Set van documentatiesjablonen voor de implementatie van cyberbeveiliging nalevend met ISO 27001.
Set van documentatiesjablonen voor de implementatie van bedrijf continuïteit nalevend met ISO 22301.
Alles-in-een nalevingsoftware die 90% van hetwerk voor u doet en de ISO 27001 naleving op de automatische pilootzet.
Voor beginners: Leer de structuur van de norm en de stappen van de implementatie.
Voor interne auditors: Leer over de norm + hoe de audit te plannen en uit te voeren.
Voor consultants: Leer hoe implementatie projecten te leiden.
Voor auditors en consultants: Leer hoe een certificatie audit uit te voeren.
Rechtdoorzee en toch gedetailleerde uitleg over ISO 27001.
Download gratis White Papers, checklists, sjablonen en diagrammen.
Gratis Webinars over ISO 27001 en ISO 22301 geleverd door leidende experts.
Ervaren ISO 27001 en ISO 22301 auditors, trainers en consultants die klaar staan om u te helpen met uw implementatie.
We maken normen & reguleringen gemakkelijk te begrijpen en eenvoudig te implementeren.
Stel elke vraag over de implementatie, documentatie, certificering, training, etc.
BS 25999-2 was een Britse norm die in 2007 werd uitgegeven, en die al snel de hoofdnorm voor bedrijfscontinuïteitsbeheer werd – in 2012 werd het vervangen door ISO 22301.
Net als ISO 27001, ISO 9001, ISO 14001 en andere gelijksoortige standaarden, definieert BS 25999-2 een managementsysteem voor bedrijfscontinuïteit, met vier fases voor management: planning, implementatie, beoordeling en monitoren, en tenslotte verbetering. Het doel van deze vier fases is dat het systeem continu wordt geüpdatet en verbeterd, zodat het bruikbaar is in tijden van storing.
Een aantal sleutelprocedures en -documenten die door BS 25999-2 worden vereist is:
De standaard vermeldt dat het van groot belang is om noodzakelijke kennis en vaardigheden te bepalen, om noodzakelijke trainingen te identificeren, om zulke trainingen te geven, om te controleren of de nodige kennis en vaardigheden verkregen zijn en om dit alles administratief bij te houden.
BS 25999-2 vereist ook het uitvoeren van bewustwordingsprogramma’s, en het duidelijk maken van het belang van bedrijfscontinuïteitsbeheer aan werknemers.
Business impact analyse gaat om belangrijke activiteiten in een organisatie, bepaalt de maximaal toegestane storingsperiode, de interafhankelijkheid van individuele acties, bepaalt welke activiteiten kritiek zijn, verkent de bestaande regelingen met leveranciers en partners, en stelt de Recovery Time Objective vast.
Risicobeoordeling wordt uitgevoerd om vast te stellen welke verstoringen van zakelijke operaties zich voor kunnen doen, wat dan de consequenties zijn, en ook welke zwakheden en dreigingen voor dergelijke verstoringen kunnen zorgen. Op basis van deze beoordeling bepaalt de organisatie het risico, en hoe de eventuele gevolgen het beste kunnen worden opgevangen.
Deze strategie verwijst naar de manier waarop een organisatie herstelt van een verstoring. De strategie wordt bepaald op basis van de resultaten van de risicobeoordeling en business impact analyse, en behelst meestal alternatieve lokaties, mogelijkheden voor dataherstel, herstel van human resources, communicatie, materieel, beheer van leveranciers en partners, etc.
Een bedrijfscontinuïteitsplan bevat plannen voor de reactie op een incident, {activatieprocedures voor bedrijfscontinuïteitsplan}, alsmede herstelplannen voor kritieke activiteiten – dit is allemaal geschreven op basis van de strategie voor bedrijfscontinuïteit.
Een storingsopvangplan moet de manier aangeven waarop storingen, communicatiekanalen, opvangmethodes, verantwoordelijkheden, etc. worden bepaald.
Noodplannen moet rollen en verantwoordelijkheden, belangrijke stappen voor herstel, lokaties, bruikbare middelen en hun plek, prioriteiten, handelingen voor na herstel, etc. specificeren.
De standaard verwacht het volgende:
BS 25999-2 vereist de volgende documenten:
De hoeveelheid documentatie hangt af van het aantal kritieke activiteiten in een organisatie – als dit aantal klein is, zullen er ook weinig documenten rond business impact analyse, risicobeoordeling en bedrijfscontinuïteitsplannen nodig zijn. Grotere bedrijven hebben vaak ook uitgebreidere documentatie nodig.
Naast BS 25999-2 is BS 25999-1 een “hulpstandaard” die meer details geeft over de precieze implementatie van bepaalde delen van BS 25999-2.
Andere nuttige standaarden zijn ISO 27001,die bedrijfscontinuïteit in de bredere context van informatiebeveiliging plaatst, en ISO 27005, die in detail beschrijft hoe het proces van risicobeoordeling verlopen moet.