Сегодня для разнообразия мы перенесемся на другой конец земного шара и поговорим о том, как подходят к управлению непрерывностью бизнеса американские коллеги. А точнее – про стандарт NFPA 1600, новая версия которого была не так давно выпущена в этом году.
NFPA – это National Fire Protection Association, структура, наиболее близким аналогом которой является наш МЧС. Соответственно, мы имеем принципиальноPдругое происхождение стандарта. Изначально во главу угла ставилось спасение людей, и уже впоследствии (за 18 лет) стандарт заметно эволюционировал в сторону обеспечения непрерывности бизнес-процессов. Благодаря этому, из стандарта можно почерпнуть много полезного именно в части управления инцидентами.
Сам стандарт построен достаточно удобно – все обязательные требования (‘shall’) сгруппированы очень компактно на 5 страницах, а пояснения даются в приложениях (общий объем P- 66 страниц убористого текста).
Методология, предлагаемая стандартом, несколько отличается от британского подхода. Если в ISO 22301 первичен анализ воздействия на бизнес, а только потом проводится оценка рисков, исходя из угрозы определенным ранее активам, то вPNFPA 1600 последовательность ровно обратная. Сначала проводится оценка рисков и определяются внешние угрозы, а уже потом проводится BIA. Мне, честно говоря, первый подход кажется более разумным и прагматичным.
Из разделов стандарта, которые отсутствуют, или недостаточно подробно освещены в ISO 22301, я бы отметил следующие:
Раздел Finance and Administration, посвященный не только финансированию программы, но и вопросам обеспечения финансирования в момент ЧС. Это важный момент, потому что далеко не всегда организации прописывают, к примеру, изменение процедуры закупок/авторизации платежей/отказов от тендеров в момент ЧС.
РазделPResource Needs Assessment – важный этап анализа, определяющий, какие ресурсы понадобятся в момент ЧС, какие необходимы площадки, какие договоры должны быть заключены, и т.п. Как правило, эта информация собирается в рамках BIA, хотя по сути к анализуPвоздействия на бизнесPнапрямую не относится.
РазделPWarning, Notifications, and Communications определяет требования к наличию системы информирования и оповещения всех заинтересованных лиц.
Раздел Emergency Operations Centers (EOCs) достаточно подробно описывает требования к центру управления в чрезвычайной ситуации – очевидно, что здесь опыт NFPA может оказаться весьма полезным и для “гражданских” задач.
В целом, стандарт сделан максимально практичным. Например, указано, что пересмотр программы должен осуществляться не только на регулярной основе или при существенном изменении бизнеса организации, но и при изменениях в финансировании программы. Абсолютно логично, но редко где это прописывается в явном виде.
Одним из приложений приведена таблица для самооценки – можете попробовать оценить свою систему управления непрерывностью бизнеса с точки зрения NFPA 1600.
Сам стандарт покаPбесплатен, хотя версия 2013 года скачивается уже с персональной регистрацией и пропечатываением вашего имени в PDF файле. Доступно для загрузки по адресуP http://www.nfpa.org/1600 .
