ГОСТРИСО 22313—2015
Приоритетные сроки возобновления того или иного вида деятельности можно назвать целевым
сроком восстановления. Целевой срок восстановления может учитывать зависимости взаимосвязан
ных видов деятельности и период времени, за который воздействие, являющееся причиной прекраще
ния деятельности, становится неприемлемым [см. с) выше].
П р и м е ч а н и е 5 — Далее в настоящем стандарте термин «целевой срок восстановления» использован
вместо «приоритетного срока».
Результаты анализа воздействия на бизнес должны быть документированы и относиться:
- к продукции, услугам и деятельности;
- к приоритетам восстановления;
- к важным зависимостям и поддерживающим ресурсам.
При сборе информации для анализа воздействия на бизнес могут быть использованы:
- интервью;
- анкетирование;
- семинары;
- другие внутренние и внешние источники.
8.2.3 Оцонка риска
Организациядолжна установить процессоценки риска для систематической идентификации, ана
лиза и оценки риска нарушения приоритетной деятельности организации, а также процессы, системы,
информацию, людей, активы, поставщиков и другие ресурсы, поддерживающие его.
Оценка риска предоставляет собой структурированный процесс анализа риска с точки зрения по
следствий и вероятности риска для принятия решения о дальнейших действиях при необходимости.
Этот структурированный процессдолжен помочь найти ответ на фундаментальные вопросы:
a) Что может случиться и почему (идентификация риска)?
b
) Какие могут быть последствия?
c) Какова вероятность возникновения опасного события?
d) Каковы способы снижения неблагоприятных последствий или вероятности?
Этот процесс должен учитывать финансовые, государственные и социальные обязательства.
Организация должна понимать угрозы и слабые стороны ресурсов, необходимых для осуществле
ния ее деятельности, в частности:
- приоритетной деятельности;
- деятельности, требующей значительного времени для возобновления производства.
Организация должна выбрать подходящий метод идентификации, анализа и сравнительной оцен
ки рисков, которые могут привести к нарушению деятельности. В ИСО 31000 установлены принципы
менеджмента риска и приведено руководство по его осуществлению. Типичные элементы, которые
должны быть включены в анализ риска:
- идентификация риска: идентификация рисков нарушения приоритетной деятельности ор
ганизации. а также процессов, систем, информации, людей, средств, поставщиков идругих необ
ходимых ресурсов. Ресурсы могут быть связаны:
- с конкретными угрозами, которые можно описать как события или действия, которые
в какой-то момент могут нарушить деятельность и привести к потере ресурсов (например,
такими угрозами, как пожар, наводнение, смена власти, потеря персонала, отсутствие
пер сонала на рабочих местах, компьютерные вирусы и выход из строя аппаратуры);
- с разрушительными инцидентами, которые могут возникнуть в связи с уязвимостью ре
сурсов (например, отдельные случаи отказа от работы, нарушения правил пожарной безопас
ности, отсутствия энергетическойстабильности, недостатка рабочейсилы и низкойбезопасности
иустойчивости ИТ);
- сравнительная оценка риска: определение, какие риски, связанные с нарушением деятельно
сти. требуют обработки. Особое внимание следует уделять ресурсам, необходимым для осуществле
ния приоритетных видов деятельности или деятельности с большим периодом восстановления.
- определение обработки риска: идентификация обработки риска, обеспечивающей достижение
целей в области непрерывности бизнеса и допустимого совокупного риска организации (4.1).
П р и м е ч а н и е — Если какой-либо другой анализ риска уже проводился организацией или сторонними
организациями, результаты анализа могут содержать полезную информацию для оценки риска.
В соответствии с потребностями общества или обязательствами перед регулирующими органами
может потребоваться передача некоторых результатов оценки риска организации другим заинтересо
ванным сторонам.
16