ГОСТ Р 53647.3—2010
Независимо от того, были внесены изменения или нет. ответные меры СМНБ следует ежегодноанали
зироватьдля обеспечения их актуальности и пригодности. Высшее руководство должно проводить анализ
перечня ключевой продукции и/или услуг и оценку критичности поддерживающих их видов деятельности и
приоритетовдля восстановления бизнеса. Необходимо проверять актуальность поддерживающих процес
сов и ресурсов. Необходимо проводитьанализ плановдля обеспечения ихсоответствия и работоспособно
сти. Независимо от того, были внесены изменения или нет. окончательные версии отчетов об анализе дол
жны быть утверждены на соответствующем уровне руководства.
Персонал должен быть осведомлен обо всех изменениях, затрагивающих способы достижения и
обеспечения непрерывности деятельности организации.Должно быть введеноуправление версиями доку
ментов СМНБ в рамках процесса управления документацией организации.
11.3 Анализ произошедшего инцидента
Если в организации произошел инцидент, вызвавший нарушение и/или разрушениедеятельности, и
был активирован план управления в условиях инцидента и/или план обеспечения непрерывности бизнеса,
то следует провести анализ инцидента в следующих направлениях:
- установитьхарактер и причины инцидента;
- оценитьадекватность предпринятых ответных мер;
-оценить эффективность планов за максимально приемлемый период восстановления (RTO):
- оценить действия и способности вовлеченного в выполнение планов персонала;
- идентифицировать все улучшения, которые могут быть внедрены в СМНБ.
На этом этапе заканчивается элемент «осуществление» цикла PDCA применительно к СМНБ.
12 Мониторинг, анализ, поддержка и улучшение СМНБ
Вданном разделе рассмотрены элементы «проверка» и «действие» цикла РОСА применительно к
СМНБ. Под «проверкой» обычно понимают мониторинг и анализ, а под «действием» — поддержание и
улучшение СМНБ.
12.1 Мониторинг и анализ СМНБ
В разделе 11 были установлены действия по управлению в условиях инцидента и непрерывности
бизнеса. В настоящем разделе установлены способы анализа СМНБ. которые должны проводиться регу
лярно через запланированные интервалы времени или при существенных изменениях в организации и ее
внешней среде. Этидействия направлены на обеспечение применимости, адекватности и эффективности
СМНБ организации. Анализ можетбыть выполнен путем проведения самооценки или аудита и может быть
предпринят с привлечением как внутренних, так и независимых внешних аудиторов. Контрольный пере
чень вопросовдля самооценки приведен в приложении П.
Анализ должен быть направлен на поиск возможностей для улучшения или изменения структуры
СМНБ. Области анализа могут включать положения, изложенные в предыдущих разделах настоящего
документа, при этом особое внимание должно быть уделено политике и целям в области непрерывности
бизнеса организации. Результаты анализа должны быть зарегистрированы, а записи необходимо поддер
живать в рабочем состоянии.
Информация для анализа может быть получена из различных источников. Они включают в себя:
- результаты аудита и внутреннего анализа СМНБ;
- результаты анализа мероприятий и ответных мер СМНБ поставщиков и партнеров;
- информацию обратной связи с причастными сторонами и рекомендации по улучшению СМНБ;
- информацию о разработках и внедрении методов, процедур и опыте внедрения МНБ;
- статус предупреждающих и корректирующих действий, включая последствия ранее выполненных
действий:
- уровень остаточного риска и изменений допустимого риска организации;
- вновь обнаруженные и ранее не рассмотренные опасности/угрозы:
- результаты учений, включая анализ полученного опыта;
- набпюдения/рекомендации об инцидентах или опыте самой организации идругих сторон;
- результаты программ по обучению и повышению осведомленности;
- ключевые показатели эффективности СМНБ.
34