ФЕДЕРАЛЬНОЕ
АГЕНТСТВО
МЕНЕДЖМЕНТ
НЕПРЕРЫВНОСТИ Часть 3 Руководство по внедрению
Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения» Сведения о стандарте 1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска» 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. № 735-ст 4 Настоящий стандарт разработан с учетом основных требований национального документа Великобритании BIP 2142:2007 «Маршрутная карта менеджмента непрерывности бизнеса. Внедрение требований BS 25999» (BIP 2142:2007 The Route Map to Business Continuity Management. Meeting the Requirements of BS 25999, NEQ) 5 ВВЕДЕН ВПЕРВЫЕ Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет СОДЕРЖАНИЕ Введение Менеджмент непрерывности бизнеса - это процесс управления, в рамках которого определяют потенциальные угрозы и их воздействие на деловые операции организации. Этот процесс является основой для повышения гибкости организации и направлен на обеспечение эффективного реагирования на угрозы и защиту интересов ключевых причастных сторон (в т.ч. потребителей, поставщиков, персонала), репутации, бренда и деятельности, добавляющей ценность, а также соответствия законодательным и обязательным требованиям. Основной задачей системы менеджмента непрерывности бизнеса является обеспечение бесперебойной и непрерывной работы организации. Поставка продукции и услуг организации должны продолжаться в независимости от любых внешних воздействующих факторов. Бизнес должен быть непрерывным. Требования настоящего стандарта следует применять наряду с нормативно-правовыми актами в области здоровья, экологии и обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно-правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. При этом следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации. В качестве синонимов термина «менеджмент непрерывности бизнеса» часто используют термины «управление непрерывностью бизнеса», «управление непрерывностью деятельности», «управление бесперебойностью работы». Выбор термина зависит от потребностей организации и требований ее причастных сторон. При разработке настоящего стандарта учтены основные требования национального документа Великобритании BIP 2142:2007 «Маршрутная карта менеджмента непрерывности бизнеса. Внедрение требований BS 25999». НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА Часть 3 Руководство по внедрению Business continuity management. Part 3. Guide of implementation Дата введения - 2011 - 12 - 01 1 Область примененияНастоящий стандарт содержит руководящие указания по внедрению системы менеджмента непрерывности бизнеса в организации. Целью настоящего стандарта является обеспечение организации дополнительной информацией для понимания, разработки и внедрения, анализа и постоянного улучшения деятельности организации на основе стандартов серии ГОСТ Р 53647. В основу рекомендаций настоящего стандарта положен опыт внедрения системы менеджмента непрерывности бизнеса (МНБ) предприятиями различных направлений бизнеса. Настоящий стандарт предназначен для организаций всех размеров и форм собственности и специалистов, ответственных за обеспечение непрерывности бизнеса организации. В область применения настоящего стандарта не входит планирование действий в чрезвычайных и других ситуациях, относящихся к области гражданской обороны и МЧС. Основные принципы МНБ для организации финансовой сферы приведены в приложении А. 2 Нормативные ссылкиВ настоящем стандарте использованы ссылки на следующие стандарты: ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство (BS 25999-1:2006, Business continuity management - Part 1: Code of practice) ГОСТ P 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования (BS 25999-2:2007, Business continuity management - Part 2: Specification) Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов и классификаторов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом, следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку. 3 Внедрение серии стандартов ГОСТ Р 53647Серия стандартов ГОСТ Р 53647 по менеджменту непрерывности бизнеса состоит из двух стандартов: Стандарт ГОСТ Р 53647.1 устанавливает руководящие указания по применению методов организации эффективного менеджмента непрерывности бизнеса. Организации могут использовать этот документ в полном объеме или в части, необходимой для конкретной ситуации. Данный стандарт также может быть использован для самооценки или взаимной оценки двумя организациями. ГОСТ Р 53647.1 не устанавливает требований к МНБ. Стандарт ГОСТ Р 53647.2 устанавливает способы внедрения МНБ. Стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, для оценки соответствия организации законодательным и обязательным требованиям, а также требованиям потребителей и собственным требованиям организации. ГОСТ Р 53647.2 содержит требования, соответствие которым может быть установлено в ходе аудита. Демонстрация выполнения требований ГОСТ Р 53647.2 может быть использована организацией для обеспечения уверенности заинтересованных сторон в успешном внедрении ею МНБ. Так же, как в современных стандартах в области систем менеджмента, в стандарте ГОСТ Р 53647.2 использован цикл PDCA1) (планирование - осуществление - проверка - действие), представленный на рисунке 1, направленный на разработку, внедрение и повышение эффективности системы менеджмента непрерывности бизнеса организации. _____________ 1) PDCA - «Plan-Do-Check-Act».
Рисунок 1 - Применение цикла PDCA в разработке, внедрении и повышении эффективности системы МНБ На рисунке 2 показан цикл PDCA применительно к системе менеджмента непрерывности бизнеса (СМНБ) в соответствии с ГОСТ Р 53647.2. Применение цикла PDCA приводит к достижению запланированных результатов в области непрерывности бизнеса, которые отвечают требованиям и ожиданиям заинтересованных сторон.
Рисунок 2 - Применение цикла PDCA к процессам СМНБ Элементы цикла PDCA в соответствии с СМНБ, установленные в ГОСТ Р 53647.2, включают в себя: - Планирование: установление политики, целей, задач, средств управления, процессов и процедур обеспечения непрерывности бизнеса, относящихся к управлению риском и улучшению непрерывности бизнеса для достижения результатов в соответствии с политикой и целями организации. - Осуществление: внедрение и применение политики, средств управления, процессов и процедур в области непрерывности бизнеса. - Проверка: мониторинг и анализ СМНБ на соответствие политике и целям в области непрерывности бизнеса, отчет по результатам анализа для проведения анализа со стороны руководства, определение и утверждение корректирующих и предупреждающих действий, а также деятельности по улучшению. - Действие: поддержка и улучшение СМНБ, выполнение предупреждающих и корректирующих действий, а также деятельность по улучшению, основанная на результатах анализа со стороны руководства, и актуализация области применения СМНБ, политики и целей в области непрерывности бизнеса. Подход PDCA, используемый в ГОСТ Р 53647.2, обеспечивает необходимую степень согласованности с другими стандартами, регламентирующими требования к системам менеджмента, таким как ИСО 9001 и ИСО 14001. Схематичное изображение жизненного цикла МНБ, соответствующего ГОСТ Р 53647.1, представлено на рисунке 3. Общепризнано, что подход PDCA может быть применен к каждому этапу процессов жизненного цикла МНБ, поэтому для целей настоящего стандарта использован следующий подход. Рисунок 3 может быть представлен в виде колеса МНБ. Центр колеса (управление программой МНБ) и шина (внедрение МНБ в культуру организации) являются элементами, связанными с элементами «планирование, проверка и действие» в цикле PDCA. Спицы колеса (анализ непрерывности бизнеса организации, определение стратегии МНБ, разработка и внедрение ответных мер МНБ, применение, поддержка и анализ МНБ) относятся к элементу цикла PDCA «осуществление». Рисунок 3 - Жизненный цикл менеджмента непрерывности бизнеса 4 Планирование системы менеджмента непрерывности бизнесаРазделы 4 - 7 относятся к элементу цикла PDCA «планирование». Для обеспечения успешного внедрения СМНБ должна быть введена в действие и одобрена высшим руководством организации, участие которого в работе с МНБ необходимо. Постоянная поддержка высшего руководства организации является необходимым условием ответственного отношения к МНБ персонала организации в целом. Важно обеспечить хранение данных о разработке и внедрении СМНБ в организации, достоверных свидетельств принятых решений, записях о выполненных планах, отчетов всех видов аудитов, а также результатах соответствия СМНБ требованиям ГОСТ Р 53647.2. 4.1 Начальный этап разработки В основе жизненного цикла МНБ лежит управление программой МНБ. В отличие от управления проектом, в котором есть начало и конец разработки, МНБ является непрерывным процессом, поэтому управление программой МНБ следует рассматривать как программу действий по обеспечению своевременности и релевантности СМНБ и гарантии ее существования в пределах организации. При разработке и внедрении СМНБ организация должна установить: - требования к непрерывности бизнеса с учетом целей и обязательств организации, а также законодательных, обязательных и договорных требований и налогов; - интересы ключевых причастных сторон; - область применения СМНБ с позиции ее ключевых продукции и услуг. 4.2 Определение требований к МНБ На первом этапе должны быть установлены причины необходимости внедрения МНБ организацией. Следует определить, действительно ли внедрение МНБ сделает организацию более гибкой и устойчивой, экономически эффективной и/или конкурентоспособной. Является ли СМНБ важным элементом управления риском и достижения поставленных целей организацией. Не является ли внедрение СМНБ только данью моде. Не начато ли внедрение СМНБ под давлением внешних коммерческих партнеров? Для успешной разработки и внедрения СМНБ необходимо понимание внешней макросреды организации. Существуют различные способы подготовки ответа на поставленные вопросы, одним из которых является Шпиль-анализ (см. рисунок 4), который применяют для анализа внешней среды. Рисунок 4 - Схема Шпиль-анализа Ниже приведены некоторые из вопросов, на которые следует ответить организации при выполнении каждого элемента анализа: - Какие социальные обязательства организация имеет перед обществом, например обеспечение занятости населения, безопасности персонала? - Как общество рассматривает деятельность организации, например как угрозу личной безопасности или потенциальную причину ущерба? - Какова зависимость организации от внешних условий, например коммуникаций? Как быстро меняются технологии, используемые организацией? - Каков экономический климат, в котором действует организация? Каково отношение к долгу финансовых учреждений, с которыми взаимодействует организация? Насколько развита экономическая система стран, в которых работает организация и сотрудничает в сфере торговли? - Какова этика торговых отношений? Каково отношение общественности и СМИ к организации и ее деятельности? - Является ли стабильным политический климат страны, в которой работает организация? Влияет ли смена правительства на отношение государства к организации и ее сфере деятельности? Существует ли угроза терроризма и общественных беспорядков для организации? - Какие законы и нормативные акты применимы к организации? Они являются национальными или международными? - Следует учитывать экологические аспекты? Какое воздействие оказывает организация на окружающую среду, например загрязнение? Какие внешние события могут воздействовать на организацию, например со стороны окружающей среды или конкурентов? Должно быть достигнуто четкое понимание причин и необходимых сроков внедрения МНБ, поскольку они влияют на область применения и успех первого этапа процесса жизненного цикла МНБ. 4.3 Установление целей и планов обеспечения непрерывности бизнеса После установления высшим руководством причин внедрения МНБ должны быть установлены цели и планы внедрения СМНБ. Для этих целей может быть полезно использование инструментов и методов управления проектом, таких как методы оценки и пересмотра планов (PERT1)) и графиков Гантта2). Результаты их применения могут быть впоследствии представлены, как свидетельства аудита СМНБ. _____________ 1) PERT - Program Evaluation and Review Technique (Способ анализа задач, необходимых для выполнения проекта, в том числе анализа времени, которое требуется для выполнения каждой отдельной задачи, а также определение минимального необходимого времени для выполнения всего проекта). 2) Это популярный тип столбчатых диаграмм, который используется для иллюстрации плана, графика работ по какому-либо проекту. Является одним из методов планирования проектов. Если организация зависит от ключевых поставщиков, посредников или партнеров при поставке ключевых продукции и услуг своим потребителям/клиентам, то необходимо учитывать эту зависимость при внедрении и установке целей МНБ, планы должны отражать обеспечение эффективности деятельности ключевых поставщиков или партнеров в СМНБ. 4.4 Область применения МНБ Организация должна определить область применения системы менеджмента непрерывности бизнеса. Область применения является первым пунктом аудита СМНБ на соответствие требованиям ГОСТ Р 53647.2. Не менее важна область применения СМНБ для внешних партнеров, заинтересованных в способности организации осуществлять управление непрерывностью своей деятельности. Факторы, которые следует учитывать при определении области применения, включают в себя: - размер и структуру организации; - потребности потребителей, клиентов, представителей контролирующих органов, аудиторов, страховых компаний и инвесторов; - сферу деятельности организации; - окружающую среду и географическое расположение, в которых работает организация; - цели организации. На начальном этапе сложно разработать и внедрить СМНБ, охватывающую большую и сложную структуру всей организации. Начинать следует с продукции и услуг, наиболее значимых по отношению к установленным целям организации и требованиям внешних причастных сторон. Для небольших организаций разработать и внедрить СМНБ можно для всей организации. Вне зависимости от принятых решений жизненно важно определить и зафиксировать область применения СМНБ на начальном этапе программы. Пример описания области применения приведен в приложении Б. Область применения может быть включена в документально оформленную политику организации. Однако следует учесть, что при изменении области применения документально оформленная политика должна быть пересмотрена. 4.5 Установление политики в области непрерывности бизнеса Создание и опубликование документально оформленной политики организации в области непрерывности бизнеса, утвержденной высшим руководством, является ключевым элементом СМНБ и демонстрирует принятые обязательства со стороны высшего руководства организации. Документально оформленная политика в области непрерывности бизнеса должна включать в себя: - цели создания и поддержания в рабочем состоянии МНБ в организации; - область применения СМНБ, включая все ограничения и исключения; - краткий обзор функций и обязанностей лиц, ответственных за внедрение и осуществление МНБ; - ресурсы, выделенные на МНБ; - основные принципы, применяемые руководящие указания и стандарты в области МНБ; - ссылки на законодательные и нормативные акты и обязательные требования; - основы оценки и анализа СМНБ. В заключительном разделе политики должны быть установлены способы обеспечения уверенности в том, что СМНБ внедрена результативно и поддерживается в рабочем состоянии. Одним из путей достижения этой цели может стать определение ключевых показателей, используемых для мониторинга СМНБ. Примерами ключевых показателей могут быть: - количество планов, предусмотренных СМНБ, которые должны быть разработаны в указанный срок; - количество совещаний по анализу непрерывности бизнеса организации, которые должны быть проведены в указанный срок; - количество планов, в соответствии с которыми должны быть проведены учения и виды проводимых учений в указанный срок; - количество учений за указанный период времени; - процент выполнения планов, которые должны быть проанализированы ежегодно в указанный срок; - уровень воздействия инцидентов с отрицательными последствиями за 12 месяцев. Документально оформленная политика в области непрерывности бизнеса должна быть краткой и соответствовать особенностям организации, учитывая характер, масштаб, сложность, географию и критичность ее деятельности. Политика должна также отражать культуру, взаимосвязи и окружающую среду организации. Если в организации существует стандартная форма оформления политики, то ее следует соблюдать. Документально оформленная политика в области непрерывности бизнеса, одобренная высшим руководством, должна быть издана в организации и может быть согласована с причастными сторонами. Если существуют соответствующие законодательные требования относительно конкретного типа управления организации, политика в области непрерывности бизнеса должна быть официально опубликована. Политика в области непрерывности бизнеса может быть опубликована на вебсайте или доступна по запросу. Ссылка на политику в области непрерывности бизнеса может быть сделана в ежегодных отчетах, которые предоставляют гарантию ответственного отношения организации к непрерывности бизнеса для инвесторов и других заинтересованных сторон. Политика в области непрерывности бизнеса, как и политика организации в других сферах, должна быть актуализирована через запланированные интервалы времени на предмет ее соответствия организации, а также при внесении существенных изменений в работу организации или при наличии изменений в окружающей среде. Пример типовой политики в области непрерывности бизнеса приведен в приложении В. 5 Обеспечение ресурсами МНБ5.1 Финансирование программы Для успешного создания и непрерывного поддержания в рабочем состоянии МНБ необходимо выделение достаточных ресурсов на программу МНБ. Высшее руководство часто рассматривает СМНБ как излишние расходы и обычно требует демонстрации прибыли на инвестированный капитал. Это может быть трудно осуществимо, поскольку СМНБ обычно разрабатывают для поддержки непрерывности в маловероятных случаях появления негативных инцидентов. Аргументы за СМНБ могут быть основаны больше на экономике, чем на данных бухгалтерского учета. Это - альтернативная стоимость отказа или цена возможности нарушения деятельности организации, которая должна быть согласована с необходимыми инвестициями. Примером альтернативной стоимости нарушений деятельности являются: - стоимость потерянных продаж, если произошла остановка производства более чем на X часов; - возможные финансовые штрафы при отказе или задержке поставки продукции/услуги; - количество потерянных потребителей в стоимостном выражении, если остановка производства длится более чем X дней (с учетом того, что привлечение новых клиентов стоит обычно дороже); - стоимость потерянных контрактов или неспособность получить новые, в результате отсутствия в организации внедренной СМНБ. Уровень необходимых ресурсов, требуемых для внедрения и поддержки СМНБ, должен соответствовать размеру и характеру организации и окружающей среде, в которой она работает. Для малых организаций СМНБ должна быть несложной по структуре и недорогой по стоимости. Очень важно выделение достаточного временного ресурса персоналу, ответственному за внедрение программы МНБ. После своего создания управление непрерывностью бизнеса должно стать частью хозяйственной деятельности организации. 5.2 Распределение функций, ответственности и полномочий Независимо от размера организации основой эффективного менеджмента непрерывности бизнеса является деятельность исполнительного руководства. Внедрение организацией любых новых процессов менеджмента требует привлечения квалифицированных специалистов очень высокого уровня. Это может быть управляющий небольшой компанией, директор головного филиала или руководитель местного представительства, которые способны эффективно взаимодействовать с органами власти, нести ответственность и обеспечивать непрерывную поддержку управления непрерывностью бизнеса, а также проявлять и демонстрировать свою инициативу. Демонстрация обязательств высшего руководства в сфере МНБ должна поддерживаться организацией с момента создания и в процессе функционирования СМНБ. Должна быть создана структура управления непрерывностью бизнеса, наиболее приспособленная для конкретной организации. В небольшой организации может быть назначен руководитель, на которого возлагают ответственность за внедрение и руководство СМНБ. В международных организациях для создания и поддержки СМНБ часто создают большие команды, работающие во всем мире и во всех представительствах. Уровень необходимых ресурсов для управления непрерывностью бизнеса в головной организации должен быть сведен к минимуму и соответствовать размеру и географическому распространению организации. В управление непрерывностью бизнеса на оперативном уровне должен быть вовлечен весь персонал организации. Создание отдела по управлению непрерывностью бизнеса может подорвать основной принцип внедрения управления непрерывностью бизнеса, который состоит в убежденности персонала в том, что обеспечение непрерывности бизнеса является частью общей работы организации. На рисунке 5 приведена структура управления непрерывностью бизнеса для организации среднего размера. Структура управления непрерывностью бизнеса, используемая в организации, должна быть одобрена высшим руководством организации и утверждена.
Рисунок 5 - Структура управления непрерывностью бизнеса организации среднего размера Рабочая группа по управлению непрерывностью бизнеса на высшем уровне (далее - Координационный Совет) должна быть создана из числа высшего руководства организации, руководителей направлений по продукции и/или услугам. Роль Координационного Совета заключается в следующем: - ответственность за управление распределением ресурсов; - установление приоритетов в области непрерывности бизнеса организации; - анализ и интерпретация отношения к риску высшего руководства; - установление стратегии обеспечения непрерывности бизнеса в соответствии с целями и обязательствами организации; - определение мер, которые необходимо осуществлять для обеспечения постоянной актуальности и соответствия процессу управления непрерывностью бизнеса. Координационный Совет несет ответственность за обеспечение осведомленности персонала организации и причастных сторон о важных аспектах управления непрерывностью бизнеса. Подход, принятый Координационным Советом, имеет сильное влияние на культуру непрерывности бизнеса в организации. В малой организации эта роль, скорее всего, будет принадлежать владельцу или управляющему, которому может помогать один из его заместителей. В больших организациях руководители по направлениям несут ответственность за создание и поддержку процесса управления непрерывностью бизнеса в рамках их функциональной деятельности. Очень часто обязанности по управлению непрерывностью бизнеса руководителей по направлениям включать в должностные обязанности. Опыт организаций, которые уже внедрили СМНБ, показывает успешное применение «матричного» подхода к управлению, который состоит в использовании команды руководителей среднего и высшего звена, хорошо знающих деятельность организации, свои функции и ресурсы. В такие команды могут быть привлечены представители исполнительного и оперативного руководства различных отделов, таких как: юридический, финансовый, технологический, материально-технического снабжения, безопасности; поставщиков и т.д. Они должны выполнять роль советников для Координационного Совета на всех стадиях процесса управления непрерывностью бизнеса. 5.3 Обучение и компетентность Распределения функций, обязанностей и полномочий недостаточно. Организация должна обеспечивать компетентность всего персонала, на который возложены обязанности и ответственность в области непрерывности бизнеса, достаточную для выполнения поставленных перед ним задач. Эти задачи могут быть различными, например по разработке и планированию управления непрерывностью бизнеса или по восстановлению бизнеса после нарушений или разрушения. В этих обстоятельствах персонал должен знать, что его ожидает, и обладать необходимыми навыками для выполнения поставленных задач, часто в сложных ситуациях. Это необходимо учитывать при разработке СМНБ. Не должно быть ситуации, когда персонал, включенный в разработку СМНБ, не осведомлен об этом. Обучение в области непрерывности бизнеса является ключевым элементом ГОСТ Р 53647.2 и должно соответствовать действующим нормативным актам. Для обеспечения и проведения обучения должны быть выделены необходимые финансовые ресурсы. Действия, которые необходимо предпринять для обеспечения соответствующего уровня обучения и компетентности персонала организации в области непрерывности бизнеса, могут включать в себя: - определение требований к компетентности персонала, вовлеченного в СМНБ (в приложении Г приведены требования к компетентности членов команды управления непрерывностью бизнеса); - проведение анализа потребностей в обучении персонала, на который возложены ответственность и полномочия в области управления непрерывностью бизнеса при разработке СМНБ, и персонала, вовлеченного в реализацию планов обеспечения непрерывности бизнеса при возникновении инцидентов; - обеспечение и проведение обучения; - оценка эффективности проведенного обучения; - регистрация актуализированных записей об обучении, полученных навыках, опыте и квалификации. В приложении Д приведены рекомендации по составлению программы обучения. 6 Внедрение МНБ в культуру организацииМНБ имеет отношение к культуре организации. Для успешного внедрения менеджмент непрерывности бизнеса должен стать частью управления организацией вне зависимости от размера или сферы ее деятельности. На каждой стадии процесса управления непрерывностью бизнеса существуют возможности для повышения культуры организации в области МНБ. В соответствии с ГОСТ Р 53647.2 установлены требования по внедрению МНБ: - обеспечение осведомленности об управлении непрерывностью бизнеса всего персонала, его участия и вклада в достижение поставленных целей организации в области непрерывности бизнеса; - повышение и поддержка осведомленности всего персонала на основе непрерывного обучения и получение информации в области непрерывности бизнеса; - разработка, внедрение и поддержка процесса оценки эффективности обеспечения осведомленности персонала в области непрерывности бизнеса. Внедрение управления непрерывностью бизнеса в культуру организации становится частью основных активов и эффективного менеджмента организации. Организация с положительной культурой управления непрерывностью бизнеса может иметь большую выгоду, поскольку СМНБ позволяет: - более эффективно развивать программу управления непрерывностью бизнеса; - обеспечивать уверенность причастным сторонам, особенно персоналу и потребителям, в способности действовать в условиях нарушения или разрушения деятельности организации; - повышать устойчивость организации в долгосрочной перспективе путем обеспечения непрерывности бизнеса при рассмотрении и принятии решений на всех уровнях для существующих и новых продукции и услуг; - минимизировать вероятность и воздействие нарушений и разрушений деятельности организации. Внедрение управления непрерывностью бизнеса в культуру организации может стать длительным и сложным процессом, который может столкнуться со значительным сопротивлением со стороны персонала, которое не было предусмотрено на ранних стадиях внедрения СМНБ. Понимание культуры организации необходимо при разработке программы в области непрерывности деятельности и бизнеса. Для обеспечения эффективного внедрения управление непрерывностью бизнеса не должно носить роль «дополнительной нагрузки» или «временной инициативы» со стороны высшего руководства. Перед началом разработки СМНБ Правление или Координационный Совет должны понять и принять важность и ценность процесса управления непрерывностью бизнеса. Они должны поощрять принцип анализа, основанный на вопросе «что если?», а также при рассмотрении препятствий при поставке организацией продукции/услуг. Для успешной реализации в управление непрерывностью бизнеса должен быть вовлечен весь персонал организации. Часто многие нарушения и разрушения вызваны внутренними причинами. Во многих организациях существует страх обвинения, который препятствует тому, что персонал сообщает о возникших проблемах. Если руководство в организации не хочет слышать только «плохие новости», то у персонала не возникнет желания привлекать внимание к недостаткам и несоответствиям, которые могут впоследствии привести к нарушениям деятельности или разрушению бизнеса организации. Весь персонал, включая руководителей среднего звена, должен быть убежден, что управление непрерывностью бизнеса является важной задачей организации и что им отведена соответствующая роль в поддержании непрерывности поставок продукции и услуг потребителям и клиентам. Существенно важно, чтобы программы повышения осведомленности персонала в области непрерывности бизнеса стали частью программы внедрения СМНБ. Повышение осведомленности можно разделить на две стадии. На первой стадии весь персонал организации должен быть осведомлен о целях и назначении управления непрерывностью бизнеса. Персонал должен быть убежден, что МНБ является долгосрочной инициативой, которая имеет поддержку со стороны руководителя организации. Метод, который был успешно использован при внедрении всеобщего менеджмента качества в 1980-ых годах, заключался в созыве совещаний основных руководителей и специалистов по каждому направлению деятельности организации с участием специалистов в области качества, на которых обсуждались и устанавливались основные понятия и положения СМНБ, а также проводилось обсуждение возможностей улучшения качества продукции путем всеобщего менеджмента качества. Аналогичный подход может быть применен и к управлению непрерывностью бизнеса с использованием команд из руководителей и специалистов по каждому направлению деятельности организации, которые должны идентифицировать причины, препятствующие обеспечению непрерывности бизнеса. Ключевым вопросом должен быть вопрос «что если?». Опыт показывает, что даже на самом низком уровне организационной структуры персонал в состоянии усвоить основные концепции управления непрерывностью бизнеса и может не только идентифицировать потенциальные области возможных проблем, но и предложить возможные решения, направленные на поддержание непрерывности бизнеса. В каждой организации существует консервативная часть руководства, скептически настроенная по отношению к вводу новых инициатив, очень часто это руководители среднего звена. Необходимо сделать особый акцент на получение именно их поддержки, если принято решение о том, что управление непрерывностью бизнеса должно стать частью менеджмента организации. На этот уровень руководителей обычно ложится большая часть работы на начальном этапе определения критических видов деятельности и процессов, поэтому важно получение поддержки всех руководителей с самого начала разработки СМНБ. Вторая стадия повышения осведомленности происходит после завершения разработки планов обеспечения непрерывности бизнеса. Важно, чтобы все причастные стороны знали о разработке организацией подобных планов. Это поможет повысить их уровень доверия и уверенности в способности организации работать в ситуации остановки, нарушения и разрушения бизнеса. Персонал должен быть уверен, что не лишается своих рабочих мест после приостановки, нарушения и/или разрушения деятельности организации. Очень важно, чтобы люди знали, какие действия они обязаны предпринимать в рамках существующего плана обеспечения непрерывности бизнеса. Пример - Один из ведущих в стране розничных продавцов имеет политику в сфере обмена информацией для обеспечения осведомленности персонала о его действиях в случае возникновения инцидента. В организации установлен телефон, по которому персонал может получить необходимую информацию об инциденте на работе или эта информация может быть получена из СМИ. Когда в одном из столичных магазинов произошел пожар, служащие знали что делать на следующий день. Одни отправились в ранее определенные альтернативные места работы; другие находились дома и постоянно находились на связи для получения необходимых распоряжений. Необходимо обеспечить постоянную информированность персонала о требованиях к их действиям во время разрушения. Служащие, плохо знакомые с работой организации, должны быть ознакомлены с политикой в области непрерывности бизнеса и планами обеспечения непрерывности бизнеса в рамках их обязанностей и компетентности. Это может быть достигнуто путем включения материалов об управлении непрерывностью бизнеса в программу первоначального и ежегодного инструктажа персонала. Понимание общей программы управления непрерывностью бизнеса может быть повышено с помощью публикаций в газетах, электронных писем, размещения информации в интернете на сайте организации, совещаний команд и радиопередач с участием высшего руководства и т.п. В этой информации в первую очередь должны быть приведены примеры успешного выхода организации из инцидента при активном участии персонала. Также может быть представлен опыт работы других организаций в условиях инцидента. Например, организация может включить элементы непрерывности бизнеса в цели общего менеджмента, а также разработать и внедрить всестороннюю программу он-лайн обучения, которую должны пройти все руководители организации. Кроме того, может быть внедрена система материального поощрения персонала, связанная с достижением целей в области непрерывности бизнеса. Организация может включать цели непрерывности бизнеса в общие цели и принципы работы, например «сохранять положение самого успешного поставщика...». Поскольку основные цели менеджмента вытекают из общих целей организации, то они также должны включать положения, связанные с менеджментом непрерывности бизнеса. При взаимодействии с поставщиками отдел закупок организации обеспечивает осведомленность ключевых поставщиков о важности управления непрерывностью бизнеса для организации, а также процессах и деятельности, которые они должны вести для обеспечения бесперебойности поставок. Это относится к существующим и новым договорам на поставки. Организация должна поощрять ответственных за разработку новой продукции, внедрению решений в области непрерывности бизнеса при проектировании продукции и связанных с ней процессов. Этот путь более рентабелен. Включение требований к обеспечению непрерывности бизнеса на стадиях проектирования и разработки продукции и процессов позволит исключить проведение большого количества корректирующих действий в дальнейшем (при производстве и поставке продукции). Все сотрудники должны понять, что управление непрерывностью бизнеса является важной задачей организации и что каждый из них играет важную роль в обеспечении непрерывности поставки продукции и услуг потребителям и клиентам. Повышение осведомленности и понимания должно затрагивать не только причастные стороны. Информация о действиях, предпринимаемых во время разрушения бизнеса, должна быть, при необходимости, распространена за пределы организации и ее причастных сторон. Потребители должны знать о том, как влияют разрушения бизнеса организации на поставку товаров и услуг и когда они смогут ожидать возвращение организации к нормальной работе. Поставщики должны знать альтернативные места поставки в случае возникновения инцидентов, а также должны быть уверены в оплате этих поставок. Банки и инвесторы должны быть уверены в эффективности управления организацией при разрушениях деятельности и в безопасности своих инвестиций. Законодательные, регулирующие, исполнительные и другие органы власти должны принимать альтернативные меры, направленные на обеспечение непрерывности бизнеса, которые будут предприняты организацией в случае возникновения несоответствия продукции и услуг организации установленным законодательным и обязательным требованиям. Широкие круги общественности также должны быть проинформированы о планируемых действиях, если потенциальные разрушения будут оказывать серьезное воздействие на благосостояние населения, например пожар на химическом производстве. 7 Документация и записи7.1 Управление документацией Ключевым элементом любой системы менеджмента является процесс управления документацией. В рамках СМНБ очень важно, чтобы во время любого нарушения или разрушения бизнеса соответствующие лица, причастные к СМНБ, имели установленный и санкционированный доступ к информации об инциденте, планам обеспечения непрерывности бизнеса и сопроводительной документации. Большая часть информации, содержащейся в документации СМНБ, может быть конфиденциальной. Такая информация должна быть соответствующим образом защищена. В организации должен быть установлен и поддерживаться в рабочем состоянии документально оформленный процесс управления записями, который включает в себя идентификацию, хранение, защиту, поиск, определение срока хранения и уничтожения документов и записей. 7.2 Требования к документации Документация организации должна охватывать следующие аспекты СМНБ: - политику в области обеспечения непрерывности бизнеса; - область применения СМНБ; - процедуры, средства управления и поддержки СМНБ; - результаты анализа воздействия на бизнес и оценки риска; - стратегии МНБ; - планы обеспечения непрерывности бизнеса и планы управления в условиях инцидента; - актуализированную подробную информацию о способах контакта и мобилизации персонала и любых вовлеченных (например, аварийных) организаций и агентств, которые должны участвовать в действиях при возникновении инцидента, а также необходимые для этого ресурсы; - график выполнения работ, полученные результаты, корректирующие и предупреждающие действия; - анализ ситуаций после завершения инцидента; - программы обучения. Любая организация, уполномоченная для проведения аудита, добровольно или в результате установленных требований, должна обеспечивать наличие письменных объективных свидетельств аудита по СМНБ. Вышеперечисленный перечень может помочь организации разработать необходимую документацию. Этот список соответствует требованиям, установленным в ГОСТ Р 53647.2, однако он не является исчерпывающим и при необходимости может быть дополнен. 7.3 Управление записями Обеспечение объективных свидетельств эффективности СМНБ является одной из ключевых задач, стоящих перед любой организацией. Должна проводиться регистрация записей об управлении СМНБ, а также об учениях, инцидентах, их последствиях, достигнутых результатах и ином полученном опыте. Объективные свидетельства СМНБ, полученные на основе записей, могут быть использованы для демонстрации эффективности внутреннего управления: согласованности деятельности организации с установленной политикой в области непрерывности бизнеса и достижения поставленных целей. Результаты и опыт, полученные во время учений и/или при возникновении инцидентов, подтверждают эффективность инвестиций, направленных на обеспечение непрерывности бизнеса. Причастные стороны также могут быть заинтересованы в подобных записях. При получении запроса или юридического требования, направленного против организации, в которой произошел серьезный инцидент и, как следствие, была приостановлена поставка критических видов продукции/услуг, могут потребоваться свидетельства обеспечения непрерывности бизнеса и эффективного управления в условиях инцидента. Неспособность получить подобные объективные свидетельства может повлиять на имидж организации. 8 Развитие и совершенствование управления непрерывностью бизнеса В настоящем разделе описаны элементы PDCA, т.