Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 17 октября 2014 г. N 1351-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ БИЗНЕСА
ОБЩИЕ ТРЕБОВАНИЯ
Business continuity management systems. Requirements
ISO 22301:2012
Societal security - Business continuity management
systems - Requirements
(IDT)
ГОСТ Р ИСО 22301-2014
Группа Т59
ОКС 29.020
91.120.40
Дата введения
1 декабря 2015 года
Предисловие
1. Подготовлен Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (АО "НИЦ КД") на основе собственного аутентичного перевода международного стандарта, указанного в разделе 4.
2. Внесен Техническим комитетом по стандартизации ТК 10 "Менеджмент риска".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2014 г. N 1351-ст.
4. Настоящий стандарт идентичен международному стандарту ИСО 22301:2012 "Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования" (ISO 22301:2012 "Societal security - Business continuity management systems - Requirements").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (подраздел 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном Приложении ДА.
5. Введен впервые.
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).
Введение
0.1. Общие положения
Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).
СМНБ подчеркивает важность:
- понимания потребностей организации и необходимости установления политики и целей в области непрерывности бизнеса,
- внедрения средств и показателей управления общей способностью организации противостоять разрушительным инцидентам,
- анализа и мониторинга выполнения и результативности СМНБ,
- непрерывного совершенствования, основанного на объективных измерениях.
Ключевыми элементами СМНБ, как и любой другой системы менеджмента, являются:
a) политика;
b) люди с установленными обязанностями;
c) процессы управления, относящиеся к:
1) политике;
2) планированию;
3) внедрению и функционированию;
4) оценке выполнения;
5) анализу со стороны руководства;
6) совершенствованию;
d) документация, обеспечивающая доказательства соответствия;
e) все процессы управления непрерывностью бизнеса в организации.
Непрерывность бизнеса способствует устойчивости общества. В процесс восстановления организации после разрушительных инцидентов может быть вовлечено общество и другие организации.
0.2. Модель "Планирование-Выполнение-Проверка-Действие" (PDCA)
Настоящий стандарт использует модель PDCA для планирования, установления, внедрения, функционирования, мониторинга, поддержки и непрерывного совершенствования результативности СМНБ организации.
Стандарт обеспечивает определенную степень соответствия другим стандартам в области систем менеджмента, таким как ИСО 9001:2008 "Система менеджмента качества. Требования", ИСО 14001:2004 "Системы экологического менеджмента. Требования и руководство по применению", ИСО/МЭК 27001:2013 "Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", ИСО/МЭК 20000-1:2011 "Информационные технологии. Менеджмент услуг. Часть 1. Требования к системе менеджмента услуг", и ИСО 28000:2007 "Системы менеджмента безопасности цепи поставок. Технические условия".
На рисунке 1 показано, как СМНБ, используя на входе заинтересованные стороны и требования к управлению непрерывностью бизнеса и посредством необходимых действий и процессов, получает результаты (то есть управляемую непрерывность бизнеса), отвечающие этим требованиям.
Рисунок 1. Модель PDCA, примененная к процессам СМНБ
Таблица 1
Объяснение модели PDCA
Планирование (Установление) Установление политики в области непрерывности бизнеса, целей, задач, элементов управления, процессов и процедур, важных для совершенствования непрерывности бизнеса. Результаты должны поддерживать общую политику и задачи организации
Выполнение (Внедрение и работа) Внедрение и работа политики непрерывности бизнеса, средств управления, процессов и процедур
Проверка (Наблюдение и контроль) Отслеживание и анализ выполнения СМНБ с учетом политики и целей, сообщение результатов руководству, определение и санкционирование действий для исправления и совершенствования
Действие (Поддержка и совершенствование) Поддержка и совершенствование СМНБ с помощью принятия корректирующих действий, основанных на результатах анализа менеджмента и пересмотре области применения СМНБ, а также политики и целей непрерывности бизнеса
0.3. Компоненты PDCA в настоящем стандарте
Разделы 4 - 10 настоящего стандарта посвящены следующим элементам модели "Планирование-Выполнение-Проверка-Действие".
- В разделе 4 (Планирование) приведены требования, необходимые для установления условий СМНБ в организации, а также к ее потребностям, требованиям и области применения.
- В разделе 5 (Планирование) приведены требования к функциям высшего руководства в СМНБ и описано, как высшее руководство выражает свои ожидания в отношении организации посредством установления политики в области непрерывности бизнеса.
- В разделе 6 (Планирование) приведены требования, относящиеся к установлению стратегических целей и руководящих принципов СМНБ в целом. Содержание раздела 6 отличается от установления возможных вариантов обработки риска, выявляемых при оценке риска, так же как и целей восстановления, выявляемых во время анализа воздействия на бизнес (BIA).
Примечание. Требования к процессу анализа воздействия на бизнес и оценке риска приведены в разделе 8.
- Раздел 7 (Планирование) посвящен функционированию СМНБ в части установления компетентности и обмена информацией с заинтересованными сторонами и включает рекомендации по управлению, поддержке и сохранению требуемой документации.
- В разделе 8 (Выполнение) установлены требования к обеспечению непрерывности бизнеса, порядок разработки процедур управления в условиях инцидента.
- В разделе 9 (Проверка) приведены требования, необходимые для выполнения измерений в области менеджмента непрерывности бизнеса, соответствия СМНБ требованиям настоящего стандарта и ожиданиями руководства, и обратной связи с руководством относительно его ожиданий.
- В разделе 10 (Действие) идентифицированы корректирующие действия по устранению несоответствий СМНБ.
1. Область применения
В настоящем стандарте установлены требования к планированию, созданию, внедрению, функционированию, мониторингу, поддержке в рабочем состоянии и постоянному улучшению документированной системы менеджмента для защиты от инцидентов, снижения вероятности их реализации, подготовки ответных действий и восстановления после инцидентов при их возникновении.
Требования, установленные в настоящем стандарте, являются универсальными и применимы ко всем организациям независимо от типа, размера и других особенностей. Применимость этих требований зависит от производственной среды, структуры и других особенностей организации.
Настоящий стандарт не устанавливает единообразную структуру системы менеджмента непрерывности бизнеса (СМНБ). Стандарт помогает организовать проектирование СМНБ, соответствующей потребностям организации и требованиям заинтересованных сторон. Эти требования формируются в зависимости от юридических, нормативных, организационных и производственных требований, особенностей продукции и услуг, используемых процессов, размера и структуры организации, а также требований заинтересованных сторон.
Настоящий стандарт применим к организациям всех типов и размеров, которые имеют намерения:
a) установить, внедрить, поддерживать и улучшать СМНБ;
b) обеспечить соответствие деятельности организации установленной политике в области непрерывности бизнеса;
c) демонстрировать это соответствие другим сторонам;
d) провести сертификацию/регистрацию своей СМНБ независимым аккредитованным органом по сертификации;
e) самостоятельно проверять и декларировать соответствие СМНБ требованиям настоящего стандарта.
Настоящий стандарт может быть использован для оценки способности организации удовлетворять ее потребностям и обязательствам в области непрерывности бизнеса.
2. Нормативные ссылки <1>
--------------------------------
Для просмотра документа целиком скачайте его >>>
