ГОСТ Р 53647.3— 2015
7 Деятельность
В данном разделе рассмотрены элементы цикла PDCA. В разделе определены требования непре
рывности бизнеса, способы управления в условиях инцидента. В раздел включены следующие элемен ты
жизненного цикла МНБ (см. рисунок 3):
- анализ непрерывности бизнеса организации:
- определение стратегии МНБ;
- разработка и внедрение ответных мер МНБ;
- применение, поддержка и анализ МНБ.
Многие организации начинают разработку планов обеспечения непрерывности бизнеса с опасно
сти возникновения возможности потери информации, нарушения информационных технологий или раз
рушения здания. Это традиционный подход к восстановлению бизнеса в условиях инцидента, который
обеспечивает уверенность руководителей организации в адекватности предпринимаемых мер по защи
те бизнеса организации.
Однако при таком подходе существует вероятность того, чтобудут учтены не все критические виды
деятельности и потребности организации.
Руководство организации может принять решение о внедрении СМНБ. которое основано именно
на обеспечении непрерывности критических видов деятельности и процессов, которые производят или
обеспечивают поставку ключевых продукции/услуг потребителям. Менеджмент непрерывности бизнеса
хорошо согласуется с всеобщим менеджментом качества, который основан на взаимоотношениях с
по ставщиками и связанных с ними процессах.
Процесс деятельности каждой организация имеет свои входы и выходы независимо от размера,
сектора экономики и типа производства (например, торговое предпринимательство, государственный
орган, некоммерческая организация и т. д.). У всех организаций существуют потребители, которым они
поставляют продукцию или оказывают услуги. Мотивация к поставке организацией продукции и/или услуг
может быть различной (например, получение прибыли, социальное обеспечение, выполнение законо
дательных или обязательных требований) в зависимости от особенностей организации. Кроме того, су
ществуют многочисленные заинтересованные стороны, которые осуществляют контроль за поставками
организации, изготовлением продукции и оказанием услуг.
Требования к определению заинтересованных сторон, их потребностей и ожиданий представлены
в настоящем стандарте как часть элемента «планирование» цикла РОСА.
7.1 Планирование и контроль
В начале раздела 5 приведены требования по установлению действий с рисками и возможностями
СМНБ и (где это возможно) объединению и внедрению этих действий в процессы СМНБ. Поскольку органи
зация развивает процессы МНБ. которые защищают непрерывность производства ключевых видов продук
ции и услуг,она должна обеспечить и выполнение соответствующего контроля, независимо от того, выпол
няют эти продукцию/услуги сама организация или они производятся подоговору сторонней организацией.
7.2 Анализ воздействия на бизнес и оценка риска
Эти два действия имеют наибольшее значение и являются основой процедур непрерывности биз
неса. Организация должна выделить достаточное количество времени и ресурсов для решения этих
задач и обеспечить компетентность работающих надэтим сотрудников. Некоторые организации привле
кают к этой работе внешних консультантов, но они должны удостовериться, что консультанты понимают
процесс поставки ключевых видов продукции и услуг, работу процессов, особенности ресурсов и взаи
модействий. поддерживающих процессы.
В соответствии с ГОСТ Р ИСО 22301—2014. пункт 8.2.1. организация должна установить, внедрить
и поддерживать в рабочем состоянии документированный процесс анализа воздействия на бизнес и
оценки риска, в котором:
1) установлена область применения оценки риска, определены критерии и способы оценки воз
можных воздействий инцидента на бизнес;
2) учтены юридические идругие требования, которые должна соблюдать организация;
3) предусмотрен систематический анализ, установлены приоритетность обработки риска и необхо
димые для этого затраты;
4) определены выходные данные анализа воздействия на бизнес и оценки риска;
5) установлены требования к актуализации и конфиденциальности этой информации.
18