е. спицы колеса жизненного цикла МНБ (см. рисунок 3). Элементы PDCA включают в себя: - анализ непрерывности бизнеса организации; - определение стратегии МНБ; - разработку и внедрение ответных мер предусмотренных МНБ; - применение, поддержку и анализ МНБ. Многие организации начинают разработку планов обеспечения непрерывности бизнеса при возникновении возможности потери информации, нарушения информационных технологий или разрушения здания. Это традиционный подход к восстановлению бизнеса в условиях инцидента, который обеспечивает уверенность руководителей организации в адекватности предпринимаемых мер по защите бизнеса организации. Однако при таком подходе существует вероятность того, что не все критические виды деятельности организации будут проанализированы и учтены все потребности бизнеса организации. Руководство организации может принять решение о внедрении СМНБ, которое основано именно на обеспечении непрерывности критических видов деятельности и процессов, которые производят или обеспечивают поставку ключевых продукции/услуг потребителям и клиентам. Управление непрерывностью бизнеса хорошо согласуется с всеобщим менеджментом качества, который основан на взаимоотношениях с поставщиками/клиентами и связанных с ними процессах. Процесс деятельности каждой организации имеет свои входы и выходы независимо от размера, сектора экономики или типа производства (например, сфера торгового предпринимательства, государственный орган, некоммерческая организация и т.д.). У всех организаций существуют потребители или клиенты, которым они поставляют продукцию или услуги. Мотивация к поставке организацией продукции и/или услуг может быть различной, (например, получение прибыли, социальное обеспечение, выполнение законодательных или обязательных требований) и может изменяться в зависимости от особенностей организации. Кроме того, существуют многочисленные причастные стороны, которые осуществляют контроль за поставками организации, изготовлением продукции и оказанием услуг. 8.1 Анализ непрерывности бизнеса организации 8.1.1 Идентификация причастных сторон Все причастные стороны должны быть идентифицированы в самом начале процесса анализа непрерывности бизнеса. Это позволяет организации анализировать принимаемые решения в области непрерывности бизнеса в соответствии с требованиями причастных сторон. Некоторые причастные стороны очевидны: акционеры, потребители, клиенты, персонал и поставщики. Кроме того, к причастным сторонам относятся: контролирующие органы, инвесторы (банки), страховые компании, аудиторы, профессиональные и торговые ассоциации и ведомства. К причастным сторонам могут быть отнесены также конкуренты, общество (например, постоянные и изменяющиеся общественные объединения), окружающая среда (например, макроэкономическая), в которой организация действует, СМИ и группы протеста. Последние две, из перечисленных причастных сторон, могут оказать значительное влияние на восприятие организации общественностью. Существует простой метод идентификации причастных сторон, их ожиданий при работе организации в обычном режиме и в условиях нарушения/разрушения бизнеса организации. Необходимо собрать группу руководителей высшего и среднего звена и перечислить все возможные причастные стороны и их ожидания, а затем оценить приоритетность причастных сторон сточки зрения их важности для организации. Дополнительные преимущества можно извлечь из проведения учений по управлению непрерывностью бизнеса, если команда специалистов будет рассматривать организацию сточки зрения причастных сторон, а не изнутри. Особое значение следует придавать ожиданиям потребителей и клиентов организации. Пример формы проведения анализа причастных сторон приведен в приложении Е. 8.1.2 Анализ воздействий на бизнес (АВБ) На следующей стадии должны быть определены критические виды деятельности, которые позволяют организации действовать и достигнуть поставленных целей. Существенно важно идентифицировать ключевые виды продукции или услуг, которые при разрушении (по любой причине) могут оказать наибольшее воздействие на организацию и ее причастные стороны. Именно на эти ключевые продукцию и/или услуги должно быть первоначально направлено управление непрерывностью бизнеса. С момента успешного внедрения СМНБ для идентифицированных ключевых продукции и/или услуг существует возможность расширить область применения СМНБ на другие сферы деятельности организации. При анализе путей поставки продукции и/или услуг могут быть использованы нетрадиционные представления об организации. Кроме того, должно быть рассмотрено участие всех третьих сторон в деятельности организации. К третьей стороне обычно относят поставщиков, подрядные организации и посредников (см. рисунок 6). В зависимости от содержания заключенного контракта потребители или клиенты ожидают, что организация поставит продукцию и/или услугу независимо от способности других вовлеченных сторон поддерживать непрерывность своего бизнеса. Только сама организация является ответственной за нарушение поставок. Рисунок 6 - Непрерывный мониторинг поставок Примером может быть организация заботы о пожилых людях на дому. Органы местного самоуправления все более и более используют третьи лица для предоставления подобных услуг. Однако, если услуга не оказана или ее качество не соответствует установленным требованиям, то клиент или его родственники считают ответственными за подобную ситуацию не подрядчиков, а органы местного самоуправления, от имени которых предоставлена услуга. Поэтому важно, чтобы органы местного самоуправления были уверены, что посредник обеспечивает управление непрерывностью своей деятельности. Применение анализа цепочки формирования стоимости Портера обеспечивает методологию, полезную для понимания и анализа работы организации. Конкретные действия или операции исследуют, в том числе на предмет потенциального разрушения, для установления того, где стоимость возрастает. Это является отправной точкой в понимании работы организации. Многие высшие и средние руководители полагают, что они «знают, как работает организация». Однако исследование многих катастроф четко указывает на их не случайный характер. Если руководители не знают, как работает их организация «в обычном режиме», то существует мало шансов сохранения бизнеса после кризиса или инцидента. 8.2 Анализ воздействий Традиционный подход менеджмента риска основан на анализе опасностей, которые могут разрушить критические виды деятельности организации, поддерживающие поставку ключевых видов продукции и/или услуг, и действий, направленных на предотвращение этих опасностей. С другой стороны в СМНБ применен подход, основанный на двух показателях: воздействия и времени. В рамках такого подхода необходимо исследовать воздействие на организацию прерывания и/или остановки критических видов деятельности. При этом следует исследовать воздействие, а не его причины, поскольку не все события, которые могут произойти, можно предсказать. Одним из основных требований управления непрерывностью бизнеса является то, что организация должна рассмотреть возможное воздействие на себя и свои причастные стороны ситуаций, когда по какой-либо причине остановлена или прекращена поставка ключевых продукции или услуг и поддерживающих их критических видов вспомогательных работ. Этот процесс известен как анализ воздействий на бизнес (АВБ). Могут быть выявлены следующие воздействия: - финансовые потери; - воздействие на предоставление услуг; - ухудшение или потеря репутации; - угроза личной безопасности; - нарушение личной частной жизни; - невозможность выполнения установленных законодательных и обязательных требований; - влияние на цели и график проекта. Выбранные виды воздействий должны соответствовать организации. Так воздействия на торговую организацию могут отличаться от воздействий на общественную или государственную организацию. При исследовании выявленных воздействий необходимо учитывать фактор времени: как скоро может произойти воздействие на организацию после разрушения ключевых продукции и/или услуг? Как долго на организацию будет воздействовать разрушение? В ГОСТ Р 53647.1 использован термин: максимально приемлемый период нарушения, который определен как «период времени после инцидента, в течение которого существует угроза жизнеспособности организации, до тех пор, пока поставка продукции и предоставление услуги не могут быть возобновлены». Для организации общественного сектора снижение жизнеспособности можно интерпретировать как потерю репутации. Следует также учитывать и другое воздействие фактора времени. Некоторые виды продукции или услуги и связанная с ними деятельность более важны в конкретный период календарного года, например при предоставлении отчетов и выборов, проведении фестивалей, укладке дорог. Кроме того могут существовать ключевые проекты, незавершение которых к установленному сроку может вызвать серьезные последствия для организации. Поскольку трудно прогнозировать момент, когда конкретно произойдет нарушение (разрушение), важно иметь календарный график событий, имеющих критичную зависимость от времени (см. рисунок 7). Аналогично должны быть рассмотрены возможные разрушения и кризисы, происходящие вне организации. Нехватка топлива может быть таким событием для большинства организаций и может оказать существенное воздействие на них. Рисунок 7 - Ключевые ежегодные мероприятия для университета Существуют два способа выполнения анализа воздействия на бизнес. Первый включает в себя определение входных данных, полученных от руководителей среднего и, при необходимости, высшего звена о том, что они считают важным для организации. Результаты должны быть сопоставлены, а действия по восстановлению должны быть распределены в порядке их приоритетности. Опасность в реализации этого подхода состоит в том, что многие руководители видят свои собственные области деятельности, как критические, и поэтому ранжирование может вызывать трудности. Также существует возможность, что при представлении анализа высшему руководству результаты могут быть оспорены или неприняты. Второй подход заключается в рассмотрении организации, как единого целого, обеспечение ранжирования ключевых продукции или услуг и МППН (максимально приемлемый период нарушения) группой из числа высшего руководства, например Координационным Советом или рабочей группой по управлению непрерывностью бизнеса. Эта группа также должна установить календарный график восстановления за МППН. Это время называют целевой срок восстановления (RTО1)), который определяет минимальное время восстановления деятельности по ключевым видам продукции или услуг. Группа определяет момент времени, когда должно произойти полное возобновление деятельности. Следует определить критические виды деятельности, необходимые для поставки ключевых видов продукции или услуг. Такой подход обеспечивает оптимальное направление первого этапа внедрения управления непрерывностью бизнеса. _____________ 1) RTO - Recovery Time Objective. Сложная по структуре организация может иметь большое количество ключевых видов продукции или услуг, однако и среди них должны быть установлены приоритеты по внедрению управления непрерывностью бизнеса. В приложении Ж приведен пример формы записей по анализу воздействия на бизнес. 8.3 Составление карты процесса После согласования с рабочей группой МНБ или высшим руководством перечня ключевых видов продукции или услуг на следующей стадии должны быть идентифицированы критические виды деятельности, связанные с производством этих продукции и услуг. Должны быть идентифицированы процессы, поддерживающие эти критические виды деятельности, а также вовлеченные ресурсы организации и третьих сторон. После определения процессов и необходимых ресурсов может быть составлена карта процесса для критических видов деятельности. Особенностью этого метода является идентификация только фактических действий, относящихся к поставке ключевых видов продукции и/или услуг. Самым опасным моментом на данном этапе является уверенность руководителей в том, что они знают «как все устроено на самом деле» в организации, поскольку высшее руководство часто теряет связь с низшим звеном организации. Жизненно важно выявить реальные действия (процессы), чтобы иметь возможность прогнозировать события во время любого разрушения. Если это выполнено, то продукция или услуги должны быть исследованы на предмет их текущей актуальности для организации и необходимости обеспечения непрерывности бизнеса в отношении них. Пример - Британская компания Acme Organization Ltd предоставляет широкий спектр услуг по управлению активами клиентов. Компания имеет четыре основных отдела по работе с клиентами: предоставление услуг на дому, управление имуществом, обслуживание коммунального оборудования и торговые договоры. Этим отделам помогают внутренние отделы, один из которых занимается закупками запчастей и оборудования (см. рисунок 8). Высшее руководство считает звонок клиента об аварийной ситуации у него на дому ключевой услугой, поскольку эта услуга оговорена в договорах с местными домоуправляющими компаниями. Далее должны быть идентифицированы критические виды деятельности, поддерживающие их процессы и ресурсы, а также любые внутренние или внешние взаимосвязи. Это следует делать с точки зрения целостности предоставляемой услуги: (от приема звонка (запроса) до решения проблемы), поскольку именно этого клиент ожидает от организации. Составление карты процесса обычно начинают с верхнего уровня путем описания основных элементов процесса, которым, например в отделе обслуживания коммунального оборудования, является отказ отопительной системы (см. рисунок 9). Затем, переходя на уровень ниже, составляют подробную карту процесса (см. рисунок 10). Далее могут быть применены более низкие уровни детализации процессов, которые также должны быть зарегистрированы. Система регистрации записей по процессу должна быть документально оформлена на бумажных или электронных носителях. Персонал, участвующий в процессе, должен помогать в составлении карты процесса путем описания своих действий, используемых ресурсов. Поскольку люди работают по-разному, а неформальные формы работы складываются в течение продолжительного периода времени, то полезно по возможности привлекать к работе нескольких сотрудников, участвующих в работе одного процесса. Рисунок 8 - Распределение вызовов телефонной аварийной службой к клиенту на дом Рисунок 9 - Пример основных элементов карты процесса Рисунок 10 - Пример подробной карты процесса Обучение по составлению карты процесса открывает дополнительные возможности персоналу, участвующему в процессе, поскольку он начинает лучше понимать те области своей деятельности, в которых обычно возникают затруднения возможно из-за нехватки ресурсов, нарушения поставок, отказа систем или требований безопасности. Следует также провести опрос персонала о текущих проблемах, с которыми он сталкивается, и способах их решения для обеспечения непрерывности функционирования процесса. Входными данными для этого уровня управления непрерывностью бизнеса может стать идентификация уже существующих, но не зарегистрированных решений в этой области, а также сфер деятельности, в которых организация может быть более гибкой и устойчивой. 8.4 Приемы составления карты процесса Одна из самых простых форм составления карты процесса основана на использовании небольших клейких листков. Работнику, участвующему в процессе, предлагают описать все свои действия. Он описывает каждую стадию процесса на отдельном клейком листке, который затем наклеивают к диаграмме на плакат с изображением блок-схемы процесса (см. рисунок 11). Использование клейких листков позволяет добавить пропущенные этапы процесса, при этом отсутствует необходимость в изменении всей блок-схемы. Следует учесть, что очень часто опрашиваемый тоже может пропустить какие-то описания, считая, что человек, проводящий опрос, хорошо знает процесс. На следующей стадии должны быть использованы клейкие листки другого цвета для нанесения на карту ресурсов, используемых на каждом этапе процесса. Ключевые ресурсы, используемые для поддержки процесса, могут быть следующие: персонал, информационные системы (IСТ1)), производственные оборудование и ресурсы. На клейких листках должны быть отмечены количество, размещение, навыки, функции, ответственность и обязанности персонала. Поддерживающие ИТ2) системы должны быть зарегистрированы, в том числе компьютерное оборудование, прикладное программное обеспечение, телекоммуникации и другая информация. Следует также указать необходимые производственные средства: помещение, производственное оборудование и материалы. Очень часто в критических видах деятельности участвуют третьи стороны, играя важную роль в качестве поставщиков товаров и услуг, подрядчиков или посредников между организацией и ее потребителями или клиентами. Их участие в процессе также должно быть зарегистрировано. _____________ 1) ICT - information and computing technology (информационные и компьютерные технологии). 2) ИТ - информационные технологии. Для особо ответственных операций процесса рекомендуется использовать отдельную область диаграммы и клейкие листки специального цвета. После завершения составления карты процесса выходные данные должны быть зарегистрированы и сохранены. После составления карты процесса для всех процессов, поддерживающих критические виды деятельности для ключевых продукции или услуг, проводят идентификацию всех используемых ресурсов (см. рисунок 12). Входы и выходы должны быть зарегистрированы с указанием о необходимых для выполнения задачи времени и ресурсах. Запись о необходимых ресурсах должна быть сделана напротив каждого элемента процесса. Как было отмечено, важно учесть, что некоторые виды деятельности носят сезонный характер, поэтому использование ресурсов может изменяться в течение года, например почта на Новый год и Рождество требует привлечения временного штата персонала и дополнительных средств. В приложении И приведен пример формы журнала записей о ресурсах для каждого вида деятельности. Рисунок 11 - Простая карта процесса
