ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования.

        ГОСТ Р ИСО 22301-2014

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ БИЗНЕСА

 Общие требования

 Business continuity management systems. Requirements

ОКС 03.100.01*

________________

     * Поправка (ИУС N 12-2020)

Дата введения 2015-12-01

 Предисловие

1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (АО "НИЦ КД") на основе собственного перевода англоязычной версии стандарта, указанного в разделе 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2014 г. N 1351-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 22301:2012* "Социальная безопасность Системы менеджмента непрерывности бизнеса. Требования" (ISO 22301:2012 "Societal security - Business continuity management systems - Requirements", IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов, указанных в библиографии настоящего стандарта, соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

ВНЕСЕНА поправка, опубликованная в ИУС N 12, 2020 год

 Введение

0.1 Общие положения

Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).

СМНБ подчеркивает важность

- понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса,

- внедрения средств и показателей управления общей способностью организации противостоять разрушительным инцидентам,

- анализа и мониторинга выполнения и результативности СМНБ,

- непрерывного совершенствования, основанного на объективных измерениях.

Ключевыми элементами СМНБ, как и любой другой системы менеджмента, являются:

а) политика;

b) люди с установленными обязанностями;

c) процессы управления, относящиеся к:

1) политике;

2) планированию;

3) внедрению и функционированию;

4) оценке выполнения;

5) анализу со стороны руководства;

6) совершенствованию;

d) документация, обеспечивающая доказательства соответствия;

e) все процессы управления непрерывностью бизнеса в организации.

Непрерывность бизнеса способствует устойчивости общества. В процесс восстановления организации после разрушительных инцидентов может быть вовлечено общество и другие организации.

0.2 Модель "Планирование - Выполнение - Проверка - Действие" (PDCA)

Настоящий стандарт использует модель PDCA для планирования, установления, внедрения, функционирования, мониторинга, поддержки и непрерывного совершенствования результативности СМНБ организации.

Стандарт обеспечивает определенную степень соответствия другим стандартам в области систем менеджмента, таким как ИСО 9001:2008 "Система менеджмента качества. Требования", ИСО 14001:2004 "Системы экологического менеджмента. Требования и руководство по применению", ИСО/МЭК 27001:2013 "Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", ИСО/МЭК 20000-1:2011 "Информационные технологии. Менеджмент услуг. Часть 1. Требования к системе менеджмента услуг", и ИСО 28000:2007 "Системы менеджмента безопасности цепи поставок. Технические условия".

На рисунке 1 показано, как СМНБ, используя на входе заинтересованные стороны и требования к управлению непрерывностью бизнеса и, посредством необходимых действий и процессов, получает результаты (то есть управляемую непрерывность бизнеса), отвечающие этим требованиям.

Рисунок 1 - Модель PDCA, примененная к процессам СМНБ

Таблица 1 - Объяснение модели PDCA

0.3 Компоненты PDCA в настоящем стандарте

Разделы 4-10 настоящего стандарта посвящены следующим элементам модели "Планирование-Выполнение-Проверка-Действие".

- В разделе 4 (Планирование) приведены требования, необходимые для установления условий СМНБ в организации, а также к ее потребностям, требованиям и области применения.

- В разделе 5 (Планирование) приведены требования к функциям высшего руководства в СМНБ, и описано, как высшее руководство выражает свои ожидания в отношении организации посредством установления политики в области непрерывности бизнеса.

- В разделе 6 (Планирование) приведены требования, относящиеся к установлению стратегических целей и руководящих принципов СМНБ в целом. Содержание раздела 6 отличается от установления возможных вариантов обработки риска, выявляемых при оценке риска, так же как и целей восстановления, выявляемых во время анализа воздействия на бизнес (BIA).

Примечание - Требования к процессу анализа воздействия на бизнес и оценке риска приведены в разделе 8.

- Раздел 7 (Планирование) посвящен функционированию СМНБ в части установления компетентности и обмена информацией с заинтересованными сторонами и включает рекомендации по управлению, поддержке и сохранению требуемой документации.

- В разделе 8 (Выполнение) установлены требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.

- В разделе 9 (Проверка) приведены требования, необходимые для выполнения измерений в области менеджмента непрерывности бизнеса, соответствия СМНБ требованиям настоящего стандарта и ожиданиями руководства, и обратной связи с руководством относительно его ожиданий.

