ГОСТ Р ИСО 22313-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Надежность в технике
СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ
Руководство
Dependability in technics. Business continuity management systems. Guide
ОКС 03.100.70
03.100.01
Дата введения 2022-01-01
Предисловие
1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 октября 2021 г. N 1060-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 22313:2020 "Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Руководство по применению ISO 22301" (ISO 22313:2020 "Security and resilience - Business continuity management systems - Guidance on the use of ISO 22301", IDT).
Международный стандарт разработан Техническим комитетом ISO/ТС 292.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВЗАМЕН ГОСТ Р ИСО 22313-2015
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
0.1 Общие положения
В настоящем стандарте приведены руководящие указания к требованиям, установленным в ИСО 22301. Настоящий стандарт не содержит общее руководство по всем аспектам обеспечения непрерывности деятельности.
Настоящий стандарт включает в себя те же разделы, что и ИСО 22301, но не дублирует требования и связанные с ними термины и определения.
Цель руководства состоит в объяснении и разъяснении смысла и цели требований ИСО 22301 и связанных с этим вопросов. Дополнительное руководство, которое можно использовать при применении настоящего стандарта, содержат ISO/TS 22317, ISO/TS 22318, ИСО 22322, ISO/TS 22330, ISO/TS 22331 и ИСО 22398.
Область применения этих стандартов может выходить за рамки требований ИСО 22301. Поэтому организации должны всегда использовать ИСО 22301 для проверки требований, которые должны быть выполнены.
Для дальнейшего разъяснения ключевых моментов в настоящий стандарт включены несколько рисунков. Рисунки приведены только для целей иллюстрации, приоритетом является соответствующий текст в основной части настоящего стандарта.
Система менеджмента непрерывности деятельности (СМНД) подчеркивает важность:
- установления политики и целей обеспечения непрерывности деятельности, которые согласуются с общими целями организации;
- управления и поддержки процессов, возможностей и структур реагирования для преодоления организацией всех нарушений ее деятельности;
- мониторинг и анализ эффективности и результативности СМНД;
- постоянное улучшение, основанное на качественном и количественном измерении.
СМНД, как и любая другая система менеджмента, включает в себя следующие компоненты:
a) политику;
b) компетентный персонал с установленными обязанностями;
c) управленческие процессы, связанные с:
1) политикой;
2) планированием;
3) внедрением и функционированием;
4) оценкой эффективности;
5) анализом со стороны руководства;
6) постоянным улучшением;
d) документированную информацию, поддерживающую оперативное управление и способствующую оценке эффективности.
Непрерывность деятельности, как правило, имеет свои особенности для организации. Однако ее реализация может иметь далеко идущие последствия для более широкого круга сообществ и других третьих сторон. Организация зачастую имеет внешние организации, от которых она зависит и/или которые зависят от нее. Таким образом, эффективное обеспечение непрерывности деятельности способствует повышению устойчивости общества.
0.2 Преимущества системы менеджмента непрерывности деятельности
СМНД повышает уровень готовности организации к продолжению работы во время нарушений деятельности. СМНД приводит к улучшению понимания внутренних и внешних связей организации, улучшению обмена информацией с заинтересованными сторонами и созданию условий для постоянного улучшения. Существует потенциально много дополнительных преимуществ для внедрения СМНД в соответствии с рекомендациями, содержащимися в настоящем стандарте, и в соответствии с требованиями ИСО 22301.
Следование рекомендациям раздела 4 ("Область применения в организации") предполагает, что организация:
- проводит пересмотр своих стратегических целей, чтобы СМНД работала на их поддержку;
- проводит пересмотр потребностей, ожиданий и требований заинтересованных сторон;
- обладает знанием применимых правовых, нормативных и иных требований.
Следование рекомендациям раздела 5 ("Лидерство") предполагает, что организация:
- проводит пересмотр ролей и обязанностей менеджмента;
- продвигает культуру постоянного улучшения;
- проводит распределение ответственности за мониторинг, оценку эффективности и отчетность.
Следование рекомендациям раздела 6 ("Планирование") предполагает, что организация:
- проводит пересмотр своих рисков и возможностей и определяет меры по их устранению и/или использованию;
- внедряет эффективное управление изменениями.
Следование рекомендациям раздела 7 ("Поддержка") предполагает, что организация обеспечивает:
- установление эффективного управления ресурсами СМНД, включая управление компетенциями;
- повышение осведомленности сотрудников о вопросах, важных для высшего руководства;
- наличие эффективных механизмов внутреннего и внешнего обмена информацией и коммуникаций;
- эффективное управление документацией СМНД.
Следование рекомендациям раздела 8 ("Функционирование") приводит к тому, что организация рассматривает:
- непреднамеренные последствия изменений;
- приоритеты и требования обеспечения непрерывности деятельности;
- зависимости;
- уязвимости с точки зрения воздействия;
- риски нарушений деятельности и определение наилучших способов их устранения;
- альтернативные решения для ведения работы с ограниченными ресурсами;
- эффективные структуры и процедуры для борьбы с нарушениями;
- ответственность перед обществом и другими заинтересованными сторонами.
Следование рекомендациям раздела 9 ("Оценка показателей СМНД") предполагает, что организация обеспечивает:
- наличие эффективных механизмов мониторинга, измерения и оценки эффективности деятельности;
- вовлечение руководства в мониторинг результатов деятельности и содействие повышению эффективности СМНД.
Следование рекомендациям раздела 10 ("Улучшение") предполагает, что организация обеспечивает:
- наличие процедур мониторинга и повышения эффективности;
- извлечение выгоды из постоянного улучшения своих систем менеджмента.
В результате внедрения СМНД в организации может быть достигнуто следующее:
a) защита жизни, имущества и окружающей среды;
b) защита и укрепление репутации и доверие к организации;
c) повышение конкурентных преимуществ организации, так как СМНД позволяет работать во время нарушений деятельности;
d) сокращение расходов, возникающих в результате нарушений деятельности, и повышение способности организации оставаться постоянно эффективной;
e) повышение общей организационной устойчивости организации;
f) повышение уверенности заинтересованных сторон в успехе организации;
g) снижение правового и финансового риска организации;
h) помощь в демонстрации способности организации управлять риском и устранить уязвимости в процессе функционирования.
0.3 Цикл "Планируй - Делай - Проверяй - Действуй" (PDCA)
Настоящий стандарт применяет цикл "Планируй - Делай - Проверяй - Действуй" (PDCA) к планированию, созданию, внедрению, функционированию, мониторингу, анализу со стороны руководства, поддержке и постоянному улучшению СМНД организации. Разъяснение цикла PDCA приведено в таблице 1.
На рисунке 1 показано, как СМНД принимает требования заинтересованных сторон в качестве исходных данных для менеджмента непрерывности деятельности и посредством необходимых действий и процессов обеспечивает результаты (выходные данные) непрерывности деятельности (т.е. управляемую непрерывность деятельности), которые отвечают этим требованиям.
Таблица 1 - Объяснение цикла PDCA
|
|
Планируй (установление) | Разработка политики, целей, средств контроля, процессов и процедур обеспечения непрерывности деятельности, связанных с улучшением непрерывности деятельности в соответствии с общей политикой и целями организации |
Делай (внедрение и функционирование) | Внедрение и функционирование политики непрерывности деятельности, средств контроля, процессов и процедур |
Проверяй (мониторинг и анализ) | Мониторинг и анализ результатов деятельности в соответствии с политикой и целями обеспечения непрерывности деятельности, представление отчетов для выполнения анализа со стороны руководства, а также определение и санкционирование действий по коррекции и улучшению |
Действуй (поддержка и улучшение) | Поддержка и улучшение СМНД путем принятия корректирующих мер на основе результатов анализа со стороны руководства и повторная оценка области применения СМНД, а также политики и целей обеспечения непрерывности деятельности в организации |
|
Рисунок 1 - Цикл PDCA применительно к процессам СМНД
0.4 Компоненты PDCA
В таблице 2 показана взаимосвязь между содержанием рисунка 1 и положениями настоящего стандарта.
Таблица 2 - Взаимосвязь между циклом PDCA и разделами 4-10
|
|
Планируй (установление) | В разделе 4 ("Область применения в организации") излагается, что организация должна делать для того, чтобы СМНД соответствовала ее требованиям с учетом соответствующих внешних и внутренних факторов, включая:
- потребности и ожидания заинтересованных сторон;
- обязательные и нормативные требования;
- необходимый объем СМНД |
| Раздел 5 ("Лидерство") определяет роль руководства с точки зрения демонстрации приверженности принципам непрерывности деятельности, определения политики и установления ролей, обязанностей и полномочий |
| В разделе 6 ("Планирование") приведены действия по установлению стратегических целей и руководящих принципов внедрения СМНД |
| Раздел 7 ("Поддержка") определяет элементы СМНД, которые должны быть обеспечены на местах, а именно: ресурсы, компетентность, осведомленность, обмен информацией и документированную информацию |
Делай (внедрение и функционирование) | В разделе 8 ("Функционирование") определены процессы установления и поддержки непрерывности деятельности |
Проверяй (мониторинг и анализ) | Раздел 9 ("Оценка показателей СМНД") обеспечивает основу для улучшения СМНД путем измерения и оценки ее эффективности (показателей СМНД) |
Действуй (поддержка и улучшение) | Раздел 10 ("Улучшение") охватывает корректирующие действия по устранению несоответствий, выявленных в ходе оценки показателей СМНД |
0.5 Содержание настоящего стандарта
Целью настоящего стандарта является не обеспечение единообразия структуры СМНД, а разработка организацией СМНД, соответствующей ее потребностям и отвечающей требованиям ее заинтересованных сторон, в частности клиентов и сотрудников. Эти потребности должны быть сформированы на основе законодательных, обязательных и отраслевых требований, выпускаемой продукции и предоставляемых услуг, используемых процессов, операционной среды, размера и структуры организации, требований заинтересованных сторон.
Настоящий стандарт не предназначен для оценки способности организации удовлетворять требования в области непрерывности деятельности, а также соответствующие требования клиентов, законодательные или обязательные требования. Для этих целей организации могут использовать требования ИСО 22301.
Разделы 1-3 устанавливают область применения в организации, нормативные ссылки, а также термины и определения, применимые к использованию настоящего стандарта. Разделы 4-10 содержат руководящие указания к требованиям, приведенным в ИСО 22301.
В настоящем стандарте использованы следующие глагольные формы:
a) "следует" указывает на рекомендацию;
b) "могло бы" указывает на разрешение;
c) "может" указывает на возможность или способность.
0.6 Непрерывность деятельности
Непрерывность деятельности - это способность организации продолжать поставлять продукцию или услуги на приемлемом заранее определенном уровне после нарушения деятельности. Менеджмент непрерывности деятельности - это процесс внедрения и поддержания непрерывности деятельности (см. 8.1.2 и рисунок 5) с целью предупреждения потерь и подготовки к нарушениям, смягчения их последствий и управления ими.
Создание СМНД позволяет организации управлять, оценивать и постоянно улучшать непрерывность своей деятельности.
В настоящем стандарте слово "деятельность" использовано в качестве всеобъемлющего термина для операций и услуг, выполняемых организацией в соответствии с ее целями, задачами или миссией. Как таковая, она в равной степени применима к крупным, средним и малым организациям, работающим в промышленном, коммерческом, государственном и некоммерческом секторах.
Нарушения могут привести к прерыванию всей деятельности организации и ее способности предоставлять продукцию и услуги. Однако внедрение СМНД до того, как произойдет нарушение, позволит реагировать запланированным образом после инцидента и возобновить деятельность организации до того, как возникнут неприемлемые уровни воздействия.
Менеджмент непрерывности деятельности включает в себя:
a) определение продукции и услуг организации и видов деятельности, которые их обеспечивают;
b) анализ последствий отказа от возобновления деятельности и ресурсов, от которых это зависит;
c) понимание риска нарушений деятельности;
d) определение приоритетов, сроков, возможностей и стратегий возобновления поставок продукции и услуг;
e) наличие решений и планов по возобновлению деятельности в требуемые сроки после нарушения;
f) обеспечение того, чтобы эти механизмы регулярно пересматривались и обновлялись, чтобы обеспечить их эффективность при любых обстоятельствах.
Подход организации к менеджменту непрерывности деятельности и ее документированная информация должны соответствовать ее области применения (например, операционная среда, сложность, потребности, ресурсы).
Непрерывность деятельности может быть эффективной как при внезапных нарушениях и сбоях (например, взрывах), так и при постепенных (например, пандемиях).
Деятельность может быть нарушена самыми разнообразными инцидентами, многие из которых трудно прогнозировать или заранее проанализировать. Сосредоточив внимание на воздействии нарушения, а не на его причине, непрерывность деятельности позволяет организации определить виды деятельности, которые необходимы для выполнения ее обязательств. Благодаря непрерывности деятельности организация может распознать, что необходимо сделать для защиты своих ресурсов (например, людей, помещений, технологий, информации), цепочки поставок, заинтересованных сторон и репутации перед происходящим разрушением. При признании этого организация может создать структуру реагирования, чтобы быть уверенной в управлении последствиями нарушений.
На рисунках 2 и 3 концептуально показано, как непрерывность деятельности может помочь для смягчения последствий в определенных ситуациях. Относительное расстояние между этапами, изображенными на обеих диаграммах, не подразумевает никаких конкретных временных рамок.
|
Рисунок 2 - Пример эффективности обеспечения непрерывности деятельности при внезапных нарушениях
|
Рисунок 3 - Пример того, насколько непрерывность деятельности эффективна при постепенном разрушении (например, пандемии)
1 Область применения
Настоящий стандарт содержит руководство и рекомендации по применению требований системы менеджмента непрерывности деятельности (СМНД), приведенных в ИСО 22301. Руководство и рекомендации основаны на передовом международном опыте.
Настоящий стандарт применим к организациям, для которых необходимо:
a) внедрить, поддерживать и улучшать СМНД;
b) обеспечить соответствие заявленной политике в области обеспечения непрерывности деятельности;
c) иметь возможность продолжать поставлять продукцию и предоставлять услуги на приемлемом заранее установленном уровне во время нарушения деятельности;
d) повысить их устойчивость за счет эффективного применения СМНД.
Руководство и рекомендации применимы ко всем размерам и типам организаций, включая крупные, средние и малые организации, работающие в промышленном, коммерческом, государственном и некоммерческом секторах. Применяемый подход зависит от операционной среды и сложности организации.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:
ISO 22300, Security and resilience - Vocabulary (Безопасность и устойчивость. Термины и определения)
ISO 22301, Security and resilience - Business continuity management systems - Requirements (Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Требования)
3 Термины и определения
В настоящем стандарте применены термины по ИСО 22300, ИСО 22301, а также следующий термин с соответствующим определением.
Терминологические базы данных ИСО и МЭК доступны по следующим интернет-адресам:
- платформа онлайн-просмотра ИСО: доступна по адресу http://www.iso.org/obp;
- Электропедия МЭК: доступна по адресу http://www.electropedia.org/.
3.1 менеджмент непрерывности деятельности (business continuity management): Процесс внедрения и поддержания непрерывности деятельности.
4 Область применения в организации
4.1 Понимание особенностей организации и условий ее работы
В данном разделе приведены рекомендации по пониманию области применения СМНД в организации. Рекомендации по установлению и поддержанию непрерывности деятельности приведены в 8.1.
Организация должна оценить и понять внешние и внутренние проблемы (включая положительные и отрицательные факторы или условия), которые имеют отношение к общим целям, продукции и услугам организации, а также к объему и типу риска, который она готова и/или не готова принять. Данную информацию следует учитывать при внедрении и поддержании СМНД организации и расстановке приоритетов.
Внешняя область применения СМНД в организации включает, где это уместно, следующее:
- политическую, правовую и нормативную среду на международном, национальном, региональном или локальном уровнях;
- социальные и культурные аспекты;
- финансовую, технологическую, экономическую, природную и конкурентную среду на международном, национальном, региональном или локальном уровнях;
- обязательства и отношения в цепочке поставок (см. также ISO/TS 22318);
- факторы (например, риск, технологии) и тенденции, влияющие на цели и деятельность организации;
- отношения с заинтересованными сторонами за пределами организации, их восприятие и ценности;
- каналы обмена информацией, в том числе социальные сети, используемые для установления и формирования таких отношений.
Внутренняя область применения СМНД в организации включает, где это уместно, следующее:
- продукцию и услуги, виды деятельности, ресурсы, цепочки поставок и отношения с заинтересованными сторонами;
- возможности с точки зрения ресурсов и знаний (например, капитал, время, персонал, процессы, системы, технологии);
- существующие системы менеджмента;
- информацию и данные (хранящиеся в физической или электронной форме) и процессы принятия решений (формальные и иные);
- заинтересованные стороны внутри организации, включая внутренних поставщиков (рассмотрение соглашения об уровне обслуживания (SLA), оцененные механизмы отказоустойчивости и восстановления), см. ISO/TS 22318;
- политику и цели, а также бизнес-стратегии, используемые для их достижения;
- будущие направления и приоритеты бизнеса;
- восприятие, ценности и культуру;
- стандарты и эталонные модели, принятые организацией;
- структуры (например, менеджмент, структура управления, роли, ответственность);
- внутренние каналы обмена информацией, используемые для обмена информацией между персоналом (например, социальные сети).
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.2.1 Общие положения
Организация должна заботиться о широком круге людей внутри и за пределами организации (см. также ISO/TS 22330). При создании своей СМНД организация должна обеспечить учет потребностей и требований всех заинтересованных сторон.
Организация должна определить все заинтересованные стороны, имеющие отношение к СМНД (см. рисунок 4), и, исходя из их потребностей и ожиданий, установить требования. Важно определить не только обязательные и заявленные, но и подразумеваемые требования.
При планировании и внедрении СМНД важно определить действия, которые являются уместными по отношению к заинтересованным сторонам, но при этом проводить различие между ними. Например, хотя после нарушения деятельности может быть уместно проводить обмен информацией со всеми заинтересованными сторонами, может быть нецелесообразно проводить обмен информацией со всеми заинтересованными сторонами при внедрении и поддержании менеджмента непрерывности деятельности (см. 8.1.2).
|
Рисунок 4 - Примеры заинтересованных сторон в государственном и частном секторах
4.2.2 Законодательные и обязательные требования
Применение настоящего стандарта предполагает осознание организацией применимых законодательных и обязательных требований.
