ГОСТ Р 53647.1-2009. Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство.

Главная/

Нормы и стандарты/

ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство.

ГОСТ Р 53647.1-2009

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Часть 1

Практическое руководство

Business continuity management. Part 1. Code of practice

ОКС 03.100.01

Дата введения 2010-12-01

Предисловие

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 998-ст

4 Настоящий стандарт идентичен международному стандарту BS 25999-1:2006 "Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство"* ("Business continuity management - Part 1: Code of practice", IDT)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Май 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Требования настоящего стандарта следует применять наряду с нормативно-правовыми актами в области обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно-правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. По возможности следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации.

В качестве синонимов термина "менеджмент непрерывности бизнеса" часто используют термины "управление непрерывностью бизнеса", "управление непрерывностью деятельности", "управление бесперебойностью работы". Выбор термина зависит от потребностей организации и требований ее причастных сторон.

1 Область применения

Настоящий стандарт устанавливает процессы, принципы и терминологию менеджмента непрерывности бизнеса (МНБ). Целью настоящего стандарта является установление основных положений для понимания, разработки и внедрения менеджмента непрерывности бизнеса в организации и обеспечения доверия к продукции или услугам организации со стороны потребителей и партнеров. Стандарт может помочь организации последовательно измерять и оценивать свою способность к обеспечению непрерывности бизнеса.

Настоящий стандарт предназначен для использования специалистами, ответственными за коммерческие операции и/или предоставление услуг, начиная от высшего руководства организации до сотрудников всех уровней; от организаций, работающих на национальных рынках, до транснациональных корпораций; от индивидуальных предпринимателей, организаций малого и среднего бизнеса, до организаций, в которых трудятся тысячи человек. Таким образом, стандарт может быть применен любым лицом, ответственным в организации за любую операцию и обеспечение ее непрерывности.

Настоящий стандарт не может быть использован для планирования действий в чрезвычайной ситуации, поскольку этот вопрос регламентируется соответствующими нормами и правилам МЧС и законодательством РФ в целом.

Примечание - Независимо от затраченных усилий и вложенных инвестиционных ресурсов в менеджмент непрерывности бизнеса, организация все же может столкнуться с непредвиденным инцидентом или комбинацией непредвиденных инцидентов.

2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

2.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.

Примечание - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.

2.2 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

2.3 менеджмент непрерывности бизнеса; МНБ (business continuity management; ВСМ): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.

Примечание - Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, разработкой и актуализацией планов непрерывности бизнеса.

2.4 жизненный цикл менеджмента непрерывности бизнеса (business continuity management lifecycle): Совокупность действий по обеспечению непрерывности бизнеса, которые охватывают все аспекты и элементы программы менеджмента непрерывности бизнеса.

Примечание - Этапы жизненного цикла менеджмента непрерывности бизнеса приведены на рисунке 1.

2.5 программа менеджмента непрерывности бизнеса (business continuity management programme): Процесс постоянного менеджмента, поддерживаемый со стороны высшего руководства и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия потенциальных потерь, поддержку жизнеспособной стратегии непрерывности бизнеса и планов восстановления бизнеса, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения и проведения учений, внедрения, анализа и поддержания в рабочем состоянии непрерывности бизнеса организации.

2.6 план обеспечения непрерывности бизнеса; ПНБ (business continuity plan; ВСР): Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне.

2.7 стратегия непрерывности бизнеса (business continuity strategy): Способы обеспечения непрерывности бизнеса в организации, направленные на восстановление и продолжение ее деятельности в случае инцидентов, вызывающих нарушение в ее работе.

2.8 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.

2.9 гражданская чрезвычайная (аварийная) ситуация (civil emergency): Событие или ситуация, представляющие серьезную угрозу для благосостояния людей, окружающей среды в конкретной местности и/или безопасности страны в целом.

2.10 последствие (consequence): Результат инцидента, который может повлиять на достижение целей организации.

Примечания

1 Для каждого инцидента должно быть проведено ранжирование последствий.