Рисунок 12 - Внесение данных о ресурсах в карту процесса 8.5 Оценка риска На следующем этапе необходимо выполнить оценку риска для всех видов ресурсов, идентифицированных в карте процесса. Обычно используют традиционные методы оценки риска. Используя данные карты процесса, легко идентифицировать возможные точки отказов в процессе и связанных видах деятельности, например основной штат персонала, строения или ресурсы. Пример - Изготовитель на Северо-востоке Англии выпускает широкий ассортимент офисной мебели. Одна из производственных линий компании произвела большой объем типовой продукции в широком ассортименте с низким коэффициентом рентабельности, в то время как другая производственная линия выполнила специальный заказ небольшого объема с высоким уровнем дохода. Такая специализация обеспечила выполнение поставки продукции компании в двух нишах рынка и обеспечила возможность заключать контракты с крупными клиентами. Проведение анализа риска для выполнения специального заказа привело к выявлению в этой производственной линии единственной точки возможного отказа: только один очень опытный служащий может выполнять специальные работы по дереву для мебели по специальному заказу, в его отсутствие линия останавливается. Отказ поставить мебель по специальному заказу организациям мог привести к потере общего контракта на поставку типовой офисной мебели с теми же компаниями. Вывод: следует идентифицировать отдельные точки отказа, провести анализ риска и его обработку. Внутренние и внешние опасности, обязательства и уровень подверженности риску должны быть идентифицированы вместе с вероятностью появления опасности. Результаты должны быть зарегистрированы. В организации может уже существовать регистр риска как часть системы менеджмента риска, в этом случае необходимо разработать интегрированный регистр риска. Результаты анализа воздействия на бизнес и анализа риска используют при создании матрицы риска для критических видов работ, показанных на рисунке 13. Рисунок 13 - Пример матрицы риска На этом этапе вновь могут быть проведены консультации и согласование с Координационным Советом СМНБ или с высшим руководством по определению риска для критических видов деятельности. Важно также понять, какой уровень риска организация готова принять как допустимый. Уровень допустимого риска определяет уровень устойчивости организации и количество задержек или остановок поставок, которые организация считает приемлемыми с позиций обеспечения непрерывности функционирования процесса. 8.6 Обработка риска В матрице оценки риска на рисунке 13 можно заметить, что существует много вариантов, применимых к риску критических видов деятельности: принятие, управление или ограничение, снижение или предупреждение и планирование. Соответствующая обработка риска может включать в себя один из этих вариантов или их сочетание. 8.6.1 Принятие риска В ситуации, когда воздействие на бизнес незначительно и вероятность отказа низка, Координационный Совет СМНБ из числа высшего руководства может решить принять риск и не предпринимать никаких действий. Это приемлемый порядок действия, и он связан с принятым уровнем риска организации. Допустимый риск зависит от размера организации, причастных сторон и их интересов, сферы деятельности, поведения конкурентов и подхода высшего руководства к риску. 8.6.2 Снижение риска В случае высокого уровня риска и низкого уровня воздействия на критические виды деятельности лучшим выбором должно быть снижение риска. Например при высоком риске отказа энергоснабжения наличие и функционирование резервного генератора или других источников электропитания сводит к минимуму воздействие отказа электроснабжения на критические виды деятельности. Если работа с одним поставщиком может быть приостановлена при нарушении поставок, то привлечение второго поставщика аналогичной продукции и услуг может существенно сократить этот риск. Пример - На реке Северн в Вустершире Англии очень часто происходят наводнения. За последние годы окрестности реки были сильно повреждены и, в результате, стало практически невозможно оформить страховку от наводнения. Владелец местного магазина по продаже рыбы принял решение о замене оборудования для уменьшения риска и минимизации потерь. Он закупил холодильники, в которых электрическое оборудование было установлено в верхней части камер, и установил жаровни с гидравлическими гнездами, чтобы иметь возможность поднимать их выше уровня наводнения. Владелец не мог предотвратить наводнение, но защитил свое оборудование и обеспечил быстрый возврат к нормальному ходу работ после того, как вода отступила. 8.6.3 Остановка, прекращение или приостановка деятельности В ситуации, когда вероятность отказа очень высока и воздействие на бизнес организации значительно, необходимо предпринимать срочные действия. Если не существует возможности снижения риска, то может быть принято решение о прекращении деятельности. Бывают ситуации, когда прекратить деятельность невозможно в соответствии с установленными законодательными требованиями, например при борьбе с пожаром. Тогда следует рассмотреть альтернативные варианты изменения или модернизации процессов, которые поддерживают критические виды деятельности, или перевести процессы в альтернативное место, в котором риск может быть существенно ниже, например далеко от поймы реки. 8.6.4 План обеспечения непрерывности бизнеса Если риск отказа низок, а воздействие на бизнес очень высоко, существенно важно внедрить планы обеспечения непрерывности бизнеса и планы управления в условиях инцидента. Примером может стать классический случай, когда целая группа ключевого персонала выиграла в национальную лотерею и не смогла сообщить о невозможности выхода на работу в положенное время. В приложении К приведен пример формы записей о снижении риска. Страхование часто может стать способом возмещения ущерба от последствий возможного опасного события. Несмотря на то, что благодаря страхованию можно получить компенсацию за потерю средств (например, оборудования) и доходов, однако это не поможет защитить бренд и репутацию организации. Поскольку лояльность клиента в последние годы падает, организации должны проанализировать возможности поставки продукции и предоставления услуг потребителям и клиентам в период восстановления бизнеса. Планирование обеспечения непрерывности бизнеса является основным элементом процесса МНБ, который разработан для обеспечения непрерывности поставки продукции и услуг организации потребителям и клиентам. Глубина планирования зависит от уровня риска и воздействия на организацию нарушения (разрушения), а также от уровня допустимого риска, принятого руководителем организации. Результатом оценки риска должен стать перечень мер по обработке риска, разработанных для снижения вероятности нарушения/разрушения, сокращения периода нарушения/разрушения, если оно должно произойти, и ограничения воздействия любого нарушения/разрушения на ключевые виды продукции и услуг организации. Анализ воздействия на бизнес и анализ риска должны проводиться регулярно, а также при внесении существенных изменений в деятельность организации или воздействия на окружающую среду организации. 9 Определение стратегий непрерывности бизнеса9.1 Общие положения После идентификации критических видов работ, процессов и ресурсов, которые поддерживают ключевые продукцию или услуги организации, завершения действий по оценке воздействий и риска опасного события, согласования времени восстановления объекта и минимального уровня требуемых услуг организация должна рассмотреть пути достижения (продолжения) непрерывности деятельности. В соответствии с ГОСТ Р 53647.2 установлены четыре основных элемента обеспечения непрерывности бизнеса: - разработка и документальное оформление структуры ответных мер на инцидент; - определение организацией способов возврата к нормальному функционированию каждого вида критических работ в пределах установленного целевого срока восстановления и выделенных ресурсов; - определение способов управления отношениями с ключевыми причастными сторонами в период нарушений/разрушений; - рассмотрение и учет видов деятельности организации, не определенных в качестве критических. 9.2 Структура ответных мер на инцидент 9.2.1 Общие положения Термин «инцидент» использован в серии стандартов ГОСТ Р 53647, однако он может быть заменен такими терминами, как «кризис» или «чрезвычайная ситуация». Каждая организация, независимо от ее размера, должна иметь процедуры работы с подобными событиями. Структура ответных мер на инцидент должна учитывать и поддерживать деятельность организации на всех уровнях в период действия инцидента. Если подобная структура отсутствует, то существует опасность, что в нескольких подразделениях организации независимо друг от друга будет проводиться управление ответными мерами, планами по обеспечению непрерывности бизнеса и восстановлению. Это может привести к задержкам, конфликтам, несогласованности, некорректному распределению ресурсов и не достижению установленных уровней непрерывности. Важно, чтобы деятельность организации в период действия инцидента соответствовала скорости его развития, что обеспечивает контроль над ситуацией. В большой организации обычно проводят разделение ответственности между группой по управлению в условиях чрезвычайной ситуации (например, при пожаре и эвакуации) и группой, ответственной за обеспечение непрерывности бизнеса. Например, в государственном секторе экономики было бы ошибкой назначить один и тот же персонал ответственным за деятельность в условиях чрезвычайной ситуации в обществе (например, при наводнении) и за обеспечение непрерывности деятельности органов государственной власти. Эта задача может стать невыполнимой для вовлеченной группы персонала. Установленные процедуры должны соответствовать размеру и характеру организации и содержать основные данные для определения событий и времени нарушений деятельности и начала работы конкретных планов действий организации в этих ситуациях. Временной график ответных мер на инцидент приведен на рисунке 14. Диаграмма показывает последовательное выполнение планов управления в условиях инцидента, обеспечения непрерывности бизнеса и восстановления деятельности организации. Однако в некоторых случаях планы могут быть внедрены в другой последовательности или одновременно. Рисунок 14 - Временной график ответных мер на инцидент 9.2.2 Основные элементы структуры ответных мер на инцидент Существую четыре основных элемента структуры ответных мер на инцидент: - оценка ситуации; - инициирование (активация) ответных мер на инцидент; - возможность обмена информацией; - принятие решений. 9.2.2.1 Оценка ситуации В процедуре управления в условиях инцидента должны быть идентифицированы полномочия специалистов по определению масштаба и серьезности нарушений/разрушений. Должен быть установлен процесс проведения начальной оценки ситуации и непрерывный процесс мониторинга и обмена информацией с персоналом, ответственным за управление в условиях инцидента. 9.2.2.2 Инициирование (активация) ответных мер В структуре ответных мер на инцидент должен быть определен процесс активации планов и оповещение лиц, ответственных за обмен информацией, и лиц и/или организаций, которые должны быть информированы об инциденте. Должны быть определены полномочия по активации упомянутых планов на соответствующем уровне организации. Если нарушение/разрушение происходит на уровне филиала организации, тогда руководитель филиала должен быть наделен полномочиями по инициированию планов. Наделение руководителей более высокого уровня подобными полномочиями в данном случае нецелесообразно, так как может быть упущено время ответных мер и ситуация может выйти из-под контроля, что может привести к серьезным последствиям для организации. Пример - В течение 6 дней января 1998 года на большой территории шел дождь и была холодная погода, что вызвало образование обледенений на телефонных линиях и линиях электропередач толщиной 6 - 11 см. Обледенение и снег привели к обрывам проводов и оставили почти 4 миллиона человек без электричества, в некоторых случаях более чем на месяц. Полномочия активировать аварийный план энергетической компании в чрезвычайных ситуациях были возложены на представителей из высшего руководства, которые в тот момент все отдыхали в пансионатах с удаленным местом нахождения. Необходимые средства связи отсутствовали, поскольку линии связи по наземным коммуникациям с удаленным местом нахождения пансионатов были разрушены. Эта ситуация привела к задержке ответных действий компании в условиях чрезвычайной ситуации. Организация должна обеспечить нахождение хотя бы одного сотрудника, наделенного полномочиями по активации планов, на рабочем месте и имел необходимые средства связи. 9.2.2.3 Обмен информацией После активации соответствующих планов существенно важной задачей является информирование и постоянная передача данных об инциденте всем заинтересованным сторонам. В структуре ответных мер на инцидент должны быть определены организации и лица, которые должны быть проинформированы об инциденте, и лица, ответственные за донесение этой информации до адресата. В перечень лиц и организаций, которые должны быть проинформированы об инциденте, могут быть, при необходимости, включены СМИ, в этом случае в рамках процедуры ответных мер на инцидент должен быть назначен уполномоченный организации по работе со СМИ. Во время нарушений/разрушений требуется точный и краткий обмен информацией. 9.2.2.4 Принятие решений Существенно важно, чтобы в период больших разрушений в организации существовала структура, позволяющая руководству принимать обоснованные решения и держать ситуацию под контролем. Организации, стиль управления которых обычно основан на обсуждениях и согласованиях, должны будут быстро переключиться на авторитарный стиль управления (см. рисунок 15). Для аварийных служб и вооруженных сил авторитарный стиль управления является принятой системой управления. В других организациях могут возникнуть проблемы с применением этого подхода, поэтому следует проводить учения до возникновения инцидента, например при эвакуации в случае пожара от людей требуется строгое выполнение правил, предписаний и команд, чтобы предотвратить панику, ранения и гибель людей. Модель, показанная на рисунке 15, подходит для организаций больших и средних размеров. Малые организации обычно ограничены в управленческих ресурсах и поэтому руководители в них совмещают тактические и стратегические обязанности. В этих обстоятельствах существенно, чтобы лица, ответственные за управление в условиях инцидента, имели достаточно времени для выполнения уровней 1 и 2 модели руководства, несмотря на текущие дела. Рисунок 15 - Модель руководства и контроля структурой в период разрушений В период крупных разрушений могут возникнуть противоречия в приоритетах, так как обычно ресурсы ограничены и руководители всех уровней полагают, что восстановление их деятельности наиболее важно. Решения о приоритетах должны быть приняты при перспективном проектировании, а не в период разрушений. Однако, каждая конкретная ситуация имеет свои особенности и должен существовать механизм адаптации при расстановке приоритетов. Координационный Совет должен выбирать стратегии и быть уполномочен для установления приоритетов и поэтому должен состоять из людей, которые осведомлены о работе всей организации. 9.3 Возможные варианты обеспечения непрерывности бизнеса Следующим этапом является определение способа восстановления каждого критического вида деятельности в пределах установленного целевого срока восстановления и выделенных ресурсов и перехода на обычный режим работы. При выборе соответствующего варианта или стратегии восстановления деятельности должны быть приняты во внимание максимально приемлемый период нарушений/разрушений для каждого вида деятельности, затраты на выполнение стратегий и ущерб от последствий бездействия. При согласовании стратегий восстановления должны быть учтены вовлеченные в них ключевые ресурсы, например персонал, производственная среда, технологии, информация и запасы. Информационные ресурсы необходимо рассматривать отдельно от технологических на основе составленных ранее карт процессов, так как через доступ к критической информации, независимо от пригодности технологий, возможно управление ключевыми услугами вручную. Пример - Компания на юго-востоке Великобритании является важным поставщиком продукции на большой мясокомбинат в Восточной Англии. Эта компания расположена в небольшом городе и поставка электроэнергии для нее осуществляется единственной в области электроподстанцией. Однажды утром подача электричества была приостановлена, и таким образом производство остановилось. Обычно подача энергии возобновлялась в течение одного часа, но в тот день этого не произошло. Поставщик электроэнергии проинформировал компанию о том, что произошло серьезное повреждение и подача энергии возобновится не ранее, чем через 2 дня. Эта ситуация привела к серьезной проблеме для компании, т.к. отсутствовала электроэнергия для работы компьютеров, телефонов, факсов, офисов и складов. Компания не использовала бумажных носителей информации, все записи хранились в электронном виде. В результате компания не могла воспользоваться записями о потребителях, персонале и поставщиках. Хотя компания имела запасы продукции на складах, персонал не знал, что и куда необходимо направлять, и не мог получить доступ к складам, так как на них отсутствовало освещение. Отправив персонал домой, администрация при необходимости не могла с ним связаться. В это время у основного потребителя также произошла остановка производства и тонны мяса не были вовремя обработаны. Вышеупомянутая компания после этого случая для обеспечения устойчивости в своей работе установила небольшой аварийный генератор. Всегда необходимо иметь доступ к ключевой информации, которая не должна зависеть от функционирования компьютерной системы организации. При разработке стратегии восстановления деятельности обычно рекомендуют рассмотреть четыре возможных сценария. Не следует искать причину выбора сценария. Вместо этого необходимо исследовать возможное воздействие событий, описанных в сценарии, в случае их реализации. Следующие четыре сценария являются наиболее важными: - невозможность попасть в помещение; - нехватка персонала; - нарушение технологий; - нарушение ключевых поставок от поставщиков или партнеров. Существуют три уровня стратегий восстановления деятельности: 1 уровень - Полная работоспособность - отказы невозможны. 