ГОСТ Р ИСО 22313-2015
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
Руководство по внедрению
Business continuity management systems. Guidance for implementation
ОКС 03.100.01
Дата введения 2016-07-01
Предисловие
1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ОАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. N 1852-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 22313:2012* "Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство" (ISO 22313:2012 "Societal security - Business continuity management systems - Guidance", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Общие положения
В настоящем стандарте приведено руководство по выполнению требований ИСО 22301:2012
________________
Стандарт содержит те же разделы, что и ИСО 22301, за исключением требований к системам менеджмента непрерывности бизнеса, а также терминов и определений. Информация по этим вопросам приведена в ИСО 22301 и ИСО 22300
________________
Для дополнительного разъяснения некоторых ключевых положений в стандарте приведены рисунки. Все рисунки приведены только с иллюстративной целью.
Система менеджмента непрерывности бизнеса (СМНБ) подчеркивает важность:
- понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса;
- внедрения и осуществления мероприятий по управлению совокупными возможностями организации для управления в условиях разрушительных инцидентов;
- проведения мониторинга и анализа результативности СМНБ;
- постоянного улучшения на основе объективных данных.
СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:
a) политику;
b) человеческие ресурсы с соответствующим распределением обязанностей;
c) процессы менеджмента, которые охватывают:
1) политику,
2) планирование,
3) внедрение и функционирование,
4) анализ выполнения работ,
5) анализ со стороны руководства,
6) улучшения;
d) документацию, обеспечивающую свидетельства аудита;
e) процессы организации, связанные с СМНБ.
Внедрение СМНБ в организации может иметь большое значение для общества и третьих сторон. Возможно наличие внешних организаций, от которых организация зависит, а также организаций, зависящих от нее. Поэтому результативное обеспечение непрерывности бизнеса вносит свой вклад в достижение более устойчивого общества.
Цикл "Планирование - осуществление - проверка - действие"
В настоящем стандарте цикл "планирование - осуществление - проверка - действие" (PDCA) применен к планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению результативности СМНБ организации.
На рисунке 1 показаны входные данные СМНБ в виде требований к менеджменту непрерывности бизнеса (МНБ) заинтересованных сторон, которые через необходимые действия и процессы образуются в выходные данные обеспечения непрерывности бизнеса (т.е. управляемую непрерывность бизнеса), отвечающие этим требованиям.
Рисунок 1 - Применение модели PDCA к процессам СМНБ
Таблица 1 - Пояснения модели PDCA
Планирование (установление) | Установление политики, целей, средств контроля, процессов и процедур обеспечения непрерывности бизнеса, относящихся к улучшению непрерывности бизнеса, для достижения результатов в соответствии с общей политикой и целями организации |
Действие (внедрение и применение) | Внедрение и применение политики, целей, средств контроля, процессов и процедур в области непрерывности бизнеса |
Проверка (мониторинг и анализ) | Мониторинг и анализ деятельности на соответствие целям и политике в области непрерывности бизнеса, отчет по результатам для проведения анализа со стороны руководства, определения и утверждения корректирующих действий, а также деятельности по улучшению |
Действие (поддержка и улучшение) | Поддержка и улучшение СМНБ путем выполнения корректирующих действий, определенных на основе анализа со стороны руководства, и повторное определение области применения СМНБ, политики и целей в области непрерывности бизнеса |
Компоненты PDCA в настоящем стандарте
Существует прямая связь содержания рисунка 1 с разделами настоящего стандарта.
Таблица 2 - Связь моделей PDCA с разделами 4-10
Компонент PDCA | Соответствующий раздел настоящего стандарта |
Планирование (установление) | Раздел 4 устанавливает, что организации необходимо сделать, чтобы СМНБ соответствовала ее требованиям с учетом всех внешних и внутренних факторов, в том числе: |
Раздел 5 определяет ключевую роль руководства в выполнении принятых обязательств, определении политики и распределении обязанностей, ответственности и полномочий | |
Раздел 6 устанавливает действия, необходимые для разработки стратегических целей и руководящих принципов СМНБ в целом, область применения анализа воздействия на бизнес и оценки риска (см. 8.2) и стратегии непрерывности бизнеса (см. 8.3) | |
Раздел 7 определяет ключевые элементы, необходимые для поддержания СМНБ, а именно: ресурсы, компетентность персонала и осведомленность, обмен информацией и документированную информацию | |
Осуществление (внедрение и применение) | Раздел 8 определяет элементы менеджмента непрерывности бизнеса (МНБ), необходимые для обеспечения непрерывности бизнеса |
Проверка (мониторинг и анализ) | Раздел 9 обеспечивает основу для улучшения СМНБ через измерение показателей ее деятельности и их анализ |
Действие (поддержка и улучшение) | Раздел 10 охватывает корректирующие действия, необходимые для устранения несоответствий, выявленных в результате анализа деятельности |
Непрерывность бизнеса
Непрерывность бизнеса - это способность организации продолжать поставлять продукцию или услуги на приемлемом установленном уровне в период, следующий за произошедшим разрушительным инцидентом. Менеджмент непрерывности бизнеса (МНБ) - это процесс обеспечения непрерывности бизнеса организации и ее возможности противостоять разрушительным инцидентам, которые могут препятствовать достижению поставленных целей.
Интеграция МНБ в структуру и системы менеджмента организации формирует систему менеджмента непрерывности бизнеса (СМНБ), позволяющую контролировать, анализировать и постоянно улучшать МНБ.
В настоящем стандарте слово "бизнес" используется в качестве общей терминологии, относящейся к действиям и услугам, осуществляемым организацией с целью достижения поставленных целей или миссии. Оно в равной степени применимо к крупным, средним и мелким организациям, осуществляющим свою деятельность в промышленном, коммерческом, государственном и некоммерческом секторах.
Любой инцидент, крупный или мелкий, природный, случайный или преднамеренный обладает потенциалом, способным нанести значительный ущерб деятельности организации и отрицательно сказаться на ее способности поставлять продукцию и оказывать услуги. Однако внедрение системы непрерывности бизнеса до возникновения разрушительного инцидента дает возможность организации возобновить свою деятельность до момента, когда негативное воздействие достигнет неприемлемого уровня.
МНБ обеспечивает:
a) четкое определение ключевых видов продукции и услуг организации, а также деятельности по их производству (оказанию);
b) установление приоритетов возобновления деятельности и необходимых для этого ресурсов;
c) наличие четкого понимания угроз деятельности организации, включая зависящие от этой деятельности стороны, а также знание последствий невозобновления деятельности;
d) наличие проверенных надежных мер возобновления деятельности после разрушительного инцидента;
e) регулярный анализ и обновление этих мер для обеспечения их результативности в любых условиях.
Непрерывность бизнеса может быть результативной как при внезапных разрушительных инцидентах (например, взрывах), так и при постепенных (например, эпидемиях гриппа) разрушающих воздействиях.
Деятельность может быть нарушена широким спектром разнообразных инцидентов, многие из которых трудно спрогнозировать или проанализировать. Ориентируясь на воздействие нарушений, в отличие от их причины, в процессе внедрения непрерывности бизнеса идентифицируют виды деятельности, от которых зависит живучесть организации, ее возможность определения необходимых мер для продолжения деятельности и обеспечения непрерывности выполнения своих обязательств. Внедрение системы непрерывности бизнеса позволяет организации еще до возникновения разрушительного инцидента определить необходимые ответные меры для защиты своих ресурсов (людей, производственных площадей, технологий, информации), системы поставок, заинтересованных сторон и репутации. При этом организация может получить реальное представление о том, что необходимо предпринять при возникновении разрушительного инцидента для преодоления его последствий без недопустимой задержки поставок продукции или оказания услуг.
Организация, выполняющая действия по обеспечению непрерывности бизнеса, может использовать дополнительные возможности, которые в других ситуациях могли бы считаться слишком рискованными.
На рисунках 2 и 3 показано, как непрерывность бизнеса в определенных ситуациях может быть использована для уменьшения неблагоприятных последствий. Оба рисунка не учитывают временные рамки соответствующих этапов.
Благодаря обеспечению непрерывности бизнеса последствия внезапного разрушения могут быть ослаблены.
Рисунок 2 - Иллюстрация результативности непрерывности бизнеса при внезапном разрушении
Благодаря обеспечению непрерывности бизнеса последствия постепенного разрушения могут быть ослаблены.
Рисунок 3 - Иллюстрация результативности непрерывности бизнеса при постепенном разрушении (например, при распространении эпидемии)
1 Область применения
Настоящий стандарт содержит руководство, разработанное на основе лучшей международной практики по планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению документированной системы менеджмента непрерывности бизнеса, позволяющей организации быть готовой к инциденту, предпринять ответные меры и восстановить свою деятельность при возникновении разрушительных инцидентов.
Настоящий стандарт не ставит своей целью введение единообразия структуры СМНБ, а разработан для оказания помощи организациям в разработке СМНБ, соответствующей потребностям и отвечающей требованиям заинтересованных сторон. Потребности организации зависят от юридических, нормативных, организационных и промышленных требований, особенностей изготавливаемой продукции, оказываемых услуг, используемых процессов, окружающей среды, в которой организация осуществляет свою деятельность, размера и структуры организации, а также требований заинтересованных сторон.
Настоящий стандарт устанавливает общие требования и может быть использован организациями любых размеров и типов, включая крупные, средние и мелкие организации, работающие в промышленном, коммерческом, государственном и некоммерческом секторах, которые намерены:
a) создать, внедрить, поддерживать и улучшать СМНБ;
b) обеспечить соответствие политики организации принципам непрерывности бизнеса;
c) заявить о своем соответствии требованиям настоящего стандарта.
Настоящий стандарт не может быть использован для проверки соответствия организации своим потребностям в области непрерывности бизнеса, требованиям заказчика, правовым и обязательным требованиям. Для демонстрации соответствия деятельности организации этим требованиям при сертификации своей СМНБ, аккредитованной третьей стороной, следует использовать ИСО 22301.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISO 22300, Societal security - Terminology (Социальная безопасность. Термины)
ISO 22301, Societal security - Business continuity management systems - Requirements (Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования)
3 Термины и определения
В настоящем стандарте применены термины по ИСО 22300 и ИСО 22301.
4 Область применения и условия деятельности
4.1 Понимание особенностей организации и условий ее деятельности
Настоящий раздел касается понимания области и условий деятельности организации при создании и функционировании СМНБ. Вопросы создания и управления СМНБ рассмотрены в 8.1.
Организация должна исследовать и понять внутренние и внешние факторы, влияющие на ее цели и деятельность. Эту информацию необходимо учитывать при разработке, внедрении, осуществлении и совершенствовании СМНБ организации, а также при определении ее преимуществ.
Внешние условия деятельности организации должны включать (если это уместно):
- политические и нормативно-правовые условия, в том числе международные, национальные, региональные и местные;
- социально-культурные, финансовые, технические, экономические, природные и конкурентные условия, в том числе международные, национальные, региональные и местные;
- поддержку поставщиков и взаимоотношения с ними;
- рассмотрение результатов собственного исследования рисков с учетом других соответствующих систем управления информацией и любой другой информации, относящейся к менеджменту знаний;
- ключевые движущие силы и тенденции, влияющие на цели и деятельность организации;
- взаимоотношения с внешними заинтересованными сторонами, учет их восприятия и ценностей.
Изучение внутренних условий деятельности организации должно охватывать (где это уместно):
- продукцию и услуги, деятельность, ресурсы, поставщиков и взаимоотношения с заинтересованными сторонами;
- возможности в области ресурсов и знаний (т.е. капитал, время, люди, процессы, системы и технологии);
- информационные системы, информационные потоки и процессы принятия решений (как официальных, так и неформальных);
- заинтересованные стороны внутри организации;
- политику и цели, а также стратегию их достижения;
- будущие возможности и приоритеты бизнеса;
- восприятие, ценности и культуру организации;
- стандарты и эталонные модели, принятые организацией;
- структуру организации (например, руководство, обязанности и подотчетность).
4.2. Понимание потребностей и ожиданий заинтересованных сторон
4.2.1 Общие положения
При создании СМНБ организация должна учитывать требования заинтересованных сторон.
Организация должна выявить все заинтересованные стороны, имеющие отношение к ее СМНБ, и на основании их потребностей и ожиданий определить их требования. Важно определить не только обязательные и заявленные требования, но и подразумевающиеся требования.
Примечание - Организации необходимо иметь представление обо всех, кто проявляет интерес к организации (например, СМИ, общественные организации в непосредственном окружении, конкуренты и т.д.).
При планировании и внедрении СМНБ важно идентифицировать действия, отвечающие ожиданиям заинтересованных сторон, но дифференцировать их по категориям. Например, если уместно, информировать все заинтересованные стороны о наступлении разрушительного инцидента, но не обязательно информировать все заинтересованные стороны о разработке и внедрении СМНБ (см. 8.1.1).
4.2.2 Обязательные и правовые требования
Все системы менеджмента должны работать в тех нормативно-правовых условиях, в которых организация осуществляет свою деятельность. Поэтому организация должна идентифицировать и учесть в своей СМНБ все соответствующие и применимые юридические и обязательные требования, которые на нее распространяются, а также потребности заинтересованных сторон.
Информация, связанная с этими требованиями, должна быть документирована и постоянно обновляться. Новые правовые и обязательные требования или их изменения должны быть доведены до сведения персонала, а также до заинтересованных сторон.
При создании, внедрении и функционировании СМНБ организация должна учитывать и документировать применяемые законодательные требования, другие требования, выполняемые организацией, а также требования заинтересованных сторон.
Заинтересованные стороны |
Рисунок 4 - Примеры заинтересованных сторон в государственном и частном секторах
Организация должна обеспечить, чтобы ее СМНБ функционировала в соответствии с правовыми и обязательными требованиями, а также требованиями заинтересованных сторон.
Организация должна пересмотреть существующие и разрабатывающиеся правовые и обязательные требования, которые могут включать в себя:
a) ответные меры на инцидент: включая контроль чрезвычайной ситуации и правовые акты, касающиеся здоровья, безопасности и благосостояния;
b) непрерывность: могут быть установлены область применения программы или объем и скорость выполнения ответных мер;
c) риск: требования, определяющие область применения или методы программы менеджмента риска;
d) опасности: требования функционирования, связанные с использованием опасных материалов, хранящихся в организации.
Примечание - Организации, имеющие отделения в других странах, часто должны учитывать требования, подпадающие под разные юрисдикции.
4.3 Определение области применения системы менеджмента
4.3.1 Общие положения
Организация должна определить область применения СМНБ и удобным способом обеспечить доведение ее до заинтересованных сторон. Важно, чтобы ограничения и применимость СМНБ были понятны и чтобы область применения включала вопросы, указанные в 4.1 и 4.2.
Область применения охватывает продукцию и услуги, отделения организации, функции, процессы и виды деятельности, на которые распространяется СМНБ. Это означает, что все зависимые лица должны быть вовлечены в процесс, даже если они четко не указаны в описании области применения. Например, если в области применения указано "вознаграждение работникам", значит, наличие фондов, утверждение руководством и распоряжение финансовым учреждениям осуществить платеж также должны входить в область применения по умолчанию.
Организация должна дать четкое описание области применения и содержания СМНБ в соответствующих документах.
