Wat is BS 25999?

“Een toonaangevende standaard voor bedrijfscontinuïteit

BS 25999-2 was een Britse norm die in 2007 werd uitgegeven, en die al snel de hoofdnorm voor bedrijfscontinuïteitsbeheer werd – in 2012 werd het vervangen door ISO 22301.

Net als ISO 27001, ISO 9001, ISO 14001 en andere gelijksoortige standaarden, definieert BS 25999-2 een managementsysteem voor bedrijfscontinuïteit, met vier fases voor management: planning, implementatie, beoordeling en monitoren, en tenslotte verbetering. Het doel van deze vier fases is dat het systeem continu wordt geüpdatet en verbeterd, zodat het bruikbaar is in tijden van storing.

Een aantal sleutelprocedures en -documenten die door BS 25999-2 worden vereist is:

• Reikwijdte van het BCMS – precieze bepaling van dat deel van de organisatie waarvoor bedrijfscontinuïteit beheerd moet worden
• BCM-beleid – bepalen van doelen, verantwoordelijkheden, etc.
• Human resource management
• Business impact analyse en risicobeoordeling
• Bepaling strategie bedrijfscontinuïteit
• Plannen voor bedrijfscontinuïteit
• Handhaving van plannen en systemen; verbetering

Human resources management

De standaard vermeldt dat het van groot belang is om noodzakelijke kennis en vaardigheden te bepalen, om noodzakelijke trainingen te identificeren, om zulke trainingen te geven, om te controleren of de nodige kennis en vaardigheden verkregen zijn en om dit alles administratief bij te houden.

BS 25999-2 vereist ook het uitvoeren van bewustwordingsprogramma’s, en het duidelijk maken van het belang van bedrijfscontinuïteitsbeheer aan werknemers.

Business impact analyse en risicobeoordeling

Business impact analyse gaat om belangrijke activiteiten in een organisatie, bepaalt de maximaal toegestane storingsperiode, de interafhankelijkheid van individuele acties, bepaalt welke activiteiten kritiek zijn, verkent de bestaande regelingen met leveranciers en partners, en stelt de Recovery Time Objective vast.

Risicobeoordeling wordt uitgevoerd om vast te stellen welke verstoringen van zakelijke operaties zich voor kunnen doen, wat dan de consequenties zijn, en ook welke zwakheden en dreigingen voor dergelijke verstoringen kunnen zorgen. Op basis van deze beoordeling bepaalt de organisatie het risico, en hoe de eventuele gevolgen het beste kunnen worden opgevangen.

Een strategie voor bedrijfscontinuïteit bepalen

Deze strategie verwijst naar de manier waarop een organisatie herstelt van een verstoring. De strategie wordt bepaald op basis van de resultaten van de risicobeoordeling en business impact analyse, en behelst meestal alternatieve lokaties, mogelijkheden voor dataherstel, herstel van human resources, communicatie, materieel, beheer van leveranciers en partners, etc.

Bedrijfscontinuïteitsplan

Een bedrijfscontinuïteitsplan bevat plannen voor de reactie op een incident, {activatieprocedures voor bedrijfscontinuïteitsplan}, alsmede herstelplannen voor kritieke activiteiten – dit is allemaal geschreven op basis van de strategie voor bedrijfscontinuïteit.

Een storingsopvangplan moet de manier aangeven waarop storingen, communicatiekanalen, opvangmethodes, verantwoordelijkheden, etc. worden bepaald.

Noodplannen moet rollen en verantwoordelijkheden, belangrijke stappen voor herstel, lokaties, bruikbare middelen en hun plek, prioriteiten, handelingen voor na herstel, etc. specificeren.

Handhaving plannen en systeem; verbetering

De standaard verwacht het volgende:

• Regelmatige oefening en testen van de plannen, om de werknemers bekend met ze te maken en om hun relevantie te controleren
• Periodiek interne audits
• Directiebeoordelingen organiseren om er zeker van te zijn dat het BCMS functioneert, en gepaste verbeteringen doorvoeren
• Preventieve en corrigerende maatregelen treffen om de plannen en andere elementen van het systeem te verbeteren

Documentatie

BS 25999-2 vereist de volgende documenten:

• De reikwijdte van het BCM
• Het BCM-beleid
• Specifieke verantwoordelijkheden voor het BCM
• Procedures voor het beheren van documenten en administratie, procedures voor corrigerende en preventieve maatregelen
• Methodologie business impact analyse,en resultaten van de analyse
• Methodologie risicobeoordeling
• Strategie bedrijfscontinuïteit
• Bedrijfscontinuïteitsplan, inclusief storingsopvangplan(nen) en noodplan(nen)
• Logboeken/administratie

De hoeveelheid documentatie hangt af van het aantal kritieke activiteiten in een organisatie – als dit aantal klein is, zullen er ook weinig documenten rond business impact analyse, risicobeoordeling en bedrijfscontinuïteitsplannen nodig zijn. Grotere bedrijven hebben vaak ook uitgebreidere documentatie nodig.

Verwante standaarden

Naast BS 25999-2 is BS 25999-1 een “hulpstandaard” die meer details geeft over de precieze implementatie van bepaalde delen van BS 25999-2.

Andere nuttige standaarden zijn ISO 27001,die bedrijfscontinuïteit in de bredere context van informatiebeveiliging plaatst, en ISO 27005, die in detail beschrijft hoe het proces van risicobeoordeling verlopen moet.