ГОСТ Р ИСО 22301-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Надежность в технике
СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ
Требования
Dependability in technics. Business continuity management systems. Requirements
ОКС 03.100.01;
03.100.70
Дата введения 2022-01-01
Предисловие
1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 октября 2021 г. N 1059-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 22301:2019* "Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Требования" (ISO 22301:2019 "Security and resilience - Business continuity management systems - Requirements", IDT).
Международный стандарт разработан Техническим комитетом ISO/ТС 292.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВЗАМЕН ГОСТ Р ИСО 22301-2014
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()
Введение
0.1 Общие положения
Настоящий стандарт устанавливает структуру системы менеджмента непрерывности деятельности (СМНД) в соответствии с количеством и типом воздействий, на которые организация может или не может реагировать при нарушении деятельности организации в работе, а также требования к внедрению и поддержанию этой системы.
Результаты применения СМНД сформированы организацией с учетом правовых, нормативных, организационных и отраслевых требований, особенностей продукции и услуг, процессов, размера и структуры организации, а также требований заинтересованных сторон.
В СМНД уделено особое внимание важности:
- понимания потребностей организации и необходимости установления политики и целей обеспечения непрерывности деятельности;
- функционирования и поддержке процессов, возможностей и структур реагирования для преодоления организацией возможных нарушений деятельности организации;
- мониторинга и анализа результативности и эффективности СМНД;
- постоянного улучшения на основе качественных и количественных показателей.
СМНД, как и любая другая система управления, включает в себя следующие компоненты:
a) политику;
b) компетентный персонал с установленными обязанностями;
c) процессы управления, которые связаны:
1) с политикой;
2) планированием;
3) разработкой и функционированием;
4) оценкой результатов работы;
5) анализом со стороны руководства;
6) постоянным улучшением;
d) документированную информацию, поддерживающую оперативное управление и позволяющую выполнять оценку результатов.
0.2 Преимущества системы управления непрерывностью деятельности
Целью СМНД является подготовка, обеспечение и поддержка средств контроля и управления и обеспечения возможностей для продолжения работы организации во время нарушении ее деятельности. При внедрении этой системы организация может достичь следующих преимуществ:
a) в области перспектив деятельности:
1) поддержки своих стратегических целей;
2) создания конкурентных преимуществ;
3) защиты и укрепления репутации и доверия к организации;
4) повышения устойчивости организации;
b) в области финансов:
1) снижения подверженности негативным воздействиям в правовой и финансовой сферах;
2) снижения прямых и косвенных затрат в случае нарушений деятельности организации;
c) в области перспектив для заинтересованных сторон:
1) защиты жизни, имущества и окружающей среды;
2) учета ожиданий заинтересованных сторон;
3) обеспечения уверенности в достижении организацией успеха;
d) в области внутренних процессов:
1) повышения возможностей организации эффективно функционировать в период нарушения ее деятельности;
2) демонстрации эффективного и результативного преактивного контроля риска;
3) устранения уязвимостей в работе.
0.3 Цикл Plan-Do-Check-Act (PDCA)
В настоящем стандарте использован цикл "Планирование (создание)", "Выполнение (внедрение и эксплуатация)", "Проверка (мониторинг и проверка)" и "Действие (поддержание и улучшение)" (PDCA) для реализации, поддержания и постоянного повышения эффективности СМНД организации.
Настоящий стандарт согласован со стандартами других систем менеджмента, такими как ИСО 9001, ИСО 14001, ИСО/МЭК 20000-1, ИСО/МЭК 27001 и ИСО 28000, обеспечивая последовательное интегрированное выполнение и работу СМНД со связанными системами менеджмента.
В соответствии с циклом PDCA в разделах 4-10 приведены следующие требования.
- В разделе 4 приведены требования, необходимые для установления условий применения СМНД в организации, а также соответствующие потребности, требования и область применения.
- В разделе 5 приведены требования к высшему руководству СМНД и способы отражения ожиданий руководства в политике организации.
- В разделе 6 приведены требования к установлению стратегических целей и руководящих принципов СМНД в целом.
- Раздел 7 поддерживает функции СМНД, связанные с установлением компетенции и обменом информацией на регулярной основе (по мере необходимости) с заинтересованными сторонами при документировании, контроле, поддержке и хранении необходимой документированной информации.
- В разделе 8 определены потребности в обеспечении непрерывности деятельности, способы их удовлетворения, разработки процедур управления организацией при нарушении работы.
- В разделе 9 приведены общие требования к измерению показателей непрерывности деятельности, соответствия СМНД настоящему стандарту и проведению анализа со стороны руководства.
- В разделе 10 определены действия по реагированию на несоответствия и постоянному улучшению СМНД посредством корректирующих и предупреждающих действий.
0.5 Содержание стандарта
Настоящий стандарт соответствует требованиям ИСО к стандартам на системы менеджмента. Эти требования включают в себя структуру высокого уровня, идентичный основной текст и общие термины с основными определениями для помощи пользователям, применяющим стандарты ИСО на системы менеджмента.
Настоящий стандарт не включает требования, специфичные для других систем менеджмента, хотя элементы настоящего стандарта могут быть согласованы или интегрированы с элементами других систем менеджмента.
Настоящий стандарт устанавливает требования, которые могут быть использованы организацией при разработке СМНД и оценке ее соответствия требованиям настоящего стандарта. Организация, которая желает продемонстрировать соответствие своей СМНД требованиям настоящего стандарта, может сделать это:
- путем самоопределения и декларации о соответствии;
- получения подтверждения соответствия от сторон, заинтересованных в организации, таких как потребители;
- подтверждения своей декларации внешней стороной;
- сертификации/регистрации своей СМНД сторонней организацией.
В разделах 1-3 настоящего стандарта приведены ограничения, нормативные ссылки, а также термины и определения, применяемые при использовании настоящего стандарта. В разделах 4-10 приведены требования, которые должны быть использованы при оценке соответствия СМНД требованиям настоящего стандарта.
Информация, приведенная в примечаниях, предназначена для понимания или разъяснения соответствующего требования. Примечания в разделе 3 предоставляют информацию, которая дополняет терминологические данные и может содержать положения, касающиеся использования термина.
