ГОСТ Р 53647.3-2015
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА
Часть 3
Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301
Business continuity management. Part 3. Guidance on meeting the requirements of GOST R ISO 22301
ОКС 03.100.01
Дата введения 2016-07-01
Предисловие
1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (АО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 ноября 2015 г. N 1857-ст
4 Настоящий стандарт разработан с учетом основных нормативных положений национального стандарта Великобритании BIP 2142:2012* "Маршрутная карта менеджмента непрерывности бизнеса. Соответствие требованиям ИСО 22301" (BIP 2142:2012 "The route map to business continuity management. Meeting the requirements of ISO 22301", NEQ)
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .
5 ВЗАМЕН ГОСТ P 53647.3-2010
6 ПЕРЕИЗДАНИЕ. Август 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Менеджмент непрерывности деятельности или менеджмент непрерывности бизнеса (МНБ) представляет собой методологию, которая сегодня становится достаточно популярной вследствие различий во внешних условиях, в которых работает организация и в которых организации необходимо найти свое место.
Существуют три основных типа риска, с которыми сталкивается организация:
- риск, который можно идентифицировать, определить его количественные характеристики и спланировать действия по его снижению (например, риск отказа коммунальных сетей, риск возникновения пожара и т/п.);
- риск, воздействие которого не может быть полностью определено (например, пандемия гриппа человека или заболеваний животных);
- непредвиденный риск, который может оказать существенное воздействие на организацию.
В 2007 году Нассим Николас Тэлеб выдвинул понятие "черные лебеди", чтобы описать непредвиденные события, которые поражают организацию внезапно: например, японское землетрясение 2011 года, цунами и последующая авария на ядерном объекте.
При реализации такой риск может вызвать серьезные нарушения в обществе и организациях из-за невозможности доставки продукции и услуг, которые поддерживают экономику и благосостояние общества в целом. Нарушить деятельность организации могут не только крупные аварии. Каждая пятая британская организация раз в год страдает от событий более низкого уровня, таких как массовая заболеваемость персонала, повреждение или утрата техники, отсутствие доступа к официальному сайту организации или потеря ключевого для организации поставщика. Подобные события, как правило, не воздействуют на все общество, но могут привести к нарушению деятельности отдельной организации, влияя на ее денежные потоки, или привести к утрате доверия и ухудшению репутации организации у потребителей. Внедрение МНБ позволяет организации успешнее справляться с такими проблемами независимо от вызвавших их причин и таким образом защищает организацию и, следовательно, общество, которому она служит
В 2003 году Британский институт стандартов (BSI) издал документ PAS 56 "Руководящие указания по менеджменту непрерывности бизнеса", которые объединили передовые практики в МНБ и были приняты многими организациями во всем мире.
В 2006 году PAS 56 был заменен Британским стандартом BS 25999-1, включающим требования МНБ.
В 2012 году был введен стандарт ИСО 22301, устанавливающий новые требования к МНБ. Этот стандарт был дополнен новым ИСО 22313.
Настоящий стандарт обеспечивает помощь организациям по выполнению требований ГОСТ Р ИСО 22301 и основывается на предположении, что организацией уже предприняты некоторые действия по внедрению МНБ.
Понятие непрерывности деятельности (бизнеса) было разработано в середине 1980-х годов как новый способ управления деловыми рисками. Основанием для МНБ явилось то обстоятельство, что ключевой обязанностью руководства организации является обеспечение продолжения деятельности организации всегда и при любых обстоятельствах.
Традиционно планирование деятельности концентрировалось на восстановлении деятельности после аварий (например, таких, как потеря компьютерных данных), поэтому в начале 1970-х годов МНБ был создан для обеспечения быстрого восстановления информационных систем, телекоммуникаций или ликвидации пожара или наводнения. Ответственность за запланированные действия была распределена по различным подразделениям организации. Как правило, это были отделы информационных технологий и отделы безопасности. Планы аварийного восстановления, как правило, разрабатывали на основе уже произошедших инцидентов.
Неожиданные события довольно часто являются результатом деятельности самой организации. У каждой организации существуют слабые места: недостатки информационных систем, использование неофициальных каналов связи, недостаточное обучение операторов, нарушение связей в структуре организации и отклонения от установленных процедур. Экспертиза обычно выявляет, что причиной аварии послужила комбинация нескольких обстоятельств, которые и привели к катастрофе.
МНБ объединяет не только "лечение", но и "профилактику". Это наука не только о том, как справляться с последствиями инцидента, как и когда происходит инцидент, и каким образом предотвращать кризис и его последствия, но также и об установлении традиций организации, которые приводят к быстрому восстановлению и обеспечению непрерывности ее деятельности по поставке ключевой продукции и/или услуг потребителям.
МНБ устанавливает стратегическую структуру работы, обеспечивающую проактивные действия и гибкость организации по отношению ко всем возможным нарушениям. Это не просто ответные меры, выполняемые после реализации инцидента. МНБ требует планирования действий во многих аспектах организации. Устойчивость организации к разного рода воздействиям зависит в равной степени как от руководства и персонала, так и от технологий и технических средств. При разработке программ МНБ важно применять интегрированный подход.
МНБ способен предупреждать о том, что может пойти не так, и обеспечивать проведение заранее запланированных и отрепетированных действий для защиты деятельности, следовательно, удовлетворять потребности и ожидания заинтересованных сторон. Это поддерживает доверие к руководству и уверенность в том, что оно способно обеспечивать работу организации в условиях кризиса и предотвращать масштабные последствия, таким образом защищая бренд, репутацию и имидж организации. МНБ уходит от простого восстановления после бедствия к установлению традиций предотвращения появления отказов и кризисов.
Выгода МНБ
Внедрение МНБ может принести реальную выгоду организации не только в части выполнения нормативных и законодательных требований.
Организация обладает конкурентоспособным преимуществом, если она демонстрирует потенциальным потребителям способность поставлять продукцию в условиях кризисов и разрушительных инцидентов. Внедрение требований ГОСТ Р ИСО 22301 может быть частью маркетингового плана по привлечению новых потребителей или в качестве мотивационного фактора для возобновления контрактов со "старыми" потребителями.
Разностороннее совершенствование организации и устранение слабых мест ведут ее к получению финансовой выгоды. Дублирование действий и бездействие ведут к потере времени и ресурсов. Любой отказ, в том числе не приведший к разрушительным последствиям, увеличивает расходы организации.
Кроме того, наличие эффективного МНБ может мотивировать страховые компании на увеличение страховой суммы и/или уменьшение взимаемых страховых взносов.
Одна из самых больших угроз для организации во время сбоя работы - прерывание потока наличных денег При возобновлении поставки ключевых продуктов и услуг эффективный МНБ способствует поддержанию денежного потока.
1 Область применения
1.1 Общие положения
Настоящий стандарт содержит руководящие указания по внедрению системы менеджмента непрерывности бизнеса в организации. Целью настоящего стандарта является обеспечение организации дополнительной информацией для понимания, разработки и внедрения, анализа и постоянного улучшения деятельности организации на основе стандартов серии ГОСТ Р 53647.
В основу настоящего стандарта положен опыт внедрения системы менеджмента непрерывности бизнеса (МНБ) организациями различных направлений деятельности.
Настоящий стандарт предназначен для организаций всех размеров и форм собственности и специалистов, ответственных за обеспечение непрерывности бизнеса организации.
В область применения настоящего стандарта не входит планирование действий в чрезвычайных и других ситуациях, относящихся к области гражданской обороны и сфере действий МЧС.
Основные принципы МНБ для организации финансовой сферы деятельности приведены в приложении А.
Принимая стандартный подход к МНБ, установленный в ГОСТ Р ИСО 22301, организация может предоставить потребителям ее продукции серьезные гарантии по обеспечению непрерывности деятельности в случае непредвиденных обстоятельств.
1.2 Внедрение ГОСТ Р ИСО 22301
В ГОСТ Р ИСО 22301 установлены требования к разработке и применению эффективной системы менеджмента непрерывности бизнеса (СМНБ). Стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, исследующие соответствие организации законодательным и обязательным требованиям, а также требованиям потребителей и собственным требованиям организации.
В ГОСТ Р ИСО 22301 приведены только те требования, соответствие которым может быть установлено в ходе аудита. Демонстрация выполнения требований может быть использована организацией для обеспечения уверенности заинтересованных сторон в успешном внедрении СМНБ в организации.
В ГОСТ Р ИСО 22313 приведены руководящие указания по методам обеспечения эффективности МНБ. Организация может использовать настоящий стандарт полностью или его часть для самооценки или для оценки другими организациями. ГОСТ Р ИСО 22313 не может быть использован для сертификации СМНБ. В ГОСТ Р ИСО 22301 рассматривается также методология PDCA.
1.3 Подход PDCA
Методология PDCA ("планирование - осуществление - проверка - действие") основана на исследованиях Вальтера Шухарта, который в 1930-х годах в США занимался статистическим управлением процессами. Результаты работ Шухарта в 1950-х годах были развиты известным специалистом в области качества Эдвардсом Демингом и были применены для непрерывного улучшения систем менеджмента. На рисунке 1 представлен цикл Шухарта-Деминга.
Рисунок 1 - Цикл Шухарта-Деминга
На рисунке 2 показано, как цикл PDCA может быть применен к системам менеджмента непрерывности бизнеса в соответствии с ГОСТ Р ИСО 22301. Применение цикла PDCA приводит к достижению запланированных результатов в области непрерывности бизнеса, которые отвечают требованиям и ожиданиям заинтересованных сторон.
Рисунок 2 - Применение цикла PDCA к процессам МНБ
Соотношение элементов цикла PDCA и МНБ:
Планирование | Установление политики, целей, задач, средств контроля, процессов и процедур обеспечения непрерывности бизнеса, относящихся к менеджменту риска и улучшению непрерывности бизнеса для достижения результатов в соответствии с политикой и целями организации |
Осуществление | Внедрение и применение политики, средств контроля, процессов и процедур в области непрерывности бизнеса |
Проверка | Мониторинг и анализ СМНБ на соответствие политике и целям в области непрерывности бизнеса, отчет по результатам анализа для проведения анализа со стороны руководства, определение и утверждение корректирующих и предупреждающих действий, а также деятельности по улучшению |
Действие | Действие: поддержка и улучшение СМНБ, выполнение предупреждающих и корректирующих действий, а также деятельность по улучшению, основанная на результатах анализа со стороны руководства, и актуализация области применения СМНБ, политики и целей в области непрерывности бизнеса |
Поскольку МНБ является относительно новой методологией, как правило, ее вводят достаточно развитые организации. Подход PDCA, использованный в ГОСТ Р ИСО 22301, обеспечивает согласованность этого стандарта с другими стандартами системы менеджмента. Если у организации уже имеется система менеджмента, разумно основывать создание СМНБ на тех же структурах, формируя в некоторых случаях интегрированную систему менеджмента.
На рисунке 3 представлена схема жизненного цикла МНБ.
Рисунок 3 - Жизненный цикл МНБ
Общепризнано, что подход PDCA может быть применен к каждому элементу жизненного цикла МНБ, но в настоящем документе был использован нижеследующий подход.
Рисунок 3 представлен в виде колеса МНБ. Центр колеса (управление программой МНБ) и шина (внедрение МНБ в традиции организации) являются элементами, связанными с элементами "планирование, проверка и действие" в цикле PDCA. Спицы колеса (понимание особенностей организации, определение стратегии МНБ, разработка и выполнение ответных мер МНБ, контроль и испытания) относятся к элементу цикла PDCA "осуществление".
1.4 Планирование СМНБ
В основе жизненного цикла МНБ лежит управление программой МНБ. В отличие от управления проектом, в котором существуют начало и конец разработки, МНБ является непрерывным процессом, поэтому управление программой МНБ следует рассматривать как программу действий по обеспечению своевременности и релевантности СМНБ и гарантии ее существования в организации.
В ГОСТ Р ИСО 22301 определена программа непрерывности бизнеса как "непрерывный менеджмент и процесс управления, поддерживаемый высшим руководством и обеспеченный ресурсами для разработки и поддержания в рабочем состоянии менеджмента непрерывности бизнеса".
Программа МНБ охватывает разделы ГОСТ Р ИСО 22301:
4 "Условия организации";
5 "Лидерство";
6 "Планирование";
7 "Поддержка";
8 "Планирование и контроль";
9 "Оценка выполнения";
10 "Постоянное улучшение".
Пониманию особенностей организации посвящен подраздел 8.2 ГОСТ Р ИСО 22301-2014 "Анализ воздействия на бизнес и оценка риска".
Определение стратегий МНБ описано в подразделе 8.3 ГОСТ Р ИСО 22301-2014. Выбранные стратегии принимают во внимание существующую непрерывность бизнеса и действия, направленные на снижение риска (см. 8.3.3).
Разработка и выполнение ответных мер на инциденты МНБ описаны в подразделе 8.4 ГОСТ Р ИСО 22301-2014. Данный подраздел включает в себя установление ответных мер на инцидент и создание планов обеспечения непрерывности бизнеса.
В ГОСТ Р ИСО 22301-2014 добавлен подраздел 8.4.3 "Предупреждения и коммуникации", который охватывает средства обнаружения и реагирования на инциденты.
Контроль и проверки описаны в подразделе 8.5. "Жизненный цикл МНБ" включает также такие элементы, как поддержка и анализ. Они включены в программу МНБ (см. выше).
Внедрение МНБ в традиции организации касается компетентности и осведомленности персонала (см. 7.2, 7.3).
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения):
ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования
ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования
ГОСТ Р ИСО 22313 Менеджмент непрерывности бизнеса. Руководство по внедрению
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Условия организации
Существует множество внутренних и внешних условий и факторов, которые влияют на организацию, что необходимо учитывать при разработке, внедрении и поддержке в рабочем состоянии СМНБ.
3.1 Понимание особенностей организации и условий ее работы
Организация должна определить внешние и внутренние факторы, влияющие на достижение поставленных ею целей и на ее способность к достижению ожидаемых результатов функционирования системы менеджмента непрерывности бизнеса. Понимание особенностей организации, ее места в окружающей среде является существенным этапом создания СМНБ и принятия решений, способствующих выполнению целей организации и заинтересованных сторон.
Часть особенностей и условий работы организации может быть выявлена при анализе риска или маркетинге. Менеджеры, разрабатывающие систему менеджмента непрерывности бизнеса, могут привлечь к участию в ее разработке необходимых специалистов. Кроме того, они должны работать с высшим руководством и другими специалистами для обеспечения правильного понимания особенностей организации.
Среда, которая окружает и воздействует на организацию, может быть разделена на три области: "внутреннюю среду", "микросреду" и "макросреду" (см. рисунок 4).
3.2 Внутренняя среда
Сначала необходимо идентифицировать продукцию или услуги, разрушение которых в случае возникновения чрезвычайных ситуаций оказывает наибольшее влияние на организацию и заинтересованные стороны и на достижение целей организации. Именно эти продукция или услуги, часто называемые "ключевыми", в первую очередь должны быть включены в область применения СМНБ. Как только менеджмент ключевых продукции или услуг будет успешно установлен, область применения может быть расширена и на другие продукцию и услуги. Определение ключевых продукции и услуг следует начать с обсуждения с высшим руководством.
При выявлении ключевых продукции и услуг следует отойти от традиционного взгляда на организацию. Например, крупная транснациональная компания ИТ-услуг рассматривает все действия и функции компании - от определения цены до получения наличных денег. Эти действия включают: принятие участия в тендере, заключение контракта, поставку продукции и удовлетворение требований потребителя, предоставление счета на товары и поставленные услуги и получение оплаты. Для этого необходимо общее представление о работе организации, используемых ресурсах и распределении функций.
Важно понимать, как принимают решения в организации. Какова ее стратегия и насколько политика и цели организации соответствуют стратегии? Важно, чтобы политика в области МНБ соответствовала целям, существующей политике и процедурам организации, ее структуре и подходам к менеджменту, отношению к рискам и значимым существующим видам риска.
Рисунок 4 - Окружающая среда, воздействующая на организацию
У каждой организации существуют уникальные традиции, создаваемые в течение продолжительного времени, которые влияют на поведение и действия всех вовлеченных лиц. Поэтому важно понимать существующие традиции и отношения. Необходимо определить наличие "обособленности", "закрытости" организации и традиций поиска виновных или "открытости" организации для новых идей и способов работы. Требуется определить наличие объединений, в которых организация участвует, принцип формирования объединений (директивный или добровольный). Они введены сверху или организованы по взаимному согласию? Для достижения успеха в области МНБ необходимо работать с традициями организации.
3.3 Микросреда
Следующим этапом является определение микросреды организации. К микросреде относят: потребителей, поставщиков, партнеров, подрядчиков, дистрибьюторов и посредников. Следует определить количество потребителей, порядок заключения договора (напрямую с потребителями или через дистрибьюторов и посредников, например страховых маклеров). Необходимо определить количество поставщиков, существующие контракты и соглашения по сервисному обслуживанию с субподрядчиками, наличие взаимных мер помощи, а также наличие конкурентов и особенности их работы на рынке.
3.4 Макросреда
Важно понимать, как внешняя среда воздействует на организацию. Для этого существуют различные аналитические методы, одним из которых является Шпиль-анализ (см. рисунок 5).
Рисунок 5 - Схема Шпиль-анализа
Некоторые из вопросов, на которые необходимо ответить для каждого элемента анализа:
- Какие социальные обязательства организация имеет перед обществом, например обеспечение занятости населения, безопасности персонала?
- Как общество рассматривает деятельность организации, например как угрозу личной безопасности или потенциальную причину ущерба?
- Какова зависимость организации от внешних условий, например от коммуникаций?
- Как быстро меняются технологии, используемые организацией?
- Каков экономический климат, в котором действует организация? Каково отношение к своим обязательствам финансовых учреждений, с которыми взаимодействует организация? Насколько развита экономическая система стран, в которых работает организация и с которыми сотрудничает в сфере торговли?
- Какова этика торговых отношений? Каково отношение общественности и СМИ к организации и ее деятельности?
- Является ли стабильной политическая ситуация в стране, в которой работает организация? Влияет ли смена правительства на отношение государства к организации и ее деятельности? Существует ли угроза терроризма и общественных беспорядков для организации?
- Какие законы и нормативные акты применимы к организации? Они являются национальными или международными?
- Возможно ли воздействие терроризма и общественных беспорядков на организацию?
- Какие законы и нормативные акты применимы к организации? Являются ли они региональными, национальными или международными? В соответствии с требованиями ГОСТ Р ИСО 22301 организация должна идентифицировать законы и нормативные акты, относящиеся к обеспечению непрерывности "операций, продукции и услуг, так же как интересов соответствующих заинтересованных сторон". СМНБ должна быть установлена, внедрена и должна соответствовать требованиям применяемых законов и нормативных актов.
- Следует ли учитывать экологические аспекты? Какое воздействие (например, загрязнение) оказывает организация на окружающую среду? Какие внешние события могут воздействовать на организацию, например со стороны окружающей среды или конкурентов?
Работая над пониманием особенностей организации и условиями, в которых она работает, организация может разработать определенные цели МНБ. Высокие риски, с которыми сталкивается организация, и факторы, влияющие на решение о введении методов обеспечения непрерывности бизнеса, как правило, влияют на достижение этих целей.
3.5 Понимание потребностей и ожиданий заинтересованных сторон
Устанавливая СМНБ, организация должна определить соответствующие заинтересованные стороны и понять их требования, высказанные, подразумеваемые или обязательные.
Заинтересованные стороны (иногда называемые "стей холдерами") представляют собой людей, группы людей или организации, которые могут непосредственно участвовать в действиях организации или могут не участвовать в них, но быть затронуты принимаемыми в организации решениями. Причем эти решения могут быть приняты как в условиях обычной работы организации, так и в чрезвычайных условиях.
Заинтересованные стороны могут быть отнесены к двум группам:
1) первичными заинтересованными сторонами обычно являются внутренние заинтересованные стороны, связанные с организацией экономическими операциями. Они охватывают инвесторов, потребителей, подрядчиков, поставщиков, кредиторов и служащих. Кроме того, это могут быть инспекторы, инвесторы, банки, страховые компании и аудиторы;
2) вторичными заинтересованными сторонами обычно являются внешние заинтересованные стороны, которые хотя и не взаимодействуют непосредственно с организацией, но затронуты или могут быть затронутыми ее действиями. К вторичным заинтересованным сторонам могут быть отнесены широкая общественность, местные сообщества (как постоянного, так и временного характера), некоммерческие общественные и благотворительные организации, торговые ассоциации, государственная власть, группы активистов и СМИ. Группы активистов и СМИ могут оказывать значительное влияние на общественное восприятие организации.
Понимая интересы заинтересованных сторон, восприятие организации в условиях обычной работы и в чрезвычайных ситуациях, можно разработать соответствующие решения для обеспечения непрерывности менеджмента, которые удовлетворяют их потребностям и ожиданиям. Особенно важно разработать правильные стратегии и планы для облегчения взаимосвязи с заинтересованными сторонами при возникновении чрезвычайной ситуации.
Для идентификации заинтересованных сторон и их ожиданий можно использовать достаточно простые приемы. Для этого необходимо, чтобы менеджеры перечислили заинтересованные стороны и их ожидания в порядке значимости для организации. При этом немалую выгоду получит и высшее руководство организации, так как оно может увидеть ситуацию глазами заинтересованных сторон. Особый акцент должен быть сделан на ожиданиях потребителей организации при возникновении чрезвычайной ситуации.
Пример записей о результатах анализа потребностей и ожиданий заинтересованных сторон приведен в приложении В.
3.6 Определение области применения системы менеджмента непрерывности бизнеса
СМНБ представляет собой всеобъемлющую систему управления, которая гарантирует, что менеджмент непрерывности бизнеса в организации правильно разработан, внедрен и поддерживается в рабочем состоянии.
При проектировании СМНБ важно определить, что будет включено в область применения системы, поскольку и внутренние, и внешние заинтересованные стороны должны понимать, на какую продукцию, услуги и действия будет оказывать воздействие чрезвычайная ситуация.
Основное влияние на область применения СМНБ оказывают потребности, ожидания заинтересованных сторон, законодательные и нормативные требования, применимые к организации.
В соответствии с требованиями ГОСТ Р ИСО 22301 организация должна:
1) определить, какие части организации включены в СМНБ;
2) установить требования к СМНБ с учетом предназначения организации, ее целей, внутренних и внешних условий (включая связанные с заинтересованными сторонами), а также юридических и нормативных обязательств;
3) идентифицировать продукцию и услуги и все связанные с ними действия в рамках СМНБ;
4) учесть потребности, ожидания и интересы заинтересованных сторон, таких как потребители, инвесторы, акционеры, поставщики, а также общественность и/или сообщества (при необходимости);
5) определить область применения СМНБ с учетом размера, структуры и особенностей организации.
Для крупной организации со сложной структурой вряд ли будет целесообразно сразу вводить СМНБ для всей организации в целом или большей ее части. Разумнее начать с продукции и услуг, которые являются ключевыми для целей организации и требований внешних заинтересованных сторон. Можно ввести МНБ для некоторых подразделений или видов деятельности, таких, например, как информационно-коммуникационные технологии. Небольшая организация может быть охвачена СМНБ полностью.
Организация должна также идентифицировать и документировать те области, продукции, услуги и деятельность, которые не должны входить в область применения СМНБ. При этом важно гарантировать, что исключенные виды деятельности влияют на способность организации поставлять ключевые продукции и услуги.
Независимо от принятого решения важно, чтобы область применения СМНБ была определена и документирована в начале программы. Пример описания области применения приведен в приложении Г. Можно включить область применения в документированную политику организации.
4 Лидерство
Успех МНБ может быть достигнут только в том случае, если МНБ введен и поддерживается высшим руководством организации. Участие высшего руководства необходимо с самого начала, его лидерство и поддержка важны при продолжении работы и являются критерием значимости для МНБ организации.
Высшее руководство должно гарантировать, что установленная СМНБ соответствует стратегии организации. СМНБ не является дополнением к работе организации, она должна быть интегрирована в бизнес-процессы, а персонал, который задействован в СМНБ, должен иметь поддержку по всей организации. Высшее руководство должно обеспечить обмен информации о том, почему МНБ важен, как он будет внедряться и кто будет отвечать за его разработку, внедрение и поддержку в организации. Это может быть достигнуто путем опубликования политики МНБ, утвержденной высшим руководством.
