ГОСТ Р ИСО 22313-2021. Национальный стандарт Российской Федерации. Надежность в технике. Системы менеджмента непрерывности деятельности. Руководство

7 Поддержка

 

7.1 Ресурсы

7.1.1 Общие положения

Организация должна определить и обеспечить наличие ресурсов, необходимых для СМНД, которые будут:

a) обеспечивать достижение политики и целей в области обеспечения непрерывности деятельности организации;

b) соответствовать изменяющимся требованиям организации;

c) обеспечивать эффективный обмен информацией по вопросам СМНД как внутри организации, так и за ее пределами;

d) обеспечивать непрерывное функционирование и постоянное улучшение СМНД.

Ресурсы должны быть выделены своевременно и результативно.

7.1.2 Ресурсы СМНД

При определении ресурсов, необходимых для СМНД, организация должна обеспечить следующие ресурсы:

a) персонал и связанные с ним ресурсы, включая:

1) время, необходимое для выполнения функций и обязанностей СМНД;

2) обучение, просвещение, осведомленность и учения;

3) управление персоналом СМНД;

b) объекты, включая соответствующие рабочие места и инфраструктуру;

c) системы информационно-коммуникационных технологий (ИКТ), включая прикладные программы, обеспечивающие эффективное и действенное управление программами;

d) управление и контроль всех форм документированной информации;

e) обмен информацией с заинтересованными сторонами (см. рисунок 4);

f) финансы.

Ресурсы и их распределение должны периодически быть пересмотрены с целью обеспечения их адекватности. Целесообразно привлечь к анализу ресурсов высшее руководство.

7.2 Компетентность

Организация должна создать надлежащую и эффективную систему управления компетенцией лиц, вовлеченных в управление СМНД.

Руководство должно определить области компетенции, необходимые для выполнения всех функций и обязанностей СМНД, а также степень осведомленности, знаний, понимания, навыков и опыта, необходимого для их выполнения. Все лица, выполняющие соответствующие роли в организации, должны демонстрировать необходимые компетенции и быть обеспечены соответствующим обучением, образованием, возможностью развития и другой необходимой поддержкой. Такой подход может быть назван "программой развития компетентности" и включать в себя:

- оценку компетенций для выполнения роли (ролей), которая должна быть выполнена;

- создание программы личностного роста, которая определяет обучение, образование, развитие и другую поддержку, необходимую для достижения необходимых областей компетенции;

- обеспечение обучения и наставничества, включая подбор подходящих методов и материалов;

- оценку эффективности;

- обмен знаниями;

- совместное использование рабочих мест;

- наем или заключение контрактов с компетентными лицами;

- обучение целевых групп;

- документирование и мониторинг полученного обучения;

- оценку полученной подготовки в соответствии с определенными потребностями и требованиями в области подготовки кадров с целью проверки соответствия требованиям к обучению СМНД;

- совершенствование программы развития по мере необходимости.

Организация должна установить и поддерживать процесс идентификации и выполнения требований к обучению в области обеспечения непрерывности деятельности всех участников и оценку эффективности его выполнения.

Для создания, управления и поддержания СМНД могут быть уместны следующие типы и области обучения:

- установление и менеджмент непрерывности деятельности;

- проведение анализа воздействий на деятельность;

- проведение оценки риска;

- коммуникативные навыки;

- проектное управление;

- разработка и внедрение документации по обеспечению непрерывности деятельности;

- выполнение программы учений.

Компетентность может быть усилена следующими факторами:

- интеграция достижений СМНД в процесс вознаграждения и признания персонала организации;

- интеграция достижений СМНД в процесс оценки эффективности деятельности организации;

- интеграция ролей, ответственности, обязанностей и полномочий СМНД в должностные инструкции и набор навыков персонала организации;

- активное участие клиентов (пользователей результатов деятельности) и высшего руководства в учениях.

Организация должна требовать, чтобы подрядчики, работающие от ее имени, демонстрировали, что персонал, который выполняет работу, находящуюся под управлением организации (от ее лица), обладает необходимой компетенцией в области СМНД и функциональными возможностями реагирования, которые, при необходимости, будут реализованы.

7.3 Осведомленность

Организация должна обеспечить осведомленность всех лиц, работающих под ее оперативным управлением (например, персонал, подрядчики, поставщики), о политике и целях организации в области обеспечения непрерывности деятельности и о:

- том, как снизить вероятность нарушений деятельности, и их ролях в отношении обнаружения инцидентов, смягчения последствий, самозащиты, эвакуации, реагирования, непрерывности и восстановления;

- важности соблюдения политики и процедур в области обеспечения непрерывности деятельности;

- зависимости от поставщиков и партнеров по аутсорсингу и связанного с этим риска для целей выполнения деятельности;

- последствиях внесения изменений в деятельность организации;

- их вкладе в эффективность СМНД, включая преимущества повышения непрерывности деятельности;

- их ролях и ответственности в достижении соответствия требованиям СМНД.

Организация должна внедрять менеджмент непрерывности деятельности в культуру организации таким образом, чтобы:

- СМНД стала частью основных ценностей и менеджмента организации;

- заинтересованные стороны были осведомлены о политике в области обеспечения непрерывности деятельности и своей роли в соответствующих процедурах.

Внедрение менеджмента непрерывности деятельности в культуру организации позволит:

- более эффективно развивать непрерывность деятельности;

- внушать уверенность заинтересованным сторонам (особенно персоналу и клиентам) в способности организации справляться с нарушениями ее деятельности;

- постепенно повышать устойчивость организации путем обеспечения учета последствий принятых решений для обеспечения непрерывности деятельности на всех уровнях;

- минимизировать вероятность и последствия нарушений деятельности.

Внедрение менеджмента непрерывности деятельности в культуру организации может быть поддержано путем:

- вовлечения всего персонала в работу по обеспечению непрерывности деятельности в организации;

- рассредоточения руководства по всей организации;

- распределения обязанностей;

- измерений на основе показателей СМНД;

- интеграции непрерывности деятельности в каждодневную практику менеджмента;

- повышения информированности;

- профессионального обучения;

- внедрения планов обеспечения непрерывности деятельности.

Программа повышения осведомленности может включать в себя:

- процесс консультаций с персоналом всей организации по вопросам создания, внедрения и поддержки системы обеспечения непрерывности деятельности;

- обсуждение непрерывности деятельности в информационных бюллетенях организации, брифингах, ознакомительной программе или журналах (включая ориентацию на новых сотрудников);

- информацию о непрерывности деятельности на соответствующие веб-страницы;

- менеджмент непрерывности деятельности в качестве темы на совещаниях персонала и руководства;

- выборочную публикацию отчетов после инцидентов;

- брифинги для высшего руководства;

- посещение установленного альтернативного места деятельности (например, места восстановления);

- регулярное общение с поставщиками, чтобы убедиться, что они понимают деятельность организации и требования к непрерывности деятельности и могут продемонстрировать свою способность соответствовать требованиям обеспечения непрерывности деятельности.

Изменения во внешней среде и операционной деятельности влияют на подход и способ планирования, разработки и реализации мероприятий по обеспечению непрерывности деятельности. Организация может продемонстрировать осведомленность о тенденциях менеджмента непрерывности деятельности, например, активно участвуя в отраслевых мероприятиях, связанных с непрерывностью деятельности, которые могут включать:

- членство в заинтересованной отраслевой группе;

- членство в организационном комитете конференции;

- проведение презентаций на конференциях и семинарах;

- участие в местных или международных конференциях по непрерывности деятельности.

7.4 Обмен информацией

Организация должна определить способы обмена информацией, связанные с СМНД.

Обмен информацией, связанный с СМНД, позволяет организации реагировать на потребности и ожидания заинтересованных сторон (см. 4.2). Для того чтобы обмен информацией был результативным, организация должна определить и, где это уместно, установить критерии для определения следующего:

a) что будет сообщено: обмен информацией, связанный с СМНД, может отличаться в зависимости от характера организации и конкретной ситуации. Некоторые организации, например, имеют законодательные и обязательные требования к обмену информацией;

b) когда должен быть осуществлен обмен информацией: могут существовать пороговые значения, при выходе за которые организация должна осуществлять обмен информацией; кроме того, область применения СМНД в организации может диктовать, как часто должен быть осуществлен обмен информацией;

c) с кем будет проведен обмен информацией: все заинтересованные стороны время от времени нуждаются в обмене информацией; поэтому важно определить для каждой заинтересованной стороны обстоятельства, при которых общение будет необходимо, и расставить приоритеты обмена информацией;

d) средства обмена информацией: заблаговременное определение методов, инструментов и каналов обмена информацией, включая альтернативные, позволит организации результативно осуществлять обмен информацией;

e) лица, осуществляющие обмен информацией: организация должна определить представителей организации и назначить конкретный персонал в качестве контактных лиц для обмена информацией.

Организация может включать ссылки на свои СМНД и механизмы обеспечения непрерывности деятельности в информационные бюллетени и брифинги поставщиков и клиентов.

Организация должна обеспечивать эффективный внешний обмен информацией в рамках своей программы повышения осведомленности (см. 7.3) и при реагировании на инцидент (см. 8.4.4).

7.5 Документированная информация

7.5.1 Общие положения

Документированная информация в соответствии с требованиями ИСО 22301 является доказательством соответствия требованиям и результативной работы системы менеджмента непрерывности деятельности.

Термин "процедура" означает определенный способ осуществления деятельности или процесса. "Документированная процедура" означает, что процедура должна быть установлена и поддерживаться на соответствующем носителе.

Один документ может содержать требования к одной или нескольким документированным процедурам. Требование документированной процедуры может охватывать более чем один документ.

Документированная информация включает в себя:

- понимание особенностей организации и ее области применения СМНД (см. 4.1);

- законодательные и обязательные требования (см. 4.2.2);

- область применения СМНД и все исключения из нее (см. 4.3);

- политику в области обеспечения непрерывности деятельности (см. 5.2);

- цели в области обеспечения непрерывности деятельности и планирование их достижения (см. 6.2);

- компетентность (см. 7.2);

- анализ воздействий на деятельность и оценку риска (см. 8.2);

- стратегию и решения обеспечения непрерывности деятельности (см. 8.3);

- планы и процедуры обеспечения непрерывности деятельности (см. 8.4);

- программу учений (см. 8.5);

- мониторинг, измерение, анализ и оценку (см. 9.1);

- внутренний аудит (см. 9.2);

- анализ со стороны руководства (см. 9.3);

- несоответствия и корректирующие действия (см. 10.1).

Кроме того, для обеспечения эффективности СМНД может быть необходима документированная информация, охватывающая следующую информацию:

- контракты с клиентами и уровни обслуживания;

- результаты анализа воздействий на деятельность;

- результаты оценки риска;

- определение и выбор решений по обеспечению непрерывности деятельности;

- анализ реагирования на инциденты;

- программу повышения осведомленности;

- обмен информацией об инцидентах и СМНД с персоналом и заинтересованными сторонами, такой как информационные бюллетени, заметки о встречах и оповещения;

- учебные программы для организаций и отдельных лиц;

- график проведения учений;

- договора и соглашения об уровне обслуживания с поставщиками;

- политику и планы обеспечения непрерывности деятельности подрядчиков и поставщиков, включая доказательства мониторинга риска поставщиками, а также доказательства того, что планы обеспечения непрерывности деятельности поставщиков внедрены и поддерживаются в рабочем состоянии;

- процедуры уведомления и реагирования подрядчиков и поставщиков;

- свидетельства проверок, технического обслуживания и поверок;

- обмен информацией об инцидентах и промахах после инцидентов;

- протокол совещаний по анализу СМНД.

7.5.2 Создание и актуализация

Организация должна обеспечить выполнение требований к созданию и актуализации документированной информации, включая следующее:

- точная идентификация всей документированной информации (например, наименование, номер, описание, дата, автор, версия);

- установление приемлемых форматов (например, язык, версия программного обеспечения, графика) и носителей, которые могут быть использованы для хранения документированной информации (например, бумажные, электронные);

- регулярный пересмотр и одобрение используемых форматов и носителей на предмет их пригодности и адекватности.

Объем документированной информации для СМНД может быть отличным в разных организациях из-за следующих факторов:

- размера организации, поставляемой продукции и предоставляемых услуг, а также осуществляемого вида деятельности;

- сложности видов деятельности и их взаимодействия;

- компетенции персонала и вовлеченных лиц.

7.5.3 Управление документированной информацией

7.5.3.1 Доступ к документированной информации

Организация должна управлять всей необходимой документированной информацией.

Целью управления документированной информацией является обеспечение того, что организация должна создавать, поддерживать и защищать документы таким образом, который является наиболее подходящим и достаточным для внедрения и функционирования СМНД.

Основное внимание должно быть сосредоточено на этой цели, а не на создании сложной системы управления документами.

Примеры защиты включают предупреждение компрометации или изменения документов без соответствующей авторизации и защиту от случайного удаления.

Существуют различные уровни доступа и их комбинации, которые могут быть предоставлены (например, только просмотр, просмотр и изменение, ограниченный просмотр). Целесообразно классифицировать документированную информацию организации в соответствии с ее чувствительностью (например, ограниченная, конфиденциальная, защищенная). Такая классификация может, например, быть необходимой для решений по обеспечению непрерывности деятельности, связанных с внутренним нарушением трудовых отношений, или в тех случаях, если планы и процедуры обеспечения непрерывности деятельности содержат конфиденциальную информацию конкурентов.

7.5.3.2 Виды управления

Организация должна установить документированную процедуру определения средств управления, необходимых для:

- распространения документированной информации;

- предоставления доступа к ней (включая такой доступ, например, как разрешения и полномочия на просмотр или изменение документированной информации);

- утверждения документов на достаточность до их выдачи;

- рассмотрения и обновления по мере необходимости, а также повторного утверждения документов;

- обеспечения идентификации изменений и текущего статуса пересмотра документов;

- обеспечения доступности соответствующих версий всех применимых документов в пунктах использования;

- обеспечения легкой идентификации и разборчивости документов на всех этапах их использования;

- обеспечения идентификации документов внешнего происхождения, определенных организацией как необходимых для планирования и функционирования СМНД, и управления их распространением;

- предупреждения непреднамеренного использования устаревших документов и применения к ним соответствующей идентификации, если они хранятся для каких-либо целей;

- установления параметров хранения документов и архивирования;

- обеспечения защиты и неразглашения конфиденциальной информации.

Организация должна обеспечивать целостность документированной информации, обеспечивая ее защищенность от несанкционированного доступа, надежную защиту, доступность только для уполномоченного персонала и защищенность от повреждения, порчи и/или потери.

Организация должна демонстрировать осведомленность обо всех соответствующих законодательных и обязательных требованиях, связанных с хранением документированной информации, и должна сохранять документальные свидетельства их соблюдения.