ГОСТ Р ИСО 22301-2021. Национальный стандарт Российской Федерации. Надежность в технике. Системы менеджмента непрерывности деятельности. Требования
8 Функционирование
8.1 Оперативное планирование и управление
Организация должна планировать, выполнять и контролировать процессы, необходимые для выполнения требований и осуществления действий, определенных в 6.1:
a) путем установления критериев состояния процессов;
b) осуществления контроля и управления процессами в соответствии с критериями;
c) хранения документированной информации в объеме, необходимом для уверенности в том, что процессы выполнены в соответствии с планом.
Организация должна управлять запланированными изменениями и анализировать последствия непреднамеренных изменений, принимая меры для смягчения всех неблагоприятных последствий, при необходимости.
Организация должна обеспечить управление процессами аутсорсинга и цепочкой поставок.
8.2 Анализ воздействий на деятельность и оценка риска
8.2.1 Общие положения
Организация должна:
a) выполнять и поддерживать систематические процессы анализа воздействий на деятельность и оценки риска возникновения нарушения деятельности организации;
b) проводить анализ воздействий на деятельность и оценку риска через запланированные промежутки времени и при наличии существенных изменений в организации или в области применения.
Примечание - Организация должна определить порядок проведения анализа воздействий на деятельность и оценки риска.
8.2.2 Анализ воздействий на деятельность
Организация должна использовать процесс анализа воздействий на деятельность для определения приоритетов и требований к обеспечению непрерывности деятельности. Процесс должен:
a) определить виды воздействий и критерии, соответствующие области применения и специфике организации;
b) определить виды деятельности, которые поддерживают производство продукции и оказание услуг;
c) использовать типы и критерии воздействий для оценки воздействий, происходящих в результате нарушения деятельности организации в этих видах деятельности;
d) определить продолжительность времени, в течение которого невозобновление деятельности становится неприемлемым для организации;
Примечание 1 - Данный период времени можно назвать "максимально допустимым периодом прерывания деятельности".
e) установить предпочтительную продолжительность времени, указанного в d), для возобновления прерванной деятельности, установленным минимально приемлемым объемом производства продукции;
Примечание 2 - Такой временной интервал можно назвать "целевой продолжительностью восстановления".
f) использовать данный анализ для определения приоритетных видов деятельности;
g) определить ресурсы, необходимы для поддержки приоритетных видов деятельности;
h) определить виды зависимости, в том числе от партнеров и поставщиков, а также взаимозависимости, связанные с приоритетными видами деятельности.
8.2.3 Оценка риска
Организация должна выполнять и поддерживать процесс оценки риска.
Примечание - Процесс оценки риска рассмотрен в ИСО 31000.
Организация должна:
a) идентифицировать риск нарушения деятельности организации в приоритетных видах деятельности организации и необходимые ресурсы;
b) проводить анализ и оценку идентифицированных видов риска;
c) определить виды риска, требующие обработки.
Примечание - Риск в данном случае связан с нарушением деятельности организации. Риск и возможности, связанные с результативностью системы менеджмента, рассмотрены в 6.1.
8.3 Стратегии и решения по обеспечению непрерывности деятельности
8.3.1 Общие положения
На основе результатов анализа воздействий на деятельность и оценки риска организация должна идентифицировать и выбрать стратегии обеспечения непрерывности деятельности, позволяющие рассматривать варианты стратегий до, во время и после нарушения деятельности организации. Стратегии обеспечения непрерывности деятельности могут охватывать одно или несколько решений.
8.3.2 Идентификация стратегий и решений
Идентификация стратегий и решений должна быть основана на уровне их полезности:
a) при выполнении требований к продолжению и восстановлению приоритетных мероприятий в установленные сроки с установленным объемом производства;
b) обеспечении защиты приоритетных направлений деятельности организации;
c) снижении вероятности нарушения деятельности организации;
d) сокращении продолжительности простоя при нарушении деятельности организации;
e) ограничении влияния нарушения деятельности организации на продукцию и услуги организации;
f) обеспечении необходимых ресурсов.
