ISO 22398:2013
(Main)Societal security — Guidelines for exercises
Societal security — Guidelines for exercises
ISO 22398:2013 recommends good practice and guidelines for an organization to plan, conduct, and improve its exercise projects which may be organized within an exercise programme. It is applicable to all organizations regardless of type, size or nature, whether private or public. The guidance can be adapted to the needs, objectives, resources, and constraints of the organization. It is intended for use by anyone with responsibility for ensuring the competence of the organization's personnel, particularly the leadership of the organization, and those responsible for managing exercise programmes and exercise projects.
Sécurité sociétale — Lignes directrices pour exercice
General Information
Standards Content (Sample)
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 22398
Первое издание
2013-09-15
Руководящие принципы для
проведения мероприятий
общественной безопасности
Societal security – Guidelines for exercises
.
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO 22398:2013(R)
©
ISO 2013
---------------------- Page: 1 ----------------------
ISO 22398:2013(R)
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2013
Все права сохраняются. Если не задано иначе, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия офиса ISO по адресу, указанному ниже, или членов ISO в стране регистрации
пребывания.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2013 – Все права сохраняются
---------------------- Page: 2 ----------------------
ISO 22398:2013(R)
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Планирование, сопровождение и улучшение программы мероприятий.5
4.1 Общие положения.5
4.2 Планирование .5
4.3 Проведение .7
4.4 Проведение критического анализа и улучшение программы тренировок.9
5 Планирование, проведение и улучшение проектов выполнения .9
5.1 Общие положения.9
5.2 Планирование .9
5.3 Проведение .22
5.4 Улучшение .24
6 Непрерывное улучшение.25
6.1 Общие положения.25
6.2 Оценка.25
6.3 Критический анализ руководством и корректирующее действие.27
Приложение A (информативное) Мероприятия в рамках описания системы менеджмента .28
Приложение B (информативное) Анализ потребности.31
Приложение C (информативное) Национальные стратегические мероприятия.33
Приложение D (информативное) Усиление мероприятия.36
Приложение E (информативное) Создание сценариев через жизненный опыт.37
Библиография.39
© ISO 2013 – Все права сохраняются iii
---------------------- Page: 3 ----------------------
ISO 22398:2013(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Международная организация по стандартизации Iработает в
тесном сотрудничестве с Международной электротехнической комиссией (IEC) по всем вопросам
стандартизации в области электротехники.
Методы, использованные для разработки этого документа и предназначенные для его дальнейшего
поддержания, изложены в Директивах ISO.IEC, Часть 1. В частности, следует обращать внимание на
то, что разные критерии одобрения необходимы для разных типов документов ISO. Проект настоящего
документа был разработан в соответствии с редакционными правилами Директив ISO/IEC, Часть 2 (см.
www.iso.org/directives).
Следует иметь в виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. Международная организация по стандартизации не может нести
ответственность за идентификацию какого-либо одного или всех патентных прав. Подробности любых
патентных прав, выявленных во время разработки определенного документа, будут указаны в разделе
Введение и/или в списке ISO, содержащим полученные патентные заявления (см. www.iso.org/patents).
Любая торговая марка, использованная в этом документе, дана для удобства пользователей и не
является его поддержкой/
Ответственность за настоящий документ берет на себя комитет ISO/TC 223, Общественная
безопасность.
iv © ISO 2013 – Все права сохраняются
---------------------- Page: 4 ----------------------
ISO 22398:2013(R)
Введение
В настоящем международном стандарте дается описание элементов общего подхода к планированию,
проведению и улучшению программ и проектов проведения мероприятий в сфере обеспечения
общественной безопасности. Целью этого международного стандарта является следующее:
— предоставить базу для понимания, разработки и реализации эффективной программы
мероприятий в рамках организации;
— дать руководящие принципы для планирования и сопровождения проекта проведения
мероприятия, связанного с общественной безопасностью;
— повысить способность организации в проведении мероприятий вместе с внутренними и внешними
вовлеченными сторонами;
— оказать помощь организации в разработке и оценке своей способности проводить мероприятия в
согласованной и с оценкой рисков манере, которая отражает оптимальные практические действия; и,
— дать возможность непрерывного улучшения программ и проектов выполнения мероприятий в
пределах организации.
Настоящий международный стандарт применяется ко всем организациям (ведомствам), независимо от
типа, размера и характера деятельности, а также принадлежности к общественному или частному
сектору. Это руководство может быть адаптировано к потребностям, задачам, ресурсам и
ограничениями организации.
Мероприятия общественной безопасности являются важным средством административного
управления, которое предназначено для того, чтобы выявлять пробелы и области для улучшения
общественной безопасности, а также эффективности стратегий ответных действий и восстановления.
Как дополнение к измерению уровня компетентности организации и его персонала, мероприятия
являются отличным инструментом оценки пересмотренных планов и измененных программ в том, что
касается их полноты, значимости и правильности.
Мероприятия могут быть использованы для обоснования линий поведения, планов, процедур,
обучения, оборудования и межведомственных соглашений; тестирования систем восстановления
после отказов информационных и коммуникационных технологий, разъяснения и обучения персонала
в том, что касается их ролей и обязанностей; улучшения межведомственной координации и связи;
выявления недостатков в ресурсах; повышения индивидуальной эффективности; идентификации
возможностей для улучшения и обеспечения контролируемой благоприятной возможности, чтобы
практиковать импровизацию.
Проекты мероприятий имеют, как правило, следующие задачи эффективного исполнения для
достижения конечных результатов:
— ориентацию/демонстрацию: имитация опыта ожидаемой ситуации, чтобы лучше осознать слабые
стороны и важность эффективного действия в ответ на моделированные условия;
— изучение: повышение уровня знания, навыков или способностей применительно к отдельным
лицами или группами лиц с целью усвоения специфических компетентностей;
— взаимодействие: обеспечение возможности людям работать вместе для достижения общего
конечного результата;
— экспериментирование: проба новых методов и/или процедур с намерением совершенствования; и
— тестирование: оценка метода и/или процедуры, чтобы знать, какие компоненты разработаны в
достаточной степени.
См. Рисунок 1.
© ISO 2013 – Все права сохраняются v
---------------------- Page: 5 ----------------------
ISO 22398:2013(R)
Рисунок 1 — Отношение между программой мероприятий, проектами мероприятий и
непрерывным улучшением
vi © ISO 2013 – Все права сохраняются
---------------------- Page: 6 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 22398:2013(R)
Руководящие принципы для проведения мероприятий
общественной безопасности
1 Область применения
Настоящий международный стандарт рекомендует хорошую практику и руководящие принципы для
организации, чтобы планировать, сопровождать и улучшать свои проекты проведения мероприятий,
которые могут быть организованы в пределах соответствующей программы.
Этот стандарт применяется ко всем организациям, независимо от типа, размера или характера
деятельности в общественном или частном секторе. Руководство может быть адаптировано к
потребностям, задачам, ресурсам и ограничениями определенной организации или ведомства.
Настоящий международный стандарт предназначается для использования кем-нибудь, на кого
возложена ответственность за гарантию компетентности персонала организации, особенно ее
руководящего состава, а также тех, кто отвечает за контроль программ и проектов мероприятий.
2 Нормативные ссылки
Следующие документы, целиком или частично, являются нормативно ссылочными в настоящем
международном стандарте и необходимыми для его применения. Для устаревших ссылок применяется
только цитируемое издание, а недатированных – самое последнее издание ссылочного документа
(включая любые изменения).
ISO 22300, Социальное обеспечение. Терминология
3 Термины и определения
В настоящем документе применяются термины и определения, указанные в ISO 22300, а также
следующие.
3.1
отчет после действия
after-action report
документ с записями, описанием и анализом мероприятия, использующий доклады и отчеты
наблюдателей и позволяющий извлекать из него уроки
Примечание 1 к статье: Отчет после действия документально подтверждает результаты, полученные из
критического обзора после действия
Примечание 2 к статье: Отчет после действия называется также окончательным докладом о мероприятии
3.2
компетентность
competence
демонстрированная способность применять знания и навыки для достижения намеченных результатов
© ISO 2013 – Все права сохраняются 1
---------------------- Page: 7 ----------------------
ISO 22398:2013(R)
3.3
натаскивание
drill
деятельность, которая прививает на практике конкретный навык и часто вовлекает повтор одного и
того же несколько раз
ПРИМЕР Пожарные учения, чтобы осуществлять безопасную эвакуацию из горящего здания.
3.4
сравнительная оценка
evaluation
систематический процесс сравнивания результата измерения с признанными критериями, чтобы
установить расхождения между намеченным и действительным исполнением
ПРИМЕЧАНИЕ 1 к статье: Эти расхождения являются данными для ввода в процесс непрерывного улучшения.
3.5
мероприятие (тренировка, занятие, учение, выполнение)
exercise
процесс, чтобы осуществлять, давать оценку, применять на практике и улучшать эффективность
исполнения и достижения конечного результата в организации
ПРИМЕЧАНИЕ 1 к статье: Мероприятия могут быть использованы для обоснования линий поведения, планов,
процедур, обучения, оборудования и межведомственных соглашений; тестирования систем восстановления после
отказов информационных и коммуникационных технологий, разъяснения и обучения персонала в том, что
касается их ролей и обязанностей; улучшения межведомственной координации и связи; выявления недостатков в
ресурсах; повышения индивидуальной эффективности; идентификации возможностей для улучшения и
обеспечения контролируемой благоприятной возможности, чтобы практиковать импровизацию.
ПРИМЕЧАНИЕ 2 к статье: Тест является уникальным и особым типом мероприятия, который включает ожидание
успешного или неуспешного прохождения элемента через испытание в пределах цели или задач проведения
намеченного мероприятия.
3.6
координатор мероприятия
exercise coordinator
человек, который отвечает за планирование, сопровождение и оценку деятельности по осуществлению
мероприятия
ПРИМЕЧАНИЕ 1 к статье: На крупномасштабных мероприятиях функцию координатора могут выполнять
несколько человек или штаб. В этом случае говорят, что они “осуществляют надзор” над проведением
мероприятия.
ПРИМЕЧАНИЕ 2 к статье: В некоторых странах используется термин ”руководитель мероприятия“ вместо
“координатора мероприятия” (или подобный текст).
ПРИМЕЧАНИЕ 3 к статье: Человек, играющий роль координатора мероприятия, отвечает также за
взаимодействие среди внутренних и внешних участников общего дела.
3.7
программа мероприятий
exercise program
последовательность действий по осуществлению мероприятия, предназначенных удовлетворять
общую задачу или цель
3.8
менеджер программы мероприятия
exercise program manager
человек, отвечающий за планирование и улучшение программы мероприятий
2 © ISO 2013 – Все права сохраняются
---------------------- Page: 8 ----------------------
ISO 22398:2013(R)
3.9
команда проекта мероприятия
exercise project team
группа лиц, планирующих, проводящих и оценивающих проект мероприятия
3.10
начальник обеспечения безопасности мероприятия
exercise safety officer
человек, которому поставлена задача обеспечения безопасности любого действия во время
проведения мероприятия
ПРИМЕЧАНИЕ 1 к статье: На крупномасштабных мероприятиях с вовлечением многочисленных функций
задача обеспечения безопасности может быть возложена на несколько человек.
3.11
потенциальная опасность
harm
источник возможного нанесения вреда
ПРИМЕЧАНИЕ 1 к статье: Потенциальная опасность может быть источником риска.
3.12
заинтересованная сторона
interested party
субъект или организация, которые могут влиять на решение или действие, подвергаются их влиянию
или сами чувствуют, что на них влияет решение или действие
ПРИМЕЧАНИЕ 1 к статье: Человек, принимающий решение, может быть заинтересованной стороной.
3.13
вводная
inject
подлинное сообщение, включенное в мероприятие для того, чтобы вызвать ответное действие или
способствовать ходу выполнения мероприятия
ПРИМЕЧАНИЕ 1 к статье: Вводные могут быть в письменном виде, устными, показанными по телевидению и/или
переданными любыми средствами связи (например, по факсу, телефону, электронной почте, голосом, по радио
или знаком).
3.14
управление
management
скоординированные действия, чтобы направлять и контролировать организацию
3.15
наблюдатель
observer
участник мероприятия, который является свидетелем его осуществления, оставаясь в то же время в
стороне от действий по его осуществлению
ПРИМЕЧАНИЕ 1 к статье: Наблюдатели могут быть частью оценочного процесса.
3.16
участник
participant
персона или организация, которая выполняет действие, имеющее отношение к мероприятию
© ISO 2013 – Все права сохраняются 3
---------------------- Page: 9 ----------------------
ISO 22398:2013(R)
3.17
риск
risk
влияние неопределенности на цели
ПРИМЕЧАНИЕ 1 к статье: Влияние является отклонением от ожидаемого результата, положительного и/или
отрицательного.
ПРИМЕЧАНИЕ 2 к статье: Цели могут иметь разные аспекты (например, относящиеся к финансам, здоровью,
безопасности или окружающей среде). Они могут применяться на разных уровнях (например, стратегии, всей
организации, проекта, продукта или процесса).
ПРИМЕЧАНИЕ 3 к статье: Риск часто характеризуется ссылкой на потенциальные события, последствия или их
комбинацию, а также тем, как он может влиять на достижение целей.
ПРИМЕЧАНИЕ 4 к статье: Риск часто выражается на основе комбинации последствий события или изменения в
обстоятельствах и ассоциированной вероятности возникновения.
ПРИМЕЧАНИЕ 5 к статье: Неопределенность есть состояние, даже частичное, недостатка информации, имеющей
отношение к пониманию или знанию события, его последствию или вероятности.
3.18
сценарий
scenario
заранее спланированная основная сюжетная линия, которая приводит в действие мероприятие, а
также стимулы, используемые для эффективного исполнения контрольных задач и достижения
конечных результатов проекта мероприятия
3.19
масштаб мероприятия
scope of exercise
величина, ресурсы и степень, которые отражают потребности и цели
3.20
оригинал документа
script
текст, рассказывающий о развитии мероприятия, который позволяет руководящему составу понимать,
как будет проходить осуществление мероприятия в ходе его проведения по мере того, как будет
вводиться главный перечень событий
ПРИМЕЧАНИЕ 1 к статье: Оригинал документа часто пишется как изложение имитируемых событий.
3.21
целевая группа
target group
индивидуумы и/или организация, которым надлежит осуществлять мероприятие
3.22
тест
test
мероприятие, проводимое с целью получить ожидаемый удачный или неудачный результат, который
может быть измерен
ПРИМЕЧАНИЕ 1 Тест является уникальным и особым типом мероприятия, который включает ожидание
успешного или неуспешного прохождения элемента через испытание в пределах цели или задач планового
мероприятия.
ПРИМЕЧАНИЕ 2 Термины “тест” и “тестирование” есть не одно и то же как ”мероприятие” и “проведение
мероприятия”.
4 © ISO 2013 – Все права сохраняются
---------------------- Page: 10 ----------------------
ISO 22398:2013(R)
3.23
обучение
training
деятельность, предназначенная для того, чтобы содействовать изучению и разработке знания,
навыков и способностей, а также улучшать выполнение специфических задач или ролей
4 Планирование, сопровождение и улучшение программы мероприятий
4.1 Общие положения
В организации, проводящей мероприятия, следует учредить программу ее осуществления. Разработка
программы мероприятий предусматривает согласованный подход к наращиванию и формированию
способностей организации путем осуществления индивидуальных планов, привлечения людей,
способностей и/или ресурсов, которые вносят свой вклад в стратегические устремления организации.
Руководству верхнего уровня следует установить цели программы мероприятий и назначить
компетентного человека, чтобы заведовать этой программой. Область применения программы
мероприятий следует определять на основе размера и характера деятельности организации, берущей
на себя ответственность за проведение мероприятия, а также на основе пределов, функциональности,
сложности и уровня зрелости осуществляемых планов и возможностей.
В программу мероприятий по обеспечению общественной безопасности следует включить
информацию и ресурсы, необходимые для организации и проведения мероприятий, эффективно и
рационально, в пределах заданных временных рамок. В программу мероприятий рекомендуется также
включить следующее:
― анализ потребности;
― основу поддержки;
― цель и задачи программы мероприятий;
― степень/количество/типы/продолжительность/местоположения/расписание проектов мероприятий;
― выбор команд для проектов мероприятий;
― необходимые ресурсы и финансовую смету; и
― процессы для обеспечения конфиденциальности, защиты информации, здоровья и безопасности
и других подобных вопросов.
В организации следует осуществлять текущий контроль и измерять реализацию программы
мероприятий для достижения поставленных задач. Программу мероприятий следует подвергать
ревизии, чтобы идентифицировать возможные улучшения.
4.2 Планирование
4.2.1 Определение необходимости в программе мероприятий
В организации следует выполнить анализ потребности, чтобы выявить или определить следующее;
― стратегические задачи организации;
― риски организации;
― законодательные и регулирующие требования;
© ISO 2013 – Все права сохраняются 5
---------------------- Page: 11 ----------------------
ISO 22398:2013(R)
― зрелость организации, чтобы реагировать и/или восстанавливаться в сравнении с желаемыми
целями, принимая во внимание пробелы в способности и планах;
― планы, процедуры, способности или ресурсы, которые требуются для проведения мероприятия;
― период времени, в течение которого определенный уровень отклика и/или способности
восстановления следует удовлетворять; и
― основу поддержки и проводник по содержанию программы мероприятий.
4.2.2 Установление основы поддержки для программы мероприятий
В организации следует закрепить основу поддержки и обязательства высшего руководства для
гарантии подходящего организационного вовлечения и выделения ресурсов. Закрепление базы
поддержки гарантирует, что цель и задачи мероприятия соответствуют стратегической линии развития
организации.
Высшему руководству следует выдать организации четкий мандат и все полномочия на выполнение
программы мероприятий. Выгоды и преимущества от программы мероприятий, определенные
анализом потребности, следует четко объяснить и представить руководству и тем, кто несет
ответственность за программу мероприятий
4.2.3 Определение цели и задач программы мероприятий
Высшему руководству следует гарантировать, что цель и задачи программы мероприятий
устанавливаются, чтобы направлять планирование, проведение и улучшение мероприятия, а также его
эффективную реализацию.
Исходя из цели программы мероприятий, задачи могут быть поставлены на основе следующего:
― результатов анализа потребности;
― приоритетов менеджмента;
― требований системы менеджмента в приемлемом случае;
― законных, регулирующих и контрактных и других требований, с которыми организация связывает
себя обязательством;
― потребности и ожидания заинтересованных сторон;
― рисков для организации и заинтересованных сторон;
― отчетов и результатов по предыдущим мероприятиям или действительным инцидентам; и
― уровня зрелости организации и ее ресурсов для осуществления мероприятий.
ПРИМЕЧАНИЕ Приложение A дает дополнительную информацию о мероприятиях в рамках системы
менеджмента
4.2.4 Роли и обязанности менеджера программы мероприятий
В организации следует учредить роли и обязанности менеджера программы мероприятий, который
будет назначаться высшим руководством. Эти роли и обязанности, как правило, включают следующее:
6 © ISO 2013 – Все права сохраняются
---------------------- Page: 12 ----------------------
ISO 22398:2013(R)
― установление границ, цели и задач эффективного исполнения для достижения конечных
результатов программы мероприятий, а также области применения, критериев и временных рамок
отдельных проектов мероприятий на основе определенных задач;
― идентификацию, документирование и оценку рисков программы мероприятий;
― определение потенциальных воздействий проекта выполнения мероприятия на операции,
репутацию и ресурсы организации;
― расчетную оценку влияния действительного происшествия, случившегося во время проекта
выполнения мероприятия;
― определение типов и методов мероприятий, необходимых для решения задач программы;
― определение необходимых ресурсов, в том числе для разработки плана и проведения
мероприятия;
― выбор команды для проекта мероприятия;
― разработку процедуры, чтобы иметь полный комплект документов, управленческой и
поддерживающей документации;
― обеспечение реализации программы мероприятий; и
― текущий контроль, пересмотр и улучшение программы мероприятий.
Менеджеру программы мероприятий следует информировать высшее руководство о действиях и
рисках, связанных с программой мероприятий, и получить разрешение на продолжение выполнения
мероприятий
Менеджеру программы мероприятий следует иметь компетенцию, необходимую для эффективного и
рационального управления программой мероприятий и ассоциированными рисками. Менеджер
программы мероприятий должен быть подотчетен высшему руководству за программу мероприятий, а
высшему руководству следует взять на себя ответственность за ее осуществление. Менеджер
программы мероприятий может сформировать и выбрать одну или больше команд для поддержки
снабжения программы, гарантируя при этом, что члены команды являются компетентными, чтобы
выполнять свои обязанности эффективно и рационально.
4.3 Проведение
4.3.1 Реализация программы мероприятий
Менеджеру программы мероприятий следует исполнять программу мероприятий посредством следующего:
― сообщения уместных частей программы мероприятий заинтересованным сторонам и
периодического информирования этих сторон о ходе выполнения программы;
― координирования и составления расписания выполнения проектов и других действий, имеющих
отношение к программе мероприятий;
― отбора команд для выполнения проектов мероприятий с гарантией, что члены этих команд имеют
необходимую компетенцию;
― предоставления необходимых ресурсов для команд проектов мероприятий;
― проведения мероприятия в соответствии с программой мероприятий и в пределах согласованных
временных рамок;
© ISO 2013 – Все права сохраняются 7
---------------------- Page: 13 ----------------------
ISO 22398:2013(R)
― регистрации действий мероприятия и подтверждение документами управления и поддержки;
― полной отчетности после действий с последующим извлечением уроков и рекомендаций для
улучшения.
4.3.2 Мониторинг выполнения мероприятия
Менеджеру программы мероприятий следует обеспечить эффективную и рациональную оценку
отдельных проектов мероприятий. Следует принять во внимание метод, использованный для
сравнения в течение действия программы для того, чтобы привести ее в исполнение эффективно и
рационально.
Процессы оценки эффективного исполнения выявляют изменение зрелости организации,
предусматривают сравнение между командами, местоположениями или способностями и определяют
области для разработки в будущих программах. Последовательный метод измерения
функционирования участников, процедуры и способности предусматривают эффективную оценку
выполнения программы мероприятий и подлежат включению в оценочный процесс организации.
Менеджеру программы мероприятий следует гарантировать, что оценочный процесс и критерии
оценивают всю программу, включая отдельные проекты мероприятий, на основе цели и задач
программы. Задачи выполнения мероприятия должны иметь заранее определенные оценочные
критерии и последовательные методы измерений, которые сравнивают результаты проекта
мероприятия за определенное время. Ряд последовательных задач следует применить к отдельным
проектам мероприятий и поставить их в один ряд с задачами программы мероприятий. Примеры
действий, которые могли бы предоставить тенденции выполнения, заключаются в следующем:
― время, которое требуется, чтобы отреагировать на информацию, введенную в мероприятие
(специфические вводные),
― время, которое требуется, чтобы провести каскад вызовов; и
― количество ресурсов, мобилизованных в заданное время или пространство.
4.3.3 Мониторинг программы мероприятий
4.3.3.1 В организации следует обеспечить, чтобы менеджер программ мероприятий осуществлял их
непрерывный контроль и рассматривал потребность в том, чтобы:
― оценить работу членов команды проекта мероприятия;
― оценить способность команды проекта мероприятия реализовать программу мероприятий; и
― оценить обратную связь от высшего руководства, заинтересованных сторон, участников
мероприятия и членов команды проекта мероприятия.
4.3.3.2 Следующие факторы могут определять необходимость видоизменения программы
мероприятий:
― отчеты после действия или действительные полученные данные о происшествии;
― демонстрированный уровень эффективности системы менеджмента в подходящем случае;
― изменения или применение новой системы управления, если устанавливается;
― изменения в плане, ресурсе или способности или новый план, ресурс или способность;
― изменения в стандартах, регулирующих, законодательных и контрактных требованиях или другие
требования, под которым организация ставит свою подпись; и
8 © ISO 2013 – Все права сохраняются
---------------------- Page: 14 ----------------------
ISO 22398:2013(R)
― большие организационные или кадровые изменения.
4.4 Проведение критического анализа и улучшение программы мероприятий
Используя процесс текущего контроля, в программе мероприятий следует гарантировать, что
улучшения идентифицируются из полученных уроков и реализуются для того, чтобы программа
обеспечивала достижение поставленных задач. Менеджеру программы мероприятий следует
осуществлять ее периодический анализ, принимая во внимание следующее:
― новые методы тренировок
― результаты и тенденции, полученные от мониторинга программы мероприятий, и
― развитие потребностей заинтересованных сторон.
Ме
...
INTERNATIONAL ISO
STANDARD 22398
First edition
2013-09-15
Societal security — Guidelines for
exercises
Sécurité sociétale — Lignes directrices pour exercice
Reference number
ISO 22398:2013(E)
©
ISO 2013
---------------------- Page: 1 ----------------------
ISO 22398:2013(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2013
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2013 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 22398:2013(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Planning, conducting and improving an exercise programme . 4
4.1 General . 4
4.2 Planning . 4
4.3 Conducting . 6
4.4 Reviewing and improving the exercise programme . 7
5 Planning, conducting and improving exercise projects . 7
5.1 General . 7
5.2 Planning . 8
5.3 Conducting .19
5.4 Improving .21
6 Continual improvement .21
6.1 General .21
6.2 Evaluation .21
6.3 Management review and corrective action .23
Annex A (informative) Exercises within a management system description .24
Annex B (informative) Needs analysis .27
Annex C (informative) National strategic exercises .29
Annex D (informative) Exercise enhancement .32
Annex E (informative) Creating scenarios through experience .33
Bibliography .35
© ISO 2013 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 22398:2013(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2. www.iso.org/directives
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received. www.iso.org/patents
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 223, Societal security.
iv © ISO 2013 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 22398:2013(E)
Introduction
This International Standard describes the elements of a generic approach to planning, conducting and
improving exercise programmes and projects. The purpose of this International Standard is to:
— provide a basis for understanding, developing and implementing an effective exercise programme
within an organization;
— provide guidelines for planning and conducting an exercise project;
— enhance the organization’s ability to conduct exercises with internal and external involved parties;
— assist the organization with developing and assessing its exercising capability in a consistent and
risk-assessed manner that reflects good practice; and,
— enable continual improvement in exercise programmes and projects within an organization.
It is applicable to all organizations, regardless of type, size and nature, whether private or public. The
guidance can be adapted to the needs, objectives, resources, and constraints of the organization.
Exercises are an important management tool intended to identify gaps and areas for improvement as
well as to determine the effectiveness of response and recovery strategies. In addition to measuring the
competence of the organization and its personnel, exercises are excellent tools to assess revised plans
and changed programmes for completeness, relevancy and accuracy.
Exercises can be used for validating policies, plans, procedures, training, equipment, and inter-
organizational agreements; testing information and communication technology (ICT) disaster recovery
systems; clarifying and training personnel in roles and responsibilities; improving inter-organizational
coordination and communications; identifying gaps in resources; improving individual performance;
identifying opportunities for improvement; and, providing a controlled opportunity to practice
improvisation.
Exercise projects usually have performance objectives such as:
— orientation/demonstration: simulating experience of an expected situation to increase awareness of
vulnerabilities and the importance of effective action in response to the simulated conditions;
— learning: enhancing knowledge, skills, or abilities by individuals or groups with the goal of mastering
specific competencies;
— cooperation: providing an opportunity for people to work together to achieve a common end result;
— experimenting: trying new methods and/or procedures with the intent of refinement; and,
— testing: evaluating a method and/or procedure to assess which components are sufficiently developed.
See Figure 1.
© ISO 2013 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 22398:2013(E)
Exercise Programme
PLANNING CONDUCTING IMPROVING
. . .
Establish programme need Implement programme Review programme
. . .
Develop base of support Monitor programme Improve programme
.
and
Identify aim and objectives
Exercise Project 3 . X
Exercise Project 2
Exercise Project 1
PLANNING
.
Establish the Foundation
.
Scope
.
Project Planning
.
Communications
.
Design and Development
.
Documentation
CONDUCTING
.
Run-through
.
Start-up Brieing
.
Launch
.
Termination
IMPROVING
.
Observation
.
Debrieing
.
After Action Review
Continual Improvement: Evaluation, Management Review and Corrective Action
Figure 1 — Relation between exercise programme, exercise projects and continual improvement
vi © ISO 2013 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 22398:2013(E)
Societal security — Guidelines for exercises
1 Scope
This International Standard recommends good practice and guidelines for an organization to plan,
conduct, and improve its exercise projects which may be organized within an exercise programme.
It is applicable to all organizations regardless of type, size or nature, whether private or public. The
guidance can be adapted to the needs, objectives, resources, and constraints of the organization.
It is intended for use by anyone with responsibility for ensuring the competence of the organization’s
personnel, particularly the leadership of the organization, and those responsible for managing exercise
programmes and exercise projects.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Societal security — Terminology
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
3.1
after-action report
document which records, describes and analyses the exercise, drawing on debriefs and reports from
observers, and derives lessons from it
Note 1 to entry: The after-action report documents the results from the after-action review.
Note 2 to entry: An after-action report is also called a final exercise report.
3.2
competence
demonstrated ability to apply knowledge and skills to achieve intended results
3.3
drill
activity which practices a particular skill and often involves repeating the same thing several times
EXAMPLE A fire drill to practice safely evacuating a building on fire.
3.4
evaluation
systematic process that compares the result of measurement to recognised criteria to determine the
discrepancies between intended and actual performance
Note 1 to entry: The gaps are inputs into the continual improvement process.
© ISO 2013 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO 22398:2013(E)
3.5
exercise
process to train for, assess, practice, and improve performance in an organization
Note 1 to entry: Exercises can be used for validating policies, plans, procedures, training, equipment, and inter-
organizational agreements; clarifying and training personnel in roles and responsibilities; improving inter-
organizational coordination and communications; identifying gaps in resources; improving individual performance
and identifying opportunities for improvement; and a controlled opportunity to practice improvisation.
Note 2 to entry: A test is a unique and particular type of exercise, which incorporates an expectation of a pass or
fail element within the goal or objectives of the exercise being planned.
3.6
exercise coordinator
person responsible for planning, conducting, and evaluating exercise activities
Note 1 to entry: In larger exercises, this function may include several persons/staff and may be called “exercise control”.
Note 2 to entry: Some countries use a term such as “exercise director” instead of “exercise coordinator” (or
similar text).
Note 3 to entry: The exercise coordinator role is also responsible for the cooperation among internal and
external entities.
3.7
exercise programme
series of exercise activities designed to meet an overall objective or goal
3.8
exercise programme manager
person responsible for planning and improving the exercise programme
3.9
exercise project team
persons planning, conducting and evaluating an exercise project
3.10
exercise safety officer
person tasked with ensuring that any actions during the exercise are performed safely
Note 1 to entry: In larger exercises, involving multiple functions, more than one safety officer may be assigned.
