Технический комитет ISO/TC 283
Технический комитет ISO/TC 283 — это структурное подразделение Международной организации по стандартизации (ISO), ответственное за разработку и поддержание международных стандартов в области менеджмента рисков и обеспечения непрерывности бизнеса. Полное официальное наименование комитета на английском языке — «Risk management and business continuity management» (управление рисками и менеджмент непрерывности бизнеса). Комитет был создан в 2012 году в результате реорганизации предыдущих структур ISO, занимавшихся смежными вопросами.
История создания и развития
Предпосылкой к формированию ISO/TC 283 стала растущая потребность бизнеса и государственных организаций в унифицированных подходах к управлению рисками и обеспечению устойчивости в условиях глобализации, роста сложности цепочек поставок и увеличения числа природных и техногенных угроз. До 2012 года разработкой стандартов в этой сфере занимались несколько разрозненных технических комитетов и рабочих групп, в частности ISO/TC 223 (Security and resilience), который был расформирован.
В 2012 году решением Совета ISO был учреждён новый технический комитет ISO/TC 283. Его первым секретариатом выступил Британский институт стандартов (BSI), который на протяжении многих лет курировал разработку национальных стандартов Великобритании в области управления рисками (например, BS 31100) и непрерывности бизнеса (BS 25999). Первое пленарное заседание комитета состоялось в 2013 году в Лондоне.
Ключевым результатом работы комитета стала публикация в 2018 году стандарта ISO 31000:2018 «Risk management — Guidelines» (Менеджмент риска. Руководство), который пришёл на смену версии 2009 года. В 2020-х годах комитет сосредоточился на актуализации стандартов по непрерывности бизнеса и разработке новых документов, учитывающих цифровую трансформацию и киберриски.
Структура и участники
ISO/TC 283 состоит из нескольких рабочих групп (WG — Working Groups), каждая из которых отвечает за конкретное направление стандартизации:
- WG 1 — Risk management (управление рисками). Занимается поддержанием и пересмотром ISO 31000 и связанных руководств.
- WG 2 — Business continuity management (менеджмент непрерывности бизнеса). Отвечает за семейство стандартов ISO 223xx, включая ISO 22301 и ISO 22313.
- WG 3 — Emergency management (управление в чрезвычайных ситуациях). Разрабатывает стандарты для реагирования на инциденты и аварийно-восстановительных работ.
- WG 4 — Organizational resilience (организационная устойчивость). Занимается интеграцией управления рисками, непрерывности бизнеса и антикризисного управления в единую систему.
В работе комитета участвуют национальные органы по стандартизации из более чем 40 стран мира, включая Россию (Росстандарт), США (ANSI), Германию (DIN), Китай (SAC), Японию (JISC) и другие. Наблюдателями выступают международные и межправительственные организации, такие как Всемирный банк, Организация Объединённых Наций (через Управление ООН по снижению риска бедствий) и Международная ассоциация управления рисками (IRM).
Основные стандарты, разработанные ISO/TC 283
Комитет является разработчиком нескольких ключевых международных стандартов, которые широко применяются в различных отраслях экономики и государственного управления.
ISO 31000:2018 «Менеджмент риска. Руководство»
Это базовый стандарт, устанавливающий принципы, структуру и процесс управления рисками. Он не является сертифицируемым (не предусматривает выдачу сертификата соответствия), но служит основой для построения систем управления рисками в организациях любого типа и размера. Стандарт описывает итеративный процесс, включающий идентификацию, анализ, оценку и обработку рисков, а также мониторинг и коммуникацию.
ISO 22301:2019 «Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Требования»
Это сертифицируемый стандарт, устанавливающий требования к системе менеджмента непрерывности бизнеса (BCMS). Он определяет, как организация должна планировать, внедрять, контролировать и улучшать свои возможности по противодействию сбоям и восстановлению критически важных функций. Стандарт широко используется в банковском секторе, энергетике, транспорте и государственных органах.
ISO 22313:2020 «Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Руководство по применению ISO 22301»
Документ содержит практические рекомендации и пояснения по внедрению требований ISO 22301. Он помогает организациям интерпретировать положения базового стандарта и адаптировать их к своим условиям.
ISO 22320:2018 «Безопасность и устойчивость. Менеджмент чрезвычайных ситуаций. Требования к реагированию на инциденты»
Стандарт устанавливает требования к управлению операциями по ликвидации последствий чрезвычайных ситуаций. Он охватывает такие аспекты, как командная структура, координация, информационный обмен и управление ресурсами во время кризиса.
Взаимосвязь с другими стандартами
Стандарты ISO/TC 283 тесно связаны с другими международными документами по менеджменту. Например, ISO 31000 часто используется как надстройка над стандартами систем менеджмента качества (ISO 9001), экологического менеджмента (ISO 14001) и информационной безопасности (ISO/IEC 27001). Принципы управления рисками, заложенные в ISO 31000, интегрированы в структуру многих отраслевых стандартов, включая ISO 45001 (охрана труда) и ISO 22000 (безопасность пищевой продукции).
Кроме того, ISO/TC 283 сотрудничает с Международной электротехнической комиссией (IEC) в рамках совместного комитета ISO/IEC JTC 1/SC 27 по вопросам кибербезопасности, где стандарты управления рисками применяются для оценки угроз информационной безопасности.
Применение в России
В Российской Федерации стандарты, разработанные ISO/TC 283, внедряются через принятие национальных аналогов. Так, ГОСТ Р ИСО 31000-2019 является идентичным переводом ISO 31000:2018. ГОСТ Р ИСО 22301-2022 соответствует международному стандарту ISO 22301:2019. Эти документы используются в крупных государственных корпорациях (например, «Росатом», «Ростех»), финансовых организациях (Банк России рекомендует внедрение систем непрерывности бизнеса на основе ISO 22301), а также в органах исполнительной власти, отвечающих за гражданскую оборону и чрезвычайные ситуации.
Критика и ограничения
Деятельность ISO/TC 283 и разработанные им стандарты подвергаются критике по нескольким направлениям. Во-первых, отмечается, что ISO 31000 носит слишком общий, рамочный характер и не содержит конкретных количественных методов оценки рисков, что затрудняет его практическое применение в узкоспециализированных областях. Во-вторых, процесс сертификации по ISO 22301 критикуется за бюрократизацию и высокую стоимость для малых и средних предприятий. В-третьих, некоторые эксперты указывают на недостаточную интеграцию стандартов комитета с новыми подходами к управлению рисками, связанными с искусственным интеллектом, большими данными и изменением климата, что требует постоянной актуализации документов.
Источники
- ISO. Technical Committee ISO/TC 283 — Risk management and business continuity management. — Официальный сайт ISO.
- ISO 31000:2018. Risk management — Guidelines. — Международный стандарт.
- ISO 22301:2019. Security and resilience — Business continuity management systems — Requirements. — Международный стандарт.
- ГОСТ Р ИСО 31000-2019. Менеджмент риска. Принципы и руководство. — Стандартинформ, 2020.
- ГОСТ Р ИСО 22301-2022. Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Требования. — Стандартинформ, 2022.
- Банк России. Стандарт Банка России по управлению непрерывностью деятельности. — 2020.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →