ГОСТ Р 53647.4-2011: Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности

Терминология ГОСТ Р 53647.4-2011: Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности оригинал документа:

3.6 авария²⁾ (emergency): Внезапное, экстренное, обычно неожиданное происшествие или событие, требующее принятия безотлагательных мер.

Примечание - Авария обычно является разрушающим событием или условием, которое можно предвидеть и к которому можно подготовиться, однако точно спрогнозировать момент его появления достаточно сложно.

²⁾ В соответствии с ГОСТ 22.0.05-97 «Безопасность в чрезвычайных ситуациях. Техногенные чрезвычайные ситуации. Термины и определения» опасное техногенное происшествие, создающее на объекте, определенной территории или акватории угрозу жизни и здоровью людей и приводящее к разрушению зданий, сооружений, оборудования и транспортных средств, нарушению производственного или транспортного процесса, а также к нанесению ущерба окружающей природной среде.

Примечание: Крупная авария, как правило, с человеческими жертвами, является катастрофой.

Определения термина из разных документов: авария²⁾

3.11 анализ воздействия (impact analysis): Процесс исследования функционирования системы и последствий воздействия на нее разрушающих факторов.

Определения термина из разных документов: анализ воздействия

3.4 бедствие (disaster): Событие, вызывающее большие повреждения или потери.

Определения термина из разных документов: бедствие

3.28 вероятность (probability): Мера возможности появления события.

Примечание 1 - В ИСО 3534-1:1993(пункт1.1)приведено математическое определение вероятности: «вероятность -действительное число в интервале от 0 до 1, характеризующее случайное событие». Вероятность может отражать относительную частоту появления события в серии наблюдений или степень уверенности в том, что событие произойдет. При высокой степени уверенности в появлении события вероятность близка к единице.

Примечание 2 - При описании риска вместо «вероятности» может быть использовано понятие «частота».

Примечание 3 - Степень уверенности в появлении события может быть выражена с помощью отнесения события к определенному классу или разряду, таким как:

- крайне редко/маловероятно/вероятно/почти наверняка;

- невозможно/крайне маловероятно/редко/иногда/вероятно/часто.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: вероятность

3.10 воздействие (impact): Влияние разрушающих факторов, оцененное для конкретного события.

Определения термина из разных документов: воздействие

3.49 высшее руководство (top management): Директор или руководители подразделений, осуществляющие направление деятельности и управление организацией на высшем уровне, обеспечивая эффективность систем менеджмента, включая финансовый мониторинг, и системы контроля, назначенные для защиты активов, обеспечения работоспособности, рентабельности и укрепления репутации организации.

Определения термина из разных документов: высшее руководство

3.14 готовность к инцидентам (incident preparedness): Действия, программы и системы, разработанные и внедренные до возникновения инцидента, которые могут помочь организации смягчить последствия и выбрать эффективные ответные меры при возникновении инцидента, а также ускорить восстановление организации после разрушений, бедствий, критических ситуаций или аварий.

Определения термина из разных документов: готовность к инцидентам

3.25 группа обеспечения непрерывности деятельности (operational continuity team): Группа должностных лиц организации, ответственных за разработку, реализацию, инициирование и поддержку плана обеспечения непрерывности деятельности, включая процессы и процедуры, а также за проведение учений.

Определения термина из разных документов: группа обеспечения непрерывности деятельности

3.12 инцидент (incident): Событие, реализация которого может привести к нарушению/разрушению деятельности организации, потерям, аварии или кризису.

Определения термина из разных документов: инцидент

3.44 источник риска (source): Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать повышение риска.

Примечание - Источник риска может быть материальным или нематериальным.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: источник риска

3.22 координационный совет обеспечения непрерывности деятельности (operational continuity management team): Группа должностных лиц организации, уполномоченных и ответственных за разработку и исполнение планов обеспечения непрерывности деятельности, а также за инициирование работ при возникновении аварий и кризисов и непосредственное координирование работ в процессе восстановления после инцидента.

Примечание - Координационный совет обеспечения непрерывности деятельности может включать в себя представителей различных организаций, а также служб экстренного реагирования, причастные стороны и другие стороны.

