ISO 27001 & BS 25999

Ima li smisla u manjim tvrtkama provoditi kontinuitet poslovanja? Što će im tako skupo ulaganje kad vlasnik sve potrebne informacije ima u glavi?

Započet ću s pričom koju sam nedavno čuo. Opljačkana je mala tvrtka koja se bavi prodajom raznovrsne opreme velikom broju kupaca. Lopov je provalio u ured tijekom noći i ukrao sva računala i druge vrijedne stvari. Problem je u tome što je vlasnik tvrtke izrađivao sigurnosne kopije podataka, ali ih je pohranjivao na drugom računalu u istom uredu. Tvrtka je uskoro bankrotirala jer nije uspjela oporaviti ključne informacije o poslovanju.

Ovo je klasičan primjer sindroma “To se meni neće dogoditi” koji pogađa većinu malih tvrtki.

Okvir za kontinuitet poslovanja

Znači li to da bi male tvrtke trebale investirati u skupe disaster recovery lokacije s opremom visoke raspoloživosti? Naravno da ne.

U nekim slučajevima stvarno nije potrebno provoditi kontinuitet poslovanja jer vlasnik tvrtke doista sve informacije ima u glavi, ali takvi slučajevi vrlo su rijetki – koji vlasnik nema prijenosnik na kojem su različite vrste važnih informacija? Samo razmišljanje o tome kako te informacije učiniti dostupnima u slučaju havarije dio je uvođenja kontinuiteta poslovanja.

Vlasnici malih tvrtki moraju dobro razmisliti o tome koje su informacije (i ostali resursi) važni za poslovanje, kako se pobrinuti da takve informacije i resursi budu dostupni u slučaju havarije i koje je korake potrebno provesti za oporavak poslovnih aktivnosti u slučaju havarije. Ti koraci zapravo nisu ništa drugo nego provođenje analize utjecaja na poslovanje, strategije kontinuiteta poslovanja, i planova kontinuiteta poslovanja, što bi radila i svaka veća tvrtka koja provodi kontinuitet poslovanja. Svi ovi koraci opisani su u vodećoj normi za kontinuitet poslovanja – BS 25999-2.

Kako se pripremiti

Razlika između malih i velikih tvrtki je u složenosti i cijeni pripreme za kontinuitet poslovanja:

• Sigurnosne kopije elektroničkih podataka – male tvrtke mogu upotrebljavati alate koji sigurnosne kopije podatka s njihovih računala gotovo trenutno pohranjuju u cloud. Naravno, potrebno je voditi brigu o tome da budu obuhvaćeni svi potrebni podaci.
• Sigurnosne kopije papirnatih dokumenata – male tvrtke sada iz svakodnevnog poslovanja mogu gotovo u potpunosti izbaciti papirnate dokumente i prebaciti se na elektroničko poslovanje; u rijetkim slučajevima u kojima moraju postojati, papirnati dokumenti mogu se za potrebe kontinuiteta poslovanja skenirati.
• Alternativne uredske lokacije – u većini slučajeva bit će dovoljno da zaposlenici nastave raditi od kuće. Preduvjet je da imaju internetsku vezu, prijenosno/stolno računalo i lozinke. Ako rad od kuće ne dolazi u obzir, hotelska se soba može unajmiti za manje od sat vremena.
• Hardver – osim ako posao ne zahtijeva rad na posebnom tipu računala, vrlo je lako naći alternativu – obično kod kuće postoji privatno računalo ili se može posuditi od poznanika ili se pak može kupiti u najbližem dućanu računalne tehnike.
• Zaposlenici – za ovo se je možda i najteže pripremiti. Pretpostavimo da jedan zaposlenik nije dostupan, a jedino on/ona zna određene informacije (npr. administratorsku lozinku, korake koje je potrebno poduzeti u sklopu važnog projekta, itd.) – u takvim slučajevima priprema bi obuhvaćala dokumentiranje svih tih informacija kako bi bile dostupne i kad nema tog zaposlenika. Može se i dogoditi da je određeni zaposlenik odsutan, a nitko drugi nema vremena ni znanja da preuzme njegov posao – za takve bi se slučajeve unaprijed trebalo odrediti koga se u kratkom roku može angažirati kao zamjenu. Ovdje je naravno bitno odrediti nekoga tko ima potrebne vještine/kvalifikacije.