Требования могут быть подразумеваемыми, заявленными или обязательными. Информация, касающаяся данных требований, должна быть документирована и постоянно обновляться. Новые требования или изменения существующих требований должны быть доведены до сведения вовлеченного персонала и других заинтересованных сторон.
Организация должна показать, что она имеет доступ к текущим и ожидающим своего исполнения законодательным и обязательным требованиям, имеющим отношение к ее деятельности и к тому, как эти требования выполняются. Требования могут охватывать:
a) реагирование на инциденты, включая управление чрезвычайными ситуациями и другие соответствующие законодательные акты;
b) непрерывность деятельности, которая может диктовать объем программы или степень и скорость восстановления;
c) риск, требования к риску, определяющие объем или методы менеджмента риска;
d) опасности (например, эксплуатационные требования, касающиеся опасных материалов, хранящихся в данном месте).
Для организаций, работающих в нескольких местах расположения, может быть необходимо удовлетворять требования различных юрисдикции.
4.3 Определение области применения системы менеджмента непрерывности деятельности
4.3.1 Общие положения
Цель определения области применения СМНД состоит в том, чтобы определить ее границы и применимость для обеспечения охвата всех соответствующих видов продукции и услуг, видов деятельности, местоположений, ресурсов, поставщиков и других взаимосвязанных показателей.
Область применения должна охватывать вопросы, определенные в 4.1, требования заинтересованных сторон, определенные в 4.2, а также миссию, цели и обязательства организации.
Организация должна подготовить заявление, в котором будет изложена область применения СМНД таким образом, чтобы соответствовать размеру, характеру и сложности организации. Заявление должно быть доступно заинтересованным сторонам.
4.3.2 Область применения системы менеджмента непрерывности деятельности
Организация должна:
a) установить, со ссылкой на продукцию и услуги, те части организации, которые включены в область применения СМНД или исключены из нее, например:
1) только включая доставку конкретной продукции в страну или регион;
2) исключение продукции, которая больше не является жизнеспособной или имеет низкую ценность для организации;
3) только включение подмножества продукции и услуг;
b) идентифицировать продукцию и услуги организации таким образом, чтобы можно было идентифицировать все связанные с ними виды деятельности, ресурсы и цепочки поставок.
Область применения может:
- включать указание на размер или масштаб нарушения или инцидента, которые будут устранены с помощью СМНД;
- определять, как СМНД вписывается в бизнес-стратегию организации, и подход к управлению риском.
4.3.3 Исключения из области применения
В области применения необходимо определить местоположение, продукцию и услуги, виды деятельности и ресурсы, к которым применима СМНД организации. При этом все взаимосвязанные области деятельности будут находиться в области видимости, даже если они не были точно и явно определены. Например, если производственная компания включает продукцию в область применения своей СМНД, то поставка сырья, обработка, доставка и любые вспомогательные функции (например, данные об обработке, закупке и человеческих ресурсах) в любом месте, которое прямо или косвенно участвует в их доставке клиенту, будут тоже включены.
Исключения не должны влиять на способность организации выполнять требования непрерывности деятельности, определенные в результате анализа воздействий на деятельность (см. 8.2.2). Нельзя исключать деятельность, ресурсы и цепочки поставок, которые необходимы для предоставления продукции и услуг.
Исключения из области применения СМНД должны быть документированы и обоснованы.
Если СМНД интегрируют в существующую систему менеджмента, организация должна обеспечить включение в нее всех элементов СМНД.
4.4 Система менеджмента непрерывности деятельности
Цель данного подраздела состоит в том, чтобы подчеркнуть необходимость для организации внедрения и поддержания процессов, которые позволят СМНД соответствовать требованиям ИСО 22301, включая взаимодействие между процессами.
При идентификации процессов и их применении во всей организации необходимо:
a) определить необходимые входные данные и ожидаемые результаты от процессов;
b) определить последовательность и взаимодействие процессов;
c) определить и применить критерии и методы (включая мониторинг, измерения и оценку связанных с ними показателей эффективности СМНД), необходимые для обеспечения эффективного функционирования и управления этими процессами;
d) определить ресурсы, необходимые для функционирования процессов, и обеспечить их доступность;
e) распределить обязанности и полномочия по процессам;
f) учитывать риск и возможности, определенные в 6.1;
g) оценить процессы и внедрить все изменения, необходимые для обеспечения достижения процессами запланированных результатов;
h) улучшать процессы и СМНД.
По мере необходимости организация должна обеспечить:
- ведение документированной информации для поддержки функционирования своих процессов;
- сохранение документированной информации, чтобы иметь уверенность в том, что процессы выполняются в соответствии с планом.
5 Лидерство
5.1 Лидерство и приверженность
5.1.1 Общие положения
Все уровни руководства организации должны демонстрировать лидерство и приверженность непрерывности деятельности в той мере, в какой это применимо к их сферам ответственности.
5.1.2 Высшее руководство
Высшее руководство должно демонстрировать лидерство и приверженность путем:
a) распределения ролей, ответственности и полномочий и обеспечения их выполнения (см. 5.1.3);
b) разработки политики в области обеспечения непрерывности деятельности (см. 5.2);
c) назначения одного или нескольких лиц, обладающих соответствующими полномочиями и компетенцией, ответственными за СМНД и ее эффективное функционирование (см. 5.3);
d) информирования о важности обеспечения непрерывности деятельности и соответствия требованиям СМНД;
e) предоставления необходимых ресурсов, включая соответствующее финансирование (см. 7.1);
f) содействия постоянному улучшению (см. 10.2);
g) обеспечения достижения намеченных результатов СМНД;
h) предоставления другим уровням управления поддержки, позволяющей им демонстрировать лидерство и приверженность, применимые к их сферам ответственности.
5.1.3 Другой управленческий персонал
Персонал на других уровнях управления должен демонстрировать свое лидерство и приверженность по следующим направлениям:
a) установление целей обеспечения непрерывности деятельности, совместимых со стратегическими целями организации (см. 6.2);
b) интеграция требований СМНД в бизнес-процессы организации (см. 8.1);
c) проявление осведомленности о применимых законодательных, обязательных и иных требованиях (см. 4.2.2);
d) определение ролей, обязанностей и компетенций СМНД (см. 5.3 и 7.2);
e) достижение намеченных результатов СМНД;
f) активное участие в программе учений (см. 8.5);
g) проведение внутренних аудитов СМНД (см. 9.2);
h) проведение эффективного анализа СМНД со стороны руководства (см. 9.3);
i) руководство и поддержка улучшения СМНД (см. раздел 10).
Приверженность руководства также может быть продемонстрирована путем:
- оперативного участия в рабочих группах;
- включения вопроса о непрерывности деятельности в качестве постоянного пункта повестки дня на совещаниях руководства.
5.2 Политика
5.2.1 Установление политики в области обеспечения непрерывности деятельности
Высшее руководство должно определить политику в области обеспечения непрерывности деятельности с точки зрения целей организации и ее обязательств, а также обеспечить, чтобы политика:
a) представляла собой краткое заявление высшего руководства о намерениях и направлениях развития организации в области обеспечения непрерывности деятельности;
b) соответствовала цели организации (с учетом ее размера, характера и сложности), а также отражала ее культуру, взаимозависимости и среду функционирования;
c) обеспечивала основу для постановки целей в области обеспечения непрерывности деятельности;
d) включала в себя точную приверженность удовлетворению применимых требований, включая законодательные и обязательные требования;
e) включала в себя приверженность постоянному улучшению СМНД.
Политика должна:
- определить область применения и границы применения непрерывности деятельности в организации, включая ограничения и исключения (см. 4.3);
- идентифицировать все необходимые органы управления и управленческие структуры, включая лиц(о), ответственных(ое) за СМНД организации (см. 5.3);
- включать ссылки на стандарты, руководящие принципы, правила или политику в области обеспечения непрерывности деятельности, требования которых необходимо учитывать или соблюдать.
Политика может содержать следующее:
- обязательства по финансированию;
- ссылки на другие соответствующие политики;
- требования к обеспечению непрерывности деятельности;
- обязательство внедрить и поддерживать непрерывность деятельности.
Для организаций с существующими системами менеджмента целесообразно согласовать политику в области обеспечения непрерывности деятельности с другими системами менеджмента.
Организация должна предусмотреть соответствующие положения для утверждения политики, сохранения документированной информации о ней и периодичности ее пересмотра (например, ежегодно), а также при возникновении существенных изменений внутренних или внешних факторов (например, смена высшего руководства, введение нового законодательства). Пригодность таких положений будет зависеть от размера, сложности, характера и масштабов организации.
5.2.2 Обмен информацией о политике в области обеспечения непрерывности деятельности
Политика в области обеспечения непрерывности деятельности должна:
a) быть доступной и храниться в виде документированной информации;
b) быть доведена до сведения, понята и применена в пределах организации;
c) предоставляться заинтересованным сторонам по согласованию с руководством
5.3 Функции, обязанности и полномочия
Высшее руководство должно обеспечить распределение и делегирование полномочий и обязанностей в рамках СМНД.
Организация должна назначить представителя из числа высшего руководства, ответственного за СМНД. Высшее руководство может назначить другие органы (например, руководящий комитет) для надзора за внедрением и текущим мониторингом СМНД. Представители, независимо от своих других обязанностей, должны быть назначены с определенными ролями, обязанностями и полномочиями, включая:
- обеспечение соответствия СМНД политике в области обеспечения непрерывности деятельности;
- представление отчетности о результатах деятельности СМНД высшему руководству для рассмотрения и анализа и в качестве основы для улучшения (см. разделы 9 и 10);
- повышение осведомленности о непрерывности деятельности во всей организации (см. 7.3);
- обеспечение эффективности разработанных процедур реагирования на инциденты (см. 8.4.4.2.2).
Представитель руководства в области обеспечения непрерывности деятельности может:
- получить конкретную должность (например: "менеджер по непрерывности деятельности", "инженер по непрерывности деятельности" или "менеджер по устойчивости");
- выполнять другие обязанности в рамках организации;
- быть из любой сферы деятельности организации.
Для оказания помощи во внедрении СМНД могут быть определены представители функциональных подразделений или региональных представительств организации (например, лица, ответственные за управление риском). Их роль, обязанности, ответственность и полномочия должны быть включены в должностные инструкции, которые могут быть усилены путем включения их в политику организации в области оценки, вознаграждения и признания персонала. В таблице 3 приведены примеры уместных ролей и обязанностей СМНД.
Примеры рабочих групп и возможные роли и обязанности, которые могут быть применимы для реагирования на инциденты и возобновление деятельности, приведены в таблице 5 (см. 8.4.4).
В зависимости от размера организации роли и обязанности, изложенные в таблице 3, могут быть установлены по-разному. Важно убедиться, что все обязанности являются частью исполняемой в СМНД роли и имеют владельца.
Все роли, обязанности и полномочия СМНД должны быть определены и документированы, а также подлежать периодическому аудиту.
Таблица 3 - Примеры ролей и обязанностей СМНД
|
|
Роль | Обязанности |
Представитель высшего руководства | Несет ответственность за СМНД;
представляет менеджмент непрерывности деятельности на совещаниях высшего руководства |
Менеджер по непрерывности деятельности | Несет ответственность за СМНД;
обеспечивает установление и демонстрацию приверженности политике в области непрерывности деятельности;
выполняет руководство всеми программными мероприятиями и координирование их с другими подразделениями;
назначает членов рабочих групп с соответствующим стажем работы, полномочиями и компетенцией;
содействует утверждению решений, процедур и программ учений;
представляет рекомендации рабочих групп на совещаниях по анализу со стороны руководства |
Группа менеджмента непрерывности деятельности | Обеспечивает внедрение менеджмента непрерывности деятельности во всей организации;
ведет документацию;
обеспечивает проведение своевременного анализа программы;
проводит оценку адекватности непрерывности деятельности для отдельных функциональных подразделений;
обеспечивает организацию и координацию программ повышения осведомленности о непрерывности деятельности;
обеспечивает создание программы учений и запрос ее одобрения на соответствующем уровне руководства;
проводит инструктаж по учениям и разбор их результатов;
информирует заинтересованные стороны о программе учений;
обеспечивает выполнение учений в соответствии с программой учений;
обеспечивает своевременное проведение внутренних аудитов и проверок;
поддерживает связь с функциональными подразделениями и обмен информацией с ними во время нарушений деятельности;
обеспечивает своевременное выполнение планов корректирующих действий;
содействует усилиям функциональных представителей/координаторов |
Представители функциональных подразделений | Обеспечивают поддержку непрерывности процессов организации;
информируют менеджера по непрерывности деятельности о состоянии готовности;
выполняют программу мероприятий и отчет о них в соответствии с указаниями;
обеспечивают подтверждение того, что планы обеспечения непрерывности работы поставщиков проверены и поддерживаются в рабочем состоянии;
обеспечивают координацию участия личного состава в учениях;
ведут учет мероприятий по обеспечению непрерывности деятельности;
доводят до сведения команды изменений, которые могут повлиять на непрерывность деятельности;
обеспечивают своевременное осуществление корректирующих действий;
проводят информирование менеджера по непрерывности деятельности о ходе выполнения корректирующих действий |
6 Планирование
6.1 Действия по снижению риска и использованию благоприятных возможностей
Обратите внимание, что руководство в настоящем подразделе относится к эффективности СМНД. Руководство, связанное с риском нарушений приоритетной деятельности, приведено в 8.2.3.
6.1.1 Определение риска и благоприятных возможностей
Определение и устранение риска и установление благоприятных возможностей позволяют организации:
a) обеспечить уверенность в том, что СМНД может достичь намеченных результатов;
b) предупредить или уменьшить нежелательные последствия;
c) добиться постоянного улучшения.
Организация должна определить способы понимания особенностей организации и условий ее работы, указанных в 4.1, потребностей и ожиданий заинтересованных сторон, указанных в 4.2, а также законодательных и обязательных требований, указанных в 4.2.2.
При этом необходимо провести идентификацию и анализ риска и благоприятных возможностей и их потенциального влияния на эффективность СМНД. Риск может возникнуть в результате:
- отсутствия лидерства и приверженности со стороны высшего руководства;
- недостаточного финансирования СМНД, приводящего к неэффективному реагированию на нарушения деятельности;
- недостаточности документированной информации;
- отсутствия персонала с достаточной компетентностью;
- неадекватного процесса анализа со стороны руководства;
- неспособности выйти на новые рынки, где непрерывность деятельности является обязательным требованием.
6.1.2 Снижение риска и использование возможностей
Организация должна планировать необходимые действия по снижению и/или устранению риска и использованию возможностей таким образом, чтобы:
- предупредить непреднамеренные результаты;
- использовать все возможности для улучшения СМНД;
- обеспечивать интеграцию в процесс СМНД (см. 8.1);
- обеспечивать наличие документированной информации для оценки эффективности принятых мер (см. 9.1).
6.2 Цели в области обеспечения непрерывности деятельности и планирование их достижения
6.2.1 Установление целей в области обеспечения непрерывности деятельности
Организация должна установить цели для внедрения и поддержания менеджмента непрерывности деятельности (см. раздел 8). Они должны соответствовать общим целям организации и включать определение обязанностей и установление соответствующих и реалистичных показателей выполнения целей.
Цели в области обеспечения непрерывности деятельности должны быть доведены до сведения всей организации. Необходимо проводить мониторинг и документирование прогресса в достижении целей в области обеспечения непрерывности деятельности.
По мере развития СМНД данный план необходимо регулярно пересматривать и, при необходимости, обновлять.
6.2.2 Определение целей в области обеспечения непрерывности деятельности
При определении целей обеспечения непрерывности своей деятельности организация должна убедиться в том, что в целях точно определено следующее:
- что будет сделано;
- необходимые ресурсы;
- ответственные лица;
- сроки завершения работ;
- способы оценки результатов.
Примерами целей обеспечения непрерывности деятельности, которые могут соответствовать требованиям ИСО 22301, могут быть следующие:
- "Высшее руководство выделит необходимые ресурсы для обеспечения внедрения СМНД, соответствующей требованиям ИСО 22301, для всех видов продукции и услуг к конкретной дате";
- "Директор будет взаимодействовать с консультантами XXX для достижения сертификации организации по ИСО 22301 для указанных видов продукции и услуг к конкретной дате";
- "Высшее руководство будет использовать существующие ресурсы для обеспечения выполнения требований ИСО 22301, что соответствует нашим обязательствам перед конкретными клиентами";
- "ИТ-директор будет работать с нашими поставщиками, чтобы сократить время восстановления деятельности, поддерживающей указанные виды продукции и услуг, на 10%. Это будет достигнуто к конкретной дате";
- "Не привлекая дополнительных ресурсов, менеджеры по производству на местах в необходимое время могут использовать менеджмент непрерывности деятельности, соответствующий требованиям ИСО 22301, что позволит защитить указанные виды продукции и услуг".
6.3 Планирование изменений в системе менеджмента непрерывности деятельности
Управление изменениями является важным фактором для всех процессов менеджмента.
Изменения в СМНД, в том числе те, которые определены в 10.1, должны быть тщательно спланированы, чтобы обеспечить полное изучение и понимание их цели. Планирование изменений должно включать в себя рассмотрение последствий предлагаемых изменений, обеспечение учета как ожидаемых, так и непреднамеренных последствий и обеспечение сохранения целостности СМНД.
Организация должна также обеспечить наличие надлежащих и достаточных ресурсов, а также распределение или перераспределение обязанностей и полномочий по мере необходимости.
7 Поддержка
7.1 Ресурсы
7.1.1 Общие положения
Организация должна определить и обеспечить наличие ресурсов, необходимых для СМНД, которые будут:
a) обеспечивать достижение политики и целей в области обеспечения непрерывности деятельности организации;
b) соответствовать изменяющимся требованиям организации;
c) обеспечивать эффективный обмен информацией по вопросам СМНД как внутри организации, так и за ее пределами;
d) обеспечивать непрерывное функционирование и постоянное улучшение СМНД.
Ресурсы должны быть выделены своевременно и результативно.
