ДСТУ EN ISO 22301:2021 Безопасность и стабильность. Системы управления непрерывностью бизнеса. Требования (EN ISO 22301:2019, IDT; ISO 22301:2019, IDT)



НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Безпека та стабільність
СИСТЕМИ УПРАВЛІННЯ НЕПЕРЕРВНІСТЮ БІЗНЕСУ
Вимоги

ДСТУ EN ISO 22301:2021
(EN ISO 22301:2019, IDT; ISO 22301:2019, IDT)

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП "УкрНДНЦ" http://uas.org.ua)

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Технічний комітет стандартизації «Системи управління якістю» (ТК 189)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ» від 20 грудня 2021 р. № 519 з 2022–09–01

3 Національний стандарт відповідає EN ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements (ISO 22301:2019) (Безпека та стабільність. Системи управління неперервністю бізнесу. Вимоги) і внесений з дозволу CEN, Rue de la Science 23, B–1040 Brussels, Belgium. Усі права щодо використовування європейських стандартів у будь-якій формі і будь-яким способом залишаються за CEN

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (en)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ EN ISO 22301:2017 (EN ISO 22301:2014, IDT; ISO 22301:2012, IDT)

ЗМІСТ

Національний вступ

Вступ до ISO 22301:2019

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Середовище функціювання організації

4.1 Розуміння організації та середовища її функціювання

4.2 Розуміння потреб і очікувань заінтересованих сторін

4.3 Визначення сфери застосування системи управління неперервністю бізнесу

4.4 Система управління неперервністю бізнесу

5 Лідерство

5.1 Лідерство та зобов’язання

5.2 Політика

5.3 Функції, обов’язки та повноваження

6 Планування

6.1 Дії стосовно ризиків і можливостей

6.2 Цілі у сфері неперервності бізнесу та планування дій для їх досягнення

6.3 Планування змін до системи управління неперервністю бізнесу

7 Підтримування

7.1 Ресурси

7.2 Компетентність

7.3 Обізнаність

7.4 Обмінювання інформацією

7.5 Задокументована інформація

8 Поточна діяльність

8.1 Планування та контроль поточної діяльності

8.2 Аналізування впливу на бізнес і оцінювання ризиків

8.3 Стратегії та рішення у сфері неперервності бізнесу

8.4 Плани та методики неперервності бізнесу

8.5 Програма практичних навчань

8.6 Оцінювання документації та спроможностейу сфері неперервності бізнесу

9 Оцінювання дієвості

9.1 Моніторинг, вимірювання, аналізування та оцінювання

9.2 Внутрішній аудит

9.3 Аналізування системи управління

10 Поліпшування

Бібліографія

Додаток НА (довідковий) Перелік національних стандартів України, ідентичних міжнародним та європейським нормативним документам, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ EN ISO 22301:2021 (EN ISO 22301:2019, IDT; ISO 22301:2019, IDT) «Безпека та стабільність. Системи управління неперервністю бізнесу. Вимоги», прийнятий методом перекладу, — ідентичний щодо EN ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements» (ISO 22301:2019) (версія en).

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 189 «Системи управління якістю».

Цей стандарт прийнято на заміну ДСТУ EN ISO 22301:2017 (EN ISO 22301:2014, IDT; ISO 22301:2012, IDT) «Безпека суспільства. Система керування неперервністю діяльності. Вимоги»

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт», «цей документ» замінено на «цей стандарт»;

— структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять», «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділі 2 та в «Бібліографії» подано «Національне пояснення», виділене рамкою;

— вилучено «Передмову» до EN ISO 22301:2019 і «Передмову» до ISO 22301:2019 як такі, що безпосередньо не стосуються технічного змісту цього стандарту;

— долучено національний додаток НА (Перелік національних стандартів України, ідентичних міжнародним та європейським нормативним документам, посилання на які є в цьому стандарті);

— у «Вступі до ISO 22301:2019» виправлено друкарську помилку, а саме: номер пункту «05 Зміст цього стандарту» змінено на «04 Зміст цього стандарту».

У цьому стандарті використано такі познаки та скорочення:

СУНБ — система управління неперервністю бізнесу (business continuity management system (BCMS));

PDCA — «Планування — Виконання — Перевірення — Вжиття заходів» (Plan-Do-Check-Act (PDCA)).

