Приложение В (справочное). Основные элементы системы обеспечения непрерывности деятельности. Национальный стандарт РФ ГОСТ Р 53647.5-2012 "Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 29.11.2012 N 1421-ст)

Приложение В
(справочное)

Основные элементы системы обеспечения непрерывности деятельности

B.1 Область применения обеспечения непрерывности деятельности (программы реагирования на опасные ситуации), анализ непрерывности деятельности организации, планирование:

- принятие обязательств высшего руководства;

- формирование рабочей группы;

- определение области применения;

- обсуждение плана обеспечения непрерывности деятельности;

- описание продукции организации, а также ее деятельности, ресурсов, систем и процессов;

- аудит или GAP-анализ*, направленные на исследование деятельности организации;

- определение регламентирующих и иных требований;

- определение опасных ситуаций и риска;

- оценка уязвимости организации;

- установление целей и задач;

- SWOT-анализ**.

B.2 Стратегия разработки и внедрения программы обеспечения непрерывности деятельности

В.2.1 Процессы обеспечения непрерывности деятельности/восстановления в опасных ситуациях

Общая схема основных процессов обеспечения непрерывности деятельности и восстановления после инцидента приведена на рисунке 1.

"Рисунок 1 - Основные процессы обеспечения непрерывности деятельности/восстановления после инцидента"

В.2.2 Разработка стратегии обеспечения непрерывности деятельности/восстановления после инцидента

При разработке стратегии обеспечения непрерывности деятельности/восстановления после инцидента организация может использовать следующие стандарты:

НВ 221 Менеджмент непрерывности бизнеса (ответные меры; действия по обеспечению непрерывности деятельности; мероприятия по восстановлению деятельности; проверка системы) (см. [1]).

NFPA 1600 Менеджмент опасностей и аварийных ситуаций и управление программами обеспечения непрерывности бизнеса (разработка стратегии обеспечения непрерывности деятельности; план действий в условиях инцидента; план снижения риска и последствий инцидента; план восстановления деятельности после инцидента (краткосрочный и долгосрочный); план работ по обеспечению непрерывности деятельности) (см. [2]).

SI 24001 Системы менеджмента безопасности и непрерывности деятельности (программа обеспечения безопасности) (см. [3]).

BS 25999 Менеджмент непрерывности деятельности (определение общей стратегии обеспечения непрерывности деятельности; определение стратегии отдельных элементов обеспечения непрерывности деятельности; определение стратегии обеспечения безопасности людей; установление стратегии управления ресурсами и активами) (см. [4]).

JISC Серия стандартов по менеджменту качества и устойчивому росту (определение политики обеспечения непрерывности деятельности; разработка годового плана работ по обеспечению непрерывности деятельности; разработка организационной структуры обеспечения непрерывности деятельности и ее внедрение) (см. [5]).

B.3 Разработка и внедрение ответных мер

В 3.1 План управления в условиях инцидента должен содержать:

- введение и область применения;

- информацию о владельцах процесса;

- функции рабочей группы кризисного управления;

- порядок инициирования работ по плану мобилизации;

- порядок создания центра кризисного управления;

- распределение функций и ответственности членов рабочей группы кризисного управления;

- структуру подчиненности в условиях инцидента;

- способы анализа ситуации и документирования результатов;

- анализ воздействия человеческого фактора на деятельность организации с учетом изменения уровней безопасности, здоровья и благосостояния людей;

- порядок разработки планов действий;

- контактную информацию;

- порядок взаимодействия с причастными сторонами;

- приложения.

В 3.2 План обеспечения непрерывности деятельности

План обеспечения непрерывности деятельности должен включать:

- введение;

- цели и область применения;

- распределение функций и обязанностей;

- структуру подчиненности руководителей;

- перечень лиц, ответственных за план обеспечения непрерывности деятельности и его актуализацию;

- контактную информацию;

- порядок разработки планов действий и перечня задач;

- требования к ресурсам;

- перечень особо важной (жизненно-необходимой) информации;

- необходимые формы и приложения.

В 3.3 Содержание плана восстановления деятельности

План восстановления деятельности должен включать основные этапы восстановления деятельности организаций после возникновения опасных ситуаций и инцидентов. Планирование восстановления зависит от характера и сферы деятельности организаций. Содержание этапов плана восстановления должно быть достаточно подробным, позволяющим персоналу, вовлеченному в деятельность по восстановлению, понимать свои функции в восстановительной деятельности.

B.4 Внедрение обеспечения непрерывности деятельности и проведение необходимого обучения

В.4.1 Общие положения

Разработка, внедрение и поддержание в рабочем состоянии системы обеспечения непрерывности деятельности дает организации дополнительные конкурентные преимущества. Обеспечение непрерывности деятельности должно стать частью управления организацией. Если внедрение системы обеспечения непрерывности деятельности эффективно, то причастные стороны будут выше оценивать способность организации к восстановлению деятельности.

Необходимо учитывать, что создание и внедрение системы обеспечения непрерывности деятельности в организации может быть трудоемким процессом и столкнуться со значительным сопротивлением со стороны консервативно настроенного персонала.

В обеспечении непрерывности деятельности должен участвовать весь персонал организации. Каждый работник организации должен быть убежден, что обеспечение непрерывности деятельности - составляющая часть управления организацией и играет важную роль в обеспечении непрерывности поставки продукции и оказания услуг потребителям. Важно, чтобы элементом внедрения системы обеспечения непрерывности деятельности стало соответствующее обязательное обучение персонала.

Каждая организация имеет свой уровень консервативно настроенного персонала. Чаще всего - это руководители среднего звена организации. Особый акцент необходимо сделать на их вовлечение и мотивацию к внедрению системы обеспечения непрерывности деятельности в организации. Этот персонал играет наиболее важную роль при определении критических видов работ и процессов, и поэтому его поддержка (особенно на начальной стадии) очень важна для внедрения системы обеспечения непрерывности деятельности.

Персонал организации должен понимать важность и необходимость внедрения системы обеспечения непрерывности деятельности, должен видеть, что данная инициатива носит долгосрочный характер и исходит от высшего руководства организации. Персонал должен быть уверен, что его работа будет оценена при возникновении инцидентов и разрушений. Также важно, чтобы каждый работник, вовлеченный в реализацию планов обеспечения непрерывности деятельности, знал, какие действия следует предпринять для выполнения своих функций в соответствии с планом обеспечения непрерывности деятельности.

Вновь принятые на работу сотрудники организации должны быть информированы о политике и их участии в обеспечении непрерывности деятельности. Это может быть достигнуто путем включения соответствующих материалов в программы первичного инструктажа.

В организации должна быть обеспечена осведомленность персонала об общей программе обеспечения непрерывности деятельности. Применяемые для этого методы работы могут включать в себя газеты, выпускаемые организацией, электронные письма, интранет, совещания и общение с высшим руководством. При этом следует приводить примеры подразделений, успешно внедривших систему обеспечения непрерывности деятельнос