Высшее руководство должно понимать, что эффективность МНБ является результатом длительной работы. Высшее руководство должно обеспечить соответствующие ресурсы для разработки СМНБ и то, что назначенные сотрудники компетентны и способны к достижению необходимых результатов. В крупной организации может быть назначена специальная группа МНБ. В небольшой организации или организации среднего размера МНБ может составлять часть обязанностей одного сотрудника.
Высшее руководство должно согласовать область применения СМНБ с сотрудниками, выполняющими работу в системе. Высшее руководство должно установить критерии принятия рисков организации и определить, за какие риски кто из руководства несет ответственность. Это решение не должно быть просто принято на основе личного мнения, а должно быть принято в зависимости от требований и ожиданий заинтересованных сторон. Понимание высшим руководством правильного подхода к рискам позволяет сотрудникам МНБ разработать и применить стратегии МНБ, приемлемые для высшего руководства. Без установления упомянутых критериев существует опасность, что высшее руководство отклонит предложенные стратегии МНБ, считая их слишком сложными или неадекватными.
Обязательства высшего руководства не заканчиваются при установлении СМНБ. Высшее руководство должно продемонстрировать свою продолжающуюся поддержку, активно участвуя в учениях и проверке планов непрерывности бизнеса, обеспечивая проведение внутреннего аудита, анализа со стороны руководства и постоянного улучшения.
4.1 Установление политики в области непрерывности бизнеса
Создание и публикация политики МНБ, подписанной руководителем организации, является основным элементом СМНБ и демонстрацией обязательств организации.
Политика МНБ должна содержать:
- цели создания и поддержания в рабочем состоянии МНБ в организации;
- область применения СМНБ, включая все ограничения и исключения;
- краткий обзор функций и обязанностей лиц, ответственных за разработку и внедрение МНБ;
- ресурсы, выделенные на МНБ;
- основные принципы, применяемые руководящие указания и стандарты в области МНБ;
- ссылки на законодательные и нормативные акты и обязательные требования;
- основы оценки анализа и непрерывного улучшения СМНБ.
В заключительном разделе политики должны быть установлены способы обеспечения уверенности в том, что СМНБ внедрена, результативна и поддерживается в рабочем состоянии. Подробнее см. раздел 12.
Документально оформленная политика в области непрерывности бизнеса должна быть краткой и соответствовать особенностям организации, учитывать характер, масштаб, сложность, географию и критичность ее деятельности. Политика должна также отражать традиции, взаимосвязи и окружающую среду организации. Если в организации существует стандартная форма оформления политики, то ее следует соблюдать.
В организации должна быть издана документально оформленная политика в области непрерывности бизнеса, одобренная высшим руководством и согласованная с заинтересованными сторонами.
Политика в области непрерывности бизнеса, как и политика организации в других сферах, должна быть актуализирована через запланированные интервалы времени на предмет ее соответствия целям организации, а также при внесении существенных изменений в работу организации или при наличии изменений в окружающей среде. Пример типовой политики в области непрерывности бизнеса приведен в приложении Д.
4.2 Распределение функций, ответственности и полномочий
Независимо от размера организации основой эффективного менеджмента непрерывности бизнеса является деятельность исполнительного руководства. Внедрение организацией новых процессов менеджмента требует привлечения квалифицированных специалистов высокого уровня. Это может быть управляющий небольшой компанией, директор головного филиала или руководитель местного представительства, которые способны эффективно взаимодействовать с органами власти, нести ответственность и обеспечивать непрерывную поддержку управления непрерывностью бизнеса, а также проявлять и демонстрировать свою инициативу. Организация с момента создания и в процессе функционирования СМНБ должна поддерживать демонстрацию обязательств высшего руководства в области МНБ.
Должна быть создана структура управления непрерывностью бизнеса, наиболее приспособленная к особенностям организации.
В небольшой организации может быть назначен руководитель, на которого возложена ответственность за внедрение и управление СМНБ. В международных организациях для создания и поддержки СМНБ часто создают большие группы, работающие во всем мире и во всех представительствах.
Уровень необходимых ресурсов для МНБ в головной организации должен быть сведен к минимуму и соответствовать размеру и географическому распространению организации. Деятельность в области МНБ на оперативном уровне должен выполнять персонал организации. Создание отдела по МНБ может подорвать основной принцип вовлеченности, состоящий в том, что МНБ является частью работы каждого сотрудника в организации. На рисунке 6 приведена структура МНБ для организации среднего размера. Структура МНБ, используемая в организации, должна быть одобрена и утверждена высшим руководством организации.
Рисунок 6 - Возможная структура МНБ
Рабочая группа по управлению непрерывностью бизнеса на высшем уровне (далее - Координационный Совет) должна быть создана из числа высшего руководства организации, руководителей направлений по продукции и/или услугам. Роль Координационного Совета заключается в следующем:
- ответственность за управление распределением ресурсов;
- установление приоритетов в области непрерывности бизнеса организации;
- интерпретация отношения к риску высшего руководства;
- установление стратегии обеспечения непрерывности бизнеса в соответствии с целями и обязательствами организации;
- определение действий, которые необходимо осуществлять для обеспечения постоянной актуальности и соответствия СМНБ;
- отчет высшего руководства о функционировании СМНБ.
Координационный Совет несет ответственность за обеспечение осведомленности персонала организации и причастных сторон о важных аспектах СМНБ. Подход, принятый Координационным Советом, оказывает сильное влияние на традиции организации в области непрерывности бизнеса. В небольшой организации эта функция, как правило, принадлежит владельцу или управляющему, которому может помогать один из его заместителей. В больших организациях руководители по направлениям несут ответственность за разработку и поддержку процесса МНБ в рамках их функциональной деятельности. Очень часто в обязанности руководителей по направлениям включают их обязанности в области МНБ в должностные инструкции.
Опыт организаций, которые уже внедрили СМНБ, показывает успешное применение "матричного" подхода в управлении, который состоит в формировании группы руководителей среднего и высшего звена, хорошо знающих деятельность организации, свои функции и ресурсы. В такие группы могут быть привлечены представители исполнительного и оперативного руководства различных отделов, таких как: юридический, финансовый, технологический, материально-технического снабжения, безопасности, представители поставщиков и т.д. Они должны выполнять роль советников для Координационного Совета на всех стадиях процесса управления непрерывностью бизнеса.
5 Планирование
5.1 Действия, связанные с рисками и возможностями
Вводя новую систему управления, организация сталкивается с множеством проблем. СМНБ не исключение. Важно, чтобы ответственные за разработку и внедрение СМНБ поняли, какие проблемы (риски) могут появиться, и разработали планы и мероприятия для противодействия им.
Очень важно понять традиции организации. Важно получить признание официальной и неофициальной работы организации и понять опыт, накопленный в результате внедрения других систем менеджмента или произошедших технологических изменений. Это дает возможность создать "новый дом на хорошем фундаменте старого" и разработать соответствующие планы и мероприятия по преодолению проблем. Необходимо обеспечить участие и поддержку сотрудников организации. Ориентация на управление является одной из предпосылок обеспечения того, что МНБ будет принят всерьез. Важно не делать СМНБ слишком объемной и всесторонней. Необходимо согласовать реалистические ожидания с высшим руководством и отвести достаточно времени для стадии проектирования СМНБ. Важно начать с малого и сначала ограничить область применения СМНБ. Для того чтобы СМНБ жила долго, полезно сначала добиться легитимности. Поэтому в большинстве организаций важен постепенный и систематический поэтапный подход.
Противоречивая мотивация сотрудников может изменить ориентацию на СМНБ. При этом к СМНБ сотрудники могут относиться как "к процессу, который неплохо бы иметь", так к краткосрочным целям на основе "процесса, который должен быть", например достижение целей по продажам. При сопоставлении выполнения СМНБ с целями менеджмента обеспечение регулярного пересмотра этих целей может помочь восстановить ориентацию. Полезно также деление процесса внедрения СМНБ на этапы, которые могут быть исследованы менеджерами.
Важно, чтобы высшее руководство определило время и усилия, необходимые для разработки и внедрения СМНБ. Определение реалистичных сроков и обеспечение необходимыми ресурсами важно для начала разработки СМНБ. Жизненно важно обеспечить необходимую компетентность разработчиков и участников внедрения СМНБ.
Не все проблемы являются внутренними. Изменения в нормативно-правовых требованиях, относящихся к организации, могут потребовать изменения СМНБ. Потребности и ожидания заинтересованных сторон вне организации также могут оказывать влияние на СМНБ.
Непрерывные изменения в организации затрагивают аспекты, включая стратегическое планирование, распределение ресурсов и менеджмент, системы оценки и стимулирования, мониторинг и отчетность. Поэтому необходимо исследовать СМНБ при этих изменениях для обеспечения уверенности в том, что СМНБ по-прежнему актуальна и пригодна для достижения целей организации.
5.2 Цели в области непрерывности бизнеса и планы их достижения
После того как все проблемы и риски для СМНБ идентифицированы, высшее руководство организации должно установить цели в области непрерывности бизнеса и информировать о них все подразделения организации.
Цели в области непрерывности бизнеса должны:
- быть согласованы с политикой в области непрерывности бизнеса;
- учитывать обеспечение минимального уровня производства продукции и оказания услуг, приемлемые для достижения целей организации;
- быть измеримыми;
- учитывать требования заинтересованных сторон, законодательные и обязательные требования;
- учитывать существующие проблемы и идентифицированные риски;
- быть контролируемыми и пересматриваться при необходимости.
При установлении целей в области непрерывности бизнеса организация должна определить:
- ответственных за достижение каждой цели;
- что будет сделано;
- необходимые ресурсы;
- сроки достижения цели;
- способ определения достижения цели.
Необходимо включать цели в области МНБ в личные цели руководителей. С этой целью в некоторых организациях введена плата за качество работы.
Цели в области непрерывности бизнеса могут быть включены в стратегические задачи организации, например в виде "сохранять положение самого успешного поставщика...". Поскольку основные цели руководства вытекают из общих целей организации, то они также должны включать положения, связанные с менеджментом в области непрерывности бизнеса.
После установления высшим руководством необходимости внедрения МНБ должны быть установлены цели и планы внедрения СМНБ. Для этих целей полезно использование методов управления проектом, таких как методы оценки и пересмотра планов (PERT
________________
Если организация зависит от ключевых поставщиков, посредников или партнеров при поставке ключевых продукции и услуг потребителям, то необходимо учитывать эту зависимость при внедрениии постановке целей в области МНБ. Планы должны учитывать обеспечение эффективной деятельности ключевых поставщиков и партнеров применительно к СМНБ.
6 Обеспечение выполнения работ
6.1 Ресурсы
Для успешного выполнения программы МНБ по разработке и поддержанию в рабочем состоянии МНБ необходимо выделение достаточных ресурсов. Иногда высшее руководство рассматривает расходы на СМНБ как излишние и требует демонстрации прибыли на инвестированные средства. Это может быть трудно осуществимо, поскольку СМНБ обычно разрабатывают для обеспечения непрерывности деятельности в маловероятных случаях реализации инцидента.
Аргументы в пользу СМНБ могут быть основаны в большей мере на экономике, чем на данных бухгалтерского учета. Необходимые инвестиции должны быть согласованы с затратами в случае нарушения деятельности организации.
Примером затрат в случае нарушения деятельности являются:
- стоимость потерянных продаж при остановке производства более чем на X часов;
- возможные финансовые штрафы при проведении или задержке поставки продукции/услуг;
- количество потерянных потребителей в стоимостном выражении, если остановка производства длится более чем X дней (с учетом того, что привлечение новых потребителей обычно требует больших затрат);
- стоимость потерянных договоров или невозможность заключать новые в результате отсутствия в организации внедренной СМНБ.
Уровень ресурсов, необходимых для внедрения и поддержки в рабочем состоянии СМНБ, должен соответствовать особенностям организации и ее окружающей среде. Для малых организаций СМНБ должна быть простой по структуре и недорогой по стоимости. Очень важно обеспечить выделение достаточного времени для выполнения программы МНБ. После внедрения МНБ управление непрерывностью бизнеса должно стать частью хозяйственной деятельности организации.
6.2 Обучение и компетентность
Распределения функций, ответственности и полномочий (см. раздел 4) недостаточно. Организация должна обеспечивать необходимую компетентность всего персонала, задействованного в обеспечении непрерывности бизнеса, достаточную для выполнения поставленных перед ним задач. Эти задачи могут быть различными, например разработка и планирование управления непрерывностью бизнеса или восстановление бизнеса после нарушения или разрушения. Персонал должен знать, что его ожидает, и обладать необходимыми навыками для выполнения поставленных задач, часто в сложных ситуациях. Это необходимо учитывать при разработке СМНБ.
Обучение в области непрерывности бизнеса является ключевым элементом ГОСТ Р ИСО 22301.
Для обеспечения и проведения обучения должны быть выделены необходимые финансовые ресурсы.
Действия, которые необходимо предпринять для обеспечения соответствующего уровня обучения и компетентности персонала организации в области непрерывности бизнеса, могут включать в себя:
- определение требований к компетентности персонала, вовлеченного в СМНБ (в приложении Е приведены требования к компетентности членов группы МНБ);
- проведение анализа потребностей в обучении персонала, на который возложены ответственность и полномочия в области менеджмента непрерывности бизнеса при разработке СМНБ и персонала, вовлеченного в реализацию планов обеспечения непрерывности бизнеса при возникновении инцидентов;
- обеспечение и проведение обучения;
- анализ эффективности проведенного обучения;
- регистрация актуализированных записей об обучении, полученных навыках, опыте и квалификации.
В приложении Ж приведены рекомендации по составлению программы обучения.
Если у организации нет подходящего компетентного персонала, она может нанять его со стороны. Важно, чтобы у приглашенных специалистов была необходимая компетентность и опыт для работы по программе МНБ.
6.3 Осведомленность и понимание
МНБ имеет отношение к традициям организации. Для успешного внедрения менеджмент непрерывности бизнеса должен стать частью управления организацией вне зависимости от ее размера и особенностей деятельности. На каждой стадии процесса менеджмента непрерывности бизнеса существуют возможности для улучшения организации в области МНБ.
В соответствии с ГОСТ Р ИСО 22301 необходимо, чтобы персонал, работающий в организации:
- был осведомлен о политике в области непрерывности бизнеса;
- знал о своем участии и вкладе в достижение поставленных целей организации в области непрерывности бизнеса;
- понимал выгоды от улучшения менеджмента непрерывности бизнеса;
- знал о последствиях невыполнения требований СМНБ;
- знал о своих функциях во время чрезвычайных ситуаций.
Для этого организация должна повышать и поддерживать понимание значимости МНБ в организации. Этого можно достигнуть путем постоянного обучения и информирования сотрудников. Важно ввести процесс анализа эффективности этих действий.
Создание и внедрение традиций МНБ в организации гарантирует, что он станет частью ценностей и эффективного менеджмента организации.
Традиции организации в области МНБ позволяют:
- более эффективно развивать программу менеджмента непрерывности бизнеса;
- обеспечивать уверенность причастных сторон, особенно персонала и потребителей, в способности действовать в условиях нарушения или разрушения деятельности организации;
- повышать устойчивость организации в долгосрочной перспективе путем обеспечения непрерывности бизнеса при рассмотрении и принятии решений на всех уровнях для существующих и новых продукции и услуг;
- минимизировать вероятность и воздействие нарушений и разрушений деятельности организации.
Внедрение менеджмента непрерывности бизнеса может стать длительным и сложным процессом, который может столкнуться со значительным сопротивлением со стороны персонала, не предусмотренным на ранних стадиях внедрения СМНБ. Понимание традиций организации необходимо при разработке программы в области непрерывности деятельности и бизнеса.
Для обеспечения эффективности персонал не должен воспринимать менеджмент непрерывности бизнеса как "дополнительную нагрузку" или "временную инициативу" со стороны высшего руководства. Перед началом разработки СМНБ Правление или Координационный Совет должны понять и принять важность и ценность процесса менеджмента непрерывности бизнеса. Высшее руководство должно поощрять принцип анализа, основанный на вопросе "что если?", при рассмотрении препятствий при поставке организацией продукции/услуг.
Для успешной реализации в менеджмент непрерывности бизнеса должен быть вовлечен весь персонал организации.
Часто многие нарушения и разрушения вызваны внутренними причинами. Во многих организациях у персонала существует страх вины, который препятствует открытому заявлению о возникших проблемах. Если руководство в организации не хочет слышать "плохие новости", то у персонала не возникнет желания привлекать внимание к недостаткам и несоответствиям, которые могут впоследствии привести к нарушениям деятельности или разрушению бизнеса организации.
Весь персонал, включая руководителей среднего звена, должен быть убежден, что менеджмент непрерывности бизнеса является важной задачей организации и что им отведены соответствующие функции в поддержании непрерывности поставок продукции и услуг потребителям. Важно, чтобы программы повышения осведомленности персонала в области непрерывности бизнеса стали частью программы внедрения СМНБ.
Повышение осведомленности можно разделить на две стадии. На первой стадии весь персонал организации должен быть осведомлен о целях и назначении управления непрерывностью бизнеса. Персонал должен быть убежден, что МНБ является долгосрочной инициативой, которая имеет поддержку со стороны руководителя организации.
Пример - Международная фармацевтическая компания Novartis выпустила для своих сотрудников "Кодекс поведения". Раздел "Непрерывность бизнеса" гласит следующее:
"Мы считаем, что менеджмент непрерывности бизнеса имеет решающее значение для наших потребителей, клиентов, партнеров и других заинтересованных сторон и является частью ответственной практики менеджмента. В случае возникновения чрезвычайной ситуации или значительного нарушения бизнеса мы стремимся делать все возможное для обеспечения бесперебойного снабжения основными видами продукции и услуг".
"Наши нормы поведения отражают наши обязательства быть организацией с высокой гражданской ответственностью и содержат основные принципы и правила этического делового поведения".
Метод, который был успешно использован при внедрении всеобщего менеджмента качества в 1980-х годах, включал созыв совещаний основных руководителей и специалистов по каждому направлению деятельности организации с участием специалистов в области качества, на которых обсуждали и устанавливали основные понятия и положения системы менеджмента качества, а также возможности улучшения качества продукции путем всеобщего менеджмента качества.
Аналогичный подход может быть применен и к МНБ с использованием групп, включающих руководителей и специалистов по каждому направлению деятельности организации, которые должны идентифицировать причины, препятствующие обеспечению непрерывности бизнеса. Ключевым вопросом должен быть вопрос "что если?". Опыт показывает, что даже на самом низком уровне организационной структуры персонал в состоянии усвоить основные концепции менеджмента непрерывности бизнеса и может не только идентифицировать области возможных проблем, но и предложить решения, направленные на поддержание непрерывности бизнеса.
В каждой организации существует консервативная часть руководства, скептически настроенная по отношению к вводу новых инициатив, очень часто это руководители среднего звена. Необходимо сделать особый акцент на получение именно их поддержки, если принято решение о том, что менеджмент непрерывности бизнеса должен стать частью менеджмента организации.
На этот уровень руководителей обычно ложится большая часть работы на начальном этапе определения критических видов деятельности и процессов, поэтому важно получение поддержки всех руководителей с самого начала разработки СМНБ.
Вторая стадия повышения осведомленности происходит после завершения разработки планов обеспечения непрерывности бизнеса. Важно, чтобы все причастные стороны знали о разработке организацией таких планов. Это помогает повысить их уровень доверия и уверенности в способности организации работать в ситуации остановки, нарушения и разрушения бизнеса.
Персонал должен быть уверен, что не лишается своих рабочих мест после приостановки, нарушения и/или разрушения деятельности организации. Очень важно, чтобы люди знали, какие действия они обязаны предпринимать в рамках существующего плана обеспечения непрерывности бизнеса.
Пример - Один из ведущих в стране розничных продавцов имеет политику в сфере обмена информацией для обеспечения осведомленности персонала о его действиях в случае возникновения инцидента. В организации установлен телефон, по которому персонал может получить необходимую информацию об инциденте на работе или эта информация может быть получена из СМИ. Когда в одном из столичных магазинов произошел пожар, служащие знали, что делать на следующий день. Одни отправились в ранее определенные альтернативные места работы; другие находились дома и постоянно находились на связи для получения необходимых распоряжений.
Таким образом, необходимо обеспечить постоянную информированность персонала о требованиях к их действиям во время разрушения.
Служащие, плохо знакомые с работой организации, должны быть ознакомлены с политикой в области непрерывности бизнеса и планами обеспечения непрерывности бизнеса в рамках их обязанностей и компетентности. Это может быть достигнуто путем включения материалов о менеджменте непрерывности бизнеса в программу первоначального и ежегодного инструктажа персонала. Понимание общей программы менеджмента непрерывности бизнеса может быть повышено с помощью публикаций в газетах, электронных писем, размещения информации в интернете на сайте организации, совещаний и радиопередач с участием высшего руководства и т.п. В этой информации в первую очередь должны быть приведены примеры успешного выхода организации из инцидента при активном участии персонала. Также может быть представлен опыт работы других организаций в условиях инцидента.
Хорошая осведомленность дает возможность персоналу понять значение "обеспечения непрерывности деятельности" в их каждодневных действиях. При взаимодействии с поставщиками отдел закупок организации обеспечивает осведомленность ключевых поставщиков о важности менеджмента непрерывности бизнеса для организации, а также процессах и деятельности, которые они должны вести для обеспечения бесперебойности поставок. Это относится к существующим и новым договорам на поставки.
Организация должна поощрять ответственных за разработку новой продукции, внедрение решений в области непрерывности бизнеса при проектировании продукции и связанных с ней процессов. Этот путь более рентабелен. Включение требований к обеспечению непрерывности бизнеса на стадиях проектирования и разработки продукции и процессов позволяет исключить проведение большого количества корректирующих действий в дальнейшем (при производстве и поставке продукции).
Все сотрудники должны понимать, что менеджмент непрерывности бизнеса является важной задачей организации и что каждый из них играет важную роль в обеспечении непрерывности поставок продукции и услуг потребителям.
6.4 Обмен информацией
Одной из самых больших проблем любой организации является необходимость поддерживать обмен информацией с заинтересованными сторонами во время инцидента.
Существуют случаи, когда организация считает, что она преодолела чрезвычайную ситуацию и свела к минимуму ее разрушительные последствия. Но реакция внешнего сообщества после восстановления поставок разочаровывает руководство организации. Это последствие недостаточного обмена информацией с внутренними и внешними сторонами.
Пример - У компании, производящей персональные компьютеры, возникли проблемы с загрузкой программного обеспечения на компьютер. Для предотвращения поставки потребителям дефектных компьютеров был остановлен конвейер. Но компания решила не сообщать о своих проблемах тем покупателям, которые не связывались с ней сами. Раздраженные потребители, не получившие товар и не понимающие, в чем проблема, позвонили в газету, которая раздула эту историю. Репутации компании был нанесен серьезный ущерб.
Таким образом, организация должна сообщать о своих проблемах тем, кто ожидает поставки продукции или услуг.
Особое внимание следует уделить обмену информацией с сотрудниками, поскольку в случае инцидента они могут быть обеспокоены своим благополучием и занятостью. Во время разрушающего воздействия на организацию необходим четкий обмен информацией с сотрудниками организации. Необходимо сообщить персоналу о том, какие действия он должен предпринять. Это может быть сделано с помощью инструкций на бумажном носителе, по электронной почте, по внутренней сети организации, в местных СМИ или записанных сообщениях на бесплатный телефон.
Следует признать, что обмен информацией должен носить двусторонний характер. Необходимо предусмотреть возможности персонала сообщать о своих трудных ситуациях, например о пробках из-за плохой погоды.
Необходимо также информировать высшее руководство о том, как идет исправление ситуации. Важно определить ответственных в организации за планирование и доставку сообщений высшему руководству.
Одним из основных моментов при разработке стратегии обмена информацией является то, как организация взаимодействует со СМИ во время серьезных разрушений. Независимо от размера организации если событие является достаточно существенным, чтобы вызвать интерес СМИ, то от организации должен быть назначен человек, направляющий сообщения в прессу. Предварительная подготовка материала, который при необходимости может быть быстро приспособлен к ситуации, позволяет сэкономить время. В этот материал следует включить проект заявлений и информацию об организации. Управление этими действиями должно являться частью обмена информацией организации. Важно, чтобы ответственные за работу со СМИ контролировали сообщения в прессе, по радио и телевидению. Если информация положительная, то последующие сообщения должны основываться на этом; если информация отрицательная, организация должна рассмотреть способы противодействия этому.
