ГОСТ Р ИСО 22313-2021. Национальный стандарт Российской Федерации. Надежность в технике. Системы менеджмента непрерывности деятельности. Руководство

4 Область применения в организации

 

4.1 Понимание особенностей организации и условий ее работы

В данном разделе приведены рекомендации по пониманию области применения СМНД в организации. Рекомендации по установлению и поддержанию непрерывности деятельности приведены в 8.1.

Организация должна оценить и понять внешние и внутренние проблемы (включая положительные и отрицательные факторы или условия), которые имеют отношение к общим целям, продукции и услугам организации, а также к объему и типу риска, который она готова и/или не готова принять. Данную информацию следует учитывать при внедрении и поддержании СМНД организации и расстановке приоритетов.

Внешняя область применения СМНД в организации включает, где это уместно, следующее:

- политическую, правовую и нормативную среду на международном, национальном, региональном или локальном уровнях;

- социальные и культурные аспекты;

- финансовую, технологическую, экономическую, природную и конкурентную среду на международном, национальном, региональном или локальном уровнях;

- обязательства и отношения в цепочке поставок (см. также ISO/TS 22318);

- факторы (например, риск, технологии) и тенденции, влияющие на цели и деятельность организации;

- отношения с заинтересованными сторонами за пределами организации, их восприятие и ценности;

- каналы обмена информацией, в том числе социальные сети, используемые для установления и формирования таких отношений.

Внутренняя область применения СМНД в организации включает, где это уместно, следующее:

- продукцию и услуги, виды деятельности, ресурсы, цепочки поставок и отношения с заинтересованными сторонами;

- возможности с точки зрения ресурсов и знаний (например, капитал, время, персонал, процессы, системы, технологии);

- существующие системы менеджмента;

- информацию и данные (хранящиеся в физической или электронной форме) и процессы принятия решений (формальные и иные);

- заинтересованные стороны внутри организации, включая внутренних поставщиков (рассмотрение соглашения об уровне обслуживания (SLA), оцененные механизмы отказоустойчивости и восстановления), см. ISO/TS 22318;

- политику и цели, а также бизнес-стратегии, используемые для их достижения;

- будущие направления и приоритеты бизнеса;

- восприятие, ценности и культуру;

- стандарты и эталонные модели, принятые организацией;

- структуры (например, менеджмент, структура управления, роли, ответственность);

- внутренние каналы обмена информацией, используемые для обмена информацией между персоналом (например, социальные сети).

4.2 Понимание потребностей и ожиданий заинтересованных сторон

4.2.1 Общие положения

Организация должна заботиться о широком круге людей внутри и за пределами организации (см. также ISO/TS 22330). При создании своей СМНД организация должна обеспечить учет потребностей и требований всех заинтересованных сторон.

Организация должна определить все заинтересованные стороны, имеющие отношение к СМНД (см. рисунок 4), и, исходя из их потребностей и ожиданий, установить требования. Важно определить не только обязательные и заявленные, но и подразумеваемые требования.

 

 

Рисунок 4 - Примеры заинтересованных сторон

в государственном и частном секторах

 

При планировании и внедрении СМНД важно определить действия, которые являются уместными по отношению к заинтересованным сторонам, но при этом проводить различие между ними. Например, хотя после нарушения деятельности может быть уместно проводить обмен информацией со всеми заинтересованными сторонами, может быть нецелесообразно проводить обмен информацией со всеми заинтересованными сторонами при внедрении и поддержании менеджмента непрерывности деятельности (см. 8.1.2).

4.2.2 Законодательные и обязательные требования

Применение настоящего стандарта предполагает осознание организацией применимых законодательных и обязательных требований.

Требования могут быть подразумеваемыми, заявленными или обязательными. Информация, касающаяся данных требований, должна быть документирована и постоянно обновляться. Новые требования или изменения существующих требований должны быть доведены до сведения вовлеченного персонала и других заинтересованных сторон.

