ГОСТ Р ИСО 22313-2021. Национальный стандарт Российской Федерации. Надежность в технике. Системы менеджмента непрерывности деятельности. Руководство
Введение
0.1 Общие положения
В настоящем стандарте приведены руководящие указания к требованиям, установленным в ИСО 22301. Настоящий стандарт не содержит общее руководство по всем аспектам обеспечения непрерывности деятельности.
Настоящий стандарт включает в себя те же разделы, что и ИСО 22301, но не дублирует требования и связанные с ними термины и определения.
Цель руководства состоит в объяснении и разъяснении смысла и цели требований ИСО 22301 и связанных с этим вопросов. Дополнительное руководство, которое можно использовать при применении настоящего стандарта, содержат ISO/TS 22317, ISO/TS 22318, ИСО 22322, ISO/TS 22330, ISO/TS 22331 и ИСО 22398.
Область применения этих стандартов может выходить за рамки требований ИСО 22301. Поэтому организации должны всегда использовать ИСО 22301 для проверки требований, которые должны быть выполнены.
Для дальнейшего разъяснения ключевых моментов в настоящий стандарт включены несколько рисунков. Рисунки приведены только для целей иллюстрации, приоритетом является соответствующий текст в основной части настоящего стандарта.
Система менеджмента непрерывности деятельности (СМНД) подчеркивает важность:
- установления политики и целей обеспечения непрерывности деятельности, которые согласуются с общими целями организации;
- управления и поддержки процессов, возможностей и структур реагирования для преодоления организацией всех нарушений ее деятельности;
- мониторинг и анализ эффективности и результативности СМНД;
- постоянное улучшение, основанное на качественном и количественном измерении.
СМНД, как и любая другая система менеджмента, включает в себя следующие компоненты:
a) политику;
b) компетентный персонал с установленными обязанностями;
c) управленческие процессы, связанные с:
1) политикой;
2) планированием;
3) внедрением и функционированием;
4) оценкой эффективности;
5) анализом со стороны руководства;
6) постоянным улучшением;
d) документированную информацию, поддерживающую оперативное управление и способствующую оценке эффективности.
Непрерывность деятельности, как правило, имеет свои особенности для организации. Однако ее реализация может иметь далеко идущие последствия для более широкого круга сообществ и других третьих сторон. Организация зачастую имеет внешние организации, от которых она зависит и/или которые зависят от нее. Таким образом, эффективное обеспечение непрерывности деятельности способствует повышению устойчивости общества.
0.2 Преимущества системы менеджмента непрерывности деятельности
СМНД повышает уровень готовности организации к продолжению работы во время нарушений деятельности. СМНД приводит к улучшению понимания внутренних и внешних связей организации, улучшению обмена информацией с заинтересованными сторонами и созданию условий для постоянного улучшения. Существует потенциально много дополнительных преимуществ для внедрения СМНД в соответствии с рекомендациями, содержащимися в настоящем стандарте, и в соответствии с требованиями ИСО 22301.
Следование рекомендациям раздела 4 ("Область применения в организации") предполагает, что организация:
- проводит пересмотр своих стратегических целей, чтобы СМНД работала на их поддержку;
- проводит пересмотр потребностей, ожиданий и требований заинтересованных сторон;
- обладает знанием применимых правовых, нормативных и иных требований.
Следование рекомендациям раздела 5 ("Лидерство") предполагает, что организация:
- проводит пересмотр ролей и обязанностей менеджмента;
- продвигает культуру постоянного улучшения;
- проводит распределение ответственности за мониторинг, оценку эффективности и отчетность.
Следование рекомендациям раздела 6 ("Планирование") предполагает, что организация:
- проводит пересмотр своих рисков и возможностей и определяет меры по их устранению и/или использованию;
- внедряет эффективное управление изменениями.
Следование рекомендациям раздела 7 ("Поддержка") предполагает, что организация обеспечивает:
- установление эффективного управления ресурсами СМНД, включая управление компетенциями;
- повышение осведомленности сотрудников о вопросах, важных для высшего руководства;
- наличие эффективных механизмов внутреннего и внешнего обмена информацией и коммуникаций;
- эффективное управление документацией СМНД.
Следование рекомендациям раздела 8 ("Функционирование") приводит к тому, что организация рассматривает:
- непреднамеренные последствия изменений;
- приоритеты и требования обеспечения непрерывности деятельности;
- зависимости;
- уязвимости с точки зрения воздействия;
- риски нарушений деятельности и определение наилучших способов их устранения;
- альтернативные решения для ведения работы с ограниченными ресурсами;
- эффективные структуры и процедуры для борьбы с нарушениями;
- ответственность перед обществом и другими заинтересованными сторонами.
