База ГОСТовallgosts.ru » 03. УСЛУГИ. ОРГАНИЗАЦИЯ ФИРМ, УПРАВЛЕНИЕ И КАЧЕСТВО. АДМИНИСТРАЦИЯ. ТРАНСПОРТ. СОЦИОЛОГИЯ. » 03.100. Организация фирм и управление ими

ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования

Обозначение: ГОСТ Р ИСО 22301-2014
Наименование: Системы менеджмента непрерывности бизнеса. Общие требования
Статус: Действует

Дата введения: 12/01/2015
Дата отмены: -
Заменен на: -
Код ОКС: 03.100.01
Скачать PDF: ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования.pdf
Скачать Word:ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования.doc


Текст ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования



ФЕДЕРАЛЬНОЕ АГЕНТСТВО

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


ГОСТР ИСО 22301— 2014


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ БИЗНЕСА

Общие требования

ISO 22301:2012

Societal security —

Business continuity management systems — Requirements

(IDT)

Издание официальное

Москва

Стандарт ин форм 2015


Предисловие

1    ПОДГОТОВЛЕН Открытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (АО «НИЦ КД») на основе собственного аутентичного перевода международного стандарта, указанного в разделе 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2014 г. № 1351 -ст.

4    Настоящий стандарт идентичен международному стандарту ИСО 22301:2012 «Социальная безопасность Системы менеджмента непрерывности бизнеса. Требования» (ISO 22301:2012 «Societal security — Business continuity management systems - Requirements»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 — 2012 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕР8ЫЕ

Правила применения настоящего стандарта установлены е ГОСТ Р 1.0—2012 (раздел 8). Информация об изменениях х настоящему стандарту публикуется е ежегодном {по состоянию на 1 янеаря текущего года) информационном указателе «Национальные стандарты», а официальный люкст изменений и поправок — в ежемесячном информационном указателе «Национальные стан-дарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем еыпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также е информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии е сети Интернет (gost.ru)

© Стандартинформ. 2015

В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен. тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

Содержание

Приложение ДА (справочное) Сведения о соответствии ссылочных национальных стандартов

Великобритании, указанных в библиографии настоящего стандарта, ссылочным

Введение

0.1 Общие положения

Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).

СМНБ подчеркивает важность

-    понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса.

внедрения средств и показателей управления общей способностью организации противостоять разрушительным инцидентам.

-    анализа и мониторинга выполнения и результативности СМНБ.

-    непрерывного совершенствования, основанного на объективных измерениях.

Ключевыми элементами СМНБ. как и любой другой системы менеджмента, являются:

a)    политика;

b)    люди с установленными обязанностями:

c)    процессы управления, относящиеся к:

1)    политике:

2)    планированию;

3)    внедрению и функционированию;

4)    оценке выполнения:

5)    анализу со стороны руководства:

6)    совершенствованию;

d)    документация, обеспечивающая доказательства соответствия:

e)    все процессы управления непрерывностью бизнеса в организации.

Непрерывность бизнеса способствует устойчивости общества. В процесс восстановления организации после разрушительных инцидентов может быть вовлечено общество и другие организации.

0.2 Модель «Планирование — Выполнение — Проверка — Действие» (РОСА)

Настоящий стандарт использует модель PDCA для планирования, установления, внедрения, функционирования, мониторинга, поддержки и непрерывного совершенствования результативности СМНБ организации.

Стандарт обеспечивает определенную степень соответствия другим стандартам в области систем менеджмента, таким как ИСО 9001:2008 «Система менеджмента качества. Требования». ИСО 14001:2004 «Системы экологического менеджмента. Требования и руководство по применению». ИСО/МЭК 27001:2013 «Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». ИСО/МЭК 20000-1:2011 «Информационные технологии. Менеджмент услуг. Часть 1. Требования к системе менеджмента услуг», и ИСО 28000:2007 «Системы менеджмента безопасности цепи поставок. Технические условия».

На рисунке 1 показано, как СМНБ используя на входе заинтересованные стороны и требования к управлению непрерывностью бизнеса и. посредством необходимых действий и процессов, получает результаты (то есть управляемую непрерывность бизнеса), отвечающие этим требованиям.

Зыютресооде нш стороны

Уп рзвлчздл нюрериваостъ бизнеса


Рисунок 1 - Модель РОСА, примененная к процессам С МНЕ

Таблица 1- Объяснение модели PDCA

Планирование

(Установление)

Установление политики в области непрерывности бизнеса, целей, задач. элементов управления, процессов и процедур, важных для совершенствования непрерывности бизнеса. Результаты должны поддерживать общую политику и задачи организации.

Выполнение (Внедрение и работа)

Внедрение и работа политики непрерывности бизнеса, средств управления. процессов и процедур.

Проверка

(Наблюдение и контроль)

Отслеживание и анализ выполнения СМНБ с учетом политики и целей, сообщение результатов руководству, определение и санкционирование действий для исправления и совершенствования.

Действие

(Поддержка и совершенствование)

Поддержка и совершенствование СМНБ с помощью принятия корректирующих действий, основанных на результатах анализа менеджмента и пересмотре области применения СМНБ. а также политики и целей непрерывности бизнеса.

0.3 Компоненты PDCA в настоящем стандарте

Разделы 4 — 10 настоящего стандарта посвящены следующим элементам модели «Планирование — Выполнение — Проверка — Действие».

- 6 разделе 4 (Планирование) приведены требования, необходимые для установления условий СМНБ в организации, а так же к ее потребностям, требованиям и области применения.

В разделе 5 (Планирование) приведены требования к функциям высшего руководства в СМИ Б. и описано, как высшее руководство выражает свои ожидания в отношении организации посредством установления политики в области непрерывности бизнеса.

В разделе 6 (Планирование) приведены требования, относящиеся к установлению стратегических целей и руководящих принципов СМ И Б в целом. Содержание раздела 6 отличается от установления возможных вариантов обработки риска, выявляемых при оценке риска, так же как и целей восстановления, выявляемых во время анализа воздействия на бизнес (BIA).

Примечание — Требования к процессу анализа воздействия на бизнес и оценке риска приведены в разделе в.

-    Раздел 7 (Планирование) посвящен функционированию СМНБ в части установления компетентности и обмена информацией с заинтересованными сторонами и включает рекомендации по управлению, поддержке и сохранению требуемой документации.

В разделе 8 (Выполнение) установлены требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.

-    В разделе 9 (Проверка) приведены требования, необходимые для выполнения измерений в области менеджмента непрерывности бизнеса, соответствия СМНБ требованиям настоящего стандарта и ожиданиями руководства, и обратной связи с руководством относительно его ожиданий.

-    В разделе 10 (Действие) идентифицированы корректирующие действия по устранению несоответствий СМНБ.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ БИЗНЕСА Общие требования

Business continuity management systems. Requirements

Дата введения — 2015—12—01

1    Область применения

8 настоящем стандарте установлены требования к планированию, созданию, внедрению, функционированию. мониторингу, поддержке в рабочем состоянии и постоянному улучшению документированной системы менеджмента для защиты от инцидентов, снижения вероятности их реализации, подготовки ответных действий и восстановления после инцидентов при их возникновении.