8.3.3 Выбор стратегий и решений
Выбор стратегий и решений должен быть основан на уровне их полезности:
a) при выполнении требований к продолжению и восстановлению приоритетных видов деятельности в установленные сроки и на уровне согласованного объема производства;
b) проведении анализа величины и вида риска, который организация может или не может принять;
c) рассмотрении связанных с этим затрат и преимуществ.
8.3.4 Требования к ресурсам
Организация должна определить требования к ресурсам для реализации выбранных решений по обеспечению непрерывности деятельности. Рассматриваемые виды ресурсов должны включать (перечень может быть дополнен) следующим:
a) люди;
b) информация и данные;
c) физическая инфраструктура, такая как здания, рабочие места или другие объекты и связанное с ним оборудование;
d) оборудование и расходные материалы;
e) системы информационно-коммуникационных технологий (ИКТ);
f) транспорт и логистика;
g) финансы;
h) партнеры и поставщики.
8.3.5 Выполнение решений
Организация должна разработать и поддерживать выбранные решения в области обеспечения непрерывности деятельности, чтобы их можно было инициировать при необходимости.
8.4 Планы и процедуры обеспечения непрерывности деятельности
8.4.1 Общие положения
Организация должна внедрить и поддерживать структуру реагирования, которая позволит своевременно предупреждать нарушение деятельности организации и проводить обмен информацией с соответствующими заинтересованными сторонами. Организация должна разработать планы и процедуры управления организацией в период нарушения ее деятельности. Планы и процедуры должны быть использованы, когда необходимо инициировать решения по обеспечению непрерывности деятельности.
Примечание - Существуют различные типы процедур, которые включают в планы обеспечения непрерывности деятельности.
Организация должна определить и документировать планы и процедуры обеспечения непрерывности деятельности на основе выбранных стратегий и решений.
Процедуры должны:
a) быть конкретными в отношении немедленных действий, которые должны быть выполнены в период нарушения деятельности организации;
b) гибкими, чтобы реагировать на изменяющиеся внутренние и внешние условия в период нарушения деятельности организации;
c) фокусироваться на воздействии инцидентов, которые потенциально могут привести к нарушению деятельности организации;
d) результативно минимизировать воздействия путем выполнения соответствующих решений;
e) устанавливать функции и обязанности по выполнению задач внутри процедур.
8.4.2 Структура ответных мер
8.4.2.1 Организация должна разработать и поддерживать структуру, определяющую одну или несколько команд, ответственных за реагирование на нарушение деятельности организации.
8.4.2.2 Функции и обязанности каждой команды и отношения между командами должны быть четко идентифицированы.
8.4.2.3 В совокупности команды должны быть компетентны:
a) при оценке особенностей и степени нарушения деятельности организации и его потенциального воздействия;
b) оценке влияния по отношению к установленным пороговым значениям, инициации ответных действий;
c) активации соответствующих ответных действий в области обеспечения непрерывности деятельности;
d) планировании необходимых действий;
e) установлении приоритетов (используя безопасность в качестве главного приоритета);
f) мониторинге последствий нарушения деятельности организации и реагировании организации на нарушение деятельности;
g) активации решения по обеспечению непрерывности деятельности;
h) обмене информацией с соответствующими заинтересованными сторонами, органами власти и средствами массовой информации.
8.4.2.4 Для каждой команды необходимо:
a) идентифицировать персонал и заменяющих лиц с необходимой ответственностью, полномочиями и компетенцией для выполнения назначенных функций;
b) установить документированные процедуры управления действиями персонала (см. 8.4.4), в том числе для инициирования, выполнения, координации и обмена информацией об ответных мерах на нарушение деятельности организации.
8.4.3 Сигнал опасности и обмен информацией
8.4.3.1 Организация должна документировать и поддерживать процедуры:
a) обмена информацией с внутренними и внешними соответствующими заинтересованными сторонами, в том числе о вопросах, сроках и участниках обмена информацией;
Примечание - Организация может документировать и поддерживать процедуры о способах и условиях обмена информацией с сотрудниками по аварийным контактам.
b) получения, документирования и ответа при обмене информацией с заинтересованными сторонами, включая все государственные или региональные системы консультирования по риску или аналогичные структуры;
c) обеспечения доступности средств связи при нарушении деятельности организации;
d) облегчения структурированного обмена информацией с аварийными службами;
e) предоставления подробной информации об ответных действиях организации в СМИ после инцидента, включая стратегию обмена информацией;
f) записи деталей нарушения деятельности организации, предпринятых действий и принятых решений.
