Приложение Ф (справочное). Вопросы для самооценки организации. Национальный стандарт РФ ГОСТ Р 53647.3-2015 "Менеджмент непрерывности бизнеса. Часть 3. Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.11.2015 N 1857-ст)

Приложение Ф
(справочное)

Вопросы для самооценки организации

Уровни выполнения ключевых вопросов (1 - не выполнено; 2 - выполнено не менее, чем на 25% и более; 3 - выполнено не менее, чем на 50% и более; 4 - выполнено не менее, чем на 75% и более; 5 - выполнено на 100%).

Таблица Ф.1

Стадия	Ключевые вопросы	Свидетельства внедрения	Оценка
Условия работы организации	Установлены цели и обязательства организации, законодательные и обязательные требования, требования заинтересованных сторон и условия функционирования организации	Проводится регулярный анализ требований и ожиданий заинтересованных сторон. Составлен перечень обязательств, законодательных и обязательных требований	1-2-3-4-5
	Разработан перечень ключевых продукции и услуг, поставляемых организацией от ее имени, и согласован с высшим руководством	Разработаны документированные процедуры идентификации и анализа ключевых продукции и услуг. Утвержден перечень ключевых продукции и услуг	1-2-3-4-5
	Определены предпочтительные риски организации и риски организации для критических видов деятельности	В организации существует менеджмент риска и документированы критические риски и предпочтительные риски	1-2-3-4-5
	Установлены политика СМНБ и процедуры в области обеспечения непрерывности бизнеса	Установлены область применения и политика в области непрерывности бизнеса. Политика в области непрерывности бизнеса опубликована во внешних и внутренних источниках информации Установлены цели МНБ и планы их выполнения	1-2-3-4-5
Лидерство	Установлено распределение ответственности обеспечения непрерывности бизнеса	Назначен исполнительный руководитель, ответственный за политику в области непрерывности бизнеса и внедрение СМНБ. Разрабатываются отчеты о функционировании СМНБ для высшего руководства	1-2-3-4-5
	Назначены руководители и координаторы работ в области МНБ	Назначены ответственные за внедрение и поддержание в рабочем состоянии программы МНБ. Требования к их компетентности документированы. Имеется программа обучения для поддержания их компетентности в области МНБ	1-2-3-4-5

Продолжение таблицы Ф.1

Стадия	Ключевые вопросы	Свидетельства внедрения	Оценка
Лидерство	Установлено распределение ответственности в области менеджмента непрерывности бизнеса для конкретных услуг или элементов управления	Положения об обеспечении непрерывности бизнеса включены в рабочие инструкции и квалификационные требования к персоналу, вовлеченного в выполнение ключевых работ (услуг) и вспомогательных процессов к ним Ответственность за МНБ, подкрепляется аттестацией, премированием и мотивацией	1-2-3-4-5
	Установлены необходимые компетентность и осведомленность персонала в области обеспечения непрерывности бизнеса во всей организации	Принята программа повышения компетентности и осведомленности персонала в области обеспечения непрерывности бизнеса в организации и у ключевых причастных сторон. Работает обратная связь, в рамках которой руководители и персонал могут сообщать о проблемах, связанных с МНБ, например, на совещаниях и в отчетах. Разработанные программы в области МНБ включают обеспечение компетентности и осведомленности персонала в этой области	1-2-3-4-5
Планирование и контроль	Установлены критические функции, процессы, поддерживающие ресурсы и взаимосвязи, требуемые для поставки ключевых продукции и услуг внутри и вне организации	Разработана и внедрена подробная документация относящаяся к критическим функциям, процессам и поддерживающим ресурсам, требуемым для поставки ключевых продукции и услуг. Определены критически важные поставщики и партнеры	1-2-3-4-5
	Идентифицированы ли в долгосрочной перспективе воздействия каждой ключевой услуги или продукции на организацию и ее заинтересованные стороны?	Внедрен структурированный процесс анализа воздействия на бизнес организации, в рамках которого расставлены приоритеты по ключевым продукции и услугам Документация охватывает ключевые услуги и продукцию организации Протоколы Координационного совета соответствуют анализу воздействия на бизнес	1-2-3-4-5
	Проведена оценка риска критических видов деятельности, поддерживающих ресурсов и взаимосвязей в необходимых областях	Документированы процедуры анализа и оценки риска. Идентифицированы слабые места	1-2-3-4-5
	Установлены меры снижения риска, включая меры борьбы с потенциальными потерями информации	Документированы объективные свидетельства снижения риска, связанного с персоналом, системами, информацией, производственными площадями, оборудованием и поставщиками	1-2-3-4-5
Определение стратегий непрерывности бизнеса	Разработаны стратегии ограничения воздействия, потери ключевых продукции и услуг и воздействия в долгосрочной перспективе на организацию и ее заинтересованных сторон	Документированы стратегии поддержания ключевой продукции или услуг. Стратегии охватывают персонал, производственные площади, технологии, информацию, запасы и заинтересованных сторон. В стратегиях учтены действия государственных аварийных и иных служб в чрезвычайных ситуациях. Протоколы координационного совета подтверждают выбор стратегии и выделение необходимых ресурсов для их реализации	1-2-3-4-5

Продолжение таблицы Ф.1

Стадия	Ключевые вопросы	Свидетельства внедрения	Оценка
Определение стратегий непрерывности бизнеса	Разработана стратегия минимизации нарушения поставок	Существует политика поставок для ключевых которой выполнено требование о включении требований МНБ в договора с поставщиками. Идентифицированы альтернативные поставщики	1-2-3-4-5
Разработка и внедрение процедур СМНБ	Разработана структура ответных мер в условиях инцидента Разработан общий план обеспечения непрерывности выполнения ключевых продукции и услуг, который помогает обеспечению устойчивости организации	Разработаны структура и процедуры ответных мер на инцидент и планы обеспечения непрерывности деятельности. Составляется отчетность. Существуют протоколы планов совещаний. Планы точны, однозначны и удобны для использования. Документированы объективные свидетельства консультаций и обратной связи с персоналом в подразделениях при разработке планов. В планах идентифицированы положения о целях, вовлеченности персонала, руководстве и контроле. Планы содержат ссылки на иные источники информации, справочные данные и/или другую документацию	1-2-3-4-5
Разработка и внедрение ответных мер СМНБ	Существуют ли конкретные процедуры, включающие планы и поставки для выполнения ответных мер	Документированы процедуры выполнения ответных мер. В планах идентифицирован ключевой персонал. Существует перечень контактной информации для персонала, входящего в группу ответных мер на инцидент и группу обеспечения непрерывности бизнеса	1-2-3-4-5
	Планы находятся у конкретных владельцев и утверждены на соответствующем уровне	Установлены лица, ответственные за наличие планов в каждом подразделении или филиале организации. Все планы утверждены в установленном порядке	1-2-3-4-5
Установление и выполнение процедур МНБ	Назначена группа персонала, обученного разработке плана	Ведутся подробные записи об инцидентах и участниках групп по обеспечению непрерывности бизнеса. Проводится анализ компетентности. Действует программа обучения участников групп по обеспечению непрерывности бизнеса. Записи об обучении поддерживаются в рабочем состоянии	1-2-3-4-5
	Имеются процедуры, направленные на информирование внутренних и внешних заинтересованных сторон о действиях организации при активации планов	Существует документированная политика обмена информацией. Письма, электронная почта, циркуляры, совещания, страницы в Интернете и Интернет повышают осведомленность о планах СМНБ	1-2-3-4-5
	Налажен обмен информацией с заинтересованными сторонами во время нарушений/разрушений, направленный на обеспечение непрерывности поставки ключевых продукции и услуг	Планы содержат мероприятия по обмену информацией с клиентами, потребителями, персоналом, причастными сторонами, партнерами и СМИ. Разработанные в рамках СМНБ планы имеют ссылку на план обмена информацией	1-2-3-4-5
	Обеспечен постоянный доступ к последним версиям планов и вспомогательных материалов	Копии планов и перечни основного необходимого оборудования / основных документов (в электронном или бумажном виде) доступны на рабочих местах и за их пределами	1-2-3-4-5