4.3.2 Область применения СМНБ
Организация должна определить и документировать область применения СМНБ способом, соответствующим ее размеру, возможностям и структуре.
В области применения должны быть указаны:
a) структурные подразделения организации, входящие в СМНБ;
b) требования организации, относящиеся к СМНБ с учетом ее миссии, целей, юридической ответственности, внутренних и внешних обязательств;
c) продукция и услуги организации с указанием всех связанных с ними видов деятельности, ресурсов и поставщиков;
d) потребности и интересы заинтересованных сторон.
Область применения также может:
- включать индикацию масштаба инцидента, при котором инцидент оказывает влияние на СМНБ, а также степень допустимого риска организации;
- определять, как СМНБ организации интегрируется в общую стратегию менеджмента риска (если она имеется). Если часть организации не входит в область применения СМНБ, организация должна отразить это в документах с объяснением причины.
Цель определения области применения СМНБ заключается в том, чтобы обеспечить включение в СМНБ всех соответствующих видов деятельности, отделений и поставщиков (см. 8.2.1, рисунок 6).
4.4 Система менеджмента непрерывности бизнеса
Основные требования к СМНБ, приведенные в ИСО 22301, не содержат руководства по внедрению СМНБ.
5 Лидерство
5.1 Лидерство и приверженность
Руководители всех соответствующих уровней организации должны демонстрировать свою приверженность и лидерство в выполнении политики и целей в области обеспечения непрерывности бизнеса. Это может быть достигнуто путем мотивации, вовлечения и расширения полномочий.
5.2 Приверженность руководства
Руководство должно демонстрировать свою приверженность СМНБ.
Руководство должно представить свидетельства своей приверженности созданию и внедрению СМНБ, а также постоянному повышению ее результативности путем:
a) соответствия действующим юридическим требованиям, а также другим требованиям организации (см. 4.2.2);
b) интегрирования процессов СМНБ в применяемые организацией процедуры поддержания и анализа процедур СМНБ;
c) приведения политики и целей в области обеспечения непрерывности бизнеса в соответствие с целями, обязательствами и направлением стратегического развития организации (см. 5.3);
d) назначения одного или нескольких лиц, обладающих соответствующими полномочиями и компетенцией, ответственными за СМНБ и отвечающими за ее результативную работу (см. 5.4);
e) установления функций, ответственности и полномочий СМНБ (см. 5.4);
f) обеспечения достаточных ресурсов, включая соответствующий уровень финансирования (см. 7.1);
g) информирования организации о важности осуществления политики и целей в области обеспечения непрерывности бизнеса (см. 7.4);
h) активного участия в учениях и проверках (см. 8.5);
i) проведения внутреннего аудита СМНБ (см. 9.2);
j) проведения анализа СМНБ со стороны руководства (см. 9.3);
k) оказания поддержки СМНБ, направленной на ее улучшение (см. раздел 10).
Приверженность руководства также может быть продемонстрирована путем:
- оперативной работы в подготовительных группах;
- включения вопросов из области обеспечения непрерывности бизнеса в повестку дня совещаний в качестве постоянного пункта.
5.3 Политика
Руководство должно определить политику в области обеспечения непрерывности бизнеса с учетом целей и обязательств организации и обеспечить:
- соответствие политики назначению организации (с учетом размера организации, ее особенностей и структуры, а также традиций организации, ее зависимых сторон и рабочего окружения);
- создание структуры объективного управления политикой;
- наличие четких обязательств, связанных с применимыми требованиями, включая нормативно-правовые обязательства и постоянное улучшение СМНБ;
- доведение до сведений персонала организации и разъяснение политики в области СМНБ;
- дополнение других важных стратегий;
- доведение политики до сведения заинтересованных сторон после ее утверждения руководством.
Необходимо предусмотреть приемлемые условия для утверждения политики, хранения документированной информации о ней и периодического ее анализа (например, раз в год), а также при значительных изменениях внутренних или внешних условий (например, изменениях состава высшего руководства или введении новых законодательных актов). Пригодность таких требований зависит от размера, сложности, особенностей и структуры организации.
Политика должна также:
- обеспечивать границы области применения системы менеджмента непрерывности бизнеса организации, включая ограничения и исключения;
- определять необходимых полномочных и делегированных лиц, включая лицо или лица, отвечающие за СМНБ организации;
- установить критерии для определения типов и масштабов рассматриваемых инцидентов;
- содержать ссылки на стандарты, рекомендации, положения и стратегии, которым СМНБ должна соответствовать.
Политика в области обеспечения непрерывности бизнеса может содержать:
- ключевые условия;
- финансовые обязательства;
- ссылки на другие важные стратегии;
- требование обеспечивать непрерывность бизнеса;
- обязательство выполнять и поддерживать непрерывность бизнеса.
5.4 Функции, ответственность и полномочия
Руководство должно обеспечить распределение ответственности и полномочий внутри СМНБ.
Один из членов руководства организации должен быть ответственным за СМНБ в целом.
Руководство организации должно возложить на представителей руководства (одного или нескольких) функции, ответственность и полномочия:
- по обеспечению разработки внедрения и функционирования МНБ в соответствии с политикой в области обеспечения непрерывности бизнеса;
- по представлению отчетов о работе МНБ руководству для анализа и улучшения МНБ;
- по повышению осведомленности о деятельности по обеспечению непрерывности бизнеса внутри организации;
- по обеспечению результативности процедур, разработанных для принятия ответных мер при возникновении инцидента, при этом их проведение во время инцидента может быть необязательным.
Представитель руководства может:
- быть "руководителем в области непрерывности бизнеса";
- быть ответственным за другие участки работы в организации;
- совмещать несколько функций в организации в зависимости от ее размера, сложности и особенностей.
От каждого подразделения и каждой функции организации могут быть назначены представители для оказания содействия в применении СМНБ. Их обязанности, подотчетность, ответственность и полномочия должны быть отражены в должностных инструкциях, которые могут быть частью политики организации по оценке, вознаграждению и признанию труда работников.
Руководство может назначить другие органы, например комитет для осуществления общего надзора за внедрением и непрерывного мониторинга МНБ.
Все функции, ответственность и полномочия персонала в области МНБ должны быть определены, документированы и быть объектом аудита.
6 Планирование
6.1 Действия по определению риска и возможностей организации
Организация должна определить способ работы с вопросами, идентифицированными в 4.1, и требованиями, установленными в 4.2. Для этого необходимо решить, насколько необходим план действий:
- для предотвращения непредвиденных результатов;
- для использования всех возможностей для улучшения СМНБ.
При необходимости они могут включать:
- интегрирование и внедрение этих действий в процесс СМНБ (см. 8.1);
- обеспечение свободного доступа к зафиксированной в документах информации, если действия окажутся результативными (см. 7.5).
6.2 Цели в области обеспечения непрерывности бизнеса и планы их достижения
Должен быть составлен план внедрения и управления СМНБ (как указано в разделе 8), который должен предусматривать распределение ответственности и установление соответствующих и реалистичных целей для выполнения задач. План должен быть основан на целях в области обеспечения непрерывности бизнеса, установленных и разосланных в соответствующие подразделения организации. Выполнение плана необходимо контролировать и документировать.
Этот план следует анализировать и при необходимости регулярно пересматривать по мере развития СМНБ.
Примеры целей в области непрерывности бизнеса, которые могут в определенных случаях соответствовать требованиям, установленным в ИСО 22301:
- "внедрить СМНБ, соответствующую ИСО 22313 к (дата)";
- "завершить сертификацию СМНБ на соответствие ИСО 22301:2012 к (дата)";
- "к (дата) внедрить систему менеджмента непрерывности бизнеса в соответствии с обязательствами перед ключевыми заказчиками";
- "внедрить МНБ по ключевой продукции и услугам к (дата)".
7 Поддержка
7.1 Ресурсы
7.1.1 Общие положения
Организация должна определить необходимые для СМНБ ресурсы, которые обеспечат:
a) выполнение политики в области обеспечения непрерывности бизнеса и достижение установленных целей;
b) соответствие организации изменяющимся требованиям;
c) эффективный обмен информацией (как внутренний, так и внешний) по вопросам, связанным с системой менеджмента непрерывности бизнеса;
d) функционирование и постоянное улучшение системы менеджмента непрерывности бизнеса.
Определение необходимых для СМНБ ресурсов должно быть сделано своевременно и качественно.
7.1.2 Ресурсы СМНБ
Определяя ресурсы, необходимые для функционирования СМНБ, организация должна предусмотреть в достаточных количествах:
a) резервы и ресурсы, связанные с человеческим фактором, включая:
1) время, необходимое для выполнения функций и обязательств СМНБ,
2) тренировки, обучение, знания и учения,
3) управление персоналом СМНБ;
b) здания и сооружения, включая производственные помещения и инфраструктуру;
c) информационные и коммуникационные технологии (ИКТ), в том числе приложения, обеспечивающие эффективное управление программой;
d) управление и контроль всех форм документированной информации;
e) связь с заинтересованными сторонами (см. рисунок 4);
f) финансы и субсидирование.
Организация должна анализировать ресурсы и их распределение и при необходимости пересматривать с целью обеспечения их адекватности. Привлечение к этому процессу высшего руководства может быть полезным.
7.1.3 Персонал, выполняющий ответные меры на инцидент
Для управления в условиях инцидента организация должна назначить персонал, обладающий необходимой ответственностью, полномочиями и компетенцией для выполнения ответных мер на инцидент.
Персонал должен сформировать группу, отвечающую за управление в условиях любого разрушительного инцидента, который оказывает или может оказать значительное воздействие на деятельность организации.
Персонал назначают в группы, в зависимости от его компетентности, для работы с различными аспектами ответных мер, например:
- управление в условиях инцидента/стратегический менеджмент (см. 8.4.4.3.1);
- обмен информацией (см. 8.4.4.3.2);
- безопасность и благосостояние (см. 8.4.4.3.3);
- спасательные работы и безопасность (см. 8.4.4.3.4);
- возобновление деятельности (см. 8.4.4.3.5);
- восстановление информационных технологий и обмена информацией (см. 8.4.4.3.6).
Весь персонал, входящий в эти группы, должен иметь четко установленные полномочия и ответственность, действующие до, во время и после инцидента.
7.2 Компетентность
Организация должна установить результативную систему обеспечения компетентности персонала СМНБ.
Руководство должно определить уровень компетентности, необходимый для выполнения функций и обязанностей СМНБ, а также информированности, знаний, понимания, навыков и опыта. Весь персонал, действующий внутри организации, должен демонстрировать необходимый уровень компетентности и иметь возможность обучения и развития, а также получать поддержку, необходимую для выполнения своих обязанностей. Программа повышения квалификации может включать в себя:
- оценку уровня компетентности, необходимой для выполнения той или иной функции;
- разработку персональной программы развития, предполагающей обучение, повышение уровня образования и другую поддержку,, необходимые для достижения требуемой компетентности;
- обеспечение профессиональной подготовки и наставничества, включая выбор подходящих методов и материала;
- передачу знаний;
- разделение работы;
- наем или подписание контрактов с компетентными работниками;
- обучение целевых групп;
- документирование и мониторинг полученного обучения;
- анализ полученных знаний в сопоставлении с требованиями к обучению с целью подтверждения его соответствия требованиям СМНБ;
- улучшение программы развития при необходимости.
Организация должна организовать процесс выявления и удовлетворения потребностей всех участников обучения в области непрерывности бизнеса, а также анализа результативности этого процесса.
Направления обучения, соответствующие некоторым специальным функциям:
a) установление и управление СМНБ:
1) установление и менеджмент непрерывности бизнеса,
2) анализ воздействий на бизнес,
3) оценка риска,
4) навыки общения,
5) разработка и ведение документации в области непрерывности бизнеса,
6) выполнение программы учений;
b) противодействие инциденту и восстановление деятельности:
1) анализ инцидента,
2) эвакуация и обеспечение убежища, готового к работе руководства, включая процессы регистрации и учета персонала,
3) организация деятельности на альтернативных рабочих площадках,
4) работа со СМИ.
Навыки по противодействию инцидентам и компетентность всех работников организации в выполнении ответных действий на инцидент должны быть сформированы путем практического обучения, в том числе участия в учениях.
Группы, выполняющие ответные меры и действия по восстановлению деятельности, должны проводить тренировку в соответствии с их ответственностью и обязанностями, включая взаимодействие с аварийными службами и другими заинтересованными сторонами. Группы должны проводить тренировки регулярно (не реже одного раза в год), а вновь принятые члены - при поступлении на работу или при включении в группу. Эти группы должны также проходить обучение и тренировки выполнения действий по предотвращению инцидентов, которые могут перерасти в кризис.
Изменения в условиях деятельности влияют на способы планирования, разработки и внедрения обеспечения непрерывности бизнеса. Организация может повысить свою информированность относительно МНБ, например, принимая активное участие в деятельности МНБ, которая может включать в себя:
- членство в промышленной группе, объединенной по интересам;
- членство в организационном комитете по подготовке конференций;
- выступления с презентациями на конференциях и семинарах;
- участие в региональных и международных конференциях по МНБ.
Активное участие характеризуется:
- членством в организационном комитете по подготовке конференций и семинаров;
- выступлениями с докладами на конференциях и семинарах.
Повышению компетентности способствуют:
- интеграция достижений СМНБ в систему вознаграждения и признания организации;
- интеграция достижений СМНБ в систему оценки результативности организации;
- интеграция функций отчетности, ответственности и полномочий СМНБ в должностные инструкции и описание квалификации;
- активное участие бизнес-пользователей и высшего руководства в репетициях, учениях и тренировках.
Организация должна разработать программы обучения и повышения информированности для всех работников, которые на текущий момент могут попасть под воздействие разрушительного инцидента, и потребовать от подрядчиков, осуществляющих деятельность от ее имени, продемонстрировать, что лица, работающие под их руководством, обладают необходимой компетентностью для осуществления деятельности в СМНБ и своих функций при выполнении ответных мер на инцидент.
7.3 Осведомленность
Лица, работающие под контролем организации, должны обладать необходимой осведомленностью о СМНБ. К таким лицам могут быть отнесены персонал, подрядчики, поставщики. Они должны быть осведомлены о политике в области обеспечения непрерывности бизнеса организации:
- функциях ответственности в отношении предотвращения инцидентов, обнаружения, ослабления, самозащиты, эвакуации, ответных мер, непрерывности бизнеса и восстановления;
- важности согласованности деятельности с политикой и процедурами в области непрерывности бизнеса;
- внесении изменений в деятельность организации;
- вкладе в результативность СМНБ, включая суммарные выгоды от улучшения МНБ;
- функциях и ответственности в достижении соответствия ее требованиям.
Организация должна способствовать внедрению культуры организации, которая:
- является частью основополагающих ценностей и менеджмента организации;
- обеспечивает осведомленность заинтересованных сторон о политике в области непрерывности бизнеса и связанных с этим функциях.
Организация, обладающая высокой культурой в области обеспечения непрерывности бизнеса, может:
- более эффективно развивать обеспечение непрерывности бизнеса;
- обеспечивать уверенность всех заинтересованных сторон (в особенности сотрудников и заказчиков) в способности организации действовать в условиях инцидента;
- со временем повышать свою устойчивость путем учета политики и целей в области непрерывности бизнеса при принятии решений на всех уровнях;
- минимизировать вероятность и последствия нарушений деятельности.
