Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 1 декабря 2011 г. N 679-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО ОБЕСПЕЧЕНИЮ ГОТОВНОСТИ
К ИНЦИДЕНТАМ И НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ
Business continuity management. Guideline for incident
preparedness and operational continuity management
ISO/PAS 22399:2007
Societal security - Guideline for incident preparedness
and operational continuity management
(IDT)
ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007
Группа Т59
ОКС 03.100.01
Дата введения
1 декабря 2012 года
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
Сведения о стандарте
1. Подготовлен Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в разделе 4.
2. Внесен Техническим комитетом по стандартизации ТК 10 "Менеджмент риска".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 679-ст.
4. Настоящий стандарт идентичен международному документу ISO/PAS 22399:2007 "Социальная безопасность. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности" (ISO/PAS 22399:2007 "Societal security - Guideline for incident preparedness and operational continuity management").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном Приложении ДА.
5. Введен впервые.
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
Введение
Настоящий стандарт устанавливает процесс, основные принципы и термины в области обеспечения готовности к инцидентам и непрерывности деятельности (IPOCM <1>) организации. Целью настоящего стандарта является установление основных положений для понимания, разработки и внедрения процессов обеспечения готовности к инцидентам и непрерывности деятельности организации, а также создания доверия общества, партнеров, потребителей и клиентов к организации. Настоящий стандарт содержит методы, которые могут позволить государственным и частным организациям исследовать воздействующие факторы при возникновении неумышленных, преднамеренных или природных инцидентов (например, авария, кризис или стихийное бедствие) и разработать необходимые действия, направленные на контроль за инцидентом и принятие надлежащих мер для обеспечения непрерывной деятельности организации. Настоящий стандарт также позволяет организации оценить в соответствии с общепринятыми методами свою способность к обеспечению готовности к инцидентам и непрерывности деятельности. Стандарт содержит общую схему обеспечения готовности к инцидентам и непрерывности деятельности, применимую к организациям всех видов деятельности и размеров, позволяющую учесть разнообразие их географических, культурных, экономических, национальных, политических и социально-бытовых особенностей.
--------------------------------
<1> IPOCM - Incident preparedness and operational (business) continuity management - Обеспечение готовности к инцидентам и непрерывности деятельности.
Причастные стороны (заинтересованные стороны) требуют от организации быть заранее готовой к возможным инцидентам и нарушениям/разрушениям, чтобы не допустить приостановки критических видов деятельности, и, если произошла их полная остановка, быть способной быстро восстановить деятельность, поставку продукции и предоставление услуг (см. рисунок 1). Обеспечение готовности к инцидентам и непрерывности деятельности является процессом менеджмента, в рамках которого следует идентифицировать возможные негативные воздействия на организацию и создать структуру управления, направленную на минимизацию их воздействий.
1 - после внедрения IPOCM; 2 - до внедрения IPOCM
Рисунок 1. Концепция готовности к инцидентам и IPOCM
В настоящем стандарте приведен полный набор средств управления, основанных на передовых методах IPOCM, используемых на всех этапах руководства и управления организацией. Стандарт будет полезен специалистам, ответственным за оперативное управление организацией как государственного, так и частного сектора, директорам и руководителям всех уровней организации, малым и средним предприятиям, а также большим и транснациональным корпорациям.
Настоящий стандарт подробно описывает общие процессы планирования и управления, которые помогут организации при:
- анализе среды функционирования организации, ограничений и угроз для ее работы, которые могут привести к существенным разрушениям;
- количественной оценке воздействия нарушений/разрушений на критические виды деятельности и процессы организации;
- определении видов ее деятельности, которые являются критическими для достижения целей в краткосрочной и долгосрочной перспективе;
- идентификации инфраструктуры и ресурсов, необходимых организации для обеспечения непрерывности деятельности на минимальном уровне;
- документировании ключевых ресурсов, инфраструктуры, целей и распределении ответственности, необходимых для поддержки критических видов деятельности в случае возникновения нарушений/разрушений;
- установлении процессов, актуализации используемой информации и учета изменений риска и производственной среды;
- повышении осведомленности вовлеченного персонала, заказчиков, поставщиков и других причастных сторон об обеспечении готовности к инцидентам и непрерывности деятельности организации и, при необходимости, применении в организации всех требуемых процедур;
- выполнении принятых решений и обеспечении постоянного улучшения всех процессов.
Очевидно, что эффективное внедрение IPOCM требует основательных изменений деятельности организации, включая исследование и принятие решений в условиях неопределенности. На всех уровнях организации должно быть понимание того, что риск присущ каждому принимаемому решению и виду деятельности и может вызвать ее нарушение/разрушение. Поэтому на всех уровнях организации должен быть проведен анализ способов управления в условиях нарушения/разрушения.