Следование рекомендациям раздела 9 ("Оценка показателей СМНД") предполагает, что организация обеспечивает:
- наличие эффективных механизмов мониторинга, измерения и оценки эффективности деятельности;
- вовлечение руководства в мониторинг результатов деятельности и содействие повышению эффективности СМНД.
Следование рекомендациям раздела 10 ("Улучшение") предполагает, что организация обеспечивает:
- наличие процедур мониторинга и повышения эффективности;
- извлечение выгоды из постоянного улучшения своих систем менеджмента.
В результате внедрения СМНД в организации может быть достигнуто следующее:
a) защита жизни, имущества и окружающей среды;
b) защита и укрепление репутации и доверие к организации;
c) повышение конкурентных преимуществ организации, так как СМНД позволяет работать во время нарушений деятельности;
d) сокращение расходов, возникающих в результате нарушений деятельности, и повышение способности организации оставаться постоянно эффективной;
e) повышение общей организационной устойчивости организации;
f) повышение уверенности заинтересованных сторон в успехе организации;
g) снижение правового и финансового риска организации;
h) помощь в демонстрации способности организации управлять риском и устранить уязвимости в процессе функционирования.
0.3 Цикл "Планируй - Делай - Проверяй - Действуй" (PDCA)
Настоящий стандарт применяет цикл "Планируй - Делай - Проверяй - Действуй" (PDCA) к планированию, созданию, внедрению, функционированию, мониторингу, анализу со стороны руководства, поддержке и постоянному улучшению СМНД организации. Разъяснение цикла PDCA приведено в таблице 1.
Таблица 1
Объяснение цикла PDCA
Планируй (установление) | Разработка политики, целей, средств контроля, процессов и процедур обеспечения непрерывности деятельности, связанных с улучшением непрерывности деятельности в соответствии с общей политикой и целями организации |
Делай (внедрение и функционирование) | Внедрение и функционирование политики непрерывности деятельности, средств контроля, процессов и процедур |
Проверяй (мониторинг и анализ) | Мониторинг и анализ результатов деятельности в соответствии с политикой и целями обеспечения непрерывности деятельности, представление отчетов для выполнения анализа со стороны руководства, а также определение и санкционирование действий по коррекции и улучшению |
Действуй (поддержка и улучшение) | Поддержка и улучшение СМНД путем принятия корректирующих мер на основе результатов анализа со стороны руководства и повторная оценка области применения СМНД, а также политики и целей обеспечения непрерывности деятельности в организации |
На рисунке 1 показано, как СМНД принимает требования заинтересованных сторон в качестве исходных данных для менеджмента непрерывности деятельности и посредством необходимых действий и процессов обеспечивает результаты (выходные данные) непрерывности деятельности (т.е. управляемую непрерывность деятельности), которые отвечают этим требованиям.
Рисунок 1 - Цикл PDCA применительно к процессам СМНД
0.4 Компоненты PDCA
В таблице 2 показана взаимосвязь между содержанием рисунка 1 и положениями настоящего стандарта.
Таблица 2
Взаимосвязь между циклом PDCA и разделами 4 - 10
Планируй (установление) | В разделе 4 ("Область применения в организации") излагается, что организация должна делать для того, чтобы СМНД соответствовала ее требованиям с учетом соответствующих внешних и внутренних факторов, включая: - потребности и ожидания заинтересованных сторон; - обязательные и нормативные требования; - необходимый объем СМНД |
Раздел 5 ("Лидерство") определяет роль руководства с точки зрения демонстрации приверженности принципам непрерывности деятельности, определения политики и установления ролей, обязанностей и полномочий | |
В разделе 6 ("Планирование") приведены действия по установлению стратегических целей и руководящих принципов внедрения СМНД | |
Раздел 7 ("Поддержка") определяет элементы СМНД, которые должны быть обеспечены на местах, а именно: ресурсы, компетентность, осведомленность, обмен информацией и документированную информацию | |
Делай (внедрение и функционирование) | В разделе 8 ("Функционирование") определены процессы установления и поддержки непрерывности деятельности |
Проверяй (мониторинг и анализ) | Раздел 9 ("Оценка показателей СМНД") обеспечивает основу для улучшения СМНД путем измерения и оценки ее эффективности (показателей СМНД) |
Действуй (поддержка и улучшение) | Раздел 10 ("Улучшение") охватывает корректирующие действия по устранению несоответствий, выявленных в ходе оценки показателей СМНД |
0.5 Содержание настоящего стандарта
Целью настоящего стандарта является не обеспечение единообразия структуры СМНД, а разработка организацией СМНД, соответствующей ее потребностям и отвечающей требованиям ее заинтересованных сторон, в частности клиентов и сотрудников. Эти потребности должны быть сформированы на основе законодательных, обязательных и отраслевых требований, выпускаемой продукции и предоставляемых услуг, используемых процессов, операционной среды, размера и структуры организации, требований заинтересованных сторон.