7.1.2 Ресурсы СМНД
При определении ресурсов, необходимых для СМНД, организация должна обеспечить следующие ресурсы:
a) персонал и связанные с ним ресурсы, включая:
1) время, необходимое для выполнения функций и обязанностей СМНД;
2) обучение, просвещение, осведомленность и учения;
3) управление персоналом СМНД;
b) объекты, включая соответствующие рабочие места и инфраструктуру;
c) системы информационно-коммуникационных технологий (ИКТ), включая прикладные программы, обеспечивающие эффективное и действенное управление программами;
d) управление и контроль всех форм документированной информации;
e) обмен информацией с заинтересованными сторонами (см. рисунок 4);
f) финансы.
Ресурсы и их распределение должны периодически быть пересмотрены с целью обеспечения их адекватности. Целесообразно привлечь к анализу ресурсов высшее руководство.
7.2 Компетентность
Организация должна создать надлежащую и эффективную систему управления компетенцией лиц, вовлеченных в управление СМНД.
Руководство должно определить области компетенции, необходимые для выполнения всех функций и обязанностей СМНД, а также степень осведомленности, знаний, понимания, навыков и опыта, необходимого для их выполнения. Все лица, выполняющие соответствующие роли в организации, должны демонстрировать необходимые компетенции и быть обеспечены соответствующим обучением, образованием, возможностью развития и другой необходимой поддержкой. Такой подход может быть назван "программой развития компетентности" и включать в себя:
- оценку компетенций для выполнения роли (ролей), которая должна быть выполнена;
- создание программы личностного роста, которая определяет обучение, образование, развитие и другую поддержку, необходимую для достижения необходимых областей компетенции;
- обеспечение обучения и наставничества, включая подбор подходящих методов и материалов;
- оценку эффективности;
- обмен знаниями;
- совместное использование рабочих мест;
- наем или заключение контрактов с компетентными лицами;
- обучение целевых групп;
- документирование и мониторинг полученного обучения;
- оценку полученной подготовки в соответствии с определенными потребностями и требованиями в области подготовки кадров с целью проверки соответствия требованиям к обучению СМНД;
- совершенствование программы развития по мере необходимости.
Организация должна установить и поддерживать процесс идентификации и выполнения требований к обучению в области обеспечения непрерывности деятельности всех участников и оценку эффективности его выполнения.
Для создания, управления и поддержания СМНД могут быть уместны следующие типы и области обучения:
- установление и менеджмент непрерывности деятельности;
- проведение анализа воздействий на деятельность;
- проведение оценки риска;
- коммуникативные навыки;
- проектное управление;
- разработка и внедрение документации по обеспечению непрерывности деятельности;
- выполнение программы учений.
Компетентность может быть усилена следующими факторами:
- интеграция достижений СМНД в процесс вознаграждения и признания персонала организации;
- интеграция достижений СМНД в процесс оценки эффективности деятельности организации;
- интеграция ролей, ответственности, обязанностей и полномочий СМНД в должностные инструкции и набор навыков персонала организации;
- активное участие клиентов (пользователей результатов деятельности) и высшего руководства в учениях.
Организация должна требовать, чтобы подрядчики, работающие от ее имени, демонстрировали, что персонал, который выполняет работу, находящуюся под управлением организации (от ее лица), обладает необходимой компетенцией в области СМНД и функциональными возможностями реагирования, которые, при необходимости, будут реализованы.
7.3 Осведомленность
Организация должна обеспечить осведомленность всех лиц, работающих под ее оперативным управлением (например, персонал, подрядчики, поставщики), о политике и целях организации в области обеспечения непрерывности деятельности и о:
- том, как снизить вероятность нарушений деятельности, и их ролях в отношении обнаружения инцидентов, смягчения последствий, самозащиты, эвакуации, реагирования, непрерывности и восстановления;
- важности соблюдения политики и процедур в области обеспечения непрерывности деятельности;
- зависимости от поставщиков и партнеров по аутсорсингу и связанного с этим риска для целей выполнения деятельности;
- последствиях внесения изменений в деятельность организации;
- их вкладе в эффективность СМНД, включая преимущества повышения непрерывности деятельности;
- их ролях и ответственности в достижении соответствия требованиям СМНД.
Организация должна внедрять менеджмент непрерывности деятельности в культуру организации таким образом, чтобы:
- СМНД стала частью основных ценностей и менеджмента организации;
- заинтересованные стороны были осведомлены о политике в области обеспечения непрерывности деятельности и своей роли в соответствующих процедурах.
Внедрение менеджмента непрерывности деятельности в культуру организации позволит:
- более эффективно развивать непрерывность деятельности;
- внушать уверенность заинтересованным сторонам (особенно персоналу и клиентам) в способности организации справляться с нарушениями ее деятельности;
- постепенно повышать устойчивость организации путем обеспечения учета последствий принятых решений для обеспечения непрерывности деятельности на всех уровнях;
- минимизировать вероятность и последствия нарушений деятельности.
Внедрение менеджмента непрерывности деятельности в культуру организации может быть поддержано путем:
- вовлечения всего персонала в работу по обеспечению непрерывности деятельности в организации;
- рассредоточения руководства по всей организации;
- распределения обязанностей;
- измерений на основе показателей СМНД;
- интеграции непрерывности деятельности в каждодневную практику менеджмента;
- повышения информированности;
- профессионального обучения;
- внедрения планов обеспечения непрерывности деятельности.
Программа повышения осведомленности может включать в себя:
- процесс консультаций с персоналом всей организации по вопросам создания, внедрения и поддержки системы обеспечения непрерывности деятельности;
- обсуждение непрерывности деятельности в информационных бюллетенях организации, брифингах, ознакомительной программе или журналах (включая ориентацию на новых сотрудников);
- информацию о непрерывности деятельности на соответствующие веб-страницы;
- менеджмент непрерывности деятельности в качестве темы на совещаниях персонала и руководства;
- выборочную публикацию отчетов после инцидентов;
- брифинги для высшего руководства;
- посещение установленного альтернативного места деятельности (например, места восстановления);
- регулярное общение с поставщиками, чтобы убедиться, что они понимают деятельность организации и требования к непрерывности деятельности и могут продемонстрировать свою способность соответствовать требованиям обеспечения непрерывности деятельности.
Изменения во внешней среде и операционной деятельности влияют на подход и способ планирования, разработки и реализации мероприятий по обеспечению непрерывности деятельности. Организация может продемонстрировать осведомленность о тенденциях менеджмента непрерывности деятельности, например, активно участвуя в отраслевых мероприятиях, связанных с непрерывностью деятельности, которые могут включать:
- членство в заинтересованной отраслевой группе;
- членство в организационном комитете конференции;
- проведение презентаций на конференциях и семинарах;
- участие в местных или международных конференциях по непрерывности деятельности.
7.4 Обмен информацией
Организация должна определить способы обмена информацией, связанные с СМНД.
Обмен информацией, связанный с СМНД, позволяет организации реагировать на потребности и ожидания заинтересованных сторон (см. 4.2). Для того чтобы обмен информацией был результативным, организация должна определить и, где это уместно, установить критерии для определения следующего:
a) что будет сообщено: обмен информацией, связанный с СМНД, может отличаться в зависимости от характера организации и конкретной ситуации. Некоторые организации, например, имеют законодательные и обязательные требования к обмену информацией;
b) когда должен быть осуществлен обмен информацией: могут существовать пороговые значения, при выходе за которые организация должна осуществлять обмен информацией; кроме того, область применения СМНД в организации может диктовать, как часто должен быть осуществлен обмен информацией;
c) с кем будет проведен обмен информацией: все заинтересованные стороны время от времени нуждаются в обмене информацией; поэтому важно определить для каждой заинтересованной стороны обстоятельства, при которых общение будет необходимо, и расставить приоритеты обмена информацией;
d) средства обмена информацией: заблаговременное определение методов, инструментов и каналов обмена информацией, включая альтернативные, позволит организации результативно осуществлять обмен информацией;
e) лица, осуществляющие обмен информацией: организация должна определить представителей организации и назначить конкретный персонал в качестве контактных лиц для обмена информацией.
Организация может включать ссылки на свои СМНД и механизмы обеспечения непрерывности деятельности в информационные бюллетени и брифинги поставщиков и клиентов.
Организация должна обеспечивать эффективный внешний обмен информацией в рамках своей программы повышения осведомленности (см. 7.3) и при реагировании на инцидент (см. 8.4.4).
7.5 Документированная информация
7.5.1 Общие положения
Документированная информация в соответствии с требованиями ИСО 22301 является доказательством соответствия требованиям и результативной работы системы менеджмента непрерывности деятельности.
Термин "процедура" означает определенный способ осуществления деятельности или процесса. "Документированная процедура" означает, что процедура должна быть установлена и поддерживаться на соответствующем носителе.
Один документ может содержать требования к одной или нескольким документированным процедурам. Требование документированной процедуры может охватывать более чем один документ.
Документированная информация включает в себя:
- понимание особенностей организации и ее области применения СМНД (см. 4.1);
- законодательные и обязательные требования (см. 4.2.2);
- область применения СМНД и все исключения из нее (см. 4.3);
- политику в области обеспечения непрерывности деятельности (см. 5.2);
- цели в области обеспечения непрерывности деятельности и планирование их достижения (см. 6.2);
- компетентность (см. 7.2);
- анализ воздействий на деятельность и оценку риска (см. 8.2);
- стратегию и решения обеспечения непрерывности деятельности (см. 8.3);
- планы и процедуры обеспечения непрерывности деятельности (см. 8.4);
- программу учений (см. 8.5);
- мониторинг, измерение, анализ и оценку (см. 9.1);
- внутренний аудит (см. 9.2);
- анализ со стороны руководства (см. 9.3);
- несоответствия и корректирующие действия (см. 10.1).
Кроме того, для обеспечения эффективности СМНД может быть необходима документированная информация, охватывающая следующую информацию:
- контракты с клиентами и уровни обслуживания;
- результаты анализа воздействий на деятельность;
- результаты оценки риска;
- определение и выбор решений по обеспечению непрерывности деятельности;
- анализ реагирования на инциденты;
- программу повышения осведомленности;
- обмен информацией об инцидентах и СМНД с персоналом и заинтересованными сторонами, такой как информационные бюллетени, заметки о встречах и оповещения;
- учебные программы для организаций и отдельных лиц;
- график проведения учений;
- договора и соглашения об уровне обслуживания с поставщиками;
- политику и планы обеспечения непрерывности деятельности подрядчиков и поставщиков, включая доказательства мониторинга риска поставщиками, а также доказательства того, что планы обеспечения непрерывности деятельности поставщиков внедрены и поддерживаются в рабочем состоянии;
- процедуры уведомления и реагирования подрядчиков и поставщиков;
- свидетельства проверок, технического обслуживания и поверок;
- обмен информацией об инцидентах и промахах после инцидентов;
- протокол совещаний по анализу СМНД.
7.5.2 Создание и актуализация
Организация должна обеспечить выполнение требований к созданию и актуализации документированной информации, включая следующее:
- точная идентификация всей документированной информации (например, наименование, номер, описание, дата, автор, версия);
- установление приемлемых форматов (например, язык, версия программного обеспечения, графика) и носителей, которые могут быть использованы для хранения документированной информации (например, бумажные, электронные);
- регулярный пересмотр и одобрение используемых форматов и носителей на предмет их пригодности и адекватности.
Объем документированной информации для СМНД может быть отличным в разных организациях из-за следующих факторов:
- размера организации, поставляемой продукции и предоставляемых услуг, а также осуществляемого вида деятельности;
- сложности видов деятельности и их взаимодействия;
- компетенции персонала и вовлеченных лиц.
7.5.3 Управление документированной информацией
7.5.3.1 Доступ к документированной информации
Организация должна управлять всей необходимой документированной информацией.
Целью управления документированной информацией является обеспечение того, что организация должна создавать, поддерживать и защищать документы таким образом, который является наиболее подходящим и достаточным для внедрения и функционирования СМНД.
Основное внимание должно быть сосредоточено на этой цели, а не на создании сложной системы управления документами.
Примеры защиты включают предупреждение компрометации или изменения документов без соответствующей авторизации и защиту от случайного удаления.
Существуют различные уровни доступа и их комбинации, которые могут быть предоставлены (например, только просмотр, просмотр и изменение, ограниченный просмотр). Целесообразно классифицировать документированную информацию организации в соответствии с ее чувствительностью (например, ограниченная, конфиденциальная, защищенная). Такая классификация может, например, быть необходимой для решений по обеспечению непрерывности деятельности, связанных с внутренним нарушением трудовых отношений, или в тех случаях, если планы и процедуры обеспечения непрерывности деятельности содержат конфиденциальную информацию конкурентов.
7.5.3.2 Виды управления
Организация должна установить документированную процедуру определения средств управления, необходимых для:
- распространения документированной информации;
- предоставления доступа к ней (включая такой доступ, например, как разрешения и полномочия на просмотр или изменение документированной информации);
- утверждения документов на достаточность до их выдачи;
- рассмотрения и обновления по мере необходимости, а также повторного утверждения документов;
- обеспечения идентификации изменений и текущего статуса пересмотра документов;
- обеспечения доступности соответствующих версий всех применимых документов в пунктах использования;
- обеспечения легкой идентификации и разборчивости документов на всех этапах их использования;
- обеспечения идентификации документов внешнего происхождения, определенных организацией как необходимых для планирования и функционирования СМНД, и управления их распространением;
- предупреждения непреднамеренного использования устаревших документов и применения к ним соответствующей идентификации, если они хранятся для каких-либо целей;
- установления параметров хранения документов и архивирования;
- обеспечения защиты и неразглашения конфиденциальной информации.
Организация должна обеспечивать целостность документированной информации, обеспечивая ее защищенность от несанкционированного доступа, надежную защиту, доступность только для уполномоченного персонала и защищенность от повреждения, порчи и/или потери.
Организация должна демонстрировать осведомленность обо всех соответствующих законодательных и обязательных требованиях, связанных с хранением документированной информации, и должна сохранять документальные свидетельства их соблюдения.
8 Функционирование
8.1 Оперативное планирование и управление
8.1.1 Общие положения
Организация должна определить, планировать, внедрить и поддерживать процессы, необходимые для создания и поддержания менеджмента непрерывности деятельности, отвечающего применимым требованиям (см. раздел 4), и осуществлять действия, определенные в 6.1.
Данные процессы должны быть интегрированы в бизнес-процессы организации, чтобы обеспечить надлежащее управление ими и поддержку их результативности.
Организация должна создать механизмы управления, которые включают в себя:
a) принятие решения о том, как данные процессы должны быть определены, спланированы, внедрены и управляться (например, путем разработки плана внедрения и согласования подходящих методов внедрения и поддержки менеджмента непрерывности деятельности);
b) обеспечение управления данными процессами в соответствии с принятыми решениями, например, путем установления контрольных точек проекта и определения требуемых результатов;
c) хранение документированной информации для демонстрации того, что процессы были выполнены в соответствии с планом.
Организация должна обеспечить управление планируемыми изменениями, анализ непреднамеренных изменений и принятие соответствующих мер.
Организация должна обеспечить управление процессами аутсорсинга и цепочки поставок (см. 8.3.4.9).
8.1.2 Менеджмент непрерывности деятельности
Элементы менеджмента непрерывности деятельности, как показано на рисунке 5, включают:
a) оперативное планирование и управление (см. 8.1): эффективное оперативное планирование и управление лежат в основе менеджмента непрерывности деятельности. Руководство этой деятельностью должно осуществлять ответственное лицо (представитель), назначенное высшим руководством;
b) анализ воздействий на деятельность и оценка риска (см. 8.2): анализ воздействий на деятельность позволяет организации оценить влияние, которое нарушение деятельности может оказать на поставку ее продукции и услуг, что позволяет организации расставить приоритетность возобновления деятельности.
Понимание риска нарушения этих приоритетных видов деятельности позволяет организации управлять ими.
Результаты анализа воздействий на деятельность и оценки риска позволяют организации определить соответствующие параметры стратегий и решений по обеспечению непрерывности деятельности;
c) стратегии и решения обеспечения непрерывности деятельности (см. 8.3): идентификация и оценка стратегий обеспечения непрерывности деятельности позволяют организации принять решения для снижения риска и смягчения последствий нарушений приоритетных видов деятельности и устранения возникающих нарушений деятельности. Выбранные решения по обеспечению непрерывности деятельности обеспечат возобновление поставок продукции и услуг на приемлемом уровне (производства или обслуживания) и в согласованные сроки;
d) планы и процедуры обеспечения непрерывности деятельности (см. 8.4): планы и процедуры обеспечения непрерывности деятельности позволяют организации управлять нарушениями и продолжать деятельность на основе своих требований к обеспечению непрерывности деятельности. Организация должна установить структуру реагирования группы (команды) управления, ответственных за реагирование на нарушения (см. 8.4.2). Организация должна разработать и внедрить планы и процедуры предупреждения и обмена информацией (см. 8.4.3), реагирования на инциденты (см. 8.4.4.2.2) и восстановления (возвращения к работе в обычном режиме) (см. 8.4.5);
e) программу учений (см. 8.5); программа учений позволяет организации проверить эффективность принятых решений, планов и процедур. Программа учений также позволяет организации:
1) содействовать повышению осведомленности персонала и развитию его компетентности,
2) обеспечивать полноту, актуальность и соответствие требованиям планов и процедур обеспечения непрерывности деятельности,
3) улучшать непрерывности своей деятельности;
f) оценку документации и возможностей обеспечения непрерывности деятельности (см. 8.6); организация должна оценить менеджмент непрерывности деятельности, чтобы убедиться в его результативности и способности организации достичь своих целей в области непрерывности деятельности.
|
Рисунок 5 - Элементы менеджмента непрерывности деятельности
8.1.3 Поддержка непрерывности деятельности
Результативная и эффективная поддержка непрерывности деятельности включает в себя:
- обеспечение постоянной актуальности области применения, ролей и обязанностей для обеспечения непрерывности деятельности;
- содействие и внедрение менеджмента непрерывности деятельности в организации и, при необходимости, у заинтересованных сторон;
- управление затратами, связанными с непрерывностью деятельности;
- установление и мониторинг процедур управления изменениями и управления преемственностью в рамках СМНД;
- организацию или обеспечение соответствующей подготовки и повышения осведомленности персонала;
- ведение документации по программе, соответствующей размерам и сложности организации.
Каждый компонент системы обеспечения непрерывности деятельности организации, включая документацию, необходимо регулярно пересматривать, внедрять и обновлять через запланированные интервалы времени. Данные процедуры также должны быть пересмотрены и обновлены всякий раз при значительных изменениях в оперативной среде, структуре, местах расположения, персонале, процессах или технологиях организации или при выявлении значительных недостатков и упущений на учениях или в процессе инцидентов.