1 Область применения
В настоящем стандарте установлены требования к разработке, применению и улучшению системы менеджмента для защиты организации от нарушения ее деятельности, уменьшения вероятности его возникновения, подготовке к реагированию и восстановлению после нарушения деятельности организации при его возникновении.
Требования, установленные в настоящем стандарте, являются общими и предназначены для применения ко всем организациям или их частям, независимо от типа, размера и особенностей организации. Степень применения этих требований зависит от условий работы организации и ее сложности.
Настоящий стандарт применим ко всем типам и размерам организаций, которые:
a) разрабатывают, применяют и улучшают СМНД;
b) стремятся обеспечить соответствие СМНД заявленной политике в области непрерывности деятельности;
c) нуждаются в возможности продолжения поставки продукции и услуг на приемлемом предопределенном уровне в период нарушения деятельности организации;
d) стремятся повысить устойчивость организации за счет эффективного применения СМНД.
Настоящий стандарт может быть использован для оценки способности организации удовлетворять свои потребности и обязательства в области обеспечения непрерывности деятельности.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующий стандарт:
ISO 22300, Security and resilience - Vocabulary (Безопасность и устойчивость к негативным внешним воздействиям. Словарь)
3 Термины и определения
В настоящем стандарте применены термины по ИСО 22300, а также следующие термины с соответствующими определениями.
Терминологические базы данных ИСО и МЭК доступны по следующим интернет-адресам:
- электронная платформа ИСО с функцией онлайн-просмотра терминов по адресу: //www.iso.org/obp;
- электронная база МЭК Electropedia по адресу: //www.electropedia.org/.
Примечание - Термины и определения, приведенные ниже, заменяют приведенными в ИСО 22300:2018.
3.1 деятельность (activity): Выполнение одной или нескольких задач с заданным результатом.
[ИСО 22300:2018, 3.1, модифицировано - определение заменено, удален пример]
3.2 аудит (audit): Систематический, независимый и документированный процесс (3.26) получения аудиторских доказательств и их объективной оценки для определения степени выполнения критериев аудита.
Примечание 1 - Аудит может быть внутренним аудитом (первая сторона), внешним аудитом (вторая сторона или третья сторона), может быть комбинированным аудитом (объединяющим проверку двух или более дисциплин).
Примечание 2 - Внутренний аудит проводит сама организация (3.21) или внешняя сторона по ее заказу.
Примечание 3 - "Доказательства аудита" и "критерии аудита" определены в ISO 19011.
Примечание 4 - Фундаментальные элементы аудита включают определение соответствия (3.7) объекта в соответствии с процедурой, выполняемой персоналом, не отвечающим за объект аудита.
Примечание 5 - Внутренний аудит может быть проведен для анализа со стороны руководства и других внутренних целей и может служить основой для декларации о соответствии организации. Независимость может быть продемонстрирована свободой от ответственности за проверяемую деятельность (3.1). Внешние аудиторские проверки включают в себя аудит, выполняемый второй и третьей сторонами. Аудит, выполняемый второй стороной, проводят партнеры, заинтересованные в организации, такие как потребители или другие лица от их имени. Аудит, выполняемый третьей стороной, проводят внешние независимые аудиторские организации, такие как организации, осуществляющие сертификацию/регистрацию соответствия, или государственные органы.
Примечание 6 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Исходное определение было изменено путем добавления примечаний 4 и 5.
3.3 непрерывность деятельности (business continuity): Способность организации (3.21) продолжать производство продукции или оказание услуг (3.27) в приемлемых временных рамках, на приемлемом, заранее заданном уровне после нарушения деятельности организации (3.10).
[ИСО 22300:2018, 3.24, модифицировано - определение заменено]
3.4 план обеспечения непрерывности деятельности (business continuity plan): Документированная информация (3.11), описывающая деятельность организации (3.21) при реагировании на нарушение деятельности организации (3.10) для возобновления, восстановления и продолжения поставки продукции и оказания услуг (3.27) в соответствии с целями (3.20) обеспечения непрерывности деятельности (3.3).
[ИСО 22300:2018, 3.27, модифицировано - определение заменено, примечание удалено].
3.5 анализ воздействий на деятельность (business impact analysis): Процесс (3.26) анализа воздействий (3.13) на деятельность организации, которые со временем могут привести к нарушению деятельности организации (3.10) в ее работе (3.21).
Примечание - Результатом анализа воздействия на деятельность является установление и обоснование требований (3.28) к обеспечению непрерывности деятельности (3.3).
[ИСО 22300:2018, 3.29, модифицировано - определение заменено, добавлено примечание]
3.6 компетентность (competence): Подтвержденная способность применять знания и навыки для достижения желаемых результатов.
Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.7 соответствие (conformity): Выполнение требований (3.28).
Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.8 постоянное улучшение (continual improvement): Повторяющаяся деятельность (3.1), направленная на совершенствование показателей деятельности.
Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.9 корректирующее действие (corrective action): Меры по устранению выявленного несоответствия (3.19), определению его причин(ы) и недопущению его повторения.
Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.10 нарушение деятельности организации (disruption): Инцидент (3.14), ожидаемый или непредвиденный, который вызывает незапланированное отрицательное отклонение от ожидаемой поставки продукции и/или услуг (3.27) в соответствии с целями (3.20) организации (3.21).
[ИСО 22300:2018, 3.70, модифицировано - определение заменено].
3.11 документированная информация (documented information): Управляемая или поддерживаемая организацией (3.21) информация и ее носители.
Примечание 1 - Документированная информация может иметь любой формат и любой носитель.
Примечание 2 - Документированная информация может относиться:
- к системе менеджмента (3.16), включая связанные процессы (3.26);
- информации, созданной для работы организации (документация);
- подтверждению достигнутых результатов (записи).
Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.12 результативность (effectiveness): Степень выполнения запланированной деятельности (3.1) и достижения запланированных результатов.
Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.13 воздействие (impact): Результат нарушения деятельности организации (3.10), воздействующий на цели (3.20).
