allgosts.ru03. УСЛУГИ. ОРГАНИЗАЦИЯ ФИРМ, УПРАВЛЕНИЕ И КАЧЕСТВО. АДМИНИСТРАЦИЯ. ТРАНСПОРТ. СОЦИОЛОГИЯ.03.100. Организация фирм и управление ими

ГОСТ Р ИСО 22301-2021 Надежность в технике. Системы менеджмента непрерывности деятельности. Требования

Обозначение:
ГОСТ Р ИСО 22301-2021
Наименование:
Надежность в технике. Системы менеджмента непрерывности деятельности. Требования
Статус:
Принят
Дата введения:
01.01.2022
Дата отмены:
-
Заменен на:
-
Код ОКС:
03.100.01, 03.100.70

Текст ГОСТ Р ИСО 22301-2021 Надежность в технике. Системы менеджмента непрерывности деятельности. Требования

>

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ


ГОСТР

ИСО 22301— 2021


Надежность в технике

СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ

Требования

(ISO 22301:2019, Security and resilience — Business continuity management systems — Requirements, IDT)

Издание официальное

Москва Российский институт стандартизации 2021

Предисловие

  • 1 ПОДГОТОВЛЕН Закрытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ЗАО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

  • 2 ВНЕСЕН Техническим комитетом по стандартизации ТК119 «Надежность в технике»

  • 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 октября 2021 г. Ne 1059-ст

  • 4 Настоящий стандарт идентичен международному стандарту ИСО 22301:2019 «Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Требования» (ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements», IDT).

Международный стандарт разработан Техническим комитетом ISO/TC 292.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5—2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО 22301—2014

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях х настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регупированию и метрологии в сети Интернет (www.gost.ru)

©ISO. 2019

©Оформление. ФГБУ «РСТ». 2021

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

  • 1 Область применения

  • 2 Нормативные ссылки

  • 3 Термины и определения

  • 4 Область применения в организации

  • 5 Лидерство

  • 6 Планирование

  • 7 Поддержка СМНД

  • 8 Функционирование

  • 9 Оценка показателей СМНД

  • 10 Улучшение

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам

Библиография

Введение

0.1 Общие положения

Настоящий стандарт устанавливает структуру системы менеджмента непрерывности деятельности (СМНД) в соответствии с количеством и типом воздействий, на которые организация может или не может реагировать при нарушении деятельности организации в работе, а также требования к внедрению и поддержанию этой системы.

Результаты применения СМНД сформированы организацией с учетом правовых, нормативных, организационных и отраслевых требований, особенностей продукции и услуг, процессов, размера и структуры организации, а также требований заинтересованных сторон.

В СМНД уделено особое внимание важности:

  • - понимания потребностей организации и необходимости установления политики и целей обеспечения непрерывности деятельности;

  • - функционирования и поддержке процессов, возможностей и структур реагирования для преодоления организацией возможных нарушений деятельности организации;

  • - мониторинга и анализа результативности и эффективности СМНД;

  • * постоянного улучшения на основе качественных и количественных показателей.

СМНД. как и любая другая система управления, включает в себя следующие компоненты:

  • а) политику;

  • Ь) компетентный персонал с установленными обязанностями;

  • с) процессы управления, которые связаны:

  • 1) с политикой;

  • 2) планированием:

  • 3) разработкой и функционированием;

  • 4) оценкой результатов работы;

  • 5) анализом со стороны руководства;

  • 6) постоянным улучшением;

  • d) документированную информацию, поддерживающую оперативное управление и позволяющую выполнять оценку результатов.

  • 0. 2 Преимущества системы управления непрерывностью деятельности

Целью СМНД является подготовка, обеспечение и поддержка средств контроля и управления и обеспечения возможностей для продолжения работы организации во время нарушении ее деятельности. При внедрении этой системы организация может достичь следующих преимуществ:

  • а) в области перспектив деятельности:

  • 1) поддержки своих стратегических целей;

  • 2) создания конкурентных преимуществ;

  • 3) защиты и укрепления репутации и доверия к организации;

  • 4) повышения устойчивости организации;

  • Ь) е области финансов:

  • 1) снижения подверженности негативным воздействиям в правовой и финансовой сферах:

  • 2) снижения прямых и косвенных затрат в случае нарушений деятельности организации;

  • с) в области перспектив для заинтересованных сторон:

  • 1) защиты жизни, имущества и окружающей среды;

  • 2) учета ожиданий заинтересованных сторон;

  • 3) обеспечения уверенности в достижении организацией успеха;

  • d) в области внутренних процессов:

  • 1) повышения возможностей организации эффективно функционировать в период нарушения ее деятельности;

  • 2) демонстрации эффективного и результативного проактивного контроля риска;

  • 3) устранения уязвимостей в работе.

0.3 Цикл Plan-Do-Check-Act (РОСА)

В настоящем стандарте использован цикл «Планирование (создание)». «Выполнение (внедрение и эксплуатация)». «Проверка (мониторинг и проверка)» и «Действие (поддержание и улучшение)» (PDCA) для реализации, поддержания и постоянного повышения эффективности СМНД организации.

Настоящий стандарт согласован со стандартами других систем менеджмента, такими как ИСО 9001. ИСО 14001. ИСО/МЭК 20000-1, ИСО/МЭК 27001 и ИСО 28000. обеспечивая последовательное интегрированное выполнение и работу СМНД со связанными системами менеджмента.

В соответствии с циклом PDCA в разделах 4—10 приведены следующие требования.

  • - В разделе 4 приведены требования, необходимые для установления условий применения СМНД в организации, а также соответствующие потребности, требования и область применения.

  • - В разделе 5 приведены требования к высшему руководству СМНД и способы отражения ожиданий руководства в политике организации.

  • • В разделе 6 приведены требования к установлению стратегических целей и руководящих принципов СМНД в целом.

  • - Раздел 7 поддерживает функции СМНД. связанные с установлением компетенции и обменом информацией на регулярной основе (по мере необходимости) с заинтересованными сторонами при документировании, контроле, поддержке и хранении необходимой документированной информации.

  • - В разделе 8 определены потребности в обеспечении непрерывности деятельности, способы их удовлетворения, разработки процедур управления организацией при нарушении работы.

  • - В разделе 9 приведены общие требования к измерению показателей непрерывности деятельности. соответствия СМНД настоящему стандарту и проведению анализа со стороны руководства.

  • - В разделе 10 определены действия по реагированию на несоответствия и постоянному улучшению СМНД посредством корректирующих и предупреждающих действий.

0.5 Содержание стандарта

Настоящий стандарт соответствует требованиям ИСО к стандартам на системы менеджмента. Эти требования включают в себя структуру высокого уровня, идентичный основной текст и общие термины с основными определениями для помощи пользователям, применяющим стандарты ИСО на системы менеджмента.