Организация может применить признанный метод управления проектами для обеспечения результативного и эффективного менеджмента непрерывности деятельности.
Методы обеспечения результативности непрерывности деятельности включают в себя:
- внедрение передовой практики;
- управление программой учений;
- координацию регулярного анализа и обновления системы менеджмента непрерывности деятельности, включая пересмотр или переработку анализа воздействий на деятельность и оценку риска;
- обеспечение соответствия процедур обеспечения непрерывности деятельности потребностям групп реагирования.
8.2 Анализ воздействия на деятельность и оценка риска
8.2.1 Общие положения
Организация достигает своей цели, если поставляет свою продукцию и услуги потребителям. Поэтому важно создать понимание того негативного воздействия, которое стечением времени будет иметь нарушение поставок этой продукции и услуг (и деятельности, которая их поддерживает) на организацию и заинтересованные стороны. Также важно понимать взаимосвязь потребностей в ресурсах для деятельности, поддерживающей продукцию и услуги, и угроз для них.
Организация должна внедрять и поддерживать процессы, которые обеспечивают систематический анализ воздействий на деятельность (см. 8.2.2) и оценку риска нарушений деятельности (см. 8.2.3), результаты которых позволяют организации определять стратегии и решения обеспечения непрерывности деятельности (см. 8.3). Анализ воздействий на деятельность и оценка риска должны быть пересмотрены через запланированные интервалы времени и при наличии существенных изменений внутри организации или в среде, в которой она работает.
Именно организация должна определить порядок проведения анализа воздействий на деятельность и оценки риска для приоритетных видов деятельности (см. 8.2.3).
8.2.2 Анализ воздействий на деятельность
Анализ воздействий на деятельность позволяет организации определить приоритеты для возобновления прерванной деятельности. Основная цель данного анализа состоит в том, чтобы организация могла определить и классифицировать приоритетные виды деятельности, которые могут потребовать срочных действий, если они были прерваны, поскольку неспособность быстро возобновить их может привести к неприемлемым уровням неблагоприятных последствий. При этом деятельность, которая не требует быстрого восстановления, тоже может нуждаться в признании ее приоритетной. Например, деятельность, которую не нужно возобновлять в течение шести месяцев, но для возобновления которой потребуется как минимум восемь месяцев, должна быть приоритетной. Таким образом, приоритетные виды деятельности также могут быть рассмотрены как виды деятельности, которые могут потребовать внедрения решений по обеспечению непрерывности деятельности до того, как они будут нарушены (см. 8.3.5).
В настоящем стандарте использован термин "приоритетный вид деятельности", но организации могут использовать свои собственные термины, временные периоды или порядок расстановки приоритетов. Примеры терминов включают "критический", "существенный", "жизненно важный" и "ключевой". Примеры периодов времени включают "0-2 ч", "0-1 день" и "1-3 дня". Примеры приоритетов включают "высокий", "средний" и "низкий" или "1-й", "2-й" и "3-й".
Каждая организация может описать свою работу по-своему. Например, организация может описывать деятельность как задачи или наборы задач, которые организация выполняет для того, чтобы произвести или доставить свою продукцию и услуги (см. рисунок 6). Другие организации, возможно, могут описать продукцию и услуги как результат процессов, которые состоят из видов деятельности.
Анализ должен охватывать все виды деятельности, входящие в область применения СМНД. Допустимо проводить анализ по группам видов деятельности, например, относящихся к конкретным продукции и услугам (см. рисунок 6).
При проведении анализа воздействий на деятельность используемая терминология должна отражать то, как организация описывает свои собственные операции.
|
Рисунок 6 - Понимание организации
ISO/TS 22317 содержит дополнительные рекомендации по проведению анализа воздействий на деятельность. Данный документ содержит поэтапный подход как способ удовлетворения требований ИСО 22301.
Анализ воздействий на деятельность позволяет организации определить неблагоприятные последствия нарушений деятельности и подготовить, в качестве выходных данных, установку и обоснование требований к непрерывности деятельности.
Анализ также позволяет организации:
- получить представление о своих продукции и услугах, а также о связанной с ними деятельности;
- расставить приоритеты и определить сроки возобновления поставок продукции и услуг;
- определить ресурсы, которые могут быть необходимы для обеспечения непрерывности и восстановления;
- выявить взаимозависимости (как внутренние, так и внешние).
Процесс анализа воздействий на деятельность должен быть использован для расстановки приоритетов и установления обеспечения непрерывности деятельности.
Данный процесс должен включать в себя определение критериев оценки для анализа воздействий на деятельность, включая виды воздействия и временные рамки, которые должны быть рассмотрены. И то, и другое должно быть основано на области применения, целях и задачах деятельности организации и учитывать потребности заинтересованных сторон. Критерии оценки должны быть пересмотрены через запланированные интервалы времени и в периоды изменений.
Типы воздействия (которые можно назвать "категориями воздействий") могут включать себя, например, следующие (см. таблицу 4).
Таблица 4 - Примеры видов воздействий
|
|
Тип | Описание |
Финансовый | Убытки из-за штрафов, пени, упущенной выгоды или уменьшения доли рынка |
Репутационный | Отрицательные отзывы или абсолютное снижение уровня репутации |
Оперативный | Сильное и продолжительное нарушение деятельности или сбой в выполнении операции |
Нормативно-правовая база | Судебная ответственность и отзыв лицензии |
Договорной | Нарушение договоров или обязательств между организациями |
Коммерческий | Неспособность достичь поставленных целей или воспользоваться возможностями |
Время, необходимое для того, чтобы воздействие стало неприемлемым, может варьироваться от нескольких секунд до нескольких месяцев. Временные рамки будут зависеть от чувствительности к времени продукции и услуг организации. Например, для размещения продукции, которая очень чувствительна ко времени, временные рамки могут составлять минуты или часы. Более длительные временные рамки уместны для организаций с менее чувствительными к срокам поставки продукции и услугам.
Нарушение деятельности может привести к косвенному воздействию на поставку продукции и услуги. Например, утрата платежеспособности поставщиков может нанести ущерб репутации организации и привести к тому, что поставщики откажутся поставлять товары, что в свою очередь помешает производству продукции или оказанию услуг. Товары и услуги также имеют ежедневные колебания спроса, которые могут носить циклический характер. Часто существуют сезонные колебания и более высокие уровни активности, связанные с еженедельными, ежемесячными или годовыми циклами или сроками реализации проекта. Учет косвенных последствий и предположение о том, что нарушение происходит в наихудшее время, обеспечивают оценку максимально возможных последствий.
Именно высшее руководство организации определяет пороги воздействий, которые являются неприемлемыми для организации. Время, необходимое для того, чтобы воздействие стало неприемлемым, можно назвать "максимально допустимым периодом прерывания деятельности (MTPD)", "максимально допустимым периодом" или "максимально допустимым отключением". Минимальный уровень продукции или услуги, приемлемый для организации, может быть выражен как "минимальная цель обеспечения непрерывности деятельности (МВСО)".
Анализ воздействий на деятельность должен также включать в себя определение зависимости приоритетных видов деятельности, что позволит организации учесть результаты данного анализа при оценке риска (см. 8.2.3) и определении стратегии и решений обеспечения непрерывности деятельности (см. 8.3).
Организация должна с осторожностью подходить к определению потребностей в ресурсах для поддержания приоритетных видов деятельности (см. 8.3.4) перед принятием решений по обеспечению непрерывности деятельности (см. 8.3.3), поскольку зависимости приоритетных видов деятельности могут не иметь отношения к принятым решениям по обеспечению непрерывности.
Процесс анализа воздействий на деятельность должен включать:
a) определение критериев оценки, имеющих отношение к области применения организации, включая:
1) виды воздействий;
2) сроки;
b) определение видов деятельности, способствующих поставке продукции и услуг организации;
c) использование критериев для оценки ожидаемого воздействия стечением времени в результате нарушения данного вида деятельности;
d) оценка продолжительности времени, в течение которого последствия отказа от возобновления деятельности станут неприемлемыми;
e) установление временных рамок в пределах времени, указанного выше в перечислении d), для возобновления деятельности в указанные сроки на минимально допустимом уровне мощности (см. рисунки 2 и 3);
f) определение приоритетных видов деятельности;
g) выявление зависимостей из наиболее приоритетных направлений деятельности, в том числе и людей (см. 8.3.4.2), информации и данных (см. 8.3.4.3), физической инфраструктуры: зданий, рабочих мест или других объектов и связанного оборудования (см. 8.3.4.4), оборудования и расходных материалов (см. 8.3.4.5), системы информационно-коммуникационных технологий (см. 8.3.4.6), транспорта и логистики (см. 8.3.4.7), финансов (см. 8.3.4.8), партнеров и поставщиков (см. 8.3.4.9);
h) выявление взаимозависимости приоритетных видов деятельности (например, закупки зависят от финансирования и высвобождения средств).
В настоящем стандарте продолжительность времени для возобновления деятельности [см. e) выше] называют "целевой продолжительностью восстановления (RTO)". При определении RTO целесообразно учесть:
- зависимости от сопутствующих видов деятельности;
- сложность процесса восстановления.
Для организаций со сложными процессами восстановления целесообразно установить несколько RTO для диапазона приемлемых мощностей.
При рассмотрении зависимости деятельности от информации и данных организация должна обеспечить актуальность информации и данных, необходимых для возобновления деятельности. Для достижения данной цели организация может использовать термин "цель точки восстановления (RPO)". RPO - это точка, до которой восстанавливают используемые информацию и данные, чтобы продолжить работать после возобновления деятельности. RPO также можно использовать для определения частоты резервного копирования, необходимой для предупреждения недопустимой потери данных и информации, а также для определения других незавершенных работ, которые могут помешать возобновлению деятельности.
ИСО/МЭК 27031 содержит дополнительные рекомендации в отношении обеспечения необходимых текущих данных. ИСО/МЭК 27002 содержит рекомендации по обеспечению постоянной конфиденциальности, целостности и доступности данных.
Анализ воздействий на деятельность должен быть документирован, включая:
- определение законодательных, обязательных и договорных требований (обязательств) и их влияния на требования непрерывности деятельности (см. 4.2.2);
- одобрение или изменение области применения СМНД организации (см. 4.3);
- оценку воздействий на организацию стечением времени как обоснование требований обеспечения непрерывности деятельности (время и возможности);
- выявление взаимосвязей между продукцией и услугами, видами деятельности и ресурсами;
- определение вспомогательных ресурсов, от которых зависят приоритетные виды деятельности;
- выявление зависимостей от других видов деятельности, цепочек поставок, поставщиков, партнеров и других заинтересованных сторон.
Информация может быть получена из следующих источников:
- интервью;
- рассылка вопросников;
- воркшопы;
- другие внутренние и внешние источники.
8.2.3 Оценка риска
Примечание - Руководство в данном пункте относят к риску нарушений (срыва) приоритетных видов деятельности. Руководство, связанное с оценкой эффективности показателей СМНД, приведено в 6.1.
Цель оценки риска состоит в том, чтобы организация могла оценить риск нарушений приоритетных видов деятельности для того, чтобы принять соответствующие меры для снижения данного риска.
Организация должна внедрить и поддерживать формальный процесс оценки риска, который позволяет систематически выявлять, анализировать и оценивать риск нарушения приоритетных видов деятельности организации и процессов, систем, информации, людей, активов, поставщиков и других ресурсов, которые их поддерживают.
Оценка риска - это структурированный процесс анализа риска с точки зрения вероятности и последствий, который проводят прежде, чем принимают решение о дальнейшей обработке риска. Данный структурированный процесс помогает ответить на некоторые фундаментальные вопросы:
- Что может случиться?
- Какова вероятность того, что это произойдет?
- Какие могут быть последствия?
- Есть ли что-нибудь, что могло бы смягчить последствия или уменьшить их вероятность?
Данный процесс должен учитывать область применения в организации, а также потребности и ожидания заинтересованных сторон (см. 4.1 и 4.2).
Организация должна понимать угрозы и уязвимости, относящиеся к ресурсам, необходимым для деятельности организации, особенно к:
- ресурсам, необходимым для осуществления мероприятий, определенных в качестве высокоприоритетных;
- ситуации, если продолжительность времени замены ресурса больше, чем целевое время восстановления деятельности.
Организация должна выбрать соответствующий метод идентификации, анализа и оценки риска нарушений деятельности, или деятельности и условий, которые могут к ним привести. ИСО 31000 устанавливает принципы менеджмента риска и связанные с ними руководящие принципы. Типичные элементы, которые должны быть учтены при реализации настоящего стандарта, включают в себя следующие:
a) идентификация риска: потенциальные источники риска для приоритетных видов деятельности организации и процессов, систем, данных, людей, активов, поставщиков и других ресурсов, которые их поддерживают. При этом исходят из:
1) конкретных угроз (опасностей), которые могут в какой-то момент нарушить деятельность и ресурсы (например, пожар, наводнение, сбой питания, потеря персонала, прогулы персонала, компьютерные вирусы, отказ оборудования);
2) нарушений, которые могут возникнуть из-за уязвимостей внутри ресурсов (например, отдельные точки неисправности, недостатки в противопожарной защите, отсутствие электрической устойчивости, недостаточный штат сотрудников, плохая ИТ-безопасность и устойчивость);
b) анализ риска: понимание риска таким образом, чтобы его можно было оценить и определить наиболее подходящие способы его обработки, включая:
1) рассмотрение причин и источников риска, вероятности как положительных, так и отрицательных последствий, а также влияния других факторов на вероятность;
2) определение риска исходя прежде всего из его вероятности и ожидаемых последствий, но также с учетом эффективности и действенности существующих средств и методов управления.
Ключевым параметром анализа является вероятность, поэтому уверенность в ее достоверности (основанная на экспертной оценке, неопределенности, наличии, качестве, количестве и постоянной актуальности информации или ограничениях при моделировании) должна быть рассмотрена и доведена до сведения лиц, принимающих решения, и других заинтересованных сторон.
Анализ может быть качественным, полуколичественным или количественным;
c) оценка риска: оценка того, какой риск, связанный с нарушением, требует обработки. При этом необходимо сосредоточиться на ресурсах, необходимых для деятельности с высоким приоритетом или со значительным временем выполнения заказа.
Организация должна быть осведомлена обо всех финансовых, законодательных и/или обязательных требованиях, которые могут потребовать соответствующего обмена информацией. Кроме того, в некоторых случаях уровень детализации информации может значительно отличаться.
8.3 Стратегии и решения обеспечения непрерывности деятельности
8.3.1 Общие положения
Стратегии обеспечения непрерывности деятельности - это возможные способы удовлетворения организацией своих требований к непрерывности деятельности.
Стратегии обеспечения непрерывности деятельности должны состоять, по крайней мере, из одного решения по обеспечению непрерывности деятельности, но могут потребовать более одного решения для удовлетворения требований обеспечения непрерывности деятельности.
Решения по обеспечению непрерывности деятельности включают в себя подходы, механизмы, методы, процедуры, процессы и действия, которые могут быть применены для реализации стратегий деятельности. Решения могут быть использованы для более чем одной стратегии.
Стратегии и решения обеспечения непрерывности деятельности:
a) дать возможность организации возобновить виды деятельности в требуемые сроки и с приемлемой производительностью;
b) определить возможности, которые организация может реализовать и усовершенствовать стечением времени для снижения риска, связанного с нарушением деятельности.
Определение стратегий обеспечения непрерывности деятельности и выбор решений по обеспечению непрерывности деятельности должны быть основаны на анализе воздействий на деятельность (см. 8.2.2) и оценке риска (см. 8.2.3) с учетом связанных с этим затрат.
Организация должна установить процедуры определения и выбора стратегий и решений обеспечения непрерывности деятельности, включая рассмотрение и утверждение рекомендуемых решений. Организация должна рассмотреть варианты, которые могут быть реализованы до, во время и после нарушения деятельности.
8.3.2 Идентификация стратегий и решений
8.3.2.1 Общие положения
Большинство стратегий требуют принятия одного или нескольких решений, но для некоторых видов деятельности организации приемлемыми стратегиями могут быть бездействие или отсрочка возобновления.
Например, стратегия переезда для возобновления деятельности может состоять из ряда решений, включая "экстренный транспорт", "перенаправление сети" и "альтернативный персонал". Данные решения также могут стать частью стратегии "продления рабочего времени".
Аналогичным образом производственная стратегия защиты приоритетных видов деятельности может, например, состоять из ряда решений, включая "перемещение производства 30% продукта A из местоположения A в местоположение B" или "разделение производства продукта A между местоположением C и местоположением D".
Для обеспечения того, чтобы выполнение планов обеспечения непрерывности деятельности (см. 8.4.4) не зависело от нарушений деятельности, организации, возможно, потребуется принять меры предосторожности, например разделить команды и восстановленные системы ИКТ по нескольким местоположениям. Полное разделение не всегда достижимо, и может возникнуть необходимость выявить ограничения и согласовать их с высшим руководством. Ограничения могут быть выражены в терминах расстояния или минимального числа персонала и могут зависеть от реакции государственных органов на серьезные или широко распространенные нарушения.
Организация должна определить соответствующие стратегии и решения для:
- защиты приоритетных видов деятельности;
- стабилизации, продолжения, возобновления и восстановления приоритетных видов деятельности;
- смягчения последствий, реагирования на них и управления ими.
Организация должна установить механизм определения и выбора стратегий и решений обеспечения непрерывности деятельности, включая утверждение и внедрение рекомендуемых решений (см. 8.3).
ISO/TS 22331 содержит дополнительные рекомендации по определению и выбору стратегий и решений обеспечения непрерывности деятельности.
8.3.2.2 Защита приоритетных видов деятельности
Защита приоритетных видов деятельности может быть достигнута путем:
- снижения риска воздействия нарушений на деятельность;
- передачи деятельности третьей стороне (хотя ответственность продолжает нести организация).
В качестве альтернативы можно изменить способ ведения деятельности, если существуют жизнеспособные альтернативы.
При определении стратегий и решений для защиты приоритетных видов деятельности организации следует учесть:
- предполагаемую уязвимость деятельности и последствия, которые могут возникнуть в случае ее прекращения;
- стоимость мероприятий по сравнению с ожидаемыми выгодами;
- срочность деятельности, так как времени на решение вопроса будет меньше;
- общую осуществимость и пригодность стратегий и решений.