8.4.3.2 Если применимо, должно быть учтено и применено следующее:
a) аварийное оповещение заинтересованных сторон, которые могут быть затронуты фактическим или надвигающимся нарушением деятельности организации;
b) обеспечение надлежащей координации и обмена информацией между несколькими ответственными организациями.
Процедуры предупреждения и обмена информацией должны быть выполнены в соответствии с программой учений организации (см. 8.5.)
8.4.4 Планы обеспечения непрерывности деятельности
8.4.4.1 Организация должна документировать и поддерживать планы и процедуры обеспечения непрерывности деятельности. Эти планы должны обеспечивать руководство и информацию, чтобы помочь командам реагировать на нарушение деятельности организации и помочь организации в реагировании на нарушение деятельности и восстановлении последних.
8.4.4.2 В совокупности планы обеспечения непрерывности деятельности должны содержать:
a) подробное описание действий, которые команды должны предпринимать:
1) для продолжения или восстановления приоритетных видов деятельности в течение заранее установленного периода времени;
2) проведения мониторинга воздействия на нарушение деятельности организации и реагирования организации на них;
b) ссылки на предварительно установленные пороговые значения и процесс инициирования ответных действий;
c) процедуры, позволяющие доставлять товары и оказывать услуги в согласованном объеме;
d) детали управления непосредственными последствиями нарушения деятельности организации с учетом:
1) благосостояния физических лиц;
2) предупреждения дальнейших потерь или недоступности приоритетных видов деятельности;
3) воздействия на окружающую среду.
8.4.4.3 Каждый план должен включать:
a) цель, область применения и задачи;
b) функции и обязанности команды, выполняющей план;
c) действия по внедрению решений;
d) вспомогательную информацию, необходимую для инициирования (включая критерии инициирования), работы, координации и обмена информацией о действиях команды;
e) внутренние и внешние взаимозависимости;
f) требования к ресурсам;
g) требования к отчетности;
h) процесс остановки или окончания реализации плана.
Каждый план должен быть применимым и доступным в требуемое время и в требуемом месте.
8.4.5 Восстановление
Организация должна иметь документированные процессы для восстановления приоритетной деятельности, начиная с временных мер, принятых во время и после нарушения деятельности организации.
8.5 Программа учений
Организация должна разработать и поддерживать программу обучения и тестирования, чтобы со временем подтвердить результативность своих стратегий и решений по обеспечению непрерывности деятельности.
Организации необходимо проводить обучение и тестирование, которые должны:
a) соответствовать целям обеспечения непрерывности деятельности;
b) основываться на соответствующих сценариях, согласованных с установленными целями и задачами;
c) развивать командную работу, компетентность, уверенность и знания сотрудников, выполняющих функции, связанные с нарушениями деятельности организации;
d) (вместе взятые) проверять стратегии и решения организации по обеспечению непрерывности деятельности;
e) готовить официальные отчеты об учениях, содержащие результаты, рекомендации и действия по реализации улучшений;
f) обеспечивать анализ со стороны руководства для содействия постоянному улучшению;
g) выполнять через запланированные интервалы времени и при значительных изменениях в организации или области применения, в которой она работает.
Организация должна действовать исходя из результатов проверок и тестирования для внесения изменений и улучшений.
8.6 Оценка документации в области обеспечения непрерывности деятельности и возможностей
Организация должна:
a) оценивать пригодность, адекватность и результативность анализа воздействий на деятельность, оценки риска, стратегий, решений, планов и процедур;
b) проводить оценку с помощью проверок, анализа, упражнений, тестов, отчетов о происшествиях и оценки результативности;
c) проводить оценки возможностей в области обеспечения непрерывности деятельности соответствующих партнеров и поставщиков;
d) оценивать соответствие применимым законодательным и обязательным требованиям, лучшим отраслевым практикам и своим политике и целям в области обеспечения непрерывности деятельности;
e) своевременно обновлять документацию и процедуры.
Данные оценки необходимо проводить через запланированные интервалы времени, после инцидента или активации и в ситуации, когда происходят значительные изменения в организации.
Подписаться на обновления