Настоящий стандарт не включает требования, специфичные для других систем менеджмента, хотя элементы настоящего стандарта могут быть согласованы или интегрированы с элементами других систем менеджмента.

Настоящий стандарт устанавливает требования, которые могут быть использованы организацией при разработке СМНД и оценке ее соответствия требованиям настоящего стандарта. Организация, которая желает продемонстрировать соответствие своей СМНД требованиям настоящего стандарта, может сделать это:

  • - путем самоопределения и декларации о соответствии;

  • - получения подтверждения соответствия от сторон, заинтересованных в организации, таких как потребители;

  • - подтверждения своей декларации внешней стороной;

  • • сертификации/регистрации своей СМНД сторонней организацией.

8 разделах 1—3 настоящего стандарта приведены ограничения, нормативные ссылки, а также термины и определения, применяемые при использовании настоящего стандарта. В разделах 4—10 приведены требования, которые должны быть использованы при оценке соответствия СМНД требованиям настоящего стандарта.

Информация, приведенная в примечаниях, предназначена для понимания или разъяснения соответствующего требования. Примечания в разделе 3 предоставляют информацию, которая дополняет терминологические данные и может содержать положения, касающиеся использования термина.




л/


ГОСТ Р ИСО 22301—2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Надежность в технике

СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ

Требования

Dependabiity in technics. Business continuity management systems. Requirements

Дата введения — 2022—01—01

  • 1 Область применения

В настоящем стандарте установлены требования к разработке, применению и улучшению системы менеджмента для защиты организации от нарушения ее деятельности, уменьшения вероятности его возникновения, подготовке к реагированию и восстановлению после нарушения деятельности организации при его возникновении.

Требования, установленные в настоящем стандарте, являются общими и предназначены для применения ко всем организациям или их частям, независимо от типа, размера и особенностей организации. Степень применения этих требований зависит от условий работы организации и ее сложности.

Настоящий стандарт применим ко всем типам и размерам организаций, которые:

  • а) разрабатывают, применяют и улучшают СМНД;

  • Ь) стремятся обеспечить соответствие СМНД заявленной политике в области непрерывности деятельности;

  • с) нуждаются в возможности продолжения поставки продукции и услуг на приемлемом предопределенном уровне в период нарушения деятельности организации;

  • d) стремятся повысить устойчивость организации за счет эффективного применения СМНД.

Настоящий стандарт может быть использован для оценки способности организации удовлетворять свои потребности и обязательства в области обеспечения непрерывности деятельности.

  • 2 Нормативные ссылки

  • 8 настоящем стандарте использованы нормативные ссылки на следующий стандарт:

ISO 22300. Security and resilience — Vocabulary (Безопасность и устойчивость к негативным внешним воздействиям. Словарь)

3 Термины и определения

8 настоящем стандарте применены термины по ИСО 22300. а также следующие термины с соответствующими определениями.

Терминологические базы данных ИСО и МЭК доступны по следующим интернет-адресам:

  • - электронная платформа ИСО с функцией онлайн-просмотра терминов по адресу: http:// www.iso.org/obp;

  • - электронная база МЭК Electropedia по адресу: http://www.electropedia.org/.

Примечание — Термины и определения, приведенные ниже, заменяют приведенными в ИСО 22300:2016.

Издание официальное

  • 3.1 деятельность (activity): Выполнение одной или нескольких задач с заданным результатом.

[ИСО 22300:2018. 3.1. модифицировано — определение заменено, удален пример)

  • 3.2 аудит (audit): Систематический, независимый и документированный процесс (3.26) получения аудиторских доказательств и их объективной оценки для определения степени выполнения критериев аудита.

Примечание 1 — Аудит может быть внутренним аудитом (первая сторона), внешним аудитом (вторая сторона или третья сторона), может быть комбинированным аудитом (объединяющим проверку двух или более дисциплин).

Примечание Примечание


  • 2 — Внутренний аудит проводит сама организация (3.21) или внешняя сторона по ее заказу.

  • 3 — «Доказательства аудита» и «критерии аудита» определены в ISO 19011.

Примечание 4 — Фундаментальные элементы аудита включают определение соответствия (3.7) объекта в соответствии с процедурой, выполняемой персоналом, не отвечающим за объект аудита.

Примечание 5—Внутренний аудит может быть проведен для анализа со стороны руководства и других внутренних целей и может служить основой для декларации о соответствии организации. Независимость может быть продемонстрирована свободой от ответственности за проверяемую деятельность (3.1). Внешние аудиторские проверки включают в себя аудит, выполняемый второй и третьей сторонами. Аудит, выполняемый второй стороной, проводят партнеры, заинтересованные в организации, такие как потребители или другие лица от их имени. Аудит, вькюлняемый третьей стороной, проводят внешние независимые аудиторские организации, такие какорганизации. осуществляющие сертификацию/регмстрацию соответствия, или государственные органы.

Примечание 6 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Исходное определение было изменено путем добавления примечаний 4 и 5.

  • 3.3 непрерывность деятельности (business continuity): Способность организации (3.21) продолжать производство продукции или оказание услуг (3.27) в приемлемых временных рамках, на приемлемом. заранее заданном уровне после нарушения деятельности организации (3.10).

{ИСО 22300:2018. 3.24, модифицировано — определение заменено)

  • 3.4 план обеспечения непрерывности деятельности (business continuity plan): Документированная информация (3.11). описывающая деятельность организации (3.21) при реагировании на нарушение деятельности организации (3.10) для возобновления, восстановления и продолжения поставки продукции и оказания услуг (3.27) в соответствии с целями (3.20) обеспечения непрерывности деятельности (3.3).

[ИСО 22300:2018. 3.27, модифицировано — определение заменено, примечание удалено].

  • 3.5 анализ воздействий на деятельность (business impact analysis): Процесс (3.26) анализа воздействий (3.13) на деятельность организации, которые со временем могут привести к нарушению деятельности организации (3.10) в ее работе (3.21).

Примечание — Результатом анализа воздействия на деятельность является установление и обоснование требований (3.28) к обеспечению непрерывности деятельности (3.3).

[ИСО 22300:2018. 3.29, модифицировано — определение заменено, добавлено примечание]

  • 3.6 компетентность (competence): Подтвержденная способность применять знания и навыки для достижения желаемых результатов.

Примечание — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.7 соответствие (conformity): Выполнение требований (3.28).

Примечание — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.8 постоянное улучшение (continual improvement): Повторяющаяся деятельность (3.1). направленная на совершенствование показателей деятельности.

