ДСТУ EN ISO 22301:2017 Безпека суспільства. Системи керування неперервністю діяльності. Вимоги (EN ISO 22301:2014, IDT; ISO 22301:2012, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ДСТУ EN ISO 22301:2017
(EN ISO 22301:2014, IDT; ISO 22301:2012, IDT)

Безпека суспільства

СИСТЕМИ КЕРУВАННЯ
НЕПЕРЕРВНІСТЮ ДІЯЛЬНОСТІ

Вимоги

Відповідає офіційному тексту

Київ
З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)
2019

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Міжнародний науково-навчальний центр інформаційних технологій і систем, Технічний комітет стандартизації «Інформаційні технології» (ТК 20)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)) від 17 жовтня 2017 р. № 321/1 з 2019–01–01

3 Національний стандарт відповідає EN ISO 22301:2014; ISO 22301:2012 Societal security — Business continuity management systems — Requirements (Безпека суспільства. Системи керування неперервністю діяльності. Вимоги)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (en)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ EN ISO 22301:2014

ЗМIСТ

Національний вступ

0 Вступ до ISO 22301:2012

0.1 Загальні положення

0.2 Модель «Плануй–Виконуй–Перевіряй–Дій» (РDСА)

0.3 Компоненти PDCA в цьому стандарті

1 Cфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Умови організації

4.1 Розуміння організації та її умов

4.2 Розуміння потреб і очікувань зацікавлених сторін

4.3 Визначення сфери застосування системи керування неперервністю діяльності

4.4 Система керування неперервністю діяльності

5 Керування персоналом

5.1 Керування персоналом та зацікавленість керівництва

5.2 Зацікавленість керівництва

5.3 Політика

5.4 Ролі, обов’язки та повноваження в організації

6 Планування

6.1 Заходи щодо сприятливих можливостей та усунення ризиків

6.2 Цілі щодо забезпечення неперервності діяльності та плани щодо їх досягнення

7 Підтримання

7.1 Ресурси

7.2 Компетентність

7.3 Поінформованість

7.4 Комунікації

7.5 Задокументована інформація

8 Діяльність

8.1 Виробниче планування та контролювання

8.2 Аналізування впливу діяльності та оцінювання ризиків

8.3 Стратегія забезпечення неперервності діяльності

8.4 Створення та впровадження процедур забезпечення неперервності діяльності

8.5 Випробування та тестування

9 Оцінювання показників діяльності

9.1 Моніторинг, вимірювання, аналізування та оцінювання

9.2 Внутрішній аудит

9.3 Аналіз з боку керівництва

10 Поліпшення

10.1 Невідповідності та коригувальні дії

10.2 Постійне поліпшення

Бібліографія

Додаток НА (довідковий) Перелік національних стандартів, ідентичних міжнародним стандартам, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ EN ISO 22301:2017 (EN ISO 22301:2014, IDT; ISO 22301:2012, IDT) «Безпека суспільства. Системи керування неперервністю діяльності. Вимоги», прийнятий методом перекладу, — ідентичний щодо ISO 22301:2012 (версія en) «Societal security — Business continuity management systems — Requirements».

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».

Цей стандарт прийнято на заміну ДСТУ EN ISO 22301:2014 Безпека суспільства. Системи управління безперервністю бізнесу (EN ІSO 22301:2014, ІDT), прийнятого методом підтвердження.

У цьому національному стандарті зазначено вимоги, які не суперечать чинному законодавству.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт» замінено на «цей стандарт»;

— cтруктурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографію» — оформлено згідно з вимогами національної стандартизації України;

— вилучено «Передмову» до ISO 22301:2012 як таку, що безпосередньо не стосується технічного змісту цього стандарту;

— до «0 Вступу до ISO 22301:2012» та до «Бібліографії» долучено «Національнe пояснення», виділенe рамкою;

— долучено довідковий додаток НА (Перелік національних стандартів, ідентичних міжнародним стандартам, посилання на які є в цьому стандарті).

Копії нормативних документів, посилання на які є в цьому стандарті, можна отримати в Національному фонді нормативних документів.

0 ВСТУП до ISO 22301:2012

0.1 Загальні положення

Цей стандарт установлює вимоги до створення та керування ефективною системою керування неперервністю діяльності (СКНД).

СКНД підкреслює важливість:

— розуміння потреб організації та необхідності встановлення політики й цілей у сфері неперервності діяльності;

— упровадження засобів і показників керування загальною спроможністю організації протистояти руйнівним інцидентам;

— моніторингу та аналізування показників діяльності та ефективності СКНД; — постійного поліпшення на основі об’єктивних вимірів.

СКНД, як і будь-яка інша система керування, має такі ключові компоненти: a) політика;

b) люди з визначеними обов’язками;

c) процеси керування, які стосуються:

1) політики;

2) планування;

3) впровадження та функціювання;

4) оцінювання показників діяльності;

5) аналізу з боку керівництва;

6) поліпшення;

d) документація, що забезпечує підтвердження відповідності;

e) усі процеси керування неперервністю діяльності в організації.

Забезпечення неперервності діяльності сприяє більшій стабільності суспільства. Широкий загал та вплив навколишнього середовища організації на організацію можливо потребуватиме залучення в процес відновлення інші організації.