Требования, установленные в настоящем стандарте, являются универсальными и применимы ко всем организациям независимо от типа, размера и других особенностей. Применимость этих требований зависит от производственной среды, структуры и других особенностей организации.

Настоящий стандарт не устанавливает единообразную структуру системы менеджмента непрерывности бизнеса (СМНБ). Стандарт помогает организовать проектирование СМНБ. соответствующей потребностям организации и требованиям заинтересованных сторон. Эти требования формируются в зависимости от юридических, нормативных, организационных и производственных требований. особенностей продукции и услуг, используемых процессов, размера и структуры организации, а также требований заинтересованных сторон.

Настоящий стандарт применим к организациям всех типов и размеров, которые имеют намерения:

a)    установить, внедрить, поддерживать и улучшать СМНБ:

b)    обеспечить соответствие деятельности организации установленной политике в области непрерывности бизнеса.

c)    демонстрировать это соответствие другим сторонам:

d)    провести сертификацию/регистрацию своей СМНБ независимым аккредитованным органом по сертификации;

e)    самостоятельно проверять и декларировать соответствие СМНБ требованиям настоящего стандарта.

Настоящий стандарт может быть использован для оценки способности организации удовлетворять ее потребностям и обязательствам в области непрерывности бизнеса.

2    Нормативные ссылки11

8 настоящем стандарте нет ссылок на нормативные документы.

3    Термины и определения

в настоящем стандарте применены следующие термины с соответствующими определениями.

'' Разделу присвоен номер для сохранения идентичности стандарта.

Издание официальное

3.1    деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.

Пример - Примером подобных процессов являются бухгалтерский учет. обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.

3.2    аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита и их объективной сравнительной оценки с целью установления степени выполнения согласованных критериев аудита.

Примечание 1- Термин «независимый» не обязательно означает «сторонний по отношению к организации». В большинстве случаев, особенно в небольших организациях, независимость может означать, что аудитор не отвечает за выполнение той деятельности, которая является предметом аудита.

Примечание 2- Дополнительные справочные материалы по фактическим данным и критериям аудита см. в ИСО 19011 [3].

3.3    непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидента и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

[ИСО 22300]

3.4    менеджмент непрерывности бизнеса (business continuity management): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.

3.5    система менеджмента непрерывности бизнеса (business continuity management system, ВС MS) СМНБ: Часть общей системы менеджмента, которая направлена на установление, внедрение, осуществление, управление, мониторинг, анализ, поддержку и постоянное улучшение непрерывности бизнеса.

Примечание - Система менеджмента включает в себя организационную структуру, политики, планирование деятельности, распределение ответственности, процедуры, процессы и ресурсы.

3.6    план непрерывности бизнеса (business continuity plan) ПНБ: Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполненип организацией критически важных для нее видов деятельности на установленном приемлемом уровне.

3.7    программа непрерывности бизнеса (business continuity programme): Программа действий, направленных на осуществление и поддержку менеджмента непрерывности бизнеса, поддерживаемая и обеспечиваемая высшим руководством и необходимыми ресурсами.

3.8    анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.

[ИСО 22300]

3.9    компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

3.10    соответствие (conformity): Выполнение требований.

[ИСО 22300]

3.11    постоянное улучшение (continual improvement): Непрерывный процесс совершенствования системы менеджмента с целью повышения ее общей эффективности в соответствии с политикой организации в области менеджмента.

[ИСО 22300]

3.12    коррекция (correction): Действие по устранению обнаруженного несоответствия.

[ИСО 22300]

3.13    корректирующее действие (corrective action): Действие по устранению причины обнаруженного несоответствия и предотвращения его повторного возникновения.

Примечание -В настоящем стандарте действия по минимизации и устранению других нежелательных последствий не подпадают под определение «корректирующее действие».

[ИСО 22300]

3.14    документ (document): Информация и ее носитель.

Примечание 1 — В качестве носителя может выступать бумага, магнитные, электронные или оптические компьютерные диски, фотографии или их сочетание.

Примечание 2 - Набор документов, например, спецификации и отчеты, часто называют «документацией».

3.15    документированная информация (documented information): Информация, которую организация должна контролировать и хранить.

Примечание 1- Документированная информация может иметь любой формат и любой носитель.

Примечание 2 - Документированная информация может относиться к:

-    системе менеджмента, включая соответствующие процессы;

-    информации, необходимой для работы организации (документация);

-    подтверждению достигнутых результатов (отчеты).

3.16    результативность (effectiveness): Степень реализации запланированной деятельности и достижения запланированных результатов.

[ИСО 22300]

3.17    событие (event): Возникновение или изменение специфического набора условий.

Примечание 1- Событие может быть единичным или кратным, и может иметь несколько причин.

Примечание 2 - Событие может быть определенным или неопределенным.

Примечание 3 - Событие может быть названо терминами «инцидент», «опасное событие» или «несчастный случай».

Примечание 4- Событие без последствий (см. Руководство ИСО 73. 3.6.1.3) может также быть названо терминами «угроза возникновения опасного события», «угроза инцидента», «угроза поражения» или «угроза возникновения аварийной ситуации».

[Руководство ИСО 73]

3.18    учение (exercise): Запланированная репетиция возможного инцидента, разработанная для оценки способности организации справляться с инцидентом, совершенствования ответных мер организации и повышения компетентности вовлеченных сторон.

Примечание 1- Учения могут быть использованы для валидации политики, планов, процедур, подготовки. оснащения и соглашений между организациями; обучения персонала функциям и обязанностям, улучшения координации действий и обмена деформацией: повышения производительности; и идентификации возможностей улучшения.

Примечание 2 — Проверка это особый тип учения, который направлен на выявление пригсдно-сти/непригодиости элемента в пределах цели или задач планируемого учения.

[ИСО 22300]

3.19    инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

[ИСО 22300)

3.20    инфраструктура (infrastructure): Система средств, оборудования и услуг, необходимая для функционирования организации.

3.21    заинтересованная сторона, причастная сторона (interested party, stakeholder): Лицо или организация, которые могут влиять на решения или деятельность, а также быть затронуты или ощущать себя затронутыми ими.

Примечание - Это может быть человек или группа, которые заинтересованы в определенном решении или виде деятельности организации.

3.22    внутренний аудит (internal audit): Аудит, выполняемый самой организацией или от ее имени для анализа менеджмента и других внутренних целей, который может служить основанием для декларации о соответствии.

Примечание - во многих случаях, особенно на малых предприятиях, независимость при аудите обеспечивают отсутствием ответственности за деятельность, подвергаемую аудиту.

3.23    активация плана (invocation): Объявление о том. что план обеспечения непрерывности бизнеса организации должен быть введен в действие для продолжения предоставления ключевых услуг или продукции.

3.24    система менеджмента (management system): Система для разработки политики, целей и достижения этих целей.

Примечание 1- Система менеджмента может иметь отношение к единственному или нескольким направлениям деятельности.

Примечание 2- Элементами системы являются структура организации, функции и обязанности персонала, планирование, процедуры и т.д.

