- Implementirajte i naučite
- Resursi
- Za partnere
- O nama
ISO 22301 Expert - Kontaktirajte nas
BS 25999-2 je bio britanski standard izdan 2007. godine, i brzo je postao glavni standard za upravljanje kontinuitetom poslovanja - 2012.godine ga je zamijenio ISO 22301.
Kao i ISO 27001, ISO 9001, ISO 14001 i ostale norme koje propisuju sustave upravljanja, i BS 25999-2 propisuje sustav upravljanja kontinuitetom poslovanja (engl. BCMS – business continuity management system) koji u sebi sadrži iste četiri faze upravljanja: planiranje, implementaciju, pregledavanje i praćenje, te na kraju poboljšavanje. Smisao te četiri faze jest da se sustav kontinuirano ažurira i poboljšava, kako bi bio upotrebljiv u situacijama kada dođe do havarije.
Neke od ključnih postupaka i dokumenata koje BS 25999-2 propisuje su sljedeći:
Norma propisuje da je potrebno odrediti potrebna znanja i vještine za osoblje, odrediti koje su obuke potrebne, provesti takve obuke, provjeriti da li su postignuta potrebna znanja i vještine, te da je potrebno održavati zapise.
BS 25999-2 također zahtijeva da se provode programi osvješćivanja, ali i da se prema djelatnicima komunicira važnost upravljanja kontinuitetom poslovanja.
Tijekom analize utjecaja na poslovanje se analizira koje bitne aktivnosti postoje u organizaciji, koliko je maksimalno tolerirano vrijeme prekida, međuovisnosti pojedinih aktivnosti, određuje se koje su aktivnosti kritične, istražuje koji aranžmani postoje s dobavljačima i outsourcing partnerima, te na kraju postavlja ciljano vrijeme oporavka.
Procjena rizika se provodi kako bi se ustanovilo do kojih havarija odnosno drugih prekida u poslovanju može doći, koje su njihove posljedice, ali isto tako i koje ranjivosti i prijetnje mogu dovesti do pojave takvih prekida u poslovanju. Temeljem takve procjene organizacija određuje kako će umanjiti vjerojatnost pojave rizika, i na koji način će se isti ublažiti ako do njih dođe.
Strategija je određivanje na koji način će se organizacija oporaviti ako dođe do havarije. Strategija se određuje na temelju rezultata procjene rizika i analize utjecaja na poslovanje, i obično uključuje alternativne lokacije, opcije oporavka podataka, oporavka ljudskih resursa, komunikacija, opreme, kako upravljati s dobavljačima i outsourcing partnerima i sl.
Plan kontinuiteta poslovanja uključuje planove odziva na incident, aktivacijske procedure za plan kontinuiteta poslovanja i planove oporavka kritičnih aktivnosti – svi oni pišu se na temelju strategije kontinuiteta poslovanja.
Plan odziva na incident mora odrediti način određivanja vrste incidenta, kanale komunikacije, određivanje vrste odziva, odgovornosti i sl.
Planovi oporavka moraju odrediti uloge i odgovornosti, ključne korake za oporavak, lokacije, koje resurse je potrebno koristiti i gdje se isti nalaze, koji su prioriteti, na koji način postupiti kada se oporavak završi i sl.
Norma propisuje sljedeće:
BS 25999-2 zahtijeva sljedeću dokumentaciju:
Količina dokumentacije ovisi o broju kritičnih aktivnosti pojedine organizacije – organizacija koja ima manji broj kritičnih aktivnosti imat će manju količinu dokumentacije vezanu za analizu utjecaja na poslovanje, procjenu rizika i planove kontinuiteta poslovanja, dok će velike organizacije imati bitno opsežniju dokumentaciju.
Osim norme BS 25999-2 postoji i norma BS 25999-1 koja je „pomoćna” norma i detaljnije opisuje na koji način provesti određene dijelove BS 25999-2.
Također je korisna i norma ISO 27001 koja kontinuitet poslovanja stavlja u širi kontekst informacijske sigurnosti, te norma ISO 27005 koja detaljnije opisuje proces procjene rizika.