Определения термина из разных документов: координационный совет обеспечения непрерывности деятельности

3.3 кризис (crisis): Инцидент(ы) и происшествия, причиной которых является человеческий фактор и/или воздействие природных явлений и окружающей среды, требующие срочного вмешательства и действий для защиты жизни человека, имущества или окружающей среды.

Определения термина из разных документов: кризис

3.37 критерий риска (risk criteria): Совокупность факторов, по сопоставлению с которыми оценивают значимость риска.

Примечание 1 - Критерии риска основаны на установленных целях организации, внешней и внутренней области применения организации.

Примечание 2 - Критерии риска могут быть сформированы на основе требований стандартов, политики, законодательных и иных требований.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: критерий риска

3.1 критические виды деятельности (critical activities): Виды деятельности организации, которые должны быть выполнены для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных целей организации.

Определения термина из разных документов: критические виды деятельности

3.38 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и обмен информацией о риске.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: менеджмент риска

3.43 модельные учения, практические учения (simulation exercise): Учения, проводимые в условиях, близких к реальным, возникающим при реализации инцидента.

Определения термина из разных документов: модельные учения, практические учения

3.5 нарушение, разрушение (деятельности организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) инцидентом.

Примечание - Нарушение/разрушение может быть вызвано положительными и отрицательными факторами, которые нарушают нормальный ход деятельности.

Определения термина из разных документов: нарушение, разрушение (деятельности организации)

3.46 настольные учения, теоретические учения (tabletop exercise): Метод обучения, который основан на моделировании разрушения, аварии или кризисного сценария в формате рассказа, в рамках которого участники анализируют и обсуждают, но не выполняют политику, методы, процедуры, координацию мероприятий и распределение ресурсов, связанных с активацией плана.

Определения термина из разных документов: настольные учения, теоретические учения

3.19 непрерывность деятельности (operational continuity), ОС: Стратегическая и тактическая способность организации к функционированию на установленном приемлемом уровне при нарушениях ее деятельности, вызванных инцидентами.

Примечание - Термин «непрерывность деятельности» применим не только к коммерческим компаниям, но и к организациям любой формы собственности, таким как некоммерческие организации, общественные объединения и государственные организации.

Определения термина из разных документов: непрерывность деятельности

3.15 обеспечение готовности к инцидентам и непрерывности деятельности (incident preparedness and operational continuity management), IPOCM: Систематические и скоординированные действия, с помощью которых организация рационально управляет своими рисками и деятельностью в условиях возможных угроз и опасных воздействий.

Определения термина из разных документов: обеспечение готовности к инцидентам и непрерывности деятельности

3.20 обеспечение непрерывности деятельности (operational continuity management), ОСМ: Полный процесс управления, предусматривающий идентификацию возможных угроз и их воздействия на деятельность организации, который создает основу для повышения устойчивости деятельности организации в условиях инцидента и разработки эффективных ответных мер, обеспечивающих защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.

Примечание - Обеспечение непрерывности деятельности включает в себя управление восстановлением или продолжением деятельности организации в случае инцидента, а также общей программой обеспечения непрерывности деятельности организации, предусматривающей обучение персонала, проведение учений и анализа деятельности, а также актуализацию соответствующих планов и программ.

Определения термина из разных документов: обеспечение непрерывности деятельности

3.36 обмен информацией о риске и консультации в области риска (risk communication and consultation): Непрерывные итеративные процессы, выполняемые организацией для обеспечения, распространения или получения информации и участия в диалоге с причастными сторонами по вопросам, относящимся к менеджменту риска.

Примечание 1 - Информация может относиться к существованию, природе, форме, правдоподобности, уровню, оценке, приемлемости, обработке или другим аспектам риска и менеджменту риска.

Примечание 2 - Консультации являются двухсторонним процессом обмена информацией между организацией и ее причастными сторонами по проблеме до принятия решения или определения действий по этой проблеме. Консультация это:

- процесс, который способствует принятию решения на основе убеждения, а не под давлением;

- процесс, который предшествует процессу принятия решения, но не объединяется с ним.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: обмен информацией о риске и консультации в области риска

3.42 обработка риска (risk treatment): Процесс модификации риска.

