Приложение В (справочное). Информационное руководство по использованию настоящего стандарта. Национальный стандарт РФ ГОСТ Р ИСО 28002-2019 "Системы менеджмента безопасности цепи поставок. Устойчивость цепи поставок. Требования и руководство по применению" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 23.12.2019 N 1434-ст)

Приложение В
(справочное)

Информационное руководство по использованию настоящего стандарта

В.1 Введение

Примечание - Дополнительный текст, приведенный в этом приложении, носит исключительно информационный характер и предназначен для понимания определенных разделов настоящего стандарта. Хотя эта информация касается и согласуется с требованиями указанных разделов настоящего стандарта, она не предназначена для добавления, исключения или каким-либо образом изменения этих требований.

Стихийные бедствия, экологические, технологические аварии, техногенные кризисы исторически демонстрировали, что имеют место разрушительные инциденты, оказывающие воздействие, как на государственный, так и на частный секторы. Задача учета данных видов воздействия выходит за рамки большинства ранее развернутых планов реагирования или действий по ликвидации последствий бедствий. В настоящее время организации должны участвовать во всеобъемлющем и систематическом процессе предупреждения, защиты, подготовки и готовности, минимизации последствий, реагирования, непрерывности и восстановления. Уже недостаточно просто составить план реагирования, который предполагает сценарии бедствий или чрезвычайных ситуаций. Современные угрозы требуют создания непрерывного, динамичного и интерактивного процесса, который служит для обеспечения непрерывности основной деятельности организации до, во время и после возникновения крупного кризиса.

Настоящий стандарт предоставляет организациям всех размеров политику менеджмента устойчивости, необходимую для достижения и демонстрации адаптивного и упреждающего снижения риска и повышения эффективности организационной устойчивости, связанной с их физическими возможностями, услугами, деятельностью, товарами, цепью поставок и непрерывностью функционирования организации.

Они делают это в контексте:

a) повышения безопасности в отношении рисков и угроз;

b) более строгого выполнения нормативно-законодательных требований;

c) повышения конкурентоспособности бизнеса;

d) увеличения взаимозависимости в обществе (на организационном, функциональном или юрисдикционном уровне);

e) повышения осведомленности о необходимости адекватного реагирования на чрезвычайные ситуации и планирования восстановления;

f) учета проблем заинтересованных и затронутых сторон;

g) потребности в обеспечении непрерывности и устойчивости деятельности.

Инцидент с разрушительными последствиями, который должным образом не управляется, может быстро перерасти в чрезвычайную ситуацию, кризис или даже бедствие. Подготовка к инциденту до его возникновения может свести к минимуму вероятность его возникновения и воздействие. Неуправляемый разрушительный инцидент может испортить имидж, репутацию или бренд организации в дополнение к значительному физическому или экологическому ущербу, травмам или гибели людей.

Адаптивное и проактивное планирование и подготовка к потенциальным инцидентам и срывам уменьшат вероятность возникновения, воздействие и продолжительность срыва. Целостный процесс управления может помочь избежать и свести к минимуму приостановку работы критически важных служб и операций, что позволит максимально быстро вернуться к обычной работе служб и стандартным операциям.

Настоящий стандарт содержит руководство, или рекомендации, для любой организации по выявлению и разработке наилучшей практики для содействия и стимулирования действий:

a) по снижению риска по всей цепи поставок;

b) по обеспечению высшего руководства руководством, видением и лидерством в отношении стратегий защиты активов и обеспечения устойчивости организации;

c) по идентификации и оценке активов, услуг и функций для определения видов деятельности, которые имеют решающее значение для краткосрочного и долгосрочного успеха организации;

d) по выявлению потенциальных опасностей и угроз и оценке риска от их воздействия;

е) по предотвращению и/или минимизации воздействия широкого спектра опасностей и угроз, включая стихийные бедствия, технологические и экологические катастрофы, а также техногенные катастрофы, терроризм и преступность;

f) по пониманию ролей и ответственности, необходимых для защиты активов и дальнейшей устойчивости;

g) по необходимости управления и готовности к инцидентам/чрезвычайным ситуациям и обеспечения ресурсами для реагирования;

h) по разработке стратегических альянсов и соглашений о взаимопомощи;

i) по разработке и ведению планов готовности к инцидентам/чрезвычайным ситуациям, плана реагирования и соответствующих оперативных процедур;

j) по разработке и проведению тренингов и учений для поддержания планов реагирования и оперативных процедур и оценки готовности организации к предупреждению, защите от инцидента/чрезвычайной ситуации;

k) по разработке и проведению обучения по планам реагирования и оперативным процедурам для обеспечения готовности организации к предупреждению, защите от инцидента/чрезвычайной ситуации;

l) по обеспечению того, чтобы соответствующие сотрудники, потребители, поставщики и другие заинтересованные стороны знали о предупреждении, готовности к инциденту/чрезвычайной ситуации и мерах реагирования и (при необходимости) доверяли их применению;

m) по разработке процедур внутреннего и внешнего обмена информацией, включая реагирование на запросы о получении информации от средств массовой информации;

n) по установлению измеримых показателей для измерения и демонстрации успеха;

о) по документированию ключевых ресурсов, инфраструктуры, задач и обязанностей, необходимых для поддержания важнейших производственных функций;

р) по созданию процессов, обеспечивающих актуальность информации и ее соответствие меняющимся рискам и изменениям в среде организации.

Для организации это актуально - защитить свои физические, виртуальные и человеческие активы. Успех ее системы менеджмента зависит от приверженности руководителей всех уровней управления и подразделений в организации, особенно высшего руководства организации. Лица, принимающие решения, должны быть готовы составить бюджет и обеспечить необходимые ресурсы для функционирования системы.

Необходимо создать соответствующую административную структуру для эффективной борьбы с рисками, для предупреждения, минимизации последствий и управления разрушительными событиями.

Это обеспечит понимание всеми заинтересованными сторонами того, кто принимает решения, как эти решения выполняются, каковы обязанности и ответственность участников. Персонал, участвующий в управлении инцидентами, должен назначаться для выполнения этих ролей в рамках своих обычных служебных обязанностей, и не следует ожидать, что он будет выполнять их на добровольной основе. Независимо от организации ее руководство имеет обязательства перед заинтересованными сторонами и обязано планировать выживание организации.

В.2 Общее руководство

Система менеджмента - это динамичный и многогранный процесс, элементы которого взаимодействуют как структурированный набор функциональных единиц. Он обеспечивает структуру, основанную на предпосылке, что составные части системы могут быть лучше поняты при рассмотрении в контексте отношений друг с другом и с другими системами, а не изолированно. Единственный способ полностью понять и реализовать элементы системы менеджмента - это понять каждую часть по отношению к целому. Поэтому следует отметить, что система менеджмента представляет собой не простую совокупность элементов, а скорее сложный набор взаимосвязанных частей, взаимодействующих друг с другом.

Это приводит к повторяющемуся процессу, в котором понимание среды организации, политика, оценка риска, внедрение и функционирование, оценка и анализ со стороны руководства - это не просто логичная последовательность шагов, а скорее сеть взаимодействующих функций.

Системный подход к менеджменту включает в себя:

- понимание среды и факторов среды, в которой работает система;

- определение основных элементов системы, а также границ системы;

- понимание обязанностей или функции каждого элемента в системе;

- понимание динамического взаимодействия между элементами системы.

Системный подход обеспечивает разработку целостных стратегий и политики. Это обеспечивает надежную аналитическую основу для разработки стратегий и политик, которые должны быть реализованы в сложной и изменяющейся среде, в которой работает организация.

Создание основы для оценки риска и эффективности стратегий и политик до и во время реализации обеспечивает обратную связь для принятия решений на протяжении всего процесса.

Реализация политики менеджмента устойчивости, регламентированной настоящим стандартом, направлена на повышение безопасности, готовности, улучшение реагирования, обеспечение непрерывности и восстановление работоспособности.

Таким образом, настоящий стандарт основан на предпосылке, что организация будет периодически анализировать и оценивать свою систему менеджмента и политику устойчивости для определения возможностей для улучшения и их реализации.

Скорость, степень и сроки процесса постоянного улучшения определяются организацией в свете экономических и других обстоятельств.

Усовершенствования в системе менеджмента призваны привести к дальнейшим улучшениям безопасности, готовности, реагирования, непрерывности и эффективности восстановления, а также устойчивости организации.