- В разделе 10 (Действие) идентифицированы корректирующие действия по устранению несоответствий СМНБ.

      1 Область применения

В настоящем стандарте установлены требования к планированию, созданию, внедрению, функционированию, мониторингу, поддержке в рабочем состоянии и постоянному улучшению документированной системы менеджмента для защиты от инцидентов, снижения вероятности их реализации, подготовки ответных действий и восстановления после инцидентов при их возникновении.

Требования, установленные в настоящем стандарте, являются универсальными и применимы ко всем организациям независимо от типа, размера и других особенностей. Применимость этих требований зависит от производственной среды, структуры и других особенностей организации.

Настоящий стандарт не устанавливает единообразную структуру системы менеджмента непрерывности бизнеса (СМНБ). Стандарт помогает организовать проектирование СМНБ, соответствующей потребностям организации и требованиям заинтересованных сторон. Эти требования формируются в зависимости от юридических, нормативных, организационных и производственных требований, особенностей продукции и услуг, используемых процессов, размера и структуры организации, а также требований заинтересованных сторон.

Настоящий стандарт применим к организациям всех типов и размеров, которые имеют намерения:

а) установить, внедрить, поддерживать и улучшать СМНБ;

b) обеспечить соответствие деятельности организации установленной политике в области непрерывности бизнеса;

c) демонстрировать это соответствие другим сторонам;

d) провести сертификацию/регистрацию своей СМНБ независимым аккредитованным органом по сертификации;

e) самостоятельно проверять и декларировать соответствие СМНБ требованиям настоящего стандарта.

Настоящий стандарт может быть использован для оценки способности организации удовлетворять ее потребностям и обязательствам в области непрерывности бизнеса.

      2 Нормативные ссылки

В настоящем стандарте нет ссылок на нормативные документы.

      3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

3.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.

Пример - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.

3.2 аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита и их объективной сравнительной оценки с целью установления степени выполнения согласованных критериев аудита.

Примечание 1 - Термин "независимый" не обязательно означает "сторонний по отношению к организации". В большинстве случаев, особенно в небольших организациях, независимость может означать, что аудитор не отвечает за выполнение той деятельности, которая является предметом аудита.

Примечание 2 - Дополнительные справочные материалы по фактическим данным и критериям аудита см. в ИСО 19011 [3].

3.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидента и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

[ИСО 22300]

3.4 менеджмент непрерывности бизнеса (business continuity management): Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.

3.5 система менеджмента непрерывности бизнеса (business continuity management system, BCMS) СМНБ: Часть общей системы менеджмента, которая направлена на установление, внедрение, осуществление, управление, мониторинг, анализ, поддержку и постоянное улучшение непрерывности бизнеса.

Примечание - Система менеджмента включает в себя организационную структуру, политики, планирование деятельности, распределение ответственности, процедуры, процессы и ресурсы.

3.6 план непрерывности бизнеса (business continuity plan) ПНБ: Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения выполнения организацией критически важных для нее видов деятельности на установленном приемлемом уровне.

3.7 программа непрерывности бизнеса (business continuity programme): Программа действий, направленных на осуществление и поддержку менеджмента непрерывности бизнеса, поддерживаемая и обеспечиваемая высшим руководством и необходимыми ресурсами.

3.8 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.

[ИСО 22300]

3.9 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

3.10 соответствие (conformity): Выполнение требований.

[ИСО 22300]

3.11 постоянное улучшение (continual improvement): Непрерывный процесс совершенствования системы менеджмента с целью повышения ее общей эффективности в соответствии с политикой организации в области менеджмента.

[ИСО 22300]

3.12 коррекция (correction): Действие по устранению обнаруженного несоответствия.

[ИСО 22300]

3.13 корректирующее действие (corrective action): Действие по устранению причины обнаруженного несоответствия и предотвращения его повторного возникновения.

Примечание - В настоящем стандарте действия по минимизации и устранению других нежелательных последствий не подпадают под определение "корректирующее действие".

[ИСО 22300]

3.14 документ (document): Информация и ее носитель.

