ГОСТ Р 53647.3— 2015
ры должны быть уверены, что менеджмент организации в состоянии справиться с ситуацией и что их
инвестиции в безопасности.
Правительственные, государственные и другие лица, ответственные по закону, должны быть про
информированы, какие меры принимает организация для соблюдения нормативно-правовых требова
ний. Более широкое сообществодолжно получить информацию об инциденте и предпринятых действи
ях. если нарушение деятельности организации оказывает серьезное воздействие на благосостояние
населения, например получить предупреждение в случае пожара в химическом цехе.
ГОСТ Р ИСО 22301 указывает на большое значение обмена информацией в менеджменте непре
рывности бизнеса. Этот стандарт требует, чтобы организации, создающие свои СМНБ. определяли по
требности во внутреннем и внешнем обмене информацией. Должно быть определено, как, когда и с
кем можно общаться по вопросам нарушений.
В соответствии с ГОСТ Р ИСО 22301 организация должна установить, внедрить и поддержать про
цедуры:
- внутреннего обмена информацией между заинтересованными сторонами и сотрудниками орга
низации.
- внешнего обмена информацией с потребителями, партнерскими организациями, местным сооб
ществом идругими заинтересованными сторонами, включая СМИ;
- приема, документирования и реагирования на сообщения заинтересованных сторон;
- использования национальной и региональной систем предупреждения об угрозах (или аналогич
ных систем), при необходимости;
- обеспечения доступности средств обмена информацией в условиях разрушительного инцидента;
- связи с властями и обеспечения функциональной совместимости с другими организациями, уча
ствующими в ответных мерах на инцидент и их персоналом, при необходимости;
- тестирования и обеспечения работы резервных средств связи в случае отказа основных средств
связи.
При планировании процесса обмена информацией в СМНБ организации следует использовать ре
зультаты анализа заинтересованных сторон, проводимого при установлении условий организации.
6.5 Документированная информация
Доказательство эффективности СМНБ является одной из ключевых проблем, стоящих перед лю
бой организацией. Следует сохранять документы, связанные с менеджментом СМНБ. учебными про
граммами. инцидентами, анализом ситуаций после завершения инцидента, полученным опытом и
пред принятыми действиями. Для проведения сертификации на соответствие требованиям ГОСТ Р
ИСО 22301 необходимо установить документированную систему менеджмента. Эта документация
должна обеспечивать объективные свидетельства при проведении сертификационного аудита.
Доказательства, содержащиеся в документах, могут быть использованы для демонстрации выпол
нения политики и достижения целей. Результаты и опыт учений и инцидентов могут оправдать инвести
ции. сделанные в МНБ.
Внешним заинтересованным сторонам также интересны эти документы. В случав запроса или юри
дического требования к организации, которая не смогла поддержать поставку критических продукции
и/или услуг в период разрушительного инцидента, требуются доказательства того, как работает в орга
низации СМНБ и как выполнялось управление в условиях инцидента. Если организация не может предо
ставитьдокументированныедоказательства. это может нанести ей серьезный вред.
Основным элементом любой системы менеджмента является управление документацией. В рам
ках СМНБ очень важно, чтобы во время нарушения или разрушения деятельности соответствующие
лица, причастные к СМНБ. имели установленный и санкционированный доступ к информации об
инци денте. планам обеспечения непрерывности бизнеса и сопроводительной документации. Большая
часть информации, содержащейся в документации СМНБ. имеет конфиденциальный характер (и
поэтому должна быть защищена) исоответствующую маркировку.
6.6 Создание и обновление документации
В ГОСТ Р ИСО 22301 установлено, что при создании и обновлении документации организация
должна обеспечить:
1)идентификацию и описание документов (например, наименование, дата, разработчик, иденти
фикационный номер);
16