Офіційне представництво концерну TÜV Austria на території України.

icon
04053, Київ,
посп. Берестейський 62-Б
Дивитись на карті
icon
Тел.: +380 50 41 96 912 Факс: 380 44 344 9526

ISO 22301:2019 – Безпека та стійкість: повний посібник, який ви повинні прочитати

Цей стандарт, ISO 22301:2019, під назвою «Безпека та стійкість – вимоги до систем управління безперервністю бізнесу» є міжнародним керівництвом, створеним Міжнародною організацією зі стандартизації (ISO). Він описує ефективні методи нагляду за безперервністю бізнесу в організації. Розроблений видатними експертами в галузі безперервності бізнесу, цей стандарт пропонує надійну основу для управління безперервністю в організації.

Що відрізняє цей стандарт від інших інструкцій із безперервності бізнесу, так це його процес сертифікації. Організація може пройти сертифікацію через акредитований орган сертифікації, надаючи клієнтам, партнерам, власникам та іншим зацікавленим сторонам реальні докази дотримання цього стандарту.

Зв’язок з ISO 22301:2012:

Що стосується його зв’язку з ISO 22301:2012, остання версія ISO 22301 була випущена в жовтні 2019 року. ISO 22301:2019 замінив ISO 22301:2012, який спочатку черпав натхнення з британського стандарту BS 25999-2. Незважаючи на те, що це оновлення 2019 року не вносить значних змін, воно, безсумнівно, покращує адаптивність і зменшує жорсткість, забезпечуючи таким чином більше переваг для організацій та їхніх клієнтів.

Переваги стандарту безперервності бізнесу ISO 22301

1. Забезпечення відповідності законодавству: ISO 22301 допомагає компаніям виконувати вимоги законодавства щодо безперервності бізнесу. Оскільки все більше країн приймають закони та нормативні акти, які зобов’язують дотримуватись вимог безперервності бізнесу, цей стандарт забезпечує структуровану структуру та методологію для полегшення дотримання. Завдяки цьому він мінімізує адміністративні зусилля та операційну складність, зменшуючи ризик штрафів за недотримання.

2. Здобудьте конкурентну перевагу: отримання сертифікату ISO 22301 може дати вашій компанії явну перевагу перед конкурентами, які не мають такої сертифікації. Зокрема, це звертається до клієнтів, які віддають перевагу безперебійному потоку своїх операцій і послуг. Крім того, сертифікація покращує вашу репутацію, полегшуючи демонстрацію вашого лідерства в галузі, що зрештою призводить до збільшення частки ринку та збільшення прибутків.

3. Зменште залежність від окремих осіб: багато критично важливих функцій у компанії значною мірою залежать від кількох осіб, що робить їх незамінними. ISO 22301 дозволяє керівникам усунути цю вразливість шляхом впровадження заходів забезпечення безперервності бізнесу. Ці заходи можуть включати задокументовані процеси або замінні рішення, що зменшує залежність від конкретних осіб. Ця підготовка може допомогти запобігти значним збоям, коли ключовий персонал залишає організацію.

4. Захист від великомасштабної шкоди. У сучасному світі послуг і транзакцій у реальному часі простої спричиняють значні фінансові втрати. Навіть для підприємств із меншою чутливістю до коротких періодів недоступності, руйнівні інциденти можуть мати дорогі наслідки. ISO 22301 слугує страховим полісом, або запобігаючи цим інцидентам, або забезпечуючи швидке відновлення. Впровадження сумісних практик забезпечення безперервності бізнесу призводить до значної економії коштів, причому початкові інвестиції в ISO 22301 виявилися незначною частиною цієї потенційної економії.

Впровадження та застосування ISO 22301

Будь-яка організація, незалежно від її розміру, характеру (комерційна чи некомерційна), форми власності (приватна чи державна), може ефективно впровадити ISO 22301. Цей стандарт розроблено таким чином, щоб бути універсальним і гнучким, щоб відповідати різноманітним потребам різних організацій. .

ISO 22301 має особливу актуальність для організацій, які працюють у секторах, де планування на випадок надзвичайних ситуацій передбачено законом. Це включає такі галузі, як енергетика, транспорт, охорона здоров’я та основні державні послуги. Для цих секторів впровадження та сертифікація ISO 22301 вважаються ключовими для забезпечення стійкості бізнесу.

Як працює ISO 22301?

ISO 22301 в першу чергу зосереджується на забезпеченні безперервності бізнес-операцій, уможливлюючи безперервне постачання продуктів і послуг навіть в умовах руйнівних подій, таких як стихійні лиха або техногенні кризи. Основні кроки впровадження ISO 22301 такі:

  • Визначте пріоритети: проведіть аналіз впливу на бізнес, щоб визначити важливі дії та пріоритети.
  • Оцініть ризики: виконайте оцінку ризиків, щоб визначити потенційні руйнівні події, які можуть вплинути на бізнес-операції.
  • Профілактичні заходи: визначте та реалізуйте стратегії для запобігання або пом’якшення цих руйнівних подій.
  • Планування відновлення: розробіть плани та виділіть необхідні ресурси для забезпечення швидкого відновлення мінімальних і нормальних операцій у разі збою.
  • Управління ризиками: постійно керуйте ризиками та відстежуйте вплив, забезпечуючи проактивний підхід до безперервності бізнесу.

Для впровадження ISO 22301 організації зазвичай встановлюють політику, процедури та технічну або фізичну інфраструктуру, яка може включати приміщення, програмне забезпечення та обладнання. Важливо зазначити, що багато організацій можуть не мати всіх необхідних ресурсів на початковому місці. Таким чином, впровадження ISO 22301 передбачає не лише створення організаційних інструкцій, але й розробку комплексних планів і розподіл ресурсів для підтримки безперервності бізнесу та зусиль з відновлення.

Враховуючи багатогранний характер цієї реалізації, ISO 22301 містить вказівки щодо того, як інтегрувати ці елементи та керувати ними в системі управління безперервністю бізнесу (BCMS). Цей системний підхід забезпечує ефективну координацію політики, процедур, персоналу, активів та інших ресурсів для підтримки безперервності та стійкості бізнесу.

Безперервність бізнесу є невід’ємною складовою загального управління ризиками в компанії, яка перетинається з управлінням інформаційною безпекою та управлінням ІТ. Щоб зрозуміти його роль, давайте заглибимося в деякі основні терміни, які використовуються в стандарті:

Система управління безперервністю бізнесу (BCMS): Це життєво важливий елемент комплексної системи управління організацією. BCMS відповідає за планування, впровадження, підтримку та постійне вдосконалення заходів забезпечення безперервності бізнесу. Це гарантує, що організація готова ефективно керувати руйнівними подіями.

Максимально допустиме відключення (MAO): MAO означає максимальну тривалість, на яку діяльність може бути перервана без заподіяння неприйнятної шкоди чи наслідків. Ця концепція також називається максимально допустимим періодом збою (MTPD). Це допомагає організаціям визначити свою терпимість до простоїв або збоїв.

Цільовий час відновлення (RTO): RTO – це заздалегідь визначений часовий проміжок, протягом якого певний продукт, послуга чи діяльність мають бути відновлені, або необхідні ресурси мають бути відновлені після збою. Він встановлює чітку ціль щодо того, як швидко має бути відновлено нормальну роботу.

Цільова точка відновлення (RPO): RPO представляє максимально допустиму втрату даних, яку може допустити діяльність. Він визначає мінімальний обсяг даних, який потрібно відновити, щоб відновити роботу після збою. RPO особливо важливий в операціях, орієнтованих на дані.

Мінімальна ціль безперервності бізнесу (MBCO): MBCO визначає мінімальний рівень послуг або продуктів, які організація повинна бути здатна виробляти для досягнення визначених цілей після відновлення бізнес-операцій. Він окреслює основні функції, необхідні для ефективного функціонування організації.

У контексті загального менеджменту ISO 22301:

Управління ризиками: Безперервність бізнесу – це підмножина управління ризиками, що зосереджується саме на ризиках, пов’язаних із безперервністю операцій. Він визначає потенційні загрози та вразливі місця, які можуть порушити бізнес-процеси, і описує стратегії пом’якшення цих ризиків.

Управління інформаційною безпекою: безперервність бізнесу часто перетинається з керуванням інформаційною безпекою, оскільки втрата даних або критичних систем може суттєво вплинути на здатність організації функціонувати. Забезпечення захисту даних і безпечного доступу до критично важливих систем є ключовими компонентами як безперервності бізнесу, так і інформаційної безпеки.

Управління ІТ: ІТ-системи та інфраструктура відіграють життєво важливу роль у безперервності бізнесу. Керівництво ІТ несе відповідальність за підтримку та забезпечення доступності ІТ-ресурсів, необхідних для ведення бізнесу. Узгодження ІТ-систем з цілями безперервності бізнесу є критично важливим.

Огляд змісту та вимог ISO 22301:

ISO 22301 складається з 11 розділів або пунктів. Перші три пункти є вступними та не є обов’язковими для впровадження, тоді як решта сім (пункти 4-10) є важливими та повинні бути імплементовані для відповідності.

1. Пункт 4 – Контекст:

  • Розуміння: організації повинні розуміти свою ідентичність, діяльність і процеси, які вони повинні підтримувати.
  • Зацікавлені сторони: визначте зацікавлених сторін, які зацікавлені в безперервності діяльності, та їхні очікування.
  • Законодавчі та нормативні вимоги: документуйте та розумійте відповідні правові та нормативні вимоги.
  • Визначення сфери застосування: встановіть та задокументуйте сферу застосування ISO 22301, враховуючи місцезнаходження, місії, цілі, продукти та послуги організації.