2 уровень - Восстановление на согласованном минимальном уровне в течение установленного периода восстановления. 3 уровень - Бездействие. Стратегия обеспечения полной работоспособности следует применять в случае, когда не может быть допущено никаких нарушений/разрушений деятельности. Это относится, например к работе телефонов аварийной службы «01», электронных банковских операций по переводу средств или отделений реанимации в больнице. Дублирование действий и ресурсов, которые поддерживают такую деятельность, является наиболее простым способом достижения полной работоспособности. Например, в течение одной секунды работа компьютерного средства на отдельном участке может автоматически переключиться на другой участок по дублированной телекоммуникационной сети. Если возобновление деятельности может быть осуществлено поэтапно в течение некоторого времени, следует согласовать этапы восстановления и время их завершения. Рассмотрение воздействия нарушений/разрушений на организацию в течение продолжительного периода времени может помочь установить параметры применения такого подхода, например через два часа должно быть выполнено восстановление деятельности на 25 % (согласованный минимальный уровень), через два дня - на 50 %, а полное восстановление - через неделю. Примерами решений, в которых применен данный подход, являются: использование резервных офисов, оборудованных компьютерами и телефонами для персонала, выполняющего критические виды деятельности; взаимодействие с альтернативными поставщиками или наличие резервных запасов; использование временных руководителей на критических должностях; соглашение с аналогичной по роду деятельности организацией. Если применяемая стратегия основана на полной работоспособности или альтернативном восстановлении в пределах целевого срока восстановления объекта на согласованном минимальном уровне, то тип и количество необходимых ресурсов должны быть идентифицированы. В приложение Л приведен пример формы требований к ресурсам. В приложение М приведены возможные стратегии, связанные с ключевыми ресурсами организации. Стратегия бездействия, как правило, не является безопасной для организации. Существуют вопросы, которые, находясь без управления, впоследствии могут оказать серьезное негативное воздействие на организацию. Это воздействие может быть финансовым или, что более вероятно, может затронуть репутацию организации. При выборе варианта бездействия предварительно очень важно идентифицировать диапазон возможных последствий, которые возникнут в долгосрочной перспективе, и установить надлежащие меры защиты от них, например обмен информацией с причастными сторонами относительно причин принятия решения о бездействии. Примером подобной стратегии могут быть органы местного самоуправления, которые приостанавливают планирование рабочих программ в случае возникновения чрезвычайной ситуации в обществе. 9.4 Отставание в графике работы Если принято решение о приостановке или уменьшении объемов поставок по конкретному ассортименту продукции и/или услуг, то организация должна быть подготовлена к тому, чтобы «нагнать график» путем исполнения невыполненных работ. Для выполнения этой задачи может быть организована работа в сверхурочное время, производство продукции или услуг и выполнение работ в сторонних организациях, кроме того может быть принято решение о приостановке невыполнения этих работ. Многие организации, которым удалось выдержать разрушения, впоследствии потерпели неудачу, потому что не были способны преодолеть отставание в графике работ. Пример - Небольшой региональный поставщик разноплановых коммуникаций привлек много новых клиентов в результате результативной ценовой политики. Привлечение большого количества клиентов за небольшой срок привело к замедлению работ системы коммуникаций. Это в свою очередь вызвало претензии со стороны клиентов и привело к увеличению штата обслуживающего персонала. Было принято решение о начале модернизации системы, однако модернизация привела к еще большему недовольству потребителей. На работу были приняты новые сотрудники по работе с запросами клиентов, однако прошло время, прежде чем они получили необходимые навыки и опыт. Количество неудовлетворительных претензий продолжало расти. Пошли публикации в СМИ. Компания больше не могла удовлетворять претензии и замедление работы системы достигли такого уровня, что клиенты начали расторгать договора. В конечном счете, компания была вынуждена продать свои активы национальному поставщику коммуникаций. Необходимо тщательно рассчитать плановые значения затрат на внедрение каждой выбранной стратегии. Везде, где возможно, затраты должны быть сопоставлены с потерями от нарушений/разрушений. В некоторых случаях очень трудно или невозможно оценить подобные затраты. Может случиться, что самым большим воздействием нарушений/разрушений бизнеса организации будет снижение репутации или затруднения в работе избранных представителей властей. 9.5 Стратегии обмена информацией При наличии серьезных разрушений для организации существенно важно обеспечить соответствующий обмен информацией с внешними и внутренними причастными сторонами. У каждой из причастных сторон существуют определенные ожидания относительно работы организации, поэтому их волнует в какой мере разрушения скажутся на их деятельности. Пример - При возникновении проблем у крупного производителя компьютерной техники, вызванных установкой на компьютеры программного обеспечения, работа линии по производству компьютеров была приостановлена на три дня. В организации существовала политика «работы под заказ», когда потребителю обычно сообщали только дату и время поставки. Компания приняла решение не сообщать о возникших проблемах потребителям, с которыми установлены «прямые контакты». Еженедельная газета написала об этой истории, что явилось негативной рекламой, разрушительной для компании. Если принято решение о стратегии бездействия, то лучше проинформировать потребителей, ожидающих поставку продукции или услуг, о возможных последствиях. Организации, которые игнорируют важность информирования причастных сторон о своих проблемах, обычно испытывают большие трудности при возникновении серьезных нарушений/разрушений их бизнеса. Причастные стороны и их интересы идентифицируют в начале процесса управления непрерывностью бизнеса. После этого должен быть проведен их анализ и на его основе организация должна установить стратегии управления взаимоотношениями с ключевыми причастными сторонами. Особое значение необходимо придавать обмену информацией с персоналом, поскольку работников, как правило, обычно волнуют вопросы благосостояния и занятости. При возникновении нарушений/разрушений бизнеса в организации должно быть обеспечено четкое информирование персонала о его дальнейших действиях и обязанностях. Это может быть выполнено с использованием информации на бумажном носителе, через Интернет, местные СМИ и/или с помощью сообщений на автоответчик. Должны быть предприняты необходимые подготовительные действия для обеспечения постоянной информированности высшего руководства организации о продвижении действий по восстановлению бизнеса. Очень важно установить ответственных за планирование и реализацию обмена информацией. Одним из ключевых элементов обмена информацией является стратегия работы со СМИ в период крупных разрушений. Независимо от размера организации, если происшедшее событие привлекает интерес СМИ, то в организации должен быть назначен уполномоченный по работе со СМИ. Могут быть подготовлены шаблоны информационных сообщений, которые при необходимости могут быть быстро адаптированы к ситуации. Эти материалы должны включать разработанные ответные меры и общую информацию об организации. Подготовка этих материалов должна стать частью стратегии обмена информацией. Решение об уровне устойчивости и непрерывности состоит в установлении Координационным Советом «предела падения» организации в период разрушения. Координационный Совет принимает решение на основе своего понимания источников риска и допустимого риска. Координационный Совет и/или рабочие группы должны завершить разработку стратегий поддержки ключевых видов продукции или услуг, а так же критических видов деятельности и связанных с ними ресурсов с учетом затрат на восстановление, и после этого начинают разработку планов управления непрерывностью бизнеса. 10 Разработка и внедрение ответных мер МНБ10.1 Общие положения При отсутствии ключевых этапов по разработке СМНБ и стратегии обеспечения непрерывности бизнеса первым предпринимаемым действием многих организаций обычно становится разработка плана обеспечения непрерывности бизнеса. Опасность такого подхода состоит в том, что без предварительных исследований разработка плана обеспечения непрерывности бизнеса не сможет привести к истинному анализу и пониманию работы организации и способов поставки ключевых продукции и/или услуг. Может быть упущен анализ различных стратегий и необходимых для них ресурсов. В результате разработанный план может стать непригоден для достижения поставленных целей обеспечения достаточной защиты и достижения возможных преимуществ от его внедрения для организации. После завершения разработки МНБ и стратегии обеспечения непрерывности бизнеса организация может приступить к идентификации и оценке инцидентов и разработке планов обеспечения непрерывности бизнеса. Опыт показал, что организации могут быть разрушены по многим причинам. Планирование непрерывности бизнеса традиционно было основано на известных опасностях: нарушение ИТ, пожар, наводнение и т.д. Появились также новые виды разрушений, такие как распространение заболеваний, обширные разрушения на железных дорогах, нехватка нефти и топлива и прекращение водоснабжения в течение продолжительного периода. В большинстве случаев существующие планы не охватывают возможность таких разрушений и не учитывают их воздействие на организацию. При разработке плана непрерывности бизнеса очень важно обеспечить интеграцию всех элементов менеджмента организации (см. рисунок 16). В противном случае со стороны причастных сторон могут возникнуть предположения о полном несоответствии организации плану обеспечения непрерывности бизнеса. Если план предусматривает работу членов оперативного штаба в домашних условиях, тогда отдел ИТ должен подтвердить наличие и функционирование или своевременное предоставление работникам необходимой технической базы. Возможно, отдел кадров должен будет обеспечить применимость полиса по медицинскому страхованию или других документов персонала к той территории, на которой он выполняет работу. Рисунок 16 - Системы менеджмента и планирование непрерывности бизнеса Планы в области непрерывности бизнеса должны обеспечить ответы на следующие основные вопросы: - Что должно быть сделано? - Когда? - Где расположены альтернативные ресурсы? - Кто вовлечен в работу? - Каким способом должна быть обеспечена непрерывность бизнеса? В любой организации могут существовать несколько взаимосвязанных планов, охватывающих действия в чрезвычайных ситуациях в области непрерывности бизнеса, управление в условиях инцидента и управление восстановлением. Разработанные планы должны соответствовать потребностям организации. Для малых предприятий, работающих в узкой сфере, может быть достаточно разработки единственного документа, который охватывает управление в условиях инцидента и менеджмент непрерывности бизнеса, в то время как для больших организаций, может потребоваться интегрированный план и/или планы филиалов и организации, основанные на общей организационной структуре. Для устранения конфликтов и применения согласованных приоритетов при восстановлении такие планы должны быть синхронизированы. В большой организации команда (группа) или координатор работ по СМНБ могут взять на себя выполнение этой роли. В соответствии с ГОСТ Р 53647.2 идентифицированы две области планирования: управление в условиях инцидента и менеджмент непрерывности бизнеса, которые должны быть частью СМНБ. 10.2 Структура ответных мер на инцидент ГОСТ Р 53647.2 устанавливает, что «организация должна идентифицировать персонал, участвующий в выполнении ответных мер на инцидент и наделить его необходимой ответственностью, полномочиями и обеспечить его компетентность для управления в условиях инцидента и обмена информацией с причастными сторонами». В соответствии с этим требованием Координационный Совет, устанавливающий стратегии, должен быть уполномочен для определения приоритетов и состоять из компетентного персонала. Этот персонал должен иметь доступ к информации, необходимой для определения характера и степени разрушений, к планам активации, планам действий, координации работ и обмену информацией об ответных мерах на инцидент. Также следует обеспечить доступ этого персонала к ресурсам, необходимым для поддержки процесса управления в условиях инцидента. 10.3 Планы Организация должна разработать подробные планы, устанавливающие способы управления в условиях инцидента (планы ответных мер на инцидент) и обеспечения непрерывности бизнеса. В планах должны быть учтены согласованный график работ и существующий уровень производства или услуг. Любые планы в конкретных ситуациях постоянно изменяются, необходимо обеспечить управление версиями и конфигурацией планов. Каждая копия плана должна быть учтена и иметь номер. Следует также управлять распределением документов. Если в план включена важная для организации информация, то для плана должен быть определен и обеспечен соответствующий уровень конфиденциальности. Планы могут быть разработаны в различной форме. Они могут быть изложены в виде текста, блок-схемы или созданы с помощью специального программного обеспечения. Они могут быть представлены на электронном или бумажном носителе. Так как планы будут использоваться в условиях инцидента, поэтому они должны быть точными и краткими. Они должны содержать минимальное количество информации, позволяющей обеспечить непрерывность деятельности. Необходимо обеспечить постоянный доступ к планам для персонала, в обязанности которого входит их использование. Пример - Во время крупных разрушений и инцидентов в Лондоне полицейские были вынуждены эвакуировать людей и перегородить проход в большие торговые районы. При этом нашлись люди, которые хотели пересечь линии кордона, чтобы пройти к зданию, в котором они работали. Когда их останавливали, то выяснилось, что они хотели взять из офисов свой план обеспечения непрерывности бизнеса, оставленный там. Следует убедиться в постоянной доступности копии планов управления в условиях инцидента и планов обеспечения непрерывности бизнеса, и в том, что дополнительные копии этих планов находятся вдали от места возможных разрушений. В больших организациях может быть использован общий шаблон для создания планов обеспечения непрерывности бизнеса и управления в условиях инцидента. Часто организации хотят применить стандартный шаблон или форму, утвержденные и изданные законодательными и регулирующими органами, в которых требуется только «заполнить бланк». Несмотря на то, что шаблон или форма полезны в качестве руководства, следует помнить, что не существует двух одинаковых организаций и различия в планах неизбежны, как для разных организаций, так и для разных подразделений одной и той же организации, расположенных в разных местах. Поэтому план должен отражать работу конкретной организации. Ответственный за разработку плана должен быть идентифицирован. В больших организациях планы создают на различных уровнях. Руководители филиалов организации должны нести ответственность (быть владельцами) за оперативные планы. Через установленные интервалы времени, а также в случае существенных изменений в организации или ее окружающей среде, должен проводиться анализ всех планов. Ответственный за разработку плана должен выполнять анализ, а после этого утвердить план на более высоком уровне. Планы должны также учитывать любые внешние действия, направленные на управление в условиях инцидента, включая действия аварийных служб, местных властей и других внешних организаций в случае серьезных разрушений. Если здание принадлежит внешним владельцам, то действия в непредвиденных обстоятельствах управляющей компании или землевладельцем должны быть скоординированы. 10.4 Содержание плана План должен содержать описанные ниже данные, включающие элементы плана ответных мер и плана обеспечения непрерывности бизнеса. 10.4.1 Цель и область применения Должны быть установлены цель и область применения плана. 10.4.2 Распределение функций, ответственности и полномочий В плане должны быть идентифицированы функции, ответственность и полномочия персонала, участвующего в разработке плана. Должны быть назначены руководитель группы, ключевые члены группы и их представители после активации плана. В плане должны быть установлены их полномочия (включая финансовые полномочия) и лица, перед которыми они должны отчитываться о своих действиях. План должен содержать пункт, в котором изложены способы передачи ответственности по управлению в условиях инцидента на более высокие уровни управления в организации. Могут быть созданы отдельные группы, ответственные за планы обеспечения непрерывности бизнеса и управления в условиях инцидента. 10.4.3 Активация плана В плане должны быть установлены обстоятельства, при которых он должен быть активирован (его начинают выполнять) и ответственных за это лиц. План должен также включать подробное описание способов управления в условиях нарушений/разрушений бизнеса и воздействия их последствий на организацию. Существенно важно, чтобы организация была в состоянии быстро принять меры во избежание еще более крупных разрушений. Для активации плана в филиале организации может быть необходимо закрепление соответствующих полномочий на более низком уровне для работы с локальными инцидентами. Сведения об активации любого плана должны быть направлены высшему руководству. Это обеспечивает высшему руководству информированность о наличии инцидента и возможность исследовать его влияние на организацию. Инструкции о проведении таких исследований должны быть подробно описаны в плане. В план должны быть включены списки информируемых лиц (дерево звонков) и подробное описание места работы рабочих групп (центр управления) по управлению в условиях нарушений/разрушений. Центр управления должен быть обеспечен соответствующими коммуникациями и другими средствами, направленными на эффективное управление в условиях инцидента. Центр управления должен быть обеспечен для работы ресурсами и всей необходимой документацией. 