ISO 22301
ISO 22301 — это международный стандарт, устанавливающий требования к системе менеджмента непрерывности бизнеса (СМНБ). Он определяет, как организация может подготовиться к сбоям, реагировать на них, восстанавливать свою деятельность и учиться на инцидентах, чтобы минимизировать их влияние на ключевые бизнес-процессы. Стандарт применим к любым организациям независимо от их размера, типа и сферы деятельности. Он разработан Международной организацией по стандартизации (ISO) и входит в семейство стандартов ISO 22300, посвящённых защите общества и устойчивости.
История и версии
Первая версия стандарта ISO 22301 была опубликована в 2012 году. Она заменила собой ряд национальных стандартов, в том числе британский BS 25999-2, который до этого был де-факто мировым эталоном в области менеджмента непрерывности бизнеса. Разработка велась техническим комитетом ISO/TC 292 «Защита общества и устойчивость».
В 2019 году была выпущена вторая, действующая редакция — ISO 22301:2019. Она внесла ряд существенных изменений по сравнению с версией 2012 года:
- Структура приведена в соответствие с единым шаблоном для всех стандартов систем менеджмента (Приложение SL), что облегчает интеграцию с ISO 9001 (менеджмент качества) и ISO 14001 (экологический менеджмент).
- Усилен акцент на анализ контекста организации, заинтересованные стороны и лидерство высшего руководства.
- Уточнены требования к планированию и процедурам аудита, а также к оценке рисков и возможностей.
- Введено понятие «защита и смягчение последствий» (protection and mitigation) как отдельный этап процесса управления непрерывностью.
В России стандарт принят как национальный: ГОСТ Р ИСО 22301-2021 «Системы менеджмента непрерывности бизнеса. Требования».
Структура и ключевые требования
Стандарт построен по циклу PDCA (Plan-Do-Check-Act — Планируй-Делай-Проверяй-Действуй). Он состоит из следующих основных разделов (клаузул):
1. Область применения (Clause 1)
Определяет границы применения СМНБ в организации.
2. Нормативные ссылки (Clause 2)
Содержит ссылки на другие стандарты, необходимые для применения ISO 22301.
3. Термины и определения (Clause 3)
Даёт определения ключевым понятиям, таким как «непрерывность бизнеса», «инцидент», «максимально приемлемое время простоя» (MTPD), «целевое время восстановления» (RTO), «точка восстановления» (RPO).
4. Контекст организации (Clause 4)
Требует от организации:
- Определить внешние и внутренние факторы, влияющие на её способность достигать намеченных результатов.
- Выявить заинтересованные стороны и их требования.
- Определить область применения СМНБ.
- Разработать, внедрить и поддерживать СМНБ.
5. Лидерство (Clause 5)
Устанавливает обязанности высшего руководства:
- Демонстрировать приверженность СМНБ.
- Разработать и утвердить политику непрерывности бизнеса.
- Распределить ответственность и полномочия.
- Обеспечить интеграцию СМНБ в бизнес-процессы организации.
6. Планирование (Clause 6)
Включает:
- Оценку рисков и возможностей, связанных с непрерывностью бизнеса.
- Анализ воздействия на бизнес (BIA) — процесс определения критических функций, ресурсов и последствий их простоя. Результатом BIA являются приоритеты восстановления и целевые показатели времени восстановления (RTO) и точки восстановления (RPO).
- Разработку стратегий и решений для обеспечения непрерывности деятельности.
- Планирование действий по реагированию на инциденты и восстановлению.
7. Обеспечение (Clause 7)
Определяет требования к ресурсам:
- Компетентность персонала.
- Осведомлённость сотрудников о политике и процедурах.
- Внутренние и внешние коммуникации.
- Документирование информации (управление документацией и записями).
8. Функционирование (Clause 8)
Описывает операционные процессы:
- Планирование и управление операциями по обеспечению непрерывности.
- Реагирование на инциденты (процедуры эвакуации, аварийного оповещения, управления кризисом).
- Восстановление деятельности (планы восстановления для критических процессов, IT-систем, помещений, цепочек поставок).
9. Оценка результатов деятельности (Clause 9)
Включает:
- Мониторинг, измерение, анализ и оценку эффективности СМНБ.
- Внутренние аудиты.
- Анализ со стороны руководства (Management Review).
10. Улучшение (Clause 10)
Требует:
- Выявлять несоответствия и предпринимать корректирующие действия.
- Постоянно улучшать результативность СМНБ.
Применение и значение
ISO 22301 применяется организациями, которые стремятся:
- Повысить устойчивость к сбоям (кибератакам, стихийным бедствиям, пандемиям, отказам оборудования, сбоям в цепочках поставок).
- Минимизировать финансовые потери и репутационный ущерб от простоев.
- Соблюдать законодательные и регуляторные требования (например, в банковском секторе, энергетике, здравоохранении).
- Укрепить доверие со стороны клиентов, инвесторов и партнёров.
- Повысить эффективность процессов восстановления и снизить время простоя.
Сертификация по ISO 22301 (проводимая аккредитованными органами) подтверждает, что система менеджмента непрерывности бизнеса организации соответствует требованиям стандарта. Это может быть обязательным условием для участия в тендерах или получения лицензий.
Критика и ограничения
Несмотря на широкое признание, стандарт подвергается критике:
- Сложность внедрения для малого и среднего бизнеса из-за значительных затрат на документирование, обучение и проведение учений.
- Формальный подход — некоторые организации внедряют СМНБ «для галочки», не обеспечивая её реальной работоспособности.
- Недостаточная гибкость — стандарт предписывает определённую структуру, которая может быть избыточной для некоторых типов организаций или отраслей.
- Зависимость от контекста — эффективность СМНБ сильно зависит от качества анализа рисков и BIA, которые могут быть выполнены поверхностно.
Источники
- ISO 22301:2019 «Security and resilience — Business continuity management systems — Requirements».
- ГОСТ Р ИСО 22301-2021 «Системы менеджмента непрерывности бизнеса. Требования».
- Руководство по внедрению ISO 22301 (ISO/TS 22317, ISO/TS 22318).
- Книга: «Business Continuity Management: A Practical Guide to ISO 22301» (Andrew Hiles).
- Статьи и публикации на порталах ISO.org, BCI (Business Continuity Institute).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →