Открыть сервис

Технический комитет ISO/TC 283

Технический комитет ISO/TC 283 — это структурное подразделение Международной организации по стандартизации (ISO), ответственное за разработку и поддержание международных стандартов в области менеджмента рисков и обеспечения непрерывности бизнеса. Полное официальное наименование комитета на английском языке — «Risk management and business continuity management» (управление рисками и менеджмент непрерывности бизнеса). Комитет был создан в 2012 году в результате реорганизации предыдущих структур ISO, занимавшихся смежными вопросами.

История создания и развития

Предпосылкой к формированию ISO/TC 283 стала растущая потребность бизнеса и государственных организаций в унифицированных подходах к управлению рисками и обеспечению устойчивости в условиях глобализации, роста сложности цепочек поставок и увеличения числа природных и техногенных угроз. До 2012 года разработкой стандартов в этой сфере занимались несколько разрозненных технических комитетов и рабочих групп, в частности ISO/TC 223 (Security and resilience), который был расформирован.

В 2012 году решением Совета ISO был учреждён новый технический комитет ISO/TC 283. Его первым секретариатом выступил Британский институт стандартов (BSI), который на протяжении многих лет курировал разработку национальных стандартов Великобритании в области управления рисками (например, BS 31100) и непрерывности бизнеса (BS 25999). Первое пленарное заседание комитета состоялось в 2013 году в Лондоне.

Ключевым результатом работы комитета стала публикация в 2018 году стандарта ISO 31000:2018 «Risk management — Guidelines» (Менеджмент риска. Руководство), который пришёл на смену версии 2009 года. В 2020-х годах комитет сосредоточился на актуализации стандартов по непрерывности бизнеса и разработке новых документов, учитывающих цифровую трансформацию и киберриски.

Структура и участники

ISO/TC 283 состоит из нескольких рабочих групп (WG — Working Groups), каждая из которых отвечает за конкретное направление стандартизации:

В работе комитета участвуют национальные органы по стандартизации из более чем 40 стран мира, включая Россию (Росстандарт), США (ANSI), Германию (DIN), Китай (SAC), Японию (JISC) и другие. Наблюдателями выступают международные и межправительственные организации, такие как Всемирный банк, Организация Объединённых Наций (через Управление ООН по снижению риска бедствий) и Международная ассоциация управления рисками (IRM).

Основные стандарты, разработанные ISO/TC 283

Комитет является разработчиком нескольких ключевых международных стандартов, которые широко применяются в различных отраслях экономики и государственного управления.

ISO 31000:2018 «Менеджмент риска. Руководство»

Это базовый стандарт, устанавливающий принципы, структуру и процесс управления рисками. Он не является сертифицируемым (не предусматривает выдачу сертификата соответствия), но служит основой для построения систем управления рисками в организациях любого типа и размера. Стандарт описывает итеративный процесс, включающий идентификацию, анализ, оценку и обработку рисков, а также мониторинг и коммуникацию.

ISO 22301:2019 «Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Требования»

Это сертифицируемый стандарт, устанавливающий требования к системе менеджмента непрерывности бизнеса (BCMS). Он определяет, как организация должна планировать, внедрять, контролировать и улучшать свои возможности по противодействию сбоям и восстановлению критически важных функций. Стандарт широко используется в банковском секторе, энергетике, транспорте и государственных органах.

ISO 22313:2020 «Безопасность и устойчивость. Системы менеджмента непрерывности бизнеса. Руководство по применению ISO 22301»

Документ содержит практические рекомендации и пояснения по внедрению требований ISO 22301. Он помогает организациям интерпретировать положения базового стандарта и адаптировать их к своим условиям.

ISO 22320:2018 «Безопасность и устойчивость. Менеджмент чрезвычайных ситуаций. Требования к реагированию на инциденты»

Стандарт устанавливает требования к управлению операциями по ликвидации последствий чрезвычайных ситуаций. Он охватывает такие аспекты, как командная структура, координация, информационный обмен и управление ресурсами во время кризиса.

Взаимосвязь с другими стандартами

Стандарты ISO/TC 283 тесно связаны с другими международными документами по менеджменту. Например, ISO 31000 часто используется как надстройка над стандартами систем менеджмента качества (ISO 9001), экологического менеджмента (ISO 14001) и информационной безопасности (ISO/IEC 27001). Принципы управления рисками, заложенные в ISO 31000, интегрированы в структуру многих отраслевых стандартов, включая ISO 45001 (охрана труда) и ISO 22000 (безопасность пищевой продукции).

Кроме того, ISO/TC 283 сотрудничает с Международной электротехнической комиссией (IEC) в рамках совместного комитета ISO/IEC JTC 1/SC 27 по вопросам кибербезопасности, где стандарты управления рисками применяются для оценки угроз информационной безопасности.

Применение в России

В Российской Федерации стандарты, разработанные ISO/TC 283, внедряются через принятие национальных аналогов. Так, ГОСТ Р ИСО 31000-2019 является идентичным переводом ISO 31000:2018. ГОСТ Р ИСО 22301-2022 соответствует международному стандарту ISO 22301:2019. Эти документы используются в крупных государственных корпорациях (например, «Росатом», «Ростех»), финансовых организациях (Банк России рекомендует внедрение систем непрерывности бизнеса на основе ISO 22301), а также в органах исполнительной власти, отвечающих за гражданскую оборону и чрезвычайные ситуации.

Критика и ограничения

Деятельность ISO/TC 283 и разработанные им стандарты подвергаются критике по нескольким направлениям. Во-первых, отмечается, что ISO 31000 носит слишком общий, рамочный характер и не содержит конкретных количественных методов оценки рисков, что затрудняет его практическое применение в узкоспециализированных областях. Во-вторых, процесс сертификации по ISO 22301 критикуется за бюрократизацию и высокую стоимость для малых и средних предприятий. В-третьих, некоторые эксперты указывают на недостаточную интеграцию стандартов комитета с новыми подходами к управлению рисками, связанными с искусственным интеллектом, большими данными и изменением климата, что требует постоянной актуализации документов.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →