ГОСТ Р ИСО 22301—2014
a) установлена область применения оценки риска, определены критерии и способы оценки воз
можных воздействий инцидента;
b
) учтены юридические и другие требования, которые должна соблюдать организация;
c) предусмотрен систематический анализ, установлены приоритетность обработки риска и необ
ходимые для этого затраты;
d) определены выходные данные анализа воздействия на бизнес и оценки риска;
e) установлены требования к актуализации и конфиденциальности этой информации.
П р и м е ч а н и е - Существуют различные методологии анализа воздействия на бизнес и оценки риска.
8.2.2 Анализ воздействия на бизнес
Организация должна установить, внедрить и поддерживать в рабочем состоянии формальный и
документированный процесс определения приоритетов, целей и задач непрерывности бизнеса. Этот
процесс должен включать оценку последствий нарушения видов деятельности, которые поддержива ют
поставку продукции и услуг.
Анализ воздействия на бизнес должен включать;
a) идентификацию видов деятельности, которые поддерживают поставку продукции и услуг;
b
) оценку последствий невыполнения этих видов деятельности.
c) установление приоритетных сроков возобновления деятельности на установленном мини
мальном приемлемом уровне с учетом времени, в течение которого неблагоприятные воздействия,
возникшие в результате необеслечения поставок продукции/услуг или невыполнения деятельности,
приводят к неприемлемым результатам;
d) идентификацию зависимостей и ресурсов для поддержания этих видов деятельности, вклю
чая поставщиков, партнеров по аутсортингу и других важных заинтересованных сторон.
8.2.3 Оценка риска
Организация должна установить, внедрить и поддерживать в рабочем состоянии формальный
документированный процесс оценки риска для систематической идентификации, анализа и оценки
риска разрушительных инцидентов для организации.
П р и м е ч а н и е - Этот процесс может быть разработан в соответствии с ИСО 31000.
Организация должна:
a) идентифицировать риск нарушений в приоритетных видах деятельности организации, а также
процессах, системах, информации, человеческих активах, аутсорсинге и ресурсах, которые их под
держивают;
b
) систематически анализировать риск;
c) оценивать необходимость обработки;
d) определить методы обработки, соответствующие целям в области непрерывности бизнеса и
аппетиту риска организации.
П р и м е ч а н и е - Организация должна быть осведомлена, что определенные финансовые или уста
новленные государством обязательства требуют предоставления отчета о таких видах риска с разной степенью
детализации. Кроме того, некоторые потребности общества также могут служить основанием для предоставле
ния отчета с соответствующей степенью детализации.
8.3 Стратегия непрерывности бизнеса
8.3.1 Определение и выбор
Определение и выбор стратегии должны быть основаны на результатах анализа воздействия на
бизнес и оценки риска.
Организация должна определить подходящую стратегию непрерывности бизнеса для;
a) защиты приоритетных видов деятельности;
b
) стабилизации, продолжения, возобновления и восстановления приоритетных видов деятель
ности и их обеспечения ресурсами;
c) смягчения последствий, разработки ответных мер и управления ими.
Определение стратегии должно включать в себя установление приоритетных сроков возобнов
ления действий. Организация должна провести оценку способности к обеспечению непрерывности
бизнеса своих поставщиков.
12