Примечание 3 - Областью применения системы менеджмента может быть вся организация, установленные и идентифицированные функции организации, установленные и идентифицированные части организации игы одна игы несколько функций в группе организаций.

3.25    максимально приемлемый простой (maximum acceptable outage. МАО) МПП Время, по истечении которого неблагоприятные последствия, возникшие в результате необеспечения поставок лродукции/успуг или невыполнения деятельности, становятся неприемлемыми.

Примечание - См. также максимально приемлемый период нарушения.

3.26    максимально приемлемый период нарушения (maximum tolerable period of disruption, MTPD) МППН: Время, ло истечении которого неблагоприятные последствия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, становятся нелриемле-мыми.

Примечание - См. также максимально приемлемый простой.

3.27    измерение (measurement): Определение значения величины.

3.28    минимальная цель непрерывности бизнеса (minimum business continuity objective. MBCO) МЦНБ: Минимальный уровень услуг и/или поставок продукции, приемлемый для достижения деловых целей организации во время нарушения ее деятельности.

3.29    мониторинг (monitoring): Определение состояния системы, процесса или деятельности.

Примечание - Для определения состояния может возникнуть необходимость проведения проверки, наблюдения или критического отслеживания.

3.30    соглашение о взаимопомощи (mutual aid agreement): Заранее подготовленное обязательство между двумя или более юридическими лицами об оказании помощи друг другу.

[ИСО 22300]

3.31    несоответствие (nonconformity): Невыполнение требования.

[ИСО 22300]

3.32    цель (objective): Результат, который должен быть достигнут.

Примечание 1- Цель может быть стратегической, тактической или операционной.

Примечание 2 - Цели могут относиться к различным областям (таким как финансы, здоровье и безопасность. экология) и уровням (например, стратегическому, организации, проекта, продукции и процесса).

ПримеЭчание 3- Цель может быть выражена другими способами, например, в виде ожидаемого результата. замысла или критерия, или при помощи других аналогичных понятий (например, выполнения задачи).

Примечание 4 - В области систем менеджмента социальной безопасности, цепи социальной безопасности организация устанавливает в соответствии с политикой социальной безопасности для достижения установленных результатов.

3.33    организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Примечание 1 — Понятие организации охватывает компании, корпорации, фирмы, предприятия, учреждения, благотворительные организации, предприятия розничной торговли, ассоциации, а также их подразделения или комбинации из них.

Примечание 2 — Организация может иметь несколько структурных единиц, при этом отдельная структурная единица может быть рассмотрена как организация.

3.34    аутсорсинг (outsource (verb)): Передача организацией определённых бизнес-процессов или производственных функций для выполнения другой организацией.

Примечание - Сторонняя организация находится вне области применения системы менеджмента, хотя произведенная на стороне функция, продукция или процесс находятся в пределах области применения системы менеджмента организации.

3.35    выполнение (performance): Получение измеримого результата.

Примечание 1- Вьлолнение может относиться как к количественным, так и к качественным результатам.

Примечание 2 - Выполнение может относиться к управлению действиями, промессами, продукцией (включая услуги), системами или организациями.

3.36    оценка выполнения (performance evaluation): Процесс определения измеримых результатов.

3.37    персонал (personnel): Люди, работающие в организации и находящиеся под ее управлением.

Примечание - Понятие персонала включает, но не ограничено, постоянный персонал, частично занятый персонал и персонал вспомогательных организаций.

3.38    политика (policy): Намерения и направления деятельности организации, официально сформулированные высшим руководством.

3.39    процедура (ргосеЬиге):Совокупность взаимосвязанных или взаимодействующих видов деятельности. преобразующих входы в выходы.

3.40    процесс (process): Набор действий, направленных на достижение результата.

3.41    продукция и услуги (products and services): Результаты деятельности организации, которые она поставляет своим потребителям, получателям и причастным сторонам, например, промышленные товары, автострахование или медицинское обслуживание.

3.42    приоритетные виды деятельности (prioritized activities): Виды деятельности, которым должно быть отдано предпочтение после инцидента в целях смягчения его последствий.

Примечание — Для описания деятельности в пределах этой группы обычно используют следующие термины: критическая, важная, жизненно важная, срочная и ключевая.

[ИСО 22300)

3.43    запись (record): Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.

3.44    целевая точка восстановления данных (recovery point objective; RPO) ЦТВД: Состояние, до которого необходимо восстановить данные, используемые е определенной деятельности, для обеспечения возобновления этой деятельности.

Примечание — Иногда употребляют термин «максимальная потеря данных».

3.45    целевое время восстановления (recovery time objective. RTO) ЦВВ: Период времени, установленный для возобновления поставок продукции или услуг, возобновления деятельности или восполнения ресурсов после инцидента.

Примечание - Для продукции, услуг и деятельности целевое время восстановления должно быть меньше времени, в течение которого неблагоприятные воздействия, возникшие в результате м©обеспечения поставок продукции/услуг или невыполнения деятельности, станут неприемлемыми.

3.46    требование (requirement): Установленные потребность или ожидание, подразумеваемое или обязательное.

Примечание 1 — «Подразумеваемое * означает, что это требование является общепринятым или обычным для организации и заинтересованных сторон.

Примечание 2 - Установленное требование — это требование, установленное в документации.

3.47    ресурсы (resources): Все активы, персонал, навыки, технологии (включая технологические процессы и оборудование), производственные площади, запасы и информация (на электронном или бумажном носителе), которые должны быть, при необходимости, доступны для использования организацией в текущей деятельности и для достижения поставленных целей.

3.48    риск (risk): Следствие влияния неопределенности на достижение поставленных целей11.

Примечание 1- Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (положительного и/или отрицательного).

" В соответствие с ФЗ "О техническом регулировании*' от 27.12.2002 N 184-ФЗ «риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц. государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».

Примечание 2 - Цели могут быть различными по содержанде (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конфетной продукции и процессу).

Примечание 3 - Риск часто характеризуют с помощью возможных событий (Руководство ИСО 73. 3.5.1.3) и последствий (Руководство ИСО 73. 3.6.1.3). или их сочетания.

Примечание 4 - Риск часто выражают в виде сочетания последствий события (включая изменения в обстоятельствах) и вероятности их возникновения (Руководство ИСО 73. 3.6.1.1).

Примечание 5 - Неопределенность это состояние дефицита информации о событии, его последствиях или вероятности возникновения.

Примечание 6 — Организация устанавливает цели непрерывности бизнеса в соответствии с политикой непрерывности бизнеса.

[Руководство ИСО 73)

3.49    аппетит риска, предпочтительный риск (risk appetite): Общая величина риска, который организация готова принять, перенести или действию которого готова подвергнуться е любой момент времени, и тип риска, предпочтительный для организации.

3.50    оценка риска (risk assessment): Процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.

3.51    менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

3.52    тестирование (testing): Процедура оценки; способ определения наличия, качества или достоверности чего-либо.

Примечание 1- Тестирование иногда называют «испытанием».

Примечание 2 - Тестирование часто применяют в отношении планов поддержки.

[ИСО 22300]

3.53    высшее руководство (top management): Лицо или группа работников, осуществляющих направление деятельности и управление организацией на высшем уровне.