ВСТУП до ISO 22301:2019

0.1 Загальні положення

Цей стандарт установлює структуру та вимоги для запроваджування та підтримування системи управління неперервністю бізнесу (далі — СУНБ), яка допомагає розвивати неперервність бізнесу відповідно до важливості та типу впливу, який організація може чи не може сприйняти після припинення впливу непередбачених змін.

Результати функціювання підтримуваної СУНБ залежать від правових, регуляторних, організаційних та галузевих вимог організації, продукції, яку організація постачає, та послуг, які вона надає, застосовуваних процесів, розміру та структури організації, а також вимог її заінтересованих сторін.

СУНБ підкреслює важливість:

— розуміння потреб організації та необхідності встановлення політик і цілей у сфері неперервності бізнесу;

— застосовування та підтримування процесів, можливостей і структур реагування, щоб забезпечувати впевненість у тому, що організація протистоятиме непередбаченим змінам;

— моніторингу та аналізування дієвості та результативності СУНБ;

— постійного поліпшування на основі якісних і кількісних вимірювань.

Складниками СУНБ, як і будь-якої іншої системи управління, є:

a) політика;

b) компетентний персонал із визначеними обов’язками;

c) процеси управління, стосовні:

    1) політики;

    2) планування;

    3) запроваджування та функціювання;

    4) оцінювання дієвості;

    5) аналізування системи управління;

    6) постійного поліпшування;

d) задокументована інформація, що підтримує контроль поточної діяльності і дає змогу оцінювати дієвість.

0.2 Вигоди від запровадження системи управління неперервністю бізнесу

Призначеністю СУНБ є навчання, надання та підтримування засобів контролю та можливостей для управління загальною здатністю організації продовжувати функціювати протягом впливу непередбачених змін. Досягаючи цього, організація

a) з погляду бізнесу:

    1) підтримує свої стратегічні цілі;

    2) здобуває конкурентну перевагу;

    3) захищає та зміцнює свою репутацію та довіру до себе;

    4) сприяє стабільності організації;

b) з фінансового погляду:

    1) зменшує юридичні та фінансові ризики;

    2) зменшує прямі та непрямі витрати, пов’язані з непередбаченими змінами;

c) з погляду заінтересованих сторін:

    1) захищає життя, майно та довкілля;

    2) бере до уваги очікування заінтересованих сторін;

    3) зміцнює впевненість у здатності організації досягати успіху;

d) з погляду внутрішніх процесів:

    1) поліпшує свою спроможність залишатися результативною уродовж впливу непередбачених змін;

    2) результативно та ефективно демонструє проактивний контроль ризиків;

    3) враховує проблемні чинники поточної діяльності.

0.3 Цикл «Планування — Виконання — Перевірення — Вжиття заходів» (цикл PDCA)

У цьому стандарті застосовано цикл «Планування — Виконання — Перевірення — Вжиття заходів» (далі — PDCA) (Планування (розроблення, установлення) — Виконання (запроваджування та застосування) — Перевірення (провадження моніторингу та аналізування) — Вжиття заходів (підтримування та поліпшування)), який сприятиме організації запроваджувати, підтримувати та постійно поліпшувати результативність своєї СУНБ.

Такий підхід забезпечує певний ступінь узгодженості з іншими стандартами на системи управління, такими як ISO 9001, ISO 14001, ISO/IEC 20000-1, ISO/IEC 27001 та ISO 28000, тим самим підтримуючи послідовну та інтегровану реалізацію та роботу із доречними системами управління.

Відповідно до циклу PDCA розділи 4 – 10 цього стандарту містять такі складники.

— У розділі 4 подано вимоги, необхідні для встановлення середовища функціювання СУНБ, притаманного організації, а також потреб, вимог і сфери застосування.

— У розділі 5 узагальнено вимоги, характерні для функції найвищого керівництва в СУНБ, і те, як керівництво підкреслює свої очікування від організації за допомогою формулювання заяви про політику.

— У розділі 6 описано вимоги щодо встановлення стратегічних цілей і провідних принципів для СУНБ у цілому.

— У розділі 7 встановлено вимоги щодо підтримування поточної діяльності СУНБ, пов’язаної з визначенням компетентності та обмінювання інформацією, на періодичній основі чи за потреби, із заінтересованими сторонами, з одночасним документуванням, контролюванням, підтримуванням і зберіганням задокументованої інформації.