10.4.4 Альтернативные места размещения Подробное описание резервных мест размещения для работы при возникновении серьезных инцидентов должно быть включено в планы вместе с картами их расположения, мерами безопасности при получении доступа к ним, условиями их использования и любой другой необходимой информацией. 10.4.5 Планы восстановления системы Для малых предприятий планы восстановления основной (базовой) системы могут представлять собой один документ. Эти планы могут состоять из инструкций по восстановлению данных или перемещении телекоммуникационных услуг к альтернативному месту выполнения работ. В крупных организациях планы восстановления имеют более сложную структуру и представляют собой несколько документов, которые обычно разрабатывают ответственные за оказание конкретных услуг или выполнение конкретных видов работ, например планы восстановления ИТ разрабатывают в информационном центре. В основном плане восстановления должен быть назначен владелец, ответственный за разработку этого плана и ключевые предпринимаемые действия. 10.4.6 Подробная контактная информация План должен включать полную подробную информацию о внутренних и внешних контактах, в том числе с: - ключевым высшим руководством; - оперативным штатом ключевых сотрудников; - аварийными службами; - чиновниками (органов местного самоуправления); - другими службами и органами власти; - поставщиками; - ключевыми потребителями (клиентами); - сервисными компаниями; - страховыми компаниями; - СМИ. Целесообразно включать подробную информацию о ключевых контрактах, страховых полисах, обязательных и законодательных требованиях и т.д. Эти дополнительные документы могут храниться отдельно от плана, однако, при необходимости, они должны быть доступны. 10.4.7 Приоритеты В планы по восстановлению бизнеса должны быть включены подробное описание первоочередных заказов для обеспечения непрерывности бизнеса и восстановления ключевых продукции или услуг, а также связанных с ними критических видов деятельности, кроме того должны быть установлены приемлемые уровни и сроки восстановления (RTO). 10.4.8 Жизненно важные документы и ресурсы Список жизненно важных документов и ресурсов, необходимых для обеспечения непрерывности и восстановления бизнеса для каждого критического вида деятельности, должен быть включен в планы по восстановлению этих видов деятельности вместе с подробной информацией о месте их нахождения. Планы должны быть основаны на результатах анализа воздействий на бизнес. К жизненно важным документам могут быть отнесены записи об ответственных за обеспечение жизненно важными материалами, а также о мерах по обеспечению безопасности, например паролях. Жизненно важные материалы могут включать бумагу для печатающих устройств, запасные части, специальные машины и инструменты. 10.4.9 Контрольные листы и аудиторские записи Простой контрольный или маршрутный листы могут быть предусмотрены планом для подтверждения завершения рабочей группой выполнения обязательных задач и последовательности процесса завершения выполнения задачи. Для обеспечения полноты охвата и учета рабочей группой всех ключевых элементов планом могут быть предусмотрены записи повестки дня рабочих совещаний. При любом крупном инциденте обычным требованием являются записи о последствиях инцидента и данных аудита. Поэтому жизненно важно своевременно регистрировать записи о предпринятых действиях, их причинах, сроках и участвующих лицах. Пример формы журнала регистрации данных об инциденте приведен в приложении Н. 10.4.10 Человеческий фактор Отдельное внимание должно быть уделено потребностям персонала, подрядчиков и посетителей, которые в результате инцидента должны быть быстро эвакуированы из помещений. Следует учесть, что у этих лиц обычно нет времени на сбор личных вещей, например денег, кредитных карт, ключей и удостоверений личности. Среди них могут быть раненые или погибшие, и поэтому необходимо сообщить об этом их ближайшим родственникам. Организации должны проявлять внимание и заботу о персонале, аналогичные проблемы персонала должны быть учтены в плане управления в условиях инцидента, где должны быть идентифицированы ответственные за работу с проблемами людей. В планах должны быть также учтены средства обеспечения безопасности и здоровья лиц, участвующих в работе с нарушениями/разрушениями. Кроме того, необходимо обеспечить достаточную численность рабочих групп в случае, если восстановление бизнеса после разрушений может занять продолжительное время. 10.4.11 Общественное мнение Репутация и престиж торговой марки - ценные активы для любой организации. Крупные разрушения обязательно вызовут интерес СМИ, которые будут обсуждать, насколько хорошо организация справляется со сложившейся ситуацией. СМИ будут отражать и демонстрировать все слабые места и ошибки организации и широко распространять информацию о них. Поэтому отдельный элемент плана должен быть посвящен защите общественной репутации организации. Крупные организации могут разработать отдельный план обмена информацией со СМИ на период действия инцидента. 10.4.12 Сохранность при инцидентах Очень часто эту область при управлении непрерывностью бизнеса не учитывают. Если организация подверглась пожару, наводнению или другому серьезному повреждению здания, очень важно гарантировать сохранность и восстановление документов, ресурсов и оборудования, например документы должны храниться в несгораемых сейфах. Документы и оборудование, поврежденные водой или иными загрязнителями, могут быть вывезены и восстановлены специалистами подрядных организаций. Поскольку фактор времени является существенным при инциденте, необходимо заранее предусмотреть как можно выполнить подобную работу. Пример - При затоплении г. Карлайл в январе 2005 отделение полиции очень сильно пострадало. Важные документы, используемые как доказательства на судебном процессе, не только намокли, но были также загрязнены сточными водами. Существовала опасность того, что эти свидетельства преступлений будут навсегда утрачены. Однако была найдена фирма, специализирующаяся на восстановлении документов. Специалисты этой компании высушили документы и убрали с них все загрязнения, и ни одно доказательство не было потеряно. Таким образом, необходимо гарантировать, что ключевая документация хранится в безопасном месте и не сможет быть подвергнута разрушающим воздействиям. Кроме того, если худший сценарий событий действительно произойдет, должна быть информация об организациях, которые могут восстановить поврежденные документы. Идентификация таких организаций до того как потребуются их услуги, позволит значительно сэкономить время и обеспечит приоритет организации в критической ситуации. 10.4.13 Возвращение к нормальному режиму работы Должен быть установлен процесс завершения работы группы обеспечения непрерывности бизнеса и возвращения к нормальному режиму работы после ликвидации разрушений. Эффективные планы обеспечения непрерывности бизнеса обычно разрабатывают для восстановления критических видов деятельности и установления причин нарушений/разрушений работы организации. Планы должны служить основой для достижения полного восстановления. Поскольку планы используют при сложных, спорных и стрессовых обстоятельствах, они должны быть кратки, просты и доступны для внедрения. Кроме того планы должны обеспечивать выполнение организацией законодательных и обязательных требований в период нарушения/разрушения деятельности. 10.5 Долгосрочные планы восстановления После значимого разрушения, например пожара, который может разрушить офисное здание, планы должны обеспечивать функционирование производственных процессов путем, например их передислокации или восстановления. Планы обеспечения непрерывности бизнеса гарантируют поддержание ключевых продукции и услуг на установленном уровне, однако это приемлемо только на короткий период времени. Долгосрочным восстановлением следует управлять как важным проектом обычно независимо от области действия СМНБ. Планы восстановления применяют от начала инцидента и до полного восстановления организации, поэтому должна быть создана отдельная группа по управлению проектом долгосрочного восстановления. Пример - Когда пекарня Aulds в Шотландии, которая производит замороженные десерты для британского розничного рынка, была разрушена пожаром, рабочая группа по восстановлению знала, что у компании имеются запасы продукции в морозильных камерах и средства потребителей на восемь недель. В восьминедельный срок компания смогла построить временную фабрику, смежную с поврежденным пожаром помещением и восстановить производство. Компания создала группу управления восстановлением, которая управляла строительством временного сооружения, смежного со старой фабрикой и оборудовала его всем необходимым для производства. После этого компания запланировала долгосрочное восстановление деятельности. В конечном итоге спустя 15 месяцев после пожара она переместилась в новое здание. Клиенты оставались лояльными к компании, поскольку она держала их в курсе продвижения дел в период восстановления. 10.6 Внедрение Для внедрения планов специалисты, упомянутые в планах, должны знать о функциях, полномочиях и ответственности, а также, при необходимости, пройти соответствующее обучение (рекомендации по составлению программы обучения приведены в приложении Д). Проведение учений является одним из основных методов обеспечения того, что персонал, участвующий в управлении в условиях инцидента и обеспечении непрерывности бизнеса, знает о содержании планов и своих функциях. Соответствующие внутренние и внешние причастные стороны должны быть осведомлены о том, что у организации в случае нарушений/разрушений существуют планы по управлению в условиях инцидента, обеспечению непрерывности и восстановлению бизнеса. Причастные стороны должны знать о том, что будет сделано, какие продукции и услуги будут доступны и как ситуация будет стабилизирована. Они также должны знать о том, что организация не будет делать в период восстановления. Внешние причастные стороны, партнеры и поставщики, помогающие организации справиться с нарушениями/разрушениями, должны знать свои функции и обязанности. Поскольку эти партнеры и поставщики также могут попасть под воздействие тех нарушений/разрушений, важно чтобы у них были разработаны и внедрены их собственные планы обеспечения непрерывности бизнеса. Важно отметить, что планы должны соответствовать размеру и характеру деятельности организации и поддерживать управление в условиях инцидента, а не мешать ему. Простой маршрутный лист может быть более удобен на уровне филиала организации, чтобы начать ответные меры на инцидент, а полные планы необходимы в центральном отделении для координации работ. 11 Осуществление и поддержка11.1 Осуществление и проведение учений Для МНБ необходимы эффективные планы действий по обеспечению гибкого реагирования организации на любой инцидент. Однако планы будут неработоспособны, если по ним не проводят учений. Существует много примеров, когда у организаций разработаны планы обеспечения непрерывности бизнеса, однако в условиях реальных нарушений/разрушений выполнение этих планов терпит неудачу из-за неготовности персонала. Исследования показали, что в Великобритании только 46 % организаций ежегодно проводят учения по разработанным планам, а 21 % организаций - не проводят никогда. Апробация планов очень важна, поскольку маловероятно, что вновь созданный план является полностью работоспособным. Апробация обеспечивает устранение несоответствий и упущений до его применения в реальных условиях. 89 % организаций в процессе апробации разработанных планов выявили в них ошибки. Намного легче найти ошибки при проведении учений, чем впервые узнать о них в условиях инцидента. При выявлении ошибки следует своевременно провести корректирующие действия для ее исправления. Проведение учений помогает создать атмосферу доверия и сплоченности между членами группы, понять свои функции, обязанности и получить опыт практических действий в условиях инцидента. Существуют различные формы проведения учений. Учения наиболее важны для: - проверки работы СМНБ; - апробации; - практического обучения персонала. Тестирование должно обеспечивать проверку корректности работы технических систем, точности рабочих инструкций и их пригодности для оборудования и работы. Условия тестирования должны быть близки к реальной работе насколько возможно. Другая форма проверки, которую следует регулярно проводить - работа со «списками информируемых лиц». Их используют для проверки линий обмена информацией при активации планов. Планы должны быть внедрены путем проведения учений для подтверждения их всесторонности и реалистичности. Первоначальные учения должны доказать работоспособность плана и должны называться обучающими. До первоначальных учений по возможности следует провести анализ плана лицами, не участвующими в его внедрении. Предварительное ознакомление должно проверить понятность плана. При необходимости, план может быть передан другому персоналу для проверки учета в плане всех вовлеченных лиц и определения в нем пробелов и неточностей. Проведение учений направлено не столько на поиск ошибок и недочетов, а скорее на проверку соответствия плана своему назначению. Проверка дает возможность обучения специалистов, упомянутых в плане. Ниже приведены основные правила, которые необходимо соблюдать при планировании учений. Должны быть определены цели и задачи учений, которые могут включать в себя: - подтверждение того, что все участники понимают свои функции и что план в целом заслуживает положительной оценки; - проверку должного функционирования процедур инициирования работ и оповещения лиц, установленных в соответствии с деревом звонков; - проверку работоспособности и должного функционирования производственных площадок, оборудования, систем и услуг; - подтверждение того, что производство ключевых продукции и/или услуг может быть восстановлено в пределах установленных приемлемых сроков и на приемлемом уровне. Учения не должны подвергать организацию риску дополнительных разрушений. Они должны быть практичными и рентабельными, соответствовать характеру и размеру организации и разработаны так, чтобы создать атмосферу доверия этому плану. Пример - Крупное государственное предприятие решило проверить бесперебойность подачи электроэнергии к своим основным компьютерным системам. Отказ в подаче электроэнергии привел к проблемам в компьютерной сети и в конечном итоге к полной потере систем. При попытке восстановить подачу электроэнергии был активирован дополнительный выключатель, однако это действие вызвало резкий скачок напряжения на компьютерах. При этом было выведено из строя несколько ключевых компонентов компьютеров. Срочно была налажена работа альтернативных систем, однако полное восстановление заняло несколько недель. В результате было признано, что проверка не была должным образом подготовлена и не был проведен необходимый предварительный анализ риска, что и привело к печальным последствиям. Поэтому, при проведении учений очень важно заранее проводить анализ риска и воздействия возможных опасных событий. Должна быть установлена и документирована регулярная программа проведения учений. Реализация программы проведения учений должна проводиться либо в точно установленные высшим руководством периоды времени, либо при существенных изменениях в организации или ее операционной среде. Должны быть назначены наблюдатели за ходом учений и работой команды управления непрерывностью бизнеса. Следует обеспечить максимально полное участие в учениях вовлеченных лиц. Если у организации существует служба внутреннего аудита, целесообразно пригласить для наблюдения и/или участия в учениях квалифицированного аудитора и обеспечить сбор информации о фактическом выполнении планов. Существуют различные формы учений, начиная от обсуждения на совещаниях, в рамках которого участники проводят анализ содержания плана, или в форме «сквозного контроля», в рамках которого проводится пошаговый анализ процедуры, процесса, операции и оценка взаимодействий между участниками, и заканчивая полной проверкой плана, в рамках которой, например, закрывают участок или здание и предпринимаются действия по переводу работ на альтернативные места размещения. Полная проверка плана - единственный способ обеспечения уверенности всех заинтересованных лиц в том, что управление в условиях инцидента и меры по обеспечению непрерывности бизнеса работают как запланировано. Для проведения учений по плану руководство МНБ должно утвердить соответствующий сценарий, наиболее подходящий для организации. Первоначально полезно провести учения по отдельным элементам плана, устраняя найденные недостатки до проведения учений по всему плану целиком. Целесообразно изменять сценарий учений каждый раз после проведения учений для обеспечения соответствия плана и работоспособности всех его компонентов. Поскольку нарушения/разрушения происходят обычно без предупреждения, целесообразно отрабатывать на учениях меры быстрого реагирования, при этом о проведении учений должно быть уведомлено возможное количество членов коллектива. Учения могут проводиться в режиме реального времени или в более сжатые сроки так, чтобы учения можно было провести за один прием. Важно предусматривать в учениях перерывы так, чтобы персонал и рабочие группы могли лучше понять цели и результаты учений. Поскольку проведение учений требует от участников предельного внимания, общее время проведение учений необходимо планировать очень тщательно. Жизненно важным вопросом являются тренировки участников рабочей группы. В сложной ситуации персонал может вести себя непредсказуемо. Реальная активация плана действий может вызвать очень напряженную ситуацию, поэтому важно выяснить сильные и слабые стороны сотрудников. Современная демократическая культура управления основана при принятии решения на согласовании мнений при условии наличия максимальной информации, доступной для всех участников сторон. Во время инициирования плана стиль управления должен быть заменен на командный и авторитарный, а управление может быть основано на менее полной информации. Для успешной работы руководитель должен владеть различными стилями управления и может случиться, что участникам рабочих групп недостаточно имеющихся навыков. Некоторыми из них можно овладеть при обучении, но чаще всего возникает необходимость изменения функций членов группы или даже исключения некоторых членов группы. При этом необходимо сформировать группу, в которой старший руководитель должен оптимально работать по управлению в условиях разрушительного инцидента. Во время учений следует проводить регистрацию всех действий и полученных результатов, которые необходимо анализировать. Хорошие результаты может дать проведение такого анализа вместе с участниками учения таким образом, чтобы они могли свободно выразить свое мнение о происходящем: что приемлемо, а что нет и почему. Для этого можно предложить участникам во время учений вести собственные записи событий. Отчеты независимых наблюдателей должны быть также учтены. Составляемый после проведения учений отчет должен быть максимально полным и включать рекомендации о необходимых действиях по корректировке планов. Старший руководитель подразделения, в котором проводились учения, должен подписать отчет и провести необходимые корректирующие и предупреждающие действия. Схема процесса проведения учений приведена на рисунке 17. Рисунок 17 - Схема процесса проведения учений Документация программы учений должна обеспечивать объективные свидетельства для аудиторов, что персонал организации серьезно относится к управлению непрерывностью бизнеса. Кроме того, документация программы учений является жизненно важной частью документации СМНБ, представляемой в соответствии ГОСТ Р 53647.2. 