ГОСТ Р 53647.4-2011 /ISO/PAS 22399:2007 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности.
ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007
Группа Т59
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности
Business continuity management. Guideline for incident preparedness and operational continuity management
ОКС 03.100.01
Дата введения 2012-12-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в разделе 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 679-ст
4 Настоящий стандарт идентичен международному документу ISO/PAS 22399:2007* "Социальная безопасность. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности" (ISO/PАS 22399:2007 "Societal security - Guideline for incident preparedness and operational continuity management").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
ВНЕСЕНА поправка, опубликованная в ИУС N 2, 2013 год
Введение
Настоящий стандарт устанавливает процесс, основные принципы и термины в области обеспечения готовности к инцидентам и непрерывности деятельности (IPOCM*) организации. Целью настоящего стандарта является установление основных положений для понимания, разработки и внедрения процессов обеспечения готовности к инцидентам и непрерывности деятельности организации, а также создания доверия общества, партнеров, потребителей и клиентов к организации. Настоящий стандарт содержит методы, которые могут позволить государственным и частным организациям исследовать воздействующие факторы при возникновении неумышленных, преднамеренных или природных инцидентов (например, авария, кризис или стихийное бедствие) и разработать необходимые действия, направленные на контроль за инцидентом и принятие надлежащих мер для обеспечения непрерывной деятельности организации. Настоящий стандарт также позволяет организации оценить в соответствии с общепринятыми методами свою способность к обеспечению готовности к инцидентам и непрерывности деятельности. Стандарт содержит общую схему обеспечения готовности к инцидентам и непрерывности деятельности, применимую к организациям всех видов деятельности и размеров, позволяющую учесть разнообразие их географических, культурных, экономических, национальных, политических и социально-бытовых особенностей.
________________
* IPOCM - Incident preparedness and operational (business) continuity management - Обеспечение готовности к инцидентам и непрерывности деятельности.
Причастные стороны (заинтересованные стороны) требуют от организации быть заранее готовой к возможным инцидентам и нарушениям/разрушениям, чтобы не допустить приостановки критических видов деятельности, и, если произошла их полная остановка, быть способной быстро восстановить деятельность, поставку продукции и предоставление услуг (см. рисунок 1). Обеспечение готовности к инцидентам и непрерывности деятельности является процессом менеджмента, в рамках которого следует идентифицировать возможные негативные воздействия на организацию и создать структуру управления, направленную на минимизацию их воздействий.
1 - после внедрения IPOCM; 2 - до внедрения IPOCM
Рисунок 1 - Концепция готовности к инцидентам и IPOCM
В настоящем стандарте приведен полный набор средств управления, основанных на передовых методах IPOCM, используемых на всех этапах руководства и управления организацией. Стандарт будет полезен специалистам, ответственным за оперативное управление организацией как государственного, так и частного сектора, директорам и руководителям всех уровней организации, малым и средним предприятиям, а также большим и транснациональным корпорациям.
Настоящий стандарт подробно описывает общие процессы планирования и управления, которые помогут организации при:
- анализе среды функционирования организации, ограничений и угроз для ее работы, которые могут привести к существенным разрушениям;
- количественной оценке воздействия нарушений/разрушений на критические виды деятельности и процессы организации;
- определении видов ее деятельности, которые являются критическими для достижения целей в краткосрочной и долгосрочной перспективе;
- идентификации инфраструктуры и ресурсов, необходимых организации для обеспечения непрерывности деятельности на минимальном уровне;
- документировании ключевых ресурсов, инфраструктуры, целей и распределении ответственности, необходимых для поддержки критических видов деятельности в случае возникновения нарушений/разрушений;
- установлении процессов, актуализации используемой информации и учета изменений риска и производственной среды;
- повышении осведомленности вовлеченного персонала, заказчиков, поставщиков и других причастных сторон об обеспечении готовности к инцидентам и непрерывности деятельности организации и, при необходимости, применении в организации всех требуемых процедур;
- выполнении принятых решений и обеспечении постоянного улучшения всех процессов.
Очевидно, что эффективное внедрение IPOCM требует основательных изменений деятельности организации, включая исследование и принятие решений в условиях неопределенности. На всех уровнях организации должно быть понимание того, что риск присущ каждому принимаемому решению и виду деятельности и может вызвать ее нарушение/разрушение. Поэтому на всех уровнях организации должен быть проведен анализ способов управления в условиях нарушения/разрушения.
Настоящий стандарт позволяет государственным и частным организациям оценить и управлять риском с целью повышения устойчивости и бесперебойной долгосрочной работы организации. Стандарт не устанавливает конкретную модель применения. Существуют различные признанные модели и методы, которые помогают внедрить систему IPOCM в деятельность организации, что позволяет сделать более эффективной и конкурентоспособной ее деятельность и гибко реагировать на любые возникающие проблемы. Настоящий стандарт предоставляет ряд методов идентификации и поиска решений по обеспечению готовности к инцидентам и непрерывности деятельности. Применяя динамические системные модели процессов управления, основанные на оценке риска, к системе обеспечения готовности к инциденту и непрерывности деятельности, следует учитывать имеющиеся ресурсы организации. Выбранная модель должна быть внедрена для обеспечения непрерывности деятельности организации.
Обычно модели управления включают в себя общие элементы: разработку политики, планирование, внедрение и функционирование, оценку выполнения, постоянное улучшение и анализ управления. В настоящем стандарте дано общее представление о содержании этих элементов, разработке и внедрении модели управления с учетом потребностей организации и ее места в обществе.
Выбранная организацией модель управления должна содержать полный спектр мероприятий, установленный IPOCM. IPOCM напрямую связана с организационным менеджментом и внедрением передового мирового опыта менеджмента. Система IPOCM устанавливает стратегическую и тактическую структуру опережающего менеджмента и обеспечения устойчивости работы организации в условиях разрушения, нарушения, перебоев или потерь при поставке продукции и предоставлении услуг. Эта система не должна носить только корректирующий характер и не должна быть направлена исключительно на устранение последствий инцидента. Одним из основных требований системы IPOCM является всестороннее планирование деятельности и составление программ развития организации. В связи с этим устойчивость организации обеспечивается квалификацией персонала, а также применением современных технологий и холистического подхода при внедрении модели или методов IPOCM.
К наилучшим результатам для всех причастных (заинтересованных) сторон может привести систематическая адаптация и внедрение набора методов IPOCM. Однако применение только одного настоящего стандарта не позволит обеспечить высокую степень готовности к инцидентам и непрерывности деятельности организации. Для достижения целей программы обеспечения готовности к инцидентам и непрерывности деятельности следует поощрять применение передового мирового опыта, методов и технологий, если они подходят организации и экономически обоснованы. Необходимо также учитывать рентабельность внедрения методов, технологий и мирового опыта.
Внедрение IPOCM требует координации и согласования различных элементов и субъектов в государственных и частных секторах (таких как правительственные и общественные организации на различных уровнях, торгово-промышленные объединения, неправительственные организации и отдельные граждане). У каждого из них существуют свои собственные интересы, цели, задачи и обязательства, ресурсы и возможности, правила, методы и процедуры работы. Необходимо учитывать, что ключевые элементы программы IPOCM связаны и взаимодействуют с функциями и интересами различных субъектов, которые могут быть вовлечены при возникновении инцидента. Поэтому ключевые положения программы IPOCM необходимо рассматривать с учетом всех вышеназванных элементов и субъектов и их связи с программой IPOCM.
Реакция организации на опасные события, целью которой является минимизация их воздействия и сокращение социальных потерь, должна способствовать повышению социальной ответственности организации. В период разрушительных инцидентов необходимо понимать, что сотрудничество и помощь другим организациям в распределении человеческих и материальных ресурсов является существенным фактором в обеспечении непрерывности деятельности самой организации, поскольку собственные ресурсы, необходимые для восстановления в период инцидента, могут оказаться недостаточными или нерационально размещенными. Организация должна активно работать совместно с гражданским населением, местными органами власти, службами чрезвычайного реагирования и другими вовлеченными сторонами, принимая участие в аварийно-восстановительных работах, предоставляя необходимые ресурсы и помогая в действиях, направленных на спасение человеческих жизней. Организация должна также сотрудничать с представителями общественности и партнерами, чтобы учитывать их позицию в своей деятельности.
Организация может выбрать область применения элементов настоящего стандарта, ограничиваясь его использованием к конкретным услугам, продукции или в одном, или в нескольких регионах. Любое подобное ограничение области применения требований стандарта должно быть зарегистрировано.