Настоящий стандарт требует от организации:

a) установить соответствующую политику менеджмента устойчивости;

b) определить опасности и угрозы, связанные с прошлой, существующей или планируемой деятельностью, функциями, продуктами и услугами организации, чтобы определить значимость риска;

c) определить применимые нормативно-законодательные требования и другие требования, относящиеся к организации;

d) определить приоритеты и установить соответствующие цели и целевые показатели менеджмента устойчивости;

e) создать структуру и программу(ы) для реализации политики и достижения целей и целевых показателей;

f) содействовать планированию, контролю, мониторингу, предупреждающим и корректирующим действиям, аудиту. Анализировать действия, чтобы гарантировать, что политика соблюдается и система менеджмента устойчивости продолжает соответствовать требованиям;

g) адаптироваться к меняющимся обстоятельствам.

В.3 Понимание организации и ее среды

Чтобы организация спроектировала и внедрила систему менеджмента и политику устойчивости для управления своими рисками и цепью поставок, она должна сначала оценить и понять внутренние и внешние факторы среды, в которой она функционирует При разработке политики устойчивости организация должна учитывать внутренние и внешние параметры среды, относящиеся к ее цепи поставок (см. рисунок В.1). Среда организации определит необходимую область распространения и критерии для управления рисками организации и ее цепи поставок, а также послужит основой для постановки целей оценки риска, самого риска и критериев восстановления, а также параметров для оценки риска и процессов обработки риска.

Рисунок В.1 - Понимание факторов среды организации для управления устойчивостью цепи поставок

В.4 Область применения политики менеджмента устойчивости

Организация имеет свободу и гибкость в определении области применения и может принять решение о внедрении стандарта в отношении всей организации, конкретных операционных подразделений организации или компонентов одного/нескольких комплексных продуктов/услуг в потоках своей цепи поставок. Организация должна определить и задокументировать область применения своей политики менеджмента устойчивости. Область применения предназначена для уточнения границ организации и узлов цепи поставок, к которым будет применяться политика управления устойчивостью, особенно если организация является частью более крупной организации. После определения области применения все виды деятельности, продукты и услуги организации, входящие в эту область, должны быть включены в политику менеджмента устойчивости. При определении области применения доверие к политике менеджмента устойчивости будет зависеть от выбора организационных границ. Если часть организации исключена из сферы действия ее политики менеджмента устойчивости, такое исключение должно быть обосновано.

Если стандарт внедряется для конкретного операционного подразделения, политики и процедуры, разработанные другими подразделениями организации, могут использоваться для удовлетворения требований настоящего стандарта при условии, что они применимы к конкретному операционному подразделению, в котором система внедряется.

Управление устойчивостью включает в себя проблемы и действия до, во время и после разрушительного инцидента. Следовательно, настоящий стандарт охватывает предупреждение, предотвращение, сдерживание, готовность, минимизацию последствий, реагирование, обеспечение непрерывности и восстановление. Среда риска, а также реалии деятельности организации отражают разные стратегические весовые коэффициенты на каждом из этих компонентов, однако ни один компонент не должен иметь нулевой вес. Заявление о применимости должно разъяснять расстановку стратегических весовых коэффициентов управления безопасностью, управления готовностью, управления чрезвычайными ситуациями, управления бедствиями, управления кризисами и управления непрерывностью деятельности в разработке системы менеджмента, основанной на оценке риска (см. А.4.1).

В.5 Обеспечение ресурсами политики менеджмента устойчивости

Должны быть определены ресурсы, необходимые для реализации политики менеджмента устойчивости. К ним относятся человеческие ресурсы и специальные навыки, оборудование, внутренняя инфраструктура, технологии, информация, знания и финансовые ресурсы. Высшее руководство должно обеспечивать доступность ресурсов, необходимых для создания, внедрения, контроля и поддержания системы менеджмента устойчивости.

В.6 Политика

Политика менеджмента устойчивости является движущей силой для внедрения и совершенствования системы менеджмента устойчивости для поддержания непрерывности и устойчивости деятельности организации. Следовательно, политика должна отражать ответственность высшего руководства:

a) по соблюдению всех применимых нормативно-законодательных и иных требований;

b) по предупреждению, готовности, минимизации последствий разрушительных инцидентов;

c) по постоянному улучшению.

Политика менеджмента устойчивости является основой, на которой организация устанавливает свои цели и целевые показатели. Политику менеджмента устойчивости следует сформулировать понятным языком, доступным для понимания внутренним и внешним заинтересованным сторонам (особенно партнерам организации по цепи поставок), периодически анализировать и пересматривать с учетом меняющихся условий и информации. Область применения системы менеджмента устойчивости должна быть четко определена и отражать уникальный характер, масштаб и воздействия риска на деятельность, функции, товары и услуги организации.

Политика менеджмента устойчивости должна быть доведена до сведения всех лиц, которые работают в организации (или от ее имени), включая цепь поставок, подрядчиков, работающих с использованием средств организации. Информирование контрагентов может осуществляться в формах, альтернативных самому заявлению о политике, таких как правила, директивы и процедуры, и поэтому может включать только соответствующие разделы политики. Политика менеджмента устойчивости организации должна быть разработана и документирована высшим руководством в контексте политики менеджмента устойчивости любого более широкого корпоративного органа, частью которого она является, и с одобрения этого органа.

Важно, чтобы высшее руководство организации выделяло необходимые ресурсы и отвечало за создание, сопровождение, испытание и внедрение комплексной системы менеджмента устойчивости. Это обеспечит понимание руководством и персоналом на всех уровнях внутри организации того, что система менеджмента устойчивости является важнейшим приоритетом высшего руководства. Не менее важно, чтобы высшее руководство использовало подход "сверху вниз" к системе менеджмента устойчивости, чтобы руководство на всех уровнях понимало ответственность за эффективное и результативное ведение плана как приоритетной части общего управления организацией.

Для обеспечения широкого принятия системы менеджмента устойчивости следует создать группу планирования менеджмента устойчивости и группы поддержки, включающие старших руководителей всех основных организационных структур.

В.7 Планирование

В.7.1 Оценка риска и мониторинг

Процесс оценки риска предоставляет инструментарий лицам, принимающим решения, для лучшего понимания рисков, которые могут повлиять на достижение целей в текущей работе, в целом в деятельности организации, а также в цепи поставок. Процесс оценки риска предназначен для создания систематической деятельности организации по выявлению критических активов, опасностей, угроз, уязвимостей, рисков и воздействий для определения тех аспектов, которые являются значимыми для организации и ее цепи поставок. Оценка риска обеспечивает основу для оценки адекватности и эффективности существующих средств контроля, а также решений о наиболее подходящих подходах, которые будут использоваться при управлении рисками. При оценке риска идентифицируются те риски, которые следует рассматривать в качестве приоритетов в политике менеджмента устойчивости организации. Оценка риска обеспечивает основу для постановки целей, целевых показателей и программ в рамках системы менеджмента безопасности, а также для измерения того, насколько результативно работает система менеджмента устойчивости.

Организация должна применять ИСО 31000:2009 (рисунок В.2).

Рисунок В.2 - Процесс управления риском

Понимание среды организации позволяет определить, что именно необходимо защищать, определяет систему ранжирования элементов оценки риска для обеспечения согласованности.

Внешняя среда включает в себя:

- культурную, политическую, правовую, нормативную, финансовую, природную, рыночную среду (на международном, национальном и местном уровнях);

- ключевые движущие силы и тенденции, оказывающие влияние на цели;

- восприятие и ценности внешних заинтересованных сторон.

Внутренняя среда включает в себя:

- возможности, с точки зрения наличия ресурсов и знаний (люди, процессы, системы, технологии, время, финансовые ресурсы);

- информацию: системы, потоки и процессы принятия решений;

- заинтересованные стороны;

- цели и стратегии организации;

- восприятие, ценности и культуру;

- политику и процессы;

- стандарты, эталонные модели, структуры (управление, обязанности и ответственность);

- согласованные процессы оценки риска, цели, критерии риска, уязвимости, опасности, угрозы, вероятность возникновения и тяжесть последствий, программы оценки рисков и сроки.

В процессе определения внутренней и внешней среды организация должна всесторонне идентифицировать все значимые активы организации. Это включает в себя выявление относительной важности различных видов активов для жизнеспособности и успеха организации. Активы должны включать в себя людей, имущество, информацию, процессы, виды деятельности и нематериальные активы (например, долю на рынке или положение, репутацию, доверие и т.д.). Имущество может включать в себя существующие конструкции и/или оборудование, имеющие критическое значение для деятельности организации. Организации могут выбирать категории видов деятельности, товаров и услуг для определения их критичности, риска и воздействия. Процесс оценки проводится по внутренним и внешним факторам среды организации.