Da zaključim: kad se radi o okviru za kontinuitet poslovanja ne postoji razlika između velikih i malih organizacija – i male i velike tvrtke moraju dobro razmisliti koje pripreme moraju provesti kako bi opstale i nakon havarije. Razlika postoji samo u razini pripreme – manje tvrtke mogu proći s vrlo malim ulaganjima.

Pogledajte i naš webinar Osnove BS 25999-2 – 3. dio: Planiranje kontinuiteta poslovanja (seminar uz naplatu).

Menadžment vam je u zadatak dao da implementirate kontinuitet poslovanja, ali niste sasvim sigurni kako ćete to učiniti? Iako to nije lak zadatak, možete se poslužiti metodologijom iz norme BS 25999-2 kako biste si olakšali život – u nastavku se nalaze glavni koraci nužni za implementaciju te norme:

1. Osigurajte podršku menadžmenta

Iako to nije obavezni korak prema BS 25999-2, sigurno je ključan za sam početak – ako menadžment ne razumije koristi koje donosi kontinuitet poslovanja i ako nije predan tom projektu, vaš projekt najvjerojatnije neće uspjeti.

2. Primijenite projektni pristup

Za uspostavu sustava za upravljanje kontinuitetom poslovanja (BCMS) bit će potrebno dosta vremena i resursa – morate jasno definirati što se mora učiniti, u kojem vremenskom roku i koje su uloge u provedbi projekta. Drugim riječima, morate primijeniti metode upravljanja projektima.

3. Definirajte ciljeve i opseg; sastavite Politiku upravljanja kontinuitetom poslovanja

Morate definirati što želite postići BCMS-om – sukladnost, smanjenje razine rizika, zahtjevi klijenata/partnera, itd. Također morate definirati što ćete uključiti u svoj BCMS – čitavu organizaciju ili samo jedan njezin dio. Na primjer, možda ćete odlučiti da ćete uključiti samo podatkovni centar ako svojim klijentima pružate usluge hostinga. Sve to treba dokumentirati u Politici upravljanja kontinuitetom poslovanja (Politika BCM-a).

4. Definirajte uloge i odgovornosti za BCMS

Budući da će BCMS postati stalna aktivnost u vašoj organizaciji, morate jasno definirati odgovornosti, osobito za “sponzora” BCMS-a (netko tko je odgovoran za BCMS, ali nije uključen u svakodnevne aktivnosti oko BCMS-a) te “koordinatora upravljanja BCM-om”, “menadžera upravljanja BCM-om” ili neku sličnu funkciju – jedna ili više osoba s aktivnim zaduženjima oko BCMS-a. Te uloge i odgovornosti je najbolje definirati kroz Politiku BCM-a.

5. Implementirajte obavezne procedure

Norma BS 25999-2 propisuje implementaciju sljedeće četiri obavezne procedure: upravljanje dokumentima i zapisima, interni audit, preventivne i korektivne mjere. Te procedure zapravo tvore temelj vašeg sustava upravljanja, slično kao u  ISO 27001 ili ISO 9001.

6. Provedite analizu utjecaja na poslovanje i procjenu rizika

Pomoću analize utjecaja na poslovanje morate odrediti kritične aktivnosti, maksimalno tolerirano vrijeme njihovog prekida, međuovisnosti između takvih kritičnih aktivnosti (uključujući i ovisnosti o dobavljačima i outsourcing partnerima), kao i postaviti ciljana vremena oporavka.

Provedbom procjene rizika zapravo ćete saznati koji bi mogli biti uzroci prekida vaših kritičnih aktivnosti – oni mogu biti prirodne, ali i ljudske aktivnosti, i to zlonamjerne ili slučajne. Također biste morali provesti i obradu rizika, što znači da morate odlučiti kako ćete smanjiti vjerojatnost da nešto pođe po zlu. Nažalost ova norma ne definira procjenu i obradu rizika na najbolji način pa bi bilo dobro da pogledate normu ISO 27001 koja ih opisuje mnogo detaljnije.

7. Određivanje strategije kontinuiteta poslovanja

Prije nego krenete s pisanjem planova kontinuiteta poslovanja, morate odrediti koji će vam resursi biti potrebni za ponovno uspostavljanje kritičnih aktivnosti – koji ljudi, lokacije, podaci, hardver, softver, dobavljači, oursourcing partneri, itd.

Strategija kontinuiteta poslovanja mora odrediti ne samo ono što vam je potrebno, nego i kako ćete osigurati te resurse.

8. Pisanje planova za upravljanje incidentima i planova kontinuiteta poslovanja

Svrha planova za upravljanje incidentima je opisati kako ćete izravno reagirati na pojavu incidenta (npr. požar, potres, prijetnja bombom, nestanak struje, itd.) kako biste spriječili njegovo širenje i pokušali smanjiti izravne učinke.

S druge strane, svrha planova kontinuiteta poslovanja je opisati  kako ćete oporaviti svoje kritične aktivnosti – kako ćete aktivirati sve resurse koje ste pripremili. To znači da morate opisati tko će što raditi, u kojem vremenu, uz pomoć kojih podataka i tehnologije kako bi vaša organizacija ponovno profunkcionirala.

Sve te planove treba detaljno opisati jer se moraju izvršavati čak i u slučaju da nema glavnog osoblja – zbog toga ih treba pisati tako da ih može provesti i netko drugi.

9. Obučavanje i osvješćivanje

Morate definirati kompetencije potrebne za izvršavanje planova kontinuiteta poslovanja u slučaju prekida i zatim provesti obuku svog osoblja (kako zaposlenika tako i vanjskih partnera) da bi se postigla ta razina kompetencije.

Međutim, to nije dovoljno – osoblju ćete još morati objasniti zašto je upravljanje kontinuitetom poslovanja nužno. Budimo realni, svoje ćete planove kontinuiteta poslovanja primijeniti možda jednom u životu pa će ih većina zbog toga smatrati gubitkom vremena. Zato im morate objasniti zašto tako nešto postoji. (Vidi također Upravljanje kontinuitetom poslovanja – kako izići na kraj sa skepticima?)

10. Vježbanje BCM-a

Ako ste pomislili da ste napisali savršene planove, vjerojatno griješite – gotovo je nemoguće odmah na početku sastaviti plan bez greške. Zbog toga je vježbanje obavezni dio BCMS-a – planove morate testirati u situaciji koja više ili manje nalikuje stvarnom prekidu. Tek ćete tada znati što ste planirali dobro, a što niste.

11. Održavanje i pregledavanje BCMS-a

Još jedan način kako svoj BCMS možete stalno održavati ažurnim je definiranje intervala u kojima ćete pregledavati svoje planove kontinuiteta poslovanja, ali i druge aranžmane (npr. ugovore s dobavljačima i outsourcing partnerima, obučavanje i osvješćivanje itd.). Različite promjene u okolini prijete da vaša dokumentacija postane zastarjela – dovoljno je da neki zaposlenik napusti tvrtku pa da vam u planu ostane neupotrebljivi telefonski broj ako je ta osoba imala ulogu u BCMS-u.

Također je obavezno provesti pregled nakon incidenta ako je stvarno došlo do incidenta – njegova svrha je saznati kako je organizacija stvarno reagirala – je li slijedila planove ili ne.

