ГОСТ Р ИСО 22301-2021. Надежность в технике. Системы менеджмента непрерывности деятельности. Требования.

Главная/

Нормы и стандарты/

ГОСТ Р ИСО 22301-2021 Надежность в технике. Системы менеджмента непрерывности деятельности. Требования.

ГОСТ Р ИСО 22301-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Надежность в технике

СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ

Требования

Dependability in technics. Business continuity management systems. Requirements

ОКС 03.100.01;

03.100.70

Дата введения 2022-01-01

Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 октября 2021 г. N 1059-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 22301:2019* "Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Требования" (ISO 22301:2019 "Security and resilience - Business continuity management systems - Requirements", IDT).

Международный стандарт разработан Техническим комитетом ISO/ТС 292.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО 22301-2014

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие положения

Настоящий стандарт устанавливает структуру системы менеджмента непрерывности деятельности (СМНД) в соответствии с количеством и типом воздействий, на которые организация может или не может реагировать при нарушении деятельности организации в работе, а также требования к внедрению и поддержанию этой системы.

Результаты применения СМНД сформированы организацией с учетом правовых, нормативных, организационных и отраслевых требований, особенностей продукции и услуг, процессов, размера и структуры организации, а также требований заинтересованных сторон.

В СМНД уделено особое внимание важности:

- понимания потребностей организации и необходимости установления политики и целей обеспечения непрерывности деятельности;

- функционирования и поддержке процессов, возможностей и структур реагирования для преодоления организацией возможных нарушений деятельности организации;

- мониторинга и анализа результативности и эффективности СМНД;

- постоянного улучшения на основе качественных и количественных показателей.

СМНД, как и любая другая система управления, включает в себя следующие компоненты:

a) политику;

b) компетентный персонал с установленными обязанностями;

c) процессы управления, которые связаны:

1) с политикой;

2) планированием;

3) разработкой и функционированием;

4) оценкой результатов работы;

5) анализом со стороны руководства;

6) постоянным улучшением;

d) документированную информацию, поддерживающую оперативное управление и позволяющую выполнять оценку результатов.

0.2 Преимущества системы управления непрерывностью деятельности

Целью СМНД является подготовка, обеспечение и поддержка средств контроля и управления и обеспечения возможностей для продолжения работы организации во время нарушении ее деятельности. При внедрении этой системы организация может достичь следующих преимуществ:

a) в области перспектив деятельности:

1) поддержки своих стратегических целей;

2) создания конкурентных преимуществ;

3) защиты и укрепления репутации и доверия к организации;

4) повышения устойчивости организации;

b) в области финансов:

1) снижения подверженности негативным воздействиям в правовой и финансовой сферах;

2) снижения прямых и косвенных затрат в случае нарушений деятельности организации;

c) в области перспектив для заинтересованных сторон:

1) защиты жизни, имущества и окружающей среды;

2) учета ожиданий заинтересованных сторон;

3) обеспечения уверенности в достижении организацией успеха;

d) в области внутренних процессов:

1) повышения возможностей организации эффективно функционировать в период нарушения ее деятельности;

2) демонстрации эффективного и результативного преактивного контроля риска;

3) устранения уязвимостей в работе.

0.3 Цикл Plan-Do-Check-Act (PDCA)

В настоящем стандарте использован цикл "Планирование (создание)", "Выполнение (внедрение и эксплуатация)", "Проверка (мониторинг и проверка)" и "Действие (поддержание и улучшение)" (PDCA) для реализации, поддержания и постоянного повышения эффективности СМНД организации.

Настоящий стандарт согласован со стандартами других систем менеджмента, такими как ИСО 9001, ИСО 14001, ИСО/МЭК 20000-1, ИСО/МЭК 27001 и ИСО 28000, обеспечивая последовательное интегрированное выполнение и работу СМНД со связанными системами менеджмента.

В соответствии с циклом PDCA в разделах 4-10 приведены следующие требования.

- В разделе 4 приведены требования, необходимые для установления условий применения СМНД в организации, а также соответствующие потребности, требования и область применения.

- В разделе 5 приведены требования к высшему руководству СМНД и способы отражения ожиданий руководства в политике организации.