Оценка риска - это общий процесс идентификации риска, анализа риска и оценки риска:

a) Идентификация риска: процесс обнаружения, распознавания и регистрации рисков. Он включает оценку угроз, критичности и уязвимости в качестве входных данных в процессе идентификации. В процессе рассматриваются причины и источники риска, а также события, ситуации и обстоятельства, которые могут повлиять на воздействие риска на организацию и ее цепь поставок.

Идентификация вероятных угроз/опасностей включает в себя проактивный сбор информации о потенциальных источниках вреда. Угрозы/опасности могут включать, помимо прочего, опасных лиц, финансовые факторы, влияния конкурентов или поставщиков, деловую активность или другие внутренние или внешние ситуации для организации. Оценка уязвимости выявляет те слабые стороны, которые существуют в физической, процедурной и оперативной деятельности. Оценка уязвимости позволяет улучшить возможности для снижения реализации угроз.

b) Анализ риска - это процесс обработки и понимания риска. Он обеспечивает основу для принятия решения о том, какой риск следует обрабатывать и какой наиболее подходящий метод обработки следует использовать. Он рассматривает причины и источники риска, их последствия и вероятность того, что инцидент и связанные с ним последствия могут произойти.

Организация должна определить, какие последствия или воздействие инцидента на объект или средства могут представлять угрозу. Последствия могут быть классифицированы на основании смерти или угрозы жизни человека, финансового или операционного воздействия, прерывания бизнеса, структурного ущерба и ущерба нематериальным активам (репутации, торговой марке, доверию, отраслевому и публичному позиционированию).

Процесс определения последствий также может быть известен как анализ воздействия.

c) Оценка риска - это процесс сравнения оцененных уровней риска с критериями риска, определенными при установлении контекста. Оценка риска определяет значимость уровня и типа риска. Оценка риска использует понимание риска, полученного в анализе риска, для принятия решений о стратегиях, необходимых для контроля риска и его минимизации.

Оценка риска обеспечивает понимание рисков, их причин, последствий, вероятностей их возникновения. Следовательно, организация должна провести комплексную оценку риска в рамках своей системы менеджмента устойчивости с учетом входных и выходных данных (как предполагаемых, так и непреднамеренных), связанных со следующим:

a) действия, продукты и услуги, осуществляемые как в настоящее время, так и в прошлом (внутри организации и в рамках цепи поставок);

b) запланированные или новые разработки, новые или измененные виды деятельности, функции, продукты и услуги;

c) отношения с партнерами и заинтересованными сторонами по цепи поставок;

d) взаимодействие со средой и обществом;

e) критическая инфраструктура.

Оценка риска необходима, чтобы устанавливать цели и целевые показатели времени восстановления. Этот процесс должен учитывать нормальные и ненормальные рабочие условия, условия остановки и запуска, а также разумно предсказуемые разрушительные и чрезвычайные ситуации и отвечать требованиям времени восстановления. Однако следует помнить, что невозможно предвидеть все разрушительные и чрезвычайные ситуации. Поэтому для того, чтобы установить цели времени восстановления, организация должна также учитывать воздействие нарушений на свои критические активы, деятельность и функции, вне зависимости от характера нарушений, с тем чтобы установить цели по срокам восстановления и отреагировать на потребности во времени восстановления внутри и в рамках своей цепи поставок.

Существует множество подходов и методик оценки рисков, которые определяют порядок шагов проведения анализа. Независимо от методики у организации должен быть формализованный и документированный процесс идентификации, анализа и оценки риска, который включает в себя идентификацию угроз и опасностей, а также рисков, уязвимости, критичности, вероятности возникновения, тяжести последствий и анализ воздействия.

Оценка риска должна:

а) рассматривать возможные риски (включая их критичность), связанные с деятельностью, функциями, товарами, услугами организации и ее цепью поставок. Также нужно рассматривать потенциал рисков для прямого или косвенного воздействия на деятельность организации, людей, имущество, активы, возмещение, имидж и репутацию, прибыль, кредитование и/или среду организации;

b) использовать документированную количественную или качественную методику для оценки вероятности возникновения потенциальных рисков и тяжести их воздействия, если они возникнут;

c) основываться на разумных критериях, с фокусировкой внимания на всех потенциальных рисках, которые организация признает в своей деятельности;

d) рассматривать зависимость организации от других организаций в цепи поставок и насколько другие участники цепи зависят от нее, включая критические инфраструктуры и обязательства;

e) рассматривать целостность данных, телекоммуникаций и технологий информационной безопасности;

f) оценивать последствия юридических и других обязательств, которые регулируют деятельность организации;

g) рассматривать риски, связанные с заинтересованными сторонами, подрядчиками, поставщиками и другими вовлеченными сторонами;

h) анализировать информацию о риске и выбирать те риски, которые могут вызвать значительные последствия, и/или те риски, последствия которых трудно определить с точки зрения значимости;

i) анализировать и оценивать уровень устойчивости организации и каждого критического актива к каждой опасности или угрозе;

j) оценивать риск и воздействия, на которые организация может повлиять. Однако при любых обстоятельствах именно организация определяет степень контроля и свои стратегии для принятия риска, избегания, управления, минимизации, определения допустимого риска, переноса и/или обработки риска.

В некоторых местах критическая инфраструктура, общественные активы и культурное наследие могут быть важным элементом среды, в которой работает организация, поэтому их следует учитывать при понимании риска и воздействия на окружающую среду.

Поскольку организация может иметь много рисков, она должна установить и задокументировать критерии и методику для определения тех рисков, которые она сочтет значительными. Не существует единого метода определения значительного риска. Однако используемый метод должен обеспечивать согласованные результаты и включать в себя установление и применение критериев оценки, таких как критерии, относящиеся к критичности каждой организационной деятельности и функции, правовые вопросы и проблемы внутренних и внешних заинтересованных сторон. Организация должна анализировать вероятность возникновения, тяжесть последствий и воздействия нарушений на свои операции и выявлять критические операции, которым уделяется первоочередное внимание для восстановления, чтобы установить целевые показатели времени восстановления.

При оценке воздействий организации должны учитывать:

a) затраты на персонал: физический и психологический вред, который может быть нанесен работникам, потребителям, поставщикам и другим заинтересованным сторонам;

b) финансовые затраты: замена оборудования, имущества, простои, плата за сверхурочную работу, девальвация запасов, потерянные продажи/бизнес, судебные процессы, штрафные санкции и т.д.;

c) издержки корпоративного имиджа: репутация на рынке, репутация в обществе, негативная информация в прессе, потеря клиентов и т.д.;

d) экономические потери для сообщества, в котором действует организация: косвенные воздействия на региональную экономику, снижение благосостояния населения, потери для налоговой базы местных юрисдикции и т.д.;

е) воздействие на окружающую среду: ухудшение качества окружающей среды.

При оценке максимально допустимого времени простоя, приемлемого уровня потерь и приоритетных сроков восстановления цели организации должны основываться на следующем:

a) обязательства по цепи поставок с учетом последствий до и после;

b) как долго процессы могут не функционировать, прежде чем воздействия станут неприемлемыми;

c) как скоро должны быть восстановлены процессы (сначала следует установить кратчайшее допустимое отключение);

d) различные цели времени восстановления в зависимости от времени года (конец года, подача налоговой декларации и т.д.);

e) определение и документирование альтернативных процедур для стратегического альянса, взаимопомощи, режима "ручного управления", уведомления/предупреждения и т.д.;

f) оценка стоимости альтернативной процедуры в сравнении с ожиданием восстановления системы.

При разработке информации, относящейся к значительному риску, организации следует учитывать необходимость сохранения информации в исторических целях, а также способы ее использования при разработке и реализации политики менеджмента устойчивости.

Процесс идентификации и оценки риска должен учитывать место осуществления деятельности, стоимость и время проведения анализа, а также наличие надежных данных. В этом процессе может использоваться информация, уже разработанная для бизнес-планирования, регулирования или других целей.

Процесс выявления и оценки рисков не предназначен для изменения или увеличения юридических обязательств организации.

В.7.2 Нормативно-законодательные и иные требования

Организация должна идентифицировать нормативно-законодательные требования, применимые к ее деятельности и функциям. Требования могут включать в себя:

a) национальные и международные законодательные требования;

b) законодательные требования округа/области/района;

c) местные нормативно-законодательные требования.

Примеры других требований, которые могут относиться к организации, включают, если применимо:

a) соглашения с государственными органами;

b) соглашения с покупателями;

c) нормативные руководящие принципы;

d) добровольные принципы или кодексы наилучшей практики;

e) добровольные обязательства по маркировке или управлению товаром;

f) требования торговых ассоциаций;

g) соглашения с общественными группами или неправительственными организациями;

h) публичные обязательства организации или ее головной организации;

i) корпоративные требования.