Появление социальных СМИ дает новые возможности быстрого обмена информацией с персоналом, общественностью и другими ключевыми сторонами, например поставщиками. Если организация планирует использовать социальные СМИ, то она должна предусмотреть и ограничение доступа для широкой общественности. Важно контролировать социальные СМИ. Информация, размещенная в Твиттере, может распространиться очень быстро.
О смерти известного певца в 2012 году через два часа узнали 2,5 миллиона человек.
Речь идет не только о наличии таких процессов и процедур в организации, но также об информированности заинтересованных сторон об имеющихся в организации средствах управления в чрезвычайных ситуациях.
Потребители должны знать, как будут затронуты интересующая их поставка товаров и услуг, а также когда они могут ожидать возвращения организации к обычной работе. Поставщики должны знать, в какие альтернативные места они могут поставить свою продукцию и порядок расчетов. Банки и инвесторы должны быть уверены, что менеджмент организации в состоянии справиться с ситуацией и что их инвестиции в безопасности.
Правительственные, государственные и другие лица, ответственные по закону, должны быть проинформированы, какие меры принимает организация для соблюдения нормативно-правовых требований. Более широкое сообщество должно получить информацию об инциденте и предпринятых действиях, если нарушение деятельности организации оказывает серьезное воздействие на благосостояние населения, например получить предупреждение в случае пожара в химическом цехе.
ГОСТ Р ИСО 22301 указывает на большое значение обмена информацией в менеджменте непрерывности бизнеса. Этот стандарт требует, чтобы организации, создающие свои СМНБ, определяли потребности во внутреннем и внешнем обмене информацией. Должно быть определено, как, когда и с кем можно общаться по вопросам нарушений.
В соответствии с ГОСТ Р ИСО 22301 организация должна установить, внедрить и поддержать процедуры:
- внутреннего обмена информацией между заинтересованными сторонами и сотрудниками организации;
- внешнего обмена информацией с потребителями, партнерскими организациями, местным сообществом и другими заинтересованными сторонами, включая СМИ;
- приема, документирования и реагирования на сообщения заинтересованных сторон;
- использования национальной и региональной систем предупреждения об угрозах (или аналогичных систем), при необходимости;
- обеспечения доступности средств обмена информацией в условиях разрушительного инцидента;
- связи с властями и обеспечения функциональной совместимости с другими организациями, участвующими в ответных мерах на инцидент и их персоналом, при необходимости;
- тестирования и обеспечения работы резервных средств связи в случае отказа основных средств связи.
При планировании процесса обмена информацией в СМНБ организации следует использовать результаты анализа заинтересованных сторон, проводимого при установлении условий организации.
6.5 Документированная информация
Доказательство эффективности СМНБ является одной из ключевых проблем, стоящих перед любой организацией. Следует сохранять документы, связанные с менеджментом СМНБ, учебными программами, инцидентами, анализом ситуаций после завершения инцидента, полученным опытом и предпринятыми действиями. Для проведения сертификации на соответствие требованиям ГОСТ Р ИСО 22301 необходимо установить документированную систему менеджмента. Эта документация должна обеспечивать объективные свидетельства при проведении сертификационного аудита.
Доказательства, содержащиеся в документах, могут быть использованы для демонстрации выполнения политики и достижения целей. Результаты и опыт учений и инцидентов могут оправдать инвестиции, сделанные в МНБ.
Внешним заинтересованным сторонам также интересны эти документы. В случае запроса или юридического требования к организации, которая не смогла поддержать поставку критических продукции и/или услуг в период разрушительного инцидента, требуются доказательства того, как работает в организации СМНБ и как выполнялось управление в условиях инцидента. Если организация не может предоставить документированные доказательства, это может нанести ей серьезный вред.
Основным элементом любой системы менеджмента является управление документацией. В рамках СМНБ очень важно, чтобы во время нарушения или разрушения деятельности соответствующие лица, причастные к СМНБ, имели установленный и санкционированный доступ к информации об инциденте, планам обеспечения непрерывности бизнеса и сопроводительной документации. Большая часть информации, содержащейся в документации СМНБ, имеет конфиденциальный характер (и поэтому должна быть защищена) и соответствующую маркировку.
6.6 Создание и обновление документации
В ГОСТ Р ИСО 22301 установлено, что при создании и обновлении документации организация должна обеспечить:
1) идентификацию и описание документов (например, наименование, дата, разработчик, идентификационный номер);
2) формат (например, язык, версия программного обеспечения, графика) и носитель информации (например, бумажный или электронный носитель), а также способ проверки и подтверждения пригодности и достаточности.
Степень документирования информации для СМНБ может отличаться в разных организациях и зависит от особенностей организации, видов ее деятельности, процессов, продукции и услуг, сложности процессов и их взаимодействий, компетентности сотрудников.
6.7 Требования к документации
Документация организации должна охватывать следующие аспекты СМНБ:
- условия деятельности организации;
- потребности и ожидания заинтересованных сторон;
- законодательные и нормативные требования;
- область применения СМНБ с описанием исключений;
- обязательства высшего руководства;
- политику в области обеспечения непрерывности бизнеса;
- организацию МНБ, функции и обязанности;
- цели МНБ и планы их достижения;
- процедуры, средства управления и поддержки СМНБ;
- мониторинг и измерения для оценки СМНБ и их результаты;
- требования к компетентности персонала, оценка персонала и записи по обучению;
- внутренние и внешние планы СМНБ по обмену информацией и записи по их выполнению;
- анализ воздействия на бизнес и процессы оценки риска;
- результаты анализа воздействия на бизнес и оценки риска;
- стратегии МНБ;
- планы обеспечения непрерывности бизнеса и планы управления в условиях инцидента;
- актуализированную подробную информацию о способах контакта и мобилизации персонала и всех вовлеченных (например, аварийных) организаций и агентств, которые должны участвовать в действиях при возникновении инцидента, а также необходимые для этого ресурсы;
- график выполнения работ, полученные результаты, корректирующие и предупреждающие действия;
- анализ ситуаций после завершения инцидента;
- график проведения аудита, результаты и действия;
- анализ менеджмента СМНБ;
- процессы управления документацией.
Степень документированности информации в разных организациях может быть различной. Она зависит от особенностей организации, видов ее деятельности и взаимодействий. Организация, подверженная аудиту, должна добровольно или в обязательном порядке представить письменные документы, относящиеся к ее СМНБ. Список этих документов дает полезную информацию о проверяемой документации. Для сертификации на соответствие требованиям ГОСТ Р ИСО 22301 данный перечень является минимальным.
6.8 Управление документацией
Документация СМНБ должна быть управляемой для обеспечения:
- защиты, распределения и доступа (включая уровни прав доступа);
- хранения и сохранности, включая обеспечение четкости текста;
- поиска и использования;
- учета версий и предотвращения непреднамеренного использования устаревшей информации;
- срока хранения и изъятия.
Не вся документация, необходимая для планирования и эксплуатации СМНБ, может храниться в пределах организации. В этом случае необходимо идентифицировать местоположение документации для соответствующего управления ею.
Вся документация СМНБ должна быть защищена для того, чтобы в нее не были введены какие-либо несанкционированные изменения.
7 Деятельность
В данном разделе рассмотрены элементы цикла PDCA. В разделе определены требования непрерывности бизнеса, способы управления в условиях инцидента. В раздел включены следующие элементы жизненного цикла МНБ (см. рисунок 3):
- анализ непрерывности бизнеса организации;
- определение стратегии МНБ;
- разработка и внедрение ответных мер МНБ;
- применение, поддержка и анализ МНБ.
Многие организации начинают разработку планов обеспечения непрерывности бизнеса с опасности возникновения возможности потери информации, нарушения информационных технологий или разрушения здания. Это традиционный подход к восстановлению бизнеса в условиях инцидента, который обеспечивает уверенность руководителей организации в адекватности предпринимаемых мер по защите бизнеса организации.
Однако при таком подходе существует вероятность того, что будут учтены не все критические виды деятельности и потребности организации.
Руководство организации может принять решение о внедрении СМНБ, которое основано именно на обеспечении непрерывности критических видов деятельности и процессов, которые производят или обеспечивают поставку ключевых продукции/услуг потребителям. Менеджмент непрерывности бизнеса хорошо согласуется с всеобщим менеджментом качества, который основан на взаимоотношениях с поставщиками и связанных с ними процессах.
Процесс деятельности каждой организация имеет свои входы и выходы независимо от размера, сектора экономики и типа производства (например, торговое предпринимательство, государственный орган, некоммерческая организация и т.д.). У всех организаций существуют потребители, которым они поставляют продукцию или оказывают услуги. Мотивация к поставке организацией продукции и/или услуг может быть различной (например, получение прибыли, социальное обеспечение, выполнение законодательных или обязательных требований) в зависимости от особенностей организации. Кроме того, существуют многочисленные заинтересованные стороны, которые осуществляют контроль за поставками организации, изготовлением продукции и оказанием услуг.
Требования к определению заинтересованных сторон, их потребностей и ожиданий представлены в настоящем стандарте как часть элемента "планирование" цикла PDCA.
7.1 Планирование и контроль
В начале раздела 5 приведены требования по установлению действий с рисками и возможностями СМНБ и (где это возможно) объединению и внедрению этих действий в процессы СМНБ. Поскольку организация развивает процессы МНБ, которые защищают непрерывность производства ключевых видов продукции и услуг, она должна обеспечить и выполнение соответствующего контроля, независимо от того, выполняет ли эти продукцию/услуги сама организация или они производятся по договору сторонней организацией.
7.2 Анализ воздействия на бизнес и оценка риска
Эти два действия имеют наибольшее значение и являются основой процедур непрерывности бизнеса. Организация должна выделить достаточное количество времени и ресурсов для решения этих задач и обеспечить компетентность работающих над этим сотрудников. Некоторые организации привлекают к этой работе внешних консультантов, но они должны удостовериться, что консультанты понимают процесс поставки ключевых видов продукции и услуг, работу процессов, особенности ресурсов и взаимодействий, поддерживающих процессы.
В соответствии с ГОСТ Р ИСО 22301-2014, пункт 8.2.1, организация должна установить, внедрить и поддерживать в рабочем состоянии документированный процесс анализа воздействия на бизнес и оценки риска, в котором:
1) установлена область применения оценки риска, определены критерии и способы оценки возможных воздействий инцидента на бизнес;
2) учтены юридические и другие требования, которые должна соблюдать организация;
3) предусмотрен систематический анализ, установлены приоритетность обработки риска и необходимые для этого затраты;
4) определены выходные данные анализа воздействия на бизнес и оценки риска;
5) установлены требования к актуализации и конфиденциальности этой информации.
7.3 Воздействие и риск
Стандарт в явном виде не указывает, в каком порядке должны быть выполнены анализ воздействия на бизнес и оценка риска. Традиционный подход менеджмента риска основан на анализе опасностей, которые могут разрушить критические виды деятельности организации, поддерживающие поставку ключевых видов продукции и/или услуг, и действиях, направленных на предотвращение этих опасностей.
С другой стороны в СМНБ применен подход, основанный на двух показателях: воздействия и времени. В рамках такого подхода необходимо исследовать воздействие на организацию (прерывания и/или остановки критических видов деятельности). При этом следует исследовать воздействие, а не его причины, поскольку не все события, которые могут произойти, можно предсказать.
Одним из основных требований менеджмента непрерывности бизнеса является то, что организация должна рассмотреть возможное воздействие на нее и на заинтересованные стороны остановки или прекращения поставки ключевых продукции или услуг и поддерживающих их критические виды вспомогательных работ.
7.4 Определение ключевых продукции и услуг
Существует два способа определения ключевых продукции и услуг организации. Первый включает в себя определение входных данных, полученных от руководителей среднего и, при необходимости, высшего звена о том, что они считают важным для организации. Результаты необходимо сопоставить, определить очередность действий по восстановлению.
Опасность в реализации этого подхода состоит в том, что многие руководители видят свои собственные области деятельности как критические, и поэтому ранжирование может вызывать трудности. Также существует возможность, что при представлении анализа высшему руководству результаты могут быть оспорены или не приняты.
Второй и предпочтительный подход заключается в использовании группы высшего руководства, рассмотрении организации как единого целого, обеспечении ранжирования ключевых продукции или услуг. При этом организация должна учесть потребности и ожидания заинтересованных сторон, определить юридические и другие требования, относящиеся к организации. Такой подход обеспечивает оптимальное направление первого этапа внедрения управления непрерывностью бизнеса.
Сложная по структуре организация может иметь большое количество ключевых видов продукции или услуг, однако и среди них должны быть установлены приоритеты по внедрению менеджмента непрерывности бизнеса.
Пример - в Англии Совет одного из графств поставляет сообществу более 200 услуг. После обсуждения на достаточно высоком уровне установлено, что только 37 из этих услуг являются ключевыми или жизненно важными для сообщества.
После определения ключевых продукции и услуг следует определить значение MTPD. В соответствии с ГОСТ Р ИСО 22301 MTPD - время, по истечении которого неблагоприятные последствия, возникшие в результате необеспечения поставок продукции/услуг или невыполнения деятельности, становятся необратимыми. Альтернативное определение MTPD - время, по истечении которого жизнеспособность организации будет утеряна, если производство продукции или оказания услуг не будут возобновлены.
Могут быть выявлены следующие воздействия:
- финансовые потери;
- воздействие на предоставление услуг;
- ухудшение или потеря репутации;
- угроза личной безопасности;
- нарушение частной жизни;
- невозможность выполнения установленных законодательных и обязательных требований;
- влияние на цели и график проекта.
Выбранные воздействия для коммерческой организации могут отличаться от воздействий для государственной организации.
Пример матрицы анализа воздействий на бизнес приведен в приложении И.
Некоторые виды продукции или услуги и связанная с ними деятельность более важны в конкретный период, например при предоставлении отчетов и выборов, проведении фестивалей, укладке дорог. Кроме того, могут существовать ключевые проекты, незавершение которых к установленному сроку может вызвать серьезные последствия для организации. Поскольку трудно прогнозировать момент, когда конкретно произойдет нарушение (разрушение), важно иметь календарный график событий, имеющих критичную зависимость от времени (см. рисунок 7).
Рисунок 7 - Ключевые ежегодные мероприятия английского университета
Важно установить приоритеты времени возобновления изготовления продукции или оказания услуг до MTPD. Целевое время восстановления представляет собой минимальное время восстановления деятельности организации по ключевым видам продукции или услуг.
В некоторых случаях организации может потребоваться поэтапное восстановление для достижения полного восстановления. Организация должна также определить минимальный уровень услуг и/или поставок продукции, приемлемый для достижения целей организации во время нарушения ее деятельности. Его называют минимальным целевым временем непрерывности бизнеса. Высшему руководству следует согласовать перечень ключевых услуг/продукции и соответствующие значения MTPD, целевой срок восстановления и минимальную цель непрерывности бизнеса.
В приложении К приведены формы записей по анализу воздействия на бизнес.
После согласования с рабочей группой МНБ или высшим руководством перечня ключевых видов продукции или услуг на следующей стадии должны быть идентифицированы критические виды деятельности, связанные с производством ключевых продукции и услуг.
Должны быть идентифицированы процессы, поддерживающие эти критические виды деятельности, а также вовлеченные ресурсы организации и третьих сторон.
Должны быть учтены функции третьих сторон в этих процессах и действиях. К третьим сторонам относят поставщиков, аутсорсеров и посредников (см. рисунок 8).
Рисунок 8 - Схема обеспечения непрерывной поставки продукции или оказания услуг
Потребители, заключая договор с организацией, ожидают, что организация поставит продукцию или услугу независимо от способности других участников поддерживать непрерывность их деятельности. Потребители считают эту организацию ответственной за нарушение поставки продукции или оказания услуг.
Пример - Обслуживание пожилых людей на дому. Для обслуживания местные органы самоуправления обычно привлекают посредников (третья сторона). В случае, если потребителя не обслужили или плохо обслужили, он и его родственники предъявляют претензии не к организации, а к местному органу самоуправления. Поэтому для местного органа важно обеспечить наличие у организации, оказывающей услуги, МНБ.
Применение анализа цепочки формирования стоимости Портера обеспечивает методологию, полезную для понимания и анализа работы организации. Конкретные действия или операции исследуют в том числе на предмет потенциального разрушения для установления того, где стоимость возрастает. Это является отправной точкой в понимании работы организации. Многие высшие и средние руководители полагают, что они "знают, как работает организация". Однако исследование многих катастроф указывает на их не случайный характер. Если руководители не знают, как работает их организация "в обычном режиме", то существует мало шансов сохранения бизнеса в случае кризиса или инцидента.
7.5 Составление карты процесса
После согласования с рабочей группой МНБ или высшим руководством перечня ключевых видов продукции или услуг на следующей стадии должны быть идентифицированы критические виды деятельности, связанные с производством этих продукции и услуг.
Должны быть идентифицированы процессы, поддерживающие эти критические виды деятельности, а также вовлеченные ресурсы организации и третьих сторон.
После определения процессов и необходимых ресурсов могут быть составлены карты процессов для критических видов деятельности. Особенностью этого метода является идентификация только фактических действий, относящихся к поставке ключевых видов продукции и/или услуг. Самым опасным моментом на данном этапе является уверенность руководителей в том, что они знают "как все устроено на самом деле" в организации, поскольку высшее руководство часто теряет связь с низшим звеном организации.
Если они не знают, как организация работает "в обычном режиме", тогда существует мало шансов сохранения этого режима в критической ситуации. Жизненно важно выявить реальные действия (процессы), чтобы иметь возможность прогнозировать события во время инцидента.
Если это выполнено, то продукция или услуги должны быть исследованы на предмет их текущей актуальности для организации и необходимости обеспечения непрерывности бизнеса в отношении их.
Пример - Организация XXX предоставляет широкий спектр услуг по управлению активами потребителей. Организация имеет четыре основных отдела по работе с потребителями: предоставление услуг на дому, управление имуществом, обслуживание коммунального оборудования и торговые договоры. Этим отделам помогают внутренние отделы, один из которых занимается закупками запчастей и оборудования (см. рисунок 9).
Высшее руководство считает звонок клиента об аварийной ситуации у него на дому ключевой услугой, поскольку эта услуга оговорена в договорах с местными домоуправляющими компаниями. Далее должны быть идентифицированы критические виды деятельности, поддерживающие эти процессы и ресурсы, а также все внутренние или внешние взаимосвязи. Это следует делать с точки зрения целостности предоставляемой услуги: (от приема звонка (запроса) до решения проблемы), поскольку именно этого потребитель ожидает от организации.
Рисунок 9 - Распределение вызовов телефонной аварийной службой потребителю на дом
Составление карты процесса обычно начинают с верхнего уровня путем описания основных элементов процесса, которым, например, в отделе обслуживания коммунального оборудования является отказ отопительной системы (см. рисунок 10).
Рисунок 10 - Пример основных элементов карты процесса
Затем, переходя на уровень ниже, составляют подробную карту процесса (см. рисунок 11).
Рисунок 11 - Пример подробной карты процесса
Далее могут быть применены более низкие уровни детализации процессов, которые также должны быть зарегистрированы. Система регистрации записей по процессу должна быть документирована на бумажных или электронных носителях.
Персонал, участвующий в работе процесса, должен помогать в составлении карты процесса путем описания своих действий, используемых ресурсов. Поскольку люди работают по-разному, а неформальные формы работы складываются в течение продолжительного периода времени, то полезно по возможности привлекать к работе нескольких сотрудников, участвующих в работе одного процесса.
Обработка карты процесса обеспечивает возможность поставщикам услуг поднять уровень обслуживания там, где существуют трудности (нехватка ресурсов, сбой питания, отказ системы безопасности). Следует также собрать информацию о том, как преодолевают трудности в настоящее время. Возможно, на этом уровне можно идентифицировать некоторые решения - обходные пути, которые существуют в организации, но не документированы, а также области, где организация может повысить свою устойчивость и снизить уязвимость.
7.6 Приемы составления карты процесса
Одна из самых простых форм составления карты процесса основана на использовании небольших клейких листков. Работнику, участвующему в процессе, предлагают описать все свои действия. Он описывает каждую стадию процесса на отдельном клейком листке, который затем наклеивают к диаграмме на плакат с изображением блок-схемы процесса (см. рисунок 12). Использование клейких листков позволяет добавить пропущенные этапы процесса, при этом отсутствует необходимость в изменении всей блок-схемы. Следует учесть, что очень часто опрашиваемый тоже может пропустить какие-то описания, считая, что человек, проводящий опрос, хорошо знает процесс.
На следующей стадии должны быть использованы клейкие листки другого цвета для нанесения на карту ресурсов, используемых на каждом этапе процесса. Ключевыми ресурсами могут быть следующие: персонал, информационные системы, производственные оборудование и ресурсы. На клейких листках должны быть отмечены: количество, размещение, навыки, функции, ответственность и обязанности персонала. Поддерживающие ИТ
________________
Для особо ответственных операций процесса рекомендуется использовать отдельную область диаграммы и клейкие листки специального цвета. После завершения составления карты процесса, выходные данные должны быть зарегистрированы и сохранены.
После составления карты процесса для всех процессов, поддерживающих критические виды деятельности для ключевых продукции или услуг, проводят идентификацию всех используемых ресурсов (см. рисунок 13).
Рисунок 12 - Простая карта процесса
Рисунок 13 - Внесение данных о ресурсах в карту процесса
Входы и выходы должны быть зарегистрированы с указанием о необходимых для выполнения задачи времени и ресурсах. Запись о необходимых ресурсах должна быть сделана напротив каждого элемента процесса. Как было отмечено, важно учесть, что некоторые виды деятельности носят сезонный характер, поэтому использование ресурсов может изменяться в течение года, например, почта на Новый год и Рождество требует привлечения временного персонала и дополнительных средств.
В приложении Л приведен пример формы журнала записей о ресурсах для каждого вида деятельности.
7.7 Оценка риска
На следующем этапе необходимо выполнить оценку риска для всех видов ресурсов, идентифицированных в карте процесса. Если у организации уже существует процесс менеджмента риска, разумно использовать этот процесс для оценки риска МНБ. В каждой организации существуют точки, отказ в которых вызывает отказ всей системы, например, ключевой сотрудник или ключевой поставщик. Используя данные составленной карты процесса, легче идентифицировать, какие процессы и, следовательно, какие действия будут затронуты в случае возможного отказа в этой точке.
Пример - Изготовитель выпускает широкий ассортимент офисной мебели. Одна из производственных линий компании произвела большой объем типовой продукции в широком ассортименте с низким коэффициентом рентабельности, в то время как другая производственная линия выполнила специальный заказ небольшого объема с высоким уровнем дохода. Такая специализация обеспечила выполнение поставки продукции компании в двух нишах рынка и обеспечила возможность заключать контракты с крупными клиентами. Проведение анализа риска для выполнения специального заказа привело к выявлению в этой производственной линии единственной точки возможного отказа: только один очень опытный служащий может выполнять специальные работы по дереву для мебели по специальному заказу, в его отсутствие линия останавливается. Отказ поставить мебель по специальному заказу организациям может привести к потере общего контракта на поставку типовой офисной мебели с теми же компаниями.
Вывод: следует идентифицировать точки, отказ в которых вызывает остановку процесса, провести анализ риска и его обработку.
Внутренние и внешние опасности, обязательства и уровень подверженности риску должны быть идентифицированы вместе с вероятностью реализации опасности. Результаты должны быть зарегистрированы. В организации может уже существовать реестр риска как часть системы менеджмента риска, в этом случае необходимо разработать интегрированный реестр риска.
Внимание должно также быть уделено разрушениям и кризисам, которые происходят вне организации. Авария в одной организации может повлиять на всех ее конкурентов. Авария, произошедшая с круизным лайнером Коста Конкордия в январе 2012 года, не только повлияла на ее собственника - компанию Carnival Corporation, но и привела к падению спроса на круизы во всех туристических компаниях.
Пример - Из продажи было изъято более 600 видов соуса, загрязненного канцерогенным пищевым красителем "Судан 1". В результате снизились продажи организации-изготовителя, хотя ее соус не содержал никаких искусственных красителей. Кампания, поднятая средствами массовой информации и общественностью, привела к снижению спроса на продукцию этой организации. За первые четыре дня отзыва продукции три тысячи пятьсот потребителей позвонили на горячую линию, требуя дополнительных исследований. Организация вынуждена была начать дорогую рекламную акцию для защиты бренда и своей 90-процентной доли продаж на рынке.
