ДСТУ EN ISO 22313:2021 Безпека та стабільність. Системи управління неперервністю бізнесу. Настанови щодо застосування ISO 22301 (EN ISO 22313:2020, IDT; ISO 22313:2020, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Безпека та стабільність
СИСТЕМИ УПРАВЛІННЯ НЕПЕРЕРВНІСТЮ БІЗНЕСУ
Настанови щодо застосування ISO 22301
ДСТУ EN ISO 22313:2021
(EN ISO 22313:2020, IDT; ISO 22313:2020, IDT)
Не є офіційним виданням.
Офіційне видання розповсюджує національний орган стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)
ПЕРЕДМОВА
1 РОЗРОБЛЕНО: Технічний комітет стандартизації «Системи управління якістю» (ТК 189)
2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ») від 20 грудня 2021 р. № 519 з 2022–09–01
3 Національний стандарт відповідає EN ISO 22313:2020 Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301 (ISO 22313:2020) (Безпека та стабільність. Системи управління неперервністю бізнесу. Настанови щодо застосування ISO 22301) і внесений з дозволу CEN, Rue de la Science 23, B–1040 Brussels, Belgium. Усі права щодо використовування європейських стандартів у будь-якій формі і будь-яким способом залишаються за CEN
Ступінь відповідності — ідентичний (IDT)
Переклад з англійської (en)
4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України
5 НА ЗАМІНУ ДСТУ EN ISO 22313:2014
ЗМІСТ
Національний вступ
Вступ до ISO 22313:2020
1 Сфера застосування
2 Нормативні посилання
3 Терміни та визначення понять
4 Середовище функціювання організації
4.1 Розуміння організації та середовища її функціювання
4.2 Розуміння потреб і очікувань заінтересованих сторін
4.3 Визначення сфери застосування системи управління неперервністю бізнесу
4.4 Система управління неперервністю бізнесу
5 Лідерство
5.1 Лідерство та зобов’язання
5.2 Політика
5.3 Функції, обов’язки та повноваження
6 Планування
6.1 Дії стосовно ризиків і можливостей
6.2 Цілі у сфері неперервності бізнесу та планування дій для їх досягнення
6.3 Планування змін до системи управління неперервністю бізнесу
7 Підтримування
7.1 Ресурси
7.2 Компетентність
7.3 Обізнаність
7.4 Обмінювання інформацією
7.5 Задокументована інформація
8 Поточна діяльність
8.1 Планування та контроль поточної діяльності
8.2 Аналізування впливу на бізнес і оцінювання ризиків
8.3 Стратегії та рішення у сфері неперервності бізнесу
8.4 Плани та методики неперервності бізнесу
8.5 Програма практичних навчань
8.6 Оцінювання документації та можливостей у сфері неперервності бізнесу
9 Оцінювання дієвості
9.1 Моніторинг, вимірювання, аналізування та оцінювання
9.2 Внутрішній аудит
9.3 Аналізування системи управління
10 Поліпшування
10.1 Невідповідність і коригувальна дія
10.2 Постійне поліпшування
Бібліографія
Додаток НА (довідковий) Перелік національних стандартів України, ідентичних міжнародним нормативним документам, посилання на які є в цьому стандарті
НАЦІОНАЛЬНИЙ ВСТУП
Цей національний стандарт ДСТУ EN ISO 22313:2021 (EN ISO 22313:2020, IDT; ISO 22313:2020, IDT) «Безпека та стабільність. Системи управління неперервністю бізнесу. Настанови щодо застосування ISO 22301», прийнятий методом перекладу, — ідентичний щодо EN ISO 22313:2020 «Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301» (ISO 22313:2020) (версія en).
Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 189 «Системи управління якістю».
Цей стандарт розроблено на заміну ДСТУ EN ISO 22313:2014 «Соціальна безпека. Настанова щодо застосування систем управління безперервністю бізнесу» (EN ISO 22313:2014, IDT).
У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.
До стандарту внесено такі редакційні зміни:
— слова «цей міжнародний стандарт», «цей документ» замінено на «цей стандарт»;
— структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять», «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;
— у розділі 2 та в «Бібліографії» подано «Національне пояснення», виділене рамкою;
— вилучено «Передмову» до EN ISO 22313:2020 і «Передмову» до ISO 22313:2020 як такі, що безпосередньо не стосуються технічного змісту цього стандарту.