Примечание 1 - В качестве носителя может выступать бумага, магнитные, электронные или оптические компьютерные диски, фотографии или их сочетание.

Примечание 2 - Набор документов, например, спецификации и отчеты, часто называют "документацией".

3.15 документированная информация (documented information): Информация, которую организация должна контролировать и хранить.

Примечание 1 - Документированная информация может иметь любой формат и любой носитель.

Примечание 2 - Документированная информация может относиться к:

- системе менеджмента, включая соответствующие процессы;

- информации, необходимой для работы организации (документация);

- подтверждению достигнутых результатов (отчеты).

3.16 результативность (effectiveness): Степень реализации запланированной деятельности и достижения запланированных результатов.

[ИСО 22300]

3.17 событие (event): Возникновение или изменение специфического набора условий.

Примечание 1 - Событие может быть единичным или кратным, и может иметь несколько причин.

Примечание 2 - Событие может быть определенным или неопределенным.

Примечание 3 - Событие может быть названо терминами "инцидент", "опасное событие" или "несчастный случай".

Примечание 4 - Событие без последствий (см. Руководство ИСО 73, 3.6.1.3) может также быть названо терминами "угроза возникновения опасного события", "угроза инцидента", "угроза поражения" или "угроза возникновения аварийной ситуации".

[Руководство ИСО 73]

3.18 учение (exercise): Запланированная репетиция возможного инцидента, разработанная для оценки способности организации справляться с инцидентом, совершенствования ответных мер организации и повышения компетентности вовлеченных сторон.

Примечание 1 - Учения могут быть использованы для валидации политики, планов, процедур, подготовки, оснащения и соглашений между организациями; обучения персонала функциям и обязанностям; улучшения координации действий и обмена информацией; повышения производительности; и идентификации возможностей улучшения.

Примечание 2 - Проверка - это особый тип учения, который направлен на выявление пригодности/непригодности элемента в пределах цели или задач планируемого учения.

[ИСО 22300]

3.19 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

[ИСО 22300]

3.20 инфраструктура (infrastructure): Система средств, оборудования и услуг, необходимая для функционирования организации.

3.21 заинтересованная сторона, причастная сторона (interested party, stakeholder): Лицо или организация, которые могут влиять на решения или деятельность, а также быть затронуты или ощущать себя затронутыми ими.

Примечание - Это может быть человек или группа, которые заинтересованы в определенном решении или виде деятельности организации.

3.22 внутренний аудит (internal audit): Аудит, выполняемый самой организацией или от ее имени для анализа менеджмента и других внутренних целей, который может служить основанием для декларации о соответствии.

Примечание - Во многих случаях, особенно на малых предприятиях, независимость при аудите обеспечивают отсутствием ответственности за деятельность, подвергаемую аудиту.

3.23 активация плана (invocation): Объявление о том, что план обеспечения непрерывности бизнеса организации должен быть введен в действие для продолжения предоставления ключевых услуг или продукции.

3.24 система менеджмента (management system): Система для разработки политики, целей и достижения этих целей.

Примечание 1 - Система менеджмента может иметь отношение к единственному или нескольким направлениям деятельности.

Примечание 2 - Элементами системы являются структура организации, функции и обязанности персонала, планирование, процедуры и т.д.

Примечание 3 - Областью применения системы менеджмента может быть вся организация, установленные и идентифицированные функции организации, установленные и идентифицированные части организации или одна или несколько функций в группе организаций.

3.25 максимально приемлемый простой (maximum acceptable outage, МАО) МПП: Время, по истечении которого неблагоприятные последствия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, становятся неприемлемыми.

Примечание - См. также максимально приемлемый период нарушения.

3.26 максимально приемлемый период нарушения (maximum tolerable period of disruption, MTPD) МППН: Время, по истечении которого неблагоприятные последствия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, становятся неприемлемыми.

Примечание - См. также максимально приемлемый простой.

3.27 измерение (measurement): Определение значения величины.

3.28 минимальная цель непрерывности бизнеса (minimum business continuity objective, MBCO) МЦНБ: Минимальный уровень услуг и/или поставок продукции, приемлемый для достижения деловых целей организации во время нарушения ее деятельности.

3.29 мониторинг (monitoring): Определение состояния системы, процесса или деятельности.

