ISO/TS 22317:2015 «Societal security - Business continuity management systems - Guidelines for business impact analysis (BIA)» | Блог Романа Лобуса <style type='text/css'> #hide { display:none; } .rating input { position:absolute; filter:alpha(opacity=0); -moz-opacity:0; -khtml-opacity:0; opacity:0; cursor:pointer; width:17px; } .rating span { width:24px; height:16px; line-height:16px; padding:1px 22px 1px 0; /* 1px FireFox fix */ background:url(stars.png) no-repeat -22px 0; } /* Change span immediately following the checked radio */ .rating input:checked + span { background-position:-22px 0; } /* Reset all remaining stars back to default background. This supersedes the above due to its ordering. */ .rating input:checked + span ~ span { background-position:0 0; } </style>

Семейство стандартов посвященных управлению непрерывностью бизнеса - ISO 223xx, пополнилось технической спецификацией по проведению анализу влияния простоев на бизнес (BIA, Business Impact Analysis).

Стандарт BS ISO 22301:2012 «Societal security – Business continuity management systems – Requirements» содержит раздел 8.2.2 посвященный требованиям к выполнению BIA (авторский перевод Александра Дмитриева).

Организация должна установить, внедрить и поддерживать формализованный и документированный процесс оценки для определения приоритетов в непрерывности и восстановлении, целей и задач. Этот процесс должен включать оценку ущербов и разрушительных действий, которые сопровождают выпуск продукции и оказание услуг организации.

Анализ воздействия на бизнес должен включать следующее:

a) идентификацию действий, которые поддерживают выпуск продукции и оказание услуг;

b) оценку последствий при невыполнении в течение долгого времени данных действий;

c) установку приоритетных сроков для возобновления этих действий на определенном минимальном приемлемом уровне, принимая во внимание время время, в течение которого последствия их невыполнения станут неприемлемыми;

d) определение зависимостей и вспомогательных ресурсов для данных действий, включая поставщиков, аутсорсинговых партнеров и других соответствующих заинтересованных сторон.

Таким образом, указаны требования к результатам BIA, сам процесс должен быть задокументирован и быть поддерживаемым, но подробности выполнения анализа не описаны.

Соответствующий раздел из стандарта BS ISO 22313:2012 «Societal security — Business continuity management systems — Guidance» дает чуть больше деталей, но служить руководством к действию вряд ли может.

Традиционно, у компаний предоставляющих сервиса BIA сложилась собственная практика выполнения анализа. ISO/TS 22317 не является стандартом, т. е. нельзя провести сертификацию относительно его содержания. Этот документ выполняет функцию технической спецификации, таким образом, предлагая пример того, как можно реализовать BIA, а также помогая выполнить требования стандарта ISO 22301 в соответствующей области.

Содержание стандарта (исходя из черновика):

Foreword................................................................................................................ 4
Introduction ........................................................................................................... 5
1 Scope................................................................................................................. 7
2 Normative references .......................................................................................... 7
3 Terms and definitions...........................................................................................7
4 Prerequisites .......................................................................................................7
4.1 General .............................................................................................................7
4.2 BCM Programme Context and Scope ..................................................................2
4.2.1 BCM Programme Context................................................................................2
4.2.2 Scope of the BCM Programme ........................................................................2
4.3 BCM Programme Roles .....................................................................................2
4.3.1 BCM Programme Roles and Responsibilities....................................................2
4.3.2 BIA-Specific Roles and Competencies..............................................................2
4.4 BCM Programme Commitment............................................................................4
4.5 BCM Programme Resources ...............................................................................5
5 Performing the Business Impact Analysis............................................................... 5
5.1 Introduction ..................................................................................................... 5
5.2 Project Planning and Management ...................................................................... 6
5.2.1 Introduction (overview) .................................................................................. 6
5.2.2 Initial versus Ongoing BIA Processes.............................................................. 7
5.3 Product and Service Prioritization ...................................................................... 8
5.3.1 Introduction (Overview).................................................................................. 8
5.3.2 Inputs.......................................................................................................... 10
5.3.3 Outcomes.................................................................................................... 11
5.4 Process Prioritization ..................................................................................... 11
5.4.1 Introduction (Overview)............................................................................... 11
5.4.2 Inputs.......................................................................................................... 11
5.4.3 Outcomes.................................................................................................... 11
5.5 Activity Prioritization ..................................................................................... 12
5.5.1 Introduction (Overview)................................................................................ 12
5.5.2 Inputs......................................................................................................... 13
5.5.3 Outcomes................................................................................................... 14
5.6 Analysis and Consolidation............................................................................. 14
5.6.1 Introduction (Overview)............................................................................... 14
5.6.2 Inputs......................................................................................................... 15
5.6.3 Methods .................................................................................................... 15
5.6.4 Outcomes.................................................................................................. 15
5.7 Obtain Top Management Endorsement of BIA Results .....................................15
5.7.1 Introduction (Overview).............................................................................. 15
5.7.2 Inputs......................................................................................................... 16
5.7.3 Methods ..................................................................................................... 16
5.7.4 Outcomes.................................................................................................... 16
5.8 Next Step – Business Continuity Strategy Selection.......................................... 17
6 BIA Process Monitoring and Review ................................................................. 17
Annex A (informative) Business Impact Analysis within an ISO 22301 Business Continuity Management System ........................................ 18
Annex B (informative) Business Impact Analysis Terminology Mapping ...........19