12. Interni audit

Svrha internog audita  je saznati  je li sve u redu, na objektivan način – interni auditor mora biti osoba koja treba saznati je li nešto  u vašem BCMS-u učinjeno pogrešno kako bi se to moglo ispraviti. Ako se učini kako treba, interni audit može biti jedan od najboljih načina da poboljšate svoj BCMS. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

13. Pregled od strane menadžmenta

Kako je već rečeno, vrlo je važno da se menadžment uključi u projekt – pregled od strane menadžmenta služi upravo tome. Norma propisuje da menadžment mora ispitati sve relevantne činjenice o upravljanju kontinuitetom poslovanja i odlučiti je li ono ispunilo svoju svrhu. Kad je to učinjeno, menadžment mora donijeti odluku o tome koja poboljšanja treba provesti.

14. Preventivne i korektivne mjere

Najbolje bi bilo spriječiti da se pogreške (ili “nesukladnosti” u terminologiji norme BS 25999) događaju – tome služe preventivne mjere. One predstavljaju sustavan način ispravljanja stvari prije nego dođe do problema. Slično preventivnim mjerama, tu su i korektivne mjere koje rješavaju problem koji se već dogodio.

Sad je pitanje: zašto biste uopće koristili normu BS 25999-2? Iako ona (još uvijek) nije međunarodna norma, radi se o najpopularnijoj normi za kontinuitet poslovanja u cijelom svijetu. Navedene korake osmislili su najbolji stručnjaci s područja kontinuiteta poslovanja pa ako želite implementirati najbolje prihvaćene prakse za kontinuitet poslovanja, ne morate tražiti dalje.

Ovdje možete preuzeti dijagram Proces implementacije norme BS 25999-2 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom (potrebno je registrirati se).

Je li vam se ikada dogodilo da vas je menadžment zadužio za provođenje kontinuiteta poslovanja samo zato što radite u IT odjelu? Zašto se kontinuitet poslovanja redovito poistovjećuje s informacijskom tehnologijom?

Vjerojatno zato što kontinuitet poslovanja vuče korijene iz disaster recoverya (“oporavka nakon havarije“), a u disaster recoveryu se sve svodi na informacijsku tehnologiju. Prije dvadesetak ili tridesetak godina koncept kontinuiteta poslovanja nije postojao, ali je zato postojao disaster recovery – glavna briga bila je kako sačuvati podatke ako dođe do havarije. Tada je bilo jako popularno nabavljati skupu opremu i spremati je na drugu, udaljenu lokaciju kako bi se svi važni podaci organizacije očuvali u slučaju havarija poput potresa. Ne samo kako bi se očuvali, nego kako bi se i obrađivali s približno istim kapacitetom kao na glavnoj lokaciji.

Ali nakon nekog vremena došlo se do zaključka – koja korist od podataka ako nema poslovnih aktivnosti koje bi koristile te podatke? Tako se rodila ideja o kontinuitetu poslovanja čija je svrha omogućiti nastavak poslovanja čak i u slučaju većeg prekida.

Definicije

Pogledajmo malo definicije – kontinuitet poslovanja je “strateška i taktička sposobnost organizacije da planira i odgovori na incidente i prekide u poslovanju, kako bi nastavila s poslovnim aktivnostima na nivou koji je prethodno definirala kao prihvatljiv“ (BS 25999-2:2007), dok disaster recovery čine „procesi, politike i procedure povezane s pripremom za oporavak ili obnovu tehnološke infrastrukture od kritične važnosti za organizaciju nakon prirodne havarije ili havarije uzrokovane ljudskim djelovanjem“ (Wikipedia.org).

Kao što se vidi iz definicija, kod disaster recoverya naglasak je na tehnologiji, dok je kod kontinuiteta poslovanja naglasak na poslovnim aktivnostima. Zato je disaster recovery dio kontinuiteta poslovanja – može ga se smatrati jednim od glavnih čimbenika koji omogućuju odvijanje poslovnih aktivnosti ili tehnološkim dijelom kontinuiteta poslovanja.

Ipak, možda ste još nešto primijetili – definicija za kontinuitet poslovanja preuzeta je iz norme BS 25999-2, vodeće norme za upravljanje kontinuitetom poslovanja, dok je definicija disaster recoverya citirana s Wikipedije – „kontinuitet poslovanja“ zapravo je službeni pojam koji se upotrebljava u normama, dok “disaster recovery“ nije službeni termin.