0.2 Модель «Плануй–Виконуй–Перевіряй–Дій» (РDСА)

У цьому стандарті наведено модель PDCA («Plan–Do–Check–Act») для планування, встановлення, впровадження, функціювання, моніторингу, аналізування, підтримки та неперерв- ного поліпшення ефективності СКНД організації.

Цей стандарт забезпечує певний ступінь узгодженості з іншими стандартами у сфері систем керування, такими як ISO 9001 «Quality management systems», ISO 14001 «Environmental management systems», ISO/IEC 27001 «Information security management systems», ISO/IEC 20000-1 «Information technology — Service management» та ISO 28000 «Specification for security management systems for the supply chain», тим самим підтримуючи послідовну й комплексну реалізацію та роботу з пов’язаними системами керування.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO 9001 Система керування якістю

ISO 14001 Системи керування довкіллям

ISO/IEC 27001 Системи керування інформаційною безпекою

ISO/IEC 20000-1 Інформаційні технології. Керування послугами

ISO 28000 Системи керування безпеки ланцюга постачання.

На рисунку 1 показано, як СКНД, використовуючи як вхідні дані зацікавлені сторони, вимоги до керування неперервності, за допомогою необхідних дій і процесів отримує результати (тобто керовану неперервність діяльності), які відповідають цим вимогам.

0.3 Компоненти PDCA в цьому стандарті

У моделі PDCA, як показано в таблиці 1, розділи 4—10 цього стандарту охоплюють наведені нижче компоненти:

— у розділі 4 наведено компоненти планування. У ньому вміщено вимоги, необхідні для встановлення умов СКНД, що їх застосовують в організації, а також потреби, вимоги та сферу застосування;

— у розділі 5 наведено компоненти планування. У ньому надано опис конкретних вимог до ролі найвищого керівництва в СКНД, і як керівництво висловлює свої очікування щодо організації за допомогою заяв стосовно проваджуваної політики;

— у розділі 6 наведено компоненти планування. У ньому описано вимоги щодо встановлення стратегічних цілей та настановних принципів для СКНД загалом. Зміст розділу 6 відрізняється від створення можливостей оброблення ризиків, що випливають з оцінювання ризиків, так само як і цілей відновлення, отриманих під час аналізування впливу діяльності (АНД).

Примітка. Вимоги до процесу аналізування впливу діяльності та оцінювання ризику детально описано в розділі 8;

— у розділі 7 наведено компоненти планування. Він містить операції СКНД, оскільки вони стосуються встановлення компетенції та комунікації на постійній чи в міру необхідності основі із зацікавленими сторонами, а також документування, керування, підтримання та збереження необхідної документації;

— у розділі 8 наведено компоненти виконання. У ньому визначено вимоги щодо забезпечення неперервності діяльності, визначено способи їх вирішення та розроблення процедур керування за умов руйнівних інцидентів;

— у розділі 9 наведено компоненти перевірки. У ньому наведено вимоги, необхідні для оцінювання показників діяльності керування неперервністю діяльності, дотримання СКНД цього стандарту та очікувань керівництва, а також зворотного зв’язку з керівництвом щодо його очікувань;

— у розділі 10 наведено компоненти дії. Він визначає й діє на невідповідності СКНД за допомогою коригувальних дій.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

БЕЗПЕКА СУСПІЛЬСТВА
СИСТЕМИ КЕРУВАННЯ
НЕПЕРЕРВНІСТЮ ДІЯЛЬНОСТІ
Вимоги

SOCIETAL SECURITY
BUSINESS CONTINUITY
MANAGEMENT SYSTEMS
Requirements

Чинний від 2019–01–01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт стосовно керування неперервністю діяльності визначає вимоги до планування, встановлення, впровадження, експлуатування, моніторингу, аналізування, підтримування та постійного поліпшення задокументованої системи керування для захисту від інциндентів, зменшення ймовірності їх виникнення, підготовки, реагування та відновлення після руйнівних інциндентів, якщо вони виникають.

Вимоги, зазначені в цьому стандарті, є загальними; вони призначені для застосування всіма організаціями або їхніми частинами, незалежно від типу, розміру та характеру організації. Ступінь застосування цих вимог залежить від виробничих умов організації та її складності.

Мета цього стандарту — встановити однакову структуру системи керування неперервністю діяльності (СКНД), крім організацій, що розроблюють СКНД, яка відповідає їхнім потребам і вимогам їхніх зацікавлених сторін. Ці потреби формують залежно від правових, нормативних, організаційних і виробничих вимог, виробів та послуг, застосовних процесів, розміру та структури організації, а також вимог її зацікавлених сторін.

Цей стандарт застосовний до організацій усіх типів і розмірів, які бажають:

а) розробляти, впроваджувати, підтримувати та поліпшувати СКНД;

b) забезпечувати відповідність із заявленою політикою забезпечення неперервності діяльності;

c) продемонструвати відповідність іншим сторонам;

d) виконувати сертифікацію/реєстрацію своєї СКНД акредитованим органом із сертифікацією третьою стороною, або

е) самостійно визначати та декларувати відповідність цьому стандарту.

Цей стандарт може бути застосовано для оцінювання спроможності організації задовольняти свої власні потреби та зобов’язання щодо неперервності діяльності.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи потрібні для застосування цього стандарту. У разі датованих посилань застосовують лише зазначені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативного документа (разом зі змінами).

Нормативних посилань немає.