Примечание 1 — Высшее руководство может делегировать полномочия и распределять ресурсы в пределах организации.

Примечание 2 — Если область применения системы менеджмента охватывает только часть организации. то высшим руководством являются ответственные лица, осуществляющие управление и контроль в этой части организации.

3.54    верификация (verification): Подтверждение, посредством предоставления доказательств, что указанные требования были выполнены.

3.55    производственная среда, рабочая среда (work environment): Совокупность условий, в которых выполняют работу.

Примечание - Условия включают физические, социальные, психологические и экологические факторы (такие как температура, системы поощрения, эргономика и состав атмосферы).

[ИСО 22300]

4 Условия организации

4.1 Понимание организации и ее условий

Организация должна определить внешние и внутренние факторы, влияющие на выполнение организацией поставленных целей и достижение результатов ее С МНВ.

Эти факторы необходимо учитывать при установлении, внедрении и поддержании С МНВ организации.

Организация должна идентифицировать и документировать следующее:

a)    виды деятельности, функции, услуги, продукцию, сотрудничество, цепочки поставок, взаимодействия с заинтересованными сторонами, потенциально уязвимые по отношению к разрушительному инциденту:

b)    взаимосвязь политики в области непрерывности бизнеса с целями и другими политиками организации. включая стратегию управления совокупным риском;

c)    аппетит риска организации.

При установлении условий организация должна:

1)    ясно сформулировать свои цели, включая цели, связанные с непрерывностью бизнеса;

2)    определить внешние и внутренние факторы, которые создают неопределенность, вызывающую риск:

3)    установить критерии риска с учетом аппетита риска;

4)    определить цели е области СМНБ.

4.2 Понимание потребностей и ожиданий заинтересованных сторон

4.2.1    Общие положения

Устанавливая СМНБ. организация должна определить:

a)    заинтересованные стороны, которые важны для СМНБ:

b)    требования этих заинтересованных сторон (т.е. их потребности и ожидания, установленные, подразумеваемые или обязательные).

4.2.2    Законодательные и нормативные требования

Организация должна установить, осуществить и поддерживать процедуру(ы). позволяющие идентифицировать, иметь доступ, оценивать применимые законодательные и нормативные требования. относящиеся к непрерывности ее деятельности, поставок продукции и услуг, а так же затрагивающие интересы важных заинтересованных сторон.

Организация должна гарантировать, что применимые юридические, нормативные и другие требования приняты во внимание при установлении, внедрении и поддержании ее СМНБ.

Организация должна зарегистрировать эту информацию и сохранять ее актуальной. Новые требования или изменения правовых, нормативных и других требований должны быть доведены до сведения соответствующих работников и других заинтересованных сторон.

4.3    Определение области применения СМНБ

4.3.1    Общие положения

Для установления области применения СМНБ организация должна определить ее границы и применимость.

При определении области применения, организация должна рассмотреть:

-    внешние и внутренние факторы, упомянутые в 4.1:

-    требования, упомянутые в 4.2.

Должна быть доступна документированная информация по области применения СМНБ.

4.3.2    Область применения СМНБ

Организация должна:

a)    установить части организации, включенные в СМНБ:

b)    установить требования СМНБ с учетом предназначения организации, ее цепей, внутренних и внешних обязательств (включая связанные с заинтересованными сторонами), а также юридических и нормативных обязанностей:

c)    идентифицировать продукцию и услуги и все связанные с ними действия в рамках СМНБ:

6) принять во внимание потребности, интересы и ожидания заинтересованных сторон, таких как клиенты, инвесторы, акционеры, участники цепочки поставок, а также ожидания и интересы общественности и/или сообщества.

е) определить область применения СМНБ в соответствии с размером, характером и структурой организации.

При определении области применения организация должна документировать и обосновать все исключения; такие исключения не должны затрагивать способность и обязанность организации обеспечивать непрерывность бизнеса и выполнение операций в соответствии с требованиями СМНБ. определенными с помощью анализа воздействия на бизнес или оценки риска, и применимых юридических и нормативных требований.

4.4    Система менеджмента непрерывности бизнеса

Организация должна установить, внедрить, поддерживать и постоянно улучшать СМНБ. включая необходимые процессы и их взаимодействия, в соответствии с требованиями настоящего стандарта.

5 Лидерство

5.1    Лидерство и заинтересованность

Высшее руководство и руководители на разных уровнях организации должны продемонстрировать свое лидерство по отношению к СМНБ.

Пример - Лидерство и заинтересованность могут быть продемонстрированы с помощью мотивирования людей содействовать результативности СМНБ и предоставления им необходимых полномочий.

5.2    Заинтересованность руководства

Высшее руководство должно продемонстрировать свое лидерство и заинтересованность по отношению к СМНБ посредством:

-    установления политики и целей системы менеджмента непрерывности бизнеса и обеспечения их совместимости со стратегическим направлением организации;

-    обеспечения интеграции требований системы менеджмента непрерывности бизнеса в бизнеспроцессы организации,

-    обеспечения доступности ресурсов, необходимых для системы менеджмента непрерывности бизнеса;

-    объяснения важности наличия результативной системы менеджмента непрерывности бизнеса и соответствия требованиям СМНБ;

-    обеспечения достижения СМНБ ожидаемого результата(ов);

-    направления и поддержки людей, способствующих результативности СМНБ;

-    содействия непрерывному совершенствованию;

-    поддержки других важных руководителей для демонстрации их лидерства и заинтересованности в областях их ответственности.

Примечание 1- Ссылки на «бизнес» в настоящем стандарте следует широко интерпретировать, гак как они обозначают виды деятельности, которые являются ключевыми для существования организации.

Высшее руководство должно представить свидетельства своей заинтересованности в создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании СМНБ посредством:

-    установления политики в области непрерывности бизнеса; обеспечения установления целей и планов СМНБ;

-    установления функций, ответственности и полномочий для управления непрерывностью бизнеса;

-    назначение одного или большего количества людей с соответствующим авторитетом и компетентностью. ответственных за внедрение и поддержку СМНБ.

Примечание 2 - Эти люди могут иметь и другие обязанности в организации.

Высшее руководство должно обеспечить распределение обязанностей и полномочий для выполнения важных функций и осведомленность о них в организации посредством:

-    определения критериев принятия риска и допустимых уровней риска:

-    активного участия в учениях и тестировании;

-    обеспечения проведения внутренних аудитов СМНБ.

-    проведения анализа СМНБ;

-    демонстрации заинтересованности в постоянном улучшении.

5.3    Политика

Высшее руководство должно установить политику непрерывности бизнеса, которая:

a)    соответствует целям организации:

b)    обеспечивает основу для установления целей непрерывности бизнеса:

c)    включает обязательства по выполнению применимых требований:

d)    включает обязательства по постоянному улучшению СМНБ.

Политика СМНБ должна быть:

-    доступна в форме документированной информации;

-    доведена до сведения персонала организации;

-    при необходимости, доведена до сведения заинтересованных сторон:

-    актуализирована через установленные промежутки времени и при значительных изменениях в организации.

Организация должна сохранять документированную политику в области непрерывности бизнеса.