Примечание — Данньм термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.9 корректирующее действие (corrective action): Меры по устранению выявленного несоответствия (3.19). определению его причин(ы) и недопущению его повторения.

Примечание — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.10 нарушение деятельности организации (disruption): Инцидент (3.14), ожидаемый или не-предвиденный, который вызывает незапланированное отрицательное отклонение от ожидаемой по* ставки продукции и/или услуг (3.27) в соответствии с целями (3.20) организации (3.21).

[ИСО 22300:2018. 3.70. модифицировано — определение заменено].

  • 3.11 документированная информация (documented information): Управляемая или поддерживаемая организацией (3.21) информация и ее носители.

Примечание 1 — Документированная информация может иметь любой формат и любой носитель.

Примечание 2 — Документированная информация может относиться:

  • • к системе менеджмента (3.16). включая связанные процессы (3.26);

  • • информация, созданной для работы организации (документация);

  • • подтверждению достигнутых результатов (записи).

Примечание 3 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.12 результативность (effectiveness); Степень выполнения запланированной деятельности (3.1) и достижения запланированных результатов.

Примечание — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.13 воздействие (impact): Результат нарушения деятельности организации (3.10). воздействующий на цели (3.20).

[ИСО 22300:2018. 3.107. модифицировано — определение заменено]

  • 3.14 инцидент (incident): Событие, которое может представлять собой или приводить к нарушению деятельности организации (3.10), материальным или иным потерям, чрезвычайной ситуации или кризису.

[ИСО 22300:2018. 3.111, модифицировано — определение заменено]

  • 3.15 заинтересованная сторона (предпочтительный термин), причастная сторона (допусти* мый термин) (interested party (preferred term), stakeholder (admitted term): Лицо или организация (3.21), которые могут повлиять, быть затронуты или считают себя затронутыми решением или деятельностью (3.1).

Пример — Клиенты, владельцы, персонал, поставщики, банкиры, регулирующие органы, объединения, партнеры или сообщества, которые могут включать конкурентов или противостоящие группы давления.

Примечание 1 — Лицо, принимающее решение, может быть заинтересованной стороной.

Примечание 2 — Затрагиваемые сообщества и местное население считаются заинтересованными сторонами.

Примечание 3 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Исходное определение изменено путем добавления примера и примечаний 1 и 2.

  • 3.16 система менеджмента (management system): Совокупность взаимосвязанных и взаимодействующих элементов организации (3.21). определяющих ее политику (3.24), цели (3.20), а также про* цессы (3.26) для достижения этих целей.

Примечание 1 — Система менеджмента может охватывать одно игы несколько направлений деятельности.

Примечание 2 — Элементами системы являются структура организации, обязанности и ответственность персонала, планирование и работа системы.

Примечание 3 — Система менеджмента может охватывать организацию в цепом, отдельные конкретные функции организации, отдельные конкретные подразделения организации, одну или несколько функций в группе организаций.

Примечание 4 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.17 измерение (measurement): Процесс (3.26) определения значения величины.

Примечание — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.18 мониторинг (monitoring): Определение состояния системы, процесса (3.26) или деятельности (3.1).

Примечание 1 — Для определения состояния может требоваться проверка, контроль или критическое наблюдение.

Примечание 2 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО системы менеджмента.

  • 3.19 несоответствие: Невыполнение требований (3.28).

Примечание — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.20 цель (objective): Результат, который должен быть достигнут.

Примечание 1 — Цель может быть стратегической, тактической или оперативной.

Примечание 2 — Цели могут относиться к разным областям (например, к финансам, охране труда, охране окружающей среды и т. д.) и уровням (например, стратегическому, общеорганизационному, уровню конкретного проекта, продукции и процессу, см. 3.12).

Примечание 3 — Цель может быть выражена иным способом: например, в виде планируемого конечного результата, намерения, оперативного критерия, цели в области непрерывности бизнеса или с помощью других близких по значению слов.

Примечание 4 — В системе менеджмента непрерывности деятельности (3.16) цели в области непрерывности деятельности организация устанавливает в соответствии с политикой (3.24) в области непрерывности деятельности для достижения определенных результатов.

Примечание 5 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.21 организация (organization): Лицо пли группа лиц. имеющие функции, ответственность, полномочия и взаимосвязи, необходимые для достижения целей (3.20).

Примечание 1 — Понятие организации включает, среди прочего, индивидуальных предпринимателей, компании, корпорации, фирмы, предприятия, органы власти, партнерства, благотворительные организации или учреждения, а также их подразделения и объединения, независимо от того, зарегистрированы они в качестве юридических лиц или нет. являются они государственными или частными.

Примечание 2 — Для организаций с несколькими функциональными единицами одна функциональная единица может быть определена как организация.

Примечание 3 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Первоначальное определение изменено путем добавления примечания 2.

  • 3.22 аутсорсинг (outsource): Форма организации работ, при которой внешняя организация (3.21) выполняет часть функции или процесса (3.26) организации.

Примечание 1 —Внешняя организация находится за рамками системы управления (3.16), хотя функция или процесс, переданные на аутсорсинг, входят в область применения системы.

Примечание 2 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.23 показатель (деятельности) (performance): Измеримый результат.

Примечание 1 — Показатели деятельности могут быть количественными и качественными.

Примечание 2 — Показатели деятельности могут относиться к управлению деятельностью (3.1). процессам (3.26), продукции (включая услуги), системам или организациям (3.21).

Примечание 3 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.24 политика (policy): Намерения и направления деятельности организации (3.21). официально сформулированные высшим руководством (3.31).

Примечание — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.25 приоритетная деятельность (prioritized activity): Деятельность (3.1), которую необходимо осуществить в первую очередь во избежание недопустимого воздействия (3.13) на деятельность во время нарушения деятельности организации (3.10).

(ИСО 22300:2018. 3.176, модифицировано — определение заменено, примечание удалено]

  • 3.26 процесс (process): Набор взаимосвязанных или взаимодействующих действий (3.1), кото-рые преобразуют входы в выходы.

Примечание 1 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.27 продукция или услуга (product and service): Выход или результат, который организация (3.21) поставляет заинтересованным сторонам (3.15).

Пример — Промышленные изделия. страхование автомобилей, сообщество престарелых.

(ИСО 22300:2018, 3.181, модифицировано — определение заменено].

  • 3.28 требование (requirement): Потребность или ожидание, которое установлено, обычно предполагается или является обязательным.

Примечание 1 — Слова «обычно предполагается» означают, с общепринятой практикой организации (3.21), ее потребителей и других заинтересованных сторон (3.15). предполагаемые потребности или ожидания.

Примечание 2 — Установленным является такое требование, которое определено, например, в документированной информации (3.11).