3.11
hazard
source of potential harm
Note 1 to entry: A hazard can be a source of risk.
3.12
interested party
person or organization that can affect, be affected by, or perceive themselves to be affected by a
decision or activity
Note 1 to entry: A decision maker can be an interested party.
3.13
inject
scripted piece of information inserted into an exercise designed to elicit a response and facilitate the
flow of the exercise
Note 1 to entry: Injects can be written, oral, televised, and/or transmitted via any means (e.g. fax, phone, e-mail,
voice, radio, or sign).
2 © ISO 2013 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 22398:2013(E)
3.14
management
coordinated activities to direct and control an organization
3.15
observer
exercise participant who witnesses the exercise while remaining separate from exercise activities
Note 1 to entry: Observers may be part of the evaluation process.
3.16
participant
person or organization who performs a function related to an exercise
3.17
risk
effect of uncertainty on objectives
Note 1 to entry: An effect is a deviation from the expected - positive and/or negative.
Note 2 to entry: Objectives can have different aspects (such as financial, health and safety, and environmental
goals) and can apply at different levels (such as strategic, organization-wide, project, product, and process).
Note 3 to entry: Risk is often characterized by reference to potential events, consequences, or a combination of
these and how they can affect the achievement of objectives.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event or a change in
circumstances, and the associated likelihood of occurrence.
Note 5 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of an event, its consequence, or likelihood.
3.18
scenario
pre-planned storyline that drives an exercise, as well as the stimuli used to achieve exercise project
performance objectives
3.19
scope of exercise
magnitude, resources, and extent which reflects the needs and objectives
3.20
script
story of the exercise as it develops which allows directing staff to understand how events should develop
during exercise play as the various elements of the master events list are introduced
Note 1 to entry: The script is often written as a narrative of simulated events.
3.21
target group
individuals and/or organizations subject to exercise
3.22
test
exercise with an aim to obtain an expected measureable pass/fail outcome
Note 1 to entry: A test is a unique and particular type of exercise, which incorporates an expectation of a pass or
fail element within the aim or objectives of the exercise being planned.
Note 2 to entry: The terms “test” and “testing” are not the same as “exercise” and “exercising”.
© ISO 2013 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO 22398:2013(E)
3.23
training
activities designed to facilitate the learning and development of knowledge, skills, and abilities, and to
improve the performance of specific tasks or roles
4 Planning, conducting and improving an exercise programme
4.1 General
An organization conducting exercises should establish an exercise programme. Establishing an exercise
programme allows for a coordinated approach to building and maturing the organization’s capabilities
by allowing the exercising of the individual plans, people, capabilities and/or resources that contribute
to the organization’s strategic objectives.
Top management should ensure that the exercise programme objectives are established and assign
a competent person to manage the exercise programme. The scope of an exercise programme should
be based on the size and nature of the organization undertaking exercising, as well as on the scope,
functionality, complexity and the level of maturity of the plans and capabilities being exercised.
The exercise programme should include the information and resources necessary to organize and
conduct its exercises effectively and efficiently within the specified time frames. It should also include
the following:
— needs analysis;
— base of support;
— exercise programme aim and objectives;
— extent/number/types/duration/locations/schedule of the exercise projects;
— selection of exercise project teams;
— necessary resources and budget; and,
— processes for handling confidentiality, information security, health and safety, and other similar matters.
The organization should monitor and measure the implementation of the exercise programme to ensure
the established objectives have been achieved. The exercise programme should be reviewed in order to
identify possible improvements.
4.2 Planning
4.2.1 Establishing the need for an exercise programme
The organization should perform a needs analysis to identify or establish the following:
— the organization’s strategic objectives;
— the risks to the organization;
— legislative and regulatory requirements;
— the organization’s maturity to respond and/or recover compared to desired objectives, noting gaps
in capability and plans;
— the plans, procedures, capabilities or resources that require exercising;
— the period in which a defined level of response and/or recovery capability (programme scope)
should be met; and,
4 © ISO 2013 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 22398:2013(E)
— the base of support and guide the content of the exercise programme.
4.2.2 Establishing the base of support for an exercise programme
The organization should secure a base of support and commitment from top management to ensure the
appropriate organizational involvement and commitment of resources. Securing a base of support ensures
that the exercise aim and objectives correspond to the organization’s strategic objectives and strategy.
Top management should give the organization a clear mandate and full authority to carry out the
exercise programme. The benefits and advantages of the exercise programme, as determined by the
needs analysis, should be clearly explained and presented to top management, and to those who have
responsibility for the exercise programme.
4.2.3 Establishing the exercise programme aim and objectives
Top management should ensure that the aim and objectives of the exercise programme are established
to direct the exercise planning, conducting and improving and should ensure the exercise programme
is implemented effectively.
Based on the exercise programme aim, the objectives can be based on the following:
— the findings of the needs analysis;
— management priorities;
— management system requirements, as applicable;
— legal, regulatory and contractual requirements and other requirements to which the organization
is committed;
— needs and expectations of interested parties;
— risks to the organization or interested parties;
— reports and results of previous exercises or actual incidents; and,
— the level of organization maturity and its resources being exercised.
NOTE Annex A provides additional information about exercises within a management system.