[ИСО 22300:2018, 3.107, модифицировано - определение заменено]
3.14 инцидент (incident): Событие, которое может представлять собой или приводить к нарушению деятельности организации (3.10), материальным или иным потерям, чрезвычайной ситуации или кризису.
[ИСО 22300:2018, 3.111, модифицировано - определение заменено]
3.15 заинтересованная сторона (предпочтительный термин), причастная сторона (допустимый термин) (interested party (preferred term), stakeholder (admitted term): Лицо или организация (3.21), которые могут повлиять, быть затронуты или считают себя затронутыми решением или деятельностью (3.1).
Пример - Клиенты, владельцы, персонал, поставщики, банкиры, регулирующие органы, объединения, партнеры или сообщества, которые могут включать конкурентов или противостоящие группы давления.
Примечание 1 - Лицо, принимающее решение, может быть заинтересованной стороной.
Примечание 2 - Затрагиваемые сообщества и местное население считаются заинтересованными сторонами.
Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Исходное определение изменено путем добавления примера и примечаний 1 и 2.
3.16 система менеджмента (management system): Совокупность взаимосвязанных и взаимодействующих элементов организации (3.21), определяющих ее политику (3.24), цели (3.20), а также процессы (3.26) для достижения этих целей.
Примечание 1 - Система менеджмента может охватывать одно или несколько направлений деятельности.
Примечание 2 - Элементами системы являются структура организации, обязанности и ответственность персонала, планирование и работа системы.
Примечание 3 - Система менеджмента может охватывать организацию в целом, отдельные конкретные функции организации, отдельные конкретные подразделения организации, одну или несколько функций в группе организаций.
Примечание 4 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.17 измерение (measurement): Процесс (3.26) определения значения величины.
Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.18 мониторинг (monitoring): Определение состояния системы, процесса (3.26) или деятельности (3.1).
Примечание 1 - Для определения состояния может требоваться проверка, контроль или критическое наблюдение.
Примечание 2 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО системы менеджмента.
3.19 несоответствие: Невыполнение требований (3.28).
Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.20 цель (objective): Результат, который должен быть достигнут.
Примечание 1 - Цель может быть стратегической, тактической или оперативной.
Примечание 2 - Цели могут относиться к разным областям (например, к финансам, охране труда, охране окружающей среды и т.д.) и уровням (например, стратегическому, общеорганизационному, уровню конкретного проекта, продукции и процессу, см. 3.12).
Примечание 3 - Цель может быть выражена иным способом: например, в виде планируемого конечного результата, намерения, оперативного критерия, цели в области непрерывности бизнеса или с помощью других близких по значению слов.
Примечание 4 - В системе менеджмента непрерывности деятельности (3.16) цели в области непрерывности деятельности организация устанавливает в соответствии с политикой (3.24) в области непрерывности деятельности для достижения определенных результатов.
Примечание 5 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.21 организация (organization): Лицо или группа лиц, имеющие функции, ответственность, полномочия и взаимосвязи, необходимые для достижения целей (3.20).
Примечание 1 - Понятие организации включает, среди прочего, индивидуальных предпринимателей, компании, корпорации, фирмы, предприятия, органы власти, партнерства, благотворительные организации или учреждения, а также их подразделения и объединения, независимо от того, зарегистрированы они в качестве юридических лиц или нет, являются они государственными или частными.
Примечание 2 - Для организаций с несколькими функциональными единицами одна функциональная единица может быть определена как организация.
Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Первоначальное определение изменено путем добавления примечания 2.
3.22 аутсорсинг (outsource): Форма организации работ, при которой внешняя организация (3.21) выполняет часть функции или процесса (3.26) организации.
Примечание 1 - Внешняя организация находится за рамками системы управления (3.16), хотя функция или процесс, переданные на аутсорсинг, входят в область применения системы.
Примечание 2 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.23 показатель (деятельности) (performance): Измеримый результат.
Примечание 1 - Показатели деятельности могут быть количественными и качественными.
Примечание 2 - Показатели деятельности могут относиться к управлению деятельностью (3.1), процессам (3.26), продукции (включая услуги), системам или организациям (3.21).
Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.24 политика (policy): Намерения и направления деятельности организации (3.21), официально сформулированные высшим руководством (3.31).
Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.25 приоритетная деятельность (prioritized activity): Деятельность (3.1), которую необходимо осуществить в первую очередь во избежание недопустимого воздействия (3.13) на деятельность во время нарушения деятельности организации (3.10).
[ИСО 22300:2018, 3.176, модифицировано - определение заменено, примечание удалено]
3.26 процесс (process): Набор взаимосвязанных или взаимодействующих действий (3.1), которые преобразуют входы в выходы.
Примечание 1 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.27 продукция или услуга (product and service): Выход или результат, который организация (3.21) поставляет заинтересованным сторонам (3.15).
Пример - Промышленные изделия, страхование автомобилей, сообщество престарелых.
[ИСО 22300:2018, 3.181, модифицировано - определение заменено].
3.28 требование (requirement): Потребность или ожидание, которое установлено, обычно предполагается или является обязательным.
Примечание 1 - Слова "обычно предполагается" означают, с общепринятой практикой организации (3.21), ее потребителей и других заинтересованных сторон (3.15), предполагаемые потребности или ожидания.
Примечание 2 - Установленным является такое требование, которое определено, например, в документированной информации (3.11).
Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
3.29 ресурсы (resource): Все активы (включая машины и оборудование), персонал, навыки, технологии, помещения и материалы, а также информацию (электронную или иную), которую организация (3.21) должна иметь в своем распоряжении, когда это необходимо для работы и достижения целей (3.20).
[ИСО 22300:2018, 3.193, модифицировано - определение заменено]
3.30 риск (risk): Следствие влияния неопределенности на достижение целей (3.20).
Примечание 1 - Следствие влияния характеризуется отклонением от ожидаемого результата в лучшую и/или худшую сторону.
Примечание 2 - Цели могут иметь различные аспекты (например, финансовые, в области охраны труда, охраны окружающей среды и т.д.) и относиться к разным уровням (например, стратегические цели, цели, относящиеся к организации в целом, к конкретному проекту, продукту или процессу).