Развитие культуры организации в области непрерывности бизнеса способствует:
- вовлечению всего персонала организации;
- рассредоточению руководящих функций по всей организации;
- распределению обязанностей;
- измерению на основе показателей функционирования;
- интеграции непрерывности бизнеса в установленный менеджмент;
- повышению осведомленности;
- практическому обучению;
- осуществлению планов в области непрерывности бизнеса.
Программа по повышению осведомленности может включать:
- консультации со всеми сотрудниками организации относительно введения и управления СМНБ;
- обсуждение вопросов в области непрерывности бизнеса в информационных бюллетенях организации, на брифингах, в рекламных программах или журналах (включая ориентирование новых работников);
- размещение темы непрерывности бизнеса на соответствующих интернет-страницах;
- включение МНБ в повестку дня заседаний рабочих групп персонала и руководства;
- выборочные публикации отчетов о деятельности в период после инцидентов;
- брифинги руководства;
- посещение предусмотренных альтернативных площадок (например, площадок для восстановления деятельности);
- инструктирование ключевых поставщиков и дистрибьюторов организации по мероприятиям в области обеспечения непрерывности бизнеса.
7.4 Обмен информацией
При внедрении СМНБ организация должна иметь результативную систему связи, консультаций и обмена информацией с заинтересованными сторонами.
Эта система должна включать:
а) внутренний обмен информацией между заинтересованными сторонами, включая сотрудников организации;
b) внешний обмен информацией с заказчиками, поставщиками, местным сообществом и другими заинтересованными сторонами, включая средства массовой информации;
c) получение, документирование и реагирование на сообщения, полученные от всех заинтересованных сторон;
d) адаптацию и интеграцию национальной или региональной системы предупреждения катастроф или ее аналогов к использованию в планировании и эксплуатации, если это приемлемо;
e) обеспечение средств связи в период разрушительного инцидента;
f) обеспечение организации возможности обмена информацией с внешними органами власти и, если это уместно, обеспечение возможности сотрудникам других организаций обмениваться информацией между собой;
g) проверку работы и испытание возможностей систем связи, предназначенных для использования во время нарушения обычных систем связи.
Организация может привлекать любые внешние ресурсы, которые могут быть задействованы при реагировании на инцидент, такие как пожарные службы, полицию, службы здравоохранения и представителей третьих сторон для обсуждения с руководством процедур обеспечение непрерывности бизнеса и их элементов.
Организация может включать справочную информацию по системе менеджмента непрерывности бизнеса и мероприятиям по обеспечению непрерывности бизнеса в информационные бюллетени и брифинги поставщиков и заказчиков.
Организация должна обеспечить результативную систему внешнего обмена информацией как часть программы повышения информированности (см. 7.3) и возобновления деятельности в период, следующий за инцидентом (см. 8.4).
7.5 Документированная информация
7.5.1 Общие положения
Документированная информация представляет собой подтверждение соответствия требованиям и результативной деятельности СМНБ.
Термин "процедура" означает установленный способ осуществления деятельности или процесса. Термин "документированная процедура" означает, что эта процедура должна быть установлена и записана на любых носителях.
Один документ может содержать требования к одной или нескольким документированным процедурам, а требование к документированной процедуре может содержаться более чем в одном документе.
Документируемой информацией являются:
- область применения и условия функционирования организации (см. 4.1);
- правовые, обязательные и другие требования, а также свидетельства соответствия (см. 4.2.2);
- область применения СМНБ и все исключения (см. 4.3.2);
- политика в области обеспечения непрерывности бизнеса (см. 5.3);
- цели в области обеспечения непрерывности бизнеса (см. 6.2);
- требования к компетентности персонала (см. 7.2);
- процесс анализа воздействия на бизнес и оценки риска (см. 8.2);
- стратегия непрерывности бизнеса (см. 8.3), включая рассмотренные варианты стратегии;
- процедуры непрерывности бизнеса, управления в условиях инцидента и восстановления (см. 8.4);
- отчеты об учениях (см. 8.5);
- мониторинг СМНБ (см. 9.1);
- внутренний аудит (см. 9.2);
- анализ со стороны руководства (см. 9.3);
- несоответствия и корректирующие действия (см. 10.1).
В дополнение для обеспечения результативности СМНБ может потребоваться следующая документированная информация:
- контракты с заказчиками и уровень оказания услуг;
- результаты анализа воздействия на бизнес;
- результаты оценки рисков;
- определение и выбор стратегии обеспечения непрерывности бизнеса;
- анализ ответных мер на инцидент;
- программа повышения осведомленности;
- средства обмена информацией о СМНБ и инцидентах с персоналом и заинтересованными сторонами, такие как информационные листки, резолюции совещаний и предупреждения;
- обучающие программы для организации и отдельных лиц;
- график учений;
- контракты и договоры на обслуживание с поставщиками;
- уведомление заказчиков и поставщиков и порядок выполнения ответных действий;
- данные контроля, технического обслуживания и калибровки;
- отчеты о последствиях инцидентов;
- протоколы заседаний по анализу СМНБ.
7.5.2 Разработка и актуализация
В целях выполнения требований по созданию и актуализации документированной информации:
- вся документированная информация должна иметь идентификацию и описание (например, наименование, дату, имя автора, номер, контрольную ссылку и т.п.);
- для сбора и предоставления документированной информации необходимо четко установить приемлемые форматы (например, язык, версию программного обеспечения, шрифт) и носитель данных (бумажный, электронный);
- всю документированную информацию необходимо анализировать и проверять на ее адекватность.
При сборе и предоставлении информации необходимо использовать принятые параметры оформления (например, язык, версия программного обеспечения, шрифт) и носитель данных (бумажный, электронный).
Объем документированной информации об СМНБ в разных организациях различен в зависимости:
- от размеров организации, особенностей продукции и услуг и деятельности организации;
- от сложности деятельности и взаимодействия ее видов;
- от компетентности персонала.
7.5.3 Контроль документированной информации
Вся документированная информация должна быть управляемой.
Целью управления документацией является обеспечение возможности организации разрабатывать, сохранять и защищать документы в порядке, приемлемом и достаточном для внедрения и функционирования СМНБ. Основное внимание необходимо уделять именно этой цели, а не только созданию сложной системы управления информацией.
Примером защиты документации может служить предотвращение дискредитации документов, несанкционированного внесения в них изменений и случайного удаления документов.
Существуют различные уровни доступа и их комбинации, которые могут допускать, например, только чтение, чтение и внесение изменений или доступ для служебного пользования.
Должна быть установлена документированная процедура для определения способов управления, необходимых:
a) для распространения документированной информации;
b) для обеспечения доступа к информации (вид доступа включает, например, разрешение и полномочия на чтение или изменение документированной информации);
c) для утверждения адекватности документов перед их публикацией;
d) для анализа и пересмотра при необходимости, а также повторного утверждения документов;
e) для обеспечения того, что внесенные изменения и статус документа указаны;
f) для обеспечение наличия на местах соответствующих редакций используемых документов;
g) для обеспечения читаемости и быстрой распознаваемости документов;
h) для обеспечения идентификации и контроля распространения входящих документов, утвержденных организацией как необходимые для использования в планировании и применении СМНБ;
i) для предотвращения непреднамеренного использования устаревших документов и нанесение на них соответствующей идентификации при сохранении;
j) для установления параметров хранения и архивирования документов;
k) для обеспечения защиты и неразглашения конфиденциальной информации.
Организации должны обеспечить целостность документированной информации, ограждая ее от неумелого обращения, повреждения, изнашивания и утраты, обеспечивая резервное дублирование и доступ только для уполномоченных сотрудников.
Организация должна выполнять законодательные и обязательные требования, касающиеся хранения документированной информации, а также разработать, внедрить и применять процессы, необходимые для достижения соответствия этим требованиям.
8 Деятельность
8.1 Планирование и контроль
Организация должна определять, планировать, осуществлять и контролировать действия, необходимые для выполнения своей политики в области обеспечения непрерывности бизнеса и достижения ее целей, а также для удовлетворения имеющихся потребностей и требований.
Эти действия могут быть объединены в программу, которая гарантирует, что управление непрерывностью бизнеса является результативным.
Организация должна установить методы контроля, которые должны включать в себя:
a) решение о том, как действия в области МНБ должны быть определены, спланированы, проконтролированы, например путем разработки и выполнения плана и согласования приемлемой методологии для внедрения МНБ;
b) гарантию того, что методы контроля этих действий согласованы с решениями, принятыми, например, при планировании этапов выполнения проекта и их ожидаемыми результатами;
c) хранение документированной информации для доказательства того, что процессы выполнены в соответствии с планом.
Организация должна обеспечить, чтобы запланированные изменения происходили под контролем, а непредвиденные изменения были проанализированы и учтены.
8.1.1 Элементы МНБ
МНБ включает элементы, представленные на рисунке 5.
Рисунок 5 - Элементы менеджмента непрерывности бизнеса (МНБ)
К элементам МНБ относятся:
a) Планирование и контроль деятельности (см. 8.1)
Результативные планирование и контроль деятельности являются главной составной частью менеджмента непрерывности бизнеса. Их должен возглавлять ответственный сотрудник, назначенный руководством.
b) Анализ воздействий на бизнес и оценка риска (см. 8.2)
Согласия и понимания приоритетов и требований в области непрерывности бизнеса достигают на основе анализа воздействий на бизнес и оценки риска. Анализ воздействий на бизнес обеспечивает организации расстановку приоритетов при восстановлении деятельности, первоочередность действий, направленных на поддержание изготовления продукции и предоставления услуг. Оценка риска способствует пониманию источников риска и определению первоочередных ответных мер и зависимых сторон, а также возможных последствий инцидента. Это понимание дает возможность организации выбрать соответствующие стратегии непрерывности бизнеса.
c) Стратегия непрерывности бизнеса (см. 8.3)
Идентификация и анализ вариантов стратегий обеспечения непрерывности бизнеса дают возможность организации выбрать необходимые превентивные меры, не допускающие остановки ее приоритетной деятельности, а также при прерывании этой деятельности. Выбранные стратегии обеспечения непрерывности бизнеса способствуют возобновлению деятельности на приемлемом уровне и в согласованные сроки.
Примечание - Выбранные стратегии должны учитывать уже выполненную (см. 8.3.3) обработку риска.
d) Установление и выполнение процедур непрерывности бизнеса (см. 8.4)
Выполнение деятельности в области непрерывности бизнеса приводит к созданию структуры ответных мер на инцидент (см. 8.4.2), средств выявления и реагирования на инцидент (см. 8.4.3), планов в области обеспечения непрерывности бизнеса (см. 8.4.4) и процедур восстановления бизнеса (см. 8.4.5).
e) Учения и проверки (см. 8.5)
Учения и проверки дают организации возможность:
- повышать информированность и компетентность персонала;
- обеспечивать непрерывность бизнеса и гарантировать, что процедуры в области непрерывности бизнеса достаточны, современны и уместны;
- определять возможности по улучшению обеспечения непрерывности бизнеса.
8.1.2 Менеджмент среды функционирования МНБ
Результативный менеджмент среды функционирования МНБ включает:
a) обеспечение непрерывного соответствия области применения, функций и ответственности в сфере непрерывности бизнеса;
b) продвижение и встраивание действий по обеспечению непрерывности бизнеса в структуру организации и других заинтересованных сторон, где приемлемо;
c) управление затратами, связанными с обеспечением непрерывности бизнеса;
d) установление и мониторинг управления изменениями и последующими условиями работы в системе менеджмента непрерывности бизнеса;
e) организацию или обеспечение соответствующего обучения персонала и повышения его информированности;
f) поддержание программной документации, соответствующей особенностям организации.
Каждый элемент МНБ организации, включая документацию, должен регулярно подвергаться анализу, проверкам и обновлению. Эти мероприятия также необходимо анализировать и обновлять в случае значимых изменений в среде функционирования организации, ее структуре, местоположении, рабочей силе, процессах и технологии, или при выявлении в ходе учения или инцидента недостатков.
Для обеспечения эффективного управления программой МНБ организация может использовать известный метод управления проектом.
8.1.3 Поддержка обеспечения непрерывности бизнеса
Поддержка результативного обеспечения непрерывности бизнеса включает в себя:
a) поддержание МНБ на должном уровне на основе постоянных тренировок;
b) администрирование программы обучения;
c) координирование регулярного анализа и обновления СМНБ, включая анализ воздействия на бизнес (АВБ), его корректировку и оценку риска;
d) обеспечение поддержки процедур непрерывности бизнеса в соответствии с потребностями группы ответных мер.
8.1.4 Определение результативности
Для определения результативности необходимо проводить:
a) мониторинг деятельности по обеспечению непрерывности бизнеса;
b) мониторинг и анализ мероприятий по обеспечению непрерывности бизнеса за пределами организации и возможностей поставщиков в области МНБ.
Примеры показателей, которые могут быть использованы для определения результативности МНБ:
- деятельность и ресурсы восстанавливают в запланированные сроки, информацию распространяют должным образом (целевой срок восстановления);
- необходимые помещения и оборудование имеются в наличии на альтернативных площадках для восстановления и возобновления деятельности;
- компетентность персонала, необходимая для возобновления приоритетных видов деятельности в указанный целевой срок продемонстрирована;
- компетентность персонала, необходимая для выполнения ответных мер и управления в условиях инцидента, продемонстрирована.
8.1.5 Результаты
Признаками, указывающими на результативность МНБ, могут быть:
a) способность управления в условиях инцидента гарантирует результативные ответные действия;
b) понимание организацией своей деятельности и взаимоотношений с другими организациями, регулирующими органами или правительственными департаментами, местными органами власти и экстренными аварийными службами разработаны, документированы и понятны;
c) проведение регулярных учений, гарантирующих способность персонала результативно выполнять ответные меры в случае инцидента или нарушения деятельности;
d) требования заинтересованных сторон понятны и могут быть удовлетворены;
e) обеспечение персонала необходимой поддержкой и связями в случае нарушения деятельности;
f) защита репутации организации;
g) соответствие организации своим нормативно-правовым обязательствам;
h) поддержание финансовых средств контроля организации в течение всего инцидента организации.
8.2 Анализ воздействий на бизнес и оценка риска
8.2.1 Общие положения
Организация должна установить, внедрить и поддерживать официальный документированный процесс анализа воздействий на бизнес и оценки риска. Понимание, достигаемое организацией благодаря анализу воздействия на бизнес и оценке риска, обеспечивает основу для результативного обеспечения непрерывности бизнеса.
Организация достигает своей цели, поставляя свою продукцию и оказывая услуги заказчикам. Поэтому важно сформировать понимание отрицательного воздействия на цели и деятельность организации (с течением времени) прерывания поставок продукции и оказания услуг. Важно также понимать взаимозависимость и ресурсные потребности тех видов деятельности, которые связаны с изготовлением продукции и оказанием услуг, а также существующие для них угрозы.
На основе понимания организация способна обеспечить соответствие деятельности в области непрерывности бизнеса целям организации, законодательству и обязательствам перед заинтересованными сторонами. Понимание основано на анализе воздействия на бизнес и оценке риска. Эти процессы предоставляют информацию, необходимую организации для определения и выбора стратегий обеспечения непрерывности бизнеса (см. 8.3.1).