8.3.2.3 Стабилизация, продолжение, возобновление и восстановление приоритетных видов деятельности
Установление RTO для возобновления приоритетной деятельности на согласованном уровне производительности позволяет организации определить стратегии сокращения периода нарушения, снижения воздействий и обеспечения своевременного восстановления приоритетной деятельности.
Для того чтобы обеспечить возобновление приоритетной деятельности в рамках их RTO, совместимые RTO также должны быть установлены для зависимых видов деятельности и вспомогательных ресурсов. Организация также должна определить свои возможности при восстановлении зависимых видов деятельности и вспомогательных ресурсов. При установлении RTO организации, возможно, следует рассмотреть:
- возможность предоставления другой услуги до момента полного возобновления;
- обеспечение эффективной мобилизации людей;
- обеспечение поощрения и поддержки людей, возвращающихся на работу в трудную минуту;
- обходные пути (например, ручные процессы), которые откладывают необходимость возобновления зависимости от вспомогательных ресурсов;
- отставание и время, необходимое для восстановления потерянной информации;
- сложность и масштаб требований к восстановлению или потребность в специализированном оборудовании с длительным сроком выполнения заказа.
Стратегии обеспечения непрерывности деятельности могут включать следующее:
a) перемещение деятельности: передача некоторых или всех видов деятельности либо внутри организации другой части организации, либо внешней третьей стороне, независимой от организации или на основе соглашения о взаимной помощи. При определении мест, в которых следует возобновить деятельность, следует учитывать поврежденные/затронутые участки и неповрежденные альтернативные участки;
b) перемещение или перераспределение ресурсов: ресурсы, включая персонал, переводят в другое место (внутри организации или внешней третьей стороне);
c) альтернативные процессы и резервные мощности: создание альтернативных процессов или создание избыточных/резервных мощностей в процессах и/или запасов;
d) временный обходной путь: некоторые виды деятельности могут использовать другой способ работы, который обеспечивает приемлемые результаты в течение ограниченного времени. Вполне вероятно, что обходной путь будет более трудоемким (например, ручные операции в отличие от автоматизированной системы).
По этим причинам обходные пути, как правило, подходят только для коротких периодов времени или отсрочки возвращения к обычному способу ведения деятельности.
Примеры стратегий включают:
- обеспечение запасных производственных мощностей в альтернативном месте;
- предоставление возможностей удаленной работы ключевому персоналу.
8.3.2.4 Смягчение последствий, реагирование на них и управление ими
Стратегии смягчения последствий нарушений деятельности, реагирования на них и управления ими могут включать следующее:
a) страхование: покупка страховки может обеспечить некоторую финансовую компенсацию за некоторые убытки, но не будет покрывать все расходы (например, незастрахованный риск, бренд, репутация, затраты заинтересованных сторон, доля рынка, последствия, связанные с человеческим фактором). Финансовый расчет сам по себе не сможет полностью защитить организацию и удовлетворить ожидания заинтересованных сторон. Страховое покрытие, скорее всего, будет использовано в сочетании с другими решениями;
b) восстановление активов: заключение договоров на резервные услуги с организациями, которые специализируются на очистке или ремонте активов после их повреждения;
c) управление репутацией: развитие эффективного потенциала предупреждения и обмена информацией (см. 8.4.3) и установление эффективных процедур обмена информацией об инцидентах (см. 8.4.4.5).
Для выявления риска, требующего обработки, и в соответствии со своим общим отношением к риску организация должна рассмотреть способы снижения вероятности, сокращения периода и ограничения последствий нарушения.
Если существует конкретная опасность, над которой организация не имеет никакого контроля и которая может значительно нарушить работу организации (например, землетрясение или наводнение), организация должна, где это уместно:
- идентифицировать стратегии и реализовать решения по ограничению потенциального воздействия нарушения;
- идентифицировать внешний орган, ответственный за мониторинг опасности;
- обеспечить обмен информацией с внешними ответственными организациями, чтобы понять протоколы их уведомлений;
- провести анализ протоколов уведомлений, чтобы определить, соответствуют ли они потребностям организации.
8.3.3 Выбор стратегий и решений
Выбор стратегий обеспечения непрерывности деятельности должен быть основан на том, в какой степени они:
a) обеспечат возобновление приоритетной деятельности на согласованной мощности в сроки, определенные в ходе анализа воздействий на деятельность (см. 8.2.2);
b) соответствуют размеру и виду риска, который организация может принять или не принять;
c) предоставят преимущества по управляемым и разумным ценам.
Организация должна проводить анализ всех решений при внесении изменений в работу организации.
Решения по обеспечению непрерывности деятельности для стабилизации, продолжения, возобновления или восстановления приоритетной деятельности часто могут быть непомерно дорогими. Если организация считает, что это так, она должна либо выбрать альтернативные решения, которые являются приемлемыми и отвечают ее целям обеспечения непрерывности деятельности, либо рассматривать соответствующие виды продукции и услуг как исключения из области применения СМНД в соответствии с 4.3.3.
Если организация оценивает угрозу как крайне маловероятную или затраты на защиту приоритетного объекта являются непомерно дорогостоящими, то организация может принять риск и повторно оценить его в рамках текущей оценки эффективности СМНД (см. раздел 9). Принятие риска может также потребовать, чтобы затронутые виды продукции или услуг были удалены из области применения СМНД.
8.3.4 Требования к ресурсам
8.3.4.1 Общие положения
Организация должна определить требования к ресурсам для реализации выбранных решений.
Организация должна определить:
- соответствующие рабочие группы или, для небольших организаций, отдельных ответственных лиц, которые обладают соответствующими полномочиями по надзору за подготовкой к инцидентам, реагированию на них и восстановлению;
- логистические возможности и процедуры для обнаружения, приобретения, хранения, распределения, обслуживания, тестирования и учета услуг, персонала, ресурсов, материалов и объектов, произведенных или подаренных;
- финансовые, материально-технические и административные процедуры для поддержки механизмов обеспечения непрерывности деятельности до, во время и после нарушения деятельности; эти процедуры должны:
- обеспечить оперативность принятия финансовых решений;
- соответствовать установленным уровням полномочий, принципам управления и бухгалтерского учета;
- цели управления ресурсами по срокам реагирования, персоналу, оборудованию, обучению, финансированию, страхованию, контролю ответственности, экспертным знаниям, материалам и срокам, в течение которых каждый из них будет необходим из ресурсов организации и от поставщиков;
- процедуры оказания помощи заинтересованным сторонам, обмена информацией с ними, стратегические партнерства и взаимную или одностороннюю помощь.
8.3.4.2 Люди
8.3.4.2.1 Основные положения
В организации должен быть персонал, который обладает необходимой компетентностью, чтобы реагировать на нарушения деятельности (инциденты) и управлять ими, а также участвовать в возобновлении приоритетной деятельности.
8.3.4.2.2 Реагирование на инциденты
Организация должна назначить персонал по реагированию на нарушения (инциденты), наделенный необходимой ответственностью, полномочиями и компетенцией для управления инцидентом.
Персонал по реагированию на инциденты должен сформировать группу, которая отвечает за управление всеми нарушениями, которые существенно влияют или могут существенно повлиять на организацию.
Персонал может быть сгруппирован в команды (группы) в соответствии с их продемонстрированной компетентностью, например, по следующим направлениям:
- управление инцидентом/стратегическое управление (см. 8.4.4.4);
- обмен информацией (см. 8.4.4.5);
- безопасность и благополучие (см. 8.4.4.6);
- спасение и безопасность (см. 8.4.4.7);
- возобновление деятельности (см. 8.4.4.8);
- восстановление систем ИКТ (см. 8.4.4.9).
Все сотрудники, входящие в данные группы, должны иметь четко определенные обязанности и полномочия, которые применяются до, во время и после нарушения деятельности.
Обучение персонала по реагированию на нарушения и восстановлению деятельности включает в себя:
- оценку инцидентов;
- управление эвакуацией и укрытием на месте, если это применимо к области применения;
- организацию работы на альтернативных рабочих местах;
- методы эффективного управления внутренним и внешним обменом информацией;
- работу с человеческими аспектами (см. ISO/TS 22330).
Навыки реагирования и компетентность во всей организации должны быть развиты путем практического обучения, включая активное участие в учениях.
Группы реагирования и восстановления должны получать образование и подготовку по вопросам своих обязанностей и полномочий, включая взаимодействие с первыми лицами реагирования и другими заинтересованными сторонами. Группы реагирования должны регулярно проходить обучение, и новые члены групп должны проходить обучение, если они присоединяются к структуре реагирования. Данные группы также должны пройти подготовку по предупреждению инцидентов, которые могут перерасти в кризис.
8.3.4.2.3 Возобновление деятельности
Организация должна определить надлежащие меры по поддержанию и расширению наличия основных навыков и знаний, с тем чтобы можно было возобновить деятельность при сокращении численности персонала. Люди могут реагировать не так, как ожидалось во время инцидента, и могут нуждаться в поощрении, заверении и поддержке. При этом должны быть включены сотрудники, подрядчики и другие заинтересованные стороны, обладающие обширными специальными навыками и знаниями. Методы защиты или повышения данных навыков могут включать в себя:
- список резервных квалифицированных специалистов и план вызова;
- многопрофильную подготовку персонала и подрядчиков;
- разделение основных навыков для уменьшения последствий инцидента, включая физическое разделение персонала с основными навыками более чем в одном месте;
- использование третьих лиц;
- планирование преемственности;
- документирование процессов и других форм хранения и управления знаниями.
Целесообразно также рассмотреть процедуры, основанные на перемещении персонала после инцидента:
- транспортировка персонала в другое место;
- потребности в персонале на альтернативном объекте, такие как:
- размещение;
- объекты общественного питания;
- обеспечение личных и семейных обязательств;
- обучение на различном оборудовании;
- проблемы, связанные с удаленной работой на дому.
Роли специалистов могут включать:
- безопасность;
- транспортную логистику;
- социальное обеспечение и чрезвычайную ситуацию.
Для того, чтобы поощрить и успокоить людей, которые должны будут отреагировать на нарушение, организация должна предоставить, например, практические советы, обучение осведомленности о риске, транспортные решения и поддержку, связанную с семьей.
ISO/TS 22330 предоставляет дополнительные указания относительно аспектов человеческого фактора обеспечения непрерывности деятельности.
8.3.4.3 Информация и данные
Слова "информация" и "данные" используют взаимозаменяемо в повседневном обиходе. В настоящем стандарте термин "информация" использован для обозначения данных, которые были обработаны, организованы и соотнесены для получения смысла. Таким образом, информация создана на основе данных, которые включают в себя, например, факты, статистические данные и цифры, хранящиеся вручную и/или в электронном виде, которые могут быть сохранены и использованы на компьютере.
Информация может быть воссоздана из данных во время нарушения (сбоя), но время обработки может быть более продолжительным; кроме того, средства для этого также могут оказаться недоступными. Поэтому организации должны учитывать требования деятельности как к информации, так и к данным. Если информация или данные, необходимые для деятельности (а не только для приоритетной деятельности), безвозвратно утеряны, возобновление данной деятельности может оказаться невозможным.
Информация и данные, жизненно важные для деятельности организации, должны быть защищены и восстановимы в срок, установленный в процессе анализа воздействий на деятельность. При определении порядка хранения и восстановления данных организация должна быть осведомлена о применимых законодательных и обязательных требованиях.
Вся информация или данные, необходимые для обеспечения реагирования и восстановления организации, должны иметь соответствующие:
- конфиденциальность (например, если деятельность перемещена в другое место);
- целостность: информация и данные надежны, и им можно доверять;
- доступность: информация и данные доступны так быстро, как того требует деятельность (т.е. в рамках RTO деятельности); информация и данные, необходимые во время реагирования, могут быть необходимы немедленно, в то время как другая информация и данные могут не потребоваться до тех пор, пока не закончится инцидент;
- актуальность: информация настолько актуальна, насколько это необходимо для осуществления деятельности (см. 8.2.2), может быть необходимо воссоздать информацию, потерянную в результате инцидента, а данные восстановить.
При копировании информации и данных могут быть использованы различные методы, включая виртуальные (электронные) форматы (например, диск, облако, лента) и физические (печатные) форматы (например, фотокопии, создание двойных копий в процессе производства).
Информация и данные о принятых решениях по восстановлению информации и данных, которые еще не были скопированы или сохранены в безопасном месте, должны быть документированы.
Если место хранения скопированных информации или данных расположено слишком близко к оригиналу, нарушение может привести к компрометации целостности или воспрепятствовать доступу к ней. Большое расстояние от информации или данных может помешать доступу к информации/данным в случае необходимости. Уместно иметь письменные доказательства того, как были разрешены эти противоречивые проблемы.
Информация и данные, упомянутые в настоящем подпункте, могут включать следующее:
- контактная информация;
- поставщик, заинтересованные стороны и сведения о заинтересованной стороне;
- юридические документы (например, договоры, страховые полисы, правоустанавливающие документы);
- другие документы об услугах (например, договора, соглашения об уровне обслуживания);
- метаданные (т.е. информация для описания аудиовизуального контента и сущности данных в определенном формате);
- уведомления и предупреждающие сообщения, распространяемые в качестве меры реагирования на инциденты и нарушения;
- руководящие принципы и критерии, касающиеся того, кто имеет право ссылаться на процедуры.
8.3.4.4 Здания, рабочие места и связанные с ними коммунальные услуги
Решения по рабочим местам могут значительно варьироваться, при этом целый ряд вариантов может быть не доступен. Различные типы инцидентов или угроз могут потребовать реализации различных или нескольких вариантов расположения рабочих мест. Соответствующая тактика частично будет определена на основе размера организации, сектора экономики и способов распределения деятельности, заинтересованных сторон и географического месторасположения. Например, государственные органы должны поддерживать современную систему предоставления услуг в своих сообществах, в то время как некоторые организации могут работать с другой страной или континентом на других условиях.
Организация должна разработать решение, которое уменьшит воздействие недоступности ее обычных рабочих мест. Это может включать следующее:
- альтернативные помещения (места) внутри организации, включая замещение других видов деятельности;
- альтернативные помещения, предоставляемые другими организациями (независимо от того, заключены ли с ними взаимные соглашения или нет);
- центры управления;
- альтернативные помещения, предоставляемые сторонними специалистами;
- работа из дома или на удаленных объектах;
- другие согласованные подходящие помещения;
- использование альтернативной рабочей силы в установленном месте.
Альтернативные помещения должны быть тщательно отобраны с учетом географического местоположения, которое может быть затронуто одним и тем же инцидентом. Такой инцидент, как стихийное бедствие, может нанести ущерб обширным районам и повлиять на основные коммунальные услуги, такие как предоставление электричества, газа, воды и связи. Если такой риск существует, альтернативные помещения должны быть удалены от такой возможной зоны воздействия.
Если персонал будет переведен в альтернативные помещения, то следует должным образом рассмотреть следующее:
- убедитесь, что помещения находятся не так близко, чтобы они могли пострадать от одного и того же инцидента;
- убедитесь, что помещение находится достаточно близко, чтобы персонал был готов и мог туда ездить;
- возможные трудности, которые могут быть вызваны случившимся.
Использование альтернативных помещений в целях обеспечения непрерывности деятельности должно быть подкреплено четким заявлением о том, предназначены ли ресурсы, необходимые в альтернативных помещениях, исключительно для использования организацией. Если альтернативные помещения используются совместно с другими организациями, следует разработать и документировать план смягчения последствий недостаточности таких помещений.
В некоторых ситуациях (например, производственная линия, кол-центр или если короткий RTO) может быть целесообразно переместить рабочую нагрузку, а не персонал. Это может потребовать наличия свободных мощностей на альтернативном объекте или привлечения дополнительного персонала (будь то за счет сверхурочной работы или набора персонала), а также привлечения других ресурсов.
8.3.4.5 Оборудование и расходные материалы
Организация должна определить и вести инвентаризацию основных поставок, которые поддерживают ее приоритетные виды деятельности.
Некоторые материалы и оборудование может быть трудно приобрести, они могут быть очень дорогими (требующими длительного времени для получения разрешения) или иметь длительные сроки выполнения заказа. Решения по предоставлению таких ресурсов, возможно, должны учитывать такие вопросы. При принятии таких решений могут быть использованы изменяющиеся методы ведения бизнеса, такие как управление запасами или управление зданиями.
Методы их обеспечения могут включать в себя:
- хранение дополнительных запасов в другом месте;
- договоренности с третьими лицами о поставке товара в короткие сроки;
- перенаправление своевременных поставок в другие места;
- хранение материалов на складах или в местах отгрузки;
- перенос сборочных операций в другое место, где существуют запасы ресурсов;
- определение альтернативных/замещающих поставок;
- определение объектов и оборудования и многовариантное планирование по этапам.
В тех случаях, если деятельность зависит от специализированных поставок, организация должна определить поставщиков, от которых зависят приоритетные виды деятельности, особенно там, где имеется единственный источник поставок. Решения для управления непрерывностью поставок могут включать:
- увеличение числа поставщиков;
- поощрение или требование к поставщикам иметь систему обеспечения непрерывности деятельности;
- договорные и/или сервисные соглашения с поставщиками;
- выявление альтернативных способных поставщиков.
В тех случаях, если деятельность переносят, следует проверить, способны ли поставщики эффективно предоставлять свою продукцию или услуги в другом месте.
8.3.4.6 Системы ИКТ
В большинстве организаций деятельность не может осуществляться без применения систем ИКТ, которые должны быть восстановлены до того, как деятельность может быть возобновлена. Если возможно и практично, организация должна применять обходные пути и ручные способы обработки данных до момента восстановления системы ИКТ.
Технологические варианты будут зависеть от характера используемых ИКТ и их применения в организации, но, как правило, будут представлять собой сочетание следующих факторов:
- состояние ИКТ внутри организации;
- услуг, оказываемых организации третьими лицами;
- внешних услуг, на которые организация подписана.
Методы обеспечения систем ИКТ, необходимые для осуществления приоритетных видов деятельности, могут включать в себя:
- распределение их географически (например, поддержание одной и той же ИКТ технологии в разных местах расположения, которые скорее всего не будут затронуты одним и тем же нарушением);
- хранение старого оборудования в качестве замены или запасных частей в случае нарушения деятельности;
- предоставление оборудования или восстановительных услуг по договорам с третьими лицами.
