- Implemente & Aprenda
- Recursos
- Para Parceiros
- Sobre nós
Especialista ISO 22301 - Contate-nos
A BS-25999-2 era uma norma Britânica publicada em 2007, e rapidamente tornou-se a principal norma para gestão de continuidade de negócio – ela foi substituída pela ISO 22301 em 2012.
Assim como a ISO 27001, a ISO 9001, a ISO 14001 e outras normas que definem os sistemas de gestão, a BS 25999-2 também define um sistema de gestão de continuidade de negócios que contém as mesmas quatro fases de gestão (planejamento , implementação, análise e monitoramento), bem como melhorias. O objetivo dessas quatro fases é que o sistema seja constantemente atualizado e melhorado a fim de ser útil quando ocorre uma catástrofe.
A seguir estão alguns dos principais procedimentos e documentos exigidos pela BS 25999-2:
A norma diz que é essencial determinar as habilidades e o conhecimento necessários para identificar as sessões de treinamento necessárias, para realizar essas sessões de treinamento, para verificar se as habilidades e os conhecimentos necessários foram obtidos e para determinar quais registros devem ser mantidos.
A BS 25999-2 também exige a realização de programas de conscientização e comunicação da importância da gestão de continuidade de negócios para os funcionários.
A análise de impacto nos negócios lida com atividades importantes em uma organização, define o período máximo tolerado de interrupção, a interdependência das ações individuais, além de determinar quais atividades são críticas, explorar os acordos existentes com os fornecedores e parceiros de terceirização e definir o tempo de recuperação.
A avaliação de riscos é realizada para determinar quais desastres e outras interrupções nas operações de negócios podem ocorrer e quais são suas consequências, bem como quais são as vulnerabilidades e ameaças que podem resultar nessas interrupções nos negócios. Com base nessa avaliação, a organização determina como reduzir a probabilidade de riscos e como diminuir o impacto em caso de concretização dos riscos.
Uma estratégia refere-se à definição de como a organização se recuperará em caso de desastre. A estratégia é determinada com base nos resultados da avaliação de riscos e da análise de impacto nos negócios. Ela geralmente envolve localizações alternativas, opções de recuperação de dados, recuperação de recursos humanos, comunicações, equipamentos, gestão de fornecedores e parceiros de terceirização, etc.
O plano de continuidade de negócios inclui os planos de resposta a incidentes, {procedimentos de ativação do plano de continuidade de negócios} e os planos de recuperação para atividades críticas. Todos eles são escritos com base na estratégia de continuidade de negócios.
Um plano de resposta a incidentes deve especificar a forma de determinar os tipos de incidentes, os canais de comunicação, os tipos de resposta, as responsabilidades, etc.
Os planos de recuperação devem especificar as funções e responsabilidades, as principais etapas para a recuperação, os locais, os recursos a serem utilizados e onde eles estão localizados, as prioridades, as ações a serem tomadas após a conclusão da recuperação, etc.
A norma estabelece:
A BS 25999-2 exige os seguintes documentos:
A quantidade de documentação depende da quantidade de atividades críticas em uma organização; uma organização com uma pequena quantidade de atividades críticas também terá uma pequena quantidade de documentação relacionada à análise de impacto nos negócios, à avaliação de riscos e aos planos de continuidade de negócios, enquanto a documentação de organizações maiores será muito mais extensa.
Além da BS 25999-2, a BS 25999-1 é uma norma “auxiliar” que fornece mais detalhes sobre como implementar partes específicas da BS 25999-2.
Outras normas úteis são a ISO 27001, que aborda a continuidade de negócios em um contexto mais amplo de segurança da informação, e a ISO 27005, que fornece uma descrição detalhada do processo de avaliação de riscos.