2. Пункт 5 – Керівництво:

  • Зобов’язання вищого керівництва: вище керівництво повинно демонструвати постійну підтримку та лідерство для впровадження ISO 22301.
  • Розробка політики: розробіть, задокументуйте та донесіть політику безперервності бізнесу всередині організації та зацікавленим сторонам.
  • Розподіл ресурсів: розподіліть ресурси, необхідні для ефективності ISO 22301.
  • Ролі та обов’язки: визначте ролі в організації, включаючи обов’язки, повноваження та компетенцію.

3. Пункт 6 – Планування:

  • Оцінка ризику: зрозумійте можливі збої та їхній вплив на бізнес.
  • Оцінка ризиків і можливостей: враховуйте наслідки ризиків, їхній вплив і потенційні можливості.
  • Цілі BCMS: Встановіть вимірювані цілі для забезпечення мінімальної життєздатності продуктів або послуг і дотримання правових і нормативних вимог.
  • Документація: задокументуйте та повідомте ці цілі, створіть плани дій, розподіліть обов’язки та визначте часові рамки.

4. Пункт 7 – Підтримка:

  • Забезпечення ресурсами: Визначте потреби в ресурсах і надайте необхідні ресурси для досягнення цілей BCMS. Ресурси охоплюють широкий спектр елементів, включаючи інфраструктуру, технології, системи зв’язку, компетентність, обізнаність і документовану інформацію.
  • Компетентність: Забезпечте документальне підтвердження компетентності для визначених ролей, включаючи записи про навчання, освіту та професійну освіту.

5. Пункт 8 – Операція:

  • Діяльність із забезпечення безперервності бізнесу: визначте та виконайте дії для досягнення цілей BCMS і повернення до нормального ведення бізнесу.

Ці положення закладають основу для впровадження ISO 22301, скеровуючи організації щодо розуміння їхнього контексту, демонстрації відданості керівництва, планування безперервності бізнесу, забезпечення ресурсної підтримки та проведення необхідних операцій для підтримки та відновлення бізнес-функцій. Стандарт наголошує на документації, комунікації та чітких ролях і обов’язках протягом усього процесу, щоб підвищити стійкість і безперервність бізнесу перед обличчям руйнівних подій.

Ключові дії щодо впровадження ISO 22301

Аналіз впливу на бізнес (BIA) та оцінка ризиків:

  • BIA : Проведіть і задокументуйте BIA, щоб визначити операційні, юридичні та фінансові наслідки збоїв. Тривалість збою є критичним фактором для оцінки впливу та часу відновлення.
  • Оцінка ризику: проаналізуйте ймовірність збоїв у діяльності та ресурсах.

Розробка стратегії безперервності бізнесу:

  • Використовуйте інформацію з оцінки ризику та BIA для розробки стратегії безперервності.
  • Розробіть варіанти та виберіть відповідні дії, включаючи пом’якшення, реагування та відновлення.

Створення та впровадження процедур безперервності бізнесу:

  • Документуйте плани та процедури безперервності бізнесу на основі стратегії.
  • Переконайтеся, що плани включають чіткі кроки для вирішення проблем, визначте ролі та потреби в ресурсах і налагодьте організоване спілкування.

Вправи та тестування:

  • Періодично тестуйте плани та процедури, щоб оцінити їх відповідність та ефективність.
  • Перегляньте результати тестування, повідомте про результати та надайте рекомендації щодо покращення.

Пункт 9 – Оцінка продуктивності:

Організації повинні зосередитись на оцінці ефективності, включаючи такі дії:

  • Показники ефективності та метрики: визначте та відстежуйте ключові показники та метрики ефективності.
  • Моніторинг і вимірювання: постійно відстежуйте, вимірювайте, аналізуйте та оцінюйте ефективність за цими показниками та показниками.
  • Документація: документуйте результати оцінки продуктивності.
  • Внутрішні аудити: Проведення запланованих внутрішніх аудитів для оцінки відповідності стандартам і організаційним вимогам. Документуйте програму та результати аудиту.
  • Аналіз керівництва: Вище керівництво має переглядати ефективність Системи управління безперервністю бізнесу (BCMS) через заплановані проміжки часу та документувати результати цих оглядів.

Пункт 10 – Покращення:

Організації повинні розробити методологію вдосконалення та усунути невідповідності за допомогою таких кроків:

  • Невідповідності: вирішуйте проблеми з невідповідностями, виявляйте основні причини та вживайте коригувальних заходів.
  • Постійне вдосконалення: розробляйте стратегії для постійного вдосконалення.
  • Задокументована інформація: зберігайте задокументовану інформацію для оцінки коригувальних дій.
  • Аналіз та оцінка: Розглянемо результати аналізу та оцінки, а також результати аналізів керівництва, щоб визначити потреби та можливості покращення.