Рисунок 6 - Понимание организации
Анализ воздействия на бизнес и оценка риска дают возможность организации предусмотреть способы:
a) ограничения воздействия нарушений на организацию;
b) сокращения продолжительности нарушений деятельности организации;
c) снижения вероятности возникновения нового нарушения.
Область применения, критерии оценки и формат результатов анализа воздействия на бизнес и оценки риска должны быть определены и согласованы заранее. Полученную информацию необходимо регулярно анализировать, особенно в период изменений.
8.2.2 Анализ воздействия на бизнес
Организация должна установить официальный процесс сравнительной оценки для определения непрерывности, приоритетов и целей восстановления.
Целями анализа воздействия на бизнес являются:
- обретение понимания ключевой продукции и услуг организации, а также деятельности по их поставке;
- определение приоритетности и сроков действий по возобновлению деятельности;
- определение ключевых ресурсов, которые потребуются для обеспечения непрерывности и восстановления бизнеса;
- идентификация зависимых сторон (как внутренних, так и внешних).
Анализ воздействия на бизнес должен включать в себя:
a) определение деятельности, направленной на изготовление ключевой продукции и оказания ключевых услуг ("ключевая" означает относящиеся к СМНБ);
b) оценку воздействия нарушений с течением времени, являющихся результатом воздействия неконтролируемых неустановленных событий на эту деятельность. При анализе воздействий организация должна учитывать воздействия, касающиеся ее целей и заинтересованных сторон. Они могут включать в себя:
1) негативное воздействие на персонал или общественное благосостояние,
2) последствия нарушения законодательных или обязательных требований,
3) ущерб репутации,
4) ухудшение финансового состояния,
5) ухудшение качества продукции и услуг,
6) вред окружающей среде.
Примечание 1 - Нарушение деятельности может быть косвенной причиной прекращения поставок продукции и предоставления услуг. Например, неспособность оплаты поставленного сырья может подорвать репутацию организации и поставщики прекратят поставки, что, в свою очередь, может привести к невозможности изготовления продукции или предоставления услуг.
Примечание 2 - Обычно интенсивность деятельности изменяется в течение суток и может быть циклична по природе. Часто деятельность подвержена сезонным колебаниям, а наивысший уровень активности приходится на конец недели, месяца или года, кода наступают сроки завершения заданий или предоставления результатов проекта. Предположение, что нарушение происходит в самый неподходящий момент этих циклов, обеспечивает условия максимального воздействия;
c) определение периода воздействия нарушения деятельности организации, превышение которого является неприемлемым.
Примечание 3 - Период времени, при превышении которого воздействия становятся неприемлемыми, может составлять от нескольких секунд до нескольких месяцев в зависимости от деятельности. Деятельность, для которой требуется короткий период времени, может быть установлена с точностью до минуты или часа. Меньшая точность соответствует деятельности, занимающей более продолжительные периоды времени.
Примечание 4 - Период времени, за который воздействия становятся неприемлемыми, можно рассматривать как "максимально допустимый период нарушения", "максимально допустимый период" или "максимально допустимый простой". Минимально приемлемый для организации уровень выпуска продукции или оказания услуг может быть установлен как минимальная цель обеспечения непрерывности бизнеса;
d) установление приоритетных сроков возобновления деятельности на указанном минимально приемлемом уровне на основе оценки потенциальных воздействий с учетом других важных факторов;
e) определение зависимостей между видами деятельности;
f) определение зависимости каждого вида деятельности от поддерживающих ресурсов, включая поставщиков и другие важные заинтересованные стороны.
Приоритетные сроки возобновления того или иного вида деятельности можно назвать целевым сроком восстановления. Целевой срок восстановления может учитывать зависимости взаимосвязанных видов деятельности и период времени, за который воздействие, являющееся причиной прекращения деятельности, становится неприемлемым [см. перечисление с) выше].
Примечание 5 - Далее в настоящем стандарте термин "целевой срок восстановления" использован вместо "приоритетного срока".
Результаты анализа воздействия на бизнес должны быть документированы и относиться:
- к продукции, услугам и деятельности;
- к приоритетам восстановления;
- к важным зависимостям и поддерживающим ресурсам.
При сборе информации для анализа воздействия на бизнес могут быть использованы:
- интервью;
- анкетирование;
- семинары;
- другие внутренние и внешние источники.
8.2.3 Оценка риска
Организация должна установить процесс оценки риска для систематической идентификации, анализа и оценки риска нарушения приоритетной деятельности организации, а также процессы, системы, информацию, людей, активы, поставщиков и другие ресурсы, поддерживающие его.
Оценка риска представляет собой структурированный процесс анализа риска с точки зрения последствий и вероятности риска для принятия решения о дальнейших действиях при необходимости. Этот структурированный процесс должен помочь найти ответ на фундаментальные вопросы:
a) Что может случиться и почему (идентификация риска)?
b) Какие могут быть последствия?
c) Какова вероятность возникновения опасного события?
d) Каковы способы снижения неблагоприятных последствий или вероятности?
Этот процесс должен учитывать финансовые, государственные и социальные обязательства.
Организация должна понимать угрозы и слабые стороны ресурсов, необходимых для осуществления ее деятельности, в частности:
- приоритетной деятельности;
- деятельности, требующей значительного времени для возобновления производства.
Организация должна выбрать подходящий метод идентификации, анализа и сравнительной оценки рисков, которые могут привести к нарушению деятельности. В ИСО 31000 установлены принципы менеджмента риска и приведено руководство по его осуществлению. Типичные элементы, которые должны быть включены в анализ риска:
- идентификация риска: идентификация рисков нарушения приоритетной деятельности организации, а также процессов, систем, информации, людей, средств, поставщиков и других необходимых ресурсов. Ресурсы могут быть связаны:
- с конкретными угрозами, которые можно описать как события или действия, которые в какой-то момент могут нарушить деятельность и привести к потере ресурсов (например, такими угрозами, как пожар, наводнение, смена власти, потеря персонала, отсутствие персонала на рабочих местах, компьютерные вирусы и выход из строя аппаратуры);
- с разрушительными инцидентами, которые могут возникнуть в связи с уязвимостью ресурсов (например, отдельные случаи отказа от работы, нарушения правил пожарной безопасности, отсутствия энергетической стабильности, недостатка рабочей силы и низкой безопасности и устойчивости ИТ);
- сравнительная оценка риска: определение, какие риски, связанные с нарушением деятельности, требуют обработки. Особое внимание следует уделять ресурсам, необходимым для осуществления приоритетных видов деятельности или деятельности с большим периодом восстановления;
- определение обработки риска: идентификация обработки риска, обеспечивающей достижение целей в области непрерывности бизнеса и допустимого совокупного риска организации (см. 4.1).
Примечание - Если какой-либо другой анализ риска уже проводился организацией или сторонними организациями, результаты анализа могут содержать полезную информацию для оценки риска.
В соответствии с потребностями общества или обязательствами перед регулирующими органами может потребоваться передача некоторых результатов оценки риска организации другим заинтересованным сторонам.
8.3 Стратегия непрерывности бизнеса
8.3.1 Определение и выбор
8.3.1.1 Общие положения
Определение стратегии непрерывности бизнеса означает определение действий, необходимых для реализации результатов, полученных при проведении анализа воздействия на бизнес и оценке риска, согласующихся с целями организации в области непрерывности бизнеса. Такие действия необходимо выполнять до, во время и после разрушительного инцидента, и они, например, могут включать:
- разделение технологического процесса между двумя площадками;
- установку электрогенератора на случай аварии;
- ослабление общего воздействия разрушительного инцидента путем принятия мер по поддержанию непрерывности бизнеса, которые сокращают период остановки деятельности и снижают интенсивность этого воздействия до приемлемого уровня.
Определение и выбор стратегии непрерывности бизнеса должны быть основаны на результатах анализа воздействия на бизнес и оценки риска (см. 8.2).
Организация должна определить варианты стратегии:
- для защиты приоритетных видов деятельности;
- для стабилизации, продолжения, возобновления и полного восстановления приоритетных видов деятельности;
- для ослабления и контроля неблагоприятных воздействий и выполнения ответных мер. В организации должен существовать механизм рассмотрения и утверждения рекомендуемых решений.
8.3.1.2 Защита приоритетных видов деятельности
Защита приоритетных видов деятельности может быть направлена:
- на снижение риска для определенного вида деятельности;
- на передачу вида деятельности, соответствующего определенному риску, третьей стороне (с сохранением ответственности за организацией);
- на прекращение или смену вида деятельности при наличии подходящих вариантов.
Варианты по защите приоритетных видов деятельности выбирают в соответствии:
- с воспринимаемой уязвимостью деятельности;
- со стоимостью предпринимаемых мер по сравнению с ожидаемой выгодой;
- со срочностью возобновления деятельности;
- с общей осуществимостью и пригодностью данного варианта.
Если организация рассматривает угрозу как "крайне маловероятную" или затраты на защиту приоритетной деятельности как недопустимо высокие, она может принять риск и выполнить повторную сравнительную оценку риска как часть показателей функционирования СМНБ (см. раздел 10).
8.3.1.3 Стабилизация, продолжение, возобновление и полное восстановление приоритетной деятельности
Стабилизация, продолжение, возобновление и полное восстановление приоритетной деятельности должно также касаться зависимых от нее сторон и поддерживающих ресурсов.
Варианты стратегии непрерывности бизнеса могут включать в себя:
a) перемещение деятельности: перемещение некоторых видов или всей деятельности в другую часть организации или из организации на территорию третьей стороны по собственной инициативе или на основе соглашения о взаимопомощи или по взаимному согласию;
b) перемещение или перераспределение ресурсов: ресурсы, включая персонал, перемещают в другое место или направляют на другую деятельность внутри организации или на территорию третьей стороны;
c) использование резервных процессов и мощностей: создание дублирующих процессов или резервных мощностей в процессах и/или товарно-материальных запасов;
d) расширение ресурсов и навыков: расширение навыков персонала, включая обучение ключевого персонала дополнительным навыкам или привлечение дополнительных сторонних специалистов на основе контрагентских договоров. Расширение ресурсов осуществляют за счет третьей стороны или из запасов организации, хранящихся в отдельном месте, или на основе договоров о взаимопомощи, заключенных с внешними организациями и ключевыми заинтересованными сторонами для обеспечения временного доступа к дополнительным ресурсам;
e) использование временного варианта деятельности: некоторые виды деятельности допускают другой способ выполнения, который обеспечивает получение удовлетворительных результатов в ограниченный период времени. Очевидно, что временный вариант работы является более интенсивным (например, ручной труд вместо применения автоматизированной системы). По этой причине методы временного варианта работы обычно применяют только в короткий промежуток времени или используют для отсрочки момента возвращения к нормальной деятельности.
При рассмотрении мест, на которых осуществляют возобновление деятельности, варианты непрерывности бизнеса должны включать использование поврежденных/затронутых инцидентом площадок и неповрежденных альтернативных площадок.
Для обеспечения возобновления деятельности в течение целевого срока восстановления целевые сроки восстановления могут быть также определены для зависимых сторон и поддерживающих ресурсов. При установлении таких целевых сроков восстановления необходимо учитывать:
- возможность временного предоставления услуг в минимальном объеме до тех пор, пока не потребуется полное возобновление деятельности;
- временные варианты (например, выполнение операций вручную), которые могут отсрочить необходимость в поддерживающих ресурсах;
- наличие резервных копий и время, необходимое для восстановления потерянных данных;
- сложность и объем требований по восстановлению деятельности или необходимость в специальном оборудовании, требующем продолжительного периода монтажных и пусконаладочных работ.
Организация должна проанализировать все варианты стратегии и определить возможность внесения новых рисков.
Варианты стратегии непрерывности бизнеса по стабилизации, продолжению, возобновлению или восстановлению приоритетной деятельности зачастую могут быть недопустимо дорогими. В этом случае организация должна либо выбрать альтернативные стратегии, которые являются приемлемыми и отвечают ее целям в области непрерывности бизнеса, либо исключить подверженную воздействию инцидента продукцию и услуги из сферы действия СМНБ в соответствии с 4.3.2.
8.3.1.4 Снижение воздействий, ответные меры и управление в условиях воздействий
Варианты снижения воздействий и сокращения последствий инцидента могут включать в себя:
a) страхование: страхование может обеспечить частичную денежную компенсацию некоторых потерь, но оно не способно покрыть все потери (например, последствия незастрахованных событий, ущерб торговой марке, репутации, оценка заинтересованных сторон, снижение доли рынка и социальные последствия). Только финансовая защита полностью не обеспечивает безопасность организации и не удовлетворит ожидания заинтересованных сторон. Страховое покрытие лучше всего использовать в сочетании с другими стратегиями;
b) восстановление имущества: резервирование услуг путем заключения контрактов с организациями, специализирующимися на чистке или ремонте имущества в случае его порчи;
c) управление репутацией: разработка эффективной системы оповещения и обмена информацией (см. 8.4.3) и установление процедур результативного обмена информацией (см. 8.4.4.3.2)
8.3.1.5 Непрерывность бизнеса поставщиков
Организация должна обеспечить проведение анализа непрерывности бизнеса поставщиков. Организации следует сконцентрировать свое внимание на поставщиках, поскольку их неспособность поставлять продукцию очень быстро может привести к нарушению приоритетной деятельности организации. Действия организации могут включать в себя:
- установление требований в тендерах и контрактах;
- периодическую проверку планов поставщиков;
- совместные учения в области непрерывности бизнеса.
8.3.2 Установление требований к ресурсам
8.3.2.1 Общие положения
Организация должна определить ресурсы, необходимые для реализации выбранных вариантов стратегии.
Организация должна:
a) создать соответствующие группы или (в небольших организациях) назначить ответственных, обладающих полномочиями, за контроль готовности организации к инциденту, выполнение ответных мер и восстановление деятельности после инцидента;
b) разработать логистические структуры и процедуры размещения, приобретения, хранения, распределения, технического обслуживания, контроля испытаний и учета персонала, ресурсов, услуг, материалов и оборудования, изготовленных или переданных для поддержки СМНБ;
c) разработать финансовые, логистические и административные процедуры выполнения мероприятий в области непрерывности бизнеса до, во время и после инцидента. Процедуры должны:
1) обеспечивать возможность принятия более быстрых финансовых решений,
2) соответствовать установленному уровню полномочий, принципам управления и отчетности;
d) установить цели управления ресурсами с указанием сроков выполнения ответных мер, необходимого персонала, оборудования, обучения, помещений, финансирования, страхования, контроля обязательств, экспертных знаний, материалов и сроков, когда каждый из этих компонентов потребуется из ресурсов организации и от поставщика;
e) определить процедуры оказания содействия, обмена информацией, заключения стратегических соглашений и взаимной помощи с заинтересованными сторонами.