Вывод: инцидент, который не происходит непосредственно в пределах организации, тоже может быть опасен. Восприятие заинтересованных сторон, в данном случае общественности, должно быть принято во внимание при разработке процедур МНБ.
Результаты анализа воздействия на бизнес и анализа риска используют для создания матрицы риска для критических действий, как показано на рисунке 14.
Рисунок 14 - Пример матрицы риска
На данном этапе вновь могут быть проведены консультации и согласование с Координационным Советом СМНБ или с высшим руководством по определению риска для критических видов деятельности. Важно также понять какой уровень риска организация готова принять как допустимый. Уровень допустимого риска определяет уровень устойчивости организации и количество задержек или остановок поставок, которые организация считает приемлемыми с позиций обеспечения непрерывности функционирования процесса.
7.8 Обработка риска для его снижения и защиты от потерь
В матрице риска, представленной на рисунке 14, показано несколько вариантов, применимых к риску критических видов деятельности: принятие, управление или ограничение, снижение или предупреждение и планирование. Соответствующая обработка риска может включать в себя один из этих вариантов или их сочетание.
7.9 Принятие риска
В ситуации, когда воздействие на бизнес незначительно и вероятность отказа низка, Координационный Совет СМНБ, включающий членов высшего руководства, может принять решение о принятии риска и отказаться от действий по обработке риска. Допустимый риск зависит от размера организации, причастных сторон и их интересов, сферы деятельности организации, действий конкурентов и подхода высшего руководства к риску.
7.10 Снижение риска
В случае высокого уровня риска и низкого уровня воздействия на критические виды деятельности предпочтительно снижение риска. Например, при высоком риске отказа энергоснабжения наличие и функционирование резервного генератора или других источников электропитания сводит к минимуму воздействие отказа электроснабжения на критические виды деятельности. Если работа с одним поставщиком может быть приостановлена при нарушении поставок, то привлечение второго поставщика аналогичной продукции и услуг может существенно сократить риск таких исследований.
7.11 Прекращение деятельности
В случае высокого риска существенных воздействий на деятельность организации и невозможности снижения риска может быть принято решение о прекращении деятельности. Если прекращение деятельности невозможно, необходимо изменить или перепроектировать процессы или изменить размещение процессов, например разместить производство на более безопасных территориях, где последствия опасности слабее.
7.12 План обеспечения непрерывности бизнеса
Если вероятность опасного события не высока, а воздействие на бизнес является очень существенным, важно исследовать планы обеспечения непрерывности бизнеса на их выполнимость в условиях инцидента. Примером может стать классический случай, когда целая группа ключевого персонала выиграла в национальную лотерею и приняла решение немедленно оставить свои рабочие места.
В приложении М приведен пример формы записей о снижении риска.
Страхование часто может стать способом возмещения ущерба от последствий возможного опасного события. Несмотря на то, что благодаря страхованию можно получить компенсацию за потерю средств (например, оборудования) и доходов, однако это не поможет защитить бренд и репутацию организации.
Лояльность потребителя не является вечной, организация должна предусмотреть способы сохранения своих потребителей до полного восстановления услуг. Планирование обеспечения непрерывности бизнеса является основным элементом процесса МНБ, который разработан для обеспечения непрерывности поставки продукции и услуг организации потребителям. Глубина планирования зависит от уровня риска и воздействия на организацию нарушения в соответствии с допустимым риском.
Результатом оценки риска должен стать перечень действий по обработке риска, разработанных для:
1) снижения вероятности нарушения/разрушения деятельности;
2) сокращения периода нарушения/разрушения деятельности;
3) ограничения воздействия любого нарушения/разрушения на ключевые виды продукции и услуг организации.
Анализ воздействия на бизнес и анализ риска необходимо проводить регулярно, а также при внесении существенных изменений в деятельность организации или при воздействии организации на окружающую среду.
8 Стратегия непрерывности бизнеса
После идентификации критических видов работ, процессов и ресурсов, которые поддерживают ключевые продукцию или услуги организации, завершения действий по оценке воздействий и риска опасного события, согласования времени восстановления объекта и минимального уровня требуемых услуг организация должна рассмотреть пути достижения (продолжения) непрерывности деятельности.
В соответствии с ГОСТ Р ИСО 22301 организация должна определить подходящую стратегию непрерывности бизнеса для:
1) защиты приоритетных видов деятельности;
2) стабилизации, продолжения, возобновления и восстановления приоритетных видов деятельности и их обеспечения ресурсами;
3) смягчения последствий, разработки ответных мер и управления ими.
Лица, ответственные за МНБ, должны определить способ возобновления организацией критических видов деятельности в пределах установленного времени и какие ресурсы для этого потребуются. Это определяет требования к ресурсам для обеспечения непрерывности деятельности. Кроме того, необходимо определить, как будут осуществляться взаимоотношения с ключевыми заинтересованными лицами во время разрушения.
При выборе соответствующего варианта или стратегии восстановления деятельности должны быть приняты во внимание максимально приемлемый период нарушений/разрушений для каждого вида деятельности, затраты на выполнение стратегий и ущерб от последствий бездействия.
При согласовании стратегий восстановления должны быть учтены вовлеченные в них ключевые ресурсы, например персонал, производственная среда, технологии, информация и запасы. Информационные ресурсы необходимо рассматривать отдельно от технологических на основе составленных ранее карт процессов, так как через доступ к критической информации, независимо от пригодности технологий, возможно управление ключевыми услугами вручную.
Пример - Организация является важным поставщиком продукции на большой мясокомбинат. Эта организация расположена в небольшом городе, и поставка электроэнергии для нее осуществляется единственной в области электроподстанцией. Однажды утром подача электричества была приостановлена и производство остановилось. Обычно подача энергии возобновлялась в течение одного часа, но в тот день этого не произошло. Поставщик электроэнергии проинформировал организацию о том, что произошло серьезное повреждение и подача энергии возобновится не ранее, чем через 2 дня.
Эта ситуация привела к серьезным проблемам для компании, т.к. отсутствовала электроэнергия для работы компьютеров, телефонов, факсов, офисов и складов. Организация не использовала бумажных носителей информации, все записи хранились в электронном виде. В результате организация не могла воспользоваться записями о потребителях, персонале и поставщиках. Хотя организация имела запасы продукции на складах, персонал не знал, что и куда необходимо направлять, и не мог получить доступ к складам, так как на них отсутствовало освещение. Отправив персонал домой, администрация, при необходимости, не могла с ним связаться. В это время у основного потребителя также произошла остановка производства, и тонны мяса не были вовремя обработаны.
Вывод: необходимо обеспечивать резервные возможности доступа к информации.
Вышеупомянутая организация после этого случая для обеспечения устойчивости своей работы установила небольшой аварийный генератор.
Любой инцидент, который приводит к нарушению договоренностей, вызывает неудобства для людей, включая персонал организации, потребителей, подрядчиков, партнеров и сообщество в целом. Чем больше и длительнее разрушение, тем большие последствия для людей. Обязанностью организации является защита людей и выполнение нормативных и договорных требований.
Для эффективного восстановления организация должна обеспечить разработку соответствующих HR-политики
________________
1) управление людьми во время восстановления;
2) поддержку людей после восстановления организации.
Важно обеспечить, чтобы HR-политика и процедуры, при обращении к ним, позволяли распознать и определить влияние разрушительного инцидента на людей, пострадавших от него. Отказ признать эти проблемы и управлять ими может привести к недовольству людей и, следовательно, к снижению возможностей организации в то время, когда она является наиболее уязвимой.
Влияние на людей крупного инцидента и последующего разрушения не заканчивается в момент, когда организация полностью восстановилась, хотя она и вернулась к нормальной работе. Для многих это влияние продолжается в течение длительного времени. Поэтому важно, что HR-политика и процедуры осуществлялись в организации в течение длительного периода.
Для организации важно разработать стратегии по обеспечению непрерывности системы поставок, поскольку существуют случаи, когда организация зависит от нескольких основных поставщиков, которые должны вовремя поставлять ключевые продукты и услуги. В соответствии с ГОСТ Р ИСО 22301 организация должна провести анализ возможностей в области непрерывности бизнеса у поставщиков, которые идентифицированы как значимые в процессе анализа воздействия на бизнес.
Как было сказано ранее, потребители ожидают, что организация возьмет на себя ответственность за свою систему поставок, и, вероятно, они будут считать организацию (а не ее поставщиков) ответственной за нарушение поставки продукции или услуг. Кроме того, организация может отвечать за плохую поставку в соответствии с законодательством, даже если проблема в ее поставщиках. Поэтому репутации организации и ее бренду может быть нанесен серьезный ущерб в случае возникновения проблем в системе поставок или в действиях поставщика.
При разработке стратегии восстановления деятельности обычно рекомендуют рассмотреть четыре возможных сценария. Не следует искать причину выбора сценария. Вместо этого необходимо исследовать возможное воздействие событий, описанных в сценарии, в случае их реализации. Следующие четыре сценария являются наиболее важными:
- невозможность попасть в помещение;
- нехватка персонала;
- нарушение технологий;
- нарушение ключевых поставок от поставщиков или партнеров.
Существуют три уровня стратегий восстановления деятельности:
1-й уровень - Полная работоспособность - отказы невозможны.
2-й уровень - Восстановление на согласованном минимальном уровне в течение установленного периода восстановления.
3-й уровень - Прекращение работы.
Стратегию обеспечения полной работоспособности следует применять в случае, когда не может быть допущено никаких нарушений/разрушений деятельности. Это относится, например, к работе телефонов аварийной службы "01", электронным банковским операциям по переводу средств или отделениям реанимации в больнице.
Дублирование действий и ресурсов, поддерживающих такую деятельность, является наиболее простым способом повышения работоспособности. Например, в течение одной секунды работа компьютерного средства на отдельном участке может автоматически переключиться на другой участок по дублированной телекоммуникационной сети.
Если возобновление деятельности может быть осуществлено поэтапно в течение некоторого времени, следует согласовать этапы восстановления и время их завершения. Рассмотрение воздействия нарушений/разрушений на организацию в течение продолжительного периода времени может помочь установить параметры применения такого подхода; например, через два часа должно быть выполнено восстановление деятельности на 25% (согласованный минимальный уровень), через два дня - на 50%, а полное восстановление - через неделю.
Примерами решений, в которых применен данный подход, являются: использование резервных офисов, оборудованных компьютерами и телефонами для персонала, выполняющего критические виды деятельности; взаимодействие с альтернативными поставщиками или наличие резервных запасов; использование временных руководителей на критических должностях; соглашение с аналогичной по роду деятельности организацией.
Если применяемая стратегия основана на полной работоспособности или альтернативном восстановлении в пределах целевого срока восстановления объекта на согласованном минимальном уровне, то тип и количество необходимых ресурсов должны быть идентифицированы. В приложении Н приведен пример формы требований к ресурсам.
В приложении П приведены возможные стратегии, связанные с ключевыми ресурсами организации.
Стратегия прекращения деятельности, как правило, не является безопасной для организации. Существуют вопросы, которые без управления впоследствии могут оказать серьезное негативное воздействие на организацию. Это воздействие может быть финансовым или, что более вероятно, может негативно воздействовать на репутацию организации. При выборе варианта прекращения деятельности важно идентифицировать диапазон возможных последствий, которые возникнут в долгосрочной перспективе, и установить надлежащие меры защиты от них, например, обмен информацией с причастными сторонами относительно причин принятия такого решения. Примером подобной стратегии могут быть органы местного самоуправления, которые прекращают планирование рабочих программ в случае возникновения чрезвычайной ситуации в обществе.
Если принято решение о приостановке или уменьшении объемов поставок по конкретному ассортименту продукции и/или услуг, то организация должна быть подготовлена к тому, чтобы выполнить плановые работы путем исполнения невыполненных работ. Для выполнения этой задачи может быть организована работа в сверхурочное время, производство продукции или услуг и выполнение работ в сторонних организациях; кроме того может быть принято решение о приостановке этих работ. Многие организации, которым удалось выдержать разрушения, впоследствии потерпели неудачу, потому что не были способны преодолеть отставание в графике работ.
Пример - Небольшой региональный поставщик разноплановых коммуникаций привлек много новых клиентов в результате эффективной ценовой политики. Привлечение большого количества потребителей за небольшой срок привело к замедлению работ системы коммуникаций. Это в свою очередь вызвало претензии со стороны потребителей и привело к увеличению штата обслуживающего персонала. Было принято решение о начале модернизации системы, однако модернизация привела к еще большему недовольству потребителей.
На работу были приняты новые сотрудники по работе с запросами потребителей, однако прошло время, прежде чем они получили необходимые навыки и опыт. Количество неудовлетворительных претензий продолжало расти. Пошли публикации в СМИ. Организация больше не могла удовлетворять претензии и замедление работы системы достигло такого уровня, что потребители начали расторгать договора. В конечном счете, организация была вынуждена продать свои активы национальному поставщику коммуникаций.
Необходимо тщательно рассчитать плановые значения затрат на внедрение каждой выбранной стратегии. Везде, где возможно, затраты должны быть сопоставлены с потерями от нарушений/разрушений. В некоторых случаях очень трудно или невозможно оценить подобные затраты. Может случиться, что самым большим воздействием нарушений/разрушений бизнеса организации будут снижение репутации или затруднения в работе избранных представителей властей.
Решение об уровне устойчивости и непрерывности деятельности состоит в установлении высшим руководством "предела падения" организации в период разрушения. Оно должно завершить разработку стратегий поддержки ключевых видов продукции или услуг, а также критических видов деятельности и связанных с ними ресурсов, с учетом затрат на восстановление. После этого начинают разработку планов менеджмента непрерывности бизнеса.
9 Разработка и внедрение процедур непрерывности бизнеса
9.1 Структура ответных мер на инцидент
Термин "инцидент" впервые был использован в ГОСТ Р ИСО 22301, но может быть заменен терминами "кризис" или "чрезвычайная ситуация". Каждая организация, независимо от ее размера, должна иметь процедуры работы с подобными событиями.
Структура ответных мер на инцидент должна учитывать и поддерживать деятельность организации на всех уровнях в период действия инцидента. Если подобная структура отсутствует, то существует опасность, что несколько подразделений организации независимо друг от друга будут осуществлять управление ответными мерами, планами по обеспечению непрерывности бизнеса и восстановлению. Это может привести к задержкам, конфликтам, несогласованности, некорректному распределению ресурсов и недостижению установленных уровней непрерывности.
Важно, чтобы деятельность организации в период инцидента учитывала скорость его развития, что обеспечивает контроль над ситуацией. В большой организации обычно проводят разделение ответственности между группой по управлению в условиях чрезвычайной ситуации (например, при пожаре и эвакуации) и группой, ответственной за обеспечение непрерывности бизнеса. Например, в государственном секторе экономики не следует назначать один и тот же персонал, ответственный за деятельность в условиях чрезвычайной ситуации в обществе (например, при наводнении) и за обеспечение непрерывности деятельности органов государственной власти. Эта задача может стать невыполнимой для вовлеченной группы персонала.
Установленные процедуры должны соответствовать размеру и особенностям организации и содержать основные данные для определения событий и времени нарушений деятельности и начала работы конкретных планов действий организации в этих ситуациях.
Временной график ответных мер на инцидент приведен на рисунке 15. Диаграмма показывает последовательное выполнение планов управления в условиях инцидента, обеспечения непрерывности бизнеса и восстановления деятельности организации. Однако в некоторых случаях планы могут быть внедрены в другой последовательности или одновременно.
Рисунок 15 - Временной график ответных мер
Существуют четыре основных элемента структуры ответных мер на инцидент:
- оценка ситуации;
- инициирование (активация) ответных мер на инцидент;
- возможность обмена информацией;
- принятие решений.
9.2 Оценка ситуации
В процедуре управления в условиях инцидента должны быть идентифицированы полномочия специалистов по определению масштаба и серьезности нарушений/разрушений. Должны быть установлены процесс проведения начальной оценки ситуации и непрерывный процесс мониторинга и обмена информацией с персоналом, ответственным за управление в условиях инцидента.
9.3 Активация
В структуре ответных мер на инцидент должен быть определен процесс активации планов и оповещения лиц, ответственных за обмен информацией, и лиц и/или организаций, которые должны быть информированы об инциденте. Должны быть определены полномочия по активации упомянутых планов на соответствующем уровне организации. Если нарушение/разрушение происходит на уровне филиала организации, тогда руководитель филиала должен быть наделен полномочиями по инициированию планов. Наделение руководителей более высокого уровня подобными полномочиями в данном случае нецелесообразно, так как может быть упущено время ответных мер и ситуация может выйти из-под контроля, что может привести к серьезным последствиям для организации.
Пример - В течение шести дней января 1998 года на большой территории шел дождь и была холодная погода, что вызвало образование обледенений на телефонных линиях и линиях электропередачи толщиной 6-11 см. Обледенение и снег привели к обрывам проводов и оставили почти 4 миллиона человек без электричества, в некоторых случаях - более чем на месяц. Полномочия активации аварийного плана энергетической компании в чрезвычайных ситуациях были возложены на представителей из высшего руководства, которые в тот момент все отдыхали в пансионатах далеко от организации. Необходимые средства связи отсутствовали, поскольку линии связи по наземным коммуникациям с пансионатами были разрушены. Эта ситуация привела к задержке ответных действий организации в условиях чрезвычайной ситуации.
Вывод: необходимо обеспечить наличие на рабочем месте хотя бы одного сотрудника, наделенного полномочиями по активации планов и необходимых средств связи.
9.4 Обмен информацией
После активации соответствующих планов существенно важной задачей является информирование и постоянная передача данных об инциденте всем заинтересованным сторонам. В структуре ответных мер на инцидент должны быть определены организации и лица, которые должны быть проинформированы об инциденте, и лица, ответственные за донесение этой информации до адресата. В перечень лиц и организаций, которые должны быть проинформированы об инциденте, могут быть, при необходимости, включены СМИ. В этом случае в рамках процедуры ответных мер на инцидент должен быть назначен уполномоченный организации по работе со СМИ. Во время нарушений/разрушений требуется точный и краткий обмен информацией.
Эта деятельность включена как требование в ГОСТ Р ИСО 22301-2014, пункт 8.4.3. В соответствии с ГОСТ Р ИСО 22301 организация должна установить, внедрить и поддерживать в рабочем состоянии процедуры для:
1) обнаружения инцидента;
2) мониторинга инцидента;
3) обмена информацией в пределах организации, а также получения, документирования и реагирования на сообщения заинтересованных сторон;
4) получения, документирования и реагирования на информацию национальной или региональной системы предупреждения о рисках;
5) обеспечения доступности средств связи в условиях разрушительного инцидента;
6) упрощенного обмена информацией с аварийно-спасательными службами;
7) записи жизненно важной информации об инциденте, предпринятых действиях и принятых решениях.
Кроме того, должно быть рассмотрено следующее:
- оповещение заинтересованных сторон о возможном воздействии на них фактического или возможного инцидента;
- обеспечения взаимодействия нескольких организаций, реагирующих на инцидент, и их персонала;
- работа средств связи.
Процедуры обмена информацией и предупреждения необходимо регулярно проверять.
9.5 Принятие решения
Существенно важно, чтобы в период больших разрушений в организации существовала структура, позволяющая руководству принимать обоснованные решения и держать ситуацию под контролем. Организации, стиль управления которых обычно основан на обсуждениях и согласованиях, должны быстро переключиться на авторитарный стиль управления (см. рисунок 16). Для аварийных служб и вооруженных сил авторитарный стиль управления является принятой системой управления. В других организациях могут возникнуть проблемы с применением этого подхода, поэтому следует проводить учения до возникновения инцидента.
Рисунок 16 - Модель структуры командного управления
Модель, представленная на рисунке 16, подходит для организаций больших и средних размеров. Малые организации обычно ограничены в управленческих ресурсах, и поэтому руководители в них совмещают тактические и стратегические обязанности. В этом случае существенно, чтобы лица, ответственные за управление в условиях инцидента, имели достаточно времени для выполнения 1-го и 2-го уровней модели руководства, несмотря на текущие дела.
В период крупных разрушений могут возникнуть противоречия в приоритетах, так как обычно ресурсы ограничены, и руководители всех уровней полагают, что восстановление их деятельности наиболее важно. Решения о приоритетах должны быть приняты при перспективном проектировании, а не в период разрушений. Однако каждая конкретная ситуация имеет свои особенности, и должен существовать механизм адаптации при расстановке приоритетов. Координационный Совет должен выбирать стратегии и быть уполномочен для установления приоритетов и поэтому должен состоять из специалистов, осведомленных о работе всей организации.
9.6 Группа реагирования на инцидент
В соответствии с ГОСТ Р ИСО 22301 организация должна установить "структуру управления действиями при возникновении разрушительного инцидента с использованием персонала, обладающего необходимой ответственностью, полномочиями и компетентностью". Группу реагирования на инцидент следует сосредоточить в едином центре управления и включить в нее таких специалистов, которые по своим обязанностям хорошо знают работу организации. Одна из возможных структур группы показана на рисунке 17.
Рисунок 17 - Возможная структура группы ответных мер на инцидент
9.7 Руководитель группы
Руководитель группы отвечает за управление группой и является основным связующим звеном группы с соответствующими руководителями организации. Руководитель группы - человек, который принимает решение на основе установленных критериев о необходимости собрать группу. Руководитель группы обеспечивает, чтобы все необходимые функции группы были охвачены, и разрабатывает план управления в условиях инцидента.
В идеале руководитель группы должен быть менеджером высокого уровня, которому доверяют решения, имеющие долгосрочную перспективу. Его следует освободить от других обязанностей и дать возможность работать с группой, пока инцидент не будет закончен или передан группе по восстановлению непрерывности бизнеса.
9.8 Специалист по здоровью и безопасности
Специалист по здоровью и безопасности отвечает за здоровье и безопасность на уровне организации. Он может быть ответственным за проблемы охраны окружающей среды. Он также обеспечивает контакт высокого уровня со службами экстренной помощи и правительственными учреждениями, консультирует по надлежащим защитным средствам и другим вопросам, связанным со здоровьем и безопасностью. Этот специалист может также быть ответственным за уведомление широкой общественности о возможных опасностях, связанных с инцидентом, например химических выбросах.
9.9 Специалист по обмену информацией
Специалист по обмену информацией обеспечивает информирование общественности с помощью пресс-релизов и контактов со СМИ. Он также координирует внутренние контакты с руководителями, персоналом и другими заинтересованными сторонами. При подготовке он использует консультации юриста. При необходимости информирует прессу о месте возникновения инцидента.
9.10 Специалист по человеческим ресурсам
Специалист по человеческим ресурсам обеспечивает решение проблем с персоналом. Он проводит консультации в кризисных ситуациях, имеет доступ к базе данных служащего, обеспечивает поддержку контактов с членами семьи, мобилизует необходимые внутренние и внешние человеческие ресурсы (при необходимости).
9.11 Юрист
Юрист обеспечивает юридические консультации членам группы и организует необходимую внешнюю юридическую поддержку. Он участвует в подготовке сообщений и дает консультации о ситуации на месте инцидента для последующего расследования.
9.12 Специалист по функционированию
Специалист по функционированию обеспечивает в организации поставку продукции и услуг, проводит консультации по продукции и услугам и обеспечивает поддержку, при необходимости.
9.13 Координатор группы
Координатором группы могут быть один или несколько человек. Они всегда находятся в центре управления и обеспечивают членов группы самой актуальной информацией, а также помогают руководителю группы в управлении действиями группы, включая:
- запись информации и комментариев;
- информирование руководителя группы об изменениях;
- обновление группы при появлении рисков на любом национальном или региональном уровне;
- ведение журнала записей о предпринятых действиях и принятых решениях;
- обновление членов группы, если они прибывают вновь или возвращаются в центр управления;
- помощь руководителю группы в управлении действиями группы;
- запись ключевых номеров телефона, контактов, возможно не записанных до инцидента.
9.14 Администратор группы
Администратором являются один или несколько членов группы.