2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации.

2.11 анализ эффективности затрат (cost-benefit analysis): Финансово-экономический метод, применение которого позволяет оценить затраты на МНБ, сопоставить их с полученной от его внедрения выгодой.

Примечание - Выгода может быть определена с позиции финансов, репутации, производства продукции, предоставления услуг, выполнения обязательных требований и т.п.

2.12 критические виды деятельности (critical activities): Виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных и первоочередных целей организации.

2.13 нарушение деятельности (организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением.

2.14 планирование действий в аварийных ситуациях (emergency planning): Разработка и поддержание в рабочем состоянии согласованных процедур организации, направленных на предупреждение, уменьшение масштабов воздействия, смягчение последствий и принятие других мер в случае возникновения аварийных и/или чрезвычайных ситуаций.

2.15 учения (exercise): Мероприятия, в процессе которых частично или полностью проходит отработка действий (репетиция), предусмотренных планом(ами) обеспечения непрерывности бизнеса, направленные на то, чтобы план(ы) содержал(и) необходимую информацию и при выполнении приводил(и) к запланированным результатам.

Примечание - Учения обычно включают в себя инициирование процедуры непрерывности бизнеса, но чаще объявленную или необъявленную имитацию инцидента нарушения непрерывности бизнеса, в процессе которого участники инсценируют возможную ситуацию с целью оценки потенциальных проблем, связанных с их преодолением до наступления реального инцидента.

2.16 выгоды (gain): Положительные последствия.

2.17 воздействие (impact): Оцененные последствия для конкретного случая.

2.18 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

2.19 план управления инцидентом (incident management plan): Точно установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно охватывает вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены в процессе управления инцидентом.

2.20 инициирование работы (invocation): Объявление о приведении в действие плана обеспечения непрерывности бизнеса организации с целью обеспечения бесперебойности поставки ключевой продукции и/или услуг.

2.21 возможность реализации (likelihood): Шансы реализации события, которые определены, измерены и/или оценены объективно или субъективно в терминах общих описаний (маловероятно, вероятно, почти наверняка), частоты или вероятности.

Примечание - Возможность может быть выражена качественно или количественно.

2.22 потери (loss): Негативные последствия.

2.23 максимально приемлемый период нарушения (maximum tolerable period of disruption): Период времени, по истечении которого существует угроза окончательной потери жизнеспособности организации в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.

2.24 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.

Примечание

1 Распределение обычно является упорядоченным.

2 Организация может быть государственной или частной

[ИСО 9000:2005].

2.25 продукция и услуги (products and services): Результат деятельности организации, который она предоставляет своим потребителям, получателям и причастным сторонам, например промышленные товары, страхование, медицинское обслуживание и др.

2.26 целевой срок восстановления (recovery time objective RTO): Время, запланированное для:

- возобновления производства продукции или оказания услуг после инцидента;

- возобновления деятельности после инцидента;

- восстановления информационной системы и/или прикладных программ после инцидента.

Примечание - Целевой срок восстановления должен быть меньше, чем максимально приемлемый период нарушения.

2.27 устойчивость (resilience): Способность организации противостоять воздействию инцидента.

2.28 риск (risk): Сочетание вероятности события и масштабов его последствий, а также его воздействие на достижение целей организации.

Примечание

1 Термин "риск" обычно используют только тогда, когда существует возможность негативных последствий.

2 В некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата.

3 Применительно к безопасности см. [2].

[ИСО/МЭК Руководство 73:2009].

4 Риск обычно определяют по отношению к конкретной цели, поэтому для нескольких целей существует возможность оценить риск для каждого источника опасности.

5 В качестве количественной оценки риска часто используют сумму произведений последствий на вероятность соответствующего опасного события. Однако для количественной оценки диапазона возможных последствий необходимо знание распределения вероятностей. Кроме того, может быть использовано стандартное отклонение.

2.29 допустимый совокупный риск (risk appetite): Величина совокупного риска, который организация готова допустить или которому готова подвергнуться в любой момент времени.

2.30 оценка риска (risk assessment): Полный процесс идентификации, анализа и сравнительной оценки риска.

2.31 менеджмент риска (risk management): Структурированная разработка и применение культуры, политики, процедур и методов менеджмента к задачам идентификации, анализа, оценки и обработки риска.

2.32 причастная сторона (stakeholder): Любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска.

Примечание

1 Лицо, принимающее решение, также является причастной стороной.

2 Причастная сторона включает в себя заинтересованную сторону, но имеет более широкое значение, чем заинтересованная сторона

[ИСО/МЭК Руководство 73:2009].

2.33 высшее руководство (top management): Лицо или группа работников, осуществляющих направление деятельности и управление организацией на высшем уровне

[ИСО 9000:2005, статья 3.2.7].

Примечание - Высшее руководство, особенно в большой транснациональной корпорации, не всегда может быть непосредственно вовлечено в МНБ, однако в этом случае высшее руководство несет ответственность через утвержденный в организации порядок соподчиненности. В малой организации высшее руководство может быть владельцем этого процесса.

3 Краткий обзор менеджмента непрерывности бизнеса

3.1 Определение МНБ

Менеджмент непрерывности бизнеса - это процесс, связанный с собственниками бизнеса и активизирующий работу других процессов, в рамках которого устанавливают стратегические цели и структуру управления в соответствии с целями организации в области непрерывности бизнеса, которые:

- активно улучшают устойчивость организации, обеспечивают стабильность ее способности достигать основные поставленные цели;

- обеспечивают отработанный метод восстановления способности организации поставлять ключевые продукцию и услуги на установленном уровне в пределах согласованного времени после возникновения нарушения деятельности;

- обеспечивают верифицированную способность организации управлять нарушениями своей деятельнорсти и защищать ее бизнес, репутацию, конкурентоспособность и бренд.

Отдельные процессы непрерывности бизнеса могут изменяться в зависимости от размеров, структуры и назначения организации, однако основные принципы остаются постоянными для организаций некоммерческого, частного или государственного сектора, независимо от их размера, области или сложности деятельности.

3.2 МНБ и стратегия организации

Все организации, большие или малые, имеют свои цели и задачи, такие как обеспечение роста и развития, расширение сферы услуг и/или приобретение других организаций. Эти цели и задачи обычно реализуются путем выполнения стратегических планов и достижения кратко-, средне- и долгосрочных установленных показателей организации. На самом высоком уровне понимания МНБ организация обеспечивает достижение этих целей и задач в условиях возникновения угрозы неожиданного нарушения ее деятельности.

Инциденты могут быть различны по характеру и размерам последствий. Последствия могут привести к потере жизни людей, активов или доходов, либо неспособности поставлять продукцию и оказывать услуги, от которых порой зависит выполнение стратегий, сохранение репутации или даже само существование организации.

В рамках МНБ необходимо признать стратегическое значение известных причастных сторон. Часто последствия нарушений деятельности организации разворачиваются во времени и могут появиться новые причастные стороны, оказывающие прямое воздействие на возможную степень и масштабы повреждений и ущерба. Например, суммарный объем проблем может оказывать сильное давление на организацию в период нарушений деятельности или разрушений.

Решение всех этих проблем представляет собой стратегические интересы организации.

3.3 Взаимосвязь МНБ с менеджментом риска

МНБ является дополнительной структурой по отношению к менеджменту риска, которая позволяет осознать существующие опасности для деятельности и бизнеса организации, а также последствия возникновения опасных событий.

Менеджмент риска ориентирован на управление риском по ключевым вопросам поставки продукции и предоставления услуг организацией. Производство продукции и оказание услуг могут быть разрушены широким спектром разнообразных инцидентов, многие из которых трудно не только спрогнозировать, но и проанализировать их причины.

Ориентируясь на воздействие нарушений, в процессе МНБ идентифицируют продукцию и услуги, от которых зависит выживание организации, а также необходимые условия для продолжения деятельности и непрерывности выполнения организацией своих обязательств. Внедрение МНБ позволит организации еще до реализации инцидента выявить необходимые ответные меры для защиты людей, производственных площадей, технологий, информации, системы поставок, причастных сторон и репутации организации.

На этом этапе организация может получить реальное представление о том, как и когда произойдет нарушение ее деятельности. Это необходимо для достижения уверенности в том, что организация способна справиться с любыми последствиями без недопустимой задержки поставки продукции или оказания услуг.

Организация, которая принимает соответствующие меры по МНБ в конкретной ситуации, может использовать в своих интересах дополнительные возможности даже при высоком уровне риска.

3.4 Причины применения организацией МНБ

МНБ является важным элементом успешного управления бизнесом и предпринимательской дальновидности.

Руководители и владельцы организации несут ответственность за поддержание способности организации функционировать без перебоев. Организация постоянно берет на себя различные обязательства, в том числе по поставке продукции и оказанию услуг, заключает договоры и совершает иные действия, направленные на рост доходов и достижение ожидаемых результатов. У всех организаций существуют моральные и социальные обязанности, особенно если они обеспечивают работу в чрезвычайных ситуациях или оказывают государственные или благотворительные услуги. В некоторых случаях для организаций установлены законодательные или обязательные требования по применению МНБ.

Нормальное функционирование любых видов деятельности организации может быть нарушено посредством воздействия на него таких разрушающих факторов, как технологические отказы, наводнения, прорыв коммуникаций и терроризм. МНБ обеспечивает способность реагировать надлежащим образом на текущее нарушение деятельности организации, защищая благосостояние и безопасность конкретных людей и общества в целом.

МНБ целесообразно рассматривать не как дорогостоящий процесс планирования, а как процесс, добавляющий ценность организации.

3.5 Выгоды от реализации эффективной программы МНБ

Организация может получить следующие выгоды от реализации эффективной программы МНБ (перечень может быть дополнен):

- способность активно идентифицировать нарушения работы производственных процессов;

- возможность применить эффективные ответные меры на нарушения и тем самым снизить до минимума отрицательные воздействия на организацию;

- способность управлять неисследованным риском;

- развитие способности и поощрение к совместной работе междисциплинарных групп специалистов различных подразделений;

- возможность продемонстрировать предусмотренные ответные меры на нарушение деятельности организации во время учений по МНБ;

- возможность повысить репутацию;

- возможность создания конкурентных преимуществ путем демонстрации способности организации поддерживать непрерывность поставок.

3.6 Результаты внедрения эффективной программы МНБ

Результатами внедрения эффективной программы МНБ являются:

- идентификация, защита от негативных воздействий и обеспечение непрерывной поставки ключевых продукции и услуг;

- способность управлять инцидентом, достаточная для обеспечения эффективных ответных мер в конкретной ситуации;

- разработка, документирование и понимание организацией себя и своих отношений с другими организациями, соответствующими законодательными и правительственными структурами, органами местного самоуправления и аварийными службами;

- обучение персонала выполнению эффективных ответных мер в случае инцидента или нарушений деятельности организации;

- понимание и установление требований причастных сторон;

- обеспечение персонала необходимой поддержкой и средствами обмена информацией в случае возникновения инцидентов и нарушений деятельности организации;

- дополнительная защита цепи поставок организации;

- дополнительная защита репутации организации;

- сохранение устойчивости организации при выполнении обязательных и законодательных требований.