Определение того, как нормативно-законодательные и другие требования применяют к оценке рисков организации, обычно осуществляется в процессе определения этих требований. Следовательно, не обязательно иметь отдельную или дополнительную процедуру для того, чтобы установить эти требования.

В.7.3 Цели и целевые показатели устойчивости

Цели и целевые показатели должны быть четко сформулированными и измеримыми, где это практически осуществимо. Цель - это общее направление в соответствии с политикой, которую организация ставит перед собой. Целевой показатель - это подробное требование к результатам деятельности, применимое к организации (или ее частям), которое вытекает из целей и которое необходимо установить и выполнить для достижения этих целей. Целевые показатели должны охватывать краткосрочные и долгосрочные аспекты. Программы должны определять стратегические средства для достижения целей и целевых показателей.

Цели, целевые показатели и программы должны базироваться на оценке риска.

При рассмотрении технологических вариантов организация должна учитывать возможность использования наилучших доступных технологий, если это экономически целесообразно, рентабельно и уместно.

Ссылка на финансовые требования организации не подразумевает, что организации обязаны использовать методологии учета затрат, однако организация может принять решение учитывать прямые, косвенные и скрытые издержки.

В.7.4 Стратегические планы и программы для обеспечения устойчивости

Создание и использование одной или нескольких программ имеет важное значение для успешной реализации политики менеджмента устойчивости. В каждой программе должно быть описано, как будут достигнуты цели и целевые показатели организации, включая сроки, необходимые ресурсы и персонал, ответственный за реализацию программ(ы). Данные программы могут подразделяться в соответствии с элементами деятельности/операций организации.

Программа должна включать, где это уместно и практически реализуемо, рассмотрение всех этапов деятельности и функций организации, связанных с обязательствами по цепи поставок, планированием, проектированием, строительством, вводом в эксплуатацию, эксплуатацией, модернизацией, производством, маркетингом, удалением отходов и выводом из эксплуатации. Разработка программы может быть предпринята для текущих и новых видов деятельности, товаров и/или услуг.

Программы предупреждения, готовности и минимизации последствий должны учитывать возможность изолирования людей и имущества, находящихся в опасности/подверженных риску, перемещение, переоснащение и предоставление защитных систем или оборудования, информирование, сбор данных, документов, кибербезопасность, процедуры управления угрозами или опасностями, процедуры обмена информацией, дублирование или запасные варианты необходимого персонала, критических систем, оборудования, информации, операций или материалов, в том числе от партнеров.

Организация должна планировать реагирование на инциденты и восстановление, принимая во внимание основные виды деятельности, цепь поставок и договорные обязательства, потребности сотрудников и сообщества, непрерывность работы и восстановление окружающей среды. Организации имеют разные подходы к управлению кризисами. Независимо от подхода существует три общих и взаимосвязанных шага реагирования руководства, которые требуют упреждающего планирования и реализации в случае разрушительного инцидента:

a) реагирование на чрезвычайную ситуацию. Первоначальное реагирование на разрушительный инцидент обычно включает в себя защиту людей и собственности от непосредственного вреда. Первоначальная реакция руководства может быть первой частью реагирования организации;

b) непрерывность. Процессы, средства управления и ресурсы доступны для обеспечения того, чтобы организация продолжала достигать своих критических целей деятельности/функционирования;

c) восстановление. Процессы, ресурсы и потенциал деятельности организации восстанавливаются для удовлетворения текущих требований к функционированию. Этот этап часто включает в себя внесение значительных организационных улучшений, даже до степени переориентации стратегических или операционных целей.

В.8 Внедрение и функционирование (оперативная реализация)

В.8.1 Ресурсы, обязанности, ответственность и полномочия

Успешная реализация политики менеджмента устойчивости требует приверженности от всех лиц, работающих в организации или от ее имени. Следовательно, обязанности не должны рассматриваться как ограниченные функцией управления рисками, а могут также охватывать другие области организации - оперативное управление или функции персонала, отличные от управления рисками, безопасностью, готовностью, непрерывностью и реагированием.

Принятие обязательств должно начинаться на самом высоком уровне управления. Соответственно, высшее руководство должно разработать политику менеджмента устойчивости организации и обеспечить реализацию данной политики. В рамках этого обязательства высшее руководство должно назначить уполномоченного представителя из состава руководства с определенной ответственностью и полномочиями для реализации политики менеджмента устойчивости. В крупных или сложно устроенных организациях может быть несколько назначенных представителей. На малых или средних предприятиях эти обязанности может выполнять один человек.

Необходимо создать соответствующую административную структуру для эффективного кризисного управления во время разрушительного инцидента. Должны существовать четкие определения для структуры управления, должны быть распределены полномочия для принятия решений и ответственности за реализацию. Организация должна иметь группу кризисного управления, чтобы управлять инцидентом/реагированием на событие.

Группа должна быть в состоянии выполнить следующие функции: управление человеческими ресурсами, информационными технологиями, инфраструктурой, безопасностью, юридическими функциями, обменом информацией, отношениями со СМИ, производством, складированием, другими важными поддерживающими процессами и функциями. Всю эту деятельность следует проводить под четким управлением высшего руководства или его представителя.

Группе кризисного управления должны оказывать поддержку столько групп реагирования, сколько необходимо, с учетом таких факторов, как размер и тип организации, количество сотрудников, местоположение и т.д.

Группа реагирования должна разработать планы реагирования для решения различных аспектов потенциальных кризисов, таких как оценка ущерба, восстановление предприятия, начисление заработной платы, управление человеческими ресурсами, функционирование информационных технологий и административная поддержка. Планы реагирования должны соответствовать общей системе менеджмента устойчивости и быть в нее включены. Отдельные лица должны быть привлечены для участия в группах реагирования с учетом их навыков, уровня приверженности и заинтересованности.

Руководство должно предоставлять ресурсы для обеспечения того, чтобы система менеджмента устойчивости была разработана, внедрена и поддерживалась в рабочем состоянии. Также важно, чтобы ключевые обязанности системы менеджмента устойчивости были четко определены и доведены до сведения всех лиц, работающих в организации или от ее имени.

Обязанности, полномочия и ответственность также должны быть определены, задокументированы и сообщены для координации с внешними заинтересованными сторонами. Данное взаимодействие осуществляется с подрядчиками, партнерами, другими организациями в цепи поставок, государственными органами и финансовыми учреждениями.

В.8.2 Компетентность, подготовка и осведомленность

Организация должна определить, какие знания и навыки необходимы соответствующим лицам, которые несут ответственность и имеют полномочия для выполнения задач, и какой уровень понимания и осведомленности должен быть ими достигнут. Настоящий стандарт в плане компетентности, подготовки и осведомленности персонала регламентирует следующее:

a) понимание важности соответствия политике менеджмента устойчивости, процедурам устойчивости и требованиям общей системы менеджмента;

b) знание значительных опасностей, угроз и рисков, фактических или потенциальных воздействий, которые связаны с их работой, а также знание преимущества улучшения персональной деятельности;

c) знание обязанностей и ответственности, необходимых для достижения соответствия требованиям политики менеджмента устойчивости;

d) знание процедур для предупреждения инцидентов, сдерживания, минимизации последствий, самозащиты, эвакуации, реагирования и восстановления;

e) знание потенциальных последствий отклонений от указанных процедур.

Должны быть разработаны программы осведомленности (и обучения) о воздействии разрушительных инцидентов для внутренних и внешних заинтересованных сторон, партнеров в цепи поставок.

Осведомленность, знания, понимание и компетентность могут быть достигнуты или улучшены посредством обучения, подготовки и проведения учений.

Организация должна требовать, чтобы подрядчики, работающие от ее имени, имели возможность продемонстрировать, что их сотрудники обладают необходимой компетентностью и/или соответствующей подготовкой.

Руководство должно определить уровень компетентности, подготовки и опыта, требуемого для обеспечения необходимой квалификации персонала, особенно того, который исполняет специализированные функции по управлению устойчивостью.

Весь персонал должен быть обучен выполнять свои индивидуальные обязанности в случае инцидента или кризиса. Они также должны быть проинформированы о ключевых компонентах системы менеджмента устойчивости, о планах реагирования, которые непосредственно влияют на них. Такое обучение может включать процедуры проведения мероприятий по предупреждению, защите, минимизации последствий, эвакуации, укрытию на месте, процессам регистрации для учета сотрудников, мероприятиям на альтернативных рабочих местах, а также по обработке запросов от СМИ.

Группы кризисного управления и реагирования должны быть осведомлены об их обязанностях и ответственности, в том числе о взаимодействии с непосредственными участниками инцидента, партнерами по цепи поставок и заинтересованными сторонами.

Чек-листы критических действий и информации, которую нужно собрать, являются ценными инструментами в образовательных процессах и процессах реагирования. Группы должны проходить обучение через регулярные промежутки времени, не реже одного раза в год. Новых членов групп следует обучать, как только они присоединятся к составу группы. Эти группы также должны быть обучены предупреждению инцидентов, которые могут перерасти в кризисы. Рекомендуется, чтобы любые внешние ресурсы, которые могут быть задействованы в реагировании, такие как пожарная охрана, полиция, службы здравоохранения и сторонние поставщики, были знакомы с соответствующими частями планов реагирования.

В.8.3 Информирование и оповещение

Внутренний обмен информацией важен для обеспечения эффективного внедрения системы менеджмента устойчивости. Методы внутреннего обмена информацией могут включать в себя регулярные встречи рабочих групп, информационные бюллетени, доски объявлений и интернет-сайты.

Организация должна определять и устанавливать отношения с учреждениями государственного сектора, организациями и должностными лицами, отвечающими за сбор оперативных данных, оповещение, предупреждение, реагирование и восстановление, связанные с потенциальными нарушениями, выявленными в ходе оценки риска. Должны быть приняты меры внутреннего и внешнего обмена информацией и оповещения для нормальных и ненормальных условий.

Организации должны внедрить процедуру для получения, документирования и реагирования на соответствующие сообщения из своей цепи поставок, от заинтересованных и вовлеченных сторон. Эта процедура может включать в себя диалог с заинтересованными сторонами и рассмотрение их соответствующих проблем. В некоторых случаях ответы на вопросы заинтересованных сторон могут включать соответствующую информацию о риске и воздействиях, связанных с функциями и операциями организации. Эти процедуры также должны касаться необходимого обмена информацией с государственными органами в отношении прогнозирования чрезвычайных ситуаций и других соответствующих вопросов.

Организация может запланировать разделение своих сообщений по содержанию и средствам коммуникации с учетом решений, принятых по соответствующим целевым группам. При рассмотрении внешних сообщений об опасностях, угрозах, рисках, воздействиях и процедурах контроля организация должна учитывать мнения и информационные потребности всех заинтересованных сторон. Если организация решает сообщать внешним заинтересованным сторонам о своих опасностях, угрозах, риске, воздействиях, процедуре управления, то организация должна установить процедуру для выполнения таких действий. Эта процедура может меняться в зависимости от нескольких факторов, включая тип передаваемой информации, целевую группу и индивидуальные обстоятельства организации. Методы внешнего обмена информацией могут включать годовые отчеты, информационные бюллетени, веб-сайты, оповещения и общественные собрания.

Эффективность обмена информацией - один из наиболее важных компонентов в управлении срывами или кризисами. Внутренние и внешние заинтересованные стороны должны быть идентифицированы для передачи сигналов тревоги, оповещений, предупреждений, сообщения о кризисе и информации об ответных действиях организации. Чтобы обеспечить лучший обмен информацией и подходящие сообщения для различных групп, может быть целесообразно сегментировать аудиторию. Таким образом, будут отправляться сообщения, предназначенные специально для конкретной группы.

Предварительное планирование обмена информацией крайне важно. Шаблоны сообщений и заявлений могут быть созданы заранее для тех угроз и рисков, которые были идентифицированы в ходе оценки риска. Процедуры, обеспечивающие возможность распространения сообщений в короткие сроки, также должны быть установлены, особенно при использовании таких ресурсов, как интернет, интернет-сайты и бесплатные горячие линии.

Организация должна назначить единственного основного представителя (с указанием исполняющих обязанности в случае отсутствия), который будет управлять/распространять информацию о кризисах в СМИ и других медиа. Этот человек должен быть обучен работе со СМИ до момента возникновения кризиса. Вся информация должна передаваться из одного источника, чтобы обеспечить согласованность предоставляемых сообщений. Следует подчеркнуть, что персонал должен быть быстро проинформирован о том, куда направлять звонки из СМИ, и только уполномоченные представители компании могут разговаривать со СМИ. В некоторых ситуациях может быть также необходим специально обученный пресс-секретарь предприятия.

В.8.4 Документирование

Уровень детализации документации должен быть достаточным для описания политики менеджмента устойчивости и того, как ее элементы работают вместе, со ссылками для получения более подробной информации о работе отдельных элементов политики менеджмента устойчивости. Эта документация может быть интегрирована с документацией других систем, внедренных организацией. Документирование не предполагает форму руководства.

Документация политики менеджмента устойчивости может отличаться в различных организациях и зависит:

a) от размера и типа организации и ее деятельности, товаров или услуг;

b) от сложности процессов и их взаимодействия;

c) от компетенции персонала.

Пример документации:

a) заявление о политике, цели и целевые показатели;

b) информация о значительных рисках;

c) процедуры;

d) информация о процессе;

e) организационная структура;

f) внутренние и внешние стандарты;

g) планы реагирования, минимизации последствий, действия в условиях чрезвычайной ситуации и кризиса;

h) записи.

Решение по документированию процедуры должно основываться на следующем:

a) последствия невыполнения, в том числе последствия для человеческих и материальных активов и окружающей среды;

b) необходимость продемонстрировать соответствие нормативно-законодательным требованиям и иным применимым требованиям, которые относятся к организации;

c) необходимость обеспечения того, чтобы деятельность осуществлялась последовательно;

d) наличие преимуществ, которые могут включать следующее:

1) упрощенная реализация при информировании и обучении,

2) более легкое выполнение и пересмотр,

3) меньший риск двусмысленности и отклонений,

4) демонстрация и визуализация;

е) выполнение требований настоящего стандарта.

Документы, изначально созданные для целей, отличных от политики менеджмента устойчивости, могут использоваться как часть этой политики. В случае необходимости на эти документы следует сделать ссылки в политике.

В.8.5 Управление документацией

Цель данного подраздела состоит в том, чтобы обеспечить создание и поддержание документации в рабочем состоянии таким образом, который достаточен для внедрения системы менеджмента устойчивости. Однако основное внимание организации должно быть сосредоточено на эффективном внедрении системы менеджмента устойчивости и безопасности, готовности, реагировании, непрерывности и результатах деятельности по восстановлению, а не на сложной системе управления документацией.

Организация должна обеспечивать целостность документов, гарантируя их защищенность от несанкционированного доступа, надежное резервное копирование, доступность только для уполномоченного персонала и защиту от повреждения, порчи или потери.

В.8.6 Управление деятельностью

Организация должна провести оценку тех операций/видов деятельности, которые связаны с выявленным значительным риском, и убедиться, что они осуществляются таким образом, чтобы контролировать или уменьшать вероятность возникновения связанных с ними неблагоприятных последствий с целью выполнения требований политики устойчивости, целей и целевых показателей.

Оценка должна включать все части операций внутри организации, включая цепь поставок и деятельность по техническому обслуживанию.

Поскольку эта часть политики менеджмента устойчивости содержит указания о том, как учитывать системные требования в повседневных операциях, она требует использования документированных процедур для управления ситуациями, в которых отсутствие документированных процедур может привести к отклонениям от политики, целей и целевых показателей менеджмента устойчивости.

Чтобы минимизировать вероятность возникновения разрушительного инцидента, эти процедуры должны включать элементы управления для проектирования, установки, эксплуатации, восстановления и модификации элементов оборудования, приборов, связанных с риском, и т.д., в зависимости от обстоятельств. В тех случаях, когда существующие договоренности пересматриваются и вводятся новые договоренности, которые могут воздействовать на устойчивость управления видами деятельности/операциями, организация должна рассмотреть минимизацию сопутствующих рисков и угроз до реализации новых договоренностей.

В.8.7 Предупреждение инцидента, готовность и реагирование

В.8.7.1 Общие положения

Каждая организация несет ответственность за разработку мероприятий по предотвращению инцидентов, готовности к ним, минимизации последствий, процедур восстановления, которые соответствуют ее собственным конкретным потребностям. При разработке своих процедур организация должна учитывать следующее:

a) потенциальный разрушительный инцидент, который необходимо идентифицировать, понимать и устранять/избегать/предотвращать. Оценка риска может быть использована для выявления особенностей возможных разрушительных инцидентов, включая любые предвестники и предупреждающие знаки;

b) процесс управления рисками должен быть систематическим и целостным процессом, основанным на формализованной оценке рисков для идентификации, измерения, количественной и качественной оценке рисков для обеспечения оптимального решения;

c) варианты обработки риска могут включать стратегии избегания, предотвращения, распространения, снижения, разделения и принятия. Снижение минимизирует риск или тяжесть последствий. Распространение распределяет активы и/или потенциальную потерю мощности. Разделение предполагает деление риска с другой стороной или сторонами. Принятие - это обоснованное решение пойти на определенный риск.

В.8.7.2 Предупреждение инцидента, готовность и структура реагирования

Организация должна установить процедуру для распознавания появления определенных опасностей, которые требуют конкретного уровня реагирования, чтобы избежать, предотвратить, смягчить или отреагировать на потенциальное нарушение. Сильная программа политик и процедур обнаружения и предоставления будет поддерживать этот процесс.

Некоторые отделы или функции организации имеют уникальное расположение для наблюдения за предвестниками надвигающегося кризиса. Персонал, назначенный в эти отделы или функции, должен пройти соответствующую подготовку. Следует информировать всех сотрудников об ответственности за сообщение о потенциальном кризисе (включая механизм оповещения). Общая численность сотрудников также может быть отличным источником прогнозирующей информации, когда существует документированная структура отчетности и когда внимание уделяется тому, что сообщает сотрудник. Как только будет установлена возможность возникновения разрушительного инцидента, следует немедленно сообщить руководителю, представителю руководства или другому лицу, на которое возложена ответственность за оповещение о кризисе и управление им внутри организации и по всей цепи поставок.

- Должны быть установлены, задокументированы и соблюдаться всеми сотрудниками критерии оповещения с четко документированными сроками и последовательностью уведомлений. Фактическая активация процесса реагирования должна требовать четко определенной квалификации.

- Квалифицированный персонал должен иметь свободный доступ к обновленным конфиденциальным спискам лиц и организаций, с которыми можно связаться, когда будут выполнены определенные условия или параметры потенциального кризиса.

- Оповещения о разрушительной или кризисной ситуации должны быть своевременными и четкими, должны использовать различные процедуры и технологии с учетом того, что используемые устройства имеют свои преимущества и ограничения.

При некоторых видах сбоев/нарушений и кризисов, системы оповещения сами подвергаются воздействию бедствия либо из-за проблем с пропускной способностью, либо из-за повреждения инфраструктуры. Таким образом, важно иметь запасную подсистему, встроенную в систему оповещений, и несколько различных способов связаться с перечисленными лицами и организациями.

Как только возникает нарушение/срыв деятельности, должна быть проведена оценка проблемы (оценочный процесс принятия решения, который определит характер решаемой проблемы) и оценка тяжести последствий (процесс определения серьезности нарушения/срыва, а также оценка возможных расходов при развитии событий). Факторы, которые следует учитывать, включают в себя размер проблемы, тяжесть последствий и возможное воздействие на организацию и ее цепь поставок.

Точка, в которой ситуация объявляется чрезвычайной или кризисной, должна быть четко определена, задокументирована и соответствовать конкретным и контролируемым параметрам. Ответственность за объявление кризиса также должна быть четко определена и распределена. Необходимо назначить первого и второго заместителей ответственного лица.

Деятельность, которая должна осуществляться в чрезвычайной ситуации (или в кризисе), включает (но не ограничивается):

a) оповещение партнеров по цепи поставок и других задействованных сторон;

b) дополнительное уведомление персонала (обзвон);

c) эвакуацию, укрытие или переселение;

d) выполнение протокола безопасности;

e) реагирование или перемещение на альтернативное предприятие;

f) развертывание группы кризисного управления;

g) кадровые назначения и обеспечение доступности соответствующего персонала;

h) активацию договора о чрезвычайной ситуации;

i) изменения в работе/деятельности.

В.8.7.3 Предупреждение инцидента, защита и минимизация последствий

Предупреждение может включать активные шаги по координации со спецслужбами, правоохранительными органами и государственными учреждениями, заключение соглашения об обмене информацией, физическую защиту ключевых активов, контроль доступа, учебные программы готовности и осведомленности, системы оповещения и сигнализации, практики по снижению угрозы.

Организационная культура, оперативные планы и цели управления должны мотивировать людей чувствовать личную ответственность за предупреждение, предотвращение, сдерживание и обнаружение.

Сдерживание и обнаружение могут усложнить осуществление подрывного действия или действия против организации или существенно ограничить его. Стратегии предупреждения, обнаружения и сдерживания могут быть следующими:

a) архитектурные - природные или искусственные барьеры, перепроектированная или перемещенная инфраструктура;

b) оперативные - административные процедуры, удаление опасных материалов, переработанные системы и операции, найм сотрудников службы безопасности, программы информирования сотрудников, контрнадзор и контрразведка как способ избежать проблему, перемещение систем, операций, инфраструктуры и персонала;

c) технологические - альтернативные материалы и процессы коммуникации, призванные обеспечить возможность взаимодействия, информационные сети, обнаружение вторжений, контроль доступа, запись наблюдения, проверка посылок и багажа, системы контроля.

Планирование физической безопасности включает защиту периметра территории, периметра здания, защиту внутреннего пространства, а также защиту активов и их контента. Защита начинается по внешнему периметру:

a) планирование физической безопасности включает функции обнаружения, сдерживания, задержки и реагирования;

b) мероприятия по физической безопасности должны быть разработаны таким образом, чтобы обнаружение находилось как можно дальше от цели. Задержки планируются ближе к цели;

c) проект системы безопасности должен связывать внешнее или внутреннее обнаружение с оценкой и реагированием;

d) меры физической безопасности могут включать в себя предупреждение преступности посредством проектирования среды, физических барьеров и упрочнения площадки, ограничений и контроля доступа на входе, охранного освещения, систем обнаружения вторжений и сигнализации, внутреннего видеонаблюдения, охраны персонала, политики и процедур безопасности.

Экономически эффективные стратегии минимизации последствий должны применяться для предотвращения или уменьшения воздействия потенциальных кризисов:

a) стратегии минимизации последствий должны рассматривать немедленные, временные и долгосрочные действия;

b) должны быть определены различные ресурсы, которые будут способствовать процессу минимизации последствий. Эти ресурсы, в том числе необходимый персонал, его обязанности и ответственность, средства, технологии и оборудование, должны быть отражены в плане и стать частью "обычной работы";

c) системы и ресурсы должны постоянно подвергаться мониторингу как части стратегии минимизации последствий. Такой мониторинг можно сравнить с инвентаризацией запасов;

d) должен проводиться постоянный мониторинг ресурсов, необходимых организации для смягчения последствий кризиса, чтобы гарантировать, что они будут доступны и способны работать в соответствии с планом во время нарушения/срыва и кризиса. Примеры таких систем и ресурсов включают, но не ограничиваются этим: аварийное оборудование, системы пожарной сигнализации и пожаротушения, местные ресурсы и поставщиков, альтернативные рабочие места, карты и планы этажей, системы резервного копирования и внешнее хранилище.

В.8.7.4 Реагирование на инцидент

Планы готовности и реагирования следует разрабатывать на основе реалистичного "сценария наихудшего случая" с пониманием того, что реагирование может быть соответствующим образом масштабировано в соответствии с реальным кризисом.

Люди являются наиболее важным аспектом любой готовности и плана реагирования. То, как человеческие ресурсы организации управления будут влиять на успех или неудачу управления инцидентами.

a) Должна быть разработана система, с помощью которой весь персонал может быть быстро учтен после наступления кризиса. Эта система может варьироваться от простого телефонного справочника до тщательно продуманного сайта оповещения. Актуальная и точная контактная информация должна поддерживаться для всего персонала. Следует рассмотреть возможность привлечения услуг туристических компаний для оказания помощи в поиске сотрудников в командировках.

b) Должны быть приняты меры для уведомления о любых ближайших родственниках в случае травм или гибели людей. Если это возможно, уведомление должно осуществляться лично высшим руководством. Должно быть обеспечено соответствующее обучение.

c) Организация должна внедрить программу "Представитель семьи" в случае тяжелой травмы или смерти. Представителем семьи должен быть кто-то, кроме лица, выполняющего уведомление. Этот представитель должен выступать в качестве основной точки контакта между семьей и организацией. Комплексное обучение для представителя является необходимостью.

d) Кризисное консультирование должно быть организовано по мере необходимости. Во многих случаях такое консультирование выходит за рамки квалификации и опыта сотрудников организации. Другие надежные источники консультирования должны быть определены до кризисной ситуации.

e) Кризис может иметь далеко идущие финансовые последствия для организации, ее сотрудников и их семей, а также других заинтересованных сторон. Эти последствия следует считать важной частью плана готовности и реагирования. Последствия могут включать финансовую поддержку семей жертв. Кроме того, могут иметь место налоговые последствия, на которые следует ссылаться и уточнять заранее.

f) Система заработной платы должна оставаться в рабочем состоянии в течение всего кризиса.