- В разделе 6 приведены требования к установлению стратегических целей и руководящих принципов СМНД в целом.

- Раздел 7 поддерживает функции СМНД, связанные с установлением компетенции и обменом информацией на регулярной основе (по мере необходимости) с заинтересованными сторонами при документировании, контроле, поддержке и хранении необходимой документированной информации.

- В разделе 8 определены потребности в обеспечении непрерывности деятельности, способы их удовлетворения, разработки процедур управления организацией при нарушении работы.

- В разделе 9 приведены общие требования к измерению показателей непрерывности деятельности, соответствия СМНД настоящему стандарту и проведению анализа со стороны руководства.

- В разделе 10 определены действия по реагированию на несоответствия и постоянному улучшению СМНД посредством корректирующих и предупреждающих действий.

0.5 Содержание стандарта

Настоящий стандарт соответствует требованиям ИСО к стандартам на системы менеджмента. Эти требования включают в себя структуру высокого уровня, идентичный основной текст и общие термины с основными определениями для помощи пользователям, применяющим стандарты ИСО на системы менеджмента.

Настоящий стандарт не включает требования, специфичные для других систем менеджмента, хотя элементы настоящего стандарта могут быть согласованы или интегрированы с элементами других систем менеджмента.

Настоящий стандарт устанавливает требования, которые могут быть использованы организацией при разработке СМНД и оценке ее соответствия требованиям настоящего стандарта. Организация, которая желает продемонстрировать соответствие своей СМНД требованиям настоящего стандарта, может сделать это:

- путем самоопределения и декларации о соответствии;

- получения подтверждения соответствия от сторон, заинтересованных в организации, таких как потребители;

- подтверждения своей декларации внешней стороной;

- сертификации/регистрации своей СМНД сторонней организацией.

В разделах 1-3 настоящего стандарта приведены ограничения, нормативные ссылки, а также термины и определения, применяемые при использовании настоящего стандарта. В разделах 4-10 приведены требования, которые должны быть использованы при оценке соответствия СМНД требованиям настоящего стандарта.

Информация, приведенная в примечаниях, предназначена для понимания или разъяснения соответствующего требования. Примечания в разделе 3 предоставляют информацию, которая дополняет терминологические данные и может содержать положения, касающиеся использования термина.

1 Область применения

В настоящем стандарте установлены требования к разработке, применению и улучшению системы менеджмента для защиты организации от нарушения ее деятельности, уменьшения вероятности его возникновения, подготовке к реагированию и восстановлению после нарушения деятельности организации при его возникновении.

Требования, установленные в настоящем стандарте, являются общими и предназначены для применения ко всем организациям или их частям, независимо от типа, размера и особенностей организации. Степень применения этих требований зависит от условий работы организации и ее сложности.

Настоящий стандарт применим ко всем типам и размерам организаций, которые:

a) разрабатывают, применяют и улучшают СМНД;

b) стремятся обеспечить соответствие СМНД заявленной политике в области непрерывности деятельности;

c) нуждаются в возможности продолжения поставки продукции и услуг на приемлемом предопределенном уровне в период нарушения деятельности организации;

d) стремятся повысить устойчивость организации за счет эффективного применения СМНД.

Настоящий стандарт может быть использован для оценки способности организации удовлетворять свои потребности и обязательства в области обеспечения непрерывности деятельности.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующий стандарт:

ISO 22300, Security and resilience - Vocabulary (Безопасность и устойчивость к негативным внешним воздействиям. Словарь)

3 Термины и определения

В настоящем стандарте применены термины по ИСО 22300, а также следующие термины с соответствующими определениями.

Терминологические базы данных ИСО и МЭК доступны по следующим интернет-адресам:

- электронная платформа ИСО с функцией онлайн-просмотра терминов по адресу: http://www.iso.org/obp;

- электронная база МЭК Electropedia по адресу: http://www.electropedia.org/.

Примечание - Термины и определения, приведенные ниже, заменяют приведенными в ИСО 22300:2018.

3.1 деятельность (activity): Выполнение одной или нескольких задач с заданным результатом.