Необходимо отметить, что настоящий стандарт не устанавливает абсолютные требования к системе IPOCM, при ее разработке следует учитывать обязательства, принятые в политике организации, установленные законодательные, обязательные и иные требования, мероприятия по предупреждению риска, предотвращению нарушений/разрушений и постоянному внедрению усовершенствований. Настоящий стандарт можно применять к системе постоянного улучшения, однако его положения не могут быть использованы в качестве критериев для оценки соответствия.
1 Область применения
Настоящий стандарт содержит общее руководство по установлению критериев оценки обеспечения готовности к инцидентам и непрерывности деятельности и разработке соответствующей системы менеджмента организации. Стандарт устанавливает основные положения для разработки и внедрения системы обеспечения непрерывности деятельности организации, а также обеспечения доверия со стороны общества, причастных сторон, потребителей и клиентов. Стандарт содержит методы оценки устойчивости организации к инцидентам и нарушениям/разрушениям ее деятельности.
Стандарт применим к организациям любых размеров и форм собственности, заинтересованных в обеспечении непрерывности поставки своей продукции, услуг или работы основных процессов. Применение настоящего стандарта помогает:
- проанализировать внешнюю и внутреннюю среду организации;
- идентифицировать критические для организации цели деятельности;
- проанализировать барьеры, опасные события, угрозы, риск и нарушения/разрушения, которые могут препятствовать достижению критических целей;
- оценить остаточный и приемлемый риск для понимания полученных результатов от применения стратегий снижения риска и внедрения средств управления риском;
- планировать способы обеспечения непрерывности достижения организацией поставленных целей при возникновении инцидента;
- разработать процедуры ответных мер на инциденты и аварийные ситуации, процедуры обеспечения непрерывности деятельности и процедуры восстановления ее нарушений/разрушений, вызванных инцидентом;
- определить обязанности, ответственность и обязательства, а также необходимые ресурсы для выполнения ответных мер, направленных на обеспечение непрерывности бизнеса в условиях инцидента;
- оценить соответствие действующим законодательным, обязательным и иным требованиям;
- обеспечить взаимопомощь с другими организациями и общественную поддержку;
- взаимодействовать со службами экстренного реагирования и средствами массовой информации (СМИ);
- изменить культуру организации и признать, что риск присущ каждому решению и действию и необходимо применять эффективный менеджмент организации.
Настоящий стандарт устанавливает общие принципы и элементы обеспечения готовности к инцидентам и непрерывности деятельности организации. Степень их применения зависит от таких факторов, как политика организации, особенности ее деятельности, выпускаемой продукции и предоставляемых услуг, месторасположения и условий организации производства.
Область применения настоящего стандарта не включает в себя действия в чрезвычайных ситуациях, такие как помощь при стихийных бедствиях и восстановление социальной инфраструктуры, которые выполняют государственные службы в соответствии с действующим законодательством. Однако следует координировать действия организации с действиями аварийных служб и регистрировать все выполненные действия в этой ситуации.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующий документ:
Руководство ИСО/МЭК 73:2002 Менеджмент риска. Термины и определения. Руководящие указания по использованию в стандартах (ISO/IEC Guide 73:2002, Risk management. Vocabulary. Guidelines for use in standards)*
________________
* Международный документ Руководство ИСО/МЭК 73:2002 заменен на документ Руководство ИСО 73:2009 "Менеджмент риска. Словарь" (ISO Guide 73:2009 Risk management - Vocabulary).
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 критические виды деятельности (critical activities): Виды деятельности организации, которые должны быть выполнены для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных целей организации.
3.2 последствие (consequence): Результат воздействия события на объект.
Примечание 1 - Результатом воздействия события может быть одно или несколько последствий.
Примечание 2 - Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.
Примечание 3 - Последствия могут быть выражены качественно или количественно.
Примечание 4 - Первоначальные последствия могут вызвать эскалацию следующих последствий по принципу "домино".
[Руководство ИСО/МЭК 73]
3.3 кризис (crisis): Инцидент(ы) и происшествия, причиной которых является человеческий фактор и/или воздействие природных явлений и окружающей среды, требующие срочного вмешательства и действий для защиты жизни человека, имущества или окружающей среды.
3.4 бедствие (disaster): Событие, вызывающее большие повреждения или потери.
3.5 нарушение, разрушение (деятельности организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) инцидентом.
Примечание - Нарушение/разрушение может быть вызвано положительными и отрицательными факторами, которые нарушают нормальный ход деятельности.