3.7 Элементы жизненного цикла менеджмента непрерывности бизнеса

Жизненный цикл МНБ включает шесть элементов (см. рисунок 1). Элементы жизненного цикла могут быть внедрены организациями различных размеров и секторов экономики: государственными, частными, некоммерческими, образовательными, производственными и т.д. Область применения и структура программы МНБ могут быть различны. Затраченные на внедрение МНБ усилия зависят от индивидуальных потребностей организации, однако в любом случае эти шесть существенных элементов должны быть выполнены.

a) управление программой МНБ (см. раздел 5)

Управление программой МНБ дает возможность установить и поддерживать способность к непрерывности бизнеса способом, наиболее соответствующим размеру и сложности организации.

b) анализ непрерывности бизнеса организации (см. раздел 6)

Деятельность, связанная с анализом непрерывности бизнеса организации, которая направлена на получение информации, позволяющей расставить приоритеты для продукции и услуг организации и определить актуальность действий МНБ. На основе анализа непрерывности бизнеса организация может установить требования, позволяющие выбрать стратегии МНБ.

c) определение стратегии МНБ (см. раздел 7)

Данный элемент позволяет провести оценку нескольких стратегий. Стратегия МНБ позволяет выбрать соответствующие ответные меры на негативные события для каждой продукции или услуги таким образом, чтобы организация могла продолжать поставлять эту продукцию и оказывать услуги:

- на приемлемом уровне;

- в пределах приемлемого периода в процессе и после нарушения ее деятельности.

Выбор стратегии следует осуществлять с учетом способности организации к восстановлению (устойчивости) и принимать во внимание контрмеры, уже применяемые в организации.

Рисунок 1 - Этапы жизненного цикла менеджмента непрерывности бизнеса

d) разработка и внедрение в МНБ ответных мер на негативное событие (см. раздел 8)

Разработка и внедрение в МНБ ответных мер на негативное событие приводит к созданию структуры менеджмента и управления при возникновении инцидента, планов непрерывности бизнеса и планов восстановления бизнеса, подробно описывающие ответные меры, которые должны быть предприняты в процессе и после инцидента для поддержки или восстановления деятельности организации.

Комментарий к 3.7d) - Термин "инцидент" использован в настоящем стандарте для отражения масштаба событий от малого до большого, которые могут повлиять на организацию. Один или несколько инцидентов могут привести к серьезным нарушениям способности организации выполнять свои обязательства. При правильном управлении ситуация в условиях инцидента не может развиться в кризис. Однако некоторые события могут вызвать такие серьезные нарушения планов по достижению целей организации, что их возникновение можно считать кризисом.

Размах инцидента может превысить степень готовности организации, даже если ответные меры на ожидаемый уровень нарушений ее деятельности были тщательно разработаны. Поэтому крайне важно, чтобы структуры процесса менеджмента и вспомогательных процессов гибко изменялись согласно обстоятельствам. План обеспечения непрерывности бизнеса никогда не заменяет взвешенного и компетентного управленческого решения руководства.

e) меры по применению, поддержке и анализу МНБ (см. раздел 9)

Меры по применению, поддержке, анализу и аудиту МНБ делают организацию способной:

- демонстрировать степень полноты, актуальности и точности ее стратегий и планов;

- выявлять возможности для улучшения своей деятельности.

f) внедрение МНБ в культуру организации (см. раздел 10)

Внедрение МНБ в культуру организации позволяет этой системе стать частью наиболее ценных активов организации, что вызывает доверие всех причастных сторон в способности организации справляться с возникающими трудностями и нарушениями функционирования.

4 Политика в области непрерывности бизнеса

4.1 Краткий обзор

4.1.1 Политика МНБ определяет следующие процессы:

- организационную деятельность по установлению способности к непрерывности бизнеса;

- непрерывный менеджмент и поддержку способности к обеспечению непрерывности бизнеса.

4.1.2 Организационная деятельность включает в себя установление требований и полного цикла непрерывности бизнеса от проектирования, построения, внедрения до первоначального применения и проверки способности организации к непрерывности бизнеса.

4.1.3 Непрерывная поддержка и менеджмент включают в себя: внедрение непрерывности бизнеса в организации; проведение регулярных учений по применению планов обеспечения непрерывности бизнеса; актуализацию и обмен информацией в соответствии с этим планом, особенно, если происходят существенные изменения в производственных площадях, персонале, организационной структуре, производственных и технологических процессах или рыночных условиях.