Ці заходи формують структуровану основу для ефективного впровадження та підтримки ISO 22301 організаціями, забезпечуючи безперервність їхніх бізнес-операцій і підвищуючи стійкість перед обличчям збоїв.

Огляд процесу сертифікації ISO 22301

1. Добровільно, але регульовано:

  • Сертифікація ISO 22301 є добровільним процесом, обраним організаціями.
  • Деякі країни, особливо в окремих секторах, як-от енергетика, фінанси, громадський транспорт і логістика, можуть мати правила, що вимагають сертифікації ISO 22301.

2. Вибір органу сертифікації:

  • Організації повинні вибрати акредитований орган сертифікації, щоб забезпечити міжнародне визнання.
  • Органи з акредитації встановлюють правила для незалежних органів з сертифікації.

3. Заявка на сертифікацію:

  • Будь-яка організація, незалежно від розміру, яка впровадила ISO 22301, може подати заявку на сертифікацію.
  • Орган сертифікації запитує інформацію про організацію, включаючи кількість співробітників і основні процеси.

4. Програма аудиту:

  • Після прийняття пропозиції та підписання договору з органом сертифікації починається програма аудиту.
  • Тривалість програми аудиту базується на людино-днях і розраховується на основі розміру та складності організації.

5. Аналіз прогалин (необов’язково):

  • Аналіз прогалин, необов’язковий, але рекомендований, проводиться перед офіційною програмою аудиту.
  • Орган сертифікації оцінює існуючу систему управління безперервністю бізнесу відповідно до вимог ISO 22301, визначаючи області, які потребують вдосконалення.

6. Сертифікаційний аудит (два етапи):

Сертифікаційний аудит складається з двох етапів.

Етап 1: Аудитори перевіряють, чи відповідає організація вимогам ISO 22301, перевіряють наявність обов’язкових документів і записів, а також оцінюють загальне впровадження.

Етап 2: група аудиту переглядає управління безперервністю бізнесу організації за допомогою контрольного списку ISO 22301.

Якщо під час аудиту виявлені розбіжності, організації надається можливість їх усунути.

Якщо всі вимоги виконуються, аудитори приступають до офіційного аудиту готовності до сертифікації.

7. Сертифікат ISO 22301:

Після успішного проходження сертифікаційного аудиту організація отримує сертифікат ISO 22301, дійсний протягом трьох років.

8. Наглядові аудити:

Протягом наступних двох років організація проходить наглядові аудити, які є коротшими за тривалістю (зазвичай половина часу сертифікаційних аудитів).

9. Ресертифікаційний аудит:

Наприкінці третього року проводиться ресертифікаційний аудит до закінчення терміну дії сертифіката.

10. Планування аудиту та звітність:

  • Перед кожним аудитом (сертифікацією, наглядом або повторною сертифікацією) провідний аудитор надає план аудиту, в якому вказується, які елементи стандарту будуть перевірятися і коли.
  • Після кожного аудиту подається звіт про аудит, який містить заяву про відповідність для перевірених областей.
  • У разі виявлення будь-яких невідповідностей необхідно вжити коригувальні дії для підтримки сертифіката ISO 22301.

Загалом, сертифікація за стандартом ISO 22301 — це процес, який включає ретельні оцінки та аудити, щоб переконатися, що управління безперервністю бізнесу організації відповідає вимогам стандарту. Сертифікація надає реальні докази прихильності організації до безперервності та стійкості бізнесу.

Навчання співробітників організації ISO 22301

Навчання співробітників організацій сертифікації ISO 22301 є ключовим кроком до підвищення безперервності та стійкості бізнесу. Це навчання озброює персонал усіх рівнів знаннями та навичками, необхідними для ефективного розуміння, впровадження та підтримки стандарту ISO 22301. Розвиваючи культуру готовності та реагування, співробітники стають цінним активом у захисті операцій організації під час руйнівних подій.

Навчання ISO 22301 охоплює різні аспекти, включаючи оцінку ризиків, аналіз впливу на бізнес, планування безперервності та процедури реагування. Це дозволяє співробітникам виявляти потенційні загрози, оцінювати їхній вплив і вживати профілактичних заходів для зменшення ризиків. Крім того, це гарантує, що люди розуміють свої ролі та відповідальність у разі збою, сприяючи скоординованій реакції.

Крім того, навчання ISO 22301 сприяє дотриманню правових і нормативних вимог, що важливо для організацій, які працюють у регульованих галузях. Це також допомагає зменшити залежність від кількох ключових осіб, поширюючи важливі знання та навички серед працівників.