Примечание 3 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 3.29 ресурсы (resource): Все активы (включая машины и оборудование), персонал, навыки, технологии. помещения и материалы, а также информацию (электронную или иную), которую организация (3.21) должна иметь в своем распоряжении, когда это необходимо для работы и достижения целей (3.20).

(ИСО 22300:2018. 3.193, модифицировано — определение заменено]

  • 3.30 риск (risk): Следствие влияния неопределенности на достижение целей (3.20).

Примечание 1 — Следствие влияния характеризуется отклонением от ожидаемого резугътата в лучшую и/илн худшую сторону.

Примечание 2 — Цели могут иметь различные аспекты (например, финансовые, в области охраны труда, охраны окружающей среды и г.д.) и относиться к разным уровням (например, стратегические цели. цели, относящиеся к организации в целом, к конкретному проекту, продукту или процессу).

Примечание 3 — Риск часто характеризуется связью с возможными событиями и последствиями (как определено в Руководстве ИСО 73) или их комбинацией.

Примечание 4 — Риск часто выражают в виде комбинации последствий события (включая изменения в обстоятельствах) и связанной с ним вероятности или возможности эго возникновения.

Примечание 5 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Определение было изменено, чтобы добавить «по целям», чтобы соответствовать ИСО 31000.

  • 3.31 высшее руководство (top management): Лицо или группа лиц, которые руководят и управляют организацией (3.21) на самом высоком уровне.

Примечание 1 — Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы (3.29) внутри организации.

Примечание 2 — Если область применения системы менеджмента (3.16) охватывает тогъко часть организации. то высшее руководство относится к лицам, которые руководят и управляют этой частью организации.

Примечание 3 — Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

  • 4 Область применения в организации

  • 4.1 Понимание особенностей организации и условий ее работы

Организация должна определить внешние и внутренние проблемы, которые могут повлиять на ее возможности достижения поставленных целей и намеченных результатов СМНД.

Примечание — Эти проблемы связаны с общими целями организации, ее продукцией и услугами, а также величиной и типом риска, который может или не может быть принят организацией.

  • 4.2 Понимание потребностей и ожиданий заинтересованных сторон

    • 4.2.1 Общие положения

При создании СМНД организации необходимо определить;

  • а) заинтересованные стороны, имеющие отношение к СМНД;

  • Ь) соответствующие требования идентифицированных заинтересованных сторон.

  • 4.2.2 Законодательные и обязательные требования

Организация должна:

  • а) разработать и поддерживать процесс идентификации, получения доступа и оценки применимых законодательных и обязательных требований, связанных с непрерывностью производства и поставки продукции и оказания услуг, видов деятельности и ресурсов организации;

Ь} обеспечить учет при внедрении и функционировании в организации СМНД применимых законодательных. обязательных и других требований;

с) документировать данную информацию и поддерживать ее в актуализированном состоянии.

  • 4.3 Определение области применения системы менеджмента непрерывности деятельности

    • 4.3.1 Общие положения

Организация должна определить границы и применимость СМНД для установления ее области применения.

При установлении области определения СМНД организация должна учитывать:

  • а) внешние и внутренние проблемы, указанные в 4.1;

  • Ь) требования, указанные в 4.2;

  • с) назначение, цели, а также внутренние и внешние обязательства организации.

Область применения СМНД организации должна быть документирована и доступна.

  • 4.3.2 Область применения системы менеджмента непрерывности деятельности

Организация должна:

  • а) определить части организации, включаемые в СМНД. с учетом их местоположения, объема, особенностей и сложности;

  • Ь) определить продукцию и услуги, включаемые в СМНД.

При определении области применения СМНД организация должна обосновать и документировать исключения. При этом исключения не должны влиять на возможности и ответственность организации обеспечивать непрерывность деятельности, это определяют путем анализа их воздействия на деятельность или оценки риска и применимых правовых или нормативных требований.

  • 4.4 Система менеджмента непрерывности деятельности

Организация должна создать, внедрить, поддерживать и постоянно улучшать СМНД. включая необходимые процессы и их взаимодействие, в соответствии с требованиями настоящего стандарта.

  • 5 Лидерство

  • 5.1 Лидерство и приверженность

Высшее руководство организации должно продемонстрировать лидерство и приверженность СМНД:

  • а) путем обеспечения установления политики и цепей в области обеспечения непрерывности деятельности, совместимых со стратегическим направлением деятельности организации;

  • Ь) обеспечения интеграции требований СМНД в бизнес-лроцессы организации;

  • с) обеспечения доступности ресурсов, необходимых для СМНД;

  • d) обмена информацией о важности результативного обеспечения непрерывности деятельности и соответствия требованиям СМНД;

  • е) обеспечения достижения СМНД запланированных результатов;

0 руководства и поддержки лиц. способствующих повышению эффективности СМНД;

д) содействия постоянному улучшению;

h) поддержки других соответствующих функций менеджмента с целью демонстрации лидерства и приверженности высшего руководства СМНД. в рамках установленных ответственности и полномочий.

Примечание — Термин «деятельность» в настоящем стандарте может быть истолкован в широком смысле как означающий те виды деятельности, которые являются ключевыми для цепей существования организации.

  • 5.2 Политика

    • 5.2.1 Установление политики в области обеспечения непрерывности деятельности

Высшее руководство должно установить политику в области обеспечения непрерывности деятельности. которая:

  • а) соответствует целям организации;

  • Ь) обеспечивает основу для установления целей в области обеспечения непрерывности деятельности;

  • с) включает в себя обязательство организации о выполнении применимых требований;

  • d) включает в себя обязательство по постоянному улучшению СМНД.

  • 5.2.2 Обмен информацией о политике в области обеспечения непрерывности деятельности

Политика в области обеспечения непрерывности деятельности должна:

  • а) быть доступна в качестве документированной информации:

  • Ь) включена в процесс обмен информацией внутри организации:

  • с) доступна для соответствующих заинтересованных сторон.

  • 5.3 Функции, обязанности и полномочия

Высшее руководство должно обеспечивать распределение функций, ответственности и полномочий в СМНД. и обмен данной информацией внутри организации.

Высшее руководство должно возложить ответственность и полномочия:

  • а) за обеспечение соответствия СМНД требованиям настоящего стандарта;

  • Ь) отчетность о работе СМНД перед высшим руководством.

  • 6 Планирование

    • 6.1 Действия по снижению риска и использованию благоприятных возможностей

      • 6.1.1 Определение риска и благоприятных возможностей

При планировании СМНД организация должна учитывать вопросы, указанные в 4.1. требования, указанные в 4.2, и определить риски и возможности:

  • а) для обеспечения уверенности в достижении СМНД поставленных целей;

  • Ь) предупреждения или снижения нежелательных воздействий;

  • с) обеспечения постоянного улучшения.

