В чем ценность стандарта ISO 22301 социальная безопасность, системы управления непрерывностью бизнеса?

Как составить план управления непрерывностью бизнеса с учетом последовательности действий, объемом ресурсов и процедур для профилактики кризисных ситуаций, принятия мер и устранения последствий в случае их наступления. Об этом и не только, читайте!

Часто повторяющиеся  стихийные бедствия, экологические катастрофы, технологические казусы и техногенные кризисы подтверждают  серьезность происходящей ситуации, как на государственном так  и на частном уровнях, которая еще  будет происходить. Проблема выходит за рамки ранее разработанного плана реагирования на чрезвычайные ситуации с использованием стратегии борьбы со стихийными бедствиями.

Организации всех размеров и типов  должны запустить  всесторонний и постоянный процесс профилактики, защиты, обеспечения готовности управления  непрерывным бизнесом. Уже не достаточно разработать план ответа, который предвосхищает и сводит к минимуму последствия, естественно, случайно или преднамеренно вызванных перебоями, а скорее организации должны  принимать адаптивные и активные меры по снижению вероятности срыва. Сегодняшние угрозы требуют создание управляемого процесса на постоянной основе, что обеспечивает выживание и устойчивость основных видов деятельности организации  до, во время и после разрушительного события.

Способность организации быстро восстановиться после катастрофы напрямую связана со степенью планирования непрерывности бизнеса, которое имело место до катастрофы. Исследования показывают, что два из пяти предприятий, которые  не проводят мероприятия против  бедствий выйдут из бизнеса в течение пяти лет.

Процесс обеспечения непрерывности бизнеса имеют решающее значение для непрерывной работы всех видов бизнеса. Что еще более важно, эти процессы приобретают все большее значение, поскольку компании становятся все более зависимыми от технологии  ведения бизнеса.

Несмотря на четкий сигнал, что время простоя является катастрофическим, исследования Gartner показывают, что менее 30 %  компаний, входящих в рейтинг Fortune 2000, инвестировали в полном  объеме план обеспечения непрерывности бизнеса. Причинами низкой заинтересованности  может быть то, что технические проблемы кажутся слишком сложными или стоимость реализации  воспринимается слишком большой. 

ISO 22301 первый международный стандарт в мире разработанный  для управления непрерывностью бизнеса, чтобы помочь организациям минимизировать риск сбоев. Главной выгодой от применения стандарта ISO 22301 является формирование у общественности уверенности в бесперебойности работы, совершенстве системы управления, наличии современных научных технологий и т.п., что работает на имидж компании и позволят выйти на совершенно новый уровень.

Согласно исследованиям в META Group, потенциальные финансовые потери из-за простоев ошеломляет. Для интернет-магазина, часовая потеря в среднем составляет  более одного миллиона долларов. Для финансового учреждения, средняя часовая потеря составляет около  $ 1,5 млн. А для коммунальных предприятий, таких как телекоммуникации и энергетика, потенциальные потери могут достигать $ 2,8 млн в час. Это более $ 67 млн в день или  $ 24,5 млрд в год.

Краткий обзор стандарта ISO 22301:2012

 В стандарте ISO 22301 устанавливаются требования к внедрению, функционированию и улучшению системы непрерывности бизнеса. Кроме того, в нем требуется идентифицировать критические факторы риска, воздействующие на организацию, понимать потребности и обязательства организации, измерять способность организации справляться с разрушающими инцидентами, гарантировать соответствие заявленной политике в области непрерывности бизнеса и др. Стандарт предназначен для сертификации, что позволяет продемонстрировать потребителям и партнерам надежность организации. Требования стандарта носят универсальный характер и могут быть применены любой организацией, вне зависимости от типа, размера или вида деятельности.

В развитии стандартизации по ISO 22301 управления непрерывности бизнеса добавлено:

• Больший  акцент на определении целей, мониторинга эффективности и показателей;
• Более четкие ожидания по управлению;
• Более тщательное планирование для подготовки и ресурсов, необходимых для обеспечения непрерывности бизнеса.

ISO 22301 подходит  всем типам и масштабам организаций, которые хотят:

1. Разработать, внедрить, поддерживать и улучшать BCMS;
2. Обеспечения соответствия с заявленной политикой обеспечения непрерывности бизнеса организации;
3. Продемонстрировать соответствие другим;
4. Пройти сертификацию/ регистрации  BCMS аккредитованным органом;
5. Сделать самоопределения и само-декларацию соответствия настоящему стандарту.

В ISO 22301 используется новый формат, который  был принят Международной организацией по стандартизации для всех нормативных документов, описывающих требования к различным системам управления. Такой подход обеспечивает согласованность ISO 22301 с другими стандартами и делает возможным его интеграцию и/или комплексное использование.