3.6 авария* (emergency): Внезапное, экстренное, обычно неожиданное происшествие или событие, требующее принятия безотлагательных мер.
________________
* В соответствии с ГОСТ 22.0.05-97 "Безопасность в чрезвычайных ситуациях. Техногенные чрезвычайные ситуации. Термины и определения" опасное техногенное происшествие, создающее на объекте, определенной территории или акватории угрозу жизни и здоровью людей и приводящее к разрушению зданий, сооружений, оборудования и транспортных средств, нарушению производственного или транспортного процесса, а также к нанесению ущерба окружающей природной среде.
Примечание: Крупная авария, как правило, с человеческими жертвами, является катастрофой.
Примечание - Авария обычно является разрушающим событием или условием, которое можно предвидеть и к которому можно подготовиться, однако точно спрогнозировать момент его появления достаточно сложно.
3.7 учения (exercising): Мероприятия, в процессе которых частично или полностью проходит отработка (репетиция) действий, обязанностей, способов восстановления и обеспечения непрерывности работы систем организации (например, технологий, систем связи и управления), предусмотренных программой IPOCM*, предназначенных для оценки содержания программы, ее соответствия запланированным результатам и компетентности персонала.
________________
* IPOCM - Incident preparedness and operational (business) continuity management (Обеспечение готовности к инцидентам и непрерывности деятельности).
Примечание 1 - Учения включают в себя действия, выполняемые обычно с целью обучения и поддержания навыков членов рабочих групп и персонала в сложных ситуациях и в условиях инцидента, с целью достижения максимальной отработки необходимых ответных мер.
Примечание 2 - Учения обычно включают в себя действия процедур по обеспечению непрерывности бизнеса, но чаще объявленную или необъявленную имитацию инцидента, нарушающего непрерывность бизнеса, в процессе которого участники инсценируют возможную ситуацию, что позволяет оценить возможные проблемы до наступления реального инцидента.
|
3.8 событие (event): Возникновение или изменение специфического набора условий.
Примечание 1 - Событие может быть единичным или повторяющимся и иметь несколько причин.
Примечание 2 - Событие может быть определенным или неопределенным.
Примечание 3 - Для описания события могут быть использованы термины "инцидент", "происшествие", "опасное событие" или "несчастный случай".
Примечание 4 - Событие без последствий может также быть названо "угрозой возникновения опасного события", "инцидентом", "угрозой происшествия", "угрозой поражения" или "угрозой возникновения аварийной ситуации".
[Руководство ИСО/МЭК 73] |
3.9 опасность (hazard): Возможный источник вреда, причиной которого могут быть естественные или техногенные явления, который способен привести к неблагоприятным воздействиям и последствиям.
3.10 воздействие (impact): Влияние разрушающих факторов, оцененное для конкретного события.
3.11 анализ воздействия (impact analysis): Процесс исследования функционирования системы и последствий воздействия на нее разрушающих факторов.
3.12 инцидент (incident): Событие, реализация которого может привести к нарушению/разрушению деятельности организации, потерям, аварии или кризису.
3.13 план управления в условиях инцидента (incident management plan): Детально разработанный и документально оформленный план действий, предназначенный для использования в условиях инцидента, в котором установлены необходимые для управления в условиях инцидента персонал, ресурсы и действия.
3.14 готовность к инцидентам (incident preparedness): Действия, программы и системы, разработанные и внедренные до возникновения инцидента, которые могут помочь организации смягчить последствия и выбрать эффективные ответные меры при возникновении инцидента, а также ускорить восстановление организации после разрушений, бедствий, критических ситуаций или аварий.
3.15 обеспечение готовности к инцидентам и непрерывности деятельности (incident preparedness and operational continuity management), IPOCM: Систематические и скоординированные действия, с помощью которых организация рационально управляет своими рисками и деятельностью в условиях возможных угроз и опасных воздействий.
3.16 политика в области IPOCM (IPOCM policy): Общие намерения и направления деятельности организации в области обеспечения готовности к инцидентам и непрерывности деятельности, официально сформулированные высшим руководством.
3.17 уменьшение (последствий) (mitigation): Ограничение негативных последствий конкретного инцидента.
3.18 соглашение о взаимопомощи (mutual aid agreement): Заранее разработанное соглашение между двумя или более субъектами об оказании, при необходимости, помощи и поддержки сторонам соглашения.