Примечание 1 - Обработка риска может включать в себя:

- исключение риска путем принятия решения не начинать или не продолжать деятельность, в процессе или в результате которой может возникнуть опасное событие;

- принятие или повышение риска для обеспечения более широких возможностей;

- устранение источников риска;

- изменение правдоподобности/вероятности опасного события;

- изменение последствий опасного события;

- разделение риска с другой стороной или сторонами (путем включения в контракты или финансирования обработки риска);

- обоснованное решение о сохранении риска.

Примечание 2 - Меры по обработке риска могут включать в себя устранение, предотвращение или снижение риска.

Примечание 3 - При обработке риска могут возникнуть новые риски и могут измениться существующие риски.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: обработка риска

3.9 опасность (hazard): Возможный источник вреда, причиной которого могут быть естественные или техногенные явления, который способен привести к неблагоприятным воздействиям и последствиям.

Определения термина из разных документов: опасность

3.26 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Примечание - Организация может быть государственной или частной. Примерами организаций могут быть компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.

Определения термина из разных документов: организация

3.30 остаточный риск (residual risk): Риск, оставшийся после обработки риска.

Определения термина из разных документов: остаточный риск

3.35 оценка риска (risk assessment): Общий процесс идентификации, анализа и сравнительной оценки риска.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: оценка риска

3.40 перенос риска (risk transfer): Разделение с другой стороной потерь или выгод от риска.

Примечание 1 -Законодательные или обязательные требования могут ограничивать, запрещать или поручать перенос определенного риска.

Примечание 2 - Перенос риска может быть осуществлен с помощью страхования или других соглашений.

Примечание 3 - Перенос риска может создавать новый риск или модифицировать существующий риск.

Примечание 4 - Перемещение источника риска не является переносом риска.

Определения термина из разных документов: перенос риска

3.23 план обеспечения непрерывности деятельности (operational continuity plan), ОСР: Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента.

Определения термина из разных документов: план обеспечения непрерывности деятельности

3.13 план управления в условиях инцидента (incident management plan): Детально разработанный и документально оформленный план действий, предназначенный для использования в условиях инцидента, в котором установлены необходимые для управления в условиях инцидента персонал, ресурсы и действия.

Определения термина из разных документов: план управления в условиях инцидента

3.16 политика в области IPOCM (IPOCM policy): Общие намерения и направления деятельности организации в области обеспечения готовности к инцидентам и непрерывности деятельности, официально сформулированные высшим руководством.

Определения термина из разных документов: политика в области IPOCM

3.2 последствие (consequence): Результат воздействия события на объект.

Примечание 1 - Результатом воздействия события может быть одно или несколько последствий.

Примечание 2 - Последствия могут быть определенными или неопределенными, могут быть ранжированы от позитивных до негативных.

Примечание 3 - Последствия могут быть выражены качественно или количественно.

Примечание 4 - Первоначальные последствия могут вызвать эскалацию следующих последствий по принципу «домино».

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: последствие

3.27 предупреждающие (меры) (prevention): Меры, позволяющие организации избежать, предотвратить или ограничить воздействие нарушений/разрушений деятельности организации.

Определения термина из разных документов: предупреждающие (меры)

3.41 приемлемый риск (risk tolerance): Общий суммарный риск, который организация готова принять, выдержать и которому готова быть подвергнута в любой момент времени.

Определения термина из разных документов: приемлемый риск

3.34 принятие риска (risk acceptance): Обоснованное решение принять риск.

Примечание 1 - Решение о принятии риска может быть принято без обработки риска или в процессе обработки риска.

Примечание 2 - Необходимо проводить мониторинг и анализ принятого риска.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: принятие риска

3.45 причастная сторона¹⁾ (заинтересованная сторона) (stakeholder (interested party)): Лицо или группа лиц, заинтересованных в деятельности или достижениях организации.

Примечание - Причастной стороной являются потребители, партнеры, персонал, акционеры, владельцы, организации службы экстренного реагирования, правительственные и регулирующие органы, ассоциации и др.

¹⁾ В соответствии с Руководством ИСО/МЭК 73 «причастная сторона - это любой индивидуум, группа лиц или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска.

Примечание - Лицо, принимающее решение, также является причастной стороной».