Примечание - Для определения состояния может возникнуть необходимость проведения проверки, наблюдения или критического отслеживания.

3.30 соглашение о взаимопомощи (mutual aid agreement): Заранее подготовленное обязательство между двумя или более юридическими лицами об оказании помощи друг другу.

[ИСО 22300]

3.31 несоответствие (nonconformity): Невыполнение требования.

[ИСО 22300]

3.32 цель (objective): Результат, который должен быть достигнут.

Примечание 1 - Цель может быть стратегической, тактической или операционной.

Примечание 2 - Цели могут относиться к различным областям (таким как финансы, здоровье и безопасность, экология) и уровням (например, стратегическому, организации, проекта, продукции и процесса).

Примечание 3 - Цель может быть выражена другими способами, например, в виде ожидаемого результата, замысла или критерия, или при помощи других аналогичных понятий (например, выполнения задачи).

Примечание 4 - В области систем менеджмента социальной безопасности, цели социальной безопасности организация устанавливает в соответствии с политикой социальной безопасности для достижения установленных результатов.

3.33 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Примечание 1 - Понятие организации охватывает компании, корпорации, фирмы, предприятия, учреждения, благотворительные организации, предприятия розничной торговли, ассоциации, а также их подразделения или комбинации из них.

Примечание 2 - Организация может иметь несколько структурных единиц, при этом отдельная структурная единица может быть рассмотрена как организация.

3.34 аутсорсинг (outsource (verb)): Передача организацией определенных бизнес-процессов или производственных функций для выполнения другой организацией.

Примечание - Сторонняя организация находится вне области применения системы менеджмента, хотя произведенная на стороне функция, продукция или процесс находятся в пределах области применения системы менеджмента организации.

3.35 выполнение (performance): Получение измеримого результата.

Примечание 1 - Выполнение может относиться как к количественным, так и к качественным результатам.

Примечание 2 - Выполнение может относиться к управлению действиями, процессами, продукцией (включая услуги), системами или организациями.

3.36 оценка выполнения (performance evaluation): Процесс определения измеримых результатов.

3.37 персонал (personnel): Люди, работающие в организации и находящиеся под ее управлением.

Примечание - Понятие персонала включает, но не ограничено, постоянный персонал, частично занятый персонал и персонал вспомогательных организаций.

3.38 политика (policy): Намерения и направления деятельности организации, официально сформулированные высшим руководством.

3.39 процедура (procedure): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.

3.40 процесс (process): Набор действий, направленных на достижение результата.

3.41 продукция и услуги (products and services): Результаты деятельности организации, которые она поставляет своим потребителям, получателям и причастным сторонам, например, промышленные товары, автострахование или медицинское обслуживание.

3.42 приоритетные виды деятельности (prioritized activities): Виды деятельности, которым должно быть отдано предпочтение после инцидента в целях смягчения его последствий.

Примечание - Для описания деятельности в пределах этой группы обычно используют следующие термины: критическая, важная, жизненно важная, срочная и ключевая.

[ИСО 22300]

3.43 запись (record): Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.

3.44 целевая точка восстановления данных (recovery point objective; RPO) ЦТВД: Состояние, до которого необходимо восстановить данные, используемые в определенной деятельности, для обеспечения возобновления этой деятельности.

Примечание - Иногда употребляют термин "максимальная потеря данных".

3.45 целевое время восстановления (recovery time objective, RTO) ЦВВ: Период времени, установленный для возобновления поставок продукции или услуг, возобновления деятельности или восполнения ресурсов после инцидента.

Примечание - Для продукции, услуг и деятельности целевое время восстановления должно быть меньше времени, в течение которого неблагоприятные воздействия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, станут неприемлемыми.

3.46 требование (requirement): Установленные потребность или ожидание, подразумеваемое или обязательное.

Примечание 1 - "Подразумеваемое" означает, что это требование является общепринятым или обычным для организации и заинтересованных сторон.

Примечание 2 - Установленное требование - это требование, установленное в документации.

3.47 ресурсы (resources): Все активы, персонал, навыки, технологии (включая технологические процессы и оборудование), производственные площади, запасы и информация (на электронном или бумажном носителе), которые должны быть, при необходимости, доступны для использования организацией в текущей деятельности и для достижения поставленных целей.