O que é a BS 25999?

O que é a BS 25999? - 27001Academy
MODELOS ISO 22301
O que é a BS 25999? - 27001Academy
CURSOS ISO 27001
O que é a BS 25999? - 27001Academy
MATERIAIS GRATUITOS

Uma das principais normas de continuidade de negócios

A BS-25999-2 era uma norma Britânica publicada em 2007, e rapidamente tornou-se a principal norma para gestão de continuidade de negócio – ela foi substituída pela ISO 22301 em 2012.

Assim como a ISO 27001, a ISO 9001, a ISO 14001 e outras normas que definem os sistemas de gestão, a BS 25999-2 também define um sistema de gestão de continuidade de negócios que contém as mesmas quatro fases de gestão (planejamento , implementação, análise e monitoramento), bem como melhorias. O objetivo dessas quatro fases é que o sistema seja constantemente atualizado e melhorado a fim de ser útil quando ocorre uma catástrofe.

A seguir estão alguns dos principais procedimentos e documentos exigidos pela BS 25999-2:

  • objetivo do SGCN – identificação precisa da área da organização em que a gestão de continuidade de negócios é aplicada
  • Política de GCN – definição de objetivos, responsabilidades, etc.
  • gestão de recursos humanos
  • análise de impacto nos negócios e avaliação de riscos
  • definição da estratégia de continuidade de negócios
  • planos de continuidade de negócios
  • manutenção de planos e sistemas; melhoria

Gestão de recursos humanos

A norma diz que é essencial determinar as habilidades e o conhecimento necessários para identificar as sessões de treinamento necessárias, para realizar essas sessões de treinamento, para verificar se as habilidades e os conhecimentos necessários foram obtidos e para determinar quais registros devem ser mantidos.

A BS 25999-2 também exige a realização de programas de conscientização e comunicação da importância da gestão de continuidade de negócios para os funcionários.

Análise de impacto nos negócios e avaliação de riscos

A análise de impacto nos negócios lida com atividades importantes em uma organização, define o período máximo tolerado de interrupção, a interdependência das ações individuais, além de determinar quais atividades são críticas, explorar os acordos existentes com os fornecedores e parceiros de terceirização e definir o tempo de recuperação.

A avaliação de riscos é realizada para determinar quais desastres e outras interrupções nas operações de negócios podem ocorrer e quais são suas consequências, bem como quais são as vulnerabilidades e ameaças que podem resultar nessas interrupções nos negócios. Com base nessa avaliação, a organização determina como reduzir a probabilidade de riscos e como diminuir o impacto em caso de concretização dos riscos.

Definição da estratégia de continuidade de negócios

Uma estratégia refere-se à definição de como a organização se recuperará em caso de desastre. A estratégia é determinada com base nos resultados da avaliação de riscos e da análise de impacto nos negócios. Ela geralmente envolve localizações alternativas, opções de recuperação de dados, recuperação de recursos humanos, comunicações, equipamentos, gestão de fornecedores e parceiros de terceirização, etc.

Plano de continuidade de negócios

O plano de continuidade de negócios inclui os planos de resposta a incidentes, {procedimentos de ativação do plano de continuidade de negócios} e os planos de recuperação para atividades críticas. Todos eles são escritos com base na estratégia de continuidade de negócios.

Um plano de resposta a incidentes deve especificar a forma de determinar os tipos de incidentes, os canais de comunicação, os tipos de resposta, as responsabilidades, etc.

Os planos de recuperação devem especificar as funções e responsabilidades, as principais etapas para a recuperação, os locais, os recursos a serem utilizados e onde eles estão localizados, as prioridades, as ações a serem tomadas após a conclusão da recuperação, etc.

Manutenção dos planos e do sistema; melhoria

A norma estabelece:

  • exercícios e testes regulares de planos para tornar o pessoal mais familiarizado com os planos e para verificar o seu nível de atualização
  • a realização de auditorias internas a intervalos regulares
  • análises críticas da gestão para garantir que o SGCN está funcionando e para fazer as melhorias adequadas
  • a tomada de ações preventivas e corretivas para melhorar não só planos, mas também outros elementos do sistema

Documentação

A BS 25999-2 exige os seguintes documentos:

  • o objetivo da GCN
  • a Política de GCN
  • as responsabilidades específicas para a GCN
  • os procedimentos de gestão de documentos e registros e os procedimentos para ações corretivas e preventivas
  • a metodologia da análise crítica da gestão e os resultados dessa análise
  • a metodologia de avaliação de riscos
  • a estratégia de continuidade de negócios
  • o plano de continuidade de negócios que inclui o(s) plano(s) de resposta a incidentes e o(s) plano(s) de recuperação
  • os registros

A quantidade de documentação depende da quantidade de atividades críticas em uma organização; uma organização com uma pequena quantidade de atividades críticas também terá uma pequena quantidade de documentação relacionada à análise de impacto nos negócios, à avaliação de riscos e aos planos de continuidade de negócios, enquanto a documentação de organizações maiores será muito mais extensa.

Outras normas relacionadas

Além da BS 25999-2, a BS 25999-1 é uma norma “auxiliar” que fornece mais detalhes sobre como implementar partes específicas da BS 25999-2.

Outras normas úteis são a ISO 27001, que aborda a continuidade de negócios em um contexto mais amplo de segurança da informação, e a ISO 27005, que fornece uma descrição detalhada do processo de avaliação de riscos.