Администратор:
- помогает обустроить центр управления;
- подготавливает к использованию ИТ-оборудование;
- оказывает компьютерную поддержку данных и процедур доступа;
- работает с факсом и электронной почтой;
- выполняет копии документов, например план ответных мер на инцидент;
- обеспечивает информацией о новостях и погоде;
- собирает информацию, которая может быть необходима (например, о внешних ресурсах);
- обеспечивает наличие механизмов социального обеспечения группы.
Для обеспечения выполнения вышеперечисленных пунктов должны быть назначены представители. Администратор, во-первых, находит замену отсутствующим членам группы, во-вторых, если группа должна работать длительный период времени, заменяет отдельных членов группы, чтобы избежать их переутомления и усталости.
Сначала, при сборе группы, составляют график совещаний, как правило, каждые два или три часа в зависимости от особенностей инцидента. Все ключевые вопросы решают на совещаниях группы. Совещания должны продолжаться приблизительно 20-30 минут, оставляя членам группы время для принятия решений.
Чтобы руководителю группы было легче работать, рекомендуется использовать стандартную повестку дня. Возможная повестка дня:
1) отчет о мерах, принятых в предшествующий период;
2) обзор и анализ ситуации;
3) краткосрочные и долгосрочные решения;
4) решения о формировании положений в области непрерывности бизнеса;
5) распределение рабочих заданий;
6) краткая информация о положении, внутреннем и внешнем;
7) краткая информация и управление группой;
8) завершение работ.
9.15 Обучение
Важно, чтобы все участники, включая представителей, были компетентны и могли эффективно работать в группе. Потребности в обучении должны быть оценены и удовлетворены, в них входит и соответствующее обучение специалиста по контактам со СМИ.
Группа должна проводить учения по различным сценариям для ознакомления с проблемами управления в условиях инцидента. Заинтересованные стороны контролируют действия группы по ликвидации последствий инцидента и формируют доверие организации. Обмен положительной информацией с заинтересованными сторонами важен для формирования доверия к организации (см. выше пункт "Обмен информацией").
9.16 Центр управления
Организация должна подготовить соответствующее помещение для работы группы. Если нет специального центра управления, то это может быть просто помещение в организации, например зал заседаний или учебный класс; но эти помещения должны быть доступными для группы в случае необходимости. Еще один центр может находиться вне пределов организации, например в гостинице или у поставщиков. Опыт показал, что желательно иметь в наличии резервный центр управления, поскольку основной центр может быть поврежден в ходе инцидента или доступ в него невозможен из-за необходимости размещения в этом помещении услуг экстренных служб.
Центр должен быть оборудован или иметь легкий доступ к:
- телефону - стационарному, мобильному, спутниковому;
- факсу;
- специализированному компьютеру с интернетом и интернет-доступом;
- связи с компьютерной сетью;
- принтеру и фотокопировальному устройству;
- аудио- и/или видеооборудованию для конференц-связи;
- телевидению со спутниковой связью, которое обеспечивает способность контролировать новости;
- ключевым канцелярским товарам (ручки, маркеры, флипчарты, бумага и т.д.);
- проекторам и экранам;
- информационной доске;
- часам (несколько штук), если больше чем один часовой пояс вовлечен в инцидент;
- информации на доске для мониторинга мест нахождения членов группы;
- резервным копиям печатного экземпляра плана управления инцидентом, планам непрерывности бизнеса, отчетам персонала, спискам контактов и ключевому сайту или справочной информации;
- социальным удобствам для членов группы.
10 Ответные меры на инцидент и планы непрерывности бизнеса
При отсутствии ключевых этапов по разработке СМНБ и стратегии обеспечения непрерывности бизнеса первым предпринимаемым действием многих организаций обычно становится разработка плана обеспечения непрерывности бизнеса. Опасность такого подхода состоит в том, что без предварительных исследований разработка плана обеспечения непрерывности бизнеса не может привести к истинному анализу и пониманию работы организации и способов поставки ключевых продукции и/или услуг. Может быть упущен анализ различных стратегий и необходимых для них ресурсов. В результате разработанный план может стать непригоден для достижения поставленных целей обеспечения достаточной защиты и достижения возможных преимуществ от его внедрения для организации. После завершения разработки МНБ и стратегии обеспечения непрерывности бизнеса организация может приступить к идентификации и оценке инцидентов и разработке планов обеспечения непрерывности бизнеса.
Опыт показал, что организации могут быть разрушены по многим причинам. Планирование непрерывности бизнеса традиционно было основано на известных опасностях: нарушение ИТ, пожар, наводнение и т.д. Некоторое время назад Великобритания испытала некоторые неожиданные разрушения, включая широко распространенную вспышку ящура, обширные разрушения на железных дорогах, нехватку нефти и топлива и прекращение водоснабжения в течение продолжительного периода, воздействие вулканического облака пепла. В большинстве случаев существующие планы не охватывают возможность таких разрушений и не учитывают их воздействие на организацию.
При разработке плана непрерывности бизнеса очень важно обеспечить интеграцию всех элементов менеджмента организации (см. рисунок 18). В противном случае со стороны причастных сторон могут возникнуть предположения о полном несоответствии организации плану обеспечения непрерывности бизнеса. Если план предусматривает работу членов оперативного штаба в домашних условиях, тогда отдел ИТ должен подтвердить наличие и функционирование или своевременное предоставление работникам необходимой технической базы. Возможно, отдел кадров должен будет обеспечить применимость полиса медицинского страхования или других документов персонала к той территории, на которой он выполняет работу.
Планы непрерывности бизнеса используют в сложных и напряженных обстоятельствах, поэтому планы должны быть краткими, простыми и легко выполнимыми. Кроме того, планы должны гарантировать, что в процессе их выполнения организация поддерживает соответствие своей деятельности законам и инструкциям.
Планы в области непрерывности бизнеса должны обеспечить ответы на следующие основные вопросы:
- Что необходимо сделать?
- Когда?
- Где расположены альтернативные ресурсы?
- Кто вовлечен в работу?
- Каким способом должна быть обеспечена непрерывность бизнеса?
В любой организации могут существовать несколько взаимосвязанных планов, охватывающих действия в чрезвычайных ситуациях в области непрерывности бизнеса, управления в условиях инцидента и управления восстановлением. Разработанные планы должны соответствовать потребностям организации.
Для малых предприятий, работающих в узкой сфере, может быть достаточно разработки единственного документа, который охватывает управление в условиях инцидента и менеджмент непрерывности бизнеса, в то время как для больших организаций может потребоваться интегрированный план и/или планы филиалов и организации, основанные на общей структуре организации. Они в свою очередь могут делиться на более конкретные планы на местах, например в больничных палатах (см. рисунок 19). Для устранения конфликтов и применения согласованных приоритетов при восстановлении такие планы должны быть синхронизированы. В большой организации группа или координатор работ по СМНБ могут взять на себя выполнение этой роли.
Рисунок 18 - Системы менеджмента и планирование обеспечения непрерывности бизнеса
Рисунок 19 - Структура плана непрерывности бизнеса организации
Организация должна разработать подробные планы, устанавливающие способы управления в условиях инцидента (планы ответных мер на инцидент) и обеспечения непрерывности бизнеса. В планах должны быть учтены согласованный график работ и существующий уровень производства или услуг.
У многих крупных организаций существуют функциональные отделы, которые являются службами поддержки для множества подразделений, например отдел информационно-коммуникационных технологий, отдел управления персоналом, финансовый отдел. Службы поддержки должны разработать планы МНБ, которые отвечают потребностям бизнес-подразделений для продолжения работы критически важных процессов и видов деятельности. Для ИТ-технологий значение приемлемого срока восстановления может отличаться от такого значения для функциональных подразделений. Если организация не может восстановить, например, компьютерную сеть за установленное время, то бизнес-подразделение должно применить любые альтернативные меры до возобновления службы поддержки.
Все планы в конкретных ситуациях изменяются, поэтому необходимо обеспечить управление версиями и конфигурацией планов. Каждая копия плана должна быть учтена и иметь номер. Следует также управлять распространением документов. Если в план включена важная для организации информация, то для плана должен быть определен и обеспечен соответствующий уровень конфиденциальности.
Планы могут быть разработаны в различной форме. Они могут быть изложены в виде текста, блок-схемы или созданы с помощью специального программного обеспечения. Они могут быть представлены на электронном или бумажном носителе. Так как планы предназначены для использования в условиях инцидента, они должны быть точными и краткими. Они должны содержать минимальное количество информации, позволяющей обеспечить непрерывность деятельности. Необходимо обеспечить постоянный доступ к планам для персонала, в обязанности которого входит их использование.
Пример - Во время крупных разрушений и инцидентов полицейские были вынуждены эвакуировать людей и перегородить проход в большие торговые районы. При этом нашлись люди, которые хотели пересечь линии кордона, чтобы пройти к зданию, в котором они работали. Когда их останавливали, то выяснялось, что они хотели взять из офисов свой план обеспечения непрерывности бизнеса, оставленный там.
Вывод: Необходимо обеспечить постоянную доступность копии планов управления в условиях инцидента и планов обеспечения непрерывности бизнеса и хранить дополнительные копии этих планов вдали от места возможных разрушений.
В больших организациях может быть использован общий шаблон для создания планов обеспечения непрерывности бизнеса и управления в условиях инцидента. Часто организации хотят применить стандартный шаблон или форму, утвержденные и изданные законодательными и регулирующими органами, в которых требуется только изменить детали. Несмотря на то, что шаблон или форма полезны, в качестве руководства следует помнить, что не существует двух одинаковых организаций и различия в планах неизбежны как для разных организаций, так и для разных подразделений одной и той же организации, расположенных в разных местах. Поэтому план должен отражать работу конкретной организации.
Угроза глобальной пандемии гриппа заставила множество организаций обратиться к непрерывности бизнеса. Были разработаны планы непрерывности бизнеса для уникального сценария, который включал определенные действия, охватывающие гигиену труда, политику управления персоналом и безопасность. Хотя это очень важные области, к которым непременно следует обратиться в случае пандемии гриппа, каждый элемент этого плана должен поддерживаться конкретными функциями. Необходимо чтобы эти элементы были документированы по отдельности и в планах непрерывности бизнеса было указано место их нахождения, например гиперссылками в пределах электронного плана. Это обеспечивает доступность всех механизмов и минимизирует рабочую нагрузку владельца плана непрерывности бизнеса.
Ответственный за разработку плана должен быть идентифицирован. В больших организациях планы создают на различных уровнях. Руководители филиалов организации должны нести ответственность за оперативные планы. Через установленные интервалы времени, а также в случае существенных изменений в организации или ее окружающей среде необходимо проводить анализ всех планов. Ответственный за разработку плана должен выполнять анализ, а после этого утвердить план на более высоком уровне. Пример анализа содержится в приложении Р.
Планы должны также учитывать все внешние действия, связанные с управлением в условиях инцидента, включая действия аварийных служб, местных властей и других внешних организаций в случае значимых разрушений. Если здание принадлежит внешним владельцам, то действия в непредвиденных обстоятельствах управляющей организации или землевладельца должны быть скоординированы.
10.1 Содержание плана
Далее рассмотрены рекомендуемые элементы плана ответных мер и планов непрерывности бизнеса.
10.2 Цель и область применения должны быть четко определены
Задачи: В планы по восстановлению бизнеса должны быть включены подробное описание первоочередных задач обеспечения непрерывности бизнеса и восстановления ключевых продукции или услуг, а также связанных с ними критических видов деятельности; кроме того должны быть установлены приемлемые уровни и сроки восстановления.
10.3 Предположения и зависимости
В плане следует указать на то, какие предположения были использованы, например наихудший вариант: средства информационно-коммуникационных технологий недоступны в течение пяти дней. Также должны быть указаны все взаимозависимости и взаимодействия, необходимые для работы плана.
10.4 Функции и ответственность
В плане следует определить функции и ответственность людей, которые будут вовлечены в работу по созданию плана. Следует определить руководителя группы, ее ключевых членов и их представителей, которые должны собраться в случае активации плана. Также должны быть определены уровни их полномочий (включая финансовые полномочия) и лица, перед которыми они должны отчитываться о своих действиях. В плане должно быть определено, в какой момент ответственность за управление в условиях инцидента или управление непрерывностью бизнеса должна перейти к руководству более высокого уровня организации. За планы непрерывности бизнеса и управление в условиях инцидента могут отвечать отдельные группы.
10.5 Активация плана
В плане должны быть установлены условия, при которых он должен быть активирован (его начинают выполнять), и ответственные за это лица. План должен также включать подробное описание способов управления в условиях нарушений/разрушений бизнеса и воздействия их последствий на организацию. Важно, чтобы организация была в состоянии быстро принимать меры во избежание еще более крупных разрушений. Для активации плана в филиале организации может быть необходимо закрепление соответствующих полномочий на более низком уровне для работы с локальными инцидентами. Сведения об активации плана должны быть направлены высшему руководству. Это обеспечивает высшему руководству информированность о наличии инцидента и возможность исследовать его влияние на организацию. Инструкции о проведении таких исследований должны быть подробно описаны в плане.
10.6 Центр управления
Подробное описание мест работы рабочих групп (центр управления основной и резервный) по управлению в условиях нарушений/разрушений.
Должны быть запланированы резервные места размещения. Детали резервных мест расположений должны быть включены в план вместе с картами, мерами безопасности для обеспечения доступа, договорными терминами и любой другой соответствующей информацией.
10.7 Планы восстановления системы
Для малых предприятий планы восстановления основной (базовой) системы могут представлять собой один документ. Эти планы могут состоять из инструкций по восстановлению данных или перемещению телекоммуникационных услуг к альтернативному месту размещения для выполнения работ. В крупных организациях планы восстановления имеют более сложную структуру и представляют собой несколько документов, которые обычно разрабатывают ответственные за оказание конкретных услуг или выполнение конкретных видов работ; например, планы восстановления ИТ разрабатывают в информационном центре. В основном плане восстановления должно быть назначено лицо, ответственное за разработку этого плана и ключевые предпринимаемые действия.
10.8 Контактная информация
План должен включать контактную информацию участников группы и их представителей. Кроме того, он может включать другие детали для внутренних и внешних контактов с:
- ключевым высшим руководством;
- оперативным штатом ключевых сотрудников;
- аварийными службами;
- чиновниками (органов местного самоуправления);
- другими службами и органами власти;
- поставщиками;
- ключевыми потребителями;
- сервисными компаниями;
- страховыми компаниями;
- СМИ.
Целесообразно включать подробную информацию о ключевых контрактах, страховых полисах, обязательных и законодательных требованиях и т.д. Эти дополнительные документы могут храниться отдельно от плана, однако, при необходимости, они должны быть доступны.
10.9 Жизненно важные документы и ресурсы
Перечень жизненно важных документов и ресурсов, необходимых для обеспечения непрерывности и восстановления бизнеса для каждого критического вида деятельности, должен быть включен в планы по восстановлению этих видов деятельности вместе с подробной информацией о месте их нахождения. Планы должны быть основаны на результатах анализа воздействий на бизнес. К жизненно важным документам могут быть отнесены записи об ответственных за обеспечение жизненно важными материалами, а также о мерах по обеспечению безопасности, например паролях. Жизненно важные материалы могут включать бумагу для печатающих устройств, запасные части, специальные машины и инструменты.
10.10 Контрольные листы
Простой контрольный или маршрутный листы могут быть предусмотрены планом для подтверждения завершения рабочей группой выполнения обязательных задач. Для обеспечения полноты охвата и учета рабочей группой всех ключевых элементов планом могут быть предусмотрены записи повестки дня рабочих совещаний (см. раздел 9).
10.11 Регистрация инцидента
При любом крупном инциденте обычным требованием являются записи о последствиях инцидента и данных аудита. Поэтому жизненно важно своевременно регистрировать записи о предпринятых действиях, их причинах, сроках и участвующих лицах. Пример формы журнала регистрации данных об инциденте приведен в приложении С.
10.12 Человеческий фактор
Отдельное внимание должно быть уделено потребностям персонала, подрядчиков и посетителей, которые в результате инцидента должны быть быстро эвакуированы из помещений. Следует учесть, что у этих лиц обычно нет времени на сбор личных вещей, например денег, кредитных карт, ключей и удостоверений личности. Среди них могут быть раненые или погибшие, и поэтому необходимо сообщить об этом их ближайшим родственникам. Организации должны проявлять внимание и заботу о персонале. Аналогичные проблемы персонала должны быть учтены в плане управления в условиях инцидента, где должны быть идентифицированы ответственные за работу с проблемами людей.
В планах должны быть также учтены средства обеспечения безопасности и здоровья лиц, участвующих в работе с нарушениями/разрушениями. Кроме того, необходимо обеспечить достаточную численность рабочих групп в случае, если восстановление бизнеса после разрушений может занять продолжительное время.
10.13 Обмен информацией
В план должен быть включен подробный перечень того, какая информация и кому должна быть сообщена и кто отвечает за передачу сообщений. Это касается внутреннего и внешнего обмена информацией. Крупные организации могут иметь отдельный план обмена информацией.
10.14 Сохранность при инцидентах
Очень часто эту область менеджмента непрерывности бизнеса не учитывают. Если организация подверглась пожару, наводнению или другому серьезному повреждению здания, очень важно гарантировать сохранность и восстановление документов, ресурсов и оборудования; например, документы должны храниться в несгораемых сейфах. Документы и оборудование, поврежденные водой или иными загрязнителями, могут быть вывезены и восстановлены специалистами подрядных организаций. Поскольку при инциденте фактор времени является существенным, необходимо заранее предусмотреть, как можно выполнить реставрационные работы.
10.15 Возвращение к нормальному режиму работы
Должен быть установлен процесс завершения работы группы обеспечения непрерывности бизнеса и возвращения к нормальному режиму работы после ликвидации разрушений.
Особенности, сложность и масштаб восстановления организации для возвращения к нормальной работе не могут быть полностью определены до инцидента, поэтому управление восстановлением должно быть гибким, способным к изменениям и уместным по отношению к широкому диапазону рисков, применимых к организации и условиям ее деятельности.
Некоторые инциденты являются столь серьезными, что могут изменить структуру организации, нормальный режим ее работы, а также ее заинтересованные стороны. Таким образом, все предварительно запланированные мероприятия по восстановлению должны быть рассмотрены и сделаны выводы из произошедшего инцидента. Возможно, что после восстановления организация будет работать по-другому.
Необходимо, чтобы мероприятия по восстановлению организации были согласованы с управлением в условиях инцидента и мерами МНБ.
10.16 Внедрение
Планы должны быть внедрены и выполнены. Для внедрения планов специалисты, указанные в планах, должны знать о своих функциях, полномочиях и ответственности, а также, при необходимости, пройти соответствующее обучение, позволяющее им выполнять свои обязанности. Подраздел "обучение" в разделе 6 включает ключевые этапы разработки программ обучения и дает руководство по обучению. Проведение учений является одним из основных методов обеспечения того, что персонал, участвующий в управлении в условиях инцидента и обеспечении непрерывности бизнеса, знает о содержании планов и своих функциях. Внедрение подробно описано в разделе 11.
Внутренние и внешние заинтересованные стороны должны знать, что у организации существуют планы работы в условиях разрушений. Они должны знать, что будет сделано, какие продукция и услуги будут доступны при восстановлении. При необходимости, они должны также знать, какие действия организация не будет выполнять во время восстановления.
Внешние заинтересованные стороны, партнеры и поставщики, помогающие организации справиться с нарушениями/разрушениями, должны знать свои функции и обязанности. Поскольку эти партнеры и поставщики также могут попасть под воздействие тех же нарушений/разрушений, важно, чтобы у них были разработаны и внедрены их собственные планы обеспечения непрерывности бизнеса.
В приложении Т приведен пример простой структуры плана. Важно отметить, что планы должны соответствовать размеру и особенностям деятельности организации и поддерживать управление в условиях инцидента, а не мешать ему. Простой маршрутный лист может быть более удобен на уровне филиала организации для начала выполнения ответных мер на инцидент, а общие планы необходимы в центральном отделении для координации работ.
11 Учения и проверки
Для МНБ необходимы эффективные планы действий по обеспечению гибкого реагирования организации на любой инцидент. Однако планы будут неработоспособны, если по ним не проводят учений.
В соответствии с ГОСТ Р ИСО 22301 организация должна проводить учения и проверки своих процедур обеспечения непрерывности бизнеса для уверенности в том, что они соответствуют ее целям в области непрерывности бизнеса.
Планы ничего не стоят, если по ним не проводили учений. Существует много примеров, когда у организаций были планы обеспечения непрерывности бизнеса, но при возникновении инцидента ими нельзя было воспользоваться, так как по ним никто не проводил предварительных учений. Исследования, которые проводились в Великобритании (Королевский институт управления, 2012), показали, что только половина организаций, имеющих планы, ежегодно проводят по ним учения или проверки, осуществляют или проверяют их ежегодно, а 18 процентов вообще никогда не проводят учений по своим планам (см. рисунок 20).
Проведение учений по планам важно, поскольку очень маловероятно, что созданный план является работоспособным. Проведение учений гарантирует, что недостатки плана будут установлены до его использования в реальной ситуации. Семьдесят шесть процентов организаций, проводивших предварительные учения, нашли ошибки в своих планах. Лучше найти ошибки во время учений, чем при возникновении опасного события. При выявлении ошибки следует своевременно провести корректирующие действия для ее исправления.
На рисунке 21 показаны результаты проведенных учений в британских организациях.
Проведение учений помогает создать атмосферу доверия и сплоченности членов группы, понять им свои функции, обязанности и получить опыт практических действий в условиях инцидента.
Существуют различные формы проведения учений. Учения наиболее важны:
- для проверки работы СМНБ;
- для апробации действий персонала;
- для практического обучения персонала.
Рисунок 20 - Частота проведения британскими организациями проверок планов непрерывности бизнеса
Рисунок 21 - Результаты проведенных учений в британских организациях
Примерами проверок могут быть следующие:
- проверка того, что резервный генератор работает при сбое в системе питания;
- проверка отсутствия сбоев в работе телефона;
- проверка возможности восстановления данных из резервных источников.
Пример - Директор небольшой организации, работа которой зависела от ИТ-систем, гарантировал, что резервная копия важных данных каждый день копируется на ленту. Ленту каждый день он забирал с собой и помещал ее в боковой карман на дверце автомобиля.
Когда в организации произошел сбой сервера, обратились к резервным данным, но лента была пуста. Дверной карман находился рядом с одним из громкоговорителей автомобиля, и магнитное поле, созданное громкоговорителем, стерло данные с ленты.
Вывод: магнитные ленты следует хранить в безопасном месте, необходимо иметь более одной копии, следует проводить регулярные проверки того, как можно восстановить данные.
Тестирование должно обеспечивать проверку корректности работы технических систем, точности рабочих инструкций и их пригодности для оборудования и работы. Условия тестирования должны быть близки к реальной работе, насколько возможно, например предельная нагрузка генератора. Другая форма проверки, которую следует регулярно проводить - работа с перечнем информируемых лиц. Такие перечни используют для проверки линий обмена информацией при активации планов.
Планы должны быть внедрены путем проведения учений для подтверждения их всесторонности и реалистичности. Первоначальные учения должны доказать работоспособность плана и должны называться обучающими. До первоначальных учений по возможности следует провести анализ плана лицами, не участвующими в его внедрении. Предварительное ознакомление должно быть направлено на проверку понятности плана. При необходимости план может быть передан другому персоналу для проверки учета в плане всех вовлеченных лиц и определения в нем пробелов и неточностей.
Проведение учений направлено не только на поиск ошибок и недочетов, а также на проверку соответствия плана своему назначению. Проверка дает возможность обучения специалистов, упомянутых в плане. Ниже приведены основные правила, которые необходимо соблюдать при планировании учений.
Должны быть определены цели и задачи учений, которые могут включать в себя:
- подтверждение того, что все участники понимают свои функции и план в целом заслуживает положительной оценки;
- проверку должного функционирования процедур инициирования работ и оповещения лиц, установленных в соответствии с деревом звонков;
- проверку работоспособности и должного функционирования производственных площадок, оборудования, систем и услуг;
- подтверждение того, что производство ключевых продукции и/или услуг может быть восстановлено в пределах установленных приемлемых сроков и на приемлемом уровне.
Учения не должны подвергать организацию риску дополнительных разрушений. Они должны быть практичными и рентабельными, соответствовать характеру и размеру организации, разработаны так, чтобы создать атмосферу доверия этому плану.