5.4 Функции, обязанности и полномочия в организации

Высшее руководство должно обеспечить распределение ответственности и полномочий для выполнения важных функции и довести их до сведения персонала организации.

Высшее руководство должно распределить ответственность и полномочия для:

a)    обеспечения соответствия СМНБ требованиям настоящего стандарта:

b)    создания отчетов о работе СМНБ для высшего руководства.

6 Планирование

6.1    Анализ риска и благоприятных возможностей

При планировании СМНБ организация должна рассмотреть вопросы, упомянутые в 4.1 и 4.2 и определить риски и благоприятные возможности для:

-    обеспечения уверенности в том. что СМНБ может достигнуть ожидаемых результатов:

-    предотвращения или уменьшения нежелательных последствий;

-    обеспечения постоянного улучшения.

Организация должна запланировать

a)    действия по анализу риска и благоприятных возможностей.

b)    действия по

1)    их объединению и внедрению в процессы СМНБ (см. 8.1),

2)    оценке их результативности (см. 9.1).

6.2    Цели в области непрерывности бизнеса и планы их достижения

Высшее руководство должно обеспечить установление целей в области непрерывности бизнеса и информирование о них на соответствующих уровнях организации.

Цели непрерывности бизнеса должны:

a)    быть совместимы с политикой непрерывности бизнеса;

b)    учитывать минимальный уровень продукции и услуг, который является приемлемым для достижения целей организации:

c)    быть измеримы:

d)    соответствовать установленным требованиям;

в) контролироваться и обновляться по необходимости.

Организация должна сохранять документированные цели в области непрерывности бизнеса.

Для достижения целей в области непрерывности бизнеса, организация должна:

-    назначить ответственных:

-    определить необходимые действия;

-    определить необходимые ресурсы:

-    назначить сроки выполнения;

-    определить метод оценки результатов.

7 Поддержка

7.1    Ресурсы

Организация должна определить и выделить ресурсы, необходимые для создания, внедрения, обслуживания и постоянного улучшения СМИ Б.

7.2    Компетентность

Организация должна:

a)    определить необходимую компетентность сотрудников, выполняющих работу, которая влияет на функционирование СМНБ:

b)    обеспечить компетентность людей посредством обучения, проведения учений и обмена опытом;

c)    оценивать результативность предпринятых мер:

d)    сохранять документы, подтверждающие компетентность.

Примечание - Применимые меры могут включать, например: предоставление обучения, наставничество или перевод сотрудников по службе: наем или заключение контракта с компетентными людьми.

7.3    Осведомленность

Персонал, осуществляющий работу под контролем организации, должен знать.

a)    политику в области непрерывности бизнеса:

b)    свой вклад в результативность СМНБ. включая выгоды от постоянного улучшения менеджмента непрерывности бизнеса;

c)    последствия, которые могут возникнуть в случае несоответствия требованиям СМНБ;

d)    свои функции в случае разрушительных инцидентов.

7.4    Обмен информацией

Организация должна определить потребность во внутреннем и внешнем обмене информацией, относящемся к СМНБ. включая:

a)    вопросы для обмена информацией;

b)    ситуации, в которых производится обмен информацией;

c)    причастные стороны, с которыми производится обмен информацией.

Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуру(ы):

-    внутреннего обмена информацией между заинтересованными сторонами и сотрудниками организации;

-    внешнего обмена информацией с клиентами, партнерскими организациями, местным сообществом. и другими заинтересованными сторонами, включая СМИ;

-    приема, документирования и реагирования на сообщения заинтересованных сторон:

-    использования национальной и региональной систем предупреждения об угрозах (или аналогичных систем), при необходимости;

-    обеспечения доступности средств обмена информацией в условиях разрушительного инцидента:

-    связи с властями и обеспечения функциональной совместимости с другими организациями, участвующими в ответных мерах на инцидент и их персоналом, при необходимости:

тестирования и обеспечения работы резервных средств связи в случае отказа основных средств связи.

Примечание - Дальнейшие требования для обмена информацией в условиях инцидента установлены в 8.4.3.

7.5    Документированная информация

7.5.1 Общие положения

Документация СМНБ организации должна включать в себя:

-    документацию в соответствии с требованиями настоящего стандарта;

-    документацию, которую организация определила, как необходимую для оценки результативности СМНБ.

Примечание - Степень документирования информации СМИ Б может отличаться в разных организациях и зависит от:

-    размера организации, видов ее деятельности, процессов, продукции и услуг;

-    сложности процессов и их взаимодействий;

-    компетентности сотрудников.

7.5.2    Создание и обновление

При создании и обновлении документации, организация должна обеспечить:

a)    идентификацию и описание документов (например, наименование, дата, автор или номер ссылки);

b)    формат (например, язык, версию программного обеспечения, графику) и носитель информации (например, бумага, электронный формат), а также способ ее проверки и подтверждения пригодности и достаточности.

7.5.3    Управление документацией

Документация, требуемая СМИ Б и настоящим стандартом, должна быть управляемой для обеспечения:

a)    доступности и пригодности для использования, при необходимости:

b)    защищенности (например, от потери конфиденциальности, неправильного использования или потери целостности).

Для управления документацией организация должна определить следующие действия с документацией:

-    распределение и доступ;

-    обеспечение сохранности;

-    управление изменениями (например, контроль версий программного обеспечения);

-    хранение и распоряжение;

-    поиск и использование;

-    обеспечение четкости текста (т.е. обеспечение возможности разборчивости текста при чтении);

-    предотвращение непреднамеренного использования устаревшей документации.

Документация внешнего происхождения, определенная организацией как необходимая для планирования и работы СМИ Б. должна быть идентифицированной и управляемой.

При установлении управления документацией организация должна обеспечить для нее подходящую защиту (например, защиту от компрометации, несанкционированного изменения или удаления).

Примечание - Доступ подразумевает принятие решений о разрешении на просмотр или разрешение на просмотр и изменение документации и т.д.

8 Деятельность

8.1    Планирование и контроль

Организация должна планировать, внедрять и контролировать процессы, необходимые е соответствии с требованиями СМНБ и выполнять действия, определенные в 6.1. в том числе:

a) установить необходимые критерии для процессов:

b) осуществлять контроль над процессами в соответствии с критериями:

c)    хранить документацию, подтверждающую, что процессы выполнены в соответствии с запланированными действиями.

Организация должна контролировать изменение запланированных действий и анализировать последствия непреднамеренных изменений, принимая меры по смягчению неблагоприятных воздействий.

Организация должна обеспечить контроль процессов аутсорсинга.

8.2    Анализ воздействия на бизнес и оценка риска

8.2.1 Общие положения

Организация должна установить, внедрить и поддерживать в рабочем состоянии формальный документированный процесс анализа воздействий на бизнес и оценки риска, в котором должны быть:

a)    установлена область применения оценки риска, определены критерии и способы оценки возможных воздействий инцидента;

b)    учтены юридические и другие требования, которые должна соблюдать организация;

c)    предусмотрен систематический анализ, установлены приоритетность обработки риска и необходимые для этого затраты;

d)    определены выходные данные анализа воздействия на бизнес и оценки риска;

e)    установлены требования к актуализации и конфиденциальности этой информации.