Примечание 3 - Риск часто характеризуется связью с возможными событиями и последствиями (как определено в Руководстве ИСО 73) или их комбинацией.
Примечание 4 - Риск часто выражают в виде комбинации последствий события (включая изменения в обстоятельствах) и связанной с ним вероятности или возможности его возникновения.
Примечание 5 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Определение было изменено, чтобы добавить "по целям", чтобы соответствовать ИСО 31000.
3.31 высшее руководство (top management): Лицо или группа лиц, которые руководят и управляют организацией (3.21) на самом высоком уровне.
Примечание 1 - Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы (3.29) внутри организации.
Примечание 2 - Если область применения системы менеджмента (3.16) охватывает только часть организации, то высшее руководство относится к лицам, которые руководят и управляют этой частью организации.
Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.
4 Область применения в организации
4.1 Понимание особенностей организации и условий ее работы
Организация должна определить внешние и внутренние проблемы, которые могут повлиять на ее возможности достижения поставленных целей и намеченных результатов СМНД.
Примечание - Эти проблемы связаны с общими целями организации, ее продукцией и услугами, а также величиной и типом риска, который может или не может быть принят организацией.
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.2.1 Общие положения
При создании СМНД организации необходимо определить:
a) заинтересованные стороны, имеющие отношение к СМНД;
b) соответствующие требования идентифицированных заинтересованных сторон.
4.2.2 Законодательные и обязательные требования
Организация должна:
a) разработать и поддерживать процесс идентификации, получения доступа и оценки применимых законодательных и обязательных требований, связанных с непрерывностью производства и поставки продукции и оказания услуг, видов деятельности и ресурсов организации;
b) обеспечить учет при внедрении и функционировании в организации СМНД применимых законодательных, обязательных и других требований;
c) документировать данную информацию и поддерживать ее в актуализированном состоянии.
4.3 Определение области применения системы менеджмента непрерывности деятельности
4.3.1 Общие положения
Организация должна определить границы и применимость СМНД для установления ее области применения.
При установлении области определения СМНД организация должна учитывать:
a) внешние и внутренние проблемы, указанные в 4.1;
b) требования, указанные в 4.2;
c) назначение, цели, а также внутренние и внешние обязательства организации.
Область применения СМНД организации должна быть документирована и доступна.
4.3.2 Область применения системы менеджмента непрерывности деятельности
Организация должна:
a) определить части организации, включаемые в СМНД, с учетом их местоположения, объема, особенностей и сложности;
b) определить продукцию и услуги, включаемые в СМНД.
При определении области применения СМНД организация должна обосновать и документировать исключения. При этом исключения не должны влиять на возможности и ответственность организации обеспечивать непрерывность деятельности, это определяют путем анализа их воздействия на деятельность или оценки риска и применимых правовых или нормативных требований.
4.4 Система менеджмента непрерывности деятельности
Организация должна создать, внедрить, поддерживать и постоянно улучшать СМНД, включая необходимые процессы и их взаимодействие, в соответствии с требованиями настоящего стандарта.
5 Лидерство
5.1 Лидерство и приверженность
Высшее руководство организации должно продемонстрировать лидерство и приверженность СМНД:
а) путем обеспечения установления политики и целей в области обеспечения непрерывности деятельности, совместимых со стратегическим направлением деятельности организации;
b) обеспечения интеграции требований СМНД в бизнес-процессы организации;
c) обеспечения доступности ресурсов, необходимых для СМНД;
d) обмена информацией о важности результативного обеспечения непрерывности деятельности и соответствия требованиям СМНД;
e) обеспечения достижения СМНД запланированных результатов;
f) руководства и поддержки лиц, способствующих повышению эффективности СМНД;
g) содействия постоянному улучшению;
h) поддержки других соответствующих функций менеджмента с целью демонстрации лидерства и приверженности высшего руководства СМНД, в рамках установленных ответственности и полномочий.
Примечание - Термин "деятельность" в настоящем стандарте может быть истолкован в широком смысле как означающий те виды деятельности, которые являются ключевыми для целей существования организации.
5.2 Политика
5.2.1 Установление политики в области обеспечения непрерывности деятельности
Высшее руководство должно установить политику в области обеспечения непрерывности деятельности, которая:
a) соответствует целям организации;
b) обеспечивает основу для установления целей в области обеспечения непрерывности деятельности;
c) включает в себя обязательство организации о выполнении применимых требований;
d) включает в себя обязательство по постоянному улучшению СМНД.
5.2.2 Обмен информацией о политике в области обеспечения непрерывности деятельности
Политика в области обеспечения непрерывности деятельности должна:
a) быть доступна в качестве документированной информации;
b) включена в процесс обмен информацией внутри организации;
c) доступна для соответствующих заинтересованных сторон.
5.3 Функции, обязанности и полномочия
Высшее руководство должно обеспечивать распределение функций, ответственности и полномочий в СМНД, и обмен данной информацией внутри организации.
Высшее руководство должно возложить ответственность и полномочия:
a) за обеспечение соответствия СМНД требованиям настоящего стандарта;
b) отчетность о работе СМНД перед высшим руководством.
6 Планирование
6.1 Действия по снижению риска и использованию благоприятных возможностей
6.1.1 Определение риска и благоприятных возможностей
При планировании СМНД организация должна учитывать вопросы, указанные в 4.1, требования, указанные в 4.2, и определить риски и возможности:
a) для обеспечения уверенности в достижении СМНД поставленных целей;
b) предупреждения или снижения нежелательных воздействий;
c) обеспечения постоянного улучшения.
6.1.2 Снижение риска и использование возможностей
Организация должна планировать:
a) действия по снижению или устранению выявленного риска и использованию выявленных возможностей;
b) способы:
1) интегрирования и внедрения действий в процессы СМНД организации (см. 8.1);
2) оценку результативности этих действий (см. 9.1).
Примечание - Риск и возможности связаны с результативностью системы менеджмента. Риск, связанный с нарушением деятельности, рассмотрен в 8.2.
6.2 Цели в области обеспечения непрерывности деятельности и планирование их достижения
6.2.1 Установление целей в области обеспечения непрерывности деятельности
Организация должна установить цели в области обеспечения непрерывности деятельности для соответствующих уровней и подразделений.
Цели в области обеспечения непрерывности деятельности должны:
a) соответствовать политике в области обеспечения непрерывности деятельности;
b) быть измеримыми (если применимо);
c) учитывать применимые требования (см. 4.1 и 4.2);
d) быть объектом постоянного мониторинга;
e) быть объектом обмена информацией с заинтересованными сторонами;
f) актуализироваться по мере необходимости.
Организация должна хранить документированную информацию о целях в области обеспечения непрерывности деятельности.
6.2.2 Определение целей в области обеспечения непрерывности деятельности
При планировании способов достижения целей в области обеспечения непрерывности деятельности организация должна определить:
a) что необходимо сделать;
b) какие необходимы ресурсы;
c) ответственных;
d) сроки достижения целей;
e) способы оценки результатов.
6.3 Планирование изменений в системе менеджмента непрерывностью деятельности
Если организация определяет необходимость изменений в СМНД, включая определенные в разделе 10, изменения должны быть выполнены в плановом порядке.
Организация должна учитывать:
a) цель изменений и их возможные последствия;
b) обеспечение целостности СМНД;
c) наличие ресурсов;
d) распределение или перераспределение обязанностей и полномочий.
7 Поддержка СМНД
7.1 Ресурсы
Организация должна определить и выделить ресурсы, необходимые для создания, внедрения, функционирования и постоянного улучшения СМНД.
7.2 Компетентность
Организация должна:
a) определить необходимую компетентность лица (лиц), выполняющего работу по управлению, которая влияет на показатели в области непрерывности деятельности;
b) обеспечить компетентность этих лиц на основе соответствующего образования, обучения или опыта;
c) (если применимо), предпринять действия для приобретения необходимой компетенции и оценить результативность предпринятых действий;
d) хранить соответствующую документированную информацию в качестве доказательства компетентности.
Примечание - Применимые действия могут включать, например, предоставление обучения, наставничество или переназначение работающих сотрудников, наем или заключение контракта с компетентными лицами.
7.3 Осведомленность
Лица, выполняющие работу по управлению в организации, должны знать:
a) политику в области обеспечения непрерывности деятельности;
b) свой вклад в результативность СМНД, в том числе преимущества улучшения показателей непрерывности деятельности;
c) последствия несоответствия требованиям СМНД;
d) свои функции, обязанности и полномочия до, во время и после нарушения деятельности организации.
7.4 Обмен информацией
Организация должна определить внутренние и внешние способы обмена информацией, которые относятся к СМНД, включая:
a) предмет обмена информацией;
b) сроки и периодичность обмена информацией;
c) участников обмена информацией;
d) способы обмена информацией;
e) организаторов обмена информацией.
7.5 Документированная информация
7.5.1 Общие положения
СМНД организации должна включать следующее:
a) документированную информацию, соответствующую требованиям настоящего стандарта;
b) определенную организацией документированную информацию, необходимую для обеспечения результативности СМНД.
Примечание - Объем документированной информации СМНД может отличаться в разных организациях вследствие:
- размера организации и особенностей ее видов деятельности, процессов, продукции, услуг и доступных ресурсов;
- сложности процессов организации, ее СМНД и их взаимодействия;
- компетентности персонала.
7.5.2 Создание и актуализация
При создании и обновлении документированной информации организация должна обеспечить соответствующие:
a) идентификацию и описание (например, наименование, дата, разработчик или номер для ссылки);
b) формат (например, язык, версия программного обеспечения, графика) и носитель (например, бумажный, электронный);
c) рассмотрение и утверждение пригодности и адекватности.
7.5.3 Управление документированной информацией
7.5.3.1 Организация должна управлять документированной информацией, соответствующей требованиям СМНД и настоящему стандарту для обеспечения:
a) доступности и пригодности ее использования, где и когда это необходимо;
b) надлежащей защиты (например, от потери конфиденциальности, ненадлежащего использования или утраты целостности).
7.5.3.2 Для управления документированной информацией организация должна рассмотреть следующие виды действий с документацией:
a) распространение, доступ, поиск и использование;
b) хранение и сохранение, в том числе сохранение разборчивости;
c) управление изменениями (например, управление версиями);
d) хранение и распоряжение (в том числе утилизация).
Документированная информация внешнего происхождения, необходимая организации для планирования и эксплуатации СМНД, должна быть идентифицирована, и, при необходимости должна контролироваться.
Примечание - Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации.
8 Функционирование
8.1 Оперативное планирование и управление
Организация должна планировать, выполнять и контролировать процессы, необходимые для выполнения требований и осуществления действий, определенных в 6.1:
a) путем установления критериев состояния процессов;
b) осуществления контроля и управления процессами в соответствии с критериями;
c) хранения документированной информации в объеме, необходимом для уверенности в том, что процессы выполнены в соответствии с планом.
Организация должна управлять запланированными изменениями и анализировать последствия непреднамеренных изменений, принимая меры для смягчения всех неблагоприятных последствий, при необходимости.
Организация должна обеспечить управление процессами аутсортинга и цепочкой поставок.
8.2 Анализ воздействий на деятельность и оценка риска
8.2.1 Общие положения
Организация должна:
a) выполнять и поддерживать систематические процессы анализа воздействий на деятельность и оценки риска возникновения нарушения деятельности организации;
b) проводить анализ воздействий на деятельность и оценку риска через запланированные промежутки времени и при наличии существенных изменений в организации или в области применения.
Примечание - Организация должна определить порядок проведения анализа воздействий на деятельность и оценки риска.
