Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 53647.3-2015 "Менеджмент непрерывности бизнеса. Часть 3. Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. N 1857-ст)
- Приложение П (справочное). Стратегии, связанные с ключевыми ресурсами
Приложение П (справочное). Стратегии, связанные с ключевыми ресурсами
Приложение П
(справочное)
Стратегии, связанные с ключевыми ресурсами
П.1 Человеческие ресурсы
Организация должна идентифицировать стратегии поддержания квалификации, основные навыки и знания персонала. Анализ, кроме персонала организации, должен охватывать подрядчиков* и другие заинтересованные стороны, которые должны также обладать соответствующей квалификацией, навыками и знаниями. Стратегии защиты или обеспечения подобных навыков могут включать в себя:
1) документирование способа выполнения критических видов деятельности;
2) обучение разносторонним навыкам персонала и подрядчиков;
3) разделение основных навыков среди персонала для снижения риска (это может повлечь за собой распределение персонала с основными навыками или дублирование сотрудников, имеющих необходимые основные навыки);
4) привлечение третьих лиц;
5) планирование преемственности;
6) хранение знаний и управление ими.
При выборе стратегии в этой области необходимо помнить, что персонал может по-разному реагировать на инциденты различного масштаба.
П.2 Производственные площади
Стратегии использования производственных площадей могут в значительной степени отличаться в зависимости от особенностей организации. Диапазон вариантов должен быть доступным. Различные типы инцидентов или угроз могут потребовать создания различных способов размещения персонала и оборудования. Применимость стратегии зависит от размера организации, ее сектора экономики и особенностей деятельности, ее заинтересованных сторон и географического месторасположения. Например, органы местного самоуправления должны обеспечивать предоставление услуг внутри границ и на границах своих территорий.
Организация должна разработать стратегию снижения воздействия опасной ситуации, при которой рабочие места и/или производственные площади становятся недоступными. Стратегия может включать одно или несколько следующих положений:
1) предоставление альтернативных производственных площадей в пределах самой организации, включая перемещения;
2) предоставление альтернативных производственных площадей партнерскими организациями (это может быть взаимное или одностороннее предоставление производственных площадей на договорной основе);
3) предоставление альтернативных производственных площадей специалистами третьей стороны;
4) работа в домашних условиях или на удаленных производственных площадях;
5) предоставление других подходящих производственных площадей;
6) использование альтернативной рабочей силы на существующих рабочих местах или производственных площадях.
Примечание 1 - Если работники должны быть переведены на альтернативные производственные площади, эти площади должны располагаться недалеко от обычного места работы, чтобы работники могли и были в состоянии переместиться туда, принимая во внимание все трудности, вызванные инцидентом. Однако альтернативные производственные площади не должны располагаться слишком близко, так как может возникнуть вероятность воздействия на них того же самого инцидента.
Примечание 2 - Способ применения альтернативной производственной площади (единолично самой организацией или совместно с другими) должен быть четко идентифицирован. Если альтернативная производственная площадь используется совместно с другими организациями, должен быть разработан и зарегистрирован план совместного использования и/или план действий при недоступности этой площади.
Иным решением для перемещенного в альтернативные помещения персонала может стать обеспечение их удаленным доступом к ИТ через выделенные линии или интернет с использованием виртуальных частных сетей или подобных технологий.
Примечание 3 - Может быть целесообразным перемещение объема работ (производственной деятельности), а не персонала, например, перемещение производственной линии или диспетчерского отдела.
П.3 Технология
Технологические стратегии значительно различаются в зависимости от размеров организации, особенностей и сложности ее бизнеса. Особые стратегии должны быть разработаны для защиты, замены или восстановления специальных или уникальных технологий.
Возможно, для организации необходимо создать условия выполнения технологических операций вручную до момента полного восстановления технологических процессов.
Технологические стратегии зависят от характера используемых технологий и их связи с критическими видами деятельности, но обычно включают одну или более стратегий, связанных с:
- поставками внутри организации;
- услугами и поставками для организации;
- услугами, предоставленными третьим лицом за пределами организации.
