ГОСТ Р ИСО 22301—2014
b
) Такая оценка может быть осуществлена посредством периодического анализа, учений, про
верок. анализа отчетов об инцидентах и оценки функционирования СМНБ. Существенные изменения
должны быть своевременно отражены в процедуре(ах):
c) Организация должна периодически оценивать соответствие действующим юридическим и
нормативным требованиям, передовому опыту, а также собственной политике и целям в области не
прерывности бизнеса:
d) Организация должна проводить оценку через запланированные интервалы времени и при
наличии существенных изменений.
При возникновении разрушительного инцидента, после инцидента организация должна прове
сти анализ и записать результаты выполненных действий в соответствии с СМНБ.
9.2 Внутренний аудит
Организация должна проводить внутренний аудит через запланированные интервалы времени
для предоставления информации о:
a) соответствии СМНБ
1) собственным требованиям организации;
2) требованиям настоящего стандарта;
b
) результативности функционирования и поддержания в рабочем состоянии СМНБ.
Организация должна:
-запланировать, установить, внедрить и поддерживать в рабочем состоянии программу(ы)
аудита, которая должна включать частоту проведения аудита, его методы, распределение ответ
ственности. требования к планированию и отчетам. Программа(ы) аудита должна учитывать важность
проверяемых процессов и результаты предыдущих аудитов:
- для каждого аудита определить критерии и область применения;
- назначить аудиторов и обеспечить объективность и беспристрастность процесса аудита;
- обеспечить информирование руководства о результатах аудита;
- сохранять записи как свидетельство выполнения программы аудита и результаты аудита.
Программа аудита, в том числе все графики работы, должна быть основана на результатах
оценки риска для видов деятельности организации, а также результатах предыдущих аудитов. Про
цедуры аудита должны охватывать область применения, частоту проведения, методологию и компе
тентность. а также распределение ответственности и требования к проведению аудита и отчетам.
Руководство, ответственное за проверяемые области деятельности, должно обеспечить выпол
нение всех необходимых исправлений и корректирующих действий без излишней отсрочки для устра
нения обнаруженных несоответствий и их причин. Последующие действия должны включать верифи
кацию предпринятых мер и отчет о результатах верификации.
9.3 Анализ со стороны руководства
Высшее руководство должно проводить анализ СМНБ организации через запланированные ин
тервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.
Анализ со стороны руководства должен включать рассмотрение:
a) состояния выполнения действий по результатам предыдущих анализов;
b
) изменения внешних и внутренних факторов, влияющих на систему менеджмента непрерыв
ности бизнеса;
c) информации о функционировании СМНБ. в том числе о
1) несоответствиях и корректирующих действиях;
2) результатах оценки мониторинга и измерений;
3) результатах аудита;
d) возможностей для постоянного улучшения.
Анализ со стороны руководства должен рассматривать функционирование организации, вклю
чая:
- действия, рекомендованные по результатам предыдущих анализов;
- необходимость изменений СМНБ. включая политику и цели;
- возможности для постоянного улучшения;
- результаты аудитов и анализов СМНБ. в том числе ключевых поставщиков и партнеров в со
ответствующих случаях;
16