8.2.2 Анализ воздействий на деятельность
Организация должна использовать процесс анализа воздействий на деятельность для определения приоритетов и требований к обеспечению непрерывности деятельности. Процесс должен:
a) определить виды воздействий и критерии, соответствующие области применения и специфике организации;
b) определить виды деятельности, которые поддерживают производство продукции и оказание услуг;
c) использовать типы и критерии воздействий для оценки воздействий, происходящих в результате нарушения деятельности организации в этих видах деятельности;
d) определить продолжительность времени, в течение которого невозобновление деятельности становится неприемлемым для организации;
Примечание 1 - Данный период времени можно назвать "максимально допустимым периодом прерывания деятельности".
e) установить предпочтительную продолжительность времени, указанного в d), для возобновления прерванной деятельности, установленным минимально приемлемым объемом производства продукции;
Примечание 2 - Такой временной интервал можно назвать "целевой продолжительностью восстановления".
f) использовать данный анализ для определения приоритетных видов деятельности;
g) определить ресурсы, необходимы для поддержки приоритетных видов деятельности;
h) определить виды зависимости, в том числе от партнеров и поставщиков, а также взаимозависимости, связанные с приоритетными видами деятельности.
8.2.3 Оценка риска
Организация должна выполнять и поддерживать процесс оценки риска.
Примечание - Процесс оценки риска рассмотрен в ИСО 31000.
Организация должна:
a) идентифицировать риск нарушения деятельности организации в приоритетных видах деятельности организации и необходимые ресурсы;
b) проводить анализ и оценку идентифицированных видов риска;
с) определить виды риска, требующие обработки.
Примечание - Риск в данном случае связан с нарушением деятельности организации. Риск и возможности, связанные с результативностью системы менеджмента, рассмотрены в 6.1.
8.3 Стратегии и решения по обеспечению непрерывности деятельности
8.3.1 Общие положения
На основе результатов анализа воздействий на деятельность и оценки риска организация должна идентифицировать и выбрать стратегии обеспечения непрерывности деятельности, позволяющие рассматривать варианты стратегий до, во время и после нарушения деятельности организации. Стратегии обеспечения непрерывности деятельности могут охватывать одно или несколько решений.
8.3.2 Идентификация стратегий и решений
Идентификация стратегий и решений должна быть основана на уровне их полезности:
a) при выполнении требований к продолжению и восстановлению приоритетных мероприятий в установленные сроки с установленным объемом производства;
b) обеспечении защиты приоритетных направлений деятельности организации;
c) снижении вероятности нарушения деятельности организации;
d) сокращении продолжительности простоя при нарушении деятельности организации;
e) ограничении влияния нарушения деятельности организации на продукцию и услуги организации;
f) обеспечении необходимых ресурсов.
8.3.3 Выбор стратегий и решений
Выбор стратегий и решений должен быть основан на уровне их полезности:
a) при выполнении требований к продолжению и восстановлению приоритетных видов деятельности в установленные сроки и на уровне согласованного объема производства;
b) проведении анализа величины и вида риска, который организация может или не может принять;
c) рассмотрении связанных с этим затрат и преимуществ.
8.3.4 Требования к ресурсам
Организация должна определить требования к ресурсам для реализации выбранных решений по обеспечению непрерывности деятельности. Рассматриваемые виды ресурсов должны включать (перечень может быть дополнен) следующим:
a) люди;
b) информация и данные;
c) физическая инфраструктура, такая как здания, рабочие места или другие объекты и связанное с ним оборудование;
d) оборудование и расходные материалы;
e) системы информационно-коммуникационных технологий (ИКТ);
f) транспорт и логистика;
g) финансы;
h) партнеры и поставщики.
8.3.5 Выполнение решений
Организация должна разработать и поддерживать выбранные решения в области обеспечения непрерывности деятельности, чтобы их можно было инициировать при необходимости.
8.4 Планы и процедуры обеспечения непрерывности деятельности
8.4.1 Общие положения
Организация должна внедрить и поддерживать структуру реагирования, которая позволит своевременно предупреждать нарушение деятельности организации и проводить обмен информацией с соответствующими заинтересованными сторонами. Организация должна разработать планы и процедуры управления организацией в период нарушения ее деятельности. Планы и процедуры должны быть использованы, когда необходимо инициировать решения по обеспечению непрерывности деятельности.
Примечание - Существуют различные типы процедур, которые включают в планы обеспечения непрерывности деятельности.
Организация должна определить и документировать планы и процедуры обеспечения непрерывности деятельности на основе выбранных стратегий и решений.
Процедуры должны:
a) быть конкретными в отношении немедленных действий, которые должны быть выполнены в период нарушения деятельности организации;
b) гибкими, чтобы реагировать на изменяющиеся внутренние и внешние условия в период нарушения деятельности организации;
c) фокусироваться на воздействии инцидентов, которые потенциально могут привести к нарушению деятельности организации;
d) результативно минимизировать воздействия путем выполнения соответствующих решений;
e) устанавливать функции и обязанности по выполнению задач внутри процедур.
8.4.2 Структура ответных мер
8.4.2.1 Организация должна разработать и поддерживать структуру, определяющую одну или несколько команд, ответственных за реагирование на нарушение деятельности организации.
8.4.2.2 Функции и обязанности каждой команды и отношения между командами должны быть четко идентифицированы.
8.4.2.3 В совокупности команды должны быть компетентны:
a) при оценке особенностей и степени нарушения деятельности организации и его потенциального воздействия;
b) оценке влияния по отношению к установленным пороговым значениям, инициации ответных действий;
c) активации соответствующих ответных действий в области обеспечения непрерывности деятельности;
d) планировании необходимых действий;
e) установлении приоритетов (используя безопасность в качестве главного приоритета);
f) мониторинге последствий нарушения деятельности организации и реагировании организации на нарушение деятельности;
g) активации решения по обеспечению непрерывности деятельности;
h) обмене информацией с соответствующими заинтересованными сторонами, органами власти и средствами массовой информации.
8.4.2.4 Для каждой команды необходимо:
a) идентифицировать персонал и заменяющих лиц с необходимой ответственностью, полномочиями и компетенцией для выполнения назначенных функций;
b) установить документированные процедуры управления действиями персонала (см. 8.4.4), в том числе для инициирования, выполнения, координации и обмена информацией об ответных мерах на нарушение деятельности организации.