[ИСО 22300:2018, 3.1, модифицировано - определение заменено, удален пример]

3.2 аудит (audit): Систематический, независимый и документированный процесс (3.26) получения аудиторских доказательств и их объективной оценки для определения степени выполнения критериев аудита.

Примечание 1 - Аудит может быть внутренним аудитом (первая сторона), внешним аудитом (вторая сторона или третья сторона), может быть комбинированным аудитом (объединяющим проверку двух или более дисциплин).

Примечание 2 - Внутренний аудит проводит сама организация (3.21) или внешняя сторона по ее заказу.

Примечание 3 - "Доказательства аудита" и "критерии аудита" определены в ISO 19011.

Примечание 4 - Фундаментальные элементы аудита включают определение соответствия (3.7) объекта в соответствии с процедурой, выполняемой персоналом, не отвечающим за объект аудита.

Примечание 5 - Внутренний аудит может быть проведен для анализа со стороны руководства и других внутренних целей и может служить основой для декларации о соответствии организации. Независимость может быть продемонстрирована свободой от ответственности за проверяемую деятельность (3.1). Внешние аудиторские проверки включают в себя аудит, выполняемый второй и третьей сторонами. Аудит, выполняемый второй стороной, проводят партнеры, заинтересованные в организации, такие как потребители или другие лица от их имени. Аудит, выполняемый третьей стороной, проводят внешние независимые аудиторские организации, такие как организации, осуществляющие сертификацию/регистрацию соответствия, или государственные органы.

Примечание 6 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Исходное определение было изменено путем добавления примечаний 4 и 5.

3.3 непрерывность деятельности (business continuity): Способность организации (3.21) продолжать производство продукции или оказание услуг (3.27) в приемлемых временных рамках, на приемлемом, заранее заданном уровне после нарушения деятельности организации (3.10).

[ИСО 22300:2018, 3.24, модифицировано - определение заменено]

3.4 план обеспечения непрерывности деятельности (business continuity plan): Документированная информация (3.11), описывающая деятельность организации (3.21) при реагировании на нарушение деятельности организации (3.10) для возобновления, восстановления и продолжения поставки продукции и оказания услуг (3.27) в соответствии с целями (3.20) обеспечения непрерывности деятельности (3.3).

[ИСО 22300:2018, 3.27, модифицировано - определение заменено, примечание удалено].

3.5 анализ воздействий на деятельность (business impact analysis): Процесс (3.26) анализа воздействий (3.13) на деятельность организации, которые со временем могут привести к нарушению деятельности организации (3.10) в ее работе (3.21).

Примечание - Результатом анализа воздействия на деятельность является установление и обоснование требований (3.28) к обеспечению непрерывности деятельности (3.3).

[ИСО 22300:2018, 3.29, модифицировано - определение заменено, добавлено примечание]

3.6 компетентность (competence): Подтвержденная способность применять знания и навыки для достижения желаемых результатов.

Примечание - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

3.7 соответствие (conformity): Выполнение требований (3.28).

3.8 постоянное улучшение (continual improvement): Повторяющаяся деятельность (3.1), направленная на совершенствование показателей деятельности.

3.9 корректирующее действие (corrective action): Меры по устранению выявленного несоответствия (3.19), определению его причин(ы) и недопущению его повторения.

3.10 нарушение деятельности организации (disruption): Инцидент (3.14), ожидаемый или непредвиденный, который вызывает незапланированное отрицательное отклонение от ожидаемой поставки продукции и/или услуг (3.27) в соответствии с целями (3.20) организации (3.21).

[ИСО 22300:2018, 3.70, модифицировано - определение заменено].

3.11 документированная информация (documented information): Управляемая или поддерживаемая организацией (3.21) информация и ее носители.

Примечание 1 - Документированная информация может иметь любой формат и любой носитель.

Примечание 2 - Документированная информация может относиться:

- к системе менеджмента (3.16), включая связанные процессы (3.26);

- информации, созданной для работы организации (документация);

- подтверждению достигнутых результатов (записи).

Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

3.12 результативность (effectiveness): Степень выполнения запланированной деятельности (3.1) и достижения запланированных результатов.

3.13 воздействие (impact): Результат нарушения деятельности организации (3.10), воздействующий на цели (3.20).