8.3.2.2 Персонал
Организация должна предусмотреть соответствующие мероприятия по поддержанию и расширению имеющихся ключевых навыков и знаний персонала на случай, если в результате инцидента численность персонала сократится. Эти мероприятия должны касаться персонала организации, подрядчиков и других заинтересованных сторон, имеющих специалистов с большим практическим опытом и знаниями. Меры по сохранению или расширению такого персонала могут включать в себя:
- составление списка резервных квалифицированных специалистов и плана их вызова;
- обучение персонала и подрядчиков дополнительным специальностям для расширения их практического опыта;
- разделение ключевых специальностей с целью ослабления воздействия инцидента, включая распределение персонала, обладающего ключевыми специальностями, по нескольким производственным площадкам;
- использование третьих сторон;
- последовательное планирование;
- документирование процессов и других форм сохранения знаний и менеджмента.
Действия, связанные с переводом персонала после инцидента на другие рабочие площадки, должны учитывать:
- транспортирование персонала в другое место;
- потребности персонала на альтернативном месте, например:
- в жилье;
- в пунктах питания;
- в выполнении обязательств перед сотрудниками и членами их семей;
- в обучении смежным специальностям;
- проблемы, связанные с домашними обязательствами.
Функции специалистов могут включать в себя:
- обеспечение безопасности;
- решение транспортных проблем;
- поддержание благополучия и оказание неотложной помощи.
8.3.2.3 Информация и данные
Информация, жизненно важная для деятельности организации, должна быть защищена и восстановлена в сроки, определенные при анализе воздействия на бизнес. Хранение и восстановление данных должно соответствовать действующему законодательству.
Примечание 1 - Руководство по обеспечению финансовых электронных данных приведено в стандарте ИСО/МЭК 27031. В ИСО/МЭК 27002 приведено руководство по обеспечению конфиденциальности, правдивости и доступности данных.
Вся информация, необходимая организации для выполнения ответных мер и восстановления, должна обладать соответствующей:
- конфиденциальностью: например, если деятельность переводят в другое место;
- правдивостью: т.е. информация должна быть достоверной;
- доступностью: т.е. информация может быть получена так быстро, как этого требуют обстоятельства. Информация, необходимая для обеспечения ответных мер, может потребоваться немедленно или спустя какое-то время после инцидента;
- применимостью: быть адекватной для выполнения деятельности. Иногда может потребоваться восстановление некоторых данных, потерянных в результате инцидента.
В любом случае информация, необходимая для осуществления деятельности, должна обладать достаточно широкой применимостью. Применимость можно рассматривать как целевой элемент восстановления. При копировании данных могут быть использованы различные методы, включая создание электронных копий или резервные копии на магнитной ленте, микрофиш, фотокопий и создание двух экземпляров документов.
Информационные стратегии должны быть отражены в соответствующих документах по восстановлению информации, которую еще не скопировали или которая не имеет резервных копий в безопасном месте.
Информационные стратегии должны распространяться:
- на физические (бумажные) форматы;
- на виртуальные (электронные) форматы и т.д.
Примечание 2 - Если скопированная информация хранится слишком близко к оригиналам, разрушительный инцидент может подвергнуть опасности ее целостность или затруднить доступ к ней. С другой стороны, большое расстояние может привести к ее отсутствию в необходимый момент. Целесообразно иметь письменную инструкцию, как действовать в этой ситуации.
Информация, о которой идет речь в данном разделе, может включать в себя:
- контрактную информацию;
- информацию о поставщиках и заинтересованных сторонах;
- юридические документы (например, контракты, страховые полисы, документы, подтверждающие правовой титул);
- документы, связанные с другими службами (например, контракты и соглашения об уровне сервиса).
8.3.2.4 Здания, рабочая среда и коммунальные службы
Стратегии создания рабочих мест могут быть различны. Может существовать целый ряд вариантов таких стратегий. Различные виды инцидентов или угроз могут потребовать использования различных или нескольких вариантов обустройства рабочих мест. Соответствующая тактика отчасти зависит от размера организации, сектора и масштабов деятельности, заинтересованных сторон и географического положения. Например, органы государственной власти должны предоставлять услуги всем членам своего сообщества, в то время как некоторые организации могут вести свою деятельность из другой страны или с другого континента.
Организация должна разработать план действий на случай потери своих обычных рабочих площадей. Она может предусматривать наличие резервных помещений, включающих в себя одно или несколько из ниже перечисленного:
a) альтернативные помещения (площадки) на территории организации, включая перенос другой деятельности;
b) альтернативные помещения, предоставляемые другими организациями (независимо от того, осуществляется ли это на взаимной основе или нет);
c) центры управления чрезвычайными ситуациями;
d) альтернативные помещения, предоставляемые специалистами третьих сторон;
e) работа на дому или с удаленных территорий;
f) другие подходящие помещения в соответствии с договоренностями;
g) использование альтернативной рабочей силы на вновь оборудованной площадке.
Альтернативные помещения необходимо тщательно выбирать с учетом географических особенностей местности, которая может быть подвержена воздействию определенного рода инцидентов. Инцидент, например природная катастрофа, может вызвать разрушения на обширных площадях и нарушить работу таких жизненно важных служб, как электро-, газо-, водоснабжение и связь. Если подобный риск существует, альтернативные помещения необходимо размещать вдали от зоны возможного воздействия инцидента.
Если персонал должен перейти работать в альтернативные помещения, эти помещения должны быть расположены достаточно близко, чтобы персонал хотел и мог туда добраться с учетом возможных трудностей, вызванных инцидентом. Тем не менее альтернативные помещения не должны быть расположены слишком близко, чтобы персонал не пострадал от инцидента.
При использовании резервных альтернативных помещений для обеспечения непрерывности деятельности должно быть установлено, что ресурсы, выделенные для альтернативных помещений, могут быть использованы организацией только в исключительных случаях. Если альтернативные помещения используют еще и другие организации, необходимо разработать и документировать план действий в случае невозможности использования этих помещений.
В некоторых ситуациях (например, в случае производственной линии или операторского центра) может быть целесообразно уменьшение объема работ, а не перевод персонала в другое место. Это может потребовать наличие на альтернативной площадке дополнительных мощностей или персонала (работающего сверхурочно или на постоянной основе), а также ресурсов.
8.3.2.5 Аппаратура, оборудование и расходные материалы
Организация должна определить и поддерживать запасы основных материалов, необходимых для осуществления ее приоритетной деятельности.
Некоторое оборудование и станки может быть сложно приобрести, они могут быть очень дорогими (требующими длительной процедуры получения разрешений) или иметь длительный период монтажных и пусконаладочных работ. Такие вопросы необходимо учитывать при принятии решений о таких ресурсах. Обеспечить принятие решения может изменение подхода, например контроль запасов или менеджмент зданий.
Действия в этом направлении могут включать в себя:
- хранение дополнительного количества материалов на другой площадке;
- договоренности с третьими сторонами о поставках материалов в кратчайшие сроки;
- перевод поставок "точно в срок" на другие площадки;
- хранение материалов на складах или в портах;
- перевод операций по сборке узлов на альтернативную площадку, где хранятся материалы;
- определение альтернативных материалов-заменителей;
- определение аппаратуры и оборудования и планирование нескольких вариантов для каждого этапа работ.
Если деятельность зависит от поставщиков, организация должна определить ключевых поставщиков и конкретные источники поставок. Стратегии менеджмента непрерывности поставок могут включать в себя:
- увеличение количества поставщиков;
- содействие поставщикам или требование к ним иметь систему обеспечения непрерывность бизнеса;
- заключение контрактов и/или соглашений об уровне услуг с ключевыми поставщиками;
- определение альтернативных надежных поставщиков.
В случае перевода деятельности в другое место необходимо убедиться в том, что поставщики в состоянии эффективно поставлять свою продукцию или предоставлять услуги на альтернативные площадки.
8.3.2.6 Системы информационно-коммуникационных технологий (ИКТ)
Во многих организациях деятельность невозможно осуществлять без систем ИКТ, и они должны быть восстановлены до восстановления деятельности. Там, где это возможно и осуществимо, организация может координировать свою деятельность в ручном режиме, пока ее службы ИКТ не восстановлены.
Технологические варианты зависят от характера применяемой технологии и ее взаимосвязи с различными видами деятельности, но обычно они представляют собой комбинацию нижеследующего:
- обеспечение внутри организации;
- услуги, предоставляемые организации третьей стороной;
- внешние услуги, о которых у организации имеются договоренности.
Способы обеспечения системами ИКТ, необходимыми для выполнения приоритетных видов деятельности, могут включать в себя:
- расширение географического охвата, например использование одной и той же технологии на различных площадках, на которые не распространяется действие одного и того же разрушающего инцидента;
- сохранение старого оборудования для замены или использования на запасные части в чрезвычайных ситуациях;
- контракты на поставку оборудования или восстановительные работы.
Из-за сложности технологий, поддерживающих системы ИКТ, часто их своевременное восстановление требует применения комплексных мер. Поэтому необходимо:
- установить для систем ИКТ целевые сроки восстановления, которые позволят возобновить приоритетные виды деятельности в установленные сроки;
- уделить особое внимание местам размещения технологических площадок и расстояниям между ними;
- распределить технологии между несколькими отдельными площадками;
- адекватное аппаратное обеспечение большого числа пользователей с удаленным доступом;
- обустройство нерабочих (законсервированных) и рабочих площадок;
- повышение возможностей телекоммуникационной связи и уровня резервной маршрутизации;
- обеспечение автоматического "обхода отказа" вместо необходимости ручной переадресации ИКТ;
- учет и компенсация устаревания ИКТ;
- возможность дополнительного подключения к третьей стороне и внешних связей.
Если, используя метод "обхода отказа", перемещаются с одной площадки на другую, необходимо определить длину сетевого пути между этими площадками. Слишком большое расстояние может снизить реакцию системы и сделать системы ИКТ неэффективными.
Если организация размещает свои системы ИКТ более чем на одной площадке, появляется возможность использования "стратегии общей ИКТ", при которой каждую площадку следует рассмотреть с точки зрения размещения мощностей комбинированной ИКТ для нескольких площадок.
Если организация использует узкоспециализированные или разработанные на заказ технологии с большими сроками освоения, необходимо предусмотреть меры по защите ИКТ, включая обеспечение замен или восстановления ее компонентов.
Примечание - Руководство по непрерывности работы ИКТ приведено в ИСО/МЭК 27031, ИСО/МЭК 27002 и ИСО/МЭК 20000 (обе части).
8.3.2.7 Транспорт
После инцидента может потребоваться транспорт:
- для доставки персонала до мест проживания, если транспортные средства организации неисправны;
- для перевозки персонала на альтернативное рабочее место;
- для перевозки ресурсов, необходимых на другой площадке.
Организация должна заранее определить варианты предоставления альтернативных транспортных средств, которые могут потребоваться после разрушительного инцидента. Эти варианты могут включать в себя:
- определение возможных сценариев нарушения логистических связей, которые могут быть прямым следствием инцидента и непредвиденных ситуаций;
- резервирование альтернативных логистических средств и маршрутов с учетом условий на дорогах, транспортных средств и других логистических сетей;
- соглашения с компаниями, предоставляющими транспортные услуги.
8.3.2.8 Финансы
Организация должна определить варианты обеспечения необходимого финансирования во время и после разрушительного инцидента. Такие варианты могут включать:
- выделение средств для экстренных закупок, например продуктов питания, оплаты проживания, услуг, расходных материалов и транспорта;
- оплату расходов персонала;
- основные издержки на оплату, например аренды или покупки зданий и оборудования.
Для того чтобы избежать критики в свой адрес или содействовать выплатам по страховым искам, организации может потребоваться продемонстрировать результативность своих финансовых механизмов, например путем осуществления документального учета расходов во время и после разрушительного инцидента.
8.3.2.9 Поставщики
Если изготовление продукции, предоставление услуги или ведение деятельности для организации осуществляют сторонние организации, ответственность и отчетность несет организация. Поэтому организация должна гарантировать, что ее ключевые поставщики имеют результативную систему обеспечения непрерывности бизнеса. Для этого необходимо получение доказательства наличия у ключевых поставщиков планов непрерывности, а также программ учений по осуществлению непрерывности бизнеса (см. 8.3.1.5).
8.3.3 Защита от воздействий инцидента и их ослабление
Для выявленных рисков, требующих обработки в соответствии с общим отношением организации к риску, организация должна рассмотреть пути снижения вероятности возникновения, сокращения продолжительности и уменьшения воздействия разрушительного инцидента.
8.4 Установление и выполнение процедур непрерывности бизнеса
8.4.1 Общие положения
Организация должна установить и документировать процедуры, обеспечивающие общее управление ответными мерами на разрушительный инцидент и мероприятиями по возобновлению деятельности в целевые сроки. Процедуры непрерывности бизнеса должны обеспечить соответствующий протокол внутреннего и внешнего обмена информацией и быть:
a) конкретными - с точки зрения незамедлительных действий, которые необходимо предпринять во время нарушения деятельности;
b) гибкими - чтобы их можно было использовать для выполнения ответных мер на непредвиденные угрозы и изменение внутренних и внешних условий;
c) целенаправленными - они должны иметь непосредственное отношение к воздействию событий, которые могут нарушить деятельность, и быть разработаны на основе установленных предположений и анализа взаимозависимостей;
d) результативными - в плане минимизации последствий инцидентов посредством осуществления соответствующих стратегий.
8.4.2 Структура ответных мер на инцидент
Организация должна ввести процедуры и структуру менеджмента, которые дают ей возможность быть готовой к разрушительным инцидентам, снизить их влияние на результативную деятельность организации и выполнять ответные меры.
Структура ответных мер должна обеспечивать:
- идентификацию порогов воздействия, определяющих инициирование ответных мер;
- оценку явлений и масштабов разрушительного инцидента или его возможного воздействия;
- наличие мер по обеспечению благосостояния тех, кто пострадал от инцидента;
- инициирование соответствующих ответных мер на разрушительный инцидент;
- процессы и процедуры активации, проведения, координации и информационного обеспечения ответных мер;
- наличие ресурсов для поддержания процессов и процедур, необходимых для управления разрушительным инцидентом и уменьшения их воздействий;
- связь с заинтересованными сторонами, включая, в частности, органы власти и СМИ.
Структура ответных мер должна быть простой и быстро формируемой. При определении структуры необходимо предусмотреть:
- наличие среди персонала одного или нескольких компетентных специалистов для определения последствий инцидента и оценки воздействия или потенциального воздействия инцидента и его продолжительности;
- способность мобилизовать группы контроля, сдерживания инцидента и инициирования соответствующих ответных мер;
- наличие необходимых ресурсов, которые могут включать в себя персонал, подрядчиков, оборудование и финансы.
Более крупные и сложные организации могут использовать многоуровневый подход при планировании ответных мер и могут создавать различные группы, отвечающие за выполнение ответных мер, управление в условиях инцидента, связь, благосостояние и возобновление деятельности. В более мелких организациях всеми аспектами ответных мер может заниматься одна группа, но никогда эта ответственность не должна быть возложена на одного человека.
Для каждой группы должны быть установлены процедуры ее деятельности с указанием персонала и его ответственности, полномочий и компетентности. Личная и групповая компетентность может быть продемонстрирована во время тренировок и учений.
8.4.3 Оповещение и обмен информацией
8.4.3.1 Общие положения
Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуры по оповещению и обмену информацией.