3.19 непрерывность деятельности (operational continuity), ОС: Стратегическая и тактическая способность организации к функционированию на установленном приемлемом уровне при нарушениях ее деятельности, вызванных инцидентами.
Примечание - Термин "непрерывность деятельности" применим не только к коммерческим компаниям, но и к организациям любой формы собственности, таким как некоммерческие организации, общественные объединения и государственные организации.
3.20 обеспечение непрерывности деятельности (operational continuity management), ОСМ: Полный процесс управления, предусматривающий идентификацию возможных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости деятельности организации в условиях инцидента и разработки эффективных ответных мер, обеспечивающих защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.
Примечание - Обеспечение непрерывности деятельности включает в себя управление восстановлением или продолжением деятельности организации в случае инцидента, а также общей программой обеспечения непрерывности деятельности организации, предусматривающей обучение персонала, проведение учений и анализа деятельности, а также актуализацию соответствующих планов и программ.
3.21 программа обеспечения непрерывности деятельности (operational continuity management program): Процесс управления, поддерживаемый высшим руководством и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия возможных угроз, поддержку стратегии непрерывности деятельности и планов восстановления деятельности, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения персонала и проведения учений, внедрения, анализа и поддержания в рабочем состоянии системы обеспечения непрерывности деятельности организации.
3.22 координационный совет обеспечения непрерывности деятельности (operational continuity management team): Группа должностных лиц организации, уполномоченных и ответственных за разработку и исполнение планов обеспечения непрерывности деятельности, а также за инициирование работ при возникновении аварий и кризисов и непосредственное координирование работ в процессе восстановления после инцидента.
Примечание - Координационный совет обеспечения непрерывности деятельности может включать в себя представителей различных организаций, а также служб экстренного реагирования, причастные стороны и другие стороны.
3.23 план обеспечения непрерывности деятельности (operational continuity plan), OCP: Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента.
3.24 стратегия обеспечения непрерывности деятельности (operational continuity strategy): Способ обеспечения непрерывности деятельности организации, предусматривающий возможность восстановления и продолжения функционирования организации в условиях инцидентов, кризисов и других опасных событий.
3.25 группа обеспечения непрерывности деятельности (operational continuity team): Группа должностных лиц организации, ответственных за разработку, реализацию, инициирование и поддержку плана обеспечения непрерывности деятельности, включая процессы и процедуры, а также за проведение учений.
3.26 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.
Примечание - Организация может быть государственной или частной. Примерами организаций могут быть компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.
3.27 предупреждающие (меры) (prevention): Меры, позволяющие организации избежать, предотвратить или ограничить воздействие нарушений/разрушений деятельности организации.
|
3.28 вероятность (probability): Мера возможности появления события.
Примечание 1 - В ИСО 3534-1:1993 (пункт 1.1) приведено математическое определение вероятности: "вероятность - действительное число в интервале от 0 до 1, характеризующее случайное событие". Вероятность может отражать относительную частоту появления события в серии наблюдений или степень уверенности в том, что событие произойдет. При высокой степени уверенности в появлении события вероятность близка к единице.
Примечание 2 - При описании риска вместо "вероятности" может быть использовано понятие "частота".
Примечание 3 - Степень уверенности в появлении события может быть выражена с помощью отнесения события к определенному классу или разряду, таким как:
- крайне редко/маловероятно/вероятно/почти наверняка;
- невозможно/крайне маловероятно/редко/иногда/вероятно/часто.
[Руководство ИСО/МЭК 73] |
3.29 целевой срок восстановления (recovery time objective); RTO: Плановое время возобновления деятельности и восстановления ресурсов, установленное на основе максимально приемлемого периода нарушения/разрушения деятельности организации.
3.30 остаточный риск (residual risk): Риск, оставшийся после обработки риска.
3.31 устойчивость организации (resilience): Способность организации противостоять воздействию инцидента, осуществляя свою деятельность.
3.32 программа ответных мер (response program): План, процессы и ресурсы для выполнения работ и услуг, необходимых для сохранения и защиты жизни людей, собственности, критических видов деятельности и активов организации.
Примечание - Этапы программы ответных мер обычно включают в себя распознавание инцидента, уведомление о нем, оценку инцидента, заявление об инциденте, план мероприятий и его реализацию, обмен информацией и управление ресурсами.
|
3.33 риск (risk): Следствие влияния неопределенности на достижение поставленных целей*.