11.2 Поддержка СМНБ Любая организация находится в процессе непрерывной деятельности. Функции и обязанности сотрудников могут изменяться, в организации меняется персонал. Могут происходить слияния организаций, расширение и сокращение, изменение форм внутренней отчетности. Могут изменяться поставщики и клиенты, законодательные и обязательные требования, политические условия в странах поставщиков и т.п. В договоры поставки (аутсорсинга) могут быть внесены изменения об ответственности за критические виды деятельности и поставки, например предоставление ИТ услуг может быть передано третьей стороне, в случае необходимости. Могут быть внедрены новые продукция и услуги, открыты новые и закрыты старые направления работ. В организации должны быть установлены процессы, в соответствии с которыми информация о любом изменении, затрагивающем непрерывность деятельности в целом, должна быть доведена до координатора работ по управлению непрерывностью бизнеса или ответственного руководителя соответствующего уровня. Планы должны быть скорректированы, если изменения незначительны. Если произошли серьезные изменения, то может возникнуть необходимость в повторном проведении анализа воздействий на бизнес и переоценке критических видов деятельности и соответствующих процессов и ресурсов. В этом случае может потребоваться разработка новых стратегий непрерывности бизнеса, а также внесение изменений в процессы управления в условиях инцидента и планы обеспечения непрерывности бизнеса. Любые изменения в предусмотренных мерах МНБ должны быть одобрены на соответствующем уровне руководства. Независимо оттого, были внесены изменения или нет, ответные меры СМНБ следует ежегодно анализировать для обеспечения их актуальности и пригодности. Высшее руководство должно проводить анализ перечня ключевой продукции и/или услуг и оценку критичности поддерживающих их видов деятельности и приоритетов для восстановления бизнеса. Необходимо проверять актуальность поддерживающих процессов и ресурсов. Необходимо проводить анализ планов для обеспечения их соответствия и работоспособности. Независимо оттого, были внесены изменения или нет, окончательные версии отчетов об анализе должны быть утверждены на соответствующем уровне руководства. Персонал должен быть осведомлен обо всех изменениях, затрагивающих способы достижения и обеспечения непрерывности деятельности организации. Должно быть введено управление версиями документов СМНБ в рамках процесса управления документацией организации. 11.3 Анализ произошедшего инцидента Если в организации произошел инцидент, вызвавший нарушение и/или разрушение деятельности, и был активирован план управления в условиях инцидента и/или план обеспечения непрерывности бизнеса, то следует провести анализ инцидента в следующих направлениях: - установить характер и причины инцидента; - оценить адекватность предпринятых ответных мер; - оценить эффективность планов за максимально приемлемый период восстановления (RTO); - оценить действия и способности вовлеченного в выполнение планов персонала; - идентифицировать все улучшения, которые могут быть внедрены в СМНБ. На этом этапе заканчивается элемент «осуществление» цикла PDCA применительно к СМНБ. 12 Мониторинг, анализ, поддержка и улучшение СМНБВ данном разделе рассмотрены элементы «проверка» и «действие» цикла PDCA применительно к СМНБ. Под «проверкой» обычно понимают мониторинг и анализ, а под «действием» - поддержание и улучшение СМНБ. 12.1 Мониторинг и анализ СМНБ В разделе 11 были установлены действия по управлению в условиях инцидента и непрерывности бизнеса. В настоящем разделе установлены способы анализа СМНБ, которые должны проводиться регулярно через запланированные интервалы времени или при существенных изменениях в организации и ее внешней среде. Эти действия направлены на обеспечение применимости, адекватности и эффективности СМНБ организации. Анализ может быть выполнен путем проведения самооценки или аудита и может быть предпринят с привлечением как внутренних, так и независимых внешних аудиторов. Контрольный перечень вопросов для самооценки приведен в приложении П. Анализ должен быть направлен на поиск возможностей для улучшения или изменения структуры СМНБ. Области анализа могут включать положения, изложенные в предыдущих разделах настоящего документа, при этом особое внимание должно быть уделено политике и целям в области непрерывности бизнеса организации. Результаты анализа должны быть зарегистрированы, а записи необходимо поддерживать в рабочем состоянии. Информация для анализа может быть получена из различных источников. Они включают в себя: - результаты аудита и внутреннего анализа СМНБ; - результаты анализа мероприятий и ответных мер СМНБ поставщиков и партнеров; - информацию обратной связи с причастными сторонами и рекомендации по улучшению СМНБ; - информацию о разработках и внедрении методов, процедур и опыте внедрения МНБ; - статус предупреждающих и корректирующих действий, включая последствия ранее выполненных действий; - уровень остаточного риска и изменений допустимого риска организации; - вновь обнаруженные и ранее не рассмотренные опасности/угрозы; - результаты учений, включая анализ полученного опыта; - наблюдения/рекомендации об инцидентах или опыте самой организации и других сторон; - результаты программ по обучению и повышению осведомленности; - ключевые показатели эффективности СМНБ. В результате анализа должен быть составлен отчет, в который следует включать принятые решения, необходимые действия, календарный план-график этих работ. Отчет должен охватывать: - улучшения для достижения большей эффективности СМНБ; - модификации процедур по обеспечению непрерывности деятельности, необходимые в соответствии с изменениями бизнеса организации, требованиями к ее устойчивости, изменениями бизнес-процессов, фактического риска, допустимого риска внешней среды, законодательных и обязательных требований; - ресурсы, необходимые для внедрения улучшений и модификаций, в т.ч. требования к финансированию и бюджету. 12.2 Поддержка и улучшение СМНБ Заключительный элемент цикла PDCA - «действие» охватывает поддержку и улучшение СМНБ. Одним из ключевых элементов СМНБ является ее способность к постоянному улучшению. Это ключевое положение подхода Деминга к управлению качеством, а также требование ГОСТ Р 53647.2. Постоянное улучшение основано на японской философии Кайзен, означающей «изменения к лучшему» или «постепенные усовершенствования». Однако систему Кайзен трудно внедрить на непрерывной основе в организации чаще всего из-за самоуспокоенности, беспорядка, потери фокусировки, отсутствия обязательств, разнонаправленных приоритетов и недостатка ресурсов. Для успешного внедрения СМНБ организация должна создать внутренний климат в коллективе, который способствует постоянному улучшению. Пример - Старший менеджер из Тайваня был назначен управляющим телевизионным заводом в Великобритании. Он принял следующее решение: если работник на поточной линии находит проблему с качеством, вызванную нехваткой запасов или некорректными методами производства, он имел право остановить эту линию. Осознание необходимости решения проблем было обоснованным, работника не обвиняли за остановку производства, его поощряли за то, что он, препятствовал выпуску дефектной продукции. Персонал организации является превосходным источником предложений для улучшений ее работы. Они хорошо видят области улучшения системы, проведения предупреждающих действий и повышения устойчивости организации. Но чаще всего климат в коллективе организации таков, что персонал отказывается подавать свои предложения руководству. Организация должна поощрять персонал, выявляющий упущения, излишнее дублирование и недостатки. Часто именно внутренняя культура организации может препятствовать предложению новых идей. При использовании системы рацпредложений или обсуждения способов повышения эффективности МНБ и устойчивости организации на совещаниях или при личном общении руководители могут создать благоприятный климат для постоянных улучшений. 12.3 Корректирующие действия Корректирующие действия - это деятельность организации по устранению причин несоответствий в СМНБ, направленная на предотвращение их повторного появления. ГОСТ Р 53647.2 требует наличия документированной процедуры по управлению корректирующими действиями. В ней должны быть установлены требования к: - идентификации несоответствий; - установлению причин несоответствий; - оценке необходимых действий, обеспечивающих невозможность повторного появления несоответствий; - определения и внедрения необходимых корректирующих действий; - записи результатов предпринятых действий; - анализу предпринятых корректирующих действий. 12.4 Предупреждающие действия При идентификации несоответствий и работе сними организация должна предпринять шаги, направленные на недопущение их появления. Любые предупреждающие действия должны соответствовать размеру потенциальных нарушений/разрушений и не должны противоречить процессам СМНБ. Стандарт ГОСТ Р 53647.2 требует наличия документированной процедуры по управлению предупреждающими действиями. В ней должны быть установлены требования к: - идентификации потенциальных несоответствий и их причин; - установлению и внедрению необходимых предупреждающих действий; - записям результатов предпринятых действий; - анализу предпринятых предупреждающих действий; - оценке измененного риска и его обработке; - обеспечению осведомленности ответственных лиц о несоответствиях и предупреждающих действиях, предпринятых на местах; - определению приоритета предупреждающих действий, основанных на результатах оценки риска и АВБ. 12.5 Постоянное улучшение Как любая система управления СМНБ должна постоянно улучшаться. Организация должна принять меры, направленные на обеспечение непрерывного повышения эффективности СМНБ путем анализа политики и целей в области непрерывности бизнеса, результатов аудита, анализа мониторинга СМНБ, корректирующих и предупреждающих действий и анализа менеджмента. Приложение
А
|
Причастные стороны |
Ожидания причастных сторон |
Ранжирование (значимые/средние/малозначимые) |
|
При нормальном функционировании |
В период нарушений (разрушений) бизнеса организации |
||
Дата оценки ____________________
Подписи ____________________
Дата пересмотра ________________
Пример формы записей по анализу воздействий на бизнес
Таблица Ж.1 - Форма записей по анализу воздействия на бизнес ООО «_________________»
Ключевые продукция или услуги |
Область воздействия* (1 - 6) |
Уровень воздействия (высокий/средний/низкий) |
Максимально приемлемый период нарушения |
Целевой срок восстановления |
Минимальный уровень услуги |
1 |
|||||
2 |
|||||
3 |
|||||
4 |
|||||
5 |
|||||
6 |
|||||
7 |
|||||
8 |
|||||
9 |
|||||
10 |
|||||
* 1 - воздействие на поставку продукции или услуги; 2 - воздействие на репутацию/ затруднительные положения; 3 - несоответствие законодательным и обязательным требованиям; 4 - воздействие на цели и график выполнения проекта; 5 - финансовые потери; 6 - воздействие на персональную безопасность. |
Дата оценки ____________________
Подписи ____________________
Дата пересмотра ________________
Пример формы журнала записей о ресурсах
Таблица И.1 - Форма журнала записей о ресурсах
Вид деятельности/услуга |
Персонал |
Навыки |
Компьютерное оборудование |
Программное обеспечение |
Телекоммуникации |
Информация/данные |
Оборудование, не связанное с информационными и коммуникационными технологиями |
Помещения |
Мебель |
Внутренняя территория и постройки |
Поставщики/партнеры |
Дата оценки ____________________
Подписи ____________________
Дата пересмотра ________________
Пример формы записей о снижении риска
Таблица К.1 - Пример формы карточки о снижении риска
Подразделение________________ Ключевая продукция/услуга __________
Критический вид деятельности/ресурса/взаимосвязи |
Риск |
Ранжирование (высокий/средний/низкий) |
Меры по снижению риска |
Дата оценки ____________________
Подписи ____________________
Дата пересмотра ________________
Пример формы требований к ресурсам
Таблица Л.1 - Форма требований к ресурсам
Подразделение________________ Ключевая продукция/услуга __________
Требуемые ресурсы |
|||
0 - 24 часа |
В течение 3 дней |
В течение 14 дней |
|
Виды деятельности, поддерживающие ключевую продукцию/услугу |
|||
Требуемый персонал и его навыки |
|||
Требуемое компьютерное и телекоммуникационное оборудование |
|||
Требуемое программное обеспечение |
|||
Требования к информации |
|||
Требования к оборудованию, не связанному с информационными и коммуникационными технологиями |
|||
Требования к помещениям |
|||
Требования к мебели |
|||
Ключевые поставщики/партнеры |
|||
Другие взаимосвязи |
|||
Другие комментарии |
Дата оценки ____________________
Подписи ____________________
Дата пересмотра ________________
Стратегии, связанные с ключевыми ресурсами
Стратегии в области ключевых ресурсов, представленные в настоящем документе, идентичны п. 7.3 - 7.7 стандарта ГОСТ Р 53647.1.
М.1 Персонал
Организация должна идентифицировать стратегии поддержания квалификации, основных навыков и знаний персонала. Этот анализ, кроме персонала, должен охватывать подрядчиков1) и другие причастные стороны, специалисты которых должны также обладать соответствующей квалификацией, навыками и знаниями. Стратегии защиты или обеспечения подобных навыков могут включать в себя:
a) документирование способа осуществления критических видов деятельности;
b) обучение разносторонним навыкам персонал и подрядчиков;
c) разделение основных навыков среди персонала для снижения риска (это может повлечь за собой распределение персонала с основными навыками или дублирование работников, имеющих необходимые основные навыки);
d) привлечение третьих лиц;
e) планирование преемственности;
f) хранение знаний и управление ими.
_____________
1) Партнеры по аутсорсингу.
При выборе стратегии в этой области необходимо помнить, что персонал может по-разному реагировать на инциденты разных масштабов (например, в чрезвычайной ситуации).
М.2 Производственные площади
Стратегии использования производственных площадей могут в значительной степени меняться. Различные типы инцидентов или угроз могут потребовать создания различных способов размещения персонала и оборудования. Применимость стратегии зависит от размера организации, ее сектора экономики и особенностей деятельности, а также от ее причастных сторон и географического месторасположения. Например, органы местного самоуправления должны обеспечивать предоставление услуг внутри границ и на границах своих территорий.
Организация должна разработать стратегию снижения воздействия опасной ситуации, при которой рабочие места и/или производственные площади становятся недоступны. Стратегия может включать одно или более следующих положений:
a) предоставление альтернативных производственных площадей в пределах самой организации, включая перемещение;
b) предоставление альтернативных производственных площадей партнерскими организациями (это может быть взаимное или одностороннее предоставление производственных площадей на договорной основе);
c) предоставление альтернативных производственных площадей специалистами третьей стороны;
d) работа в домашних условиях или на удаленных производственных площадях;
e) предоставление других подходящих производственных площадей;
f) использование альтернативной рабочей силы на существующих рабочих местах или производственных площадях.
Примечание
1 - Если работники должны быть переведены в альтернативные производственные площади, эти площади должны располагаться недалеко от обычного места работы, чтобы работники могли и были в состоянии переместиться туда, принимая во внимание все трудности, вызванные инцидентом. Однако альтернативные производственные площади не должны располагаться слишком близко, так как может возникнуть вероятность воздействия на них того же самого инцидента.
2 - Способ применения альтернативной производственной площади (единолично самой организацией или совместно с другими) должен быть четко идентифицирован. Если альтернативная производственная площадь используется совместно с другими организациями, должен быть разработан и зарегистрирован план совместного использования и/или план действий при недоступности этой площади.
