Take the ISO 27001 course exam and get the
EU GDPR course exam for free
EU GDPR course exam for free
LIMITED-TIME OFFER – ENDS MARCH 30, 2023
BS 25999-2 was een Britse norm die in 2007 werd uitgegeven, en die al snel de hoofdnorm voor bedrijfscontinuïteitsbeheer werd – in 2012 werd het vervangen door ISO 22301.
Net als ISO 27001, ISO 9001, ISO 14001 en andere gelijksoortige standaarden, definieert BS 25999-2 een managementsysteem voor bedrijfscontinuïteit, met vier fases voor management: planning, implementatie, beoordeling en monitoren, en tenslotte verbetering. Het doel van deze vier fases is dat het systeem continu wordt geüpdatet en verbeterd, zodat het bruikbaar is in tijden van storing.
Een aantal sleutelprocedures en -documenten die door BS 25999-2 worden vereist is:
De standaard vermeldt dat het van groot belang is om noodzakelijke kennis en vaardigheden te bepalen, om noodzakelijke trainingen te identificeren, om zulke trainingen te geven, om te controleren of de nodige kennis en vaardigheden verkregen zijn en om dit alles administratief bij te houden.
BS 25999-2 vereist ook het uitvoeren van bewustwordingsprogramma’s, en het duidelijk maken van het belang van bedrijfscontinuïteitsbeheer aan werknemers.
Business impact analyse gaat om belangrijke activiteiten in een organisatie, bepaalt de maximaal toegestane storingsperiode, de interafhankelijkheid van individuele acties, bepaalt welke activiteiten kritiek zijn, verkent de bestaande regelingen met leveranciers en partners, en stelt de Recovery Time Objective vast.
Risicobeoordeling wordt uitgevoerd om vast te stellen welke verstoringen van zakelijke operaties zich voor kunnen doen, wat dan de consequenties zijn, en ook welke zwakheden en dreigingen voor dergelijke verstoringen kunnen zorgen. Op basis van deze beoordeling bepaalt de organisatie het risico, en hoe de eventuele gevolgen het beste kunnen worden opgevangen.
Deze strategie verwijst naar de manier waarop een organisatie herstelt van een verstoring. De strategie wordt bepaald op basis van de resultaten van de risicobeoordeling en business impact analyse, en behelst meestal alternatieve lokaties, mogelijkheden voor dataherstel, herstel van human resources, communicatie, materieel, beheer van leveranciers en partners, etc.
Een bedrijfscontinuïteitsplan bevat plannen voor de reactie op een incident, {activatieprocedures voor bedrijfscontinuïteitsplan}, alsmede herstelplannen voor kritieke activiteiten – dit is allemaal geschreven op basis van de strategie voor bedrijfscontinuïteit.
Een storingsopvangplan moet de manier aangeven waarop storingen, communicatiekanalen, opvangmethodes, verantwoordelijkheden, etc. worden bepaald.
Noodplannen moet rollen en verantwoordelijkheden, belangrijke stappen voor herstel, lokaties, bruikbare middelen en hun plek, prioriteiten, handelingen voor na herstel, etc. specificeren.
De standaard verwacht het volgende:
BS 25999-2 vereist de volgende documenten:
De hoeveelheid documentatie hangt af van het aantal kritieke activiteiten in een organisatie – als dit aantal klein is, zullen er ook weinig documenten rond business impact analyse, risicobeoordeling en bedrijfscontinuïteitsplannen nodig zijn. Grotere bedrijven hebben vaak ook uitgebreidere documentatie nodig.
Naast BS 25999-2 is BS 25999-1 een “hulpstandaard” die meer details geeft over de precieze implementatie van bepaalde delen van BS 25999-2.
Andere nuttige standaarden zijn ISO 27001,die bedrijfscontinuïteit in de bredere context van informatiebeveiliging plaatst, en ISO 27005, die in detail beschrijft hoe het proces van risicobeoordeling verlopen moet.