 Что такое Управление непрерывностью бизнеса?(ВСМ)

 ВСМ представляет собой целостный процесс управления, который идентифицирует потенциальные угрозы для организации и их  воздействия на бизнес, при внедрении которого обеспечивает основу для построения организационной устойчивости с возможностью для эффективного реагирования и  защиты  интересов  своих ключевые сторон: репутации, бренда и ценности.

Ключевыми  элементами ISO 22301:2012 Системы управления непрерывности бизнеса, являются:

Пункт 4: Политика организации

Пункт 5: Управление

Пункт 6: Планирование

Пункт 7: Поддержка

Пункт 8: Выполнение

Пункт 9: Оценка эффективности

Пункт 10: Совершенствование

Каждый из этих ключевых направлений деятельности приведена ниже.

Пункт 4: Политика  организации

Поднимает на рассмотрение внешние и внутренние вопросы, которые помогают достичь ожидаемых результатов  от поставленных целей BCMS, такие как:

• деятельность организации, функции, услуги, продукты, партнерские связи, цепочки поставок, взаимоотношения с заинтересованными сторонами, а также потенциального воздействия от инцидента;
• связи между политикой обеспечения непрерывности бизнеса и целей организации и другие политики, в том числе ее общей стратегии управления рисками;
• склонность инвесторов к риску организации;
• потребности и ожидания соответствующих заинтересованных сторон;
• применимые правовые, нормативные и другие требования к которым организация присоединилась.

Определение сферы охвата BCMS с учетом стратегических целей организации, основные продукты и услуги, толерантность к риску, а также любые нормативные, договорные или заинтересованных сторон обязательств также является частью этой статьи.

Пункт 5: Управление

Высшее руководство должно продемонстрировать постоянную приверженность BCMS. Через руководство и их действия  в управлении  могут  создать среду, в которой различные действующие лица в полной мере участвуют и система управления  эффективно работает  в синергии с целями организации.

Они несут ответственность за:

• обеспечение BCMS совместим со стратегическим направлением организации;
• интеграции требований BCMS в бизнес-процессы организации;
• предоставления необходимых ресурсов для BCMS;
• связи важности эффективного управления непрерывностью бизнеса;
• гарантию, что BCMS достигает ожидаемых результатов, направляя и поддерживая на постоянное улучшение;
• установить политику обеспечения непрерывности бизнеса;
• обеспечение того, чтобы цели и планы BCMS были  установлены;
• обеспечение того, чтобы ответственность и полномочия для соответствующих ролей были назначены.

Пункт 6: Планирование

 Это очень важный этап, так как он относится к установлению стратегических целей и руководящих принципов для BCMS в целом. Цели в BCMS являются выражением намерения организации для устранения  выявленных рисков и / или в соответствии с требованиями организационных потребностей.

Цели обеспечения непрерывности бизнеса должны:

• быть в соответствии с политикой обеспечения непрерывности бизнеса;
• учитывать минимальный уровень продукции и услуг, что является приемлемым для организации для достижения своих целей;
• быть измеримыми;
• учитывать применимые требования;
• контролироваться и обновляться по мере необходимости.

Пункт 7: Поддержка

Управление изо дня в день эффективностью системы управления непрерывностью бизнеса опирается на использование соответствующих ресурсов для каждой задачи. К ним относятся компетентный персонал с соответствующей  подготовкой;  вспомогательные услуги, информирование и коммуникации. Это должно быть поддержано должным образом управляемой документально подтвержденной информацией.

 Обе, внутренние и внешние связи организации должны быть рассмотрены в этой области, включая формат, содержание и своевременность таких сообщений.

Требования, предъявляемые к созданию, обновлению и управления документированной информации также указаны в настоящем пункте.

Пункт 8: Выполнение

После планирования BCMS, организация должна поставить ее в эксплуатацию. Этот раздел включает в себя:

Анализ влияния на бизнес (BIA):  это позволяет организации определить минимальные процессы для  поддерживания своих ключевых продуктов  и услуг, определить взаимозависимость  между процессами и ресурсами, необходимыми для управления процессами на минимально приемлемом уровне.

Оценка риска:ISO 22301 предлагает обратиться к стандарту ISO 31000 для реализации этого процесса. Цель этого требования заключается в том, чтобы установить, внедрить и поддерживать процесс  документированной оценки  риска, определять, анализировать  и оценивает его разрушительные инциденты в организации.

Стратегия непрерывности бизнеса: После того, как требования были установлены через BIA и проведены оценки  рисков, могут быть разработаны  мероприятия, которые позволят организации защитить  и восстановить  критически важные  направления деятельности на основе организационной толерантности к риску и в рамках определенных целей своевременности восстановления. Стратегия обеспечения непрерывности бизнеса должна стать неотъемлемой составной частью корпоративной стратегии учреждения.