  • 6.1.2 Снижение риска и использование возможностей

Организация должна планировать:

  • а) действия по снижению или устранению выявленного риска и использованию выявленных возможностей;

  • Ь) способы:

  • 1) интегрирования и внедрения действий в процессы СМНД организации (см. 8.1);

  • 2) оценку результативности этих действий (см. 9.1).

Примечание — Риск и возможности связаны с результативностью системы менеджмента. Риск, связанный с нарушением деятельности, рассмотрен в 6.2.

  • 6.2 Цели в области обеспечения непрерывности деятельности и планирование их достижения

    • 6.2.1 Установление целей в области обеспечения непрерывности деятельности

Организация должна установить цели в области обеспечения непрерывности деятельности для соответствующих уровней и подразделений.

Цели в области обеспечения непрерывности деятельности должны:

  • а) соответствовать политике в области обеспечения непрерывности деятельности:

  • Ь) быть измеримыми (если применимо);

  • с) учитывать применимые требования (см. 4.1 и 4.2);

  • d) быть объектом постоянного мониторинга;

  • е) быть объектом обмена информацией с заинтересованными сторонами;

  • f) актуализироваться по мере необходимости.

Организация должна хранить документированную информацию о целях в области обеспечения непрерывности деятельности.

  • 6.2.2 Определение целей в области обеспечения непрерывности деятельности

При планировании способов достижения целей в области обеспечения непрерывности деятельности организация должна определить:

  • а) что необходимо сделать;

  • Ь) какие необходимы ресурсы;

  • с) ответственных;

  • d) сроки достижения целей;

  • е) способы оценки результатов.

  • 6.3 Планирование изменений в системе менеджмента непрерывностью деятельности

Если организация определяет необходимость изменений в СМНД, включая определенные в разделе 10. изменения должны быть выполнены в плановом порядке.

Организация должна учитывать:

  • а) цель изменений и их возможные последствия;

  • Ь) обеспечение целостности СМНД;

  • с) наличие ресурсов:

  • d) распределение или перераспределение обязанностей и полномочий.

  • 7 Поддержка СМНД

    • 7.1 Ресурсы

Организация должна определить и выделить ресурсы, необходимые для создания, внедрения, функционирования и постоянного улучшения СМНД.

  • 7.2 Компетентность

Организация должна:

  • а) определить необходимую компетентность лица (лиц), выполняющего работу по управлению, которая влияет на показатели в области непрерывности деятельности:

  • Ь) обеспечить компетентность этих лиц на основе соответствующего образования, обучения или опыта;

  • с) (если применимо), предпринять действия для приобретения необходимой компетенции и оценить результативность предпринятых действий;

  • d) хранить соответствующую документированную информацию в качестве доказательства компетентности.

Примечание — Применимые действия могут включать, например, предоставление обучения, наставничество или переназначение работающих сотрудников, наем или заключение контракта с компетентными лицами.

  • 7.3 Осведомленность

Лица, выполняющие работу по управлению в организации, должны знать: а) политику в области обеспечения непрерывности деятельности;

  • Ь) свой вклад в результативность СМНД. в том числе преимущества улучшения показателей непрерывности деятельности;

  • с) последствия несоответствия требованиям СМНД;

  • d) свои функции, обязанности и полномочия до. во время и после нарушения деятельности орта* низации.

  • 7.4 Обмен информацией

Организация должна определить внутренние и внешние способы обмена информацией, которые относятся к СМНД. включая:

  • а) предмет обмена информацией;

  • Ь) сроки и периодичность обмена информацией;

  • с) участников обмена информацией;

  • d) способы обмена информацией;

  • е) организаторов обмена информацией.

  • 7.5 Документированная информация

    • 7.5.1 Общие положения

СМНД организации должна включать следующее:

  • а ) документированную информацию, соответствующую требованиям настоящего стандарта:

  • Ь ) определенную организацией документированную информацию, необходимую для обеспечения результативности СМНД.

Примечание — Объем документированной информации СМНД может отличаться в разных организациях вследствие:

  • • размера организации и особенностей ее видов деятельности, процессов, продукции, услуг и доступных ресурсов;

  • • сложности процессов организации, ее СМНД и их взаимодействия:

  • • компетентности персонала.

  • 7.5.2 Создание и актуализация

При создании и обновлении документированной информации организация должна обеспечить соответствующие:

  • а) идентификацию и описание (например, наименование, дата, разработчик или номер для ссылки):

  • Ь) формат (например, язык, версия программного обеспечения, графика) и носитель (например, бумажный, электронный);

  • с) рассмотрение и утверждение пригодности и адекватности.

  • 7.5.3 Управление документированной информацией

    • 7.5.3.1 Организация должна управлять документированной информацией, соответствующей требованиям СМНД и настоящему стандарту для обеспечения:

  • а) доступности и пригодности ее использования, где и когда это необходимо;

  • Ь) надлежащей защиты (например, от потери конфиденциальности, ненадлежащего использования или утраты целостности).

  • 7.5.3.2 Для управления документированной информацией организация должка рассмотреть следующие виды действий с документацией:

  • а) распространение, доступ, поиск и использование:

  • Ь) хранение и сохранение, в том числе сохранение разборчивости;

  • с) управление изменениями (например, управление версиями);

  • d) хранение и распоряжение (в том числе утилизация).

Документированная информация внешнего происхождения, необходимая организации для планирования и эксплуатации СМНД. должна быть идентифицирована, и. при необходимости должна контролироваться.

Примечание — Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации.

  • 8 Функционирование

  • 8.1 Оперативное планирование и управление

Организация должна планировать, выполнять и контролировать процессы, необходимые для выполнения требований и осуществления действий, определенных в 6.1:

  • а) путем установления критериев состояния процессов;

  • Ь) осуществления контроля и управления процессами в соответствии с критериями;

  • с) хранения документированной информации в объеме, необходимом для уверенности в том. что процессы выполнены в соответствии с планом.

Организация должна управлять запланированными изменениями и анализировать последствия непреднамеренных изменений, принимая меры для смягчения всех неблагоприятных последствий, при необходимости.

Организация должна обеспечить управление процессами аутсортинга и цепочкой поставок.

  • 8.2 Анализ воздействий на деятельность и оценка риска

    • 8.2.1 Общие положения

Организация должна:

  • а) выполнять и поддерживать систематические процессы анализа воздействий на деятельность и оценки риска возникновения нарушения деятельности организации;

  • Ь) проводить анализ воздействий на деятельность и оценку риска через запланированные про* межутки времени и при наличии существенных изменений в организации или в области применения.

Примечание — Организация должна определить порядок проведения анализа воздействий на деятельность и оценки риска.