8.4.3 Сигнал опасности и обмен информацией
8.4.3.1 Организация должна документировать и поддерживать процедуры:
a) обмена информацией с внутренними и внешними соответствующими заинтересованными сторонами, в том числе о вопросах, сроках и участниках обмена информацией;
Примечание - Организация может документировать и поддерживать процедуры о способах и условиях обмена информацией с сотрудниками по аварийным контактам.
b) получения, документирования и ответа при обмене информацией с заинтересованными сторонами, включая все государственные или региональные системы консультирования по риску или аналогичные структуры;
c) обеспечения доступности средств связи при нарушении деятельности организации;
d) облегчения структурированного обмена информацией с аварийными службами;
e) предоставления подробной информации об ответных действиях организации в СМИ после инцидента, включая стратегию обмена информацией;
f) записи деталей нарушения деятельности организации, предпринятых действий и принятых решений.
8.4.3.2 Если применимо, должно быть учтено и применено следующее:
a) аварийное оповещение заинтересованных сторон, которые могут быть затронуты фактическим или надвигающимся нарушением деятельности организации;
b) обеспечение надлежащей координации и обмена информацией между несколькими ответственными организациями.
Процедуры предупреждения и обмена информацией должны быть выполнены в соответствии с программой учений организации (см. 8.5.)
8.4.4 Планы обеспечения непрерывности деятельности
8.4.4.1 Организация должна документировать и поддерживать планы и процедуры обеспечения непрерывности деятельности. Эти планы должны обеспечивать руководство и информацию, чтобы помочь командам реагировать на нарушение деятельности организации и помочь организации в реагировании на нарушение деятельности и восстановлении последних.
8.4.4.2 В совокупности планы обеспечения непрерывности деятельности должны содержать:
a) подробное описание действий, которые команды должны предпринимать:
1) для продолжения или восстановления приоритетных видов деятельности в течение заранее установленного периода времени;
2) проведения мониторинга воздействия на нарушение деятельности организации и реагирования организации на них;
b) ссылки на предварительно установленные пороговые значения и процесс инициирования ответных действий;
c) процедуры, позволяющие доставлять товары и оказывать услуги в согласованном объеме;
d) детали управления непосредственными последствиями нарушения деятельности организации с учетом:
1) благосостояния физических лиц;
2) предупреждения дальнейших потерь или недоступности приоритетных видов деятельности;
3) воздействия на окружающую среду.
8.4.4.3 Каждый план должен включать:
a) цель, область применения и задачи;
b) функции и обязанности команды, выполняющей план;
c) действия по внедрению решений;
d) вспомогательную информацию, необходимую для инициирования (включая критерии инициирования), работы, координации и обмена информацией о действиях команды;
e) внутренние и внешние взаимозависимости;
f) требования к ресурсам;
g) требования к отчетности;
h) процесс остановки или окончания реализации плана.
Каждый план должен быть применимым и доступным в требуемое время и в требуемом месте.
8.4.5 Восстановление
Организация должна иметь документированные процессы для восстановления приоритетной деятельности, начиная с временных мер, принятых во время и после нарушения деятельности организации.
8.5 Программа учений
Организация должна разработать и поддерживать программу обучения и тестирования, чтобы со временем подтвердить результативность своих стратегий и решений по обеспечению непрерывности деятельности.
Организации необходимо проводить обучение и тестирование, которые должны:
a) соответствовать целям обеспечения непрерывности деятельности;
b) основываться на соответствующих сценариях, согласованных с установленными целями и задачами;
c) развивать командную работу, компетентность, уверенность и знания сотрудников, выполняющих функции, связанные с нарушениями деятельности организации;
d) (вместе взятые) проверять стратегии и решения организации по обеспечению непрерывности деятельности;
е) готовить официальные отчеты об учениях, содержащие результаты, рекомендации и действия по реализации улучшений;
f) обеспечивать анализ со стороны руководства для содействия постоянному улучшению;
g) выполнять через запланированные интервалы времени и при значительных изменениях в организации или области применения, в которой она работает.
Организация должна действовать исходя из результатов проверок и тестирования для внесения изменений и улучшений.
8.6 Оценка документации в области обеспечения непрерывности деятельности и возможностей
Организация должна:
a) оценивать пригодность, адекватность и результативность анализа воздействий на деятельность, оценки риска, стратегий, решений, планов и процедур;
b) проводить оценку с помощью проверок, анализа, упражнений, тестов, отчетов о происшествиях и оценки результативности;
c) проводить оценки возможностей в области обеспечения непрерывности деятельности соответствующих партнеров и поставщиков;
d) оценивать соответствие применимым законодательным и обязательным требованиям, лучшим отраслевым практикам и своим политике и целям в области обеспечения непрерывности деятельности;
e) своевременно обновлять документацию и процедуры.
Данные оценки необходимо проводить через запланированные интервалы времени, после инцидента или активации и в ситуации, когда происходят значительные изменения в организации.
9 Оценка показателей СМНД
9.1 Мониторинг, измерение, анализ и оценка
Организация должна определить:
a) объекты мониторинга и измерения;
b) методы мониторинга, измерения, анализа и оценки (что применимо), обеспечивающие достоверные результаты;
c) сроки и исполнителей мониторинга и измерений;
d) сроки и исполнителей выполнения анализа и оценки результатов анализа и измерений.
Организация должна хранить соответствующую документированную информацию в качестве объективных свидетельств полученных результатов.
Организация должна оценить показатели и результативность СМНД.
9.2 Внутренний аудит
9.2.1 Общие положения
Организация должна проводить внутренние аудиторские проверки через запланированные промежутки времени, чтобы получить информацию о том, что СМНД:
a) соответствует:
1) требованиям организации к своей СМНД;
2) требованиям настоящего стандарта;
b) результативно функционирует и поддерживается в рабочем состоянии.
