечение непрерывности деятельности ключевых элементов и подразделений организации;

- проведение обучения, внедрение программ повышения осведомленности и участие персонала в учениях по обеспечению непрерывности деятельности.

Примечание - Обучение персонала и учения по обеспечению непрерывности деятельности необходимо использовать для совершенствования системы обеспечения непрерывности деятельности в организации. Программы обучения и учения по обеспечению непрерывности деятельности должны обеспечивать повышение осведомленности персонала организации о способах обеспечения непрерывности деятельности, а также совершенствование навыков, знаний и опыта, необходимых для внедрения, поддержки и управления обеспечением непрерывности бизнеса. Программы обучения по обеспечению непрерывности деятельности должны включать принципы менеджмента риска и методы анализа риска [7], [8].

Дополнительно в системе обеспечения непрерывности деятельности могут быть применены следующие элементы:

- интегрирование системы обеспечения непрерывности деятельности в процессы премирования и поощрения персонала;

- интегрирование системы обеспечения непрерывности деятельности в процессы повышения производительности труда и его оценки;

- включение функций, ответственности, обязанностей и полномочий в области непрерывности деятельности в инструкции с указанием необходимых навыков.

- включение вопросов обеспечения непрерывности деятельности в повестку дня регулярных совещаний в организации;

- обеспечение активного участия значимых потребителей и высшего руководства в учениях, занятиях и проверках в области непрерывности деятельности.

- разработка программы вовлечения ключевых поставщиков, подрядчиков и дистрибьюторов в изучение методов обеспечения непрерывности деятельности, и установление соответствующих процессов обмена информацией;

- разработка процесса менеджмента непрерывности деятельности, связанного с мониторингом эффективности обучения и учений в организации.

В.5 Схема обеспечения непрерывности деятельности

Приложение С
(справочное)

Взаимосвязь элементов систем обеспечения готовности к опасным ситуациям и инцидентам и обеспечения непрерывности деятельности

Взаимосвязь элементов систем обеспечения готовности к опасным ситуациям и инцидентам, и обеспечения непрерывности деятельности приведена на рисунке 2. Данная схема предназначена только для информации.

Рисунок 2 - Взаимосвязь элементов системы обеспечения готовности к опасным ситуациям и инцидентам и обеспечения непрерывности деятельности

Общие элементы менеджмента программы обеспечения готовности к опасным ситуациям и инцидентам и непрерывности деятельности должна включать:

- Область применения обеспечения готовности к опасным ситуациям и инцидентам и непрерывности деятельности:

1) определение общих элементов, их пересечений и границ (пороговая идентификация);

2) определение "уровней" систем (следует определить различные уровни работы систем и количество порогов);

3) определение словаря организации (например, RTO, RPO)

_______________

RTO - Термин "RTO" это время, которое необходимо системе для восстановления своей работы, и возобновления обслуживания - целевой срок восстановления (recovery time objective).

RPO - Термин "RPO" используется для резервного копирования, это время последнего копирования - точка доступности данных (return point objective).

4) идентификация способов эскалации аварий и инцидентов, координация отчетности об этом процессе (распределение функций и ответственности, стратегическая структура).

- Для разработки общей политики необходимо идентифицировать:

1) источники финансирования (в том числе спонсоров);

2) ведущих специалистов (лидеров и лучших работников) организации.

Библиография

[1]

НВ 221:2004

Business Continuity Management

_______________

Стандарт Австралии.

[2]

NFPA 1600:2007

Standard on Disaster/Emergency Management and Business Continuity Programs

_______________

Стандарт международной некоммерческой организации по обеспечению пожарной, электрической безопасности и безопасности строительства.

[3]

SI 24001:2007

Security and continuity management systems - Requirements and guidance for use of the Standards Institution of Israel (SII)

_______________

Стандарт Израиля.

[4]

BS 25999

Business continuity management

_______________

Стандарт Великобритании.

[5]

JIS Q 9005:2005

Quality management systems - Guidelines for sustainable growth

[6]

JIS Q 9006:2005

Quality management systems - Guidelines for self-assessment

_______________

Стандарт Японии.

[7]

ГОСТ P ИСО 31000-2010

Менеджмент риска. Принципы и руководство

[8]

ГОСТ Р ИСО/МЭК 31010-2011

Менеджмент риска. Методы оценки риска

УДК 658:562.014:006.354

ОКС 13.200

Ключевые слова: критические виды деятельности, опасное событие, анализ воздействия, инцидент, непрерывность деятельности, обеспечение непрерывности деятельности, обеспечение готовности к опасным ситуациям и инцидентам

Электронный текст документа

и сверен по:

, 2019