— долучено національний додаток НА (Перелік національних стандартів України, ідентичних міжнародним нормативним документам, посилання на які є в цьому стандарті).
У цьому стандарті використано такі познаки та скорочення:
СУНБ — система управління неперервністю бізнесу (business continuity management system (BCMS));
PDCA — «Планування—Виконання—Перевірення—Вжиття заходів» (Plan-Do-Check-Act (PDCA));
ІКТ — інформаційно-комунікаційні технології (information and communications technology (ICT));
ЦСВ — цільовий строк відновлювання (recovery time objective (RTO));
ЦТВ — цільова точка відновлювання (recovery point objective (RPO));
ЗМІ — засоби масової інформації.
ВСТУП до ISO 22313:2020
0.1 Загальні положення
У цьому стандарті подано настанови, де це доречно, щодо вимог, установлених в ISO 22301. Цей стандарт не є загальною настановою щодо всіх аспектів неперервності бізнесу.
Назви розділів у цьому стандарті такі самі, що й ISO 22301, без переформулювання вимог і відповідних термінів та визначень понять.
Ці настанови призначено пояснити та уточнити значення та призначеність вимог ISO 22301 і допомогти у розв’язанні будь-яких питань щодо тлумачення. Іншими нормативними документами, у яких подано додаткові настанови і на які зроблено посилання в цьому стандарті, є ISO/TS 22317, ISO/TS 22318, ISO 22322, ISO/TS 22330, ISO/TS 22331 та ISO 22398. Сфера застосування цих нормативних документів може охоплювати не лише вимоги ISO 22301. Тому організації мають завжди звертатися до ISO 22301, щоб перевірити, які вимоги належить задовольняти.
З ціллю додаткового уточнення та пояснення ключових моментів у цьому стандарті подано кілька рисунків. Рисунки мають лише ілюстративний характер, а перевагу має відповідний текст основної частини цього стандарту.
Система управління неперервністю бізнесу (далі – СУНБ) підкреслює важливість:
— установлення політики та цілей у сфері неперервності бізнесу, узгоджених з цілям організації;
— застосовування та підтримування процесів, можливостей і структур реагування, щоб забезпечувати впевненість у тому, що організація протистоятиме непередбаченим змінам;
— моніторингу та аналізування дієвості та результативності СУНБ;
— постійного поліпшування на основі якісних і кількісних вимірювань.
Складниками СУНБ, як і будь-якої іншої системи управління, є:
a) політика;
b) компетентний персонал з визначеними обов’язками;
c) процеси управління, стосовні:
1) політики;
2) планування;
3) запроваджування та функціювання;
4) оцінювання дієвості;
5) аналізування системи управління;
6) постійного поліпшування;
d) задокументована інформація, що підтримує контроль поточної діяльності і дає змогу оцінювати дієвість.
Неперервність бізнесу, загалом, характерна для організації. Однак її запровадження може мати далекосяжні наслідки для більш широкої спільноти та інших третіх сторін. Цілком імовірною є наявність зовнішніх організацій, від яких організація залежить, а також організацій, які залежать від неї. Тому результативне забезпечення неперервності бізнесу сприяє більшій стабільності суспільства.
0.2 Вигоди від запровадження системи управління неперервністю бізнесу
СУНБ підвищує рівень готовності організації продовжувати функціювати упродовж впливу непередбачених змін. Це призводить також до поліпшування розуміння внутрішніх та зовнішніх зв’язків організації, кращого обмінювання інформацією з заінтересованими сторонами та створення середовища для постійного поліпшування. Запровадження СУНБ згідно з рекомендаціями цього стандарту та відповідно до вимог ISO 22301 потенційно має багато додаткових переваг.
— Дотримання рекомендацій розділу 4 («Середовище функціювання організації») передбачає, що організація:
— аналізуватиме свої стратегічні цілі, щоб забезпечувати впевненість у тому, що СУНБ підтримує їх;
— переглядатиме потреби, очікування та вимоги заінтересованих сторін;
— ставатиме обізнаною щодо застосовних правових, регуляторних та інших обов’язкових для дотримання відповідності вимог.
— Розділ 5 («Лідерство») передбачає, що організація:
— переглядатиме функції та обов’язки керівництва;
— сприятиме культурі постійного поліпшування;
— розподілятиме відповідальність за моніторинг дієвості та звітування.
Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».