Согласно BCI Horizon Scan:
• главной причиной нарушения деятельности за последний год были инциденты, связанные со здоровьем сотрудников;
• кибератаки остаются негативным фактором, однако организации сводят их воздействие к минимуму (основными угрозами в предстоящем году по-прежнему считаются кибератаки, экстремальные погодные условия и перебои в работе IT-систем и телекоммуникаций);
• наибольшие средние издержки организаций связаны с нарушением деятельности вследствие изменений нормативно-правовой базы.
Обновление ISO 22301: основные изменения
Основные изменения в ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements связаны с изменением порядка требований в пункте 8, упрощением и унификацией терминологии, удалением ссылок на определение объемов риска, повышением внимания к планированию изменений в системе менеджмента непрерывности бизнеса, уменьшению количества предписывающих процедур и требований к документации, более четким формулированием стратегии непрерывности бизнеса («стратегия непрерывности бизнеса и решения»). Также важно обратить внимание на то, что вводное руководство перенесено в ISO 22313 – руководство по менеджменту непрерывности бизнеса, а планы обеспечения непрерывности бизнеса содержат четкое указание по содействию командам и людям, устраняющим нарушения.
Этот документ определяет требования для внедрения, поддержки и улучшения системы менеджмента для защиты от сбоев, снижения вероятности их возникновения, подготовки, реагирования и восстановления после сбоев, когда они возникают.
Требования ISO 22301 являются общими и предназначены для применения ко всем организациям или их частям, независимо от типа, размера и характера организации. Степень применения этих требований зависит от операционной среды и сложности организации. Этот документ применим ко всем типам и размерам организаций, которые внедряют, поддерживают и улучшают СМНБ, стремиться обеспечить соответствие заявленной политике непрерывности бизнеса, имеют необходимость иметь возможность продолжать предоставлять продукты и услуги с приемлемой заранее определенной мощностью во время сбоя, стремятся повысить свою устойчивость за счет эффективного применения СМНБ. ISO 22301 можно использовать для оценки способности организации выполнять свои собственные потребности и обязательства по обеспечению непрерывности бизнеса.
Для многих предприятий актуальной является задача внедрить систему управления непрерывностью бизнеса, чтобы соответствовать всем требованиям, или обновить систему для соответствия требованиям ISO 22301:2019. Напомним, что сертификация является добровольной.
Разработка и внедрение системы управления непрерывностью бизнеса
Системы менеджмента непрерывности бизнеса должна учитывать целый комплекс вопросов, включая последствия отзыва продукции, мотивации и благополучию сотрудников, фактор заболеваний, не связанных с работой, влияние организационной зрелости на подход и результаты анализа долгосрочных тенденций, готовность организации к непредвиденным событиям, например, к экстремальным погодным условиям и др.
Система управления непрерывностью бизнеса рассматривается как одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента. Важно корректно определить цели и задачи управления непрерывностью бизнеса, область применения (основная направленность связана с обеспечением непрерывности деловых операций на установленном приемлемом уровне).
В фокусе внимания:
Выделим ключевые моменты, которые будут способствовать повышению эффективности данной системы менеджмента:
• создание внутренней проектной команды (команда должна быть мотивированной и подготовленной), составление плана внедрения и отслеживание прогресса, адаптация документации, внесение необходимых изменений на основе обновленных требований ISO 22301;
• оценка пробелов (Gap assessment) для выявления сильных и слабых сторон системы управления непрерывностью бизнеса.
Не менее важно взглянуть по-новому на непрерывность своего бизнеса и систему управления непрерывностью бизнеса, так как в начале 2020 года проявились новые тренды, новые требования регулирующих органов, поставщиков, потребителей. Существенно изменились риски. Для многих предприятий актуальными стали риски информационной безопасности, риски комплаенс, риски прерывания цепочки поставок. Актуальные сведения о наиболее опасных угрозах для непрерывности бизнеса в отчете BCI Horizon Scan.
Наблюдается заметный рост числа организаций, которые внедрили системы управления непрерывностью бизнеса в соответствии с ISO 22301 в 2019 году. В этом году 71,0% организаций сообщают о сертификации по ISO 22301 или использовании стандарта в качестве основы: самый высокий показатель, зафиксированный в Horizon Scan Report с момента появления стандарта в 2012 году.
Согласно BCI Horizon Scan, результаты сравнительного анализа непрерывности бизнеса представлены следующим образом:
Например, в области телекоммуникации компания использует несколько стандартов ISO: ISO 38000 для управления, ISO 27031 для получения дополнительных сведений об аварийном восстановлении; ISO 31000 для управления рисками и ISO 20000 для ITIL; ISO 22301 и BCI GPG 2018 и др. Для промышленных предприятий актуальны международные стандарты ISO 9001, ISO 14001, ISO 45001, ISO/IEC 27001, ISO 22301 и др.
Разработка и внедрение системы управления непрерывностью бизнеса в соответствии с ISO 22301 позволяет повысить эффективность управления, избежать системных ошибок. Основа этого стандарта гармонизирована с ISO 9001 и ISO/IEC 27001, что особенно важно в условиях цифровизации. Внедрение системы менеджмента непрерывности бизнеса предполагает интеграцию с существующими на предприятии системами менеджмента ISO и соответствие международному уровню.
Последовательность действий
После приобретения международного стандарта, для разработки и внедрения системы управления непрерывностью бизнеса в соответствии с ISO 22301 необходимо предпринять определенные последовательные действия, желательно с привлечением опытных экспертов.
Защита предприятия от перебоев деятельности, снижения их вероятности и обеспечение условий для восстановления обеспечивается посредством:
Укрепляется доверие акционеров и деловых партнеров к инструментам, применяемым для выявления и устранения угроз, минимизации простоев во время инцидентов и сокращения длительности восстановительного периода.
Последовательность действий: диагностический аудит, подготовка рабочей группы и плана внедрения, тренинги, описание системных процедур и требований, описание базовых процедур и требований, корректировка процессов и процедур имеющихся систем менеджмента, методическая помощь по разработке/доработке документов, проведение аудитов, в том числе внутренних по итогам созданной системы менеджмента, проведение анализа созданной системы менеджмента. Сопровождение сертификационного аудита – в случае необходимости.
Решение по внедрению системы управления непрерывностью бизнеса в соответствии с ISO 22301 включает необходимую документацию, консалтинг, обучение, аудит, подготовку к сертификации. Решение применимо для отдельных предприятий, холдингов, групп компаний.
На основе ISO 22301 можно интегрировать все другие системы менеджмента, которые продиктованы внешним контекстом организации. Для разных отраслей контекст будет различаться и набор применимых международных стандартов также будет различаться.
Авторы статьи:
Д.И. Раевский, к.т.н., Генеральный директор
ООО «Профконсалт ИСМ», представитель SSA в странах таможенного союза,
К.Н.Темникова, к.э.н., доцент кафедры «Информационная безопасность» Московского Политехнического университета (МосПолитех)