Примечание 1 - Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
Примечание 2 - Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).
Примечание 3 - Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.
Примечание 4 - Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.
Примечание 5 - Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.
[Руководство ИСО/МЭК 73] |
_________________
* При применении стандарта следует учитывать, что, в соответствии с ФЗ "О техническом регулировании" от 27.12.2002 N 184-ФЗ, "риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".
|
3.34 принятие риска (risk acceptance): Обоснованное решение принять риск.
Примечание 1 - Решение о принятии риска может быть принято без обработки риска или в процессе обработки риска.
Примечание 2 - Необходимо проводить мониторинг и анализ принятого риска.
[Руководство ИСО/МЭК 73] |
|
3.35 оценка риска (risk assessment): Общий процесс идентификации, анализа и сравнительной оценки риска.
[Руководство ИСО/МЭК 73] |
Примечание - Оценка риска включает в себя процесс идентификации внутренних и внешних угроз и уязвимостей, идентификацию вероятности опасного события, возникшего при реализации этих угроз или уязвимостей, определение критических видов деятельности, для которых необходимо обеспечение бесперебойной работы, определение средств управления на местах, необходимых для снижения распространения последствий опасного события, и оценка стоимости таких средств управления.
|
3.36 обмен информацией о риске и консультации в области риска (risk communication and consultation): Непрерывные итеративные процессы, выполняемые организацией для обеспечения, распространения или получения информации и участия в диалоге с причастными сторонами по вопросам, относящимся к менеджменту риска.
Примечание 1 - Информация может относиться к существованию, природе, форме, правдоподобности, уровню, оценке, приемлемости, обработке или другим аспектам риска и менеджменту риска.
Примечание 2 - Консультации являются двухсторонним процессом обмена информацией между организацией и ее причастными сторонами по проблеме до принятия решения или определения действий по этой проблеме. Консультация это:
- процесс, который способствует принятию решения на основе убеждения, а не под давлением;
- процесс, который предшествует процессу принятия решения, но не объединяется с ним.
[Руководство ИСО/МЭК 73] |
|
3.37 критерий риска (risk criteria): Совокупность факторов, по сопоставлению с которыми оценивают значимость риска.
Примечание 1 - Критерии риска основаны на установленных целях организации, внешней и внутренней области применения организации.
Примечание 2 - Критерии риска могут быть сформированы на основе требований стандартов, политики, законодательных и иных требований.
[Руководство ИСО/МЭК 73] |
|
3.38 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.
Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и обмен информацией о риске.
[Руководство ИСО/МЭК 73] |
3.39 снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности опасного события, его негативных последствий или того и другого вместе.
3.40 перенос риска (risk transfer): Разделение с другой стороной потерь или выгод от риска.
Примечание 1 - Законодательные или обязательные требования могут ограничивать, запрещать или поручать перенос определенного риска.
Примечание 2 - Перенос риска может быть осуществлен с помощью страхования или других соглашений.
Примечание 3 - Перенос риска может создавать новый риск или модифицировать существующий риск.
Примечание 4 - Перемещение источника риска не является переносом риска.
3.41 приемлемый риск (risk tolerance): Общий суммарный риск, который организация готова принять, выдержать и которому готова быть подвергнута в любой момент времени.
|
3.42 обработка риска (risk treatment): Процесс модификации риска.
Примечание 1 - Обработка риска может включать в себя:
- исключение риска путем принятия решения не начинать или не продолжать деятельность, в процессе или в результате которой может возникнуть опасное событие;
- принятие или повышение риска для обеспечения более широких возможностей;
- устранение источников риска;
- изменение правдоподобности/вероятности опасного события;
- изменение последствий опасного события;
- разделение риска с другой стороной или сторонами (путем включения в контракты или финансирования обработки риска);
- обоснованное решение о сохранении риска.
Примечание 2 - Меры по обработке риска могут включать в себя устранение, предотвращение или снижение риска.
Примечание 3 - При обработке риска могут возникнуть новые риски и могут измениться существующие риски.
[Руководство ИСО/МЭК 73] |
3.43 модельные учения, практические учения (simulation exercise): Учения, проводимые в условиях, близких к реальным, возникающим при реализации инцидента.
|
3.44 источник риска (source): Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска.
Примечание - Источник риска может быть материальным или нематериальным.