Implikacije za provedbu

Zašto je onda loša ideja da IT odjel provodi kontinuitet poslovanja za cijelu organizaciju? Zato što je kontinuitet poslovanja prije svega poslovno pitanje, a ne pitanje kojim bi se trebao baviti IT odjel. Kad bi IT odjel provodio kontinuitet poslovanja za cijelu organizaciju, ne bi mogao odrediti ni kritičnost poslovnih aktivnosti ni kritičnost informacija. Osim toga pitanje je bi li dobio podršku od ostatka organizacije.

Najbolje je provedbu kontinuiteta poslovanja prepustiti poslovnoj strani – tada će svi dijelovi organizacije bolje razumjeti potrebu za takvim projektom i prihvatiti ga. IT odjel treba preuzeti svoj dio takvog projekta – ključni dio – pripremu disaster recovery planova.

Pogledajte i naš webinar Osnove BS 25999-2 – 1. dio: Analiza utjecaja na poslovanje (seminar uz naplatu).

Jeste li ikada čuli rečenice poput “To se ne može provesti”, “Ovo nema smisla” ili “U slučaju ozbiljne havarije sve će biti uzalud”? Ako ste provodili projekte upravljanja kontinuitetom poslovanja, vjerojatno jeste. Naravno, takav pristup ne bi pomogao vašem projektu – zato ovdje navodim nekoliko savjeta kako odgovoriti takvim skepticima.

“Ako dođe do havarije, bespomoćni smo”

Ovo ćete najčešće čuti. U tome možda ima istine ako niste ozbiljno pripremili strategiju kontinuiteta poslovanja i planove kontinuiteta poslovanja uzimajući u obzir sve moguće scenarije. Ako ste to ipak učinili, možete im objasniti da ste pripremili rezervnu lokaciju koja je dovoljno udaljena tako da može podnijeti bilo koju havariju, da ste napravili sigurnosne kopije podataka, da ste osigurali zamjenu za svakog zaposlenika u organizaciji, da imate alternativne dobavljače za sve kritične usluge i sl.

“U slučaju atomskog rata, to ne može funkcionirati”

Osim ako niste dio vojne industrije, zar bi to uopće bilo bitno? U slučaju ovakve katastrofe vaše poslovanje ionako više ne bi imalo smisla.

“Ne vidimo svrhu”

Nadajte se da nikada nećete morati primijeniti kontinuitet poslovanja. Ne spominjući opće poznate primjere poput napada 11. rujna ili uragana Katrina, dovoljno je pitati – jeste li vam ikad nestala struja? Je li vam se ikada pokvario server? Ili možda računalo na kojem su bili pohranjeni važni podaci? Jeste li ikada čuli da je neka zgrada izgorjela do temelja? Dovoljno je čitati crnu kroniku kako biste shvatili da se takve stvari mogu svakome dogoditi.

“Provest ćemo to samo da auditor bude zadovoljan”

Izokrenuli ste prioritete. Ako sve učinite kako treba, zaštitit ćete sebe, a i vaš će auditor biti zadovoljan.

“Ne možemo predvidjeti sve incidente”

To je istina, barem u početku. Ali ako pravilno provedete procjenu rizika, konzultirate literaturu i upotrijebite razne resurse te redovito pregledavate procjenu, vrlo ćete vjerojatno s vremenom moći uzeti u obzir sve moguće rizike. Kad ih jednom prepoznate, možete pripremiti odziv.

“U opasnim situacijama ljudi se brinu za svoje obitelji, a ne za posao”

To je također istina. Tko u slučaju potresa ne bi nazvao svoju obitelj da provjeri je li s njima sve u redu? Međutim, taj ćete problem riješiti tako da vrlo pažljivo isplanirate tko nakon incidenta smije ići kući, a tko mora ostati rješavati situaciju, i da se pobrinete se za obitelj zaposlenika koji moraju ostati (npr. tako što ćete taj zadatak povjeriti nekom drugom zaposleniku).

“U kriznim situacijama ljudi reagiraju iracionalno”

Ovo je definitivno istina. Ali ako zaposlenike (i dobavljače/partnere) redovito obučavate i vježbate planove kontinuiteta poslovanja, oni će se naučiti na stresne situacije pa će kod pojave takve situacije vjerojatno pravilno reagirati.

Ako ste već provodili slične projekte, znate koliko je osviještenost važna. Ako vaši suradnici ne prepoznaju smisao takvih projekata, imat ćete velikih poteškoća u njihovoj implementaciji, da ne spominjem da bi vaš projekt mogao i potpuno propasti – zato unaprijed morate dobro razmisliti o osvješćivanju.

Pogledajte i naš webinar Osnove BS 25999-2 – 2. dio: Strategija kontinuiteta poslovanja (seminar uz naplatu).

Ako ste započeli provoditi upravljanje kontinuitetom poslovanja, pisanje planova kontinuiteta poslovanja vjerojatno predstavlja najveći izazov.

Zašto je to toliko teško? Morate se, primjerice, sjetiti različitih scenarija u kojima može doći do havarije (ili drugih vrsta prekida poslovnih aktivnosti) i morate osmisliti način kako postupiti ako se ti iznimno rijetki, ali potencijalno katastrofalni incidenti dogode.

Osobe koje pišu takve planove obično ne znaju što planovi moraju sadržavati (koji su glavni elementi), koliko moraju biti dugi (koliko opsežni), koje korake moraju obuhvaćati, i sl.

Za rješavanje svih ovih dilema najbolje je koristiti normu BS 25999-2, koja zajedno s normom BS 25999-1 definira okvir za pisanje planova.

Prema tim normama, plan kontinuiteta poslovanja mora se sastojati od (1) plana odaziva na incident i (2) planova oporavka. Plan odaziva na incident obično je jedinstven plan koji se odnosi na cijelu organizaciju i opisuje radnje koje se moraju poduzeti odmah nakon pojave havarije – smanjenje posljedica incidenta, komunikacija sa službama za hitne slučajeve, evakuacija zgrade, okupljanje na zbornim mjestima, organizacija transporta na rezervnu lokaciju, i sl.

Planovi oporavka se obično pišu zasebno za svaku kritičnu aktivnost i moraju obuhvaćati sljedeće korake: kada i kako se komunicira s raznim zainteresiranim stranama (zaposlenicima i njihovim obiteljima, dioničarima, klijentima, partnerima, državnim službama, javnim medijima, i dr.), kako se sastavlja tim, kako se provodi oporavak infrastrukture, kako se provjerava funkcioniraju li aplikacije i jesu li prava pristupa odgovarajuća, kako se provjerava koji podaci nedostaju ili što je oštećeno u havariji, kako se provodi oporavak podataka i kako se donosi odluka da je oporavak završen kako bi se mogle uspostaviti normalne aktivnosti.

Disaster recovery planove (planovi oporavka ICT infrastrukture) potrebno je pisati pažljivo jer bi oni trebali opisati kako se pokreće svaki pojedini sustav unutar ciljanog vremena oporavka za pojedinu kritičnu aktivnost. Obično se to radi pisanjem detaljnog plana oporavka za svaki sustav koji treba oporaviti.

Općenito pravilo glasi da svi planovi trebaju sadržavati takvu količinu detalja koja omogućuje da i drugi zaposlenici (ili vanjsko osoblje) koriste plan u slučaju da ljudi koji rade u pojedinoj kritičnoj aktivnosti nisu dostupni. Stoga, koristite zdrav razum u pisanju planova – oni moraju biti razumljivi svima, a ne samo vama.