Настоящий стандарт позволяет государственным и частным организациям оценить и управлять риском с целью повышения устойчивости и бесперебойной долгосрочной работы организации. Стандарт не устанавливает конкретную модель применения. Существуют различные признанные модели и методы, которые помогают внедрить систему IPOCM в деятельность организации, что позволяет сделать более эффективной и конкурентоспособной ее деятельность и гибко реагировать на любые возникающие проблемы. Настоящий стандарт предоставляет ряд методов идентификации и поиска решений по обеспечению готовности к инцидентам и непрерывности деятельности. Применяя динамические системные модели процессов управления, основанные на оценке риска, к системе обеспечения готовности к инциденту и непрерывности деятельности, следует учитывать имеющиеся ресурсы организации. Выбранная модель должна быть внедрена для обеспечения непрерывности деятельности организации.
Обычно модели управления включают в себя общие элементы: разработку политики, планирование, внедрение и функционирование, оценку выполнения, постоянное улучшение и анализ управления. В настоящем стандарте дано общее представление о содержании этих элементов, разработке и внедрении модели управления с учетом потребностей организации и ее места в обществе.
Выбранная организацией модель управления должна содержать полный спектр мероприятий, установленный IPOCM. IPOCM напрямую связана с организационным менеджментом и внедрением передового мирового опыта менеджмента. Система IPOCM устанавливает стратегическую и тактическую структуру опережающего менеджмента и обеспечения устойчивости работы организации в условиях разрушения, нарушения, перебоев или потерь при поставке продукции и предоставлении услуг. Эта система не должна носить только корректирующий характер и не должна быть направлена исключительно на устранение последствий инцидента. Одним из основных требований системы IPOCM является всестороннее планирование деятельности и составление программ развития организации. В связи с этим устойчивость организации обеспечивается квалификацией персонала, а также применением современных технологий и холистического подхода при внедрении модели или методов IPOCM.
К наилучшим результатам для всех причастных (заинтересованных) сторон может привести систематическая адаптация и внедрение набора методов IPOCM. Однако применение только одного настоящего стандарта не позволит обеспечить высокую степень готовности к инцидентам и непрерывности деятельности организации. Для достижения целей программы обеспечения готовности к инцидентам и непрерывности деятельности следует поощрять применение передового мирового опыта, методов и технологий, если они подходят организации и экономически обоснованы. Необходимо также учитывать рентабельность внедрения методов, технологий и мирового опыта.
Внедрение IPOCM требует координации и согласования различных элементов и субъектов в государственных и частных секторах (таких как правительственные и общественные организации на различных уровнях, торгово-промышленные объединения, неправительственные организации и отдельные граждане). У каждого из них существуют свои собственные интересы, цели, задачи и обязательства, ресурсы и возможности, правила, методы и процедуры работы. Необходимо учитывать, что ключевые элементы программы IPOCM связаны и взаимодействуют с функциями и интересами различных субъектов, которые могут быть вовлечены при возникновении инцидента. Поэтому ключевые положения программы IPOCM необходимо рассматривать с учетом всех вышеназванных элементов и субъектов и их связи с программой IPOCM.
Реакция организации на опасные события, целью которой является минимизация их воздействия и сокращение социальных потерь, должна способствовать повышению социальной ответственности организации. В период разрушительных инцидентов необходимо понимать, что сотрудничество и помощь другим организациям в распределении человеческих и материальных ресурсов является существенным фактором в обеспечении непрерывности деятельности самой организации, поскольку собственные ресурсы, необходимые для восстановления в период инцидента, могут оказаться недостаточными или нерационально размещенными. Организация должна активно работать совместно с гражданским населением, местными органами власти, службами чрезвычайного реагирования и другими вовлеченными сторонами, принимая участие в аварийно-восстановительных работах, предоставляя необходимые ресурсы и помогая в действиях, направленных на спасение человеческих жизней. Организация должна также сотрудничать с представителями общественности и партнерами, чтобы учитывать их позицию в своей деятельности.
Организация может выбрать область применения элементов настоящего стандарта, ограничиваясь его использованием к конкретным услугам, продукции или в одном, или в нескольких регионах. Любое подобное ограничение области применения требований стандарта должно быть зарегистрировано.
Необходимо отметить, что настоящий стандарт не устанавливает абсолютные требования к системе IPOCM, при ее разработке следует учитывать обязательства, принятые в политике организации, установленные законодательные, обязательные и иные требования, мероприятия по предупреждению риска,
Для просмотра документа целиком скачайте его >>>
