ГОСТ Р 53647.4—2011/ISO/PAS 22399:2007
6.2 Законодательные и другие требования
Организация должна установить и поддерживать процедуры идентификации и оценки примени
мых законодательных, обязательных и иных требований, принятых организацией и связанных сугроза
ми и риском для оборудования, видов деятельности, продукции, услуг, подрядчиков и цепи поставок.
Организация должна постоянно актуализировать эту информацию и проводить обмен информацией по
законодательным и иным требованиям с персоналом и другими третьими лицами, включая
подрядчиков.
Система IPOCM должна обеспечивать выполнение действующих законов и принятых обяза
тельств, соответствовать требованиям стандартов организации, ее политике, а также основываться на
исследованиях и применении передовогопромышленного опыта в области IPOCM.
6.3 Оценка риска и анализ воздействий
Существуют различные методы оценки риска и анализа воздействий на деятельность организа
ции, на основе которыхопределяют этапы анализа.
6.4 Идентификация угроз, опасностей, риска
Идентификация угроз, опасностей, риска должна включать в себя (перечень может быть допол
нен):
- опасности естественного происхождения, не зависящие от воздействия человека, способные
прямо или косвенно воздействовать на деятельность, персонал, имущество и/или окружающую среду
(геологические, метеорологические ибиологическиеопасности) организации;
- события (случайные и преднамеренные), вызванные деятельностью человека и применяемыми
технологиями;
- события, связанныесбизнесом (позитивные или негативные).
Идентификация риска должна стать непрерывнойдеятельностью. Организациядолжна выяснить
источники ивозможности причиненияущерба иидентифицироватьопасные события. Организациядол
жна консультироватьсяс государственными структурами и общественнымиорганизациями при иденти
фикации опасностейдля организации и причастныхсторон.
6.5 Оценка риска
Организация может использоватьформальный зарегистрированныйпроцесс оценки риска, чтобы
идентифицироватьопасные событияи угрозы, вероятностьих возникновения, а также уязвимость исвя
занные с ней критические проблемыдля персонала, имущества, среды иорганизации в целом. Органи
зациядолжнаколичественноиликачественнооценитьвероятностьвозникновения
идентифицированных опасных событий и их комбинации. Полученные результаты количественной
оценки должны быть использованы как входные данные к процессу сравнительной оценки риска и
ранжирования источников риска.
Организациядолжна оцениватьрискна основе разумныхкритериев, учитывая совокупный риск ее
деятельности. Организациядолжна учитыватьразличныеаспекты, такие какопасностьдля жизничело
века. активы, компенсации, доходы, кредиты исостояние окружающейсреды. Организациядолжна про
вести анализ информации о риске и выбрать те виды риска, которые могут привести к существенным
и/или недопустимым последствиям.
Организация должна обеспечить актуальность и конфиденциальность информации, связанной с
оценкойугроз, риска икритических состояний. Эти оценки необходимопересматриватьпри изменениях,
происходящих в организации илиее операционной среде, процедурах, подразделениях иуслугах.
6.6 Анализ воздействия надеятельность
Организациядолжна провестианализвоздействия нарушений/разрушений насвоюдеятельность
и идентифицировать критические виды деятельности, первоочередные для восстановления, чтобы
установить целевой срок восстановления (RTO) (см. приложение А).
Организациядолжна провестианализвоздействийнарушений/разрушений насвоюдеятельность,
включая (но не ограничиваясь)следующие показатели;
- здоровье и безопасность людей в пострадавших районах в момент инцидента (травмирование и
гибельлюдей):
- здоровье и безопасность персонала, ответственного за выполнение ответных мер в условиях
инцидента,
- непрерывностьдеятельности;
- сохранение имущества, оборудования и инфраструктуры;
- непрерывность предоставления услуг;
- защита окружающей среды;
и