Эти процедуры должны включать:
a) выявление инцидента и оповещение персонала, задействованного в проведении ответных мер;
b) непрерывный мониторинг инцидента;
c) связь различных уровней и подразделений организации;
d) связь с заинтересованными сторонами;
e) переписку с заинтересованными сторонами;
f) переписку с национальной или региональной системой предупреждения о рисках или эквивалентной организацией;
g) оповещение заинтересованных сторон, потенциально подпадающих под воздействие реального или ожидаемого разрушительного инцидента;
h) обеспечение наличия средств связи во время разрушительного инцидента;
i) оказание содействия в налаживании структурированной связи с экстренными службами;
j) обеспечение взаимодействия многочисленных экстренных служб и персонала;
k) регистрацию важной информации об инциденте, предпринятых мерах и принятых решениях;
I) работу средств, обеспечивающих обмен информацией.
Организации может понадобиться решить, сообщать, и если да, то на каком этапе, внешним заинтересованным сторонам о своих процедурах оповещения и обмена информацией. При принятии такого решения в первую очередь необходимо руководствоваться соображениями безопасности для жизни и здоровья людей. Решение и причины его принятия должны быть зафиксированы документально.
Например, организация, проводящая опасные работы, которые могут представлять угрозу близлежащим соседям, должна удостовериться, что соседи оповещены о потенциальной угрозе. Это означает, что они знают, как подаются сигналы тревоги и как на них реагировать.
У организации должны быть результативные процедуры и средства своевременного оповещения, подачи сигналов тревоги и быстрого доведения информации до внешних организаций. Специальные меры могут потребоваться для заинтересованных сторон со специфическими потребностями, например для престарелых людей и граждан с ограниченными возможностями. Систему оповещения и обмена информацией следует регулярно проверять. Руководство по проведению учений и испытаний приведено в 8.5.
8.4.3.2 Процедуры обмена информацией об инциденте
Необходимо установить процедуры, допускающие до инцидента:
- переписку с национальной или региональной системой предупреждения о рисках или с аналогичной организацией; это могут быть предупреждения об угрозах, обычных для данного региона (например, цунами, землетрясения или ураган);
- оповещение заинтересованных сторон, подпадающих под воздействие реального или ожидаемого разрушительного инцидента, если организация имеет официальную или иную ответственность за оповещение.
В начале инцидента организация должна разработать процедуры, которые обеспечивают:
- непрерывный мониторинг инцидента путем визуального наблюдения или дистанционного мониторинга и передачу информации о развитии инцидента соответствующим экстренным службам;
- структурированный обмен информацией с экстренными службами;
- взаимодействие многочисленных экстренных служб и персонала, если это является обязанностью организации;
- обмен информацией различных групп, выполняющих ответные меры с организацией;
- регулярный обмен информацией с персоналом и другими лицами, забота о которых является обязанностью организации, например посетителями и подрядчиками, это может быть сначала на эвакуационном пункте, затем дома или на альтернативных площадках;
- регистрацию важной информации об инциденте, предпринятых мерах и принятых решениях непосредственно участниками или назначенными лицами в каждой группе.
Процедуры должны также обеспечить результативный двусторонний обмен информацией с заинтересованными сторонами, такими как заказчики и СМИ.
Организация должна осуществлять обмен информацией с этими заинтересованными сторонами до получения извещения об окончании инцидента и возвращения к обычной деятельности.
8.4.3.3 Средства обмена информацией в условиях инцидента
Процедуры обмена информацией могут быть обеспечены специальным оборудованием. Оно должно быть расположено достаточно далеко от места, подверженного воздействию инцидента, чтобы инцидент не мог нарушить его работу, и может находиться в одном помещении с другим оборудованием, используемым для выполнения ответных мер.
В связи с тем что инцидент может нарушить работу обычной системы обмена информацией, имеющегося оборудования, обеспечивающего обмен информации, может быть использовано альтернативное оборудование, такое как:
- громкоговорители или системы громкой связи;
- запасные мобильные телефоны;
- приемо-передающие радиоустройства.
8.4.4 Планы в области обеспечения непрерывности бизнеса
8.4.4.1 Общие положения
Организация должна установить документированные процедуры, позволяющие ей реагировать на инцидент и надлежащим образом проводить работу по возобновлению и восстановлению ее деятельности.
Эти процедуры должны включать все аспекты ответных мер на инцидент, в особенности вопросы безопасности жизни и здоровья людей, и учитывать требования всех тех, кто будет использовать эти процедуры. Для того чтобы определить требования, целесообразно:
- привлечь к разработке процедур тех, кто будет их использовать;
- использовать результаты учений и опыта разрушительных инцидентов.
Сроки и уровень исполнения должны основываться на информации, полученной во время анализа воздействия на бизнес (см. 8.2.2), и выбранной стратегии непрерывности бизнеса (см. 8.3.1).
В каждом плане необходимо четко определить следующее:
- цель и область применения;
- цели и критерии успеха для приоритетных видов деятельности;
- критерии и процедуры активации;
- процедуры выполнения;
- функции, ответственности и полномочия;
- требования и процедуры обмена информацией;
- внутренние и внешние взаимозависимости и взаимодействия;
- требования к ресурсам;
- информационные потоки и процессы документирования.
В случае разрушительного инцидента может возникнуть необходимость выполнения некоторых действий. Эти действия должны быть предусмотрены в документированных процедурах (см. 8.4.4.2 и 8.4.4.3) и включать:
a) ответные действия на инцидент и его анализ:
1) Что произошло и каким образом?
2) Какие части организации и какие заинтересованные стороны были или могли быть затронуты?
3) Каковы предполагаемая продолжительность инцидента и его воздействия?
4) Можно ли управлять организацией в условиях инцидента обычными методами менеджмента?
b) сравнительную оценку риска по отношению к критериям, соответствующим каждой процедуре;
c) объявление об инциденте и активизации процедур, если критерии выполнены;
d) действия по стабилизации, непрерывности, возобновлению и восстановлению деятельности;
e) создание и поддержание в рабочем состоянии мест расположения персонала, участвующего в менеджменте в условиях инцидента;
f) первоочередные вопросы и действия, предпринимаемые в условиях инцидента и для управления организацией и снижения инцидента;
g) регулирование и координирование всех активизированных процедур;
h) активацию или определение альтернативных площадок для восстановления ИТ или других возможностей инфраструктуры и для временного осуществления деятельности организации;
i) проведение мониторинга инцидента на всем протяжении его действия;
j) анализ и пересмотр планов в соответствии с изменившимися обстоятельствами;
k) отмену планов и возврат к обычному управлению после восстановления устойчивой деятельности;
I) проведение опроса и определение возможностей для обучения;
m) обеспечение хорошего документооборота, сверки и безопасности документации, разработанной во время инцидента и восстановления деятельности.
Для достижения своевременного возобновления организацией поставок продукции и предоставления услуг необходимо, чтобы документированные процедуры каждого вида деятельности:
- отвечали целевому сроку восстановления деятельности, обеспечивающей изготовление этой продукции или выполнение услуги;
- были достаточно надежными.
Это может быть достигнуто:
- при владении или управлении средствами и ресурсами для установления процедуры;
- при заключении контрактов, соглашений или обслуживании третьих сторон.
Для того чтобы на работу процедур не оказывали влияние одни и те же разрушительные инциденты, организация может обезопасить себя, например, распределив сотрудников и ИКТ по нескольким площадкам. Тем не менее невозможно добиться тотального распределения, подходящего для инцидентов всех типов и масштабов. Эти ограничения должны быть установлены и согласованы с руководством. Ограничения могут быть выражены в виде расстояния, минимального количества сотрудников или минимального набора оборудования и могут быть определены на основе ответных действий гражданских властей на сильный и/или широкомасштабный инцидент.
8.4.4.2 Содержание планов непрерывности бизнеса
План в области непрерывности бизнеса может представлять собой одну документированную процедуру или множество процедур, охватывающих все требования и всю область применения СМНБ.
Цель, область применения и задачи каждой документированной процедуры должны быть определены и понятны для тех, кто будет их реализовывать. Необходимо четко указать все связи с другими требуемыми или важными документированными процедурами или документами и описать способ получения доступа к ним.
В планах непрерывности бизнеса необходимо четко определить (см. также 8.4.4.3):
a) функции и обязанности персонала:
1) определенные функции, обязанности и полномочия лиц и групп, использующих план непрерывности бизнеса. Если план непрерывности бизнеса содержит более одной документированной процедуры, то функции, обязанности и полномочия должны быть сформулированы для каждой процедуры,
2) рекомендации и критерии относительно тех, кто имеет полномочие активизировать процедуры, и при каких обстоятельствах. Это может быть связано с определенными стадиями эскалации инцидента;
b) активацию и отмену:
1) процесса активации ответных действий организации на разрушительный инцидент и в рамках каждой документированной процедуры критерии ее активации и порядок осуществления действий. Может быть уместным рассмотреть вопрос о проведении этого в рабочее и нерабочее время,
2) процесс роспуска групп по окончании инцидента,
3) подходящие альтернативные места сбора;
c) управление в условиях инцидента:
1) управление в условиях последствий разрушительного инцидента, уделяя особое внимание вопросам благополучия людей, пострадавших от инцидента (включая членов группы), вариантам ответных мер на разрушительные действия (они могут быть стратегические, тактические и оперативные) и предотвращения дальнейших потерь или невозможности вести приоритетную деятельность,
2) каждая документированная процедура должна содержать:
i) процедуры реализации, определяющие действия и задачи, которые необходимо выполнить, в частности в отношении того, как организация будет продолжать или восстанавливать приоритетную деятельность в установленные сроки,
ii) потребности в ресурсах (см. 8.3.2), относящихся к документированной процедуре,
iii) средства регистрации важной информации об инциденте, предпринятых действиях и принятых решениях;
d) контактная информация для каждой процедуры:
1) контактная информация членов группы и других лиц, имеющих функции и обязанности. Контактная информация должна храниться в соответствии с местным законодательством о сохранении служебной информации,
2) контактная и мобилизационная информация всех имеющих отношение к делу агентств, организаций и ресурсов, которые могут понадобиться;
e) обмен информацией (см. 8.4.3):
1) подробное описание того, как и при каких обстоятельствах организация планирует обмениваться информацией с сотрудниками, их родственниками, ключевыми заинтересованными сторонами и экстренными службами,
2) подробное описание способов обмена информацией организации со СМИ после инцидента, включая стратегию передачи информации, форму взаимодействия со СМИ, инструкции или шаблоны для составления проектов информационных листков для СМИ и назначение представителей по связям с общественностью.
8.4.4.3 Специальные процедуры
8.4.4.3.1 Менеджмент в условиях инцидента/процедуры стратегического менеджмента
Целью менеджмента в условиях инцидента является обеспечение результативности ответных действий организации на разрушительный инцидент на стратегическом уровне.
Процедуры должны включать базу для управления всеми возможными вопросами организации, возникающими во время инцидента, включая вопросы, относящиеся к заинтересованным сторонам.
Организация должна определить месторасположение, комнату или помещение для управления в условиях инцидента. Это место должно стать центральной точкой управления в условиях инцидента. На случай отсутствия доступа к центральному пункту управления необходимо определить резервное место на другой площадке. На каждой площадке должен быть обеспечен доступ к соответствующим ресурсам, с помощью которых группа менеджмента в условиях инцидента может приступить к работе.
Помещение может быть номером в гостинице или домом сотрудника. Это также может быть сложный специализированный "командный центр", оборудованный персональными компьютерами, видео-конференц-связью и многоканальной телефонной связью. В начальной стадии может возникнуть необходимость проведения дистанционного совещания (например, по телефону), телеконференции или видеоконференции для быстрого принятия основных решений.
Выбранное помещение должно быть подготовлено для выполнения своей задачи и может включать:
- места для размещения необходимого количества людей;
- эффективные первичные и вторичные средства связи;
- оборудование для получения и обмена информацией, включая мониторинг новостей в СМИ.
Другим группам реагирования может потребоваться аналогичное оборудование.
8.4.4.3.2 Процедуры обмена информацией
Процедуры обмена информацией в зависимости от обстоятельств могут быть включены в процедуры управления ответными действиями на инцидент или могут быть выделены в отдельные процедуры для использования отдельной группой.
Существует необходимость активно управлять большим объемом информации и координировать его при отправлении и получении информации во время инцидента. Эта процедура должна содержать:
a) подробное описание того, как и при каких обстоятельствах организация осуществляет обмен информацией с сотрудниками, их родственниками, экстренными службами и другими заинтересованными сторонами;
b) подробное описание способов обмена информацией организации со СМИ после инцидента, включая:
1) стратегию обмена информацией во время инцидента,
2) предпочтительную форму взаимодействия со СМИ,
3) руководство или шаблон для составления проектов информационных листков для СМИ,
4) достаточное количество подготовленных, компетентных представителей по связям с общественностью.
Заранее подготовленная информация может быть особенно полезной на ранних стадиях инцидента. Она позволяет предоставить подробные данные об организации и ее бизнесе в то время, когда данные об инциденте не полностью установлены.
Могут быть уместны:
- определение подходящего места для контактов со СМИ или другими группами заинтересованных сторон;
- утверждение достаточного количества компетентных, обученных специалистов для ответов на вопросы прессы по телефону;
- использование всех информационных каналов, доступных организации, включая общественные СМИ;
- подготовка справочного материала об организации и ее деятельности (эта информация должна быть одобрена до публикации).
Следует также учитывать возможное давление или групповые акции со стороны общественности, которые имеют коллективное воздействие или влияние на организацию.
Следует определить способ приоритетных средств обмена информацией с другими основными заинтересованными сторонами. Может возникнуть необходимость создания отдельной процедуры для управления заинтересованными сторонами, определения критериев для установления приоритетов и создания условий для назначения ответственных за работу с каждой отдельной причастной стороной или группой причастных сторон.
8.4.4.3.3 Процедуры обеспечения безопасности и благосостояния
Организация несет прямую ответственность за благосостояние сотрудников, подрядчиков, гостей и заказчиков в тех случаях, когда инцидент представляет прямую угрозу их жизни, средствам к существованию и благосостоянию. Особое внимание необходимо уделить группам недееспособных или другим группам людей, требующим особого внимания (например, беременным и временно утратившим дееспособность в результате травмы). Заблаговременное планирование выполнения этих требований может снизить риск и вселить уверенность в тех, кто подвергся воздействию инцидента. Нельзя недооценивать долгосрочные последствия инцидента. Разработка соответствующих стратегий для поддержки благосостояния людей может способствовать физическому и эмоциональному восстановлению персонала внутри организации, при этом в стратегиях необходимо учитывать соответствующие социальные и культурные аспекты.
Для обеспечения благополучия при выполнении ответных действий необходимо учитывать:
- места эвакуации (включая деятельность "в зоне укрытия") и места сбора;
- мобилизацию групп, обеспечивающих безопасность, возможность оказания первой медицинской помощи при эвакуации;
- обеспечение идентификации местонахождения и подсчет персонала, который находился в эпицентре инцидента или в непосредственной близости от него.
Могут также быть учтены (при необходимости):
- услуги переводчиков;
- транспортное обслуживание по всем необходимым направлениям;
- установленный уровень взаимодействия с аварийными службами и контактная информация с ними, соответствующие агентства и службы экстренного реагирования;
- определение местонахождения перемещенной рабочей силы или подрядчиков;
- управление линиями "горячей связи";
- реабилитационные и консультационные услуги (медицинские и психологические).