9.2.2 Программа(ы) аудита
Организация должна:
a) планировать, устанавливать, внедрять и поддерживать в рабочем состоянии программу (ы) аудита, включая требования к частоте проведения, методам, распределению обязанностей, планированию и отчетности, при этом необходимо учитывать важность соответствующих процессов и результаты предыдущих аудитов;
b) определять критерии и область применения каждого аудита;
c) выбирать аудиторов и проводить аудиты так, чтобы обеспечить объективность и беспристрастность процесса аудита;
d) обеспечить, чтобы результаты аудита были доведены до сведения соответствующих руководителей;
e) хранить документированную информацию в качестве объективных свидетельств реализации программ(ы) аудита и результатов аудита;
f) обеспечить, чтобы все необходимые корректирующие действия по устранению обнаруженных несоответствий и их причин были выполнены без неоправданной задержки;
g) обеспечить, чтобы последующие аудиторские действия предпринимались с учетом верификации предпринятых действий и отчетности о результатах верификации.
9.3 Анализ со стороны руководства
9.3.1 Общие положения
Высшее руководство должно проверять СМНД организации через запланированные промежутки времени для обеспечения ее постоянной пригодности, адекватности и эффективности.
9.3.2 Входные данные для анализа со стороны руководства
Анализ со стороны руководства должен включать рассмотрение:
a) статуса действий по результатам предыдущего анализа со стороны руководства;
b) изменения во внешних и внутренних проблемах, которые имеют отношение к СМНД;
c) информации о показателях работы СМНД, включая тенденции:
1) несоответствий и корректирующих действий;
2) результатов мониторинга и оценки измерений;
3) результатов аудита;
d) отзывов заинтересованных сторон;
е) необходимости изменений СМНД, включая политику и цели;
f) процедур и ресурсов, которые можно использовать в организации для улучшения показателей результативности СМНД;
g) информации, полученной на основе воздействий анализа на деятельность и оценки риска;
h) результатов оценки документации и возможностей по обеспечению непрерывности деятельности (см. 8.6);
i) риска или проблем, которые не были адекватно рассмотрены при предыдущей оценке риска;
j) извлеченных уроков и действий, возникших в результате промахов и нарушения деятельности организации;
k) возможностей постоянного улучшения.
9.3.3 Анализ результатов со стороны руководства
9.3.3.1 Результаты анализа со стороны руководства должны включать решения, касающиеся возможностей постоянного улучшения и необходимости внесения изменений в СМНД для повышения ее результативности и эффективности, включая следующее:
a) изменения в области применения СМНД;
b) обновление анализа воздействий на деятельность, оценки риска, стратегий и решений и планов в области обеспечения непрерывности;
c) изменение процедур и средств управления для реагирования на внутренние или внешние проблемы, воздействующие на СМНД;
d) методы измерения результативности управления.
9.3.3.2 Организация должна хранить документированную информацию в качестве объективных свидетельств результатов анализа со стороны руководства, включая:
a) обмен информацией о результатах анализа со стороны руководства с заинтересованными сторонами;
b) выполнение соответствующих действий в отношении полученных результатов.
10 Улучшение
10.1 Несоответствующие и корректирующие действия
10.1.1 Организация должна определить возможности улучшения СМНД и осуществить необходимые действия для достижения ожидаемых результатов.
10.1.2 При возникновении несоответствия организация должна:
a) реагировать на несоответствие и, если применимо:
1) выполнять действия по управлению и корректировке;
2) устранять последствия;
b) оценить необходимость действий по устранению причин несоответствия, чтобы не допустить его возникновения в дальнейшем, путем:
1) проведения анализа несоответствия;
2) определения причин несоответствия;
3) определения наличия подобных несоответствий и возможности их возникновения в дальнейшем;
c) предпринять все необходимые действия;
d) провести анализ результативности предпринятых корректирующих действий;
e) внести изменения в СМНД , если это необходимо.
Корректирующие действия должны соответствовать последствиям несоответствий.
10.1.3 Организация должна хранить документированную информацию в качестве объективных свидетельств, включающую:
a) описание несоответствий и последующих предпринятых действий;
b) результаты корректирующих действий.
10.2 Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и результативность СМНД на основе качественных и количественных показателей.
Организация должна рассмотреть результаты анализа и оценки, а также результаты анализа со стороны руководства, чтобы определить потребности или возможности, связанные с работой организации в целом или с СМНД, которые следует использовать для постоянного улучшения.
Примечание - Организация может использовать процессы СМНД, такие как лидерство руководства, планирование и оценка результативности для достижения улучшения.
Приложение ДА
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам
Таблица ДА.1
|
|
|
Обозначение ссылочного международного стандарта | Степень соответствия | Обозначение и наименование соответствующего национального стандарта |
ISO 22300:2012 | IDT | ГОСТ Р 22.0.12-2015 "Безопасность в чрезвычайных ситуациях. Международные термины и определения" |
Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандарта:
- IDT - идентичный стандарт. |
Библиография
|
|
[1] | ISO 9001, Quality management systems - Requirements |
[2] | ISO 14001, Environmental management systems - Requirements with guidance for use |
[3] | ISO 19011, Guidelines for auditing management systems |
[4] | ISO/IEC/TS 17021-6, Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 6: Competence requirements for auditing and certification of business continuity management systems |
[5] | ISO/IEC 20000-1, Information technology - Service management - Part 1: Service management system requirements |
[6] | ISO 22313, Societal security, Business continuity management systems - Guidance |
[7] | ISO 22316, Security and resilience - Organizational resilience - Principles and attributes |
[8] | ISO/TS 22317, Societal security - Business continuity management systems - Guidelines for business impact analysis (BIA) |
[9] | ISO/TS 22318, Societal security - Business continuity management systems - Guidelines for supply chain continuity |
[10] | ISO/TS 22330, Security and resilience - Business continuity management systems - Guidelines for people aspects of business continuity |
[11] | ISO/TS 22331, Security and resilience - Business continuity management systems - Guidelines for business continuity strategy |
[12] | ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements |
[13] | ISO/IEC 27031, Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity |
[14] | ISO 28000, Specification for security management systems for the supply chain |
[15] | ISO 31000, Risk management - Guidelines |
[16] | IEC 31010, Risk management - Risk assessment techniques |
[17] | ISO Guide 73, Risk management - Vocabulary |
|
|
УДК 658.562.012.7:65.012.122:006.354 | ОКС 03.100.01; 03.100.70 |
| |
Ключевые слова: надежность в технике, надежность, непрерывность деятельности, система менеджмента непрерывности деятельности |