 Процедуры обеспечения непрерывности бизнеса: Организация должна документировать процедуры (включая необходимые договоренности) для обеспечения непрерывности деятельности и управления подрывного инцидента.

Процедуры должны:

• создать соответствующий протокол внутренних и внешних коммуникаций;
• быть конкретными с точки зрения непосредственных шагов, которые должны быть применены  во время нарушения;
• быть гибкими, чтобы реагировать на непредвиденные угрозы и изменения внутренних и внешних условий;
• сосредоточить внимание на последствия событий, которые потенциально могут нарушить работу;
• разрабатываться на основе указанных допущений и анализа взаимозависимостей;
• быть эффективными  в минимизации последствий путем осуществления соответствующих стратегий по предотвращению изменения климата.

Испытания и тестирования: Для обеспечения того, чтобы процедуры управления непрерывностью бизнеса соответствовали ее целям, организация проводит  тестирование  их на постоянной основе. Испытания и тестирование являются процессами  проверки планов и процедур управления непрерывностью бизнеса для  обеспечения мероприятий, способов получения  результативности  реагирования и восстановления в сроки, согласованные руководством.

Пункт 9: Оценка эффективности

После того, как внедриться система управления непрерывностью бизнеса  на основе ISO 22301, необходимо проводить  постоянный мониторинг системы, а также периодические  пересматривать   по улучшению ее работы:

• мониторинг степени выполнения  политики, целей и задач обеспечения непрерывности бизнеса организации;
• оценка эффективности процессов, процедур и функций, которые защищают ее приоритетные виды деятельности;
• контроль за соблюдением этого стандарта и цели обеспечения непрерывности бизнеса;
• мониторинг  задокументированного  выполнения недостаточно проведених  внутренних аудитов в запланированные интервалы времени, проводить оценику  управления в запланированные периоды.

Пункт 10: Совершенствование

Постоянное улучшение можно определить как все действия, предпринятые в рамках всей организации для повышения эффективности (достижение цели) и эффективность (AN / оптимальное соотношение затрат и выгод) процессов обеспечения безопасности и управления, чтобы принести большие выгоды для организации и ее заинтересованных сторон. Организация может постоянно повышать эффективность своей системы управления за счет использования политики непрерывности бизнеса, целей, результатов аудита, анализа наблюдаемых событий, показателей, корректирующих и предупреждающих действий и анализа со стороны руководства. 

Связь между ISO 22301 и другими стандартами.

ISO 22301 может быть легко связан с другими стандартами обеспечения непрерывности бизнеса и информационной безопасности, как и недавние ISO / IEC 27031: 2011 (Информационные технологии. Методы обеспечения безопасности. Руководство по созданию готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса).

После того как Британский институт стандартов принял решение отменить BS 25999–2 и заменить его ISO 22301 все компании, которые уже внедрили BS 25999–2, должны были привести свои системы менеджмента непрерывности бизнеса в соответствие с требованиями стандарта ISO 22301 еще  к маю 2014 г.

Стандарты ISO 22301 и BS 25999–2 схожи во многих ключевых требованиях к непрерывности бизнеса. В стандарте ISO 22301 больший акцент сделан на определение целей в области непрерывности бизнеса, мониторинг и измерение деятельности. В него включены четкие требования к действиям высшего руководства, которые обобщены в отдельном разделе. В ISO 23301 устранен один из недостатков BS 25999–2: требования к планированию и подготовке ресурсов, необходимых для непрерывности бизнеса, теперь расширены и лучше структурированы.

 Аналогичным образом, BCMS также будет достигнута на практике благодаря ISO / IEC 24762: 2008 - Руководящие принципы для информационных и коммуникационных технологий услуг аварийного восстановления.

Для лучшего понимания текста ISO 22301 и более обширной детализации всех требований стандарта рабочей группой ТС/ISO 223 разработаны и опубликованы следующие вспомогательные стандарты:

• ISO 22300:2012 «Социальная безопасность. Терминология»;
• ISO 22313:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство по применению»;
• ISO 22311:2012 «Социальная безопасность. Видеонаблюдение. Совместимость выходных данных»;
• ISO/TR 22312:2011 «Социальная безопасность. Технологические возможности»;
• ISO 22320:2011 «Социальная безопасность. Менеджмент чрезвычайных ситуаций. Требования к реагированию на инциденты»;
• ISO 22398:2013 «Социальная безопасность. Руководство по подготовке».