Организация должна показать, что она имеет доступ к текущим и ожидающим своего исполнения законодательным и обязательным требованиям, имеющим отношение к ее деятельности и к тому, как эти требования выполняются. Требования могут охватывать:

a) реагирование на инциденты, включая управление чрезвычайными ситуациями и другие соответствующие законодательные акты;

b) непрерывность деятельности, которая может диктовать объем программы или степень и скорость восстановления;

c) риск, требования к риску, определяющие объем или методы менеджмента риска;

d) опасности (например, эксплуатационные требования, касающиеся опасных материалов, хранящихся в данном месте).

Для организаций, работающих в нескольких местах расположения, может быть необходимо удовлетворять требования различных юрисдикций.

4.3 Определение области применения системы менеджмента непрерывности деятельности

4.3.1 Общие положения

Цель определения области применения СМНД состоит в том, чтобы определить ее границы и применимость для обеспечения охвата всех соответствующих видов продукции и услуг, видов деятельности, местоположений, ресурсов, поставщиков и других взаимосвязанных показателей.

Область применения должна охватывать вопросы, определенные в 4.1, требования заинтересованных сторон, определенные в 4.2, а также миссию, цели и обязательства организации.

Организация должна подготовить заявление, в котором будет изложена область применения СМНД таким образом, чтобы соответствовать размеру, характеру и сложности организации. Заявление должно быть доступно заинтересованным сторонам.

4.3.2 Область применения системы менеджмента непрерывности деятельности

Организация должна:

a) установить, со ссылкой на продукцию и услуги, те части организации, которые включены в область применения СМНД или исключены из нее, например:

1) только включая доставку конкретной продукции в страну или регион;

2) исключение продукции, которая больше не является жизнеспособной или имеет низкую ценность для организации;

3) только включение подмножества продукции и услуг;

b) идентифицировать продукцию и услуги организации таким образом, чтобы можно было идентифицировать все связанные с ними виды деятельности, ресурсы и цепочки поставок.

Область применения может:

- включать указание на размер или масштаб нарушения или инцидента, которые будут устранены с помощью СМНД;

- определять, как СМНД вписывается в бизнес-стратегию организации, и подход к управлению риском.

4.3.3 Исключения из области применения

В области применения необходимо определить местоположение, продукцию и услуги, виды деятельности и ресурсы, к которым применима СМНД организации. При этом все взаимосвязанные области деятельности будут находиться в области видимости, даже если они не были точно и явно определены. Например, если производственная компания включает продукцию в область применения своей СМНД, то поставка сырья, обработка, доставка и любые вспомогательные функции (например, данные об обработке, закупке и человеческих ресурсах) в любом месте, которое прямо или косвенно участвует в их доставке клиенту, будут тоже включены.

Исключения не должны влиять на способность организации выполнять требования непрерывности деятельности, определенные в результате анализа воздействий на деятельность (см. 8.2.2). Нельзя исключать деятельность, ресурсы и цепочки поставок, которые необходимы для предоставления продукции и услуг.

Исключения из области применения СМНД должны быть документированы и обоснованы.

Если СМНД интегрируют в существующую систему менеджмента, организация должна обеспечить включение в нее всех элементов СМНД.

4.4 Система менеджмента непрерывности деятельности

Цель данного подраздела состоит в том, чтобы подчеркнуть необходимость для организации внедрения и поддержания процессов, которые позволят СМНД соответствовать требованиям ИСО 22301, включая взаимодействие между процессами.

При идентификации процессов и их применении во всей организации необходимо:

a) определить необходимые входные данные и ожидаемые результаты от процессов;

b) определить последовательность и взаимодействие процессов;

c) определить и применить критерии и методы (включая мониторинг, измерения и оценку связанных с ними показателей эффективности СМНД), необходимые для обеспечения эффективного функционирования и управления этими процессами;

d) определить ресурсы, необходимые для функционирования процессов, и обеспечить их доступность;

e) распределить обязанности и полномочия по процессам;

f) учитывать риск и возможности, определенные в 6.1;

g) оценить процессы и внедрить все изменения, необходимые для обеспечения достижения процессами запланированных результатов;

h) улучшать процессы и СМНД.

По мере необходимости организация должна обеспечить:

- ведение документированной информации для поддержки функционирования своих процессов;

- сохранение документированной информации, чтобы иметь уверенность в том, что процессы выполняются в соответствии с планом.