— У розділі 8 визначено потреби щодо неперервності бізнесу, визначено те, як їх задовольнити, і сформульовано методики для керування організацією уродовж впливу непередбачених змін.

— У розділі 9 подано узагальнені вимоги, необхідні для вимірювання дієвості у сфері неперервності бізнесу, відповідності СУНБ цьому стандарту та для аналізування системи управління.

— У розділі 10 описано, як ідентифікувати невідповідність СУНБ та як реагувати на це, а також подано настанови щодо постійного поліпшування за допомогою коригувальних дій.

0.4 Зміст цього стандарту

Цей стандарт відповідає вимогам ISO щодо стандартів на системи управління. Ці вимоги охоплюють високорівневу структуру, ідентичний основний текст і загальноприйняті терміни з ключовими визна- ченнями понять, розроблені для допомоги користувачам, які запроваджують кілька стандартів ISO на системи управління.

Цей стандарт не охоплює вимоги, специфічні для інших систем управління, хоча його елементи може бути узгоджено та поєднано з вимогами інших систем управління.

Цей стандарт містить вимоги, які організація може використовувати для запроваджування СУНБ та оцінювання відповідності. Організація, яка бажає демонструвати відповідність цьому стандарту, може робити це за допомогою:

— самооцінювання та самодекларування; або

— пошуків підтвердження своєї відповідності з боку сторін, що мають інтерес до організації таких, як замовники; або

— пошуків підтвердження відповідності своїх декларацій третьою стороною, сторонньою щодо організації; або

— сертифікації/реєстрації своєї СУНБ сторонньою організацією.

У розділах 1 — 3 цього стандарту подано сферу застосування, нормативні посилання, терміни та визначення понять, стосовні використання цього стандарту. Розділи 4 – 10 містять вимоги, використовувані для оцінювання відповідності цьому стандарту.

У цьому стандарті вжито такі дієслівні форми:

a) «повинен», «має», («shall») означає вимогу;

b) «треба», «слід» («should») означає рекомендацію;

c) «може» («may») означає дозвіл;

d) «має змогу» («can») означає можливість або спроможність.

Інформацію, позначену як «Примітка», наведено для кращого розуміння та уточнення відповідної вимоги. У примітках в розділі 3 подано додаткову інформацію, яка доповнює термінологічні дані та може містити положення, стосовні використання терміна.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

БЕЗПЕКА ТА СТАБІЛЬНІСТЬ
СИСТЕМИ УПРАВЛІННЯ НЕПЕРЕРВНІСТЮ БІЗНЕСУ
Вимоги

SECURITY AND RESILIENCE
BUSINESS CONTINUITY MANAGEMENT SYSTEMS
Requirements

Чинний від 2022–09–01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт установлює вимоги для запроваджування, підтримування та поліпшування системи управління, призначеної для захисту від непередбачених змін, зниження ймовірності їх виникнення, вивчення їх стосовно впливу на неї, реагування на них і відновлювання стану СУНБ, коли вони відбуваються.

Установлені в цьому стандарті вимоги універсальні та застосовні до всіх організацій чи їхніх частин незалежно від типу, розміру та характеру діяльності організації. Ступінь застосування цих вимог залежить від виробничого середовища та складності організації.

Цей стандарт поширюється на організації всіх типів і розмірів, які:

a) запроваджують, підтримують і поліпшують СУНБ;

b) прагнуть забезпечувати відповідність установленій політиці у сфері неперервності бізнесу;

c) потребують мати можливість продовжувати постачати продукцію та надавати послуги з прийнятною, заздалегідь визначеною продуктивностю впродовж непередбачених змін;

d) прагнуть підвищувати свою стабільність результативним застосовуванням СУНБ.

Цей стандарт можна використовувати для оцінювання здатності організації задовольняти свої потреби та дотримувати своїх зобов’язань у сфері неперервності бізнесу.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведений нижче нормативний документ необхідний для застосування цього стандарту. У разі датованих посилань застосовують тільки наведене видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативного документа (разом зі змінами).

ISO 22300 Security and resilience — Vocabulary.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO 22300 Безпека та стабільність. Словник термінів.