4.2.4 Roles and responsibilities of the exercise programme manager
The organization should establish the roles and responsibilities of the exercise programme manager
who will be nominated by top management. These roles and responsibilities usually include:
— establishing the scope, aim and performance objectives of the exercise programme, and the scope,
criteria and timeframe of the individual exercise projects based on the objectives;
— identifying, documenting and evaluating the exercise programme risks;
— determining the potential impacts of the exercise project upon the organization’s operations,
reputation and resources;
— estimating the impact of an actual incident occurring during the exercise project;
— establishing the exercise types and methods required to achieve the programme objectives;
— determining necessary resources, including the resources to plan and conduct the exercise;
— selecting the exercise project team;
— developing a procedure to complete documents, and managing and maintaining documentation;
© ISO 2013 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO 22398:2013(E)
— ensuring the implementation of the exercise programme; and,
— monitoring, reviewing and improving the exercise programme.
The exercise programme manager should inform top management of the activities and risks associated
with the exercise programme and obtain approval to proceed with exercising.
The exercise programme manager should have the competence necessary to effectively and efficiently
manage the exercise programme and the associated risks. The exercise programme manager is
accountable to top management for the programme and top management should be responsible for
the exercise programme. The exercise programme manager may form and select one or more teams
to support the delivery of the programme, ensuring that team members are competent to meet their
responsibilities effectively and efficiently.
4.3 Conducting
4.3.1 Implementing the exercise programme
The exercise programme manager should implement the exercise programme by:
— communicating the pertinent parts of the exercise programme to interested parties, and informing
them periodically of its progress;
— coordinating and scheduling exercise projects and other activities relevant to the exercise programme;
— ensuring the selection of exercise project teams whose members have the necessary competence;
— providing necessary resources to the exercise project teams;
— conducting exercises in accordance with the exercise programme and within the agreed upon time
frame;
— recording exercise activities and managing and maintaining documents; and,
— completing after-action reviews and following up on lessons learned and recommendations for
improvement.
4.3.2 Monitoring exercise performance
The exercise programme manager should ensure the effective and efficient evaluation of individual
exercise projects. Consideration should be given to the method used for comparison over the duration of
the programme in order to implement an effective and efficient exercise programme.
Performance evaluation processes identify changing maturity, allow for comparison between teams,
locations or capabilities and identify areas for development in future programmes. A consistent method
of measuring the performance of participants, procedures and capabilities provides for effective
evaluation of the performance of the exercise programme and should be included in the organization’s
evaluation process.
The exercise programme manager should ensure that the evaluation process and criteria assess the entire
programme, inclusive of the individual exercise projects, based on programme aim and objectives. The
exercise performance objectives should have predefined evaluation criteria and consistent measurement
methods that compare exercise project results over time. A number of consistent objectives should be
applied to individual exercise projects, and aligned to the exercise programme objectives. Examples of
activities that could provide performance trends are the:
— time taken to respond to the information inserted into an exercise (specific injects);
— time taken to conduct a call cascade; and,
— number of resources mobilized in a given time or space.
6 © ISO 2013 – All rights reserved
---------------------- Page: 12 ----------------------
ISO 22398:2013(E)
4.3.3 Monitoring the exercise programme
4.3.3.1 The organization should ensure the exercise programme manager continuously monitors the
exercise programme implementation, and considers the need to:
— evaluate the performance of the exercise project team members;
— evaluate the ability of the exercise project team to implement the exercise programme; and,
— evaluate feedback from top management, interested parties, exercise participants and exercise
project team members.
4.3.3.2 The following factors may determine the need to modify the exercise programme:
— after-action reports or actual incident findings;
— demonstrated level of management system effectiveness, where appropriate;
— changes to, or the implementation of, a new management system, if established;
— changes to, or a new, plan, resource or capability;
— changes to standards, regulatory, legal and contractual requirements and other requirements to
which the organization subscribes; and,
— major organizational or personnel changes.
4.4 Reviewing and improving the exercise programme
Through the process of monitoring, the exercise programme should ensure improvements are identified
from the lessons learned and implemented to ensure the programme achieves established objectives.
The exercise programme manager should conduct regular reviews, considering:
— new exercise methods;
— results and trends from exercise programme monitoring; and,
— evolving needs of interested parties.
The exercise programme manager should report results of the review to top management.
5 Planning, conducting and improving exercise projects
5.1 General
As each individual exercise requires planning, the organization should manage each exercise as a project.
This section provides guidance on planning and conducting an exercise project.
The level of planning will likely vary based on the requirements for the exercise and the constraints that
affect the programme.
The organization should follow three steps to deliver an exercise that meets the exercise programme
objectives:
a) plan the exercise;
b) conduct the exercise; and,
c) evaluate the exercise and its results.
© ISO 2013 – All rights reserved 7
---------------------- Page: 13 ----------------------
ISO 22398:2013(E)
5.2 Planning
5.2.1 General
The organization should design and develop the exercise based on the needs analysis and the scope of
the exercise project. Project planning includes developing the aim and performance objectives for the
exercise, designing the scenario, creating the documentation, managing logistics, planning the exercises
to be conducted and planning for continual improvement.
5.2.2 Establish the foundation of the exercise project
5.2.2.1 Needs analysis
The organization should perform a needs analysis with the following expected outcomes:
— a statement of the need for exercises;
— a firm base of support
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.