Технологические стратегии могут включать:
- географическое распределение технологий, т.е. поддержку одной технологии на различных территориях, которые не могут быть затронуты одним и тем же инцидентом нарушения деятельности организации;
- сохранение резервного более старого оборудования, предназначенного для использования либо в качестве замены основного оборудования в чрезвычайных ситуациях, либо в качестве запасных частей;
- снижение риска утраты или выхода из строя для уникального оборудования или оборудования с большой продолжительностью производственного цикла.
Для информационных технологий (ИТ) часто требуются комплексные стратегии непрерывности бизнеса. Если существует потребность в подобных стратегиях, должны быть рассмотрены следующие показатели:
- целевой срок восстановления систем и прикладных программ, обеспечивающих поддержку ключевых видов деятельности, идентифицированных в анализе воздействия на бизнес. (Важно, чтобы бизнес управлял целевым сроком восстановления систем для информационно-коммуникационных технологий; желательно, чтобы целевой срок восстановления систем для информационно-коммуникационных технологий находился в пределах целевых сроков, установленных для всего бизнеса, это облегчает тестирование и т.д.);
- места расположения и расстояние между местами размещения технологического оборудования ИТ;
- количество мест размещения технологического оборудования ИТ;
- способы удаленного доступа;
- использование мест размещения технологического оборудования ИТ без участия персонала в противоположность технологиям с привлечением персонала;
- подключение к телекоммуникационным системам и наличие дублирующих маршрутов телекоммуникационных соединений;
- способы обеспечения деятельности при отказе ИТ (ручное или автоматизированное переключение на альтернативные ИТ);
- каналы связи, предоставленные третьей стороной, и внешние каналы связи.
П.4 Информация
Информационные стратегии должны обеспечивать защиту и восстановление жизненно важной информации для деятельности организации в сроки, установленные на этапе анализа воздействия на бизнес.
Вся информация, необходимая для обеспечения поставок по критическим видам деятельности организации, должна иметь следующие качества:
- конфиденциальность;
- целостность;
- доступность;
- актуальность.
Должны быть документированы стратегии восстановления информации, которая еще не скопирована или для которой не создана резервная копия, хранящаяся в безопасном месте.
Информационные стратегии должны охватывать:
- физические форматы информации (документальные копии);
- виртуальные форматы информации (электронные копии) и т.д.
Примечание 2 - Во всех случаях информация должна быть восстановлена до установленного момента времени, согласованного с высшим руководством организации. Могут быть использованы различные методы копирования, такие как создание резервных копий в электронном виде, на магнитной ленте, микрофиш**, фотокопий, создание двух экземпляров документов и т.п. Время восстановления должно соответствовать "установленному периоду восстановления".
П.5 Запасы
В офисах запасы могут представлять собой используемые бланки, например, банковские чеки и т.д. В других отраслях промышленности могут быть идентифицированы расходные материалы или поставки "точно в срок", или запас топлива для транспортных средств.
Организация должна идентифицировать и поддерживать в рабочем состоянии перечень запасов (сырья, материалов, комплектующих), которые обеспечивают критические виды деятельности организации. Стратегии обеспечения запасов могут включать:
- хранение дополнительных запасов в альтернативных местах размещения;
- заключение соглашений с третьими лицами о срочных внеплановых поставках в критических ситуациях;
- изменение пункта назначения поставок "точно в срок" ***;
- хранение материалов на товарных складах или погрузочно-разгрузочных участках;
- передачу сборочных операций на альтернативные производственные площади, в которых существует возможность бесперебойного снабжения;
- идентификацию альтернативных поставок (субститутов).
Если критические виды деятельности зависят от специализированных запасов, организация должна идентифицировать ключевых поставщиков и безальтернативные источники поставок. Стратегии обеспечения непрерывности таких поставок могут включать:
- увеличение количества поставщиков;
- поощрение поставщиков (или установление требований) к наличию валидированной способности обеспечения непрерывности бизнеса;
- установление договорных отношений и/или соглашений о техническом обслуживании с ключевыми поставщиками на согласованном уровне;
- идентификацию альтернативных, способных к бесперебойной работе поставщиков.