Логистические решения, принятые заранее, будут влиять на успех или неудачу хорошей готовности и плана реагирования. Среди них есть следующие:

a) первичный кризисный центр должен быть заранее определен. Это должно быть определенное установленное помещение, используемое группой кризисного управления и группой реагирования для руководства и контроля действий по управлению кризисами. Данное помещение должно иметь источник бесперебойного питания; необходимые компьютерные, телекоммуникационные, отопительные, вентиляционные системы, системы кондиционирования воздуха и другие системы поддержки. Кроме того, предметы первой необходимости для чрезвычайных ситуаций должны быть идентифицированы и храниться в данном центре;

b) в тех случаях, когда выделенный центр невозможен, должно быть гарантировано назначенное место, где команды могут направлять и контролировать деятельность по кризисному управлению. Должны быть приняты меры контроля доступа, чтобы члены всех команд были в доступе 24/7;

c) должен быть определен вторичный кризисный центр на случай, если первичный центр подвергся воздействию кризиса;

d) организация должна рассмотреть вопрос о создании виртуальных командных центров для распределенного доступа к информации, а также для охвата рассредоточенных или удаленных заинтересованных сторон.

После того как команда/группа кризисного управления активирована, должен быть оценен ущерб. Оценка ущерба может проводиться самой группой кризисного управления или назначенной командой по оценке ущерба. Ответственность за документирование всех фактов, связанных с инцидентом, и ответные действия, включая финансовые расходы, должна быть возложена на уполномоченных лиц.

a) В ситуациях, связанных с физическим ущербом имуществу компании, на предприятии следует мобилизовать группу кризисного управления или назначенную им группу оценки ущерба. Группа получит доступ, если будет получено разрешение от органов общественной безопасности, и проведет предварительную оценку степени ущерба и вероятного периода времени, в течение которого объект будет непригодным для использования.

b) Некоторые виды нарушений/срывов не связаны с немедленным физическим повреждением рабочего места или объекта/средств организации. К ним относятся кризисы в бизнесе, с людьми, информационными технологиями и в обществе. В этих кризисах группа кризисного управления, скорее всего, оценит ущерб или воздействие по мере развертывания нарушения/срыва.

При необходимости следует изучить существующие финансовые и страховые полисы, а также определить и получить дополнительное финансирование и страховое покрытие.

a) Параметры полиса должны быть установлены заранее, включая предварительное одобрение страховой компанией любых поставщиков, связанных с реагированием. Там, где возможно, объем средств, помогающих обеспечить непрерывность операций, должен определяться в процессе планирования.

b) Любые денежные средства должны храниться в легкодоступном месте, чтобы обеспечить их доступность во время кризиса, а некоторые денежные средства и кредит должны быть доступны в выходные и в нерабочее время.

c) Все расходы, связанные с нарушением/срывом и кризисом, должны регистрироваться в форме записей в течение периодов реагирования и восстановления.

d) С поставщиками страховых услуг следует связаться как можно раньше в период реагирования, особенно в случаях широкомасштабного кризиса, когда конкуренция за такие ресурсы может быть жесткой. Все страховые полисы и контактная информация должны быть легко доступны группе кризисного управления и должны находиться в сохранности или вне офиса, в зависимости от обстоятельств.

Транспортирование во время нарушения/срыва или кризиса может быть проблемой. Условия транспортировки должны быть организованы заранее, если это возможно. Области, где транспортирование имеет решающее значение, включают, но не ограничиваются следующим:

a) эвакуация персонала - это может быть со снесенной старой площадки или с обособленного подразделения (в другом регионе или стране);

b) транспортировка на альтернативное рабочее место;

c) поставки на предприятие или на альтернативное предприятие;

d) транспортирование критически важных данных на рабочее место;

e) транспорт для персонала с особыми потребностями.

В.8.7.5 Планы обеспечения непрерывности и восстановления после инцидента

Организация должна разработать и документировать процедуры, подробно описывающие, как организация будет управлять разрушительным событием и как она будет восстанавливать или поддерживать свою деятельность на заранее определенном уровне, основываясь на утвержденных руководством целях восстановления:

а) соглашения о цепи поставок, критических поставщиках или поставщиках услуг должны быть установлены соответствующим образом, а их контактная информация должна храниться как часть планов реагирования, непрерывности и восстановления. Такая информация может включать номера телефонов, имена контактов, номера счетов, пароли (надлежащим образом защищенные) и другую информацию в случае, если кому-то, кто не знаком с процессом, потребуется установить контакт;

b) во избежание нарушения цепи поставок может быть целесообразным запросить и проанализировать планы реагирования, непрерывности и восстановления у партнеров цепи поставок и критически важных поставщиков, чтобы оценить их способность продолжать предоставлять необходимые материалы и услуги в случае далеко идущего кризиса. Как минимум, обязанности продавца или поставщика услуг и соглашения об уровне обслуживания в цепи поставок должны быть согласованы до кризиса;

c) организация должна иметь альтернативное рабочее место, которое предназначено для возобновления и восстановления бизнеса. При отсутствии других и доступных объектов компании доступ к альтернативным рабочим местам может быть организован через соответствующих поставщиков. Планирование, касающееся идентификации и наличия альтернативных рабочих мест, должно осуществляться на ранней стадии процесса планирования готовности и плана реагирования. Альтернативные рабочие места должны обеспечивать адекватный доступ к ресурсам, необходимым для возобновления бизнеса, определенного как критичный с позиции последствий при анализе воздействия;

d) хранение данных и активов за пределами предприятия является ценной стратегией минимизации последствий, позволяющей быстро реагировать на кризис и возобновлять/восстанавливать бизнес. Внешнее хранилище должно находиться на достаточном расстоянии от основного объекта, чтобы такое же событие аналогичным образом не затронуло внешнее хранилище. Элементы, подлежащие рассмотрению для хранения за пределами площадки, включают в себя записи (на бумаге и других носителях), критически важные для деятельности предприятия. Процедура должна быть включена в план, чтобы обеспечить своевременную доставку любых необходимых предметов из внешнего хранилища в центр кризисного управления или на альтернативные рабочие места;

e) соглашение о взаимопомощи определяет ресурсы, которые могут быть использованы совместно или заимствованы у других организаций во время нарушений/срывов, а также взаимную поддержку с другими организациями. Такие соглашения должны быть юридически обоснованы и надлежащим образом документированы, четко понятны всем вовлеченным сторонам и должны представлять надежные ресурсы, а также обязательство сотрудничать;

f) стратегические альянсы определяют партнеров по поставке, с которыми существуют взаимозависимые отношения для производства и поставки продуктов и услуг и распределения рисков;

g) как только степень ущерба становится известна, необходимо определить приоритеты процесса восстановления, а график восстановления должен быть разработан и задокументирован. Расстановка приоритетов должна учитывать фундаментальную критичность процесса и другие факторы, включая отношения к обязательствам в цепи поставок, другие процессы, критические графики и нормативные требования в формулировках критичности, тяжести последствий и анализа воздействия. Решения относительно определения приоритетов процессов должны быть задокументированы, и по ним должны вестись записи, включая дату, время и обоснование решений;

h) как только процессы, подлежащие восстановлению, будут расставлены по приоритетам, возобновление работы может начаться с процессов, восстановленных в соответствии с графиком расстановки приоритетов. Возобновление этих процессов может происходить либо на текущем рабочем месте, либо на альтернативном рабочем месте (в зависимости от обстоятельств кризиса). Документированное подтверждение, когда процессы были возобновлены, должно сохраняться;

i) после того как критические процессы возобновлены, приступают к возобновлению остальных процессов. Там, где это применимо, решения о приоритетности этих процессов должны быть тщательно задокументированы заранее. Время фактического возобновления процессов должно быть задокументировано;

j) организация должна стремиться вернуться к нормальной жизни. Если невозможно вернуться к докризисному "нормальному" уровню, следует установить "новый нормальный уровень". Этот "новый стандарт" создает ожидание того, что, хотя на рабочем месте могут произойти изменения и реструктуризация, организация вернется к продуктивной работе. Каждый шаг процесса и все решения должны быть тщательно задокументированы;

k) как правило, именно в этот момент кризис может быть официально объявлен "оконченным". Важно задокументировать это решение. Для повышения доверия сотрудников и клиентов могут проводиться пресс-конференции и общение в СМИ.

В.9 Контроль и корректирующие действия

В.9.1 Мониторинг и измерения

Данные, собранные в результате мониторинга и измерений, могут быть проанализированы для выявления закономерностей и получения информации. Знания, полученные из этой информации, могут быть использованы для осуществления корректирующих и предупреждающих действий. Должны быть установлены измеримые показатели, чтобы оценить успех политики менеджмента устойчивости.