Из-за сложности поддерживающих технологий для систем ИКТ часто необходимы сложные механизмы обеспечения их своевременного восстановления. Поэтому следует обратить внимание на:
- размещение технологических площадок и расстояние между ними;
- размещение используемых технологий по отдельным местам расположения;
- обеспечение адекватных условий для увеличения числа пользователей с удаленным доступом;
- установление неукомплектованных (темных) мест расположения, а также укомплектованных мест расположения;
- улучшение телекоммуникационной связи и повышение уровня избыточной маршрутизации;
- обеспечение автоматической "отработки отказа" вместо ручного вмешательства для восстановления систем ИКТ;
- учет устаревания систем ИКТ.
Если организация размещает свои системы ИКТ более чем в одном месте расположения, то возможно реализовать решение, при котором совокупный потенциал распределенных систем ИКТ будет больше, чем потенциал системы ИКТ, размещенной в одном месте.
Если организация использует узкоспециализированные или специально разработанные технологии с длительными сроками выполнения заказа, ей целесообразно рассмотреть вопрос об усилении защиты своих систем ИКТ путем принятия специальных положений о замене или восстановлении в случае нарушений деятельности.
ИСО/МЭК 27031 содержит дополнительные рекомендации по обеспечению непрерывности работы ИКТ.
8.3.4.7 Транспорт и логистика
После нарушения деятельности (инцидента) может потребоваться транспортировка для:
- персонала, который отправляется домой, если его обычный транспорт недоступен;
- персонала, переведенного на альтернативное место работы;
- ресурсов, необходимых в другом месторасположении.
Организация должна заранее определить варианты предоставления альтернативных видов транспорта, которые могут потребоваться после нарушения деятельности. Они могут включать в себя:
- выявление возможных сценариев нарушений логистики, в том числе вызванных непосредственно инцидентом или необычной ситуацией;
- обеспечение альтернативных видов транспорта и маршрутов для работы в необычных условиях дорожного движения;
- договора с альтернативными транспортными компаниями.
8.3.4.8 Финансы
Организация должна определить варианты обеспечения необходимого финансирования во время и после сбоя. Это может включать в себя:
- предоставление средств на экстренные закупки, такие как продовольствие, помещение, оборудование, расходные материалы и транспорт;
- возмещение расходов персоналу;
- крупные расходы, например, на аренду или покупку зданий и оборудования.
Для защиты от злоупотреблений или облегчения получения выплат по страховым случаям целесообразно продемонстрировать и обеспечивать эффективный финансовый контроль, например, путем обеспечения формального учета расходов во время и после нарушения деятельности.
8.3.4.9 Партнеры и поставщики
Деловые сети и цепочки поставок часто бывают сложными и взаимозависимыми по нескольким направлениям. Важно понимать цепочку поставок и риск, который с ней связан, для организации. При анализе воздействий на деятельность (см. 8.2.2) организация должна совместно с соответствующими поставщиками провести анализ цепочек поставок, от которых зависят приоритетные виды деятельности. Поставщики, в свою очередь, должны быть обязаны каскадно передавать результаты анализа и взаимодействовать со своими поставщиками.
Анализ цепочки поставок должен быть основан на наборе критериев, разработанных организацией, и обеспечивать общий подход организации к оценке уровня зависимости от цепочки поставок и конкретных поставщиков в ней и пониманию сроков поиска альтернативных механизмов.
Методы обеспечения и оценки непрерывности деятельности поставщиков и партнеров могут включать:
- установление требований к непрерывности деятельности в тендерах и контрактах;
- периодический аудит планов поставщиков;
- пересмотр программ учений и технического обслуживания;
- участие в совместных учениях по обеспечению непрерывности деятельности.
Если продукция, услуга или деятельность переданы на аутсорсинг, то ответственность за эту продукцию, услугу или деятельность остается за организацией.
В тех случаях, если приоритетные виды деятельности или решения по обеспечению непрерывности деятельности зависят от продукции и услуг поставщика, организация должна оценить непрерывность деятельности поставщиков, чтобы получить уверенность в том, что поставщик использует эффективные методы обеспечения непрерывности деятельности для этой продукции и услуг, например, путем анализа результатов учений.
Организация может сосредоточить свои усилия на поставщиках, неспособность которых поставлять продукцию и услуги приведет к наиболее быстрому срыву приоритетных видов деятельности.
8.3.5 Выполнение решений
Принятые решения должны быть реализованы и поддерживаться на протяжении долгого времени.
После выбора решений по обеспечению непрерывности деятельности руководство должно участвовать в идентификации ресурсов для обеспечения непрерывности деятельности (например, рабочее пространство, персонал, оборудование, материалы). Организация должна обеспечить доступность этих ресурсов в момент нарушения деятельности.
Для реализации стратегий возобновления и смягчения последствий организация должна идентифицировать и внедрить все решения, которые должны быть приняты до нарушения деятельности. Если время, необходимое для активации решения, превышает установленное в соответствии с требованиями к непрерывности деятельности, организация должна внедрить выбранное решение до момента нарушения деятельности.
8.4 Планы и процедуры обеспечения непрерывности деятельности
8.4.1 Общие положения
Организация должна установить структуру реагирования, поддерживаемую планами и процедурами обеспечения непрерывности деятельности, включая:
- управление ответными мерами на нарушение деятельности;
- эффективный обмен информацией с заинтересованными сторонами;
- использование решений по обеспечению непрерывности деятельности для возобновления деятельности в рамках своих RTO.
Обычно план состоит из одной или нескольких процедур. В совокупности планы и процедуры должны:
- определить неотложные шаги, которые необходимо предпринять, и помочь в своевременном принятии решений;
- быть достаточно гибкими, чтобы их можно было применить к непредвиденным угрозам и в изменчивых ситуациях;
- быть направлены на ожидаемые последствия нарушения деятельности;
- быть согласованы с решениями по обеспечению непрерывности деятельности, выбранными организацией для минимизации последствий;
- четко определять роли и распределять ответственность за выполнение всех задач.
8.4.2 Структура ответных мер
8.4.2.1 Цель
Эффективная структура ответных мер позволяет организациям обнаруживать события, выявлять инциденты и определять, могут ли они привести к нарушению. Организация должна разработать структуру ответных мер на инциденты, которая обеспечит эффективное реагирование на нарушение деятельности независимо от его причины. Если в организации отсутствует согласованная и документированная структура ответных мер, вполне вероятно, что она не сможет эффективно реагировать на нарушения и не сможет возобновить нарушенную деятельность в установленные сроки.
8.4.2.2 Структура
Структура реагирования на инциденты должна точно идентифицировать:
- группы лиц, ответственных за ответные меры на инциденты и возобновление деятельности;
- иерархию групп (команд) реагирования;
- роли и обязанности групп.
Структура ответных мер должна быть простой и оперативной. Структура должна предусматривать методы своевременной передачи информации и решений.
Единой структуры ответных мер на инциденты, подходящей для всех организаций, не существует. Каждая организация должна разработать свою собственную структуру с учетом следующего:
- существующей структуры менеджмента;
- характера, культуры, масштаба, сложности и технологической инфраструктуры организации;
- принятых решений для обеспечения непрерывности деятельности;
- требований организации к непрерывности деятельности;
- предполагаемых угроз для организации.
Для более крупных и/или сложных организаций может быть целесообразно создать отдельные группы персонала, которые будут сосредоточены на различных аспектах инцидента. В небольших организациях одна группа может справиться с инцидентом, но это никогда не должно быть ответственностью одного человека.
8.4.2.3 Командные возможности
Коллективно группы (команды) должны быть способны к следующему:
- оценка характера и масштабов нарушения и его потенциального воздействия;
- измерение потенциальных последствий инцидента по заранее установленным пороговым значениям воздействия с целью определения того, оправдан ли формальный ответ;
- инициирование соответствующих ответных мер на нарушение, активизация планов, мобилизация групп реагирования и обеспечение наличия необходимых ресурсов;
- планирование всех действий, которые должны быть предприняты;
- установление приоритетов для всех действий по реагированию, при этом первостепенное значение должно быть отдано безопасности жизнедеятельности;
- мониторинг того, как разворачивается инцидент, и эффективности ответных мер организации на воздействие и последствия нарушений деятельности;
- активация подходящих решений для обеспечения непрерывности деятельности;
- обеспечение эффективного руководства и мониторинга за реакцией организации на инцидент и реагированием на изменения по мере развития ситуации;
- обмен информацией с заинтересованными сторонами, включая, в частности, персонал, затронутых членов семьи, посетителей, орган власти и средства массовой информации.
8.4.2.4 Состав групп реагирования и руководство
Каждая группа реагирования должна иметь:
a) идентифицированных членов групп и их заместителей, которые обладают необходимой ответственностью, полномочиями и компетенцией, позволяющими группе реагирования выполнять свою роль и обязанности;
b) документированные процедуры для руководства действиями группы (см. 8.4.4).
8.4.3 Сигнал опасности и обмен информацией
8.4.3.1 Общие положения
Эффективное управление первоначальным обменом информацией с самого начала нарушения может иметь огромное значение для эффективности ответных мер организации. Эффективный обмен информацией может быть достигнут только в том случае, если организация четко знает, кто, когда, с кем и как будет общаться. Поэтому организация должна установить документированные процедуры для следующих действий, связанных с предупреждением и обменом информацией, и определить, кто будет нести ответственность за их выполнение:
- внутренний обмен информацией между различными уровнями и подразделениями организации, в том числе в рамках структуры реагирования;
- оповещение заинтересованных лиц и получение, документирование и реагирование на сообщения от них (это может включать экстренные контакты сотрудников);
- обеспечение наличия коммуникационного оборудования и средств связи;
- облегчение структурированной связи с аварийно-спасательными службами;
- управление реакцией организации на работу средств массовой информации и обеспечение ее соответствия стратегии обмена информацией организации;
- запись жизненно важной информации об инциденте, выполненных действиях и принятых решениях.
Организация должна обеспечить наличие эффективных процедур и средств для получения, документирования и реагирования на предупреждения и внешние сообщения от национальных или региональных систем реагирования. Для некоторых организаций целесообразно создать специальные объекты, расположенные достаточно далеко от пострадавшего объекта, чтобы инцидент не препятствовал их работе. Для лиц с особыми потребностями (например, пожилых людей и людей с ограниченными возможностями) может быть необходимо принятие специальных мер. Рекомендации по распространению предупреждений, включая информационное содержание и каналы обмена информацией, приведены в ИСО 22322.
Оборудование связи может пострадать от нарушений деятельности, поэтому целесообразно обеспечить альтернативные варианты обмена информацией, например:
- громкоговорители;
- системы громкой связи;
- запасные мобильные телефоны;
- спутниковые телефоны;
- двухсторонние рации.
8.4.3.2 Оповещение заинтересованных сторон
В некоторых случаях на заинтересованные стороны может повлиять уже начавшееся или неизбежное нарушение. Например, нарушения в работе организации, которая осуществляет опасные операции или хранит токсичные продукты, могут привести к тому, что соседние организации могут быть в опасности. Такие организации должны:
- установить процедуры мониторинга опасных факторов;
- заблаговременно идентифицировать информацию о предупреждении общественности, которую целесообразно предоставить во время нарушения деятельности;
- идентифицировать географические регионы (районы), в которые необходимо будет направить информацию о предупреждении общественности;
- оценить потенциальные уровни серьезности опасностей;
- идентифицировать обоснованные критерии выдачи предупреждений и обеспечить процедуры передачи предупреждающей информации организациям, ответственным за публичное предупреждение;
- установить отношения с внешними органами власти, ответственными за потенциально пострадавшие районы.
Для таких организаций также целесообразно:
- установить отношения с внешней организацией, ответственной за публичное предупреждение;
- удостовериться, что их соседи понимают, как подается сигнал тревоги и как реагировать.
Процедуры предупреждения и обмена информацией должны быть отработаны во время учений организации (см. 8.5).
8.4.4 Планы обеспечения непрерывности деятельности
8.4.4.1 Общие положения
Планы обеспечения непрерывности деятельности устанавливают способы реагирования на нарушение деятельности групп реагирования и возобновления деятельности в рамках СМНД.
Поскольку терминология в разных организациях различна и во многих случаях конкретные термины используют взаимозаменяемо, важно, чтобы роли и обязанности групп реагирования были точно идентифицированы, при этом в поддерживающих документированных процедурах должны быть точно указаны их цели, область применения и задачи (см. таблицу 5).
Таблица 5 - Примеры групп реагирования (команд), возможные роли и обязанности
|
|
|
Группа (команда) | Роль | Обязанности |
Аварийного реагирования | Аварийное реагирование | Безопасность жизнедеятельности |
Управления активами
Обеспечения безопасности |
| Ограничение ущерба |
Оценки ущерба | Оценка ущерба | Оценка ущерба |
Управления инцидентами | Управление инцидентами и контроль | Управление инцидентами |
Кризисного управления
Высшее руководство | Принятие стратегических решений
Обмен информацией во время инцидента | Стратегическое управление
Кризисное управление
Взаимодействие
Связи с общественностью |
Связи с общественностью | Обмен информацией во время инцидента | Взаимодействие
Связи с общественностью |
Восстановления ИКТ | Восстановление систем и инфраструктуры ИКТ | Послеаварийное восстановление ИКТ
Примечание - Руководство по процедурам ИКТ можно найти в ИСО/МЭК 27031
|
Финансовая
Администрация | Общее и финансовое управление | Финансы и управление |
По человеческим ресурсам
Охраны труда | Социальное обеспечение и особые потребности
Благополучие заинтересованной стороны | Человеческие ресурсы
Безопасность и благополучие |
Спасения
Безопасности
Средств
ИКТ | Утилизация объектов, систем ИКТ и данных
Безопасность | Спасение и безопасность |
Непрерывности деятельности | Возобновление прерванной деятельности | Возобновление координации
Управление ресурсами |
8.4.4.2 Охват
8.4.4.2.1 Общие положения
В совокупности планы обеспечения непрерывности деятельности должны охватывать все аспекты реагирования на инцидент и быть специально проработаны для групп, которые будут их использовать. Поэтому целесообразно:
- вовлечение широкого круга персонала, включая группы экспертов и специалистов, в разработку планов обеспечения непрерывности деятельности;
- использование обратной связи от учений и анализа полученных уроков после нарушения деятельности.
Сроки и результативность должны быть основаны на информации, собранной в ходе анализа воздействий на деятельность (см. 8.2.2), а также на выборе стратегий и решений обеспечения непрерывности деятельности (см. 8.3.3).
8.4.4.2.2 Реагирование на инциденты
Для адекватного реагирования на инцидент необходимо предпринять целый ряд действий. Они должны быть идентифицированы в документированных процедурах и включать:
a) реагирование на инцидент и его оценку, в том числе:
1) определение того, что и как произошло;
2) идентификацию того, какие подразделения организации и заинтересованные стороны затронуты или могут быть затронуты;
3) прогноз продолжительности инцидента и возможных последствий;
4) оценка возможности управления инцидентами существующими средствами и методами управления;
5) оценка возможности того, может ли инцидент привести к нарушению в соответствии с заранее установленными пороговыми значениями;
b) управление непосредственными последствиями инцидента, при этом необходимо уделить должное внимание вопросам здоровья и благосостояния пострадавших лиц (включая членов групп) и воздействиям на окружающую среду, проработке вариантов реагирования на инцидент и предупреждению дальнейших потерь или ущерба;
c) анализ оценки инцидента в соответствии с критериями активации для каждой из процедур;
d) объявление об инциденте и инициирование соответствующих процедур при выполнении критериев инициирования (активации);
e) мобилизация персонала в группы реагирования на инцидент для проведения мероприятий по стабилизации, непрерывности и восстановлению;
f) создание центрального пункта (места) для использования группой управления инцидентом, контролирующей его (центральный пункт);
g) определение приоритетных вопросов и мероприятий, которые должны быть предприняты для управления инцидентом и его последствиями;
h) управление и координация всеми активированными процедурами;
i) активация или создание альтернативных площадок для восстановления возможностей ИТ или другой инфраструктуры и для временного ведения деятельности организации;
j) мониторинг инцидентов, в том числе их развития;
k) анализ и корректировка планов в соответствии с меняющимися обстоятельствами;
I) деэскалацию, прекращение работы и возвращение к рутинным операциям по мере восстановления устойчивого потенциала;
m) проведение опроса и определение возможностей для обучения;
n) обеспечение надлежащего управления, а также обеспечение сопоставления и безопасности документации, полученной в ходе управления и восстановления после инцидента.
Для достижения своевременного возобновления поставок организацией продукции и услуг документированные процедуры возобновления каждого вида деятельности должны:
- соответствовать RTO деятельности, поддерживающей данную продукцию или услугу;
- быть достаточно надежными.
Это может быть достигнуто путем:
- владения или управления средствами и ресурсами для осуществления процедуры;
- заключения контрактов, соглашений или уровней обслуживания с третьими лицами.
8.4.4.3 Содержание и удобство использования
8.4.4.3.1 Цель
Каждый план обеспечения непрерывности деятельности должен идентифицировать свою цель, область применения и задачи в форме, понятной для групп, которые его используют. Должны быть четко указаны ссылки на другие требуемые или соответствующие документированные процедуры или документы, а также описан метод их получения и доступа к ним. План обеспечения непрерывности деятельности также должен включать:
- критерии и процедуры активации;
- процедуру реализации;
- требования к обмену информацией и процедуры обмена информацией;
- внутренние и внешние взаимозависимости и взаимодействия;
- потребность в ресурсах;
- требования к отчетности;
- процессы, связанные с информационным потоком и документированием.