Комментарий к 4.1 - Целями установления политики непрерывности бизнеса являются:

- обеспечение согласованности, управляемости и выполнимости всех действий МНБ;

- достижение способности к непрерывности бизнеса, которая отвечает изменяющимся потребностям бизнеса и соответствует размеру, сложности и характеру организации;

- установление четко определенной структуры для непрерывной способности организации к МНБ.

4.2 Цели применения

Политика в области МНБ должна соответствовать природе, масштабу, сложности, географии и критичности видов деятельности организации, отражать ее культуру, взаимосвязанные области и деловую среду. Политика в области МНБ определяет требования к процессу обеспечения непрерывности бизнеса и должна обеспечивать соответствие действий в области непрерывности бизнеса потребностям организации в случае возникновения инцидента, а также развитие способности организации к непрерывности бизнеса. Способность к МНБ должна быть интегрирована в деятельность организации по управлению изменениями таким образом, чтобы способность к непрерывности бизнеса способствовала росту номенклатуры продукции и объема услуг.

4.3 Разработка политики непрерывности бизнеса

Организация должна разработать политику в области непрерывности бизнеса, которая отвечает целям МНБ организации. Первоначально она может быть выпущена в виде заявления о намерениях, утвержденного на самом высоком уровне организации, которое может быть доработано, расширено и улучшено по мере развития в организации МНБ.

Политика в области непрерывности бизнеса должна обеспечивать организации документированные принципы и цели, к которым должна стремиться организация и на соответствие которым необходимо проводить измерение способности к непрерывности бизнеса. Политика в области МНБ должна быть утверждена на самом высоком уровне организации, например, генеральным директором или председателем совета директоров.

При разработке политики в области МНБ организация должна определить:

- области применения МНБ в организации;

- необходимые ресурсы для МНБ;

- принципы, руководящие указания и минимальное количество стандартов организации в области МНБ;

- ссылки на соответствующие стандарты, инструкции или другие нормативные акты организации, которые должны быть включены в документы или могут быть использованы как точки отсчета.

Организация должна поддерживать в рабочем состоянии политику, стратегии, планы и решения в области МНБ и проводить их анализ через запланированные интервалы времени в соответствии с потребностями организации.

В политике организации должны быть точно установлены все применяемые ограничения или исключения в области МНБ, например исключения по географическому признаку или по виду продукции.

4.4 Область применения МНБ

Высшее руководство должно определить область применения МНБ путем идентификации ключевой продукции и услуг, которые способствуют достижению установленных целей и выполнение обязательных и законодательных требований организации. Определение области применения МНБ должно в целом быть совместимо с анализом воздействия на бизнес (см. 6.2).

4.5 Услуги сторонних организаций

_______________

Аутсорсинг (Прим. - пер.).

Если продукция, услуги или деятельность были произведены с привлечением сторонних организаций, риск, связанный с продукцией, услугой или деятельностью, несет организация. Следовательно, организация должна убедиться, что ее ключевые поставщики и привлекаемые сторонние организации (партнеры) принимают эффективные меры по МНБ в своей деятельности. Одним из методов выполнения этого требования является получение свидетельства, полученного по результатам аудита, внедрения и осуществления планов обеспечения непрерывности бизнеса, программ учений и поддержки МНБ ключевых поставщиков.

5 Управление программой МНБ

Управление программой МНБ - это основа процесса МНБ. Эффективное управление программой устанавливает общий подход к непрерывности бизнеса, принятый в организации.

Участие высшего руководства является ключевым фактором для обеспечения правильного введения, соответствующей поддержки и установки процесса МНБ как части культуры организации.

5.1 Краткий обзор

Выполнение программы МНБ обеспечивает достижение целей, установленных политикой непрерывности бизнеса (см. 4.3). Управление программой МНБ включает три шага:

- распределение ответственности и полномочий (см. 5.2);

- осуществление непрерывности бизнеса в организации (см. 5.3);

- постоянный менеджмент непрерывности бизнеса (см. 5.4).