Пример - Крупная государственная организация приняла решение о проверке бесперебойности подачи электроэнергии к своим основным компьютерным системам. Отказ в подаче электроэнергии привел к проблемам в компьютерной сети и в конечном итоге к полной потере систем. При попытке восстановить подачу электроэнергии был активирован дополнительный выключатель, однако это действие вызвало резкий скачок напряжения на компьютерах. При этом было выведено из строя несколько ключевых компонентов компьютеров. Срочно была налажена работа альтернативных систем, однако полное восстановление заняло несколько недель. В результате было признано, что проверка не была должным образом подготовлена и не был проведен необходимый предварительный анализ риска, что и привело к печальным последствиям. Поэтому при проведении учений очень важно заранее проводить анализ риска и воздействия возможных опасных событий.
Вывод: при проведении учений важно планирование и оценка их воздействия на организацию и оценка рисков.
Должна быть установлена и документирована регулярная программа проведения учений. Реализация программы проведения учений должна проводиться либо в точно установленные высшим руководством периоды времени, либо при существенных изменениях в организации или ее окружающей среде. В соответствии с ГОСТ Р ИСО 22301 высшее руководство должно принимать активное участие в учениях и проверках для демонстрации приверженности СМНБ.
Должны быть назначены наблюдатели за ходом учений и работой группы обеспечения непрерывности бизнеса. Следует обеспечить максимально полное участие в учениях вовлеченных лиц. Если у организации существует служба внутреннего аудита, целесообразно пригласить для наблюдения и/или участия в учениях квалифицированного аудитора и обеспечить сбор информации о фактическом выполнении планов.
Существуют различные формы учений: в виде обсуждения на совещаниях, на которых участники проводят анализ плана, или в виде сплошного контроля, при котором проводят пошаговый анализ процедуры, процесса, операции и взаимодействий между участниками, и в виде полной проверки плана, при проведении которой, например, закрывают участок или здание и предпринимаются действия по переводу работ на альтернативные места размещения. Полная проверка плана - единственный способ обеспечения уверенности всех заинтересованных лиц в том, что управление в условиях инцидента и меры по обеспечению непрерывности бизнеса работают, как запланировано. В приложении У приведены типы и методы учений по планам МНБ.
Для проведения учений по плану МНБ руководство организации должно утвердить соответствующий сценарий, наиболее подходящий для организации. Первоначально полезно проводить учения по отдельным элементам плана, устраняя найденные недостатки до проведения учений по всему плану целиком. Целесообразно изменять сценарий учений каждый раз после проведения учений для обеспечения соответствия плана и работоспособности всех его компонентов.
Полное тестирование плана не всегда является необходимым, организация должна обеспечить такое построение учебных программ, при котором их совместное выполнение за достаточный период времени обеспечивает проверку всех аспектов непрерывности бизнеса и вовлечение соответствующих сторон.
Поскольку нарушения/разрушения происходят обычно без предупреждения, целесообразно отрабатывать на учениях меры быстрого реагирования, при этом о проведении учений должно быть уведомлено минимально возможное количество членов коллектива.
Учения могут проводиться в режиме реального времени или в более сжатые сроки так, чтобы учения можно было провести за один прием. Важно предусматривать в учениях перерывы так, чтобы персонал и рабочие группы могли лучше понять цели и результаты учений. Поскольку проведение учений требует от участников предельного внимания, им должно быть дано время на внимательное изучение плана.
Жизненно важным вопросом являются тренировки участников рабочей группы. В сложной ситуации персонал может вести себя непредсказуемо. Реальная активация плана действий может вызвать очень напряженную ситуацию, поэтому важно выяснить сильные и слабые стороны сотрудников. Как было заявлено ранее, в Великобритании культура управления при принятии решения основана на согласовании мнений при условии наличия максимальной информации, доступной для всех участников сторон. Во время учебной активации плана стиль управления может быть заменен на командный и авторитарный, а управление основано на менее полной информации.
Для успешной работы руководитель должен владеть различными стилями управления, так как может сложиться ситуация, при которой участникам рабочих групп будет недостаточно имеющихся навыков. Некоторыми из них можно овладеть при обучении, но чаще всего возникает необходимость изменения функций членов группы или даже исключения некоторых членов группы. Это не относится к руководителю группы, который лучше всех информирован о том, как действовать в случае инцидента.
Во время учений следует проводить регистрацию всех действий и полученных результатов, которые необходимо как можно быстрее анализировать. Хорошие результаты может дать проведение такого анализа вместе с участниками учения таким образом, чтобы они могли свободно выразить свое мнение о происходящем: что приемлемо, а что нет и почему. Для этого можно предложить участникам во время учений вести собственные записи событий. Отчеты независимых наблюдателей должны быть также учтены.
Составляемый после проведения учений отчет должен быть максимально полным и включать рекомендации о необходимых действиях по корректировке планов. Старший руководитель подразделения, в котором проводились учения, должен подписать отчет и провести необходимые корректирующие и предупреждающие действия. Схема процесса проведения учений приведена на рисунке 22.
Документация учебных программ предоставляет явное доказательство аудиторам, что в организации к МНБ относятся серьезно и МНБ является важной частью документации организации, подтверждающей соответствие требованиям ГОСТ Р ИСО 22301.
Документация программы учений должна обеспечивать аудиторам объективные свидетельства, что персонал организации серьезно относится к управлению непрерывностью бизнеса. Кроме того, документация программы учений является жизненно важной частью документации СМНБ, представляемой в соответствии с ГОСТ Р ИСО 22301.
12 Оценка результатов деятельности
Данный раздел относится к элементу "проверка" СМНБ и охватывает мониторинг и анализ результатов деятельности СМНБ и непрерывности бизнеса. Важно, чтобы организация проводила оценки через запланированные интервалы или при появлении значительных изменений.
12.1 Поддержка СМНБ
Любая организация находится в процессе непрерывного изменения. Функции и обязанности сотрудников могут изменяться, в организации меняется персонал. Могут происходить слияния организаций, расширение и сокращение, изменение форм внутренней отчетности. Могут изменяться поставщики и клиенты, законодательные и обязательные требования, политические условия в странах поставщиков и т.п. В договоры поставки (аутсорсинга) могут быть внесены изменения об ответственности за критические виды деятельности и поставки: например, предоставление ИТ-услуг может быть передано третьей стороне, при необходимости. Могут быть внедрены новые продукция и услуги, открыты новые и закрыты старые направления работ.
Рисунок 22 - Схема процесса проведения учений
Поэтому важно, чтобы СМНБ и положения МНБ подвергались регулярному мониторингу, измерению и анализу.
В организации должны быть установлены процессы, в соответствии с которыми информация обо всех изменениях, затрагивающих непрерывность деятельности в целом, должна быть доведена до координатора работ по управлению непрерывностью бизнеса или ответственного руководителя соответствующего уровня. Планы должны быть скорректированы, если изменения незначительны. Если произошли серьезные изменения, то может возникнуть необходимость в повторном проведении анализа воздействий на бизнес и переоценке критических видов деятельности и соответствующих процессов и ресурсов.
В этом случае может потребоваться разработка новых стратегий непрерывности бизнеса, а также внесение изменений в процессы управления в условиях инцидента и планы обеспечения непрерывности бизнеса. Любые изменения в предусмотренных мерах МНБ должны быть одобрены на соответствующем уровне руководства организации.
Независимо от того, были внесены изменения или нет, ответные меры СМНБ следует ежегодно анализировать для обеспечения их актуальности и пригодности. Высшее руководство должно проводить анализ перечня ключевой продукции и/или услуг и оценку критичности поддерживающих их видов деятельности и приоритетов для восстановления бизнеса. Необходимо проверять актуальность поддерживающих процессов и ресурсов. Необходимо проводить анализ планов для обеспечения их соответствия и работоспособности. Независимо от того были внесены изменения или нет, окончательные версии отчетов об анализе должны быть утверждены на соответствующем уровне руководства.
Персонал должен быть осведомлен обо всех изменениях, затрагивающих способы достижения и обеспечения непрерывности деятельности организации. Должно быть введено управление версиями документов СМНБ в рамках процесса управления документацией организации.
В соответствии с ГОСТ Р ИСО 22301 организация должна определить:
- контролируемые с помощью мониторинга и измерений параметры и объекты;
- методы мониторинга, измерения, анализа и оценки для обеспечения достоверных результатов;
- сроки и периодичность мониторинга и измерений;
- сроки анализа и оценки результатов мониторинга и измерений.
Следует использовать количественные и качественные показатели, чтобы убедить руководство организации, что СМНБ достигает целей, правильно внедряется и поддерживается.
Это может быть сделано, например, с помощью введения ключевых показателей эффективности. Они имеют численное значение и помогают организации в достижении ее целей.
Примеры ключевых показателей эффективности:
- процент ключевых продукции и услуг, которые охватывает СМНБ;
- процент планов, завершенных к указанной дате;
- количество учебных занятий, завершенных к указанной дате;
- процент сотрудников, посетивших учебные занятия;
- количество планов, по которым проведены учения, и типы проведенных учений, завершенных к указанной дате;
- процент действий, выполненных в процессе учений, которые были закончены в установленный период времени;
- процент планов проанализированных к установленной целевой дате;
- количество разрушительных инцидентов или угроз, произошедших в заданный период времени.
Для оценки качества и результативности СМНБ требуются оценки другого вида, которые являются более субъективными. Они могут быть получены путем сравнения элементов СМНБ с требованиями внутренних стандартов организации, эффективными практиками, применяемыми в промышленности, или требованиями ГОСТ Р ИСО 22301. Оценки могут включать:
- соблюдение политики непрерывности бизнеса и целей организации;
- соблюдение применимых законодательных и нормативных требований;
- качество воздействия и анализ риска, планы непрерывности бизнеса;
- качество, широта и ясность сценариев учений и учебных материалов;
- оценка результативности обучения персонала по СМНБ и положениям непрерывности бизнеса;
- уроки, полученные из учений;
- уровень воздействия, вызванный разрушительными инцидентами;
- результативность положений МНБ, если требуется;
- уроки, полученные в результате анализов прошедших инцидентов (см. ниже);
- понимание и удовлетворенность заинтересованных сторон организации положениями МНБ.
Чтобы оценить функционирование МНБ в организации, можно использовать модели зрелости. Они могут быть использованы для анализа текущего статуса существующей СМНБ и затем использованы ежегодно для демонстрации наличия улучшений или их отсутствия.
Некоторые организации используют анкетные опросы для самооценки соответствия своей МНБ принятым стандартам. В приложении Ф приведен перечень вопросов для самооценки.
Организация должна принять меры по устранению неблагоприятных тенденций или результатов анализа. Эти результаты также могут быть использованы для выбора корректирующих действий и установления целей МНБ на следующие 12 месяцев. Организация должна сохранять документальные доказательства мониторинга, измерения, анализа и оценки, которые способствуют выбору корректирующих действий в случае необходимости.
12.2 Анализ произошедшего инцидента
Если в организации произошел инцидент, вызвавший нарушение и/или разрушение деятельности, и был активирован план управления в условиях инцидента и/или план обеспечения непрерывности бизнеса, то следует провести анализ инцидента в следующих направлениях:
- установить особенности и причины инцидента;
- оценить адекватность предпринятых ответных мер;
- оценить эффективность планов за максимально приемлемый период восстановления;
- оценить действия и способности вовлеченного в выполнение планов персонала;
- идентифицировать все улучшения, которые могут быть внедрены в СМНБ, и положения по непрерывности бизнеса;
- установить график проведения корректирующих действий.
12.3 Внутренний аудит
Решение о вводе в организации МНБ принимает ее высшее руководство. Исследование Королевского Института управления, проведенное в 2012 году, показало, что основной причиной введения МНБ в организации является потребность в хорошем корпоративном управлении. Высшее руководство организации должно быть уверено, что СМНБ и процедуры МНБ достигают своих целей и правильно внедрены.
Внутренний аудит обычно проверяет соблюдение политики и процедур в организации и является ценным источником информации для высшего руководства и руководящих органов. Он является катализатором для повышения результативности и эффективности работы организации, предоставляя информацию и рекомендации, основанные на результатах анализа и оценки процессов обеспечения непрерывности бизнеса. Если организация примет решение о соблюдении требований какого-либо стандарта, например, ГОСТ Р ИСО 22301 (как указано ниже), то с помощью внутреннего аудита можно получить гарантию того, что СМНБ и МНБ выполняют требования этого стандарта.
"Организация должна:
- запланировать, установить, внедрить и поддерживать в рабочем состоянии программу(ы) аудита, которая должна включать частоту проведения аудита, его методы, распределение ответственности, требования к планированию и отчетам.
Программа аудита должна:
- учитывать важность проверяемых процессов и результаты предыдущих аудитов;
- для каждого аудита определить критерии и область применения;
- назначить аудиторов и обеспечить объективность и беспристрастность процесса аудита;
- обеспечить информирование руководства о результатах аудита;
- сохранять записи как свидетельство выполнения программы аудита и результаты аудита".
Руководство, ответственное за проверяемую область аудита, должно обеспечить, чтобы все необходимые исправления и корректирующие действия для устранения обнаруженных несоответствий и вызвавших их причин предпринимались без излишних задержек. Выполнение корректирующих действий должно быть проверено и сделаны записи о результатах.
12.4 Анализ со стороны руководства
Важным элементом в оценке деятельности организации является анализ со стороны руководства. Высшее руководство должно проводить анализ системы менеджмента непрерывности бизнеса через запланированные интервалы времени для обеспечения ее пригодности, адекватности и результативности.
Анализ нужен для поиска областей улучшения или, если это необходимо, изменения структуры СМНБ. Области, которые охватывает анализ, описаны в разделах 3-6, особое внимание уделяют политике и целям МНБ для организации. Внимание должно быть уделено всем изменениям во внешних или внутренних факторах, которые относятся к СМНБ. Результаты анализа, включая идентифицированные возможности для непрерывного совершенствования, должны быть зарегистрированы, записи необходимо поддерживать в рабочем состоянии.
Для анализа могут использоваться различные источники информации. Они включают в себя:
- информацию от аудитов СМНБ и внутренних аудитов;
- результаты аудита поставщиков и партнеров, касающиеся положений МНБ;
- обратную связь от заинтересованных сторон и рекомендации для улучшений;
- статус несоответствий и корректирующих действий, включая последствия ранее выполненных действий;
- уровень остаточного риска и изменений допустимого риска организации;
- вновь обнаруженные и ранее не рассмотренные опасности/угрозы;
- результаты учений, включая анализ полученного опыта;
- наблюдения/рекомендации, относящиеся к инциденту, или опыт самой организации и других сторон;
- результаты программ по обучению и повышению осведомленности;
- результаты оценки мониторинга и измерений;
- полученный опыт и действия, связанные с разрушительным инцидентом;
- современную надлежащую практику и рекомендации.
Результаты анализа со стороны высшего руководства должны включать решения, связанные с любыми изменениями:
- требований к бизнесу;
- требований к снижению риска;
- требований к безопасности;
- условий работы и процессов;
- юридических, нормативных и договорных требований;
- потребностей в ресурсах и финансовых требований.
Результаты анализа со стороны руководства включают решения и календарный график действий, связанных с возможностями непрерывного улучшения СМНБ и возможными изменениями системы. Они могут включать в себя:
- "изменения в области применения СМНБ;
- постоянное улучшение результативности СМНБ;
- обновление оценки риска, анализа воздействия на бизнес, планы непрерывности бизнеса и связанные с ними процедуры;
- способы измерений результативности СМНБ и МНБ".
Организация должна сохранить документированные доказательства результатов анализа со стороны руководства. Результаты должны быть сообщены соответствующим заинтересованным сторонам.
13 Улучшение
Заключительный элемент цикла PDCA - "действие" охватывает поддержку и улучшение СМНБ. Одним из ключевых элементов СМНБ является ее способность к постоянному улучшению. Это ключевое положение подхода Деминга к управлению качеством, а также требование ГОСТ Р ИСО 22301. Постоянное улучшение основано на японской философии Кайдзен, означающей "изменения к лучшему" или "постепенные усовершенствования".
Легко понять, что такое система Кайдзен, но ее трудно внедрить на непрерывной основе в организации чаще всего из-за самоуспокоенности, беспорядка, потери фокусировки, отсутствия обязательств, разнонаправленных приоритетов и недостатка ресурсов.
В разделе 5 упомянуты риск и возможности, которые соответствуют введению СМНБ и потребности развить планы соответствующих действий с рисками, если они проявятся. Для успешного внедрения СМНБ организация должна создать традиции в коллективе, который способствует постоянному улучшению.
Пример - Старший менеджер назначен управляющим телевизионным заводом. Он принял следующее решение: если работник на поточной линии находит проблему с качеством, вызванную нехваткой ресурсов или некорректными методами производства, он имеет право остановить эту линию. Осознание необходимости решения проблем было обоснованным, работника не обвиняли за остановку производства, его поощряли за то, что он препятствовал выпуску дефектной продукции.
Персонал организации является превосходным источником предложений для улучшений ее работы. Персонал хорошо видит области улучшения системы, проведения предупреждающих действий и повышения устойчивости организации. Но чаще всего традиции в коллективе организации таковы, что персонал отказывается подавать свои предложения руководству.
Организация должна поощрять персонал, выявляющий упущения, излишнее дублирование и недостатки. Часто именно внутренняя культура организации может препятствовать предложению новых идей. При использовании системы рацпредложений или обсуждения способов повышения эффективности МНБ и устойчивости организации на совещаниях или при личном общении руководители могут создать благоприятный климат для постоянных улучшений.
Есть два вида действий, связанные с заключительным элементом СМНБ: несоответствия и постоянное улучшение.
13.1 Несоответствие и корректирующее действие
Корректирующие действия - это деятельность организации по устранению причин несоответствий в СМНБ, направленная на предотвращение их повторного появления. ГОСТ Р ИСО 22301 требует наличия документированной процедуры корректирующих действий:
Организация должна:
1) идентифицировать несоответствие;
2) реагировать на несоответствие в зависимости от ситуации;
3) применять контроль и исправление несоответствий;
4) устранять последствия несоответствий.
В соответствии с ГОСТ Р ИСО 22301 организация должна оценивать необходимость действий по устранению причин несоответствий посредством:
- анализа несоответствий;
- определения причин несоответствий, чтобы они не появились вновь или в другом месте;
- определения наличия возможности возникновения похожих несоответствий;
- оценки необходимости принятия корректирующих действий, чтобы гарантировать, что несоответствия не появятся вновь или в другом месте;
- определения и выполнения необходимых корректирующих действий;
- анализа эффективности принятых корректирующих действий;
- внесения изменений в СМНБ, при необходимости.
Организация должна сохранять документацию:
- о характере несоответствий и всех предпринятых действиях;
- о результатах корректирующих действий.
13.2 Постоянное улучшение
Как и любая система менеджмента, СМНБ необходимо постоянно улучшать. Организация должна принять меры, направленные на обеспечение непрерывного повышения пригодности, адекватности и результативности СМНБ через:
- анализ политики и целей в области непрерывности бизнеса;
- результаты аудита;
- анализ мониторинга СМНБ;
- корректирующие и предупреждающие действия;
- анализ менеджмента.
14 Заключение
Несмотря на повышение применения МНБ в организациях, существуют еще менеджеры, которые не хотят применять менеджмент непрерывности бизнеса даже перед лицом серьезных разрушений. У них существует твердое убеждение, что страховка покроет любую потерю, которую они могут понести. Дело обстоит не совсем так, поскольку страховка покрывает только материальные потери, а есть еще потеря репутации, возможных доходов и потребителей. Возобновление работы после инцидента часто происходит намного дольше, чем ожидается, увеличивая финансовые затраты организации. В результате разность между реальной стоимостью инцидента и страховыми платежами является значительной.
Организация может быть разрушена разными способами. Инциденты включают пожар, наводнение, нехватку воды, штормовые повреждения, внутренний и внешний вандализм или мошенничество, отказ систем и потерю данных, действия хакеров, поломку машин, потерю ценных бумаг (как в бумажном виде, так и в электронном), потерю персонала. Это только некоторые примеры. Следует учесть также климат, в котором работает организация. Нетерпимость потребителей к отказам, недостаток у них лояльности, и требования банков к финансовой жизнеспособности значительно добавляют давление на организацию во время разрушения. Если организация неспособна правильно и вовремя управлять разрушениями, то ситуация быстро превращается в кризис, а затем в бедствие, и организация может потерпеть неудачу. Самый большой риск имеют предприятия малого или среднего размера, но они как раз чаще всего игнорируют МНБ. Поскольку именно они формируют фундамент экономики страны, то очень важно поощрять их к принятию МНБ.
Недавние бедствия во всем мире продемонстрировали невозможность предсказать все возможные события, которые могут серьезно разрушить способность организации поддержать непрерывность операций. Поскольку неожиданные опасные события всегда будут происходить, существует потребность защитить организации с помощью перспективного планирования. Настоящий стандарт может быть полезен организации, независимо от отрасли или размера, выполнять требования ГОСТ Р ИСО 22301. Он является маршрутной картой, которая приводит к созданию результативной СМНБ.
Приложение А
(справочное)
Основные заинтересованные стороны применения МНБ по видам деятельности
Таблица А.1
Вид деятельности | Основные заинтересованные стороны | Комментарии |
Организации, специализирующиеся на оказании бизнес-услуг | Страховщики, потребители и руководство организации | Страховщики стремятся к снижению риска прерывания деятельности. Основные потребители требуют внедрения МНБ |
Правительственные организации | Руководство организации | Значимость непрерывности бизнеса признают департамент и агентства, хотя в законодательном порядке эта деятельность пока не введена |
Строительство | Страховщики, потребители и руководство организации | Главные контракты приводятся в действие через управление проектом и штрафные санкции. Поскольку здесь важны проблемы здоровья и безопасности - страховщики предпочитают хорошее управление |
Образование | Руководство организации, регулирующие органы и правительство | Финансовые организации и аудиторы предпочитают применение МНБ |
Финансы и страхование | Регулирующие органы, аудиторы и руководство организации | Производство жестко регламентировано и подвергается различным видам аудита |
Здравоохранение и социальное обслуживание | Правительство, законодательство, регулирующие органы, руководство организации | Медицинское обслуживание находится под особым вниманием правительства |
ИТ и телекоммуникации | Страховщики, потребители и руководство организации | ИТ и телекоммуникации предоставляют поддерживающую инфраструктуру для большей части организаций. Телекоммуникации - критический элемент национальной инфраструктуры |
Местный орган самоуправления и аварийные службы | Правительство, законодательные органы, аудиторы и руководство организации | Эти организации подчиняются законам о непредвиденных обстоятельствах |
Производство и получение продукции | Правительство, законодательные органы, регулирующие органы и руководство организации | Основные потребители знают слабые места системы поставок, в то время как страховщики стремятся уменьшить риски от прерывания деятельности |
Розничная/оптовая торговля | Страховщики и потребители | Розничные магазины снабжают оптовики, но магазинов существует много клиентов, каждый из которых в отдельности не имеет голоса |
Транспорт и логистика | Потребители, регулирующие органы, страховщики и руководство организации | Крупные участники системы поставок |
Коммунальные услуги (электричество, газ, вода) | Регулирующие органы, страховщики, аудиторы, потребители и руководство организации | Критической инфраструктурой управляют и поддерживают ее, регулирующие государственные организации являются объектом различного аудита |
Приложение Б
(справочное)
Взаимосвязь ГОСТ Р 53647.2 и ГОСТ Р ИСО 22301
Таблица Б.1
ГОСТ Р 53647.2-2009 | ГОСТ Р ИСО 22301-2014 | |
Непосредственно связан | Не пересекается | |
Введение | 0.1 Общие положения | |
1 Область применения | 1 Область применения | |
2 Термины и определения | 3 Термины и определения, некоторые термины исключили, добавили новые термины, некоторые термины пересмотрели | |
3.1 Планирование системы менеджмента непрерывности бизнеса | 4.1 Понимание организации и ее условий | |
3.2.1 Область применения и цели СМНБ | 4.2 Понимание потребностей и ожиданий заинтересованных сторон | |
3.2.2 Политика в области непрерывности бизнеса | 5.1 Лидерство и заинтересованность | |
5.2 Заинтересованность руководства | ||
3.2.3 Обеспечение ресурсами | 7.1 Ресурсы | |
3.2.4 Компетентность персонала в области менеджмента непрерывности бизнеса | 7.2 Компетентность | |
3.3 Внедрение МНБ в культуру организации | 7.4 Обмен информацией | |
3.4 Документация СМНБ и записи | 7.5 Документированная информация | |
4.1.1 Анализ воздействия на бизнес | 8.2.1 Общие положения | |
4.1.2 Оценка риска | 8.2.1 Общие положения | |
4.1.3 Выбор обработки риска | 8.3.3 Защита и снижение риска | |
4.2 Определение стратегии непрерывности бизнеса | 8.3.1 Определение и выбор | |
4.3.2 Структура ответных мер | 8.4.2 Структура ответных мер на инцидент | |
8.4.3 Предупреждение и коммуникации | ||
4.3.3 Планы обеспечения непрерывности бизнеса и планы управления инцидентом | 8.4.4 Планы непрерывности бизнеса | 8.4.5 Восстановление |
4.4.2 Проведение учений по МНБ | 8.5 Учения и проверки | |
4.4.3 Меры по поддержке и анализу МНБ | 9.1.2 Оценка процедур непрерывности бизнеса | |
9.1 Мониторинг, измерение, анализ и оценка | ||
5.1 Внутренний аудит | 9.2 Внутренний аудит | |
5.2 Анализ СМНБ со стороны руководства | 9.3 Анализ со стороны руководства | |
6.1 Предупреждающие и корректирующие меры | 10.1 Несоответствие и корректирующее действие | |
6.2 Постоянное улучшение | 10.2 Постоянное улучшение |
Приложение В
(справочное)
Пример формы протокола заинтересованных сторон
Заинтересованная сторона | Ожидания заинтересованных сторон | Ранжирование (значимые/средние/ | |||||
В нормальных условиях | Во время разрушения | ||||||
Дата оценки | Окончание | ||||||
Дата рассмотрения | |||||||
Приложение Г
(справочное)
Пример документа "Область применения системы менеджмента непрерывности бизнеса"
Данный документ описывает область применения системы менеджмента непрерывности бизнеса (СМНБ), для организации XXX.