Iz iskustva znam da je najveći izazov u pisanju ovih planova taj što se zaposlenici po prvi put moraju baviti nečim potpuno drugačijim, nečim o čemu nikada prije nisu morali razmišljati. Taj ćete problem najbolje riješiti radionicom na kojoj će zaposlenici, sa ili bez moderatora, moći razmijeniti svoja razmišljanja o tome što bi se dogodilo kad bi…, kako reagirati ako…, i sl.

Sama činjenica da su vaši zaposlenici počeli razmišljati o kontinuitetu poslovanja već je 50% obavljenog posla – takvim pristupom rezultati planiranja kontinuiteta poslovanja bit će mnogo bolji.

Pogledajte i naš webinar Osnove BS 25999-2 – 3. dio: Planiranje kontinuiteta poslovanja (seminar uz naplatu).

Na prvi pogled informacijska sigurnost i kontinuitet poslovanja nemaju mnogo toga zajedničkog – neki bi možda nadodali da je jedina sličnost u tome što su oboje povezani s informacijskom tehnologijom.

Međunarodna norma ISO/IEC 27001 najbolje definira upravljanje informacijskom sigurnošću, dok britanska norma BS 25999-2 definira kontinuitet poslovanja – želimo li dakle usporediti ova dva pojma, najpametnije je pogledati što o tome kažu ove dvije norme.

Prije svega, informacijska tehnologija važan je dio i norme ISO 27001 i norme BS 25999-2, ali se ni u kojem slučaju ne može reći da se te dvije norme bave isključivo informacijskom tehnologijom – naglasak je na poslovnim procesima i resursima i s time povezanim rizicima. Istina je da je informacijska tehnologija  glavni alat za obradu podataka, ali činjenica je da su najveći rizici povezani sa zlonamjernim i nenamjernim djelovanjem ljudi. Stoga se rizici povezani s informacijskom sigurnošću ili kontinuitetom poslovanja ne mogu razriješiti samo informacijskom tehnologijom – puno je važnije definirati organizaciju, procese i odgovornosti unutar organizacije.

No što je u biti informacijska sigurnost? Norma ISO 27001 definira je kao “očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija”. S druge strane, norma BS 25999-2 kontinuitet poslovanja definira kao „stratešku i taktičku sposobnost organizacije da planira i odgovori na incidente i prekide u poslovanju kako bi nastavila s poslovnim aktivnostima na razini koju je prethodno definirala kao prihvatljivu“.

Te dvije definicije ne pokazuju velike sličnosti. Jedan ih detalj ipak čini vrlo sličnima -  dostupnost. I informacijska sigurnost i kontinuitet poslovanja usredotočuju se na to da  informacije budu dostupne onima kojima su potrebne – u tom smislu Aneks A norme ISO 27001 nudi neke mjere posvećene isključivo kontinuitetu poslovanja.

Nadalje, obje norme zahtijevaju provođenje procjene rizika kako bi se uočili potencijalni problemi vezani za informacije; obje norme zahtijevaju upravljanje dokumentacijom, provođenje internih audita, preglede od strane menadžmenta, te popravne i preventivne mjere. To znači da ako već posjedujete dokumentaciju za normu ISO 27001, iste proceduremožete koristiti i za BS 25999-2 (uz manje prilagodbe).

U čemu je razlika? Glavna razlika je u količini detalja. Norma ISO 27001 pokriva puno šire područje i stoga ne ulazi u detalje kad se radi o kontinuitetu poslovanja; s druge strane, norma BS 25999-2 detaljno opisuje kako treba provoditi analizu utjecaja na poslovanje, kako definirati strategiju kontinuiteta poslovanja ili što bi trebao biti sadržaj planova kontinuiteta poslovanja itd.

Da zaključim – poanta je da se kontinuitet poslovanja može smatrati dijelom informacijske sigurnosti. U praksi to znači da je za implementaciju kontinuiteta poslovanja u kontekstu norme ISO 27001 najbolje koristiti normu BS 25999-2 kao smjernicu.

Pogledajte i naš besplatni webinar ISO 27001 & BS 25999-2: Zašto ih je bolje implementirati zajedno?.