8.4.4.3.2 Руководящие указания и вспомогательная информация
Каждый план должен включать в себя:
a) роли, обязанности и полномочия:
1) определенные роли, обязанности и полномочия для персонала и групп (команд), которые будут использовать план;
2) руководящие принципы и критерии в отношении того, кто имеет право ссылаться на план и при каких обстоятельствах (включая определенные этапы эскалации);
b) критерии активации:
1) процесс активизации реагирования организации на нарушение и, в рамках каждой документированной процедуры, ее критерии активации и процедуры (может быть уместно рассмотреть вопрос о том, происходит ли это в рабочее или нерабочее время);
2) места сбора персонала с подходящими альтернативами;
c) рабочие параметры:
1) определение действий и задач, которые должны быть выполнены, особенно в отношении способов продолжения или восстановления организацией своей приоритетной деятельности в заранее установленные сроки;
2) соответствующие потребности в ресурсах (см. 8.3.4);
3) средства регистрации информации о происшествии, предпринятых действиях и принятых решениях;
d) вспомогательную информацию для координации и обмена информацией:
1) контактные данные членов групп (команды) и других лиц с ролями и обязанностями, при этом должны быть учтены применимые нормативные требования в отношении защиты информации и должны быть сохранены доказательства их соблюдения;
2) контактные и мобилизационные данные для всех соответствующих учреждений, организаций и ресурсов, которые могут потребоваться;
e) критерии прекращения деятельности:
1) механизмы прекращения работы после того, как инцидент прошел;
2) инструкции, которым необходимо следовать.
8.4.4.3.3 Удобство использования
Как и в случае с другими видами документированной информации (см. 7.5.3), организация должна обеспечить удобство использования и доступность планов обеспечения непрерывности деятельности в любое время и везде, где они необходимы. Для обеспечения того, чтобы работа планов обеспечения непрерывности деятельности не пострадала в результате сбоя, для организации целесообразно принять соответствующие меры предосторожности (например, разделить команды и восстановленные системы ИКТ по нескольким местам). Полное разделение для всех масштабов и типов разрушений не всегда достижимо, и может потребоваться выявить ограничения и согласовать их с высшим руководством. Ограничения могут быть выражены в терминах расстояния, минимального количества персонала или серьезности последствий и могут зависеть от реакции государственных органов власти на серьезные или широкомасштабные нарушения.
8.4.4.4 Управление инцидентом/стратегическое управление
Цель управления инцидентами заключается в обеспечении эффективного реагирования организации на нарушение на стратегическом уровне.
Данные процедуры должны включать в себя основу для решения всех возможных проблем, с которыми сталкивается организация во время инцидента, в том числе связанных с заинтересованными сторонами, и должны охватывать все средства, которые понадобятся группе управления инцидентом и другим группам реагирования.
8.4.4.5 Обмен информацией
Процедуры обмена информацией могут быть включены в процедуры управления инцидентами или реагирования других групп. Если существуют несколько таких групп, то они должны работать в тесном сотрудничестве.
Организация должна управлять и координировать доставку и прием сообщений во время инцидента. Процедуры должны содержать:
a) подробную информацию о том, как и при каких обстоятельствах организация будет общаться с сотрудниками и их родственниками, другими заинтересованными лицами и экстренными контактами;
b) подробную информацию о реакции средств массовой информации организации после инцидента, которая может включать в себя:
1) стратегию обмена информацией об инциденте;
2) предпочтительный способ взаимодействия со средствами массовой информации;
3) руководство или шаблон для составления заявления для средств массовой информации;
4) соответствующее количество подготовленных, компетентных представителей, уполномоченных распространять информацию в средствах массовой информации.
Важно, чтобы сроки и содержание внутреннего и внешнего обмена информацией должны быть согласованы. Для укрепления уверенности, доверия и мотивации внутренний обмен информацией является приоритетом.
Заранее подготовленная информация может быть особенно полезна на ранних стадиях инцидента. Это позволит группе предоставить подробную информацию об организации и ее деловой деятельности, пока детали инцидента еще не установлены.
Возможно, будет уместно:
- создать подходящее место для взаимодействия со средствами массовой информации или другими группами заинтересованных сторон;
- определить соответствующее количество компетентных, обученных людей для ответа на телефонные запросы средств массовой информации;
- использовать все каналы обмена информацией, открытые для организации, включая социальные сети;
- подготовить справочные материалы об организации и ее деятельности (эта информация должна быть предварительно согласована до выпуска).
Следует рассмотреть вопрос о возможном давлении со стороны общественности или других сторон, которые коллективно обладают властью или могут повлиять на организацию.
Следует включить процесс определения и расстановки приоритетов по обмену информацией с другими ключевыми заинтересованными сторонами. Возможно, потребуется разработать отдельную процедуру управления заинтересованными сторонами, предусмотреть критерии определения приоритетов и предусмотреть выделение контактных лиц для каждой заинтересованной стороны или группы заинтересованных сторон.
8.4.4.6 Безопасность и благополучие
Организации обязаны проявлять заботу о сотрудниках, подрядчиках, посетителях и клиентах в тех случаях, когда инцидент представляет непосредственный риск для их жизни, средств к существованию и благосостоянию. Особое внимание необходимо будет уделять группам лиц с ограниченными возможностями или особыми потребностями (например, беременным, временно нетрудоспособным лицам). Заблаговременное планирование выполнения этих требований может снизить риск и успокоить пострадавших. Долгосрочные последствия инцидентов нельзя недооценивать. Организация должна разработать соответствующие решения, включая рассмотрение соответствующих социальных и культурных вопросов, для содействия физическому и психологическому восстановлению персонала внутри организации.
Следует включить следующие элементы реагирования, связанные с социальным обеспечением, включая:
- места эвакуации (включая реализацию внутренних мероприятий по укрытию в места эвакуации) и сборные пункты;
- мобилизацию групп по обеспечению безопасности, оказанию первой помощи или эвакуации;
- определение местонахождения и учет тех, кто находился на месте или в непосредственной близости.
Также может быть включено следующее:
- услуга по переводу;
- обеспечение транспортом, по мере необходимости;
- назначение средств связи и контактная информация для экстренных служб, соответствующих учреждений и служб быстрого реагирования;
- поиск перемещенной рабочей силы или подрядчиков;
- управление телефонной линией помощи;
- физическая реабилитация и психологическая поддержка.
Необходимо точно определить необходимые ресурсы. Ресурсы должны быть доступны своевременно и должны выполнять свою предназначенную функцию.
8.4.4.7 Спасение и безопасность
Организация может подготовить документированные процедуры, связанные с обеспечением спасения и безопасности, и включить в них руководство:
- по приоритетам утилизации активов, оборудования (включая системы ИКТ) и документированной информации (с учетом требований информационной безопасности и конфиденциальности);
- охране помещений, переданных аварийными службами.
Организация может назначить специалистов-подрядчиков по спасению до инцидента. Эффективное спасение активов, оборудования и документированной информации может ограничить воздействие и обеспечить более быстрое возвращение к обычному ходу деятельности.
8.4.4.8 Возобновление приоритетной деятельности
Организация должна установить процедуры, которые определяют:
- приоритетные виды деятельности, которые должны быть возобновлены;
- сроки, в течение которых они должны быть возобновлены;
- мощности, на которых должны быть возобновлены приоритетные виды деятельности;
- ситуации, в которых эта процедура может быть активирована.
В каждой процедуре должны быть подробно описаны, где это уместно, ресурсы, необходимые в различные моменты времени, для достижения поставленных целей. Это может включать в себя:
- идентификационные номера ресурсов;
- навыки и квалификацию персонала;
- техническое оборудование;
- средства телекоммуникаций;
- наличие ресурсов по заключенным соглашениям о взаимной помощи.
8.4.4.9 Системы ИКТ
Процедуры возобновления деятельности должны идентифицировать системы ИКТ, на которые опирается их возобновление, и должны ссылаться на все существующие процедуры обеспечения непрерывности деятельности в области ИКТ.
Процедуры обеспечения непрерывности ИКТ, если таковые имеются, должны касаться, как минимум:
- активации необходимого реагирования в области ИКТ и развертывания персонала в области ИКТ;
- доступа к резервным данным и получения альтернативных услуг;
- восстановления данных, информационных услуг, обмена информацией и поддержки;
- графика наличия и требований к мощностям, позволяющих проводить мероприятия в соответствии с RTO.
Дополнительные рекомендации по системам ИКТ представлены в ИСО/МЭК 27031.
8.4.5 Восстановление
Организация должна заранее определить способы возврата к обычному ходу деятельности после нарушения и должна установить документированные процедуры восстановления и возврата операций в обычное русло после временных мер, принятых во время инцидента. При этом необходимо учесть соответствующие требования к аудиту и управлению организацией.
Целью восстановления является восстановление деловой активности для поддержания нормальной работы после нарушения. Возвращение к обычному ходу деятельности может быть достигнуто путем:
- устранения повреждений, возникших в результате инцидента;
- переноса операций из временных помещений обратно в восстановленное основное место ведения деятельности;
- переезда на новое место работы.
Как лучше всего вернуться к обычному ходу деятельности, будет зависеть от тяжести ущерба, причиненного инцидентом, и оценки того, сколько времени необходимо для создания необходимых активов.
Документированные процедуры должны предусматривать детальную оценку ситуации и ее последствий, определение задач и шагов по восстановлению. Во время восстановления организации может быть необходимо:
- создание ресурсов и инфраструктуры для восстановления;
- работа на восстановительных объектах;
- восстановление поврежденных объектов;
- обеспечение безопасности чрезвычайных закупок и финансирования;
- аварийно-спасательное оборудование на поврежденных объектах;
- предъявление претензии по существующим страховым полисам;
- привлечение дополнительного персонала для поддержки восстановительных работ;
- выбор вариантов восстановления и возвращения к работе в обычном режиме;
- перенос операций на восстановленные объекты;
- восстановление утраченной документированной информации;
- поддержание связи с соответствующими заинтересованными сторонами на соответствующих частотах;
- нормализация работы на восстановленных объектах;
- проведение анализа после восстановления;
- проведение должной проверки по требованиям аудита и корпоративного управления.
Документированные процедуры восстановления должны включать положения о возобновлении всех видов деятельности, а не только тех, которые определены в качестве приоритетных. При этом необходимо учитывать, что деятельность с более низким приоритетом должна быть возобновлена в какой-то момент времени и что потребности в ресурсах должны быть удовлетворены (см. 8.3.4).
8.5 Программа учений
8.5.1 Общие положения
Процедуры и механизмы обеспечения непрерывности деятельности организации не могут считаться надежными до тех пор, пока они не будут реализованы и пока не будет сохранена их актуальность. Учения развивают командную работу, компетентность, уверенность и знания и должны включать тех, кто будет обязан использовать процедуры.
8.5.2 Разработка программы учений
Надежные и реалистичные учения выявляют области для улучшения даже в хорошо продуманных процедурах. Организация должна разработать программу учений, которая со временем подтвердит эффективность ее стратегий и решений, планов и процедур обеспечения непрерывности деятельности.
Разработка программы учений позволяет применять скоординированный подход к наращиванию и развитию потенциала организации. Программа должна охватывать индивидуальные планы, персонал (в том числе из внешних организаций), возможности и ресурсы, которые способствуют стратегическим целям организации.
Высшее руководство должно обеспечить постановку целей программы учений и назначение компетентного лица для управления программой учений. Объем программы учений должен быть основан на размере и характере деятельности организации, осуществляющей учения, а также на объеме, функциональности, сложности и уровне зрелости реализуемых планов и возможностей. На ранних стадиях зрелости учения и тестирование могут быть ограничены использованием контрольных вопросов, элементов учений и учений на осознание.
По мере созревания программы она может быть расширена и включать в себя настольные учения и полномасштабное моделирование.
Программа учений должна быть гибкой, с учетом изменений в организации и результатов предыдущих учений. Значительное изменение в организации может привести к составлению графика учений по изучению пересмотренных механизмов.
Программа учений должна учитывать роль всех сторон, включая сторонних поставщиков и других лиц, которые, возможно, будут участвовать в восстановительных работах. Организация может включать такие стороны в свои учения и может участвовать в учениях, которые они организуют.
Для обеспечения эффективного и результативного проведения учений в установленные сроки программа учений должна включать следующее:
- анализ потребностей для учений;
- одобрение со стороны высшего руководства;
- точные цели и задачи;
- объем, количество, виды, продолжительность, места проведения и графики учений;
- соответствующий персонал для поддержки программы учений;
- необходимые ресурсы и бюджет;
- процессы, связанные с конфиденциальностью, информационной безопасностью, охраной труда и другими подобными вопросами.
Программа учений должна со временем обеспечивать уверенность в том, что общие меры реагирования организации будут эффективными. Программа, если она будет реализована, должна:
- помочь изучать технические, материально-технические, административные, процедурные и другие оперативные аспекты процедур реагирования;
- помочь изучать обязанности персонала в рамках процедур, в том числе внешних организаций;
- помочь изучать механизмы и инфраструктуру обеспечения непрерывности деятельности (включая, например, командные центры и рабочие зоны);
- валидировать восстановление технологий и телекоммуникаций, включая наличие и перемещение персонала;
- тренировать группы реагирования в управлении воздействиями, возникающими в результате нарушения цепочки поставок.
Организация должна проводить мониторинг и измерять ход осуществления программы учений для обеспечения достижения ее целей. Программа учений должна быть пересмотрена на предмет выявления возможностей для улучшений.
8.5.3 Тренировка осуществления планов обеспечения непрерывности деятельности
Учения, включая тесты, - это мероприятия, направленные на изучение способности организации реагировать, восстанавливаться и продолжать эффективно выполнять назначенные виды деятельности при столкновении с конкретными сценариями нарушений деятельности. Организация должна использовать учения и документированные результаты учений для обеспечения результативности и готовности своих планов обеспечения непрерывности деятельности.
Каждый вид учений и тест должны иметь точно определенные цели и задачи и быть основаны на сценарии, соответствующем их достижению.
Учения могут:
- прогнозировать заранее определенный результат (например, заранее запланирован и определен);
- позволяют организации разрабатывать инновационные решения.
Учения должны быть реалистичными, тщательно спланированными и согласованными с соответствующими сторонами с тем, чтобы существовал минимальный риск срыва деятельности и возникновения инцидента непосредственно в результате учений. Это может быть достигнуто путем выполнения учения в контролируемой и изолированной среде при условии, что это не ставит под угрозу целостность целей учений.
Организация должна разработать сценарии учений, которые удовлетворяют целям учений и могут использовать угрозы, выявленные в ходе оценки риска, или информацию, полученную в результате предыдущих нарушений деятельности.
Эффективность некоторых аспектов обеспечения непрерывности деятельности потребует, чтобы конкретные лица или лица, занимающие определенные должности, обладали определенными знаниями, навыками и пониманием. Они должны быть на месте до начала учения, позволяя участникам применять их к соответствующим сценариям и моделям.
Учения должны быть разработаны и проведены таким образом, чтобы они обеспечивали одно или несколько из следующих действий:
- верификация достижимости RTO деятельности (см. 8.2.2) и RTO зависимых и вспомогательных ресурсов для приоритетных видов деятельности (см. 8.3.2.3);
- уверенность в том, что информация и данные, необходимые для осуществления деятельности, являются надлежащим образом актуальными (см. 8.3.4.3);
- улучшение понимания зависимостей от непрерывности деятельности поставщиков и других заинтересованных сторон;
- повышение осведомленности об области применения и приоритетах организации;
- улучшение понимания содержания и использования процедур обеспечения непрерывности деятельности;
- повышение уверенности в реагировании на инциденты;
- возможность улучшения возможностей организации;
- оценка полезности и применимости решений по обеспечению непрерывности деятельности;
- оценка адекватности разработанных возможностей и распределения ресурсов;
- выявление ранее недокументированных требований и практик, используемых при управлении сбоями;
- возможность выявления всех других недостатков в письменных процедурах обеспечения непрерывности деятельности и их реализации;
- уверенность в том, что процедуры обеспечения непрерывности деятельности могут быть реализованы в случае необходимости;
- повышение доверия заинтересованных сторон к готовности организации к инцидентам;
- средство выполнения нормативных, договорных или организационных требований к управлению.
Учения могут быть в самых разных форматах. Решение о пригодности данного вида учений будет зависеть от ряда факторов, в том числе следующих:
- область применения в организации;
- цели учений;
- зрелость программы учений;
- опыт участников;
- бюджет;
- доступность участников;
- толерантность организации к текущим нарушениям, вызванным проведением учений.
Организация должна действовать по результатам своей деятельности для осуществления утвержденных изменений и улучшений.
Различные виды учений, которые можно выполнять, называются по-разному, но обычно они делятся на следующие категории.
- дискуссия: дискуссионные учения предназначены для ознакомления участников с планами и процедурами обеспечения непрерывности деятельности в условиях низкого стресса;
- моделирование: учения, основанные на операциях, предназначены для того, чтобы быть более реалистичными и сложными. Они могут проводиться в обычных оперативных условиях, альтернативных помещениях или командных центрах.
Примеры приведены в таблице 6.
Таблица 6 - Примеры описаний методов выполнения учений
|
|
|
Категория | Метод | Описание |
Обсуждение | Анализ плана | Анализ планов - это неофициальный анализ планов и процедур, которые используются для ознакомления участников с новым или обновленным содержанием. Они полезны в качестве отправной точки при разработке планов и процедур или при их существенном пересмотре. Анализ плана обычно может быть проведен за 1-2 ч |
| За столом (на месте) | В настольных учениях на месте используют простые сценарии для ознакомления участников с планами и процедурами в условиях низкого стресса. Они также могут быть использованы для анализа стратегий обеспечения непрерывности деятельности и решений для проверки и улучшения. Вид учений "за столом" на месте обычно является первым типом формального учения, проводимого организацией, и обычно оно может быть проведено в течение 2-3 ч |
| За столом (за пределами площадки) | Выездные учения "за столом" обычно проводят в альтернативных помещениях или в командном центре с целью пересмотра планов и процедур обеспечения непрерывности деятельности. В учении обычно используют простой сценарий. Ключевое отличие от системы "за столом" на месте заключается в том, что анализ проводят вдали от обычной рабочей среды. Выездной вид учений "за столом", как правило, может быть проведен за 2-3 ч, исключая время транспортировки |
| Практикум (один или несколько планов) | Рабочее совещание (практикум), основанное на плане, обычно проводят за пределами площадки в альтернативных помещениях с использованием достаточно сложных сценариев. Участники учения могут представлять один или несколько планов в зависимости от объема учения. Цель состоит в том, чтобы команды практиковались в совместной работе и принятии решений в более напряженных временных рамках. Практикум, охватывающий несколько планов, обычно может быть проведен в течение 3-5 ч в зависимости от сложности планов и сценария |
Моделирование | Учения (одно или несколько мест расположения) | Практикумы обычно проводятся за пределами площадки в альтернативных помещениях с использованием сценариев, влияющих на одно или несколько местоположений. Цель этого учения состоит в том, чтобы команды из разных мест практиковались в совместной работе и принятии совместных решений.
