ГОСТ Р 53647.3—2010
информации, содержащейся в документации СМНБ, может быть конфиденциальной. Такая информация
должна быть соответствующим образом защищена.
В организации должен быть установлен и поддерживаться врабочем состояниидокументально офор
мленный процесс управления записями, который включает всебя идентификацию, хранение, защиту, по
иск. определение срока хранения и уничтожения документов и записей.
7.2 Требования к документации
Документация организации должна охватывать следующие аспекты СМНБ:
- политику вобласти обеспечения непрерывности бизнеса:
- область применения СМНБ:
- процедуры, средства управления и поддержки СМНБ;
- результаты анализа воздействия на бизнес и оценки риска;
- стратегии МНБ;
- планы обеспечения непрерывности бизнеса и планы управления вусловиях инцидента;
- актуализированную подробную информацию о способах контакта и мобилизации персонала и любых
вовлеченных (например, аварийных) организаций и агентств, которые должны участвовать вдействиях при
возникновении инцидента, а также необходимые для этого ресурсы;
- график выполнения работ, полученные результаты, корректирующие и предупреждающиедействия;
- анализ ситуаций после завершения инцидента;
- программы обучения.
Любая организация, уполномоченная для проведения аудита, добровольно или в результате
установленных требований,должна обеспечивать наличие письменных объективных свидетельств аудита
по СМНБ.
Вышеперечисленный перечень может помочь организации разработать необходимуюдокументацию.
Этотсписоксоответствует требованиям, установленным в ГОСТ Р 53647.2, однакоон неявляется исчерпы
вающим и при необходимости может бытьдополнен.
7.3 Управление записями
Обеспечение объективных свидетельств эффективности СМНБ является одной из ключевых задач,
стоящих перед любой организацией. Должна проводиться регистрация записей об управлении СМНБ. а
также об учениях, инцидентах, их последствиях, достигнутых результатах и ином полученном опыте.
Объективные свидетельства СМНБ. полученные на основе записей, могут быть использованы для
демонстрации эффективности внутреннего управления: согласованности деятельности организации суста-
новленной политикой вобласти непрерывности бизнеса и достижения поставленных целей. Результаты и
опыт, полученные во время учений и/или при возникновении инцидентов, подтверждают эффективность
инвестиций, направленных на обеспечение непрерывности бизнеса.
Причастныестороны также могут быть заинтересованы в подобных записях. При получении запроса
или юридического требования, направленного против организации, в которой произошел серьезный инци
дент и. как следствие. была приостановлена поставка критических видов продукции/услуг. могут
потре боваться свидетельства обеспечения непрерывности бизнеса и эффективного управления в
условиях ин цидента. Неспособность получить подобные объективные свидетельства может
повлиять на имидж организации.
8 Развитие и совершенствование управления непрерывностью бизнеса
В настоящем разделе описаны элементы PDCA. т.е. спицы колеса жизненного цикла МНБ (см. рису
нок 3). Элементы PDCA включают в себя.
- анализ непрерывности бизнеса организации;
- определение стратегии МНБ;
- разработку и внедрение ответных мер предусмотренных МНБ:
- применение, поддержку и анализ МНБ.
Многие организации начинают разработку планов обеспечения непрерывности бизнеса при возникно
вении возможности потери информации, нарушения информационныхтехнологий или разрушения здания.
Это традиционный подход к восстановлению бизнеса в условиях инцидента, который обеспечивает
уверенность руководителей организации вадекватности предпринимаемых мер по защите бизнеса орга
низации.
12