[Руководство ИСО/МЭК 73] |
3.45 причастная сторона* (заинтересованная сторона) (stakeholder (interested party)): Лицо или группа лиц, заинтересованных в деятельности или достижениях организации.
_________________
* В соответствии с Руководством ИСО/МЭК 73 "причастная сторона - это любой индивидуум, группа лиц или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска.
Примечание - Лицо, принимающее решение, также является причастной стороной".
Примечание - Причастной стороной являются потребители, партнеры, персонал, акционеры, владельцы, организации службы экстренного реагирования, правительственные и регулирующие органы, ассоциации и др.
3.46 настольные учения, теоретические учения (tabletop exercise): Метод обучения, который основан на моделировании разрушения, аварии или кризисного сценария в формате рассказа, в рамках которого участники анализируют и обсуждают, но не выполняют политику, методы, процедуры, координацию мероприятий и распределение ресурсов, связанных с активацией плана.
3.47 учения (testing): Мероприятия, в процессе которых частично выполняют план(ы) обеспечения непрерывности деятельности, направленные на проверку того, что план содержит необходимую информацию и при выполнении приводит к запланированным результатам.
3.48 угроза (threat): Потенциальная причина инцидента, которая может привести к нанесению вреда людям, системе или организации, окружающей среде или обществу.
3.49 высшее руководство (top management): Директор или руководители подразделений, осуществляющие направление деятельности и управление организацией на высшем уровне, обеспечивая эффективность систем менеджмента, включая финансовый мониторинг, и системы контроля, назначенные для защиты активов, обеспечения работоспособности, рентабельности и укрепления репутации организации.
4 Общие положения
Схема процесса обеспечения готовности к инциденту и непрерывности деятельности, а также процесс постоянного улучшения показаны на рисунке 2. IPOCM является организационной структурой, которая требует проведения постоянного мониторинга и периодического анализа для обеспечения эффективного управления при изменении внутренних и внешних воздействующих факторов. Ответственность за работу, направленную на внедрение и совершенствование системы обеспечения готовности к инцидентам и непрерывности деятельности, необходимо распределить на всех уровнях организации. Положения IPOCM могут быть учтены при принятии решений в хозяйственной и административной деятельности всей организации.
Рисунок 2 - Схема процесса обеспечения готовности к инцидентам и непрерывности деятельности
5 Политика
5.1 Проектирование и разработка программы
Целью создания программы обеспечения готовности к инцидентам и непрерывности деятельности является разработка, согласование и внедрение действий по управлению риском и обеспечению непрерывности деятельности организации. Эти действия должны соответствовать размеру, сложности и характеру деятельности организации и быть направлены на достижение ее способности гибко реагировать на любые возникающие изменения. Необходимо установить структуру управления способностью организации к непрерывности деятельности.
Установленные действия включают в себя проектирование, разработку, внедрение, первоначальные проверки и учения, направленные на внедрение в организации менеджмента непрерывности деятельности. Необходимо на ранних стадиях интегрировать методы и процедуры IPOCM при проектировании организационных или бизнес-процессов, процессов планирования, производства, обучения, разработки финансовой и экономической политики и соответствующих процедур. Работу по обеспечению непрерывности деятельности необходимо регулярно проверять, актуализировать и пересматривать всякий раз, когда возникают существенные изменения в организации (например, во внешней среде, персонале, процессах или технологиях). IPOCM должна также обеспечивать защиту причастных сторон от возможного неблагоприятного воздействия последствий нарушения/разрушения деятельности организации.
Таким образом, программа IPOCM включает три основных компонента: создание структуры IPOCM, организационные мероприятия по ее внедрению и постоянное обеспечение непрерывности деятельности организации.
5.2 Определение области применения программы
Организация должна установить, зарегистрировать, внедрить, поддерживать в рабочем состоянии, оценивать и постоянно улучшать свои программы обеспечения готовности к инцидентам и непрерывности деятельности.
Организация должна определить критические цели и виды деятельности, идентифицированные в стратегиях, бизнес-планах, политике, задачах, планах менеджмента риска, определить средства управления, такие как анализ SWOT* (сила, слабости, возможности и угрозы), и систему сбалансированных показателей. Критические для непрерывности деятельности процессы должны быть идентифицированы и зарегистрированы. Это позволит сконцентрировать ресурсы, требуемые для поддержания непрерывности критических видов деятельности организации с учетом существующих экономических ограничений.
Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.