ГОСТ Р 53647.4—2011/ISO/PAS 22399:2007
обеспечению непрерывностидеятельности необходимо регулярнопроверять, актуализироватьи пере
сматриватьвсякийраз. когда возникают существенные измененияворганизации (например, вовнешней
среде, персонале, процессах или технологиях). IPOCMдолжна также обеспечивать защиту причастных
сторонот возможногонеблагоприятного воздействияпоследствийнарушенияУразрушеиия
деятельности организации.
Таким образом, программа IPOCM включает три основных компонента: создание структуры
IPOCM, организационныемероприятияпоеевнедрению ипостоянноеобеспечениенепрерывностидея
тельности организации.
5.2 Определение области применения программы
Организация должна установить, зарегистрировать, внедрить, поддерживать в рабочем состоя
нии. оценивать и постоянно улучшать свои программы обеспечения готовности к инцидентам и непре
рывностидеятельности.
Организациядолжна определить критические цели и виды деятельности, идентифицированные в
стратегиях, бизнес-планах, политике, задачах, планах менеджмента риска, определитьсредства управ
ления, такие как анализ SWOT1) (сила, слабости, возможности и угрозы), исистему сбалансированных
показателей. Критическиедля непрерывности деятельности процессы должны быть идентифицирова
ны и зарегистрированы. Это позволит сконцентрировать ресурсы, требуемыедля поддержания непре
рывности критических видов деятельности организации с учетом существующих экономических
ограничений.
Организация должна обосновать программу IPOCM. чтобы определить преимущества принятого
подходадля всейорганизации. Обоснование можетбытьосновано на:
- опасных предшествующих событиях, произошедших в организации;
- известной ивозможной экспозиции опасных событий;
- тенденцияхнарушений/разрушенийдеятельностисучетомопытапредшествующихинцидентов:
- росте затрат ипотеридоходов в случае реализации возможных разрушений;
- риске финансовыхзатрат;
- принятыхобязательствах;
- социальной ответственности;
- достижениях и неудачах подругим проектам и программам IPOCM.
Организациядолжна определить изарегистрировать область применения своей системы IPOCM,
а также имеет право свободнои гибкоопределятьграницысистемы IPOCM иможет внедритьее во всей
организации, только в отдельных подразделениях или применить к отдельным видам деятельности.
Следует рассмотреть взаимосвязь с другими организациями (партнерами) и причастными сторонами,
которые могут помочь или повлиять на деятельность организации, включая воздействие процессов и
действийпоаутсорсингуи вцепипоставок. Областьприменениясистемы IРОСМдолжна бытьнапрямую
связана с критическими видами деятельности, функциями, продукцией и услугами организации путем
определения параметров оценки риска и разработки программы, основанной на их критическом
состоянии, потенциальной вероятности ипоследствиях инцидента.
5.3 Лидерство и обязательства руководства
Эффективность программы IPOCM напрямую зависит от степени ее интегрирования в процессы
менеджмента организации и поддержки со стороны высшего руководства. Программой IPOCM необхо
димо управлять на функциональном иорганизационном уровнях.
Привлечениеспециалистов в областидругих систем менеджмента может помочь при поддержке и
управлении программойIPOCM. Количествотребуемыхресурсовзависитотразмераорганизацииираз
нообразия ее видов деятельности.
5.4 Разработка политики в области IPOCM
Организация должна разработать политику в области IPOCM. Первоначально это может быть
заявлениео политикенауровне высшего руководствас дальнейшим совершенствованием иуглублени
емданногодокумента помереразвитияи совершенствованияобеспечениянепрерывностидеятельнос
ти организации. Политику следует регулярно анализировать и актуализировать в соответствии с
потребностями организации.
Политика в области IPOCM должна содержать документированные принципы, к которым необхо
димо стремиться и в соответствиис которыми можно измеритьспособностьорганизации к IPOCM.
Процесс установления политики организации должен включать в себя ряд элементов. Высшее
руководстводолжно:
’ SWOT — Strengths. Weakness. Opportunities and Threats.
9