Что такое BS 25999?

Ведущий стандарт по непрерывности бизнеса

BS 25999-2 ― это Британский стандарт, изданный в 2007 году, который быстро стал основным стандартом управления непрерывностью бизнеса. И хотя это Британский национальный стандарт, он используется во многих странах мира. Предполагается, что в скором времени он будет принят в качестве международного стандарта (ISO 22301).

Как и другие стандарты, определяющие системы управления (такие как ISO 27001, ISO 9001, ISO 14001 и пр.), стандарт BS 25999-2 также определяет систему управления непрерывностью бизнеса, которая содержит четыре аналогичных этапа: планирование, внедрение, анализ, контроль и, наконец, улучшение. Характерной чертой этих четырёх этапов является то, что система постоянно обновляется и улучшается для того, чтобы быть полезной в случае аварийной ситуации. Ниже перечислены некоторые ключевые процедуры и документы, необходимые для BS 25999-2:

• Область применения системы управления непрерывностью бизнеса – точное определение той части организации, к которой применяется управление непрерывностью бизнеса
• Политика управления непрерывностью бизнеса – определение целей, обязанностей и т.д.
• Управление персоналом
• Анализ последствий для деятельности и оценка рисков
• Определение стратегии для обеспечения непрерывности бизнеса
• Планы непрерывности бизнеса
• Соблюдение планов и систем; усовершенствование

Управление персоналом

Ключевые процедуры
Управление персоналом
Стандарт устанавливает, что крайне важно определять необходимые знания и навыки; устанавливать и проводить необходимые тренинги; проверять, были ли достигнуты требуемые знания и навыки, и вести записи. BS 25999-2 также требует проведения ознакомительных программ и информирования сотрудников о важности управления непрерывностью бизнеса.

Анализ последствий для деятельности и оценка рисков

Анализ последствий для деятельности рассматривает важную деятельность организации, определяет максимально допустимый период сбоя, описывает взаимозависимость отдельных действий, определяет, какие действия являются критическими, исследует существующие взаимоотношения с поставщиками и привлечёнными сторонними партнёрами и, наконец, устанавливает целевое время восстановления.

Оценка рисков проводится с целью установить, какие сбои и прочие нарушения в хозяйственной деятельности могут возникнуть, каковы могут быть их последствия, а также какие уязвимости и угрозы могут привести к подобным сбоям в работе организации. На основе такой оценки, организация определяет, как снизить вероятность риска и как его сгладить в случае возникновения.

Определение стратегии непрерывности бизнеса

Стратегия заключается в определении того, каким образом организация будет восстанавливаться в случае аварии. Стратегия определяется на основе результатов оценки рисков и анализа последствий для деятельности и обычно включает в себя альтернативные местоположения, варианты восстановления данных, восстановление человеческих ресурсов, коммуникации, оборудование, управление поставщиками, привлечение сторонних партнёров и т.д.
 

План непрерывности бизнеса

План по обеспечению непрерывности бизнеса включает в себя планы для реагирования на инциденты, процедуры активации для плана непрерывности бизнеса и планы восстановления для критических работ. Все они написаны на основе стратегии непрерывности бизнеса.

План реагирования на инциденты должен включать способ определения видов инцидентов, каналов связи, типов реагирования, обязанностей и пр.

Планы по восстановлению должны определять роли и обязанности, ключевые шаги для восстановления, местоположения, ресурсы, которые необходимо использовать, а также место их нахождения, приоритеты, какие действия необходимо предпринимать после завершения восстановления и пр.

Соблюдение планов и систем; усовершенствование

Стандарт предусматривает следующее:

• Регулярные учения и испытания по планам с целью более тесного знакомства персонала с планами и проверки их информированности
• Проведение внутренних аудитов на регулярной основе
• Анализ управления для гарантии того, что система управления непрерывностью бизнеса работает, и для внесения соответствующих усовершенствований
• Выполнение предупреждающих и корректирующих действий, чтобы усовершенствовать не только планы, но и другие элементы системы

Документация

Другие родственные стандарты

В дополнение к BS 25999-2 и BS 25999-1 существует и «дополнительный» стандарт, который содержит больше подробностей того, как внедрять конкретные части BS 25999-2.

Другими полезными стандартами являются ISO 27001, который даёт непрерывность бизнеса в более широком контексте информационной безопасности, и ISO 27005, который даёт подробное описание процесса оценки рисков.