Настоящий стандарт не предназначен для оценки способности организации удовлетворять требования в области непрерывности деятельности, а также соответствующие требования клиентов, законодательные или обязательные требования. Для этих целей организации могут использовать требования ИСО 22301.
Разделы 1 - 3 устанавливают область применения в организации, нормативные ссылки, а также термины и определения, применимые к использованию настоящего стандарта. Разделы 4 - 10 содержат руководящие указания к требованиям, приведенным в ИСО 22301.
В настоящем стандарте использованы следующие глагольные формы:
a) "следует" указывает на рекомендацию;
b) "могло бы" указывает на разрешение;
c) "может" указывает на возможность или способность.
0.6 Непрерывность деятельности
Непрерывность деятельности - это способность организации продолжать поставлять продукцию или услуги на приемлемом заранее определенном уровне после нарушения деятельности. Менеджмент непрерывности деятельности - это процесс внедрения и поддержания непрерывности деятельности (см. 8.1.2 и рисунок 5) с целью предупреждения потерь и подготовки к нарушениям, смягчения их последствий и управления ими.
Создание СМНД позволяет организации управлять, оценивать и постоянно улучшать непрерывность своей деятельности.
В настоящем стандарте слово "деятельность" использовано в качестве всеобъемлющего термина для операций и услуг, выполняемых организацией в соответствии с ее целями, задачами или миссией. Как таковая, она в равной степени применима к крупным, средним и малым организациям, работающим в промышленном, коммерческом, государственном и некоммерческом секторах.
Нарушения могут привести к прерыванию всей деятельности организации и ее способности предоставлять продукцию и услуги. Однако внедрение СМНД до того, как произойдет нарушение, позволит реагировать запланированным образом после инцидента и возобновить деятельность организации до того, как возникнут неприемлемые уровни воздействия.
Менеджмент непрерывности деятельности включает в себя:
a) определение продукции и услуг организации и видов деятельности, которые их обеспечивают;
b) анализ последствий отказа от возобновления деятельности и ресурсов, от которых это зависит;
c) понимание риска нарушений деятельности;
d) определение приоритетов, сроков, возможностей и стратегий возобновления поставок продукции и услуг;
e) наличие решений и планов по возобновлению деятельности в требуемые сроки после нарушения;
f) обеспечение того, чтобы эти механизмы регулярно пересматривались и обновлялись, чтобы обеспечить их эффективность при любых обстоятельствах.
Подход организации к менеджменту непрерывности деятельности и ее документированная информация должны соответствовать ее области применения (например, операционная среда, сложность, потребности, ресурсы).
Непрерывность деятельности может быть эффективной как при внезапных нарушениях и сбоях (например, взрывах), так и при постепенных (например, пандемиях).
Деятельность может быть нарушена самыми разнообразными инцидентами, многие из которых трудно прогнозировать или заранее проанализировать. Сосредоточив внимание на воздействии нарушения, а не на его причине, непрерывность деятельности позволяет организации определить виды деятельности, которые необходимы для выполнения ее обязательств. Благодаря непрерывности деятельности организация может распознать, что необходимо сделать для защиты своих ресурсов (например, людей, помещений, технологий, информации), цепочки поставок, заинтересованных сторон и репутации перед происходящим разрушением. При признании этого организация может создать структуру реагирования, чтобы быть уверенной в управлении последствиями нарушений.
На рисунках 2 и 3 концептуально показано, как непрерывность деятельности может помочь для смягчения последствий в определенных ситуациях. Относительное расстояние между этапами, изображенными на обеих диаграммах, не подразумевает никаких конкретных временных рамок.
Рисунок 2 - Пример эффективности обеспечения непрерывности
деятельности при внезапных нарушениях
Рисунок 3 - Пример того, насколько непрерывность
деятельности эффективна при постепенном
разрушении (например, пандемии)
Подписаться на обновления