ISO 27001 & BS 25999

Ima li smisla u manjim tvrtkama provoditi kontinuitet poslovanja? Što će im tako skupo ulaganje kad vlasnik sve potrebne informacije ima u glavi?

Započet ću s pričom koju sam nedavno čuo. Opljačkana je mala tvrtka koja se bavi prodajom raznovrsne opreme velikom broju kupaca. Lopov je provalio u ured tijekom noći i ukrao sva računala i druge vrijedne stvari. Problem je u tome što je vlasnik tvrtke izrađivao sigurnosne kopije podataka, ali ih je pohranjivao na drugom računalu u istom uredu. Tvrtka je uskoro bankrotirala jer nije uspjela oporaviti ključne informacije o poslovanju.

Ovo je klasičan primjer sindroma “To se meni neće dogoditi” koji pogađa većinu malih tvrtki.

Okvir za kontinuitet poslovanja

Znači li to da bi male tvrtke trebale investirati u skupe disaster recovery lokacije s opremom visoke raspoloživosti? Naravno da ne.

U nekim slučajevima stvarno nije potrebno provoditi kontinuitet poslovanja jer vlasnik tvrtke doista sve informacije ima u glavi, ali takvi slučajevi vrlo su rijetki – koji vlasnik nema prijenosnik na kojem su različite vrste važnih informacija? Samo razmišljanje o tome kako te informacije učiniti dostupnima u slučaju havarije dio je uvođenja kontinuiteta poslovanja.

Vlasnici malih tvrtki moraju dobro razmisliti o tome koje su informacije (i ostali resursi) važni za poslovanje, kako se pobrinuti da takve informacije i resursi budu dostupni u slučaju havarije i koje je korake potrebno provesti za oporavak poslovnih aktivnosti u slučaju havarije. Ti koraci zapravo nisu ništa drugo nego provođenje analize utjecaja na poslovanje, strategije kontinuiteta poslovanja, i planova kontinuiteta poslovanja, što bi radila i svaka veća tvrtka koja provodi kontinuitet poslovanja. Svi ovi koraci opisani su u vodećoj normi za kontinuitet poslovanja – BS 25999-2.

Kako se pripremiti

Razlika između malih i velikih tvrtki je u složenosti i cijeni pripreme za kontinuitet poslovanja:

• Sigurnosne kopije elektroničkih podataka – male tvrtke mogu upotrebljavati alate koji sigurnosne kopije podatka s njihovih računala gotovo trenutno pohranjuju u cloud. Naravno, potrebno je voditi brigu o tome da budu obuhvaćeni svi potrebni podaci.
• Sigurnosne kopije papirnatih dokumenata – male tvrtke sada iz svakodnevnog poslovanja mogu gotovo u potpunosti izbaciti papirnate dokumente i prebaciti se na elektroničko poslovanje; u rijetkim slučajevima u kojima moraju postojati, papirnati dokumenti mogu se za potrebe kontinuiteta poslovanja skenirati.
• Alternativne uredske lokacije – u većini slučajeva bit će dovoljno da zaposlenici nastave raditi od kuće. Preduvjet je da imaju internetsku vezu, prijenosno/stolno računalo i lozinke. Ako rad od kuće ne dolazi u obzir, hotelska se soba može unajmiti za manje od sat