  • 8.2.2 Анализ воздействий на деятельность

Организация должна использовать процесс анализа воздействий на деятельность для определения приоритетов и требований к обеспечению непрерывности деятельности. Процесс должен:

  • а) определить виды воздействий и критерии, соответствующие области применения и специфике организации;

  • Ь) определить виды деятельности, которые поддерживают производство продукции и оказание услуг;

  • с) использовать типы и критерии воздействий для оценки воздействий, происходящих в результате нарушения деятельности организации в этих видах деятельности;

  • d) определить продолжительность времени, в течение которого невозобновление деятельности становится неприемлемым для организации;

Примечание 1 — Данный период времени можно назвать «максимально допустимым периодом прерывания деятельности».

  • е) установить предпочтительную продолжительность времени, указанного в d), для возобновления прерванной деятельности, установленным минимально приемлемым объемом производства продукции:

Примечание 2 — Такой временной интервал можно назвать «целевой продолжительностью восстановления».

  • f) использовать данный анализ для определения приоритетных видов деятельности;

д) определить ресурсы, необходимы для поддержки приоритетных видов деятельности:

h) определить виды зависимости, в том числе от партнеров и поставщиков, а также взаимозависимости. связанные с приоритетными видами деятельности.

  • 8.2.3 Оценка риска

Организация должна выполнять и поддерживать процесс оценки риска.

Примечание — Процесс оценки риска рассмотрен в ИСО 31000.

Организация должна:

  • а) идентифицировать риск нарушения деятельности организации в приоритетных видах деятельности организации и необходимые ресурсы:

  • Ь) проводить анализ и оценку идентифицированных видов риска;

  • с) определить виды риска, требующие обработки.

Примечание — Риск в данном случае связан с нарушением деятельности организации. Риск и возможности. связанные с результативностью системы менеджмента, рассмотрены в 6.1.

  • 8.3 Стратегии и решения по обеспечению непрерывности деятельности

  • 8.3.1 Общие положения

На основе результатов анализа воздействий на деятельность и оценки риска организация должна идентифицировать и выбрать стратегии обеспечения непрерывности деятельности, позволяющие рассматривать варианты стратегий до. во время и после нарушения деятельности организации. Стратегии обеспечения непрерывности деятельности могут охватывать одно или несколько решений.

  • 8.3.2 Идентификация стратегий и решений

Идентификация стратегий и решений должна быть основана на уровне их полезности:

  • а) при выполнении требований к продолжению и восстановлению приоритетных мероприятий в установленные сроки с установленным объемом производства:

  • Ь) обеспечении защиты приоритетных направлений деятельности организации:

  • с) снижении вероятности нарушения деятельности организации;

  • d) сокращении продолжительности простоя при нарушении деятельности организации;

  • е) ограничении влияния нарушения деятельности организации на продукцию и услуги организации;

0 обеспечении необходимых ресурсов.

  • 8.3.3 Выбор стратегий и решений

Выбор стратегий и решений должен быть основан на уровне их полезности:

  • а) при выполнении требований к продолжению и восстановлению приоритетных видов деятельности в установленные сроки и на уровне согласованного объема производства;

  • Ь) проведении анализа величины и вида риска, который организация может или не может принять:

  • с) рассмотрении связанных с этим затрат и преимуществ.

  • 8.3.4 Требования к ресурсам

Организация должна определить требования к ресурсам для реализации выбранных решений по обеспечению непрерывности деятельности. Рассматриваемые виды ресурсов должны включать (перечень может быть дополнен) следующим:

  • а) люди;

  • Ь) информация и данные;

  • с) физическая инфраструктура, такая как здания, рабочие места или другие объекты и связанное с ним оборудование:

  • d) оборудование и расходные материалы;

  • е) системы информационно-коммуникационных технологий (ИКТ);

0 транспорт и логистика;

д) финансы;

h) партнеры и поставщики.

  • 8.3.5 Выполнение решений

Организация должна разработать и поддерживать выбранные решения в области обеспечения непрерывности деятельности, чтобы их можно было инициировать при необходимости.

  • 8.4 Планы и процедуры обеспечения непрерывности деятельности

  • 8.4.1 Общие положения

Организация должна внедрить и поддерживать структуру реагирования, которая позволит своевременно предупреждать нарушение деятельности организации и проводить обмен информацией с соответствующими заинтересованными сторонами. Организация должна разработать планы и процедуры управления организацией в период нарушения ее деятельности. Планы и процедуры должны быть использованы. когда необходимо инициировать решения по обеспечению непрерывности деятельности.

Примечание — Существуют различные типы процедур, которые включают в планы обеспечения непрерывности деятельности.

Организация должна определить и документировать планы и процедуры обеспечения непрерывности деятельности на основе выбранных стратегий и решений.

Процедуры должны:

  • а) быть конкретными е отношении немедленных действий, которые должны быть выполнены в период нарушения деятельности организации;

  • Ь) гибкими, чтобы реагировать на изменяющиеся внутренние и внешние условия в период нару-шения деятельности организации;

  • с) фокусироваться на воздействии инцидентов, которые потенциально могут привести к нарушению деятельности организации;

  • d) результативно минимизировать воздействия путем выполнения соответствующих решений;

  • е) устанавливать функции и обязанности по выполнению задач внутри процедур.

  • 8.4.2 Структура ответных мер

    • 8.4.2.1 Организация должна разработать и поддерживать структуру, определяющую одну или не-сколько команд, ответственных за реагирование на нарушение деятельности организации.

    • 8.4.2.2 Функции и обязанности каждой команды и отношения между командами должны быть четко идентифицированы.

    • 8.4.2.3 В совокупности команды должны быть компетентны:

  • а) при оценке особенностей и степени нарушения деятельности организации и его потенциального воздействия:

  • Ь) оценке влияния по отношению к установленным пороговым значениям, инициации ответных действий;

  • с) активации соответствующих ответных действий в области обеспечения непрерывности деятельности;

  • d) планировании необходимых действий;

  • е) установлении приоритетов (используя безопасность в качестве главного приоритета);

  • f) мониторинге последствий нарушения деятельности организации и реагировании организации на нарушение деятельности;

д) активации решения по обеспечению непрерывности деятельности;

h) обмене информацией с соответствующими заинтересованными сторонами, органами власти и средствами массовой информации.

  • 8.4.2.4 Для каждой команды необходимо:

  • а) идентифицировать персонал и заменяющих лиц с необходимой ответственностью, полномочиями и компетенцией для выполнения назначенных функций;

  • Ь) установить документированные процедуры управления действиями персонала (см. 8.4.4). в том числе для инициирования, выполнения, координации и обмена информацией об ответных мерах на нарушение деятельности организации.