Примечание - Существуют различные методологии анализа воздействия на бизнес и оценки риска.

8.2.2    Анализ воздействия на бизнес

Организация должна установить, внедрить и поддерживать в рабочем состоянии формальный и документированный процесс определения приоритетов, целей и задач непрерывности бизнеса. Этот процесс должен включать оценку последствий нарушения видов деятельности, которые поддерживают поставку продукции и услуг.

Анализ воздействия на бизнес должен включать:

a)    идентификацию видов деятельности, которые поддерживают поставку продукции и услуг:

b)    оценку последствий невыполнения этих видов деятельности.

c)    установление приоритетных сроков возобновления деятельности на установленном мини-мапьном приемлемом уровне с учетом времени, в течение которого неблагоприятные воздействия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, приводят к неприемлемым результатам;

d)    идентификацию зависимостей и ресурсов для поддержания этих видов деятельности, включая поставщиков, партнеров по аутсортингу и других важных заинтересованных сторон.

8.2.3    Оценка риска

Организация должна установить, внедрить и поддерживать в рабочем состоянии формальный документированный процесс оценки риска для систематической идентификации, анализа и оценки риска разрушительных инцидентов для организации.

Примечание - Этот процесс может быть разработан в соответствии с ИСО 31000.

Организация должна:

а)    идентифицировать риск нарушений в приоритетных видах деятельности организации, а также процессах, системах, информации, человеческих активах, аутсорсинге и ресурсах, которые их поддерживают;

б)    систематически анализировать риск;

c)    оценивать необходимость обработки;

d)    определить методы обработки, соответствующие целям в области непрерывности бизнеса и аппетиту риска организации.

Примечание - Организация должна быть осведомлена, что определенные финансовые или установленные государством обязательства требуют предоставления отчета о таких видах риска с разной степенью детализации. Кроме того, некоторые потребности общества также могут служить основанием для предоставления отчета с соответствующей степенью детализации.

8.3    Стратегия непрерывности бизнеса

8.3.1 Определение и выбор

Определение и выбор стратегии должны быть основаны на результатах анализа воздействия на бизнес и оценки риска.

Организация должна определить подходящую стратегию непрерывности бизнеса для:

a)    защиты приоритетных видов деятельности;

b)    стабилизации, продолжения, возобновления и восстановления приоритетных видов деятельности и их обеспечения ресурсами:

c)    смягчения последствий, разработки ответных мер и управления ими.

Определение стратегии должно включать в себя установление приоритетных сроков возобновления действий. Организация должна провести оценку способности к обеспечению непрерывности бизнеса своих поставщиков.

8.3.2    Установление требований к ресурсам

Организация должна определить требования к ресурсам для выполнения выбранных стратегий. Рассматриваемые ресурсы должны включать в себя, но не ограничиваться, следующими:

a) персонал:

b)    информация и данные;

c)    здания, рабочая среда и связанные с ними коммуникации:

d)    оборудование и расходные материалы:

e)    системы информационно-коммуникационных технологий (ИКТ):

0 транспорт:

д)    финансы:

h) партнеры и поставщики.

8.3.3    Защита и снижение риска

Для идентифицированных рисков, требующих обработки, организация должна разработать меры, обеспечивающие:

a)    снижение вероятности разрушений (нарушений);

b)    сокращение продолжительности разрушений (нарушений);

c)    снижение последствий разрушений (нарушений) для ключевой продукции и услуг организации.

Организация должна выбрать и провести необходимую обработку риска в соответствии с аппетитом риска.

8.4 Установление и внедрение процедур непрерывности бизнеса

8.4.1    Общие положения

Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуры управления и продолжения своей деятельности в условиях действия инцидента на основе целей восстановления. идентифицированных в ходе анализа воздействия на бизнес.

Организация должна документировать процедуры (включая необходимые ответные меры) дпя обеспечения непрерывности деятельности и управления е условиях инцидента.

Процедуры должны:

a)    устанавливать соответствующий порядок внутреннего и внешнего обмена информацией:

b)    быть конкретными е отношении неотложных действий, которые должны быть выполнены е условиях разрушения (нарушения) деятельности.

c)    быть гибкими для реагирования на непредвиденные угрозы и меняющиеся внутренние и внешние условия:

d)    быть сфокусированы на последствиях событий, которые могут нарушить работу:

е)    быть разработаны на основе установленных предположений и анализа взаимозависимостей:

0 результативно минимизировать последствия путем осуществления стратегий смягчения последствий инцидента.

8.4.2    Структура ответных мер на инцидент

Организация должна установить, документировать и внедрить процедуры и структуру управления действиями при возникновении разрушительного инцидента с использованием персонала, обладающего необходимой ответственностью, полномочиями и компетентностью.

Структура ответных мер должна

a)    определять пороги воздействия, за пределами которых инициируют выполнение ответных

мер;

b)    оценивать характер и степень разрушительного инцидента и его возможных последствий;

c)    приводить в действие соответствующие ответные меры, предусмотренные СМНБ:

d)    иметь е наличии процессы и процедуры активации, функционирования, координации ответных мер и информирования о них;

e)    иметь е наличии ресурсы дпя поддержки процессов и процедур управления в условиях разрушительного инцидента для минимизации его последствий;

0 активизировать связь с заинтересованными сторонами и властями, а также средствами массовой информации.

Организация должна определить, руководствуясь безопасностью жизни как важнейшим приоритетом. после консультаций с важными заинтересованными сторонами, необходимость сообщения внешним сторонам о наличии существенного риска и его последствиях для организации и документи-роеать это сообщение. Если принято решение о направлении такого сообщения, то организация должна установить и внедрить процедуры обмена информацией с внешними сторонами, объявления тревоги и предупреждений, включая сообщения в СМИ.

8.4.3    Предупреждение и коммуникации

Организация должна установить, внедрить и поддерживать в рабочем состоянии процедуры

для:

a)    обнаружения инцидента:

b)    мониторинга инцидента.

c)    обмена информацией в пределах организации, а также получения, документирования и реагирования на сообщения заинтересованных сторон:

d)    получения, документирования и реагирования на информацию национальной или региональной системы предупреждения о рисках:

e)    обеспечения доступности средств связи в условиях разрушительного инцидента:

0 упрощенного обмена информацией с аварийно-спасательными службами:

9) записи жизненно важной информации об инциденте, предпринятых действиях и принятых решениях. Кроме того, должно быть рассмотрено следующее:

-    оповещение заинтересованных сторон о возможном воздействии на них фактического или возможного инцидента;

-    обеспечение взаимодействия нескольких организаций, реагирующих на инцидент, и их персонала.

-    работа средств связи.

Процедуры обмена информацией и предупреждения необходимо регулярно проверять.

8.4.4    Планы непрерывности бизнеса

Организация должна установить документированные процедуры реагирования на разрушительный инцидент, а также работы и восстановления деятельности в течение заранее определенного периода времени. Такие процедуры должны устанавливать требования к тем. кто будет их осуществлять.

Планы непрерывности бизнеса должны содержать:

a)    определенные функции и ответственность сотрудников и команд, обладающих полномочиями в течение и после инцидента:

b)    процесс инициирования ответных мер;

c)    информацию о незамедлительных действиях по устранению последствий разрушительного инцидента, в которой уделено особое внимание:

1)    благополучию людей.

