Get 4 FREE months of Conformio to implement ISO 27001

Što je BS 25999?

Što je BS 25999? - 27001Academy
ISO 22301 PREDLOŠCI
Što je BS 25999? - 27001Academy
ISO 27001 TEČAJEVI
Što je BS 25999? - 27001Academy
BESPLATNI MATERIJALI

Vodeća norma za kontinuitet poslovanja

BS 25999-2 je bio britanski standard izdan 2007. godine, i brzo je postao glavni standard za upravljanje kontinuitetom poslovanja - 2012.godine ga je zamijenio ISO 22301.

Kao i ISO 27001, ISO 9001, ISO 14001 i ostale norme koje propisuju sustave upravljanja, i BS 25999-2 propisuje sustav upravljanja kontinuitetom poslovanja (engl. BCMS – business continuity management system) koji u sebi sadrži iste četiri faze upravljanja: planiranje, implementaciju, pregledavanje i praćenje, te na kraju poboljšavanje. Smisao te četiri faze jest da se sustav kontinuirano ažurira i poboljšava, kako bi bio upotrebljiv u situacijama kada dođe do havarije.

Neke od ključnih postupaka i dokumenata koje BS 25999-2 propisuje su sljedeći:

  • opseg BCMS-a – precizno određivanje na koji dio organizacije se primjenjuje upravljanje kontinuitetom poslovanja
  • politika BCM-a – određivanje ciljeva, odgovornosti i sl.
  • upravljanje ljudskim resursima
  • analiza utjecaja na poslovanje i procjena rizika
  • određivanje strategije kontinuiteta poslovanja
  • planovi kontinuiteta poslovanja
  • održavanje planova i sustava; poboljšavanje

Upravljanje ljudskim resursima

Norma propisuje da je potrebno odrediti potrebna znanja i vještine za osoblje, odrediti koje su obuke potrebne, provesti takve obuke, provjeriti da li su postignuta potrebna znanja i vještine, te da je potrebno održavati zapise.

BS 25999-2 također zahtijeva da se provode programi osvješćivanja, ali i da se prema djelatnicima komunicira važnost upravljanja kontinuitetom poslovanja.

Analiza utjecaja na poslovanje i procjena rizika

Tijekom analize utjecaja na poslovanje se analizira koje bitne aktivnosti postoje u organizaciji, koliko je maksimalno tolerirano vrijeme prekida, međuovisnosti pojedinih aktivnosti, određuje se koje su aktivnosti kritične, istražuje koji aranžmani postoje s dobavljačima i outsourcing partnerima, te na kraju postavlja ciljano vrijeme oporavka.

Procjena rizika se provodi kako bi se ustanovilo do kojih havarija odnosno drugih prekida u poslovanju može doći, koje su njihove posljedice, ali isto tako i koje ranjivosti i prijetnje mogu dovesti do pojave takvih prekida u poslovanju. Temeljem takve procjene organizacija određuje kako će umanjiti vjerojatnost pojave rizika, i na koji način će se isti ublažiti ako do njih dođe.

Određivanje strategije kontinuiteta poslovanja

Strategija je određivanje na koji način će se organizacija oporaviti ako dođe do havarije. Strategija se određuje na temelju rezultata procjene rizika i analize utjecaja na poslovanje, i obično uključuje alternativne lokacije, opcije oporavka podataka, oporavka ljudskih resursa, komunikacija, opreme, kako upravljati s dobavljačima i outsourcing partnerima i sl.

Plan kontinuiteta poslovanja

Plan kontinuiteta poslovanja uključuje planove odziva na incident, aktivacijske procedure za plan kontinuiteta poslovanja i planove oporavka kritičnih aktivnosti – svi oni pišu se na temelju strategije kontinuiteta poslovanja.

Plan odziva na incident mora odrediti način određivanja vrste incidenta, kanale komunikacije, određivanje vrste odziva, odgovornosti i sl.

Planovi oporavka moraju odrediti uloge i odgovornosti, ključne korake za oporavak, lokacije, koje resurse je potrebno koristiti i gdje se isti nalaze, koji su prioriteti, na koji način postupiti kada se oporavak završi i sl.

Održavanje planova i sustava; poboljšavanje

Norma propisuje sljedeće:

  • redovito vježbanje i testiranje planova kako bi se osoblje bolje upoznalo s planovima i provjerilo njihovu ažurnost
  • provedba internih audita u redovitim intervalima
  • poduzimanje pregleda od strane menadžmenta kako bi se osiguralo da BCMS funkcionira i da se poduzmu odgovarajuća poboljšanja
  • poduzimanje preventivnih i korektivnih mjera kako bi se unaprijedili ne samo planovi, već i ostali elementi sustava

Dokumentacija

BS 25999-2 zahtijeva sljedeću dokumentaciju:

  • opseg BCM-a
  • politika BCM-a
  • određene odgovornosti za BCM
  • procedure za upravljanje dokumentacijom i zapisima, za korektivne i preventivne mjere
  • metodologija za analizu utjecaja na poslovanje, kao i rezultati te analize
  • metodologija za procjenu rizika
  • strategija kontinuiteta poslovanja
  • plan kontinuiteta poslovanja koji uključuje plan(ove) odziva na incident i plan(ove) oporavka
  • zapise

Količina dokumentacije ovisi o broju kritičnih aktivnosti pojedine organizacije – organizacija koja ima manji broj kritičnih aktivnosti imat će manju količinu dokumentacije vezanu za analizu utjecaja na poslovanje, procjenu rizika i planove kontinuiteta poslovanja, dok će velike organizacije imati bitno opsežniju dokumentaciju.

Ostali povezani standardi

Osim norme BS 25999-2 postoji i norma BS 25999-1 koja je „pomoćna” norma i detaljnije opisuje na koji način provesti određene dijelove BS 25999-2.

Također je korisna i norma ISO 27001 koja kontinuitet poslovanja stavlja u širi kontekst informacijske sigurnosti, te norma ISO 27005 koja detaljnije opisuje proces procjene rizika.