СМНБ охватывает ключевые услуги, предоставляемые подразделениями бытового обслуживания населения и отделами оформления торговых договоров организации.
В организации определены следующие ключевые услуги:
- аварийное обслуживание;
- диагностика отказа и ремонт.
Данные услуги предоставляют четыре подразделения организации, расположенные в различных городах. СМНБ охватывает все соответствующие этим услугам процессы и используемые ресурсы.
СМНБ организации XXX соответствует требованиям ГОСТ Р ИСО 22301-2014.
Документ выпущен 1 мая 2015 года и должен быть пересмотрен не позднее 1 мая 2016 года.
Подписан от имени организации XXX
Дата: 1 мая 2015 г. | |
Управляющий директор |
Приложение Д
(справочное)
Типовая политика в области непрерывности бизнеса
Политика в области непрерывности бизнеса организации XXX
Д.1 Введение
В политике в области непрерывности бизнеса установлена структура, в соответствии с которой организация XXX удовлетворяет требования в области обеспечения непрерывности бизнеса со стороны своих потребителей и партнеров. Основой выполнения этих требований является внедрение системы менеджмента непрерывности бизнеса (СМНБ), соответствующей требованиям ГОСТ Р ИСО 22301-2014. Планы обеспечения непрерывности ключевых услуг должны быть разработаны, проверены и согласованы с Координационным Советом по обеспечению непрерывности бизнеса.
Д.2 Область применения
Политика в области непрерывности бизнеса относится к подразделениям и областям деятельности организации, установленным в области применения СМНБ. Весь персонал этих подразделений и соответствующих направлений деятельности должен быть ознакомлен с политикой, понимать ее (в особенности руководители подразделений).
Д.3 Цели
Политика в области непрерывности бизнеса организации обеспечивает непрерывность бизнеса путем:
- установления и всесторонней поддержки СМНБ;
- идентификации ключевых услуг и соответствующих критических видов деятельности, процессов и ресурсов;
- оценки риска и анализа воздействий на ключевые услуги, соответствующие им критические виды деятельности, процессы и ресурсы;
- разработки и внедрения планов, направленных на обеспечение непрерывности поставки ключевых услуг на минимально приемлемом уровне после нарушения и/или разрушения деятельности;
- управления активацией планов обеспечения непрерывности бизнеса;
- регулярного пересмотра и проверки планов в области непрерывности бизнеса на учениях и при необходимости их актуализации;
- обеспечения уверенности руководства в том, что СМНБ компании функционирует с учетом передового опыта и современных разработок в области непрерывности бизнеса.
Д.4 Основные принципы политики
- Каждая ключевая услуга организации должна быть закреплена за конкретным подразделением. Руководитель подразделения обеспечивает наличие планов поддержания минимально приемлемого уровня услуг в месте оказания каждой ключевой услуги.
- Вспомогательные подразделения должны оказывать профессиональную поддержку для повышения устойчивости критических видов деятельности, процессов и ресурсов, поддерживающих ключевые услуги.
- Каждое подразделение должно выполнять ежегодный анализ обеспечения непрерывности деятельности в своей области. Координационный Совет МНБ должен проводить мониторинг такого анализа в подразделениях и бенчмаркинг результатов, а также оказывать необходимую помощь.
- Каждое подразделение должно проводить учения по применению планов обеспечения непрерывности бизнеса не реже одного раза в год и, при необходимости, модифицировать эти планы, принимая во внимание результаты учений.
- Контракты с поставщиками критических товаров и услуг организации должны включать требования к процессам обеспечения непрерывности бизнеса поставщиков, которые должны быть внедрены и удовлетворять требованиям нашей организации.
- Весь штат персонала должен быть осведомлен о планах обеспечения непрерывности бизнеса, которые затрагивают их подразделение, отделение или филиал, а также знать свои функции при активации планов обеспечения непрерывности бизнеса.
- Наших потребителей необходимо держать в курсе наших действий в области МНБ, поскольку они затрагивают оказываемые им услуги.
Д.5 Преимущества внедрения СМНБ
Политика в области непрерывности бизнеса обеспечивает внедрение в организации XXX СМНБ, которая позволит:
- обеспечить оказание ключевых услуг потребителям нашей организации в периоды нарушений деятельности и/или разрушений бизнеса;
- наиболее целесообразно использовать персонал и другие ресурсы в периоды нарушений деятельности и/или разрушений бизнеса;
- сократить период устранения нарушений и/или разрушений деятельности организации;
- возобновить работу после периода нарушений/разрушений более результативно и эффективно;
- внедрить современные методы управления;
- повышать устойчивость инфраструктуры компании для снижения вероятности нарушений/разрушений деятельности;
- сократить воздействие нарушений/разрушений деятельности в промышленной и финансовой сфере.
Д.6 Ответственность и полномочия
Политику в области МНБ разрабатывает Координационный Совет по обеспечению непрерывности бизнеса.
Финансовый директор несет ответственность перед исполнительными органами по вопросам обеспечения непрерывности бизнеса в организации.
Финансовый директор и финансовое управление играют лидирующую роль в обеспечении непрерывности бизнеса в компании и должны:
- проводить анализ политики в области непрерывности бизнеса и развивать ее в соответствии с лучшим мировым и отечественным передовым опытом и потребностями организации;
- проводить мониторинг деятельности организации и ее соответствие политике в области непрерывности бизнеса;
- осуществлять управление и оказывать поддержку руководителям среднего звена.
Эта политика должна быть пересмотрена 30 апреля 2015 года.
При появлении вопросов, пожалуйста, свяжитесь с руководителем МНБ организации.
Подписано от имени организации XXX. | |
Дата: 1 мая 2015 года, Управляющий директор | |
Политика непрерывности бизнеса, Версия 1 июня 2015 г. |
Приложение Е
(справочное)
Требования к компетентности персонала МНБ
Члены группы МНБ должны демонстрировать способность применять знания и навыки в перечисленных ниже областях.
Е.1 Первоначальные действия по созданию СМНБ
- Понимание принципов систем менеджмента и подхода.
- Понимание требований соответствующих стандартов в области МНБ.
- Понимание особенностей деятельности организации и ее окружения.
- Определение потребностей и ожиданий заинтересованных сторон.
- Определение действующих законов, правил и обязательств.
- Определение объема СМНБ.
- Понимание присущих организации видов риска для установления, внедрения и поддержания СМНБ.
- Разработка и координирование планирования действий по установлению, внедрению и поддержанию СМНБ.
- Разработка отчета для высшего руководства и получение от него одобрения и демонстрации приверженности МНБ и СМНБ.
- Разработка структуры СМНБ с учетом функции и распределения ответственности, бюджет и потребности в ресурсах.
- Определение необходимой компетентности персонала, вовлеченного в СМНБ и процедуры обеспечения непрерывности бизнеса, а также разработка соответствующих программ обучения.
- Разработка и внедрение программ повышения компетентности персонала.
- Управление и контроль документов.
Е.2 Планирование и контроль деятельности
- Понимание методологии анализа воздействия на бизнес.
- Понимание методов количественной и качественной оценки.
- Анализ воздействия на бизнес от разрушений и потерь.
- Определение критичных для бизнеса функций и процессов, а также приоритетов восстановления.
- Определение периодов восстановления и минимальных требований к ресурсам.
- Знание предпочтительного риска (аппетита риска) организации.
- Оценка, выбор и использование соответствующих методов анализа риска.
- Идентификация средств контроля и обеспечения безопасности для предупреждения и/или уменьшения воздействий возможных потерь.
- Оценка эффективности средств контроля и обеспечения безопасности.
Е.3 Разработка стратегии МНБ
- Определение требований к стратегии обеспечения непрерывности бизнеса для организации в целом и ее подразделений и филиалов.
- Оценка пригодности альтернативных стратегий обеспечения непрерывности бизнеса с учетом результатов анализа воздействий на бизнес, оценки риска и установленного периода восстановления.
- Идентификация ресурсов, необходимых для достижения стратегий обеспечения непрерывности бизнеса.
- Разработка стратегии обмена информацией со всеми заинтересованными сторонами.
- Подготовка анализа затраты/прибыль для различных стратегий обеспечения непрерывности бизнеса и представление его результатов высшему руководству.
- Понимание договорных обязательств в области непрерывности бизнеса.
Е.4 Ответные меры и управление в условиях инцидента
- Идентификация всех необходимых компонентов для ответных мер на инцидент.
- Идентификация ответных мер на инцидент группы непрерывности бизнеса и восстановления и определение функций и ответственности.
- Детальная разработка процедур выполнения ответных мер на инцидент.
- Определение требований и процедур управления и контроля.
- Формирование центров управления.
- Идентификация законов и инструкций для управления в чрезвычайных ситуациях. Идентификация экстренных мер, установление очередности выполнения требований и процедур.
- Идентификация и согласование требований и целей с агентствами, поддерживающими непрерывность бизнеса. Идентификация требований к спасательным и восстановительным работам.
Е.5 Разработка и внедрение планов управления в условиях инцидента и планов МНБ
- Определение требований к плану.
- Определение формы и структуры основных компонентов плана.
- Разработка и внедрение планов.
Е.6 Обмен информацией об инциденте
- Идентификация и разработка проактивной программы обмена информацией в условиях инцидента.
- Установление системы предупреждения и информирования общественности при необходимости.
- Установление планов обмена информацией об инциденте с внешними аварийными службами.
- Установление планов обмена информацией об инциденте с внутренними и внешними заинтересованными сторонами для обеспечения их информированности об инциденте.
- Установление основных планов обмена информацией об инциденте со СМИ.
Е.7 Проведение учений по планам
- Определение программы учений.
- Определение требований к учениям.
- Разработка реалистичных сценариев.
- Установление критериев оценки результатов учений и способов ведения соответствующих записей.
- Проведение учений по планам обмена информацией во время инцидента.
- Проведение и содействие учениям с внешними агентствами.
- Содействие учениям.
- Управление отчетностью по результатам учений.
- Проведение мониторинга результатов учений и поддержание обратной связи с персоналом.
Е.8 Оценка результатов деятельности
- Разработка соответствующих показателей для оценки СМНБ и мероприятий по непрерывности бизнеса.
- Установление статуса процедур отчетности.
- Выполнение мониторинга СМНБ и непрерывности бизнеса на соответствие установленным показателям.
- Определение схемы, графика и плана обеспечения учений.
- Проведение самооценки СМНБ и мероприятий по обеспечению непрерывности бизнеса.
- Определение целей аудита.
- Предоставление данных для анализа со стороны руководства.
- Действия по мониторингу, следующие из самооценки, аудита и анализа со стороны руководства. Обеспечение завершения результирующих действий.
Е.9 Улучшения
- Идентификация несоответствий и инициация корректирующих действий.
- Установление традиций постоянного улучшения.
Приложение Ж
(справочное)
Рекомендации по составлению программы обучения
Обучение персонала необходимо для овладения соответствующими знаниями, навыками и обеспечения взаимодействия с другими членами рабочей группы по МНБ. Ниже приведены основные вопросы, решение которых необходимо при разработке программы обучения.
Ж.1 Кто должен проходить обучение?
- Рабочая группа МНБ.
- Персонал, идентифицированный в планах обеспечения непрерывности бизнеса.
- Высшее руководство.
- Вспомогательный персонал, участвующий в выполнении плана.
- Поставщики и подрядчики.
Ж.2 Как определить требования к обучению?
Для каждого члена рабочей группы, вовлеченного в разработку и внедрение СМНБ (включая участвующих в выполнении плана), следует определить:
Ж.3 Что должен знать сотрудник?
- Знание своей функции.
- Общее понимание действий других сотрудников.
- Используемые процессы.
Ж.4 Какие дополнительные навыки необходимы?
- Навыки работы с оборудованием.
- Навыки общения.
После получения ответов на вышеназванные вопросы должна быть разработана программа обучения.
Ж.5 Удовлетворение потребностей в обучении
Для каждого члена рабочей группы МНБ, участвующего в разработке и внедрении СМНБ (включая участвующих в выполнении плана), необходимо идентифицировать все недостатки и пробелы в навыках и знаниях. Иногда это называют анализом пробелов.
После идентификации недостатков в знаниях и навыках персонала должна быть разработана программа обучения для восполнения этих пробелов.
Ж.6 Проведение обучения
При проведении обучения могут быть использованы внешние или внутренние ресурсы, при этом необходимо:
- развивать навыки путем изучения передового опыта и внедрения программ саморазвития и самосовершенствования; использования форм обучения, оказываемых через Интернет (по возможности);
- повышать уровень знаний путем обсуждений на семинарах и критического анализа выполняемых работ;
- обучать персонал взаимодействиям путем работы в группах и при проведении учений.
На рисунке 23 приведена модель разработки программы обучения.
Рисунок 23 - Схема разработки программы обучения
Для обеспечения эффективности обучения и оценки его результатов необходимо, чтобы в политике организации были отражены соответствующие обязательства. Для обучения должны быть выделены необходимые ресурсы. Для организации процесса обучения в организации должны быть приняты соответствующие цели. Обучение и его результаты необходимо анализировать.
Важно вести записи об обучении каждого сотрудника или группы сотрудников и поддерживать соответствующие записи в рабочем состоянии.
Приложение И
(справочное)
Матрица оценки воздействия на бизнес
Таблица И.1
Категория | Уровень воздействия | ||||
Незначительное воздействие (1) | Малозначительное воздействие (2) | Среднее воздействие (3) | Значимое воздействие (4) | Катастрофическое воздействие (5) | |
Нанесение телесных повреждений потребителю, сотруднику, посетителю, подрядчику (А) | Незначительный инцидент | Требуется обращение к врачу. На восстановление потребуется не менее трех дней. | Госпитализация. Потребуется более трех дней на восстановление. | Смерть | Несколько человек погибли, стали инвалидами или получили травмы. |
Отказ системы (В) | Незначительное нарушение работы обслуживания. | Единичное нарушение соответствия соглашения об уровне внутреннего обслуживания. | Несколько нарушений соглашений об уровне внутреннего обслуживания. Минимальное воздействие на потребителя. | Отключение электричества на 1-2 дня. | Полная потеря систем и данных. |
Доверие общества и репутация (С) | Проблема не оказала общественного/ | Интерес местной прессы. | Госпитализация. Потребуется более трех дней на восстановление. | Смерть | Несколько человек погибли, стали инвалидами или получили травмы |
Несоответствие законодательным и обязательным требованиям (D) | Юридический запрос (проблема). | Потеря доверия к организации | Несколько нарушений соглашений об уровне внутреннего обслуживания. Минимальное воздействие на потребителя | Отключение электричества на 1-2 дня. | Полная потеря систем и данных. |
Финансовые потери (Е) | Менее | Более, чем |
Приложение К
(справочное)
Пример формы записей анализа воздействий на бизнес
Отчет об анализе воздействий на бизнес организации XXX
Ключевые услуги/продукция | Области воздействия (А-Е см. ниже) | Воздей- | Максимальный приемлемый период разрушения | Целевой срок восстано- | Минимальный уровень услуг [минимальная цель непрерывности бизнеса (МВСО)] | |
1 | ||||||
2 | ||||||
3 | ||||||
4 | ||||||
5 | ||||||
6 | ||||||
7 | ||||||
8 | ||||||
9 | ||||||
10 | ||||||
А Воздействие на персональную безопасность | ||||||
Дата оценки | Подпись |
Приложение Л
(справочное)
Пример формы журнала записей о ресурсах
Записи о ресурсах для организации ХХХ
Процесс/ | Персонал | Квали- | Компьютер- | Програм- | Теле- | Инфор- | Оборудо- | Поме- | Мебель | Внут- | Поставщики/ |
Дата оценки | Подпись |
Приложение М
(справочное)
Пример формы записей о мерах по снижению риска
Пример карточки для организации XXX
Подразделение | Ключевая продукция/услуга | ||
Критический вид деятельности/ресурса/взаимосвязи | Риск | Ранжирование | Меры по снижению риска |
Дата оценки | Подпись | Дата рассмотрения |
Приложение Н
(справочное)
Пример формы требований к ресурсам
Пример карточки для организации XXX
Подразделение | Ключевая продукция/услуга | ||
Требуемые ресурсы | |||
Критический вид деятельности/ресурса/взаимосвязи | 0-24 ч | В пределах 3 дней* | В пределах 14 дней* |
Виды деятельности, поддерживающие ключевую продукцию/услугу | |||
Требуемый персонал и его верификация | |||
Требуемое компьютерное и телекоммуникационное оборудование | |||
Требуемое программное обеспечение | |||
Требования к информации | |||
Требования к оборудованию, не связанному с информационными и коммуникационными технологиями | |||
Требования к помещениям | |||
Требования к мебели | |||
Ключевые поставщики/партнеры | |||
Другие взаимосвязи | |||
Другие комментарии | |||
Дата оценки | |||
Дата рассмотрения | |||
* Сроки устанавливают в соответствии с требованиями организации. |
Приложение П
(справочное)
Стратегии, связанные с ключевыми ресурсами
П.1 Человеческие ресурсы
Организация должна идентифицировать стратегии поддержания квалификации, основные навыки и знания персонала. Анализ, кроме персонала организации, должен охватывать подрядчиков
________________
1) документирование способа выполнения критических видов деятельности;
2) обучение разносторонним навыкам персонала и подрядчиков;
3) разделение основных навыков среди персонала для снижения риска (это может повлечь за собой распределение персонала с основными навыками или дублирование сотрудников, имеющих необходимые основные навыки);
4) привлечение третьих лиц;
5) планирование преемственности;
6) хранение знаний и управление ими.
При выборе стратегии в этой области необходимо помнить, что персонал может по-разному реагировать на инциденты различного масштаба.
П.2 Производственные площади
Стратегии использования производственных площадей могут в значительной степени отличаться в зависимости от особенностей организации. Диапазон вариантов должен быть доступным. Различные типы инцидентов или угроз могут потребовать создания различных способов размещения персонала и оборудования. Применимость стратегии зависит от размера организации, ее сектора экономики и особенностей деятельности, ее заинтересованных сторон и географического месторасположения. Например, органы местного самоуправления должны обеспечивать предоставление услуг внутри границ и на границах своих территорий.
Организация должна разработать стратегию снижения воздействия опасной ситуации, при которой рабочие места и/или производственные площади становятся недоступными. Стратегия может включать одно или несколько следующих положений:
1) предоставление альтернативных производственных площадей в пределах самой организации, включая перемещения;
2) предоставление альтернативных производственных площадей партнерскими организациями (это может быть взаимное или одностороннее предоставление производственных площадей на договорной основе);
3) предоставление альтернативных производственных площадей специалистами третьей стороны;
4) работа в домашних условиях или на удаленных производственных площадях;
5) предоставление других подходящих производственных площадей;
6) использование альтернативной рабочей силы на существующих рабочих местах или производственных площадях.
Примечание 1 - Если работники должны быть переведены на альтернативные производственные площади, эти площади должны располагаться недалеко от обычного места работы, чтобы работники могли и были в состоянии переместиться туда, принимая во внимание все трудности, вызванные инцидентом. Однако альтернативные производственные площади не должны располагаться слишком близко, так как может возникнуть вероятность воздействия на них того же самого инцидента.
Примечание 2 - Способ применения альтернативной производственной площади (единолично самой организацией или совместно с другими) должен быть четко идентифицирован. Если альтернативная производственная площадь используется совместно с другими организациями, должен быть разработан и зарегистрирован план совместного использования и/или план действий при недоступности этой площади.
Иным решением для перемещенного в альтернативные помещения персонала может стать обеспечение их удаленным доступом к ИТ через выделенные линии или интернет с использованием виртуальных частных сетей или подобных технологий.
Примечание 3 - Может быть целесообразным перемещение объема работ (производственной деятельности), а не персонала, например перемещение производственной линии или диспетчерского отдела.
П.3 Технология
Технологические стратегии значительно различаются в зависимости от размеров организации, особенностей и сложности ее бизнеса. Особые стратегии должны быть разработаны для защиты, замены или восстановления специальных или уникальных технологий.
Возможно, для организации необходимо создать условия выполнения технологических операций вручную до момента полного восстановления технологических процессов.
Технологические стратегии зависят от характера используемых технологий и их связи с критическими видами деятельности, но обычно включают одну или более стратегий, связанных с:
- поставками внутри организации;
- услугами и поставками для организации;
- услугами, предоставленными третьим лицом за пределами организации.
Технологические стратегии могут включать:
- географическое распределение технологий, т.е. поддержку одной технологии на различных территориях, которые не могут быть затронуты одним и тем же инцидентом нарушения деятельности организации;
- сохранение резервного более старого оборудования, предназначенного для использования либо в качестве замены основного оборудования в чрезвычайных ситуациях, либо в качестве запасных частей;
- снижение риска утраты или выхода из строя для уникального оборудования или оборудования с большой продолжительностью производственного цикла.
Для информационных технологий (ИТ) часто требуются комплексные стратегии непрерывности бизнеса. Если существует потребность в подобных стратегиях, должны быть рассмотрены следующие показатели:
- целевой срок восстановления систем и прикладных программ, обеспечивающих поддержку ключевых видов деятельности, идентифицированных в анализе воздействия на бизнес. (Важно, чтобы бизнес управлял целевым сроком восстановления систем для информационно-коммуникационных технологий; желательно, чтобы целевой срок восстановления систем для информационно-коммуникационных технологий находился в пределах целевых сроков, установленных для всего бизнеса, это облегчает тестирование и т.д.);
- места расположения и расстояние между местами размещения технологического оборудования ИТ;
- количество мест размещения технологического оборудования ИТ;
- способы удаленного доступа;
- использование мест размещения технологического оборудования ИТ без участия персонала в противоположность технологиям с привлечением персонала;
- подключение к телекоммуникационным системам и наличие дублирующих маршрутов телекоммуникационных соединений;
- способы обеспечения деятельности при отказе ИТ (ручное или автоматизированное переключение на альтернативные ИТ);
- каналы связи, предоставленные третьей стороной, и внешние каналы связи.
П.4 Информация
Информационные стратегии должны обеспечивать защиту и восстановление жизненно важной информации для деятельности организации в сроки, установленные на этапе анализа воздействия на бизнес.
Вся информация, необходимая для обеспечения поставок по критическим видам деятельности организации, должна иметь следующие качества:
- конфиденциальность;
- целостность;
- доступность;
- актуальность.
Должны быть документированы стратегии восстановления информации, которая еще не скопирована или для которой не создана резервная копия, хранящаяся в безопасном месте.