Определения термина из разных документов: причастная сторона¹⁾ (заинтересованная сторона)

3.21 программа обеспечения непрерывности деятельности (operational continuity management program): Процесс управления, поддерживаемый высшим руководством и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия возможных угроз, поддержку стратегии непрерывности деятельности и планов восстановления деятельности, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения персонала и проведения учений, внедрения, анализа и поддержания в рабочем состоянии системы обеспечения непрерывности деятельности организации.

Определения термина из разных документов: программа обеспечения непрерывности деятельности

3.32 программа ответных мер (response program): План, процессы и ресурсы для выполнения работ и услуг, необходимых для сохранения и защиты жизни людей, собственности, критических видов деятельности и активов организации.

Примечание - Этапы программы ответных мер обычно включают в себя распознавание инцидента, уведомление о нем, оценку инцидента, заявление об инциденте, план мероприятий и его реализацию, обмен информацией и управление ресурсами.

Определения термина из разных документов: программа ответных мер

3.33 риск (risk): Следствие влияния неопределенности на достижение поставленных целей¹⁾.

Примечание 1 - Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

Примечание 2 - Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т. п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

Примечание 3 - Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

Примечание 4 - Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.

Примечание 5 - Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: риск

3.39 снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности опасного события, его негативных последствий или того и другого вместе.

Определения термина из разных документов: снижение риска

3.8 событие (event): Возникновение или изменение специфического набора условий.

Примечание 1 - Событие может быть единичным или повторяющимся и иметь несколько причин.

Примечание 2 - Событие может быть определенным или неопределенным.

Примечание 3 - Для описания события могут быть использованы термины «инцидент», «происшествие», «опасное событие» или «несчастный случай».

Примечание 4 - Событие без последствий может также быть названо «угрозой возникновения опасного события», «инцидентом», «угрозой происшествия», «угрозой поражения» или «угрозой возникновения аварийной ситуации».

[Руководство ИСО/МЭК 73]

Определения термина из разных документов: событие

3.18 соглашение о взаимопомощи (mutual aid agreement): Заранее разработанное соглашение между двумя или более субъектами об оказании, при необходимости, помощи и поддержки сторонам соглашения.

Определения термина из разных документов: соглашение о взаимопомощи

3.24 стратегия обеспечения непрерывности деятельности (operational continuity strategy): Способ обеспечения непрерывности деятельности организации, предусматривающий возможность восстановления и продолжения функционирования организации в условиях инцидентов, кризисов и других опасных событий.

Определения термина из разных документов: стратегия обеспечения непрерывности деятельности

3.48 угроза (threat): Потенциальная причина инцидента, которая может привести к нанесению вреда людям, системе или организации, окружающей среде или обществу.

Определения термина из разных документов: угроза

3.17 уменьшение (последствий) (mitigation): Ограничение негативных последствий конкретного инцидента.

Определения термина из разных документов: уменьшение (последствий)

3.31 устойчивость организации (resilience): Способность организации противостоять воздействию инцидента, осуществляя свою деятельность.

Определения термина из разных документов: устойчивость организации

3.7 учения (exercising): Мероприятия, в процессе которых частично или полностью проходит отработка (репетиция) действий, обязанностей, способов восстановления и обеспечения непрерывности работы систем организации (например, технологий, систем связи и управления), предусмотренных программой IPOCM³⁾, предназначенных для оценки содержания программы, ее соответствия запланированным результатам и компетентности персонала.

³⁾ IPOCM - Incident preparedness and operational (business) continuity management (Обеспечение готовности к инцидентам и непрерывности деятельности).

Примечание 1 - Учения включают в себя действия, выполняемые обычно с целью обучения и поддержания навыков членов рабочих групп и персонала в сложных ситуациях и в условиях инцидента, с целью достижения максимальной отработки необходимых ответных мер.

Примечание 2 - Учения обычно включают в себя действия процедур по обеспечению непрерывности бизнеса, но чаще объявленную или необъявленную имитацию инцидента, нарушающего непрерывность бизнеса, в процессе которого участники инсценируют возможную ситуацию, что позволяет оценить возможные проблемы до наступления реального инцидента.

Определения термина из разных документов: учения

3.29 целевой срок восстановления (recovery time objective); RTO: Плановое время возобновления деятельности и восстановления ресурсов, установленное на основе максимально приемлемого периода нарушения/разрушения деятельности организации.

Определения термина из разных документов: целевой срок восстановления