British Standard 25999

British Standard (BS) 25999 is de standaard op het gebied van Business Continuity Management (BCM). De standaard wordt gepubliceerd door de British Standards Institution (BSI), de National Standards Body of the UK. De BS 25999 vervangt PAS56, een Publicly Available Specification, gepubliceerd in 2003 over hetzelfde onderwerp.

Deze standaard geeft een invulling aan het hoofdstuk Continuïteitsmanagement van de Code voor Informatiebeveiliging.

Het eerste deel van BS 25999 (BS 25999-1:2006) is in december 2006 gepubliceerd, het tweede deel in november 2007.

Structuur

De BS 25999 serie omvat twee standaarden. De eerste, "BS 25999-1:2006 Code of Practice for BCM", behandelt de processen, uitgangspunten en terminologie. De tweede, "BS 25999-2:2006 A Specification for BCM", is een concrete standaard voor implementatie van continuïteitsbeheer, op basis waarvan certificering kan plaatsvinden. Deze standaard specificeert de eisen met betrekking tot de implementatie van Business Continuity beheersmaatregelen. Hierbij wordt een managementsysteem op basis van de Deming Circle (Plan-Do-Check-Act) gehanteerd.

Inhoud

Code of Practice

  • Werkingsgebied
  • Structuur
  • Begrippen en definities
  • Overzicht Business Continuity Management (BCM)
  • BCM-beleid
  • BCM-programmamanagement
  • De organisatie begrijpen
  • Het bepalen van de BCM strategie
  • Ontwikkelen en implementeren van een BCM response
  • Oefenen, beheren, auditing en self-assessment van de BCM-cultuur
  • Inbedden van BCM in de organisatie (cultuur)

De specificaties

  • Scope. Bepaalt de scope van de standaard, de eisen ten aanzien van implementatie en het management systeem.
  • Definities. Gehanteerde terminologie.
  • Het planningsproces van het Business Continuity Management System (PLAN).
  • Implementatie van het BCMS (DO), beschrijft de feitelijke inrichting. Hierbij worden 4 onderdelen uit het eerste deel uitgewerkt:
    • De organisatie begrijpen
    • Het bepalen van de BCM strategie
    • Ontwikkelen en implementeren van een BCM response
    • Oefenen, beheren, auditing en self-assessment van de BCM-cultuur
  • Monitoren en reviewen van het BCMS (CHECK)
  • Onderhouden van het BCMS (ACT)

Certificering

Op basis van de standaard kan een onafhankelijke auditor een organisatie certificeren. Op dit moment is slechts een beperkt aantal onderzoeksbureaus geaccrediteerd om dergelijke certificeringen uit te voeren.

Gerelateerde begrippen