5.2 Распределение ответственности и полномочий

5.2.1 Высшее руководство организации должно назначить:

- лицо из числа высшего руководства, наделенное соответствующими полномочиями, ответственное за политику в области МНБ и ее внедрение;

- одного или несколько лиц, ответственных за выполнение и поддержку программы МНБ.

Комментарий к 5.2.1 - Лица, занятые в процессе выполнения и поддержки программы непрерывности бизнеса, могут участвовать во многих областях деятельности организации в зависимости от ее размера, масштаба и сложности. Существенно, однако, что лицо, наделенное соответствующими полномочиями (например, собственник, председатель совета директоров или генеральный директор), должно нести полную ответственность за МНБ и являться непосредственно ответственным за обеспечение длительного успеха реализации этой способности.

5.2.2 Если позволяет соподчиненность организационной структуры, высшее руководство может назначить уполномоченного представителя в соответствии с функциями или местом расположения бизнеса для помощи в создании программы МНБ.

Обязанности, подотчетность, ответственность и полномочия персонала должны быть установлены в рабочих и должностных инструкциях.

Анализ этих обязанностей необходимо проводить в процессе аудита организации.

Надлежащее выполнение обязанностей в области обеспечения непрерывности бизнеса может быть усилено путем их включения в политику организации в области аттестации, компетентности и поощрения персонала.

Комментарий к 5.2.2 - В крупных организациях может возникнуть потребность в создании группы представителей по непрерывности бизнеса с различными зонами ответственности и полномочиями. В малых организациях ответственность за непрерывность бизнеса может быть возложена на одного или нескольких сотрудников.

5.3 Осуществление непрерывности бизнеса в организации

5.3.1 Деятельность по выполнению программы непрерывности бизнеса должна включать в себя проектирование, разработку и внедрение программы.

Организация должна осуществлять следующие действия:

- обмен информацией о программе с причастными сторонами;

- организацию и/или обеспечение соответствующего обучения персонала;

- проведение учений по обеспечению непрерывности бизнеса (см. раздел 9).

5.3.2 Организация может адаптировать признанные методы менеджмента для обеспечения эффективного управления программой непрерывности бизнеса.

5.4 Постоянный менеджмент непрерывности бизнеса

5.4.1 Краткий обзор

Действия по постоянному менеджменту должны обеспечивать внедрение процесса непрерывности бизнеса в организации. Каждый компонент способности организации к непрерывности бизнеса должен быть проанализирован, внедрен и актуализирован через запланированные интервалы времени. Кроме того, принимаемые меры и планы по непрерывности бизнеса должны также подвергаться анализу и актуализации всякий раз, когда происходят существенные изменения в рабочей среде, персонале, производственных и технологических процессах организации, а также в случаях, когда при внедрении мероприятий или возникновении инцидента в каких-либо областях деятельности организации выявлены недостатки.

5.4.2 Непрерывная поддержка МНБ в рабочем состоянии

Вне зависимости от обеспечения МНБ соответствующими ресурсами существуют действия, которые следует непрерывно выполнять. К таким действиям относятся:

- определение области применения, распределение ответственности и полномочий для МНБ;

- назначение соответствующего лица или группы лиц для управления непрерывной поддержкой к МНБ;

- поддержка актуальности программы непрерывности бизнеса путем внедрения передового опыта;

- продвижение непрерывности бизнеса на всех уровнях и во всех подразделениях организации и за ее пределами (если применимо);

- управление программой учений;

- проведение регулярного анализа и обновления МНБ через запланированные интервалы времени, включая анализ и актуализацию оценок риска и анализа воздействия на бизнес;

- поддержание в рабочем состоянии документации МНБ в соответствии с размером и сложностью организации (см. 5.5);

- мониторинг способности организации к обеспечению непрерывности бизнеса;

- управление затратами на обеспечение непрерывности бизнеса;

- установление и мониторинг управления изменениями и системы обеспечения преемственности.