2)    стратегическим, тактическим и оперативным вариантам реагирования на разрушения (нарушения).

3)    предотвращению дальнейшей потери или недоступности приоритетных видов деятельности;

d)    способы поддержки связи с персоналом, их родственниками, ключевыми заинтересованными сторонами и аварийными службами и условия их применения;

e)    способы продолжения или восстановления организацией приоритетных видов деятельности в рамках заранее установленного периода времени.

f)    информацию по взаимодействию со СМИ после инцидента, е том числе

1)    стратегию обмена информацией.

2)    предпочтительные виды связи со СМИ.

3)    руководство или шаблон написания заявлений для СМИ.

4)    информацию о представителях организации для связей со СМИ;

д) процесс сворачивания ответных мер после окончания инцидента.

Каждый план непрерывности бизнеса должен определять:

-    назначение и область применения;

-    цели:

-    критерии и процедуры инициирования ответных мер;

-    процедуры выполнения ответных мер;

-    функции, ответственность и полномочия;

-    требования и процедуры обмена информацией:

-    внутренние и внешние взаимозависимости и взаимодействия:

-    потребности в ресурсах;

-    процессы управления информационным потоком и документирования.

8.4.5    Восстановление

Организация должна иметь документированные процедуры по восстановлению и возвращению к нормальному режиму работы после инцидента.

8.5    Учения и проверки

Организация должна проводить учения и проверки своих процедур непрерывности бизнеса для уверенности в том, что они соответствуют целям в области непрерывности бизнеса.

Организация должна проводить учения и тестирование для проверки того, что процедуры:

a)    соответствуют области применения и целям СМНБ;

b)    основаны на проработанных спланированных сценариях с четко определенными целями и задачами;

c)    совместно обеспечивают валидацию мер непрерывности бизнеса с привлечением заинтересованных сторон:

d)    обеспечивают риск нарушения деятельности на минимальном уровне;

в) предоставляют информацию для формирования отчетов по результатам учений с приведением данных рекомендаций и мер по постоянному улучшению СМНБ.

0 содействуют постоянному улучшению:

д) проверяются через запланированные интервалы времени и в случае существенных изменений в организации или среде, в которой она осуществляет деятельность.

9 Оценка выполнения

9.1    Мониторинг, измерение, анализ и оценка

9.1.1    Общие положения

Организация должна определить.

a)    контролируемые с помощью мониторинга и измерений параметры и объекты.

b)    методы мониторинга, измерения, анализа и оценки для обеспечения достоверных результатов,

c)    сроки и периодичность проведения мониторинга и измерений.

d)    сроки анализа и оценки результатов мониторинга и измерений.

Организация должна сохранить соответствующую документацию в качестве свидетельства результатов функционирования СМНБ.

Организация должна оценить СМНБ и ее результативность.

Дополнительно, организация должна:

-    принять меры по устранению неблагоприятных тенденций или результатов до возникновения несоответствия:

-    сохранять соответствующую документацию в качестве свидетельства результатов СМНБ.

Процедуры мониторинга функционирования СМНБ должны предусматривать:

-    установление показателей, соответствующих потребностям организации;

-    мониторинг выполнения политики, целей и задач организации в области непрерывности бизнеса;

-    мониторинг выполнения процессов, процедур и функций, которые защищают приоритетные виды деятельности;

-    мониторинг соответствия требованиям настоящего стандарта и целям в области непрерывности бизнеса;

-    мониторинг хронологии свидетельств несовершенства функционирования СМНБ:

-    запись данных и результатов мониторинга и измерений для разработки последующих корректирующих действий.

Примечание * Несовершенство выполнения МНБ может включать в себя несоответствие, промахи, ножные тревоги и фактические инциденты.

9.1.2    Оценка процедур непрерывности бизнеса

а) Организация должна периодически проводить оценку процедур и благоприятных возможно

стей СМНБ для обеспечения их пригодности, адекватности и результативности;

b)    Такая оценка может быть осуществлена посредством периодического анализа, учений, проверок, анализа отчетов об инцидентах и оценки функционирования СМИ Б. Существенные изменения должны быть своевременно отражены в процедуре(ах);

c)    Организация должна периодически оценивать соответствие действующим юридическим и нормативным требованиям, передовому опыту, а также собственной политике и целям в области непрерывности бизнеса:

d)    Организация должна проводить оценку через запланированные интервалы времени и при наличии существенных изменений.

При возникновении разрушительного инцидента, после инцидента организация должна провести анализ и записать результаты выполненных действий в соответствии с СМНБ.

9.2    Внутренний аудит

Организация должна проводить внутренний аудит через запланированные интервалы времени для предоставления информации о:

a)    соответствии СМНБ

1)    собственным требованиям организации:

2)    требованиям настоящего стандарта:

b)    результативности функционирования и поддержания в рабочем состоянии СМНБ.

Организация должна:

-    запланировать, установить, внедрить и поддерживать в рабочем состоянии программу(ы) аудита, которая должна включать частоту проведения аудита, его методы, распределение ответственности. требования к планированию и отчетам. Программа(ы) аудита должна учитывать важность проверяемых процессов и результаты предыдущих аудитов:

-    для каждого аудита определить критерии и область применения:

-    назначить аудиторов и обеспечить объективность и беспристрастность процесса аудита:

-    обеспечить информирование руководства о результатах аудита:

-    сохранять записи как свидетельство выполнения программы аудита и результаты аудита.

Программа аудита, в том числе все графики работы, должна быть основана на результатах

оценки риска для видов деятельности организации, а также результатах предыдущих аудитов. Процедуры аудита должны охватывать область применения, частоту проведения, методологию и компетентность. а также распределение ответственности и требования к проведению аудита и отчетам.

Руководство, ответственное за проверяемые области деятельности, должно обеспечить выполнение всех необходимых исправлений и корректирующих действий без излишней отсрочки для устранения обнаруженных несоответствий и их причин. Последующие действия должны включать верификацию предпринятых мер и отчет о результатах верификации.

9.3    Анализ со стороны руководства

Высшее руководство должно проводить анализ СМНБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен включать рассмотрение:

a)    состояния выполнения действий по результатам предыдущих анализов;

b)    изменения внешних и внутренних факторов, влияющих на систему менеджмента непрерывности бизнеса:

c)    информации о функционировании СМНБ. в том числе о

^несоответствиях и корректирующих действиях:

2)    результатах оценки мониторинга и измерений:

3)    результатах аудита:

d)    возможностей для постоянного улучшения.

Анализ со стороны руководства должен рассматривать функционирование организации, включая:

-    действия, рекомендованные по результатам предыдущих анализов:

-    необходимость изменений СМНБ. включая политику и цели:

-    возможности для постоянного улучшения:

-    результаты аудитов и анализов СМНБ. в том числе ключевых поставщиков и партнеров в соответствующих случаях:

-    методы, продукцию или процедуры, которые могут быть использованы в организации для постоянного улучшения функционирования и результативности СМНБ:

-    состояние корректирующих действий:

-    результаты учений и тестирований:

-    риски или проблемы, которые не были должным образом рассмотрены во время предыдущих оценок риска:

-    все изменения, которые могут повлиять на СМНБ. как внутренние, так и внешние по отношению к области применения СМНБ.