Ключевыми характеристиками являются те, которые необходимо учитывать организации, чтобы определить, как она управляет своим значительным риском, достигает целей и целевых показателей, а также улучшает безопасность, готовность, реагирование, непрерывность и восстановление деятельности.

Для обеспечения достоверных результатов, когда это необходимо, измерительное оборудование следует калибровать или проверять через определенные промежутки времени или перед использованием в соответствии со стандартами измерений, сопоставимыми с международными или национальными стандартами измерений. Если таких стандартов не существует, должны вестись записи по базе, используемой для калибровки.

В.9.2 Оценка соответствия и результатов деятельности системы

В.9.2.1 Оценка соответствия

Организация должна продемонстрировать оценку соответствия установленным нормативно-законодательным требованиям, включая применимые разрешения или лицензии. Организация должна иметь возможность продемонстрировать, что она оценила соответствие другим требованиям, относящимся к ее деятельности.

В.9.2.2 Учения и тестирования/испытания

Сценарии тестирований/испытаний должны разрабатываться с использованием событий, выявленных в оценке риска.

Тестирование может помочь группам реагирования и сотрудникам эффективно выполнять свои обязанности и выявлять недостатки в системе менеджмента устойчивости, которые необходимо исправить. Тестирование повышает доверие и авторитет к политике менеджмента устойчивости.

Первым шагом в тестировании/испытании должна стать постановка целей и ожиданий. Критическая цель состоит в том, чтобы определить, работает ли определенный процесс реагирования на нарушение и как его можно улучшить. Другие примеры целей включают в себя:

a) тестирование пропускной способности (например, пропускная способность телефонной системы для вызова или ответа);

b) сокращение времени, необходимого для выполнения процесса (например, использование повторных упражнений для сокращения времени реагирования);

c) обеспечение осведомленности и знаний всего персонала о системе менеджмента устойчивости.

Уроки, извлеченные из предыдущих тестирований/испытаний, а также фактических инцидентов, должны быть включены в цикл тестирования политики менеджмента устойчивости.

Должна быть установлена ответственность за тестирование политики менеджмента устойчивости. Более крупные организации могут рассмотреть возможность создания группы тестирования.

Где это применимо, можно использовать опыт внешних ресурсов (консультанты, местные аварийные службы и т.д.).

Необходимо установить расписание и график, как часто следует проводить тестирование плана и его компонентов.

Объем тестирования/испытания должен планироваться по времени. Тестирования должны начинаться с относительно простых вещей и становиться все более сложными по мере развития процесса тестирования. Первые тесты могут включать чек-листы учения и небольшие компоненты политики менеджмента устойчивости. По мере развития графиков тестирования должны становиться все более сложными, вплоть до полномасштабной активации всей политики менеджмента устойчивости, включая внешнее участие сотрудников служб безопасности и чрезвычайных ситуаций.

Некоторые участники могут выполнять несколько ролей в ходе тестирования. Все участники должны понимать свои обязанности в процессе обучения. В обучении должны участвовать все участники. В тестах могут участвовать различные группы из самой организации, а также из государственного сектора. В рамках учений участникам должно быть разрешено взаимодействовать и обсуждать вопросы и полученные уроки.

После завершения учений и тестирований результаты должны быть подвергнуты критической оценке. Оценка должна включать, среди прочего, оценку того, насколько хорошо были достигнуты цели и задачи теста, эффективность участия и будет ли сама система менеджмента устойчивости функционировать, как ожидается в случае реального кризиса. Будущее тестирование/испытание, а также сама система менеджмента устойчивости должны, при необходимости, модифицироваться на основе результатов тестирований.

План тестирования должен быть оценен и изменен по мере необходимости. Тестирования должны быть динамичными, принимая во внимание изменения в системе менеджмента устойчивости, текучесть кадров, фактические инциденты и результаты предыдущих учений.

Результаты учений и тестирования должны быть задокументированы.

В.9.3 Несоответствие, корректирующие действия и предупреждающие действия

В зависимости от характера несоответствия при установлении процедуры для удовлетворения этих требований организации могут выполнить их с минимальным формальным планированием, или это может быть более сложная и долгосрочная деятельность. Любая документация должна соответствовать уровню действий.

В.9.4 Управление записями

Система управления записями может включать среди прочего:

a) записи соответствия;

b) записи об обучении;

c) записи мониторинга процесса;

d) записи о поверке, техническом обслуживании и калибровке;

e) соответствующие записи подрядчиков и поставщиков;

f) отчеты об инцидентах;

g) записи о тестировании предварительной готовности к инцидентам и чрезвычайным ситуациям;

h) результаты аудита;

i) результаты анализа со стороны руководства;

j) решение по внешнему обмену информацией;

k) записи применимых нормативно-законодательных требований;

l) записи о значительном риске;

m) записи собраний по политике в области устойчивости;

n) записи по безопасности, готовности, реагированию, непрерывности и информированию о результатах деятельности по восстановлению;

о) записи о соответствии нормативным требованиям;

р) записи об обмене информацией с заинтересованными и вовлеченными сторонами.

Надлежащим образом следует учитывать конфиденциальную информацию.

Организация должна обеспечить целостность записей, сделав их защищенными от несанкционированного доступа, надежно зарезервированными, доступными только для уполномоченного персонала и защищенными от повреждения, порчи или потери.

Организация должна проконсультироваться с соответствующим юридическим органом в своей организации, чтобы определить соответствующий период времени, в течение которого документы должны храниться, установить, внедрить и поддерживать процессы для эффективного выполнения этих требований.

Примечание - Записи не являются единственным источником доказательств, подтверждающих соответствие настоящему стандарту.

В.9.5 Внутренний аудит

Внутренний аудит политики менеджмента устойчивости может проводиться персоналом организации или внешними лицами, выбранными организацией, работающими от ее имени. В любом случае лица, проводящие аудит, должны быть компетентными и иметь возможность делать это беспристрастно и объективно. В небольших организациях аудит должен проводиться персоналом, независимым от тех, кто несет прямую ответственность за проверяемую деятельность.

Примечание - Если организация желает объединить аудит своей политики менеджмента устойчивости с аудитом безопасности, охраны труда или окружающей среды, цель и область каждого из них должны быть четко определены.

В.10 Анализ со стороны руководства

Анализ со стороны руководства должен охватывать область распространения политики менеджмента устойчивости, хотя не все элементы политики необходимо пересматривать сразу, и процесс проверки может происходить в течение определенного периода времени.

Политику менеджмента устойчивости следует регулярно пересматривать и оценивать. Проверки следует проводить в соответствии с заранее установленным графиком, а документация по проверке должна поддерживаться в рабочем состоянии. Следующие факторы могут инициировать анализ, в противном случае его следует проводить после планирования:

- оценка риска. Политика менеджмента устойчивости должна пересматриваться каждый раз, когда оценка риска для организации завершена. Результаты оценки риска можно использовать для определения того, продолжает ли политика менеджмента устойчивости адекватно реагировать на риск, с которым сталкивается организация;

- отраслевые тенденции и изменения в секторе экономики. Основные отраслевые тенденции или изменения должны инициировать пересмотр политики менеджмента устойчивости. Общие тенденции в секторе/отрасли и в методах планирования непрерывности бизнеса могут использоваться для целей бенчмаркинга;

- нормативные требования. Новые нормативные требования могут потребовать пересмотра политики менеджмента устойчивости;

- опыт проведения мероприятия. Анализ политики менеджмента устойчивости следует проводить после инцидента, вызывающего разрушение;

- результаты тестирования и учений. На основе результатов тестирования и учений следует, при необходимости, изменить политику менеджмента устойчивости.

Постоянное улучшение и управление политикой менеджмента устойчивости должно отражать изменения в риске, действиях, функциях и деятельности организации, которые будут влиять на систему менеджмента устойчивости. Ниже приведены примеры процедур, систем или процессов, которые могут повлиять на планирование:

a) изменения в политике;

b) изменения опасностей и угроз;

c) изменения в организации и ее бизнес-процессах;

d) изменения в цепи поставок, потоках, узлах цепи поставок и обязательствах;

e) изменения в допущениях при оценке риска;

f) кадровые изменения (сотрудники и подрядчики);

g) изменения в поставщиках в цепи поставок;

h) технологические и технические изменения;

i) изменения в системах и прикладном программном обеспечении;

j) критические уроки, извлеченные из тестирования/испытания;

k) проблемы, обнаруженные при фактической реализации плана в условиях кризиса;

l) изменения внешней среды (новые предприятия в этом районе, новые дороги или изменения в существующих схемах движения и т.д.);

m) другие элементы, отмеченные при рассмотрении плана и выявленные в ходе оценки риска.