  • 8.4.3 Сигнал опасности и обмен информацией

    • 8.4.3.1 Организация должна документировать и поддерживать процедуры:

  • а) обмена информацией с внутренними и внешними соответствующими заинтересованными сторонами. в том числе о вопросах, сроках и участниках обмена информацией:

Примечание — Организация может документировать и поддерживать процедуры о способах и условиях обмена информацией с сотрудниками по аварийным контактам.

  • Ь) получения, документирования и ответа при обмене информацией с заинтересованными сторонами. включая все государственные или региональные системы консультирования по риску или аналогичные структуры;

  • с) обеспечения доступности средств связи при нарушении деятельности организации;

  • d) облегчения структурированного обмена информацией с аварийными службами;

  • е) предоставления подробной информации об ответных действиях организации в СМИ после инцидента. включая стратегию обмена информацией:

  • f) записи деталей нарушения деятельности организации, предпринятых действий и принятых решений.

  • 8.4.3.2 Если применимо, должно быть учтено и применено следующее:

  • а) аварийное оповещение заинтересованных сторон, которые могут быть затронуты фактическим или надвигающимся нарушением деятельности организации;

  • Ь) обеспечение надлежащей координации и обмена информацией между несколькими ответственными организациями.

Процедуры предупреждения и обмена информацией должны быть выполнены в соответствии с программой учений организации (см. 8.5.)

  • 8.4.4 Планы обеспечения непрерывности деятельности

    • 8.4.4.1 Организация должна документировать и поддерживать планы и процедуры обеспечения непрерывности деятельности. Эти планы должны обеспечивать руководство и информацию, чтобы помочь командам реагировать на нарушение деятельности организации и помочь организации в реагировании на нарушение деятельности и восстановлении последних.

    • 8.4.4.2 В совокупности планы обеспечения непрерывности деятельности должны содержать:

  • а) подробное описание действий, которые команды должны предпринимать:

  • 1) для продолжения или восстановления приоритетных видов деятельности в течение заранее установленного периода времени;

  • 2) проведения мониторинга воздействия на нарушение деятельности организации и реагирования организации на них;

  • Ь) ссылки на предварительно установленные пороговые значения и процесс инициирования ответных действий;

  • с) процедуры, позволяющие доставлять товары и оказывать услуги в согласованном объеме:

  • d) детали управления непосредственными последствиями нарушения деятельности организации с учетом;

  • 1) благосостояния физических лиц;

  • 2) предупреждения дальнейших потерь или недоступности приоритетных видов деятельности;

  • 3) воздействия на окружающую среду.

  • 8.4.4.3 Каждый план должен включать:

  • а) цель, область применения и задачи;

  • Ь) функции и обязанности команды, выполняющей план;

  • с) действия по внедрению решений;

  • d) вспомогательную информацию, необходимую для инициирования (включая критерии инициирования). работы, координации и обмена информацией о действиях команды:

  • е) внутренние и внешние взаимозависимости.

  • 0 требования к ресурсам;

  • д) требования к отчетности;

h) процесс остановки или окончания реализации плана.

Каждый план должен быть применимым и доступным в требуемое время и в требуемом месте.

  • 8.4.5 Восстановление

Организация должна иметь документированные процессы для восстановления приоритетной деятельности. начиная с временных мер. принятых во время и после нарушения деятельности организации.

  • 8.5 Программа учений

Организация должна разработать и поддерживать программу обучения и тестирования, чтобы со временем подтвердить результативность своих стратегий и решений по обеспечению непрерывности деятельности.

Организации необходимо проводить обучение и тестирование, которые должны:

  • а) соответствовать целям обеспечения непрерывности деятельности;

  • Ь) основываться на соответствующих сценариях, согласованных с установленными целями и задачами;

  • с) развивать командную работу, компетентность, уверенность и знания сотрудников, выполняющих функции, связанные с нарушениями деятельности организации;

  • d) (вместе взятые) проверять стратегии и решения организации по обеспечению непрерывности деятельности;

  • е) готовить официальные отчеты об учениях, содержащие результаты, рекомендации и действия по реализации улучшений;

  • f) обеспечивать анализ со стороны руководства для содействия постоянному улучшению;

д) выполнять через запланированные интервалы времени и при значительных изменениях в организации или области применения, в которой она работает.

Организация должна действовать исходя из результатов проверок и тестирования для внесения изменений и улучшений.

  • 8.6 Оценка документации в области обеспечения непрерывности деятельности и возможностей

Организация должна:

  • а) оценивать пригодность, адекватность и результативность анализа воздействий на деятельность. оценки риска, стратегий, решений, планов и процедур:

  • Ь) проводить оценку с помощью проверок, анализа, упражнений, тестов, отчетов о происшествиях и оценки результативности;

  • с) проводить оценки возможностей в области обеспечения непрерывности деятельности соответствующих партнеров и поставщиков;

  • d) оценивать соответствие применимым законодательным и обязательным требованиям, лучшим отраслевым практикам и своим политике и целям в области обеспечения непрерывности деятельности;

  • е) своевременно обновлять документацию и процедуры.

Данные оценки необходимо проводить через запланированные интервалы времени, после инцидента или активации и в ситуации, когда происходят значительные изменения в организации.

  • 9 Оценка показателей СМНД

  • 9.1 Мониторинг, измерение, анализ и оценка

Организация должна определить:

  • а) объекты мониторинга и измерения;

  • Ь) методы мониторинга, измерения, анализа и оценки (что применимо), обеспечивающие достоверные результаты;

  • с) сроки и исполнителей мониторинга и измерений;

  • d) сроки и исполнителей выполнения анализа и оценки результатов анализа и измерений.

Организация должна хранить соответствующую документированную информацию в качестве объективных свидетельств полученных результатов.

Организация должна оценить показатели и результативность СМНД.

  • 9.2 Внутренний аудит

    • 9.2.1 Общие положения

Организация должна проводить внутренние аудиторские проверки через запланированные промежутки времени, чтобы получить информацию о том. что СМНД:

  • а) соответствует;

  • 1) требованиям организации к своей СМНД;

  • 2) требованиям настоящего стандарта;

  • Ь) результативно функционирует и поддерживается в рабочем состоянии.

  • 9.2.2 Программа(ы) аудита

Организация должна:

  • а) планировать, устанавливать, внедрять и поддерживать в рабочем состоянии программу (ы) аудита, включая требования кчастоте проведения, методам, распределению обязанностей, планированию и отчетности, при этом необходимо учитывать важность соответствующих процессов и результаты предыдущих аудитов;

  • Ь) определять критерии и область применения каждого аудита;

  • с) выбирать аудиторов и проводить аудиты так. чтобы обеспечить объективность и беспристрастность процесса аудита;

  • d) обеспечить, чтобы результаты аудита были доведены до сведения соответствующих руководителей;

  • е) хранить документированную информацию в качестве объективных свидетельств реализации лрограмм(ы) аудита и результатов аудита.