[ИСО 22300:2018, 3.107, модифицировано - определение заменено]

3.14 инцидент (incident): Событие, которое может представлять собой или приводить к нарушению деятельности организации (3.10), материальным или иным потерям, чрезвычайной ситуации или кризису.

[ИСО 22300:2018, 3.111, модифицировано - определение заменено]

3.15 заинтересованная сторона (предпочтительный термин), причастная сторона (допустимый термин) (interested party (preferred term), stakeholder (admitted term): Лицо или организация (3.21), которые могут повлиять, быть затронуты или считают себя затронутыми решением или деятельностью (3.1).

Пример - Клиенты, владельцы, персонал, поставщики, банкиры, регулирующие органы, объединения, партнеры или сообщества, которые могут включать конкурентов или противостоящие группы давления.

Примечание 1 - Лицо, принимающее решение, может быть заинтересованной стороной.

Примечание 2 - Затрагиваемые сообщества и местное население считаются заинтересованными сторонами.

Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Исходное определение изменено путем добавления примера и примечаний 1 и 2.

3.16 система менеджмента (management system): Совокупность взаимосвязанных и взаимодействующих элементов организации (3.21), определяющих ее политику (3.24), цели (3.20), а также процессы (3.26) для достижения этих целей.

Примечание 1 - Система менеджмента может охватывать одно или несколько направлений деятельности.

Примечание 2 - Элементами системы являются структура организации, обязанности и ответственность персонала, планирование и работа системы.

Примечание 3 - Система менеджмента может охватывать организацию в целом, отдельные конкретные функции организации, отдельные конкретные подразделения организации, одну или несколько функций в группе организаций.

Примечание 4 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

3.17 измерение (measurement): Процесс (3.26) определения значения величины.

3.18 мониторинг (monitoring): Определение состояния системы, процесса (3.26) или деятельности (3.1).

Примечание 1 - Для определения состояния может требоваться проверка, контроль или критическое наблюдение.

Примечание 2 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО системы менеджмента.

3.19 несоответствие: Невыполнение требований (3.28).

3.20 цель (objective): Результат, который должен быть достигнут.

Примечание 1 - Цель может быть стратегической, тактической или оперативной.

Примечание 2 - Цели могут относиться к разным областям (например, к финансам, охране труда, охране окружающей среды и т.д.) и уровням (например, стратегическому, общеорганизационному, уровню конкретного проекта, продукции и процессу, см. 3.12).

Примечание 3 - Цель может быть выражена иным способом: например, в виде планируемого конечного результата, намерения, оперативного критерия, цели в области непрерывности бизнеса или с помощью других близких по значению слов.

Примечание 4 - В системе менеджмента непрерывности деятельности (3.16) цели в области непрерывности деятельности организация устанавливает в соответствии с политикой (3.24) в области непрерывности деятельности для достижения определенных результатов.

Примечание 5 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

3.21 организация (organization): Лицо или группа лиц, имеющие функции, ответственность, полномочия и взаимосвязи, необходимые для достижения целей (3.20).

Примечание 1 - Понятие организации включает, среди прочего, индивидуальных предпринимателей, компании, корпорации, фирмы, предприятия, органы власти, партнерства, благотворительные организации или учреждения, а также их подразделения и объединения, независимо от того, зарегистрированы они в качестве юридических лиц или нет, являются они государственными или частными.

Примечание 2 - Для организаций с несколькими функциональными единицами одна функциональная единица может быть определена как организация.

Примечание 3 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента. Первоначальное определение изменено путем добавления примечания 2.

3.22 аутсорсинг (outsource): Форма организации работ, при которой внешняя организация (3.21) выполняет часть функции или процесса (3.26) организации.

Примечание 1 - Внешняя организация находится за рамками системы управления (3.16), хотя функция или процесс, переданные на аутсорсинг, входят в область применения системы.

Примечание 2 - Данный термин является одним из общих терминов структуры высокого уровня для стандартов ИСО на системы менеджмента.

3.23 показатель (деятельности) (performance): Измеримый результат.

Полная версия документа доступна с 20.00 до 24.00 по московскому времени.

Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.

Теги документа

гост надежность в технике