Информационные стратегии должны охватывать:
- физические форматы информации (документальные копии);
- виртуальные форматы информации (электронные копии) и т.д.
Примечание 4 - Во всех случаях информация должна быть восстановлена до установленного момента времени, согласованного с высшим руководством организации. Могут быть использованы различные методы копирования, такие как создание резервных копий в электронном виде, на магнитной ленте, микрофиш
________________
П.5 Запасы
В офисах запасы могут представлять собой используемые бланки, например банковские чеки и т.д. В других отраслях промышленности могут быть идентифицированы расходные материалы или поставки "точно в срок", или запас топлива для транспортных средств.
Организация должна идентифицировать и поддерживать в рабочем состоянии перечень запасов (сырья, материалов, комплектующих), которые обеспечивают критические виды деятельности организации. Стратегии обеспечения запасов могут включать:
- хранение дополнительных запасов в альтернативных местах размещения;
- заключение соглашений с третьими лицами о срочных внеплановых поставках в критических ситуациях;
- изменение пункта назначения поставок "точно в срок"
________________
- хранение материалов на товарных складах или погрузочно-разгрузочных участках;
- передачу сборочных операций на альтернативные производственные площади, в которых существует возможность бесперебойного снабжения;
- идентификацию альтернативных поставок (субститутов).
Если критические виды деятельности зависят от специализированных запасов, организация должна идентифицировать ключевых поставщиков и безальтернативные источники поставок. Стратегии обеспечения непрерывности таких поставок могут включать:
- увеличение количества поставщиков;
- поощрение поставщиков (или установление требований) к наличию валидированной способности обеспечения непрерывности бизнеса;
- установление договорных отношений и/или соглашений о техническом обслуживании с ключевыми поставщиками на согласованном уровне;
- идентификацию альтернативных, способных к бесперебойной работе поставщиков.
Приложение Р
(справочное)
Пример анализа плана непрерывности
Название организации: | |||||
Можно подтвердить, что в подразделении применяется следующее: | Да | Нет | Если Ваш ответ на вопрос - "нет", пожалуйста, предоставьте информацию для подтверждения | ||
1 | Имеется план непрерывности бизнеса высокого уровня для подразделения | ||||
2 | План непрерывности бизнеса высокого уровня направлен группе непрерывности бизнеса для валидации | ||||
3 | У каждой области бизнеса в пределах подразделения есть в наличии план непрерывности бизнеса | ||||
4 | В подразделении определены основные риски бизнеса, и введены в действие соответствующие меры для снижения рисков | ||||
5 | Все планы непрерывности бизнеса в подразделении соответствуют стандарту, определенному корпоративной системой непрерывности бизнеса | ||||
6 | Все планы непрерывности бизнеса в пределах отдела выполняются и пересматриваются на регулярной основе | ||||
7 | Функции и ответственность в области непрерывности бизнеса в подразделении ясно определены и понятны |
Перечисленные ниже планы непрерывности бизнеса утверждены: | |||||
[Наименование подразделения] | |||||
для поддержки валидации непрерывности бизнеса и ее обеспечения. У каждого, упомянутого ниже подразделения имеется план непрерывности бизнеса | |||||
N | Наименование подразделения | Местоположение | Комментарии | ||
1 | |||||
2 | |||||
3 | |||||
4 | |||||
5 | |||||
6 | |||||
7 | |||||
8 | |||||
9 | |||||
10 |
Общее количество планов непрерывности бизнеса | Общее количество процента ведомственных планов непрерывности бизнеса | |||||||||
утверждаю: | утверждаю: | |||||||||
Я подтверждаю, что это истинная и точная картина текущего статуса непрерывности бизнеса: | ||||||||||
( | год), | |||||||||
до 31 марта | ||||||||||
( | год) | |||||||||
Подпись: | Печать: | Дата: | ||||||||
Позиция: | ||||||||||
Примечание - Если Вы не можете предоставить полную гарантию для своего подразделения заполните поле, находящееся ниже. | ||||||||||
Вполне возможно, что в настоящее время Вы в состоянии обеспечить только частичное обеспечение непрерывности бизнеса в Вашем подразделении. Если это так, то сообщите о том, какие меры принимают в подразделении, для работы с теми областями, в которых вы не уверены в настоящее время |
Приложение С
(справочное)
Пример формы журнала регистрации данных об инциденте
Наименование организации | |||||||
Инцидент | Место происшествия | Ответственный руководитель | |||||
Продукция/услуга, подвергаемая воздействию | |||||||
Дата и время | Информация/запрос | От кого получен | Предпринятые действия | Кем предприняты действия | |||
Подпись | Дата | ||||||
Приложение Т
(справочное)
Типовой план непрерывности бизнеса
Организация XXX - Отдел бытового обслуживания населения
Название документа | План непрерывности бизнеса - служба экстренного вызова |
Версия | V1:1, 18 мая 2015 г. |
Комментарий | Некоторые изменения входных данных по персоналу введены 15 мая 2015 г. |
Дата версии | 18 мая 2015 г. |
Автор | Н.Иванов, Помощник менеджера по обслуживанию |
Т.1 Краткий обзор плана с указанием прав собственности
План непрерывности бизнеса - "обслуживание экстренного вызова"
Цель плана: обеспечение работы службы экстренного вызова отдела бытового обслуживания населения из отделения бытового обслуживания и ее возобновления после инцидента, который нарушает обслуживание. Служба экстренного вызова - ключевая служба компании, поскольку у компании существует контракт с местными жилищно-строительными ассоциациями.
По контракту компания должна при разрушении восстановить услугу в течение двух часов.
План предполагает, что общественная телефонная связь не затронута разрушением.
Этот план принадлежит главе административно-хозяйственного отдела.
Т.2 Распространение плана
Копии плана отправлены руководителю отдела технического обслуживания, менеджеру по обслуживанию, в отделение бытового обслуживания населения.
Т.3 Функции и ответственность
Руководитель подразделения или его заместитель несут ответственность за оценку влияния разрушения и возможности отдела поставлять ключевую услугу. При необходимости руководитель подразделения или его заместитель активируют план, чтобы вернуть услугу на согласованный уровень за согласованное время. Руководитель подразделения или его заместитель собирают группу МНБ для выполнения плана.
Члены группы МНБ:
Должность | Контактные данные | Заместитель | Контакты |
Координатор МНБ в подразделении: | |||
Ответственный за МНБ: |
Т.4 Правила уведомления, активации и передачи управления
Т.5 Информация о центре управления
Группа МНБ собирается по требованию в конференц-зале офиса. Если в этот зал нет доступа, резервный центр управления находится по адресу - бытовка в гараже.
Центр управления оборудован: телефоном, доступом в интернет и офисными рабочими местами
Оборудование рабочего места в офисе содержит: _________________________________
Т.6 Контакты внутренние и внешние
Контактная информация:
- внутренних сотрудников;
- внешних заинтересованных сторон;
- экспертов по данному вопросу.
Т.7 Список задач
Обязательные задачи: | |
Дополнительные задачи |
Процесс мониторинга решения задачи: записи всех предпринятых действий с указанием времени их выполнения на рабочем листе действия/задачи.
Т.8 Критические виды деятельности плана восстановления
- График критических видов деятельности с указанием времени и уровня восстановления.
- Планирование критических видов деятельности по восстановлению.
- Расположение(я) места восстановления.
Пример - Как минимум два инженера по техническому обслуживанию, работающих на дому, должны быть доступны в течение двух часов (в том случае, если они не смогут работать в обычном офисе или восстановленном офисе).
Если нет возможности обеспечить доступность своих инженеров, организация должна обратиться за помощью в другие организации. Контактная информация приведена.
План взаимопомощи приведен ниже.
Т.9 Требования к ресурсам для восстановления
Для восстановления необходимы:
- люди;
- информация/данные;
- ИТ;
- телекоммуникации;
- транспортные средства;
- специальное оборудование;
- размещение в гостинице;
- офисное оборудование;
- мебель;
- бумага для печатающих устройств и т.д.
Ниже приведена информация, не включенная в план.
- Записи, относящиеся к персоналу.
- Оказание первой помощи раненым и действия с телами погибших.
- Благосостояние персонала и консультации.
- Здоровье и безопасность персонала.
- Компьютерное оборудование.
- Телекоммуникации.
- Обмен информацией персонала.
- Работа со СМИ и связь с общественностью.
- Связь с аварийными службами.
- Финансы.
- Страховые полисы.
- Юридические консультации.
- Связь с поставщиками и посредниками.
- Соглашения с поставщиками.
Т.10 Необходимые формы для заполнения
Повестка дня заседаний;
журнал регистрации решений и действий;
отчет о статусе перечня задач;
журнал номеров телефонов.
Подпись | ||
Руководитель отделения бытового обслуживания | ||
Дата пересмотра: |
Приложение У
(справочное)
Типы учений по планам МНБ и методы их проведения
Сложность плана | Выполняемые действия | Процесс | Варианты действий | Частота повторения |
Простой | Обсуждение на совещании | Анализ/изменение условий | Обновление/валидация. | По крайней мере, один раз в год. |
Анализ содержания плана | Аудит/верификация | Один раз в год | ||
Средний | Сквозной контроль плана | Анализ содержания плана | Анализ взаимодействия частников и проверка их функций | Один раз в год |
Моделирование | Использование гипотетической ситуации, для подтверждения того, что планы содержат необходимую и достаточную информацию, для успешного восстановления организации | Объединение соответствующих планов | Один раз или два раза в год | |
Выполнение критических действий | Активация ситуации (она не должна подвергать опасности выполнение деятельности организации) | Выполнение деятельности в альтернативных местах в течение установленного времени | Один раз в год или чаще | |
Сложный | Полная проверка плана с использованием моделирования управления в условиях инцидента | Проведение широкомасштабных учений. | Один раз в год или чаще |
Приложение Ф
(справочное)
Вопросы для самооценки организации
Уровни выполнения ключевых вопросов (1 - не выполнено; 2 - выполнено не менее чем на 25% и более; 3 - выполнено не менее чем на 50% и более; 4 - выполнено не менее чем на 75% и более; 5 - выполнено на 100%).
Таблица Ф.1
Стадия | Ключевые вопросы | Свидетельства внедрения | Оценка |
Условия работы организации | Установлены цели и обязательства организации, законодательные и обязательные требования, требования заинтересованных сторон и условия функционирования организации? | Проводится регулярный анализ требований и ожиданий заинтересованных сторон. Составлен перечень обязательств, законодательных и обязательных требований | 1-2-3-4-5 |
Разработан перечень ключевых продукции и услуг, поставляемых организацией от ее имени, и согласован с высшим руководством? | Разработаны документированные процедуры идентификации и анализа ключевых продукции и услуг. Утвержден перечень ключевых продукции и услуг | 1-2-3-4-5 | |
Определены предпочтительные риски организации и риски организации для критических видов деятельности? | В организации существует менеджмент риска и документированы критические риски и предпочтительные риски | 1-2-3-4-5 | |
Установлены политика СМНБ и процедуры в области обеспечения непрерывности бизнеса? | Установлены область применения и политика в области непрерывности бизнеса. Политика в области непрерывности бизнеса опубликована во внешних и внутренних источниках информации. | 1-2-3-4-5 | |
Лидерство | Установлено распределение ответственности обеспечения непрерывности бизнеса? | Назначен исполнительный руководитель, ответственный за политику в области непрерывности бизнеса и внедрение СМНБ. Разрабатываются отчеты о функционировании СМНБ для высшего руководства | 1-2-3-4-5 |
Назначены руководители и координаторы работ в области МНБ? | Назначены ответственные за внедрение и поддержание в рабочем состоянии программы МНБ. | 1-2-3-4-5 | |
Установлено распределение ответственности в области менеджмента непрерывности бизнеса для конкретных услуг или элементов управления? | Положения об обеспечении непрерывности бизнеса включены в рабочие инструкции и квалификационные требования к персоналу, вовлеченному в выполнение ключевых работ (услуг) и вспомогательных процессов к ним. | 1-2-3-4-5 | |
Установлены необходимые компетентность и осведомленность персонала в области обеспечения непрерывности бизнеса во всей организации? | Принята программа повышения компетентности и осведомленности персонала в области обеспечения непрерывности бизнеса в организации и у ключевых причастных сторон. Работает обратная связь, в рамках которой руководители и персонал могут сообщать о проблемах, связанных с МНБ, например, на совещаниях и в отчетах. Разработанные программы в области МНБ включают обеспечение компетентности и осведомленности персонала в этой области | 1-2-3-4-5 | |
Планирование и контроль | Установлены критические функции, процессы, поддерживающие ресурсы и взаимосвязи, требуемые для поставки ключевых продукции и услуг внутри и вне организации? | Разработана и внедрена подробная документация, относящаяся к критическим функциям, процессам и поддерживающим ресурсам, требуемым для поставки ключевых продукции и услуг. Определены критически важные поставщики и партнеры | 1-2-3-4-5 |
Идентифицированы ли в долгосрочной перспективе воздействия каждой ключевой услуги или продукции на организацию и ее заинтересованные стороны? | Внедрен структурированный процесс анализа воздействия на бизнес организации, в рамках которого расставлены приоритеты по ключевым продукции и услугам. | 1-2-3-4-5 | |
Проведена оценка риска критических видов деятельности, поддерживающих ресурсов и взаимосвязей в необходимых областях? | Документированы процедуры анализа и оценки риска. Идентифицированы слабые места | 1-2-3-4-5 | |
Установлены меры снижения риска, включая меры борьбы с потенциальными потерями информации? | Документированы объективные свидетельства снижения риска, связанного с персоналом, системами, информацией, производственными площадями, оборудованием и поставщиками | 1-2-3-4-5 | |
Определение стратегий непрерывности бизнеса | Разработаны стратегии ограничения воздействия, потери ключевых продукции и услуг и воздействия в долгосрочной перспективе на организацию и ее заинтересованные стороны? | Документированы стратегии поддержания ключевой продукции или услуг. Стратегии охватывают персонал, производственные площади, технологии, информацию, запасы и заинтересованные стороны. В стратегиях учтены действия государственных аварийных и иных служб в чрезвычайных ситуациях. Протоколы координационного совета подтверждают выбор стратегии и выделение необходимых ресурсов для их реализации | 1-2-3-4-5 |
Разработана стратегия минимизации нарушения поставок? | Существует политика поставок для ключевых которой выполнено требование о включении требований МНБ в договора с поставщиками.* Идентифицированы альтернативные поставщики | 1-2-3-4-5 | |
________________ | |||
Разработка и внедрение процедур СМНБ | Разработана структура ответных мер в условиях инцидента? | Разработаны структура и процедуры ответных мер на инцидент и планы обеспечения непрерывности деятельности. Составляется отчетность. Существуют протоколы планов совещаний. Планы точны, однозначны и удобны для использования. Документированы объективные свидетельства консультаций и обратной связи с персоналом в подразделениях при разработке планов. В планах идентифицированы положения о целях, вовлеченности персонала, руководстве и контроле. Планы содержат ссылки на иные источники информации, справочные данные и/или другую документацию | 1-2-3-4-5 |
Разработка и внедрение ответных мер СМНБ | Существуют ли конкретные процедуры, включающие планы и поставки для выполнения ответных мер? | Документированы процедуры выполнения ответных мер. В планах идентифицирован ключевой персонал. Существует перечень контактной информации для персонала, входящего в группу ответных мер на инцидент и группу обеспечения непрерывности бизнеса | 1-2-3-4-5 |
Планы находятся у конкретных владельцев и утверждены на соответствующем уровне? | Установлены лица, ответственные за наличие планов в каждом подразделении или филиале организации. Все планы утверждены в установленном порядке | 1-2-3-4-5 | |
Установление и выполнение процедур МНБ | Назначена группа персонала, обученного разработке плана? | Ведутся подробные записи об инцидентах и участниках групп по обеспечению непрерывности бизнеса. Проводится анализ компетентности. Действует программа обучения участников групп по обеспечению непрерывности бизнеса. Записи об обучении поддерживаются в рабочем состоянии | 1-2-3-4-5 |
Имеются процедуры, направленные на информирование внутренних и внешних заинтересованных сторон о действиях организации при активации планов? | Существует документированная политика обмена информацией. Письма, электронная почта, циркуляры, совещания, страницы в Интернете и Интернет повышают осведомленность о планах СМНБ | 1-2-3-4-5 | |
Налажен обмен информацией с заинтересованными сторонами во время нарушений/разрушений, направленный на обеспечение непрерывности поставки ключевых продукции и услуг? | Планы содержат мероприятия по обмену информацией с клиентами, потребителями, персоналом, причастными сторонами, партнерами и СМИ. Разработанные в рамках СМНБ планы имеют ссылку на план обмена информацией | 1-2-3-4-5 | |
Обеспечен постоянный доступ к последним версиям планов и вспомогательных материалов? | Копии планов и перечни основного необходимого оборудования/основных документов (в электронном или бумажном виде) доступны на рабочих местах и за их пределами | 1-2-3-4-5 | |
Планы учитывают запланированные действия внутри и вне организации? | Планы учитывают мероприятия в соответствии с планами действий в чрезвычайных ситуациях, планам восстановления бизнеса, планам управления в условиях инцидентов, планам обмена информацией и т.д. Взаимное пересечение планов документировано (например, в виде ссылок) | 1-2-3-4-5 | |
Существуют документированные процедуры восстановления деятельности организации после инцидента? | Соответствующие планы и процедуры восстановления находятся на установленных местах | 1-2-3-4-5 | |
Учения | Имеется сбалансированная программа учений, обеспечивающих валидацию возможностей организации по всему спектру вопросов МНБ? | Ведутся записи о регулярных проверках мероприятий, контактной информации и учениях. Утвержден и выполняется план-график проведения учений | 1-2-3-4-5 |
Установлены цели программы учений? | Сценарии и планы учений проработаны | 1-2-3-4-5 | |
Имеется документированный процесс сбора данных о полученном на учениях опыте и дальнейшем использовании полученных данных? | Ведутся записи о проведении учений, составляются отчеты о полученном на учениях опыте. Отчеты об анализе проведенных учений направляются руководству. Разработаны планы действий. Эти действия анализируются на совещаниях по подготовке и анализу планов. Объективные свидетельства внедрения и использования в СМНБ полученного на учениях опыта документированы | 1-2-3-4-5 | |
Анализ функциониро- | Обеспечены возможности МНБ в организации? | Установлены ключевые показатели эффективности для анализа внедрения и поддержки МНБ. | 1-2-3-4-5 |
Разработан метод определения результативности и эффективности СМНБ? | Разработана программа СМНБ. Составлен отчет о проведении самооценки. Существуют отчеты о проведении внутренних аудитов. Проводится бенчмаркинг по внедрению лучших разработок в области непрерывности бизнеса (например, стандарта ИСО 22301). Проведен анализ СМНБ третьей стороной (например, представителями других организаций) | 1-2-3-4-5 | |
Обеспечивается актуализация планов? | Процесс анализа планов установлен и документирован. Процесс анализа планов встроен в процесс жизненного цикла планирования бизнеса. Записи анализа поддерживают в рабочем состоянии. Существует система управления версиями и базой знаний организации | 1-2-3-4-5 | |
Существует документированный процесс сбора и использования опыта, полученного в ходе инцидентов? | Существуют данные опросов об инциденте, извлеченном опыте отчеты о действиях и результатах* | 1-2-3-4-5 | |
________________ | |||
Обеспечены анализ и корректировка программы МНБ организации при существенных изменениях в организации, ее условиях функционирования или появлении угроз? | Существует механизм идентификации точек проведения анализа МНБ. Записи анализа МНБ регистрируются. План действий внедрен. Анализ действий проводят на запланированных совещаниях по подготовке и проведению анализа | 1-2-3-4-5 | |
Обеспечено начало процесса постоянного улучшения по результатам анализа СМНБ, полученного опыта и выполнения соответствующих действий на основе данных анализа? | Отчеты об анализе доводят до соответствующего руководства. Разработан план предупреждающих и корректирующих действий. На совещаниях проводят анализ предпринятых действий. Имеются объективные свидетельства внедрения и использования полученного опыта в СМНБ организации | 1-2-3-4-5 | |
Улучшения | Идентифицированы и выполнены действия по ликвидации последствий выявленных несоответствий СМНБ? | Существует формализованный процесс идентификации и исправления несоответствий СМНБ в организации. | 1-2-3-4-5 |
Библиография
Airmic (2011) Roads to Ruin - A Study of Major Risk Events: Their Origins, Impact and Implications, a report by Cass Business School on behalf of Airmic, London: Airmic | |
ASIS/BSI МНБ.01-2010 | Business Continuity Management Systems: Requirements with Guidance for Use, New York: American National Standards Institute |
British Insurance Brokers' Association (BIBA) and UK Cabinet Office (2012), The Value of Business Continuity Planning, London: British Insurance Broker's Association | |
BS 25999-1:2006 | Непрерывный менеджмент бизнеса. Часть 1. Принятая практика (Business continuity management - Part 1: Code of practice), London: British Standards Institution |
________________
| |
BS 25999-2:2007 | Непрерывный менеджмент бизнеса. Часть 2. Технические условия (Business continuity management - Part 2: Specification), London: British Standards Institution |
________________
| |
BS EN ISO 9001:2008 | Системы менеджмента качества. Требования (Quality management systems - Requirements), London: British Standards Institution |
________________
| |
BS EN ISO 14001:2004 | Системы экологического менеджмента. Требования и руководство по применению (Environmental management systems - Requirements with guidance for use), London: British Standards Institution |
________________
| |
Chartered Management Institute (2012) Planning for the worst. The 2012 Business Continuity Management Survey (March 2012), London: Chartered Management Institute | |
Great Britain (2004) Civil Contingencies Act 2004, London: The Stationery Office | |
HM Government (2005) Emergency Preparedness, Guidance on Part 1 of the Civil Contingencies Act 2004, its associated Regulations and non-statutory arrangements, London: UK Cabinet Office | |
ISO 22301:2012 | Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования (Societal security - Business continuity management systems - Requirements), Geneva: International Organization for Standardization |
________________
| |
ISO 22313:2012 | Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство (Societal security - Business continuity management systems - Guidance), Geneva: International Organization for Standardization |
________________
| |
Knight, R F and Pretty, D J (2000) The Impact of Catastrophes on Shareholder Value, The Oxford Executive Research Briefings, Templeton College, University of Oxford | |
Nassim Nicholas Taleb (2007) The Black Swan: The Impact of the Highly Improbable, New York: Random House | |
Novartis International AG (2011) Our Code of Conduct, Basel, Switzerland: Novartis International AG | |
PAS 56:2003 | Руководство по непрерывному менеджменту бизнеса Guide to business continuity management, London: British Standards Institution (PAS 56:2003 is now withdrawn. Please see BS 25999-1:2006.) |
_________________ | |
PD 25111:2010 | Менеджмент постоянного бизнеса. Руководство по человеческим аспектам постоянного бизнеса Business continuity management - Guidance on human aspects of business continuity, London: British Standards Institution |
PD 25222:2011 | Менеджмент непрерывности бизнеса. Руководство по непрерывности цепи поставок Business continuity management - Guidance on supply chain continuity, London: British Standards Institution |
________________
| |
PD 25666:2010 | Непрерывный менеджмент бизнеса. Руководство по проведению и испытанию непрерывности и случайности программ Business continuity management - Guidance on exercising and testing for continuity and contingency programmes, London: British Standards Institution |
PD 25888:2011 | Менеджмент непрерывности бизнеса. Руководство по организационному восстановлению после аварий Business continuity management - Guidance on organization recovery following disruptive incidents, London: British Standards Institution |
Porter, E M (1985) Competitive Advantage: Creating and Sustaining Superior Performance, New York: Simon & Schuster Turnbull, N et al. (1999) Internal Control - Guidance for Directors on the Combined Code, London: Institute of Chartered Accountants in England and Wales |
УДК 658:562.014:006.354 | ОКС 03.100.01 |
Ключевые слова: непрерывность бизнеса, менеджмент непрерывности бизнеса, программа менеджмента непрерывности бизнеса, стратегия обеспечения непрерывности бизнеса, воздействие, инцидент, план управления в условиях инцидента, чрезвычайная ситуация, нарушение деятельности организации, критические виды деятельности, риск, допустимый риск, оценка риска, устойчивость организации |
Электронный текст документа
и сверен по:
, 2020