Иным решением для перемещенного в альтернативные помещения персонала может стать обеспечение их удаленным доступом к ИТ через выделенные линии или интернет с использованием виртуальных частных сетей или подобных технологий.
3 - Может быть целесообразным перемещение объема работ (производственной деятельности), а не персонала, например перемещение производственной линии или диспетчерского отдела.
М.3 Технологии
Технологические стратегии зависят от размеров организации, характера и сложности бизнеса. Особые стратегии должны быть разработаны для защиты, замены или восстановления специальных или уникальных технологий. Возможно, для организации необходимо создать условия выполнения технологических операций вручную до момента полного восстановления технологических процессов.
Технологические стратегии зависят от характера используемых технологий и их связи с критическими видами деятельности, но обычно включают одну или более стратегий, связанных с:
- поставками внутри организации;
- услугами и поставками для организации;
- услугами, предоставленными третьим лицом за пределами организации. Технологическая стратегия может предусматривать:
- географическое распределение технологий, т.е. поддержку одной технологии на различных территориях, которые не могут быть затронуты одним и тем же инцидентом нарушения деятельности организации;
- сохранение резервного оборудования, предназначенного для использования либо в качестве замены основного оборудования при чрезвычайных ситуациях, либо в качестве запасных частей;
- снижение риска утраты или выхода из строя для уникального оборудования или оборудования с большой продолжительностью производственного цикла.
Для информационных технологий (ИТ) часто требуются комплексные стратегии непрерывности бизнеса. Если существует потребность в подобных стратегиях, должны быть рассмотрены следующие показатели:
- целевой срок восстановления систем и прикладных программ, обеспечивающих поддержку ключевых видов деятельности, идентифицированных в АВБ;
- места расположения и расстояние между местами размещения технологического оборудования ИТ;
- количество мест размещения технологического оборудования ИТ;
- способы удаленного доступа;
- использование мест размещения технологического оборудования ИТ без участия персонала в противоположность технологиям с привлечением персонала;
- подключение к телекоммуникационным системам и наличие дублирующих маршрутов телекоммуникационных соединений;
- способы обеспечения деятельности при отказе ИТ (ручное или автоматизированное переключение на альтернативные ИТ);
- каналы связи, предоставленные третьей стороной, и внешние каналы связи.
М.4 Информация
Информационные стратегии должны обеспечивать защиту и восстановление жизненно важной информации для деятельности организации в сроки, установленные на этапе АВБ.
Вся информация, необходимая для обеспечения поставок по критическим видам деятельности организации, должна иметь следующие качества:
- конфиденциальность;
- целостность;
- доступность;
- актуальность.
Должны быть документированы информационные стратегии восстановления информации, которая еще не скопирована или для которой не создана резервная копия, хранящаяся в безопасном месте. Информационные стратегии должны охватывать:
- физические форматы информации (документальные копии);
- виртуальные форматы информации (электронные копии) и т.д.
Во всех случаях информация должна быть восстановлена до установленного момента времени, согласованного с высшим руководством организации. Могут быть использованы различные методы копирования, такие как создание резервных копий в электронном виде, на магнитной ленте, микрофиш1), фотокопий, создание двух экземпляров документов и т.п. Время восстановления должно соответствовать «установленному периоду восстановления».
_____________
1) Карточки с несколькими кадрами микрофильма - (Прим. пер.).
М.5 Запасы
В офисно-ориентированных средах запасы могут представлять собой используемые бланки, например банковских чеков и т.д. В других отраслях промышленности могут быть идентифицированы расходные материалы или поставки «точно в срок», или запас топлива для транспортных средств.
Организация должна идентифицировать и поддерживать в рабочем состоянии перечень запасов (сырья, материалов, комплектующих), которые обеспечивают критические виды деятельности организации. Стратегии обеспечения запасов могут включать:
- хранение дополнительных запасов в альтернативных местах размещения;
- заключение соглашений с третьими лицами о срочных внеплановых поставках в критических ситуациях;
- изменение пункта назначения поставок «точно в срок»1);
- хранение материалов на товарных складах или погрузочно-разгрузочных участках;
- передачу сборочных операций на альтернативные производственные площади, в которых существует возможность бесперебойного снабжения;
- идентификацию альтернативных поставок (субститутов).
_____________
1) Концепция управления, предполагающая поставку ресурса непосредственно к началу момента его использования - (Прим. пер.).
Если критические виды деятельности зависят от специализированных запасов, организация должна идентифицировать ключевых поставщиков и безальтернативные источники поставок. Стратегии обеспечения непрерывности таких поставок могут включать:
- увеличение количества поставщиков;
- поощрение поставщиков (или установление требований) к наличию валидированной способности обеспечения непрерывности бизнеса;
- установление договорных отношений и/или соглашений о техническом обслуживании с ключевыми поставщиками на согласованном уровне;
- идентификацию альтернативных, способных к бесперебойной работе поставщиков.
Пример формы журнала регистрации данных об инциденте
Таблица Н.1 - Форма журнала регистрации данных об инциденте
Журнал регистрации данных об инциденте |
||||
Инцидент __________ Место происшествия ____________ Ответственный руководитель ___________ |
||||
Продукция/услуга, которая подверглась воздействию _________________________________________ |
||||
Дата и время |
Информация/ запрос |
От кого получен? |
Предпринятые действия |
Кем предприняты действия? |
Подписи __________________________________ Дата _______________
Таблица П.1 - Контрольный перечень вопросов для самооценки
Разделы |
Ключевые вопросы |
Свидетельства внедрения |
Оценка |
Программа МНБ |
Ответственность за менеджмент непрерывности бизнеса точно определена на уровне руководства организацией |
Назначен исполнительный руководитель, ответственный за политику в области непрерывности бизнеса и внедрение СМНБ. Проводится отчет по СМНБ перед высшим руководством |
1-2-3-4-5 |
Назначены ли руководители и координаторы работ в области МНБ |
Назначены конкретные ответственные за внедрение и поддержание в рабочем состоянии программы МНБ |
1-2-3-4-5 |
|
СМНБ установлена путем принятия политики и процедур в области обеспечения непрерывности бизнеса |
Установлены области применения СМНБ и политика в области непрерывности бизнеса. Политика в области непрерывности бизнеса опубликована во внешних и внутренних источниках информации |
1-2-3-4-5 |
|
Распределение ответственности в области менеджмента непрерывности бизнеса производится для каждого сотрудника или на уровне среднего руководства |
Положения об обеспечении непрерывности бизнеса включены в рабочие инструкции и квалификационные требования к персоналу, вовлеченного в выполнение ключевых работ (услуг) и вспомогательных процессов к ним. Функции и ответственность персонала за действия в сфере СМНБ путем аттестации, премирования и мотивации персонала |
1-2-3-4-5 |
|
Обеспечена ли компетентность и осведомленность персонала в области обеспечения непрерывности бизнеса во всей организации |
Принята детальная программа повышения компетентности и осведомленности персонала в области обеспечения непрерывности бизнеса в организации и у ключевых причастных сторон. Работают механизмы обратной связи, в рамках которых руководители и персонал могут сигнализировать о проблемах, связанных с МНБ, например на совещаниях и в отчетах. Разработанные программы в области МНБ включают обеспечение компетентности и осведомленности персонала в этой области |
1-2-3-4-5 |
|
Обеспечена ли уверенность в способности организации к МНБ |
Разработаны планы внедрения и поддержки МНБ. Проводится анализ распределения ответственности и выполнения работ по МНБ путем проведения аудита в организации |
1-2-3-4-5 |
|
Анализ непрерывности бизнеса организации |
Установлены ли цели организации, законодательные и обязательные требования причастных сторон и условия функционирования для организации |
Проводится регулярный анализ требований и ожиданий причастных сторон. Составлен перечень законодательных и обязательных требований |
1-2-3-4-5 |
Разработан ли перечень ключевых продукции и услуг, поставляемых организацией от ее имени, и согласован ли он с высшим руководством |
Разработаны и внедрены документированные процедуры идентификации и анализа ключевых продукции и услуг. Утвержден перечень ключевых продукции и услуг |
1-2-3-4-5 |
|
Установлены ли критические функции, процессы и поддерживающие ресурсы, требуемые для поставки ключевых продукции и услуг внутри и во вне организации |
Разработана и внедрена подробная документация относительно критических функций, процессов и поддерживающих ресурсов, требуемых для поставки ключевых продукции и услуг. Определены критически важные поставщики и партнеры |
1-2-3-4-5 |
|
Идентифицированы ли в долгосрочной перспективе воздействия каждой ключевой услуги или продукции на организацию и ее причастные стороны |
Внедрен структурированный процесс анализа воздействия на бизнес организации, в рамках которого расставлены приоритеты по ключевым продукции и услугам |
1-2-3-4-5 |
|
Проведена ли оценка риска критических видов деятельности и поддерживающих ресурсов в наиболее сложных и необходимых областях |
Разработаны и внедрены документированные процедуры анализа и оценки риска. Идентифицированы слабые места |
1-2-3-4-5 |
|
Существуют ли в СМНБ защитные меры, включая меры по борьбе с потенциальными потерями информации |
Документированы объективные свидетельства снижения риска, связанного с персоналом, системами, информацией, производственными площадями, оборудованием и запасами |
1-2-3-4-5 |
|
Определение стратегий непрерывности бизнеса |
Разработаны ли стратегии, снижающие потери ключевых продукции и услуг и воздействия в долгосрочной перспективе на организацию и ее причастные стороны |
Документированы стратегии для поддержки ключевой продукции или услуг. Стратегии охватывают персонал, производственные площади, технологии, информацию, запасы и причастных сторон. В стратегиях учтены действия государственных аварийных и иных служб в чрезвычайных ситуациях. Стратегии утверждены на соответствующем уровне, и выделены необходимые ресурсы для их реализации |
1-2-3-4-5 |
Разработана ли стратегия для минимизации срывов поставок |
Существует политика в области поставок по ключевым запасам, в рамках которой выполнено требование о включении требований МНБ в договора с поставщиками. Идентифицированы альтернативные поставщики |
1-2-3-4-5 |
|
Разработка и внедрение ответных мер СМНБ |
Разработаны ли планы управления в условиях инцидента? Разработан ли общий план обеспечения непрерывности бизнеса, который помогает обеспечению устойчивости организации от воздействия опасных событий, нарушений и разрушений ее деятельности, достаточной для обеспечения непрерывности производства ключевых продукции и услуг |
Разработаны структура и процедуры ответных мер на инциденты и планы обеспечения непрерывности деятельности. Составляется отчетность. Существуют протоколы планов совещаний. Планы точны, однозначны и удобны при использовании. Документированы объективные свидетельства консультаций и обратной связи с персоналом в подразделениях при разработке планов. В планах идентифицированы положения о целях, вовлеченности персонала, руководстве и контроле. Планы содержат ссылки на иные источники информации, справочные данные и/или другую документацию |
1-2-3-4-5 |
Утверждены ли процедуры активации планов и принятия ответных мер |
Документированы процедуры активации планов и принятия ответных мер. В планах идентифицирован ключевой персонал. Существует перечень контактной информации для персонала, входящего в группу ответных мер на инцидент и группу обеспечения непрерывности бизнеса |
1-2-3-4-5 |
|
Имеются ли планы у конкретных владельцев и утверждены ли они на соответствующем уровне |
Установлены лица, ответственные за наличие планов у каждого подразделения или филиала организации. Все планы утверждены в соответствующем порядке |
1-2-3-4-5 |
|
Назначена ли группа персонала, обученного разработке планов |
Ведутся подробные записи об инцидентах и участниках групп по обеспечению непрерывности бизнеса. Действует программа обучения участников групп по обеспечению непрерывности бизнеса. Записи об обучении поддерживаются в рабочем состоянии |
1-2-3-4-5 |
|
Имеются ли точные процедуры, направленные на информирование внутренних и внешних причастных сторон о действиях организации при активации планов |
Существует документированная политика обмена информацией. Письма, электронная почта, циркуляры, совещания, страницы в Интранет и Интернет повышают осведомленность о планах СМНБ |
1-2-3-4-5 |
|
Налажен ли обмен информацией с причастными сторонами во время нарушений/разрушений, направленный на обеспечение непрерывности поставки ключевых продукции и услуг |
Планы содержат мероприятия по обмену информацией с клиентами, потребителями, персоналом, причастными сторонами, партнерами и СМИ. Разработанные в рамках СМНБ планы имеют ссылку на план обмена информацией |
1-2-3-4-5 |
|
Обеспечен ли постоянный доступ последних версий планов и вспомогательных материалов |
Копии планов и перечни основного необходимого оборудования /основных документов (в электронном или бумажном виде) доступны на рабочих местах и за их пределами |
1-2-3-4-5 |
|
Разработка и внедрение ответных мер СМНБ |
Учитывают ли планы, запланированные действия внутри и вовне организации |
Планы учитывают мероприятия по планам действий в чрезвычайных ситуациях, планам восстановления бизнеса, планам управления в условиях крупных инцидентов, планам обмена информацией и т.д. Взаимное пересечение планов документировано (например, в виде ссылок) |
1-2-3-4-5 |
Учения |
Имеется ли сбалансированная программа учений, направленная на валидацию возможностей организации по всему спектру вопросов МНБ |
Ведутся записи о регулярной проверке мероприятий по активации контактной информации и действий в случае возникновения нарушений/разрушений. Утвержден и выполняется план-график проведения учений |
1-2-3-4-5 |
Установлены ли точные цели программы учений |
Сценарии и планы учений хорошо проработаны |
1-2-3-4-5 |
|
Использована ли на учениях оценка и анализ риска и последствий опасных событий |
Результаты оценки риска документированы |
1-2-3-4-5 |
|
Имеется ли документированный процесс сбора данных о полученном на учениях опыте и каково дальнейшее использование полученных данных |
Записи о проведении учений ведутся постоянно, составляются отчеты о полученном на учениях опыте. Отчеты об анализе проведенных учений направляются руководству. Разработаны планы действий. Эти действия анализируются на совещаниях по подготовке и анализу планов. Объективные свидетельства внедрения и использования в СМНБ полученного на учениях опыта документированы |
1-2-3-4-5 |
|
Поддержка |
Обеспечивается ли актуальность планов |
Процесс анализа планов установлен и документирован. Процесс анализа планов встроен в процесс жизненного цикла планирования бизнеса. Записи анализа поддерживаются в рабочем состоянии. Существует система управления версиями и управления базой знаний организации |
1-2-3-4-5 |
Обеспечены ли анализ и корректировка программы МНБ организации при существенных изменениях в организации, ее условиях функционирования или появлении угроз |
Существует механизм идентификации точек анализа МНБ и проведения анализа. Записи анализа МНБ регистрируются. План действий внедрен. Анализ действий проводят на запланированных совещаниях по подготовке и проведению анализа |
1-2-3-4-5 |
|
Анализ |
Разработан ли метод измерения результативности и эффективности СМНБ |
Разработана программа СМНБ. Составлен отчет о проведении самооценки. Существуют отчеты о проведении внутренних аудитов. Проводится бенчмаркинг по внедрению лучших разработок в области непрерывности бизнеса (например, международных стандартов и руководств). Проведен анализ СМНБ третьей стороной (например, представителями других организаций) |
1-2-3-4-5 |
Анализ |
Обеспечен ли запуск процесса постоянного улучшения путем исследования полученного опыта и выполнения предупреждающих и корректирующих действий на основе данных анализа |
Отчеты о процессе анализа доводятся до соответствующего уровня руководства. Разработан план соответствующих (предупреждающих и корректирующих) действий. На совещаниях проводится анализ предпринятых действий. Имеются объективные свидетельства внедрения и использования полученного опыта в СМНБ организации |
1-2-3-4-5 |
[1] Basel Committee on Banking Supervision. The Joint Forum. High-level principles for business continuity, August 2006
Ключевые слова: непрерывность бизнеса, менеджмент непрерывности бизнеса, программа менеджмента непрерывности бизнеса, стратегия обеспечения непрерывности бизнеса, воздействие, инцидент, план управления в условиях инцидента, чрезвычайная ситуация, нарушение деятельности организации, критические виды деятельности, риск, допустимый риск, оценка риска, устойчивость организации.