5.5 Документация МНБ

Лица, ответственные за поддержание в рабочем состоянии непрерывности бизнеса, должны создать и поддерживать в рабочем состоянии документацию в области непрерывности бизнеса. Эта документация должна включать в себя:

a) политику в области МНБ:

- положение об области применения МНБ,

- область применения МНБ;

b) анализ воздействия на бизнес (АВБ);

c) оценку риска;

d) стратегию (и) МНБ;

e) программу обеспечения компетентности в области непрерывности бизнеса;

f) программу обучения в области непрерывности бизнеса;

g) планы управления инцидентом(ами);

h) планы обеспечения непрерывности бизнеса;

i) планы восстановления бизнеса;

j) график и программу учений, а также отчетность об их проведении;

k) соглашения и договоры об уровне работоспособности системы МНБ.

6 Анализ непрерывности бизнеса организации

Цель данного элемента жизненного цикла МНБ состоит в обеспечении понимания и анализа организацией непрерывности своего бизнеса путем идентификации ее ключевой продукции и услуг, а также поддерживающих их критических видов деятельности и ресурсов. Этот элемент должен обеспечивать соответствие программы МНБ установленным целям организации, а также обязательным и законодательным требованиям.

6.1 Введение

6.1.1 Анализ непрерывности бизнеса организации основан на:

- идентификации целей организации, обязательств перед причастными сторонами, установленных законодательных и обязательных требований, особенностей рабочей среды и условий функционирования организации;

- идентификации видов деятельности, активов и ресурсов организации (включая внешние), которые поддерживают поставку продукции и услуг;

- оценке воздействий и долговременных последствий отказов, отсутствия активов и ресурсов при выполнении вышеуказанных видов деятельности (см. 6.2);

- идентификации и оценке осознанных угроз, которые могут нарушить производство и поставку ключевой продукции и услуг организации, поддерживающие их критические виды деятельности, активы и ресурсы (см. 6.5).

6.1.2 Для организации важно понять:

a) взаимосвязь ее видов деятельности;

b) любую зависимость деятельности организации от внешних организаций, равно как и других сторон от деятельности организации.

6.2 Анализ воздействия на бизнес (АВБ)

6.2.1 Организация должна определить и документально оформить воздействие нарушений на деятельность, поддерживающую ее ключевые продукцию и услуги. Этот процесс обычно называют анализом воздействия на бизнес.

6.2.2 Для каждого вида деятельности, поддерживающей производство и поставку ключевой продукции и услуг, в рамках области применения программы МНБ, организация должна:

а) оценить воздействие нарушений деятельности, которые могут произойти по прошествии длительного времени;

b) установить максимально приемлемый период нарушения каждого вида деятельности путем идентификации:

- максимального периода времени после начала нарушения, в пределах которого деятельность должна быть возобновлена;

- минимального уровня выполнения этой деятельности после ее возобновления,

- периода времени, в пределах которого должен быть возобновлен нормальный уровень осуществления деятельности;

Комментарий к 6.2.2b) - При нарушении деятельности воздействие, как правило, возрастает со временем и по разному влияет на каждый вид деятельности. Воздействие нарушений функционирования может также изменяться в зависимости от дня, месяца или этапа жизненного цикла бизнеса.

c) идентифицировать любые взаимозависимые виды деятельности, активы, инфраструктуру или ресурсы, которые следует непрерывно поддерживать в рабочем состоянии и/или восстанавливать в установленные сроки.

6.2.3 При оценке воздействий должны быть рассмотрены вопросы, касающиеся целей и задач бизнеса организации и ее причастных сторон. Они должны включать оценку:

- воздействий на благосостояние персонала или общества;

- воздействий повреждений или потерь на производственные площади, технологии или информацию организации;

- воздействий нарушения законодательных и обязательных требований;

- потери репутации;

- снижения финансовой устойчивости;

- ухудшения качества продукции или услуги;

- ущерба окружающей среде.

Организация должна документировать метод оценки воздействия нарушений деятельности организации, полученные выходные данные и результаты их анализа.

Полная версия документа доступна с 20.00 до 24.00 по московскому времени.

Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.