Практикум, охватывающий несколько мест, как правило, может быть проведен в течение 3-5 дней в зависимости от количества задействованных локаций и сложности сценария |
| Учения для всей организации (полномасштабные) | Полномасштабные учения предназначены для подготовки участников к сбоям, которые влияют на всю организацию и требуют активации плана обеспечения непрерывности деятельности. Это сложные, высоконагруженные учения, которые тщательно планируют и контролируют, чтобы гарантировать, что они достигают своих целей и не вызывают нарушений деятельности. Полномасштабный вид учений может занять от половины дня до недели в зависимости от его сложности и количества задействованных людей |
В рамках данного мероприятия следует запланировать проведение анализа результатов учений со всеми участниками для обсуждения вопросов и извлеченных уроков. Эта информация должна быть документирована и обновлена по мере необходимости.
Организация должна провести после учений разбор полетов и анализ достижения целей и задач учений. После учений следует подготовить доклад, содержащий рекомендации и график их выполнения.
Уроки, извлеченные из учений, и фактические инциденты, пережитые в ходе учений, должны быть проанализированы. Учения, которые показывают серьезные недостатки или неточности в процедурах, должны быть повторены после завершения корректирующих действий.
Преимущества учений и тестирования включают в себя:
- валидацию допущений, решений по обеспечению непрерывности деятельности и областей применения планов обеспечения непрерывности деятельности;
- обеспечение правильного функционирования технических средств и ресурсов;
- обеспечение пропускной способности альтернативных объектов;
- повышение эффективности и сокращение времени, необходимого для завершения процессов (например, для сокращения времени отклика);
- повышение осведомленности заинтересованных сторон;
- развитие компетентности и осведомленности участников.
ИСО 22398 содержит дополнительные указания по видам учений, а также рекомендации по планированию, проведению и совершенствованию программ учений.
8.6 Оценка документации и возможностей обеспечения непрерывности деятельности
8.6.1 Общие положения
Организация должна проводить оценки своего анализа воздействий на деятельность, оценки рисков, стратегий и решений, планов и процедур обеспечения непрерывности деятельности с целью обеспечения их постоянной пригодности, адекватности и эффективности.
Оценки должны учитывать необходимость внесения изменений в политику, цели и другие элементы СМНД на основе, например, результатов учений, анализов инцидентов и изменений в работе организации.
Оценки могут быть проведены в форме внутренних или внешних аудитов или самооценок. На периодичность и сроки проведения проверок могут влиять законы и нормативные акты в зависимости от размера, характера и правового статуса организации. На них также могут влиять требования заинтересованных сторон.
Оценки должны подтвердить, что:
- вся продукция и услуги, а также их вспомогательная деятельность и ресурсы были определены и включены в решения организации по обеспечению непрерывности деятельности;
- политика организации в области обеспечения непрерывности деятельности, решения и процедуры обеспечения непрерывности деятельности точно отражают его приоритеты и стратегические требования;
- компетентность лиц и непрерывность деятельности организации эффективны и соответствуют поставленной цели и позволят осуществлять управление, руководство, мониторинг и координацию реагирования организации на нарушение;
- решения организации по обеспечению непрерывности деятельности эффективны, актуальны и соответствуют поставленной цели;
- программы организации по осуществлению и техническому обслуживанию эффективно реализованы;
- решения и процедуры обеспечения непрерывности деятельности включают улучшения, выявленные в ходе инцидентов и учений, а также в программе технического обслуживания;
- организация имеет постоянную программу обучения и повышения осведомленности о непрерывности деятельности;
- процедуры обеспечения непрерывности деятельности были эффективно доведены до сведения соответствующих сотрудников и что эти сотрудники понимают свои роли и обязанности;
- механизмы обеспечения непрерывности деятельности, которые существуют у поставщиков и партнеров для зависимостей приоритетных видов деятельности, являются надлежащими и адекватными;
- организация в достаточной степени соответствует применимым законодательным и нормативным требованиям, а также передовым отраслевым практикам и соответствует политике и целям обеспечения непрерывности деятельности;
- процессы управления изменениями существуют и работают эффективно.
8.6.2 Измерение показателей СМНД
Оценка показателей СМНД (планов, процедур и возможностей обеспечения непрерывности деятельности) должна включать механизмы обеспечения непрерывности деятельности для аутсорсинговых видов деятельности и непрерывности деятельности поставщиков и партнеров, от которых зависят приоритетные виды деятельности.
Примеры метрик, которые могут быть использованы для измерения показателей СМНД, включают:
- резервные данные достаточно актуальны, чтобы возобновить деятельность и ресурсы в рамках указанных RTO;
- необходимые помещения и оборудование имеются в альтернативном месте (местах) для обеспечения восстановления и возобновления деятельности;
- продемонстрированы необходимые компетенции для возобновления приоритетной деятельности в рамках указанного RTO;
- продемонстрированы необходимые компетенции для реагирования на инциденты и управления ими.
Если в организации происходят сбои, следует провести анализ, который может включать в себя:
- определение характера и причины нарушения;
- оценку адекватности реакции руководства;
- оценку эффективности организации по выполнению RTO;
- оценку адекватности механизмов обеспечения непрерывности деятельности при подготовке сотрудников к инциденту;
- определение улучшений, которые необходимо внести в способы обеспечения непрерывности деятельности;
- сравнение фактических воздействий с теми, которые рассматривались в ходе анализа воздействий на деятельность (см. 8.2.2);
- получение обратной связи от заинтересованных сторон и тех, кто участвовал в ответных мерах.
8.6.3 Результаты
Результаты, свидетельствующие об эффективных планах, процедурах и возможностях обеспечения непрерывности деятельности, могут включать следующее:
- возможность управления инцидентами включена и обеспечивает эффективное реагирование;
- понимание организацией самой себя и своих взаимоотношений с другими организациями, соответствующими регулирующими органами, местными органами власти и аварийными службами должным образом разработано, документировано и понято;
- регулярные учения обеспечивают то, что персонал обучен эффективно реагировать на нарушение;
- требования заинтересованных сторон понятны и могут быть выполнены;
- персонал получает адекватную поддержку и связь во время сбоя;
- репутация организации защищена;
- продемонстрировано соответствие законодательным и обязательным требованиям;
- финансовый контроль поддерживается на протяжении всего инцидента;
- организация может продемонстрировать повышенный уровень гибкости и взаимодействия в работе со своими клиентами и другими заинтересованными сторонами.
Документированная информация, касающаяся всех оценок и их результатов, должна храниться в качестве доказательств.
9 Оценка показателей СМНД
9.1 Мониторинг, измерение, анализ и оценка
9.1.1 Общие положения
Процедуры мониторинга, измерения, анализа и оценки эффективности и результативности СМНД должны включать:
a) определение методов мониторинга, анализа измерений и оценки, в том числе:
1) указание того, что должно подпадать под мониторинг и измерение;
2) определение того, как, когда и кем должны быть проведены мониторинг и измерения;
3) установление показателей эффективности, включая качественные и количественные измерения, которые подходят для организации и обеспечивают достоверные результаты;
4) запись данных и результатов для облегчения последующего анализа корректирующих действий;
b) изучение исторических свидетельств;
c) мониторинг степени выполнения политики и целей организации в области обеспечения непрерывности деятельности;
d) измерение соответствия СМНД применимым законодательным и обязательным требованиям;
e) мониторинг несоответствий и других свидетельств недостаточной эффективности СМНД.
9.1.2 Хранение доказательств
Организация должна хранить соответствующую документированную информацию обо всех периодических оценках и их результатах.
9.1.3 Оценка показателей СМНД
Организация должна использовать показатели эффективности для оценки эффективности и результативности СМНД с целью выявления успехов и областей, требующих коррекции или улучшения. Полученные данные могут быть использованы для выявления закономерностей и предоставления организации возможности получать информацию о работе СМНД.
9.2 Внутренний аудит
9.2.1 Общие положения
Организация должна проводить внутренние аудиты с запланированной периодичностью для оценки эффективности СМНД.
Внутренние аудиты СМНД обеспечивают механизм оценки того, в какой степени СМНД достигает своих целей, соответствует запланированным мероприятиям, должным образом внедряется и поддерживается, а также выявления возможностей для улучшения. Внутренние аудиты СМНД должны проводиться с запланированной периодичностью для определения и предоставления информации высшему руководству о целесообразности и эффективности СМНД, а также обеспечения основы для постановки целей постоянного повышения эффективности СМНД.
9.2.2 Программа аудита
Организация должна разработать программу аудита (см. ИСО 19011) для руководства планированием и проведением аудитов, а также для определения аудитов, необходимых для достижения целей программы. Программа должна быть основана на характере деятельности организации с точки зрения ее оценки риска и анализа воздействий на деятельность, результатах прошлого анализа и других соответствующих факторах.
Программы внутреннего аудита должны быть основаны на полной области применения СМНД, однако одна аудиторская проверка обычно не может охватить всю систему сразу. Аудиты могут быть разделены на более мелкие части при условии, что программа аудита обеспечивает, что все организационные подразделения, функции, виды деятельности, системные элементы и вся область применения СМНД будут проверены в рамках программы аудита в течение периода аудита, назначенного организацией.
Результаты внутреннего аудита СМНД могут быть представлены в виде отчета и использованы для исправления или предотвращения конкретных несоответствий, а также для внесения вклада в проведение анализа со стороны руководства.
Внутренние аудиты СМНД могут быть проведены персоналом внутри организации или внешними лицами, выбранными организацией и работающими от ее имени. Во всех случаях лица, проводящие аудит, должны быть компетентны и способны делать это беспристрастно и объективно. В небольших организациях независимость аудитора может быть продемонстрирована тем, что аудитор свободен от ответственности за проверяемую деятельность.
9.3 Анализ со стороны руководства
9.3.1 Общие положения
Высшему руководству следует проводить плановую проверку СМНД организации с целью обеспечения ее постоянной пригодности, адекватности и эффективности, включая эффективное функционирование ее процедур и возможностей обеспечения непрерывности.
9.3.2 Входные данные для анализа со стороны руководства
Анализ со стороны руководства должен включать оценку:
- статуса действий по результатам предыдущих анализов;
- эффективности системы управления, включая тенденции, проявляющиеся в результате несоответствий и корректирующих действий, результаты мониторинга и измерения, а также результаты аудита;
- изменения в цепочке поставок и эффективность механизмов обеспечения непрерывности цепочки поставок;
- других изменений в организации и ее областей применения (см. 4.1) и обратную связь от заинтересованных сторон (см. 4.2), что может повлиять на систему менеджмента;
- возможностей для постоянного улучшения.
Анализ со стороны руководства предоставляет высшему руководству возможность оценить постоянную пригодность, адекватность и эффективность системы управления. Анализ со стороны руководства должен охватывать область применения СМНД и все исключения (см. 4.3), хотя нет необходимости рассматривать все элементы сразу, и процесс анализа может проходить в течение определенного периода времени.
Анализ внедрения и результатов СМНД высшим руководством должен регулярно планироваться и оцениваться. Хотя постоянный системный анализ является желательным, формальный анализ должен быть структурирован, надлежащим образом документирован и запланирован на регулярной основе. Лица, участвующие в реализации СМНД и распределении ее ресурсов, должны быть привлечены к проведению анализа со стороны руководства.
В дополнение к регулярно планируемым аудитам системы менеджмента следующие факторы могут инициировать проверку и в противном случае должны быть дополнительно рассмотрены после того, как проверка будет запланирована:
a) отраслевые тенденции: основные отраслевые инициативы должны инициировать анализ СМНД. Общие тенденции и передовая практика в отрасли, а также методы планирования непрерывности деятельности/операционной деятельности могут быть использованы для целей бенчмаркинга;
b) законодательные требования: новые нормативные требования могут потребовать пересмотра СМНД;
c) опыт инцидентов: проверка должна проводиться после реагирования на нарушение, даже если процедура реагирования не была активирована. Если процедура ответных мер активирована, то в анализе следует рассмотреть историю процедуры ответных мер, как она работала и почему была активирована. Если процедура ответных мер не была активирована, то в ходе проверки следует выяснить, почему она не была активирована и было ли это правильное решение. Также может быть полезно проанализировать нарушения, затрагивающие другие организации в том же секторе и аналогичных отраслях.
9.3.3 Результаты анализа со стороны руководства
9.3.3.1 Улучшение СМНД
Анализ со стороны руководства должен привести к повышению эффективности и результативности СМНД и может привести к следующим изменениям:
- внесение изменений в область применения СМНД;
- обновление стратегий и решений обеспечения непрерывности деятельности;
- изменения в средствах управления и способах измерения их эффективности.
9.3.3.2 Хранение документированной информации
Организация должна хранить документированную информацию в качестве доказательства результатов проверок со стороны руководства и должна:
- быть доведена до сведения соответствующих заинтересованных сторон;
- инициировать соответствующие меры в связи с этими результатами.
10 Улучшение
10.1 Несоответствующие и корректирующие действия
10.1.1 Общие положения
Организация должна определить возможности для совершенствования СМНД и осуществить действия, необходимые для достижения намеченных результатов.
10.1.2 Возникновение несоответствия
Организация должна идентифицировать несоответствия, принимать меры по их контролю, сдерживанию и исправлению, бороться с их последствиями и оценивать необходимость действий по устранению их причин.
Организация должна установить эффективные процедуры для обеспечения идентификации:
- невыполнения требования;
- неэффективного подхода к планированию;
- слабых сторон, связанных с СМНД.
После их выявления необходимо своевременно принимать меры для предупреждения дальнейшего развития ситуации, а также для выявления и устранения коренных причин. Данные процедуры должны обеспечивать постоянную идентификацию, анализ и устранение фактических и потенциальных причин несоответствий.
Несоответствия должны быть идентифицированы и устранены своевременно, как и корректирующие действия, направленные на их устранение. Корректирующие действия могут исходить из четко определенного утверждения о несоответствии, которое четко и понятно формулирует проблему.
При выявлении несоответствия необходимо провести расследование его первопричины и разработать план корректирующих действий для немедленного решения проблемы. План действий должен быть разработан таким образом, чтобы смягчить любые последствия и определить изменения, которые необходимо внести для исправления ситуации, восстановления нормальной работы и устранения причины (причин), чтобы предотвратить повторение проблемы. Характер и сроки действий должны соответствовать масштабу и характеру несоответствия и его потенциальным последствиям.
Организация должна повышать эффективность и результативность СМНД даже при отсутствии признаков несоответствия. Улучшения могут включать в себя коррекцию, корректирующие действия, инновации и реорганизацию.
Установление процедур устранения фактических и потенциальных несоответствий и принятия корректирующих мер на постоянной основе помогает обеспечить надежность и эффективность СМНД. В процедурах должны быть определены обязанности, полномочия и шаги, которые необходимо предпринять при планировании и проведении корректирующих мероприятий. Высшее руководство должно обеспечить осуществление корректирующих действий и систематическое последующее наблюдение для оценки их эффективности.
10.1.3 Хранение документированной информации
Организация должна хранить документированную информацию в качестве объективных свидетельств:
- характера несоответствий и последующих действий;
- результата принятых корректирующих действий.
10.2 Постоянное улучшение
Постоянное улучшение с точки зрения пригодности, адекватности и эффективности СМНД действует на всех уровнях цикла PDCA и должно определяться политикой и целями обеспечения непрерывности деятельности, результатами аудита, анализом нарушений деятельности, анализом со стороны руководства, амбициями и желаемым уровнем зрелости.
Постоянное улучшение требует процесса выявления благоприятных возможностей и процесса управления ими. Процесс постоянного улучшения должен следовать основному процессу для проведения корректирующих действий и должен включать следующее:
- определение того, на что следует обратить внимание (областей и возможностей улучшения);
- определение текущего процесса и средств контроля;
- определение того, какие изменения необходимо внедрить (улучшить).
Корректирующие действия должны помочь устранить недостатки в СМНД и обеспечить ее функционирование по назначению, в то время как постоянное улучшение выводит СМНД на более высокий уровень результативности и эффективности.
Организация может добиться улучшения за счет эффективного применения процессов СМНД, таких как лидерство (см. раздел 5), планирование (см. раздел 6) и оценка показателей СМНД (см. раздел 9). Высшее руководство также должно проанализировать возможности для улучшения СМНД, которые могут возникнуть в результате изменений в:
- области применения организации (например, неудача конкурента);
- внутренней структуре организации (например, приобретение дополнительных помещений или наем персонала);
- средствах производства или способах доставки (например, технологические изменения, совершенствование инфраструктуры);
- методах восстановления (например, новые резервные активы или технологии ИТ);
- технологиях и практиках, включая новые инструменты и методы.
Все это должно быть оценено для установления их потенциальной пользы для организации.
Приложение ДА
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам
Таблица ДА.1
|
|
|
Обозначение ссылочного международного стандарта | Степень соответствия | Обозначение и наименование соответствующего национального стандарта |
ISO 22300:2012 | IDT | ГОСТ Р 22.0.12-2015/ИСО 22300:2012 "Безопасность в чрезвычайных ситуациях. Международные термины и определения" |
ISO 22301:2019 | IDT | ГОСТ Р ИСО 22301-2021 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования" |
Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:
- IDT - идентичные стандарты. |
Библиография
|
|
[1] | ISO 19011, Guidelines for auditing management systems |
[2] | ISO/IEC 20000 (all parts), Information technology - Service management |
[3] | ISO/TS 22317, Societal security - Business continuity management systems - Guidelines for business impact analysis (BIA) |
[4] | ISO/TS 22318, Societal security - Business continuity management systems - Guidelines for supply chain continuity |
[5] | ISO/TS 22330, Security and resilience - Business continuity management systems - Guidelines for people aspects of business continuity |
[6] | ISO/TS 22331, Security and resilience - Business continuity management systems - Guidelines for business continuity strategy |
[7] | ISO 22398, Societal security - Guidelines for exercises |
[8] | ISO/IEC 27002, Information technology - Security techniques - Code of practice for information security controls |
[9] | ISO/IEC 27031, Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity |
[10] | ISO 31000, Risk management - Guidelines |
|
|
УДК 658.562.012.7:65.012.122:006.354 | ОКС 03.100.70 |
| 03.100.01 |
| |
Ключевые слова: обеспечение непрерывности деятельности, менеджмент непрерывности деятельности, непрерывность деятельности, нарушение деятельности, надежность, надежность в технике |