  • f) обеспечить, чтобы все необходимые корректирующие действия по устранению обнаруженных несоответствий и их причин были выполнены без неоправданной задержки;

  • д) обеспечить, чтобы последующие аудиторские действия предпринимались с учетом верификации предпринятых действий и отчетности о результатах верификации.

  • 9.3 Анализ со стороны руководства

  • 9.3.1 Общие положения

Высшее руководство должно проверять СМНД организации через запланированные промежутки времени для обеспечения ее постоянной пригодности, адекватности и эффективности.

  • 9.3.2 Входные данные для анализа со стороны руководства

Анализ со стороны руководства должен включать рассмотрение:

  • а) статуса действий по результатам предыдущего анализа со стороны руководства;

  • Ь) изменения во внешних и внутренних проблемах, которые имеют отношение к СМНД;

  • с) информации о показателях работы СМНД, включая тенденции;

  • 1) несоответствий и корректирующих действий:

  • 2) результатов мониторинга и оценки измерений;

  • 3) результатов аудита;

  • d) отзывов заинтересованных сторон;

  • е) необходимости изменений СМНД. включая политику и цели;

0 процедур и ресурсов, которые можно использовать в организации для улучшения показателей результативности СМНД;

д) информации, полученной на основе воздействий анализа на деятельность и оценки риска;

  • h) результатов оценки документации и возможностей по обеспечению непрерывности деятельности (см. 8.6);

  • i) риска или проблем, которые не были адекватно рассмотрены при предыдущей оценке риска;

  • j) извлеченных уроков и действий, возникших в результате промахов и нарушения деятельности организации;

  • к) возможностей постоянного улучшения.

  • 9.3.3 Анализ результатов со стороны руководства

  • 9.3.3.1 Результаты анализа со стороны руководства должны включать решения, касающиеся возможностей постоянного улучшения и необходимости внесения изменений в СМНД для повышения ее результативности и эффективности, включая следующее.

  • а) изменения в области применения СМНД;

  • Ь) обновление анализа воздействий на деятельность, оценки риска, стратегий и решений и планов в области обеспечения непрерывности;

  • с) изменение процедур и средств управления для реагирования на внутренние или внешние проблемы. воздействующие на СМНД;

  • d) методы измерения результативности управления.

  • 9.3.3.2 Организация должна хранить документированную информацию в качестве объективных свидетельств результатов анализа со стороны руководства, включая:

  • а) обмен информацией о результатах анализа со стороны руководства с заинтересованными сторонами;

  • Ь) выполнение соответствующих действий в отношении полученных результатов.

  • 10 Улучшение

  • 10.1 Несоответствующие и корректирующие действия

    • 10.1.1 Организация должна определить возможности улучшения СМНД и осуществить необходимые действия для достижения ожидаемых результатов.

    • 10.1.2 При возникновении несоответствия организация должна:

  • а) реагировать на несоответствие и. если применимо:

  • 1) выполнять действия по управлению и корректировке;

  • 2) устранять последствия:

  • Ь) оценить необходимость действий по устранению причин несоответствия, чтобы не допустить его возникновения в дальнейшем, путем:

  • 1) проведения анализа несоответствия;

  • 2) определения причин несоответствия;

  • 3) определения наличия подобных несоответствий и возможности их возникновения в дальнейшем;

  • с) предпринять все необходимые действия:

  • d) провести анализ результативности предпринятых корректирующих действий;

  • е) внести изменения в СМНД . если это необходимо.

Корректирующие действия должны соответствовать последствиям несоответствий.

  • 10.1.3 Организация должна хранить документированную информацию в качестве объективных свидетельств, включающую:

  • а) описание несоответствий и последующих предпринятых действий:

  • Ь) результаты корректирующих действий.

  • 10.2 Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СМНД на основе качественных и количественных показателей.

Организация должна рассмотреть результаты анализа и оценки, а также результаты анализа со стороны руководства, чтобы определить потребности или возможности, связанные с работой организации в целом или с СМНД. которые следует использовать для постоянного улучшения.

Примечание — Организация может использовать процессы СМНД. такие как лидерство руководства, плакирование и оценка результативности для достижения улучшения.

Приложение ДА (справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДАЛ

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ISO 22300:2012

IDT

ГОСТ Р 22.0Л2—2015 «Безопасность в чрезвычайных ситуациях. Международные термины и определенияв

Примечание — В настоящей таблице использовано следующее условное обозначение степени соответствия стандарта;

- IDT — идентичный стандарт.

Библиография

  • (1] ISO 9001. Quality management systems — Requirements

  • [2] ISO 14001. Environmental management systems — Requirements with guidance tor use

  • [3] ISO 19011. Guidelines for auditing management systems

  • [4] ISO/IEC/TS 17021-6, Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 6: Competence requirements for auditing and certification of business continuity management systems

  • (5] ISO/IEC 20000-1, Information technology — Service management — Part 1: Service management system requirements

  • (6] ISO 22313, Societal security. Business continuity management systems — Guidance

  • [7] ISO 22316, Security and resilience — Organizational resilience — Principles and attributes

  • (8) ISO/TS 22317, Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA)

  • (9] ISO/TS 22318, Societal security — Business continuity management systems — Guidelines for supply chain continuity

  • (10] ISO/TS 22330, Security and resilience — Business continuity management systems — Guidelines for people aspects of business continuity

  • [11] ISO/TS 22331, Security and resilience — Business continuity management systems — Guidelines for business continuity strategy

  • [12] ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements

  • [13] ISO/IEC 27031. Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

  • [14] ISO 28000. Specification for security management systems for the supply chain

  • [15] ISO 31000, Risk management— Guidelines

  • [16] IEC 31010, Risk management — Risk assessment techniques

  • [17] ISO Guide 73. Risk management — Vocabulary

УДК 658.562.012.7:65.012.122:006.354 ОКС 03.100.01; 03.100.70

Ключевые слова: надежность в технике, надежность, непрерывность деятельности, система менеджмента непрерывности деятельности

Редактор М.Г. Конкина Технический редактор В.Н. Прусакова Корректор Р.А. Ментова Компьютерная верстка И.А. Налейкиной

Сдано в набор <№.10.2021 Подписано в печать 14.10.2021. Формат 60*84%. Гарнитура Ариал. Усп. печ. л. 2.78. Уч.-идд. л. 2.24.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано о единичном исполнении в ФГБУ кРСТ» . 117418 Москва. Нахимовский пр-т, д. 3t. и. 2.

www.goslinfo.ru info@gostnfo.ru