• Кроме того, в процессе разработки находятся:

• ISO/DIS 22315 «Societal security — Mass evacuation — Guidelines for planning» («Социальная безопасность — Массовая эвакуация — Рекомендации для планирования»);
• ISO/NP 22316 «Societal security — Organizational resilience — Principles and guidelines» («Социальная безопасность — Организационная устойчивость — Принципы и руководящие указания»);
• ISO/DIS 22322 «Societal security — Emergency management — Public warning» («Социальная безопасность — Менеджмент чрезвычайных ситуаций — Общественное предупреждение»);
• ISO/DIS 22324 «Societal security — Emergency managament —Colour-coded alert» («Социальная безопасность — Менеджмент чрезвычайных ситуаций – Предупреждающая цветовая маркировка»);
• ISO/CD 22325 «Societal security — Emergency management — Guidelines for emergency management capability assessment» («Социальная безопасность — Менеджмент чрезвычайных ситуаций — Рекомендации для оценки способности управления в чрезвычайных ситуациях»);
• ISO/DTR 22351 «Societal security — Emergency management — Message structure for exchange of information» («Социальная безопасность — Менеджмент чрезвычайных ситуаций — Структура сообщения для обмена информацией»);
• ISO/DIS 22397 «Societal security — Guidelines for establishing partnering arrangements» («Социальная безопасность — Рекомендации для установления партнерских соглашений»). 

Связь с другими международными стандартами управления непрерывности бизнеса

В дополнение к ISO 22301, представлен ряд других известных стандартов:

• Британский институт стандартов: BS 25999, части 1 и 2
• Национальная ассоциация защиты от пожаров: NFPA 1600: 2010
• ASIS International: ASIS SPC.1-2009
• Австралия / Новая Зеландия Стандарт AS / NZS 5050
• Сингапурский  стандарт SS540
• Канадский стандарт: CSA Z1600
• Правительство Японии BCP- Руководства
• Японский Корпоративный кодекс - BCP
• Национальная ассоциация фондовых дилеров: NASD 3510/3520
• Национальный институт стандартов и технологий: NIST SP 800-34
• Нью-Йоркская  фондовая  биржа: NYSE Правило 446

 Все эти стандарты управления непрерывностью бизнеса соответствуют общему контуру. Начиная с ISO 22301 решают проблемы, касающиеся  каждого вида управления непрерывностью бизнеса. Именно поэтому  система управления быстро становиться предметом корпоративных предпочтений,  возможно, окончательный стандарт продиктованный  отраслевым нормам.

Связь с ISO 27001

ISO 22301, очевидно, полезно в рамках процесса сертификации по стандарту ISO / IEC 27001: 2005. ISO 22301 может быть использован  для цели пункта А.14 - Управление непрерывностью бизнеса. Кроме того, в отношении осуществления и выполнения оценки риска в контексте соблюдения ISMS, организация может всегда обращаться к ISO / IEC 27005: 2011 или, в более широком контексте, ISO 31000: 2009 - Управление рисками - Принципы и руководящие принципы или , чтобы выполнить саму оценку, ISO 31010: 2009 - управление рисками - методы оценки рисков.

Какие же преимущества получат организации от внедрения систем управления  непрерывности бизнеса на основе требований стандарта ISO 22301:2012?

Прежде всего, это:

• идентификация потенциальных угроз и своевременная защита своей деятельности, репутации и интересов потребителей и других заинтересованных сторон от возможных инцидентов и чрезвычайных ситуаций;
• способность адекватно реагировать, управлять ситуацией и быстро восстанавливать деятельность организации после произошедших инцидентов;
• повышение доверия у потребителей и, как следствие, рост конкурентоспособности организации, как предпочтительного поставщика, и расширение рынка сбыта продукции и услуг;
• формирование у всех, заинтересованных в деятельности организации, сторон уверенности в эффективном функционировании системы менеджмента и непрерывности ее бизнеса. 

Основные авторы: 

René St-GERMAIN, PECB (France),

Faton ALIU, PECB (Canada),

Eric LACHAPELLE , PECB (Canada),

Pierre DEWEZ, Devoteam (Belgium)

PECB Ukraine предлагаем Вам пройти пятидневный интенсивный курс, который позволит участникам получить опыт по организации и внедрению системы управления непрерывностью бизнеса (Business Continuity Management System — BCMS) на основе международного стандарта ISO 22301, который состоится 15-19 июля!

В стоимость курса входят практические занятия, материалы тренинга, экзамены (на русском языке) + международный сертификат + кофебрейки и обеды.

Обучение проводится нашими тренерами в обновленном классе  по адресу: г. Киев, ул. Оболонская набережная, 1, корп.3, к. 308.

Более детально ознакомиться с  информацией курса ISO 22301 Lead Implementer и зарегистрироваться на тренинг Вы сможете здесь

С радостью ждем Вас!