Организация может сохранить используемый способ предоставления консультационных услуг пострадавшим в результате инцидента сотрудникам и оказания им долгосрочной помощи. Услуги могут быть оказаны внешними организациями или предоставлены в рамках расширения существующих программ в области гигиены труда и поддержки персонала.
Организация должна назначить сотрудников с соответствующими полномочиями для взаимодействия с экстренными службами (если это уместно). Экстренные службы играют первостепенную роль в защите жизни и облегчении страданий людей во время чрезвычайных ситуаций. Таким образом, контакты на ранней стадии, предварительное планирование и координация действий между организацией и экстренными службами в условиях инцидента могут повысить результативность ответных действий.
Необходимо определить конкретные потребности в ресурсах. Ресурсы должны быть доступны своевременно и должны быть способны выполнять предназначенные для них функции. Необходимо учитывать ограничения на использование ресурсов, в то же время применение ресурсов не должно накладывать больше обязательств, чем отказ от их применения. Затраты не должны превышать выгоду.
Ресурсы, которые могут потребоваться для выполнения ответных действий по сохранению благосостояния персонала, включают, но не ограничиваются следующим:
- места расположения, количество, доступность, пригодность к эксплуатации и техническое обслуживание оборудования (например, оборудования для тяжелых работ, защиты, транспортировки, мониторинга, дезактивации, реагирования, личной защиты);
- поставки (например, медикаментов, предметов личной гигиены, расходных материалов, хозяйственных товаров, льда);
- энергетические установки (например, электрические, топливные);
- резервные блоки питания (электрогенераторы);
- системы связи;
- продукты питания и воду;
- техническую информацию;
- одежду и средства защиты;
- специальный персонал (например, медицинский, религиозный, волонтеры, сотрудники МЧС, работники коммунальных служб, похоронные службы и частные подрядчики);
- специализированные волонтерские группы (например, любительское радио, духовные организации, благотворительные агентства);
- волонтеров, сообщества и экстренные службы;
- внешние международные, национальные, провинциальные, межплеменные, территориальные и местные агентства.
8.4.4.3.4 Процедуры спасения и обеспечения безопасности имущества
Организация может разработать документированные процедуры спасения и обеспечения безопасности имущества. Эти процедуры могут включать в себя:
- первоочередные меры по спасению аппаратуры, оборудования и документации;
- обеспечение безопасности помещений после их передачи владельцам аварийными службами.
Организация может назначить заранее, до возникновения инцидента, специалистов-подрядчиков по спасению имущества. Эффективное спасение аппаратуры, оборудования и документации может уменьшить последствия инцидента и обеспечить более быстрое возвращение организации к нормальной работе.
8.4.4.3.5 Процедуры возобновления деятельности
Каждая процедура должна содержать следующее:
- приоритетные виды деятельности, которые необходимо возобновить;
- период времени, в течение которого их необходимо возобновить;
- уровни восстановления для каждого приоритетного вида деятельности;
- ситуации, в которых процедура может быть использована.
В каждой процедуре, по мере возможности, должны быть указаны ресурсы, необходимые на разных этапах времени для достижения установленных целей. Они могут включать в себя:
- количественные показатели;
- навыки и квалификации;
- производственное технологическое оборудование;
- телекоммуникационное оборудование;
- ресурсы, получаемые в соответствии с заключенными контрактами, по взаимной договоренности или по предположению.
В том случае, если отсутствие услуги или ресурсов угрожает срывом сроков восстановления, должны быть предусмотрены меры по интенсификации деятельности. Эти меры могут включать в себя:
- мобилизацию внешних ресурсов и ресурсов третьих сторон;
- обмен информацией по восстановительной деятельности;
- процедуры выполнения операций вручную, систему восстановления, альтернативные процессы и т.д.
Требования к ресурсам должны быть документированы и могут включать в себя:
- копии жизненно необходимых документов (бумажных и электронных);
- руководства по эксплуатации и выполнению процедур;
- планы и процедуры по техническому восстановлению ИТ;
- перечень мест нахождения складских помещений за пределами организации;
- перечень альтернативных площадок;
- полномочия/делегирование ответственности по оплате расходов в связи с чрезвычайной ситуацией;
- перечень персонала с необходимым опытом работы;
- инфраструктуру ИТ и документацию по ее использованию;
- источник питания системы телекоммуникационной связи;
- источники питания офисного и специального оборудования;
- контракты на коммунальные услуги (вода, электричество и т.д.).
8.4.4.3.6 Восстановление систем информационно-коммуникационных технологий
Процедуры восстановления деятельности должны определить системы ИКТ, связанные с возобновлением деятельности, и дать ссылки на существующие процедуры обеспечения непрерывности ИКТ.
Процедуры обеспечения непрерывности ИКТ, если имеются, должны как минимум обеспечивать:
- инициирование необходимых ответных мер по восстановлению ИКТ и наличие для этого соответствующего персонала;
- доступ к резервным данным и обеспечение альтернативного обслуживания;
- восстановление данных, информационных услуг, обмен информацией и информационной поддержки;
- график готовности и, возможно, требования, установленные процедурами обеспечения непрерывности бизнеса, позволяющие возобновить деятельность в указанные целевые сроки.
Примечание - Руководство приведено в ИСО 27031.
8.4.5 Восстановление
Организация должна иметь документированные процедуры восстановления после инцидента и перехода от принятых временных мер к обычной деятельности. Процедуры должны содержать требования к проведению соответствующих аудиторских проверок и руководству организации.
Целью восстановительного периода является возобновление деятельности после разрушительного инцидента, отвечающей требованиям обычной деятельности организации. Возвращение к обычной деятельности может быть достигнуто путем:
- ремонта имущества, выведенного из строя в результате инцидента;
- перемещения деятельности из временных производственных помещений на восстановленное основное место работы;
- переезда на новое место работы.
Решение о способе возвращения к обычной работе необходимо принимать с учетом масштабов ущерба, нанесенного инцидентом и сроков, требуемых для восстановления необходимых производственных мощностей.
Документированные процедуры должны обеспечивать возможность детального анализа ситуации и ее последствий, а также определения задач и действий, необходимых для восстановления. В восстановительный период организации может быть необходимо:
a) установить ресурсы и инфраструктуру для восстановления;
b) работать в помещениях, предназначенных для восстановительного периода;
c) восстановить поврежденные помещения;
d) зарезервировать поставки и финансирование на экстренные случаи;
e) спасать оборудование из поврежденных помещений;
f) заявить о выплате страхового возмещения на основе существующих страховых полисов;
g) нанять дополнительную рабочую силу для проведения восстановительных мероприятий;
h) выбрать пути восстановления и возвращения к обычной деятельности;
i) перевести производственную деятельность в помещения, предназначенные для восстановительного периода;
j) восстановить потерянную документацию;
k) обмениваться информацией с важными заинтересованными сторонами с определенной частотой;
I) организовать деятельность в восстановленных помещениях;
m) провести анализ деятельности после восстановления;
n) выполнять требования аудита и корпоративного руководства.
Документированные процедуры восстановления должны содержать условия для возобновления всех видов деятельности, а не только приоритетных. Это означает, что неприоритетные виды деятельности могут быть восстановлены некоторое время спустя и для них должны быть предусмотрены необходимые ресурсы (см. 8.3.2).
8.5 Учения и проверки
8.5.1 Общие положения
Процедуры и мероприятия по обеспечению непрерывности бизнеса организации не являются удовлетворительными, если они не проверены на практике и их пригодность не поддерживается на должном уровне. Проведение учений важно для обеспечения того, чтобы задействованные стратегии, политики, планы и процедуры были адекватными и соответствовали целям в области непрерывности бизнеса. Учения развивают работу в команде, повышают компетентность, уверенность в своих действиях и навыки. В них должны принимать участие те, кто может быть задействован в выполнении этих процедур.
8.5.2 Программа учений
Вне зависимости от качества разработки и продуманности процедуры жесткие и приближенные к реальности учения позволяют выявить слабые стороны, которые необходимо исправить.
Программа учений должна соответствовать области применения процедур непрерывности бизнеса с учетом существующих законов и правил.
Программа учений должна быть разработана для обеспечения объективной уверенности в том, что процедуры и мероприятия по обеспечению непрерывности бизнеса при необходимости будут работать в соответствии с ожидаемым. Программа должна предусматривать:
a) испытания технических, логистических, административных, методических и других систем, используемых в процедурах;
b) учения для всех лиц, ответственных за выполнение процедур;
c) проверку мероприятий по обеспечению непрерывности бизнеса и инфраструктуры (включая, например, места расположения руководства во время инцидента и рабочие места);
d) валидацию восстановления технологии и телекоммуникационных сетей, включая наличие и возможность передислокации персонала.
Масштаб и сложность учений должны соответствовать целям обеспечения непрерывности бизнеса организации.
Должен быть разработан график проведения учений, частота которых зависит от потребностей организации, окружающей среды, в которой она осуществляет свою деятельность, и от требований заинтересованных сторон. Тем не менее программа учений должна быть гибкой, учитывающей изменения внутри организации и результаты предыдущих учений. Значительное изменение в организации может потребовать проведения внепланового учения для проверки пересмотренных мероприятий.
Программа учений должна учитывать функции всех сторон, участвующих в мероприятиях по восстановлению деятельности, включая ключевых провайдеров, третьи стороны, поставщиков и другие организации. Организация может включить такие стороны в свои учения и может принимать участие в учениях, организуемых ими.
Масштаб и детали учений должны совершенствоваться на протяжении всей программы на основе опыта, ресурсов и возможностей организации. На ранних стадиях реализации учений и проверок организация может ограничиваться использованием контрольных вопросников, тренировок и упражнений по повышению информированности. По мере реализации программы она может быть расширена до включения в нее настольных учений и полномасштабного моделирования ситуаций.
8.5.3 Планы учений по обеспечению непрерывности бизнеса
Учения представляют собой мероприятия, предназначенные для проверки способности организации реагировать, восстанавливаться и продолжать эффективно выполнять свою деятельность в условиях конкретной разрушительной ситуации. Организация должна использовать испытания и документированные результаты испытаний для обеспечения результативности и готовности ее планов в области непрерывности бизнеса.
Все учения и проверки должны иметь четко поставленные цели и задачи по каждому сценарию, разрабатываемому для их проведения.
Проверки могут быть:
- направлены на получение заранее определенного результата;
- позволять организации принимать инновационные решения.
Учения должны быть реалистичными, четко спланированными и согласованными с соответствующими сторонами таким образом, чтобы минимизировать риск разрушения бизнес-процессов и возникновения инцидента как непосредственного результата учений. Этого можно достичь, если проводить учения в контролируемой и изолированной окружающей среде, при условии, что это не ставит под угрозу целостность задач учений.
Организация должна разработать сценарии учений, позволяющие достичь поставленных целей, в которых могут быть использованы угрозы, определенные при оценке риска, или другие соответствующие события.
Для достижения результативности некоторых аспектов обеспечения непрерывности бизнеса необходимо, чтобы конкретные лица обладали установленными знаниями, навыками и пониманием. Это требование должно быть обеспечено до проведения учений, что позволяет участникам применить эти навыки и знания на практике в соответствующих сценариях при моделировании ситуаций.
Учения должны обеспечить одно или более из перечисленного ниже:
a) подтверждение выполнимости срока восстановления (см. 8.3.1);
b) уверенность в том, что информация, необходимая для осуществления деятельности, не потеряла своей актуальности (см. 8.3.2.3);
c) понимание зависимости от непрерывности бизнеса поставщиков и других заинтересованных сторон;
d) повышение информированности об окружении и приоритетах организации;
e) понимание содержания и применения процедур непрерывности бизнеса;
f) повышение уверенности в ответных мерах при реагировании на инциденты;
g) потенциальное расширение возможностей;
h) оценку полезности и применимости стратегий непрерывности бизнеса;
i) оценку адекватности развития возможностей и распределения ресурсов;
j) выявление ранее не документированных требований и методов, примененных при управлении в условиях инцидента или нарушения деятельности;
k) возможность выявления всех других несоответствий в описаниях процедур непрерывности бизнеса и их выполнения;
I) уверенность в том, что процедуры непрерывности бизнеса могут быть применены при необходимости;
m) повышение уверенности заинтересованных сторон в подготовленности организации;
n) возможность выполнения регулирующих и контрактных требований и требований руководства организации.
Учения могут проходить в различных формах. Решение, какой тип учений является подходящим, зависит от особенностей МНБ, целей учений, наличия средств и участников, и устойчивости организации к нарушению деятельности в связи с проведением учений.
Основные типы учений описаны в ИСО 22398.
Как часть учений необходимо включить в план проведение анализа, в котором все участники могут обсудить результаты и полученный опыт. Необходимо документировать эту информацию и при необходимости вносить соответствующие изменения в процедуры.
После проведения учений организация должна провести подробный анализ их результатов, в том числе с точки зрения достижения целей и выполнения задач. Необходимо составить отчет о проведении учений, в котором должны содержаться рекомендации и сроки их выполнения.
Опыт, полученный в результате учений и реальных инцидентов, должен быть повторно проверен во время последующих учений. Учения, которые выявили серьезные недостатки и неточности в процедурах, должны быть проведены повторно после выполнения корректирующих действий.
Общий полезный результат учений и испытаний включает в себя:
- утверждение планируемой области применения предположений и стратегий;
- подтверждение правильного функционирования оборудования и применения ресурсов;
- подтверждение применения альтернативного оборудования;
- повышение результативности и сокращение времени, необходимого для выполнения процессов (например, проведения многократных тренировок для сокращения времени реагирования);
- повышение информированности заинтересованных сторон;
- повышение компетентности и информированности участников.
9 Анализ деятельности
9.1 Мониторинг, измерение, анализ и сравнительная оценка
9.1.1 Общие положения
Процедуры функционирования и результативности СМНБ должны включать показатели функционирования; анализ защищенности приоритетных видов деятельности; подтверждение соответствия требованиям; исследование исторических фактов; использование документированной информации, способствующей проведению последующих корректирующих мероприятий. Процедуры также должны соответствовать политике и целям в области непрерывности бизнеса.
Процедуры проведения мониторинга функционирования должны включать:
a) введение системы показателей функционирования, включая качественные оценки и количественные измерения, соответствующие требованиям организации;
b) мониторинг степени достижения политики и целей в области обеспечения непрерывности бизнеса;
c) определение сроков проведения мониторинга и измерений;
d) оценку выполнения процессов, процедур и функций по защите приоритетной деятельности;
e) упреждающие меры в деятельности организации при мониторинге соответствия СМНБ существующим законам, нормативно-правовым требованиям;
f) ответные меры в деятельности организации при мониторинге отказов, инцидентов, несоответствий (включая неточности и ложные тревоги) и других свидетельств неудовлетворительного функционирования СМНБ;
g) данные регистрации и результаты мониторинга и измерений, достаточные для проведения анализа последующих корректирующих действий.
Процедуры должны обеспечивать систематические измерения, мониторинг и анализ обеспечения непрерывности бизнеса организации на постоянной основе. Необходимо разработать комплекс показателей для анализа системы менеджмента и результатов ее работы. При мониторинге могут быть использованы количественные и качественные величины, или показатели могут быть показателями управления, функционирования или экономическими. Показатели должны обеспечивать получение информации для определения как успеха, так и недостатков, требующих корректировки или улучшения.