-    адекватность политики:

-    рекомендации по постоянному улучшению;

-    полученный опыт и действия, связанные с разрушительным инцидентом:

-    современные надлежащую практику и рекомендации.

Результаты анализа со стороны руководства должны включать в себя решения, связанные с возможностями постоянного улучшения и необходимостью изменений в СМНБ. в том числе относящиеся к:

a)    изменениям в области применения СМНБ:

b)    постоянному улучшению результативности СМНБ:

c)    обновлению оценки риска, анализа воздействия на бизнес, планов непрерывности бизнеса и связанных с ними процедур:

d)    изменению процедур, методов и средств управления для реагирования на внутренние и внешние события, которые могут оказать влияние на СМНБ. включая изменения:

1)    требований к бизнесу и работе:

2)    требований к снижению риска и безопасности:

3)    условий работы и процессов:

4)    юридических и нормативных требований:

5)    договорных обязательств:

6)    уровней риска и/или критериев принятия риска:

7)    потребностей в ресурсах:

8)    финансовых и бюджетных требований:

e)    способам измерений результативности методов и средств управления.

Организация должна сохранять документацию в качестве свидетельств результатов анализа со стороны руководства.

Организация должна:

. сообщать результаты анализа со стороны руководства важным заинтересованным сторонам:

• выполнять необходимые действия в соответствии с этими результатами.

10 Постоянное улучшение

10.1 Несоответствие и корректирующие действия

При возникновении несоответствий, организация должна:

a)    идентифицировать несоответствия;

b)    реагировать на несоответствия и. в зависимости от ситуации:

1)    применять контроль и исправление несоответствия.

2)    устранять последствия несоответствий:

c)    оценивать необходимость действий по устранению причин несоответствия, для того, чтобы оно не повторялось и не происходило в другом месте, посредством

1)    анализа несоответствия.

2)    определения причин возникновения несоответствий.

3)    определения наличия возможности возникновения похожих несоответствий,

4)    определения необходимости принятия корректирующих действий для предотвращения возникновения несоответствий в другом месте.

5)    определения и осуществления необходимых корректирующих действий.

6)    анализа эффективности принятых корректирующих мер.

7)    внесения изменений в СМНБ при необходимости;

d)    осуществить все необходимые действия:

e)    проанализировать результативность примятых корректирующих действий;

f)    при необходимости вмести изменения в СМНБ.

Корректирующие действия должны соответствовать последствиям выявленных несоответствий. Организация должна сохранять документацию о

-    характере несоответствий и всех предпринятых действиях,

-    результатах корректирующих действий.

10.2 Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СМНБ.

Примечание - Организация может использовать процессы СМНБ. такие как лидерство, плакирование и оценку функционирования в качестве основы для постоянного улучшения.

Приложение ДА (справочное)

Сведения о соответствии ссылочных национальных стандартов Великобритании» указанных в библиографии настоящего стандарта» ссылочным национальным стандартам Российской Федерации

Т а б л и ц а ДА.1

Обозначение ссылочного международного стандарта

Степень

соотоотстеиа

Обозначение и наименование соответствующего иаииональиою стандарта

ИСО 9001:2008

ЮТ

ГОСТ ISO 9001-2011 Системы менеджмента качесгва. Требования

ИСО 14001:2004

ЮТ

ГОСТ Р ИСО 14001-2007 Системы экологического менеджмента. Требования и руководство по применению

ИСО 19011:2011

ЮТ

ГОСТ Р ИСО 19011-2012 Руководящие указания по аудиту систем менеджмента

ИСО/МЭК 20000-1:2005

ЮТ

ГОСТ Р ИСО/МЭК 20000-1-2010 Информационная технология. Me мед ж мен г услуг. Часть 1. Спецификация

ИСО 22300:2012

-

ISO/PAS 22399:2007

ЮТ

ГОСТ Р 53647.4-2011/1SO/PAS 22399:2007 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятепьности

ИСО/МЭК 24762:2008

-

ИСО/МЭК 27001:2005

ют

ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ИСО/МЭК 27031:2011

ют

ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса

ИСО 31000:2009

ют

ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство

ИСО/МЭК 31010:2009

ют

ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска

Руководство

ют

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент

ИСО 73:2009

риска. Термины и определения

BS 25999-1:2006

ют

ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

Окончание таблицы ДА. 1

Обозначение ссылочною международного стандарта

Степень

соответствия

Обозначение и наименование соответствующего национального стандарта

BS 25999*2:2007

ЮТ

ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.

Примечание — В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

ЮТ — идентичные стандарты.

Библиография

(1]    ISO 9001 Quality management systems — Requirements

(2]    ISO 14001 Environmental management systems — Retirements with guidance for use

(3]    ISO 19011 Guidelines for auditing management systems

(4]    ISO/IEC 20000-1 Information Technology — Service Management

(5]    ISO 22300 Societal security — Terminology

(6]    ISO/PAS 22399 Societal security — Guideline for incident preparedness and operational continuity management

(7]    ISO/IEC 24762 Information technology — Security techniques — Guidelines for Information and communications technology disaster recovery services

(8]    ISO/IEC 27001 Information Security Management Systems

(9]    ISO/IEC 27031 Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

(10]    ISO 31000 Risk Management — Principles and Guidelines

(11]    ISO/IEC 31010 Risk management — Risk assessment techniques

(12]    ISO Guide 73 Risk management — Vocabulary

(13]    BS 25999-1 Business continuity management — Code of practice. British Standards Institution (BSI)

(14]    BS 25999-2 Business continuity management — Specification. British Standards Institution (BSI)

(15]    SI 24001 Security and continuity management systems — Requirements and guidance for use. Standards Institution of Israel

(16]    NFPA 1600 Standard on disaster/emergency management and business continuity programs. National Fire Protection Association (USA)

(17]    Business Continuity Plan Drafting Guideline. Ministry of Economy. Trade and Industry (Japan). 2005

(18]    Business Continuity Guideline. Central Disaster Management Council. Cabinet Office. Government of Japan. 2005

(19]    ANSt/ASIS SPC.1. Organizational Resilience: Security. Preparedness, and Continuity Management Systems — Requirements with Guidance for Use

(20]    SS 540:2008 Singapore Standard for Busness Continuity Management

(21]    ANS1/ASIS/BSI BCM.01. Business Continuity Management Systems: Requirements with Guidance for Use

УДК 658.562.014:006.354    ОКС 29.020:

91.120.40    Т59

Ключевые слова: контроль, риск, непрерывность бизнеса, цели, ресурсы, компетентность, политика, планирование, менеджмент непрерывности бизнеса, система менеджмента непрерывности бизнеса, результативность, аудит, лидерство, улучшение, восстановление

Подписано в печать 24.03.2015. Формат 60x84%.

Уел. печ. л. 3.26. Тираж 35 экз. Зак. 1414

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

ФГУП «СТАНДАРТИНФОРМ*. 123995 Москва. Гранатный пер.. 4.