Что такое BS 25999?

Ведущий стандарт по непрерывности бизнеса

BS 25999-2 ― это Британский стандарт, изданный в 2007 году, который быстро стал основным стандартом управления непрерывностью бизнеса. И хотя это Британский национальный стандарт, он используется во многих странах мира. Предполагается, что в скором времени он будет принят в качестве международного стандарта (ISO 22301).

Как и другие стандарты, определяющие системы управления (такие как ISO 27001, ISO 9001, ISO 14001 и пр.), стандарт BS 25999-2 также определяет систему управления непрерывностью бизнеса, которая содержит четыре аналогичных этапа: планирование, внедрение, анализ, контроль и, наконец, улучшение. Характерной чертой этих четырёх этапов является то, что система постоянно обновляется и улучшается для того, чтобы быть полезной в случае аварийной ситуации. Ниже перечислены некоторые ключевые процедуры и документы, необходимые для BS 25999-2:

  • Область применения системы управления непрерывностью бизнеса – точное определение той части организации, к которой применяется управление непрерывностью бизнеса
  • Политика управления непрерывностью бизнеса – определение целей, обязанностей и т.д.
  • Управление персоналом
  • Анализ последствий для деятельности и оценка рисков
  • Определение стратегии для обеспечения непрерывности бизнеса
  • Планы непрерывности бизнеса
  • Соблюдение планов и систем; усовершенствование

Управление персоналом

Ключевые процедуры
Управление персоналом
Стандарт устанавливает, что крайне важно определять необходимые знания и навыки; устанавливать и проводить необходимые тренинги; проверять, были ли достигнуты требуемые знания и навыки, и вести записи. BS 25999-2 также требует проведения ознакомительных программ и информирования сотрудников о важности управления непрерывностью бизнеса.

Анализ последствий для деятельности и оценка рисков

Анализ последствий для деятельности рассматривает важную деятельность организации, определяет максимально допустимый период сбоя, описывает взаимозависимость отдельных действий, определяет, какие действия являются критическими, исследует существующие взаимоотношения с поставщиками и привлечёнными сторонними партнёрами и, наконец, устанавливает целевое время восстановления.

Оценка рисков проводится с целью установить, какие сбои и прочие нарушения в хозяйственной деятельности могут возникнуть, каковы могут быть их последствия, а также какие уязвимости и угрозы могут привести к подобным сбоям в работе организации. На основе такой оценки, организация определяет, как снизить вероятность риска и как его сгладить в случае возникновения.

 

Определение стратегии непрерывности бизнеса

Стратегия заключается в определении того, каким образом организация будет восстанавливаться в случае аварии. Стратегия определяется на основе результатов оценки рисков и анализа последствий для деятельности и обычно включает в себя альтернативные местоположения, варианты восстановления данных, восстановление человеческих ресурсов, коммуникации, оборудование, управление поставщиками, привлечение сторонних партнёров и т.д.
 

План непрерывности бизнеса

План по обеспечению непрерывности бизнеса включает в себя планы для реагирования на инциденты, процедуры активации для плана непрерывности бизнеса и планы восстановления для критических работ. Все они написаны на основе стратегии непрерывности бизнеса.

План реагирования на инциденты должен включать способ определения видов инцидентов, каналов связи, типов реагирования, обязанностей и пр.

Планы по восстановлению должны определять роли и обязанности, ключевые шаги для восстановления, местоположения, ресурсы, которые необходимо использовать, а также место их нахождения, приоритеты, какие действия необходимо предпринимать после завершения восстановления и пр.

Соблюдение планов и систем; усовершенствование

Стандарт предусматривает следующее:

  • Регулярные учения и испытания по планам с целью более тесного знакомства персонала с планами и проверки их информированности
  • Проведение внутренних аудитов на регулярной основе
  • Анализ управления для гарантии того, что система управления непрерывностью бизнеса работает, и для внесения соответствующих усовершенствований
  • Выполнение предупреждающих и корректирующих действий, чтобы усовершенствовать не только планы, но и другие элементы системы

Документация

BS 25999-2 требует следующей документации:

  • Область применения управления непрерывностью бизнеса
  • Политика управления непрерывностью бизнеса
  • Конкретные обязанности для управления непрерывностью бизнеса
  • Процедуры для управления документацией и записями, процедуры для корректирующих и предупреждающих действий
  • Методология анализа последствий для деятельности и результаты анализа
  • Методология оценки рисков
  • Стратегия непрерывности бизнеса
  • План непрерывности бизнеса, включающий план(-ы) реагирование на инциденты и план(-ы) восстановления
  • Записи

Количество документов зависит от числа критических работ на предприятии. В организации с небольшим числом критических работ будет также и небольшое количество документов, связанных с анализом последствий для деятельности, оценкой рисков и планами по непрерывности бизнеса. А в компании большего размера и объём документации будет расширенный.

Другие родственные стандарты

В дополнение к BS 25999-2 и BS 25999-1 существует и «дополнительный» стандарт, который содержит больше подробностей того, как внедрять конкретные части BS 25999-2.

Другими полезными стандартами являются ISO 27001, который даёт непрерывность бизнеса в более широком контексте информационной безопасности, и ISO 27005, который даёт подробное описание процесса оценки рисков.

dejan-circle-new

Деян Кошутич
Ведущий эксперт
ISO 27001/ISO 22301

Есть вопросы по любому из шагов?

Побеседуйте бесплатно с нашими консультантами

НАЗНАЧЬТЕ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ

Бесплатный калькулятор окупаемости инвестиций в безопасность

(in English)

Вы когда-нибудь сталкивались с ситуацией, когда Вам говорили, что Ваши меры безопасности обходятся слишком дорого? Или когда Вам было сложно объяснить Вашему руководству, какие последствия могут быть в случае инцидента.

УЗНАТЬ БОЛЬШЕ

НАШИ КЛИЕНТЫ

НАШИ ПАРТНЕРЫ

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.