Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 18 ноября 2015 г. N 1852-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
РУКОВОДСТВО ПО ВНЕДРЕНИЮ
Business continuity management systems. Guidance
for implementation
ISO 22313:2012
Societal security - Business continuity management
systems - Guidance
(IDT)
ГОСТ Р ИСО 22313-2015
Группа Т59
ОКС 03.100.01
Дата введения
1 июля 2016 года
Предисловие
1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ОАО "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. N 1852-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 22313:2012 "Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство" (ISO 22313:2012 "Societal security - Business continuity management systems - Guidance").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Общие положения
В настоящем стандарте приведено руководство по выполнению требований ИСО 22301:2012 <1>, а также соответствующих рекомендаций и предположений. Настоящий стандарт охватывает все аспекты непрерывности бизнеса.
--------------------------------
<1> ИСО 22301:2012 "Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования" (ISO 22301 "Societal security - Business continuity management systems - Requirements").
Стандарт содержит те же разделы, что и ИСО 22301, за исключением требований к системам менеджмента непрерывности бизнеса, а также терминов и определений. Информация по этим вопросам приведена в ИСО 22301 и ИСО 22300 <2>.
--------------------------------
<2> ИСО 22300:2012 "Социальная безопасность. Терминология" (ISO 22300:2012 "Societal security - Terminology").
Для дополнительного разъяснения некоторых ключевых положений в стандарте приведены рисунки. Все рисунки приведены только с иллюстративной целью.
Система менеджмента непрерывности бизнеса (СМНБ) подчеркивает важность:
- понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса;
- внедрения и осуществления мероприятий по управлению совокупными возможностями организации для управления в условиях разрушительных инцидентов;
- проведения мониторинга и анализа результативности СМНБ;
- постоянного улучшения на основе объективных данных.
СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:
a) политику;
b) человеческие ресурсы с соответствующим распределением обязанностей;
c) процессы менеджмента, которые охватывают:
1) политику,
2) планирование,
3) внедрение и функционирование,
4) анализ выполнения работ,
5) анализ со стороны руководства,
6) улучшения;
d) документацию, обеспечивающую свидетельства аудита;
e) процессы организации, связанные с СМНБ.
Внедрение СМНБ в организации может иметь большое значение для общества и третьих сторон. Возможно наличие внешних организаций, от которых организация зависит, а также организаций, зависящих от нее. Поэтому результативное обеспечение непрерывности бизнеса вносит свой вклад в достижение более устойчивого общества.
Цикл "Планирование - осуществление - проверка - действие"
В настоящем стандарте цикл "планирование - осуществление - проверка - действие" (PDCA) применен к планированию, установлению, внедрению, применению, мониторингу, анализу, поддержке и постоянному улучшению результативности СМНБ организации.
На рисунке 1 показаны входные данные СМНБ в виде требований к менеджменту непрерывности бизнеса (МНБ) заинтересованных сторон, которые через необходимые действия и процессы образуются в выходные данные обеспечения непрерывности бизнеса (т.е. управляемую непрерывность бизнеса), отвечающие этим требованиям.
Рисунок 1 - Применение модели PDCA к процессам СМНБ
Таблица 1
Пояснения модели PDCA
Планирование (установление) Установление политики, целей, средств контроля, процессов и процедур обеспечения непрерывности бизнеса, относящихся к улучшению непрерывности бизнеса, для достижения результатов в соответствии с общей политикой и целями организации
Действие (внедрение и применение) Внедрение и применение политики, целей, средств контроля, процессов и процедур в области непрерывности бизнеса
Проверка (мониторинг и анализ) Мониторинг и анализ деятельности на соответствие целям и политике в области непрерывности бизнеса, отчет по результатам для проведения анализа со стороны руководства, определения и утверждения корректирующих действий, а также деятельности по улучшению
Действие (поддержка и улучшение) Поддержка и улучшение СМНБ путем выполнения корректирующих действий, определенных на основе анализа со стороны руководства, и повторное определение области применения СМНБ, политики и целей в области непрерывности бизнеса
Компоненты PDCA в настоящем стандарте
Существует прямая связь содержания рисунка 1 с разделами настоящего стандарта.
Таблица 2
Связь моделей PDCA с разделами 4 - 10
Компонент PDCA Соответствующий раздел настоящего стандарта
Планирование (установление) Раздел 4 устанавливает, что организации необходимо сделать, чтобы СМНБ соответствовала ее требованиям с учетом всех внешних и внутренних факторов, в том числе: - потребностей и ожиданий заинтересованных сторон; - обязательств организации перед юридическими и регулирующими органами; - требуемой области применения СМНБ
Раздел 5 определяет ключевую роль руководства в выполнении принятых обязательств, определении политики и распределении обязанностей, ответственности и полномочий
Раздел 6 устанавливает действия, необходимые для разработки стратегических целей и руководящих принципов СМНБ в целом, область применения анализа воздействия на бизнес и оценки риска (8.2) и стратегии непрерывности бизнеса (8.3)
Раздел 7 определяет ключевые элементы, необходимые для поддержания СМНБ, а именно: ресурсы, компетентность персонала и осведомленность, обмен информацией и документированную информацию
Осуществление (внедрение и применение) Раздел 8 определяет элементы менеджмента непрерывности бизнеса (МНБ), необходимые для обеспечения непрерывности бизнеса
Проверка (мониторинг и анализ) Раздел 9 обеспечивает основу для улучшения СМНБ через измерение показателей ее деятельности и их анализ
Действие (поддержка и улучшение) Раздел 10 охватывает корректирующие действия, необходимые для устранения несоответствий, выявленных в результате анализа деятельности
Непрерывность бизнеса
Непрерывность бизнеса - это способность организации продолжать поставлять продукцию или услуги на приемлемом установленном уровне в период, следующий за произошедшим разрушительным инцидентом. Менеджмент непрерывности бизнеса (МНБ) - это процесс обеспечения непрерывности бизнеса организации и ее возможности противостоять разрушительным инцидентам, которые могут препятствовать достижению поставленных целей.
Интеграция МНБ в структуру и системы менеджмента организации формирует систему менеджмента непрерывности бизнеса (СМНБ), позволяющую контролировать, анализировать и постоянно улучшать МНБ.
В настоящем стандарте слово "бизнес" используется в качестве общей терминологии, относящейся к действиям и услугам, осуществляемым организацией с целью достижения поставленных целей или миссии. Оно в равной степени применимо к крупным, средним и мелким организациям, осуществляющим свою деятельность в промышленном, коммерческом, государственном и некоммерческом секторах.
Любой инцидент, крупный или мелкий, природный, случайный или преднамеренный обладает потенциалом, способным нанести значительный ущерб деятельности организации и отрицательно сказаться на ее способности поставлять продукцию и оказывать услуги. Однако внедрение системы непрерывности бизнеса до возникновения разрушительного инцидента дает возможность организации возобновить свою деятельность до момента, когда негативное воздействие достигнет неприемлемого уровня.
МНБ обеспечивает:
a) четкое определение ключевых видов продукции и услуг организации, а также деятельности по их производству (оказанию);
b) установление приоритетов возобновления деятельности и необходимых для этого ресурсов;
c) наличие четкого понимания угроз деятельности организации, включая зависящие от этой деятельности стороны, а также знание последствий невозобновления деятельности;
d) наличие проверенных надежных мер возобновления деятельности после разрушительного инцидента;
Для просмотра документа целиком скачайте его >>>