Продолжение таблицы Ф.1

Стадия	Ключевые вопросы	Свидетельства внедрения	Оценка
Установление и выполнение процедур МНБ	Планы учитывают запланированные действия внутри и вне организации	Планы учитывают мероприятия в соответствии с планами действий в чрезвычайных ситуациях, планам восстановления бизнеса, планам управления в условиях инцидентов, планам обмена информацией и т.д. Взаимное пересечение планов документировано (например, в виде ссылок)	1-2-3-4-5
	Существуют документированные процедуры восстановления деятельности организации после инцидента	Соответствующие планы и процедуры восстановления находятся на установленных местах	1-2-3-4-5
Учения	Имеется сбалансированная программа учений, обеспечивающих валидацию возможностей организации по всему спектру вопросов МНБ?	Ведутся записи о регулярных проверках мероприятий, контактной информации и учениях. Утвержден и выполняется план-график проведения учений	1-2-3-4-5
	Установлены цели программы учений	Сценарии и планы учений проработаны	1-2-3-4-5
	Имеется документированный процесс сбора данных о полученном на учениях опыте и дальнейшем использовании полученных данных	Ведутся записи о проведении учений, составляются отчеты о полученном на учениях опыте. Отчеты об анализе проведенных учений направляются руководству. Разработаны планы действий. Эти действия анализируются на совещаниях по подготовке и анализу планов. Объективные свидетельства внедрения и использования в СМНБ полученного на учениях опыта документированы	1-2-3-4-5
Анализ функционирования	Обеспечены возможности МНБ в организации	Установлены ключевые показатели эффективности для анализа внедрения и поддержки МНБ. Ключевые показатели эффективности регулярно пересматривают. Распределение ответственности в МНБ пересматривают в процессе аудита организации	1-2-3-4-5
	Разработан метод определения результативности и эффективности СМНБ	Разработана программа СМНБ. Составлен отчет о проведении самооценки. Существуют отчеты о проведении внутренних аудитов. Проводится бенчмаркинг по внедрению лучших разработок в области непрерывности бизнеса (например, стандарта ИСО 22301). Проведен анализ СМНБ третьей стороной (например, представителями других организаций)	1-2-3-4-5
	Обеспечивается актуализация планов	Процесс анализа планов установлен и документирован. Процесс анализа планов встроен в процесс жизненного цикла планирования бизнеса. Записи анализа поддерживают в рабочем состоянии. Существует система управления версиями и базой знаний организации	1-2-3-4-5

Окончание таблицы Ф.1

Стадия	Ключевые вопросы	Свидетельства внедрения	Оценка
Анализ функционирования	Существует документированный процесс сбора и использования опыта, полученного в ходе инцидентов	Существуют данные опросов об инциденте, извлеченного опыта отчетов о действиях и результатах	1-2-3-4-5
	Обеспечены анализ и корректировка программы МНБ организации при существенных изменениях в организации, ее условиях функционирования или появлении угроз	Существует механизм идентификации точек проведения анализа МНБ. Записи анализа МНБ регистрируются. План действий внедрен. Анализ действий проводят на запланированных совещаниях по подготовке и проведению анализа	1-2-3-4-5
	Обеспечено начало процесса постоянного улучшения по результатам анализа СМНБ, полученного опыта и выполнения соответствующих действий на основе данных анализа	Отчеты об анализе доводят до соответствующего руководства. Разработан план предупреждающих и корректирующих действий. На совещаниях проводят анализ предпринятых действий. Имеются объективные свидетельства внедрения и использования полученного опыта в СМНБ организации	1-2-3-4-5
Улучшения	Идентифицированы и выполнены действия по ликвидации последствий выявленных несоответствий СМНБ	Существует формализованный процесс идентификации и исправления несоответствий СМНБ в организации Существуют записи об анализе со стороны руководства	1-2-3-4-5