СМНБ должна обеспечивать данные мониторинга и измерений для выявления недостатков и получения информации о деятельности СМНБ. Эти данные следует использовать для подтверждения правильности политики и достижения целей организации, а также для определения корректирующих действий и видов деятельности, которые необходимо улучшить.
Организация должна иметь возможность продемонстрировать, что она идентифицировала, проанализировала и выполнила юридические и все другие, согласованные с ней требования.
Отчеты по всем периодическим оценкам и их результаты необходимо поддерживать в рабочем состоянии.
Организация должна в запланированные сроки проводить анализ мониторинга и измерений.
9.1.2 Анализ процедур непрерывности бизнеса
Организация должна проводить анализ процедур в области непрерывности бизнеса для обеспечения их постоянной пригодности, адекватности и результативности.
Анализ должен быть направлен на возможную необходимость изменения политики, целей, стратегий и других составляющих СМНБ с учетом результатов учений, анализа последствий инцидента, изменяющихся обстоятельств и приверженности к постоянному улучшению.
Анализ может быть проведен в форме внутреннего или внешнего аудита или в форме самооценки. На периодичность и временные рамки проведения проверок могут влиять законодательство и нормативные документы в зависимости от особенностей и юридического статуса организации. На них могут также влиять требования заинтересованных сторон.
Анализ процедур непрерывности бизнеса организации должен подтвердить, что:
a) вся основная продукция и услуги, вспомогательная деятельность и ресурсы были определены и включены в стратегию непрерывности бизнеса организации;
b) политика непрерывности бизнеса организации, стратегии, структура и процедуры непрерывности бизнеса точно отражают ее приоритеты и требования (цели организации);
c) компетентность лиц и непрерывность бизнеса организации являются действенными и отвечающими целям и позволяют осуществлять руководство, контроль и координацию ответных действий организации на разрушительный инцидент;
d) решения в области непрерывности бизнеса организации являются результативными, современными, соответствующими целям и уровню риска, которому подверглась организация;
е) программы по обеспечению непрерывности бизнеса организации и программы учений результативно реализованы;
f) стратегии и процедуры в области непрерывности бизнеса включают улучшения, выявленные во время инцидентов и учений, и включены в программу реализации;
g) организация имеет постоянно действующую программу обучения в области непрерывности бизнеса и повышения осведомленности;
h) с процедурами в области непрерывности бизнеса ознакомлены соответствующие сотрудники и эти сотрудники понимают свои функции и степень ответственности;
i) управление изменениями существует и результативно работает.
Должна быть установлена четко определенная, документированная и поддерживаемая в рабочем состоянии программа. Эта программа должна:
- обеспечить проведение анализа всех изменений (внутренних или внешних), которые оказывают влияние на организацию;
- определить новые виды продукции и услуг и связанную с ними деятельность, которые необходимо включить в СМНБ;
- обеспечить, чтобы непрерывность бизнеса организации оставалась результативной, соответствующей целям и современной;
- обеспечить возможность корректировки существующего графика учений в случае значительного изменения какой-либо стратегии непрерывности бизнеса или связи.
Примечание - Эффективным способом исследования воздействия значительных изменений бизнеса является проведение организацией при первой возможности анализа воздействия на бизнес (см. 8.2.2) и на основе полученных результатов внесение изменений в другие составляющие МНБ.
Результатами процесса поддержания в рабочем состоянии являются:
- документированные свидетельства проактивного МНБ организации;
- подтверждение того, что ключевые сотрудники, задействованные в реализации стратегии непрерывности бизнеса, обучены и компетентны;
- подтверждение наличия операционного планирования и контроля функционирования МНБ;
- доказательства проведения организацией оценки соответствия ее процедур непрерывности бизнеса;
- доказательства того, что значительные изменения структуры организации, продукции, услуг и деятельности были своевременно учтены в процедурах непрерывности бизнеса организации.
После инцидента, который нарушил приоритетную деятельность организации или потребовал незамедлительных ответных действий, необходимо провести его анализ. В него могут быть включены:
- определение свойств и причин инцидента;
- оценка адекватности ответных действий менеджмента;
- оценка результативности организации по выполнению целевых сроков восстановления;
- оценка адекватности мероприятий в области непрерывности бизнеса по подготовке сотрудников к инциденту;
- идентификация улучшений в области непрерывности бизнеса;
- сравнение реальных воздействий с рассматриваемыми при анализе воздействий на бизнес (см. 8.2.2);
- получение отзывов заинтересованных сторон и участников выполнения ответных действий.
Осуществляя непрерывное улучшение, организация может приобрести знания о новых технологиях и практиках МНБ, включая новые инструментальные средства и методики. Они должны быть использованы с точки зрения возможной пользы для организации.
Документированную информацию, имеющую отношение ко всем периодически проводимым исследованиям и их результатам, необходимо сохранять для подтверждения проведения оценок.
9.2 Внутренний аудит
Организация должна проводить внутренний аудит в запланированные сроки для подтверждения соответствия СМНБ своим требованиям и требованиям настоящего стандарта.
Важно проводить внутренний аудит СМНБ с целью обеспечения достижения СМНБ своих целей, выполнения запланированных мероприятий для обеспечения правильности ее внедрения и работы, а также для определения возможных улучшений. Внутренний аудит необходимо проводить в запланированные сроки для определения и предоставления высшему руководству информации о соответствии и результативности СМНБ, а также для обеспечения основы определения целей непрерывного улучшения функционирования СМНБ.
Организация должна разработать программу (см. ИСО 19011) для управления планированием и проведением аудита и определить аудиты, необходимые для выполнения целей программы. Программа должна учитывать особенности деятельности организации, исходя из оценки риска и анализа последствий результатов предыдущих аудитов и других существенных факторов.
Программы внутреннего аудита должны охватывать всю деятельность СМНБ, тем не менее каждый аудит не должен быть направлен на проверку всей системы сразу. Аудиты могут быть разделены на несколько частей при условии, что программа обеспечивает проверку всех подразделений организации, всех ее функций, видов деятельности, элементов системы и всей области применения СМНБ за установленный организацией отчетный период.
Результаты внутренних аудитов СМНБ могут быть представлены и использованы для корректировки или предупреждения установленных несоответствий и быть входящей информацией для анализа.
Внутренние аудиты СМНБ могут проводить сотрудники организации или сторонние лица по выбору организации. В обоих случаях лица, проводящие аудит, должны быть компетентными, беспристрастными и объективными. В небольших организациях независимость аудитора может быть обеспечена тем, что он не несет ответственности за проверяемую деятельность.
9.3 Анализ со стороны руководства
Высшее руководство должно проводить анализ СМНБ организации в установленные сроки для обеспечения ее постоянного соответствия, адекватности и результативности, включая результативность ее процедур по непрерывности бизнеса и возможностей.
Анализ со стороны руководства должен включать анализ:
- состояния деятельности после предыдущего анализа;
- работы СМНБ, включая тенденции, выявленные на основе несоответствий и корректирующих действий, результатов мониторинга и измерений и выводов аудиторских проверок;
- изменений в организации и ее области применения (см. 4.1), которые могут повлиять на систему менеджмента;
- возможностей непрерывного улучшения.
Анализ со стороны руководства обеспечивает руководству возможность проверки постоянного соответствия, адекватность и результативности СМНБ. Анализ со стороны руководства должен распространяться на область применения СМНБ. Необязательно анализировать все элементы одновременно. Процесс анализа может быть выполнен в течение некоторого периода времени.
Анализ функционирования и результатов деятельности СМНБ, проводимый высшим руководством, должен быть включен в регулярный график проведения проверок. В то время как анализ со стороны руководства является рекомендуемым, необходимо разработать формальный анализ, соответствующим образом его документировать и проводить на регулярной основе. Персонал, участвующий в работе СМНБ и распределении ее ресурсов, должен быть привлечен к анализу СМНБ.
Дополнительно к регулярному плановому анализу СМНБ, независимо от запланированного анализа, необходимо проведение анализа:
a) тенденций отрасли/промышленности: важные инициативы отрасли/промышленности требуют анализа СМНБ. Общие тенденции и лучшие практики в отрасли/промышленности и технологии планирования обеспечения непрерывности бизнеса/деятельности могут быть использованы для эталонного анализа;
b) регулирующих требований: новые регулирующие требования могут потребовать анализа СМНБ;
c) опыта инцидента: необходимо проведение и анализ после выполнения ответных действий на разрушительный инцидент независимо от того, была ли использована процедура ответных действий или нет. Если она была активирована, то анализ должен исследовать процедуру ответных действий в хронологии событий (как она работала, почему была активизирована и т.д.). Если процедура ответных действий не была активирована, то анализ должен исследовать, почему и было ли это правильным решением.
Результаты анализа со стороны руководства должны улучшить результативность и работу СМНБ и могут привести:
- к изменению области применения СМНБ;
- к улучшению результативности СМНБ;
- к обновлению процедур непрерывности бизнеса;
- к изменению средств управления и способов измерения их результативности.
Организация должна сохранять документированную информацию как свидетельство результатов проведенных анализов со стороны руководства и должна:
- сообщать о результатах анализа со стороны руководства соответствующим заинтересованным сторонам;
- предпринимать соответствующие действия в отношении этих результатов.
10 Улучшение
10.1 Несоответствия и корректирующие действия
Организация должна определить несоответствия, предпринять действия для их контроля, сокращения и устранения, рассмотреть последствия и определить необходимость мер по устранению их причин.
Организация должна установить процедуры, обеспечивающие своевременное выявление и доведение до сведения заинтересованных сторон невыполнение требований, планов и слабые стороны, связанные с СМНБ, а также определение и исследование основных причин несоответствий для устранения повторного возникновения ситуации. Процедуры должны обеспечивать непрерывный процесс выявления, анализа и устранения действующих и возможных причин несоответствий.
Несоответствия должны быть выявлены и исследованы своевременно, также как и корректирующие действия, применяемые для их устранения. Корректирующее действие может быть определено на основании четко определенного состояния, которое выявляет проблему и является понятным.
При обнаружении несоответствия необходимо провести исследование причины его появления и разработать план корректирующих действий для незамедлительного решения проблемы. План действий должен быть разработан таким образом, чтобы способствовать уменьшению последствий и включать меры, необходимые для исправления ситуации, восстановления деятельности и устранения причин(ы) повторного возникновения проблемы. Вид и сроки действий должны соответствовать объему и особенностям несоответствия и его возможным последствиям.
Возможно установление проблемы без появления реального несоответствия. Проблемы могут быть выявлены в процессе проведения корректирующих действий по отношению к реальным несоответствиям, установленным во время проведения внутренних аудитов СМНБ или анализа тенденций и развития событий в промышленности. Идентификацию потенциальных несоответствий можно также сделать частью повседневных обязанностей лиц, понимающих важность выявления и информирования о потенциальных или реальных проблемах.
Установление процедур по выявлению реальных и возможных несоответствий и принятию корректирующих действий поможет обеспечить результативность СМНБ. Процедуры должны определять обязанности, полномочия и этапы планирования и проведения корректирующих действий. Высшее руководство должно обеспечить выполнение корректирующих действий и проведение систематической последующей работы по анализу их результативности.
10.2 Непрерывное улучшение
Организация должна непрерывно повышать результативность СМНБ.
Непрерывное улучшение осуществляют на всех уровнях в цикле PDCA в соответствии с политикой и целями в области непрерывности бизнеса на основе результатов аудиторских проверок, анализа отслеживаемых событий, корректирующих действий и анализа со стороны руководства.
Изменения, произошедшие в результате проведения корректирующих действий, должны быть отражены в документации СМНБ.
Непрерывное улучшение предполагает проведение процесса, который правильно идентифицирует проблемы и несоответствия и затем устраняет их. Этот процесс должен включать в себя изучение проблемы и среды, в которой она возникает, а также меры по изменению этой среды, гарантирующие, что проблема не возникнет вновь. Каждое действие должно быть основано на результатах предыдущих действий и улучшать деятельность таким образом, чтобы затрагивать больше аспектов, чем просто выявленную проблему, а также оказывать более широкие результативные воздействия на организацию.
Корректирующие действия должны быть результативными. Каждое действие должно иметь запланированную дату окончания. После этой даты организация должна гарантировать, что запланированное действие завершено и является результативным. Если анализ показывает, что цель этого действия не достигнута, как планировалось, должна быть установлена новая дата завершения этого действия.
Процесс непрерывного улучшения должен следовать за процессом корректирующих действий и включать в себя:
- идентификацию необходимых улучшений и текущего состояния (несоответствия);
- определение существующего процесса и средств контроля (основной причины несоответствий);
- определение необходимых изменений (корректирующих действий).
Корректирующие действия устраняют недостатки СМНБ и обеспечивают ее соответствие запланированной деятельности, таким образом, непрерывное улучшение переводит СМНБ на более высокий уровень результативности.
Приложение ДА
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам
Таблица ДА.1
Обозначение ссылочного международного стандарта | Степень соответствия | Обозначение и наименование соответствующего национального стандарта |
ISO 22300 | IDT | ГОСТ Р 22.0.12-2015/ИСО 22300:2012 "Безопасность в чрезвычайных ситуациях. Международные термины и определения" |
ISO 22301 | IDТ | ГОСТ Р ИСО 22301-2014 "Системы менеджмента непрерывности бизнеса. Общие требования" |
Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов: - IDT - идентичный стандарт. |
Библиография
[1] | ISO 19011:2011
| Guidelines for auditing management systems |
[2] | ISO 20000 (all parts) | Information technology - Service management |
[3] | ISO 22398 | Societal security - Guidelines for exercises |
[4] | ISO/PAS 22399:2007 | Societal security - Guideline for incident preparedness and operational continuity management |
[5] | ISO 27002:2005
| Information technology - Security techniques - Code of practice for information security management |
[6] | ISO 27031:2011 | Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity |
[7] | ISO 31000:2009
| Risk management - Principles and guidelines |
[8] | BSI 25999-1:2006 | Business continuity management - Code of practice |
[9] | BSI 25999-2:2007 | Business continuity management - Specification |
[10] | HB 221:2004 | Business continuity management, Standards Australia/Standards New Zealand, ISBN 0-7337-6250-6 |
[11] | SI 24001:2007 | Security and continuity management systems - Requirements and guidance for use, Standards Institution of Israel |
[12] | NFPA. 1600:2007 | Standard on disaster/emergency management and business continuity programs, National Fire Protection Association (USA) |
[13] | Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of Japan, 2005 | |
[14] | ANSI/ASIS SPC.1:2009 | Organizational Resilience: Security, Preparedness, and Continuity Managements Systems - Requirements with Guidance for Use |
[15] | ANSI/ASIS/BSI BCM.01:2010 | Business Continuity Management Systems: Requirements with Guidance for Use |
[16] | SS 540:2008 | Singapore Standard for Business Continuity Management |
________________
УДК 658.562.014:006.354 | ОКС 03.100.01 |
Ключевые слова: контроль, риск, непрерывность бизнеса, цели, ресурсы, компетентность, политика, планирование, менеджмент непрерывности бизнеса, система менеджмента непрерывности бизнеса, результативность, аудит, лидерство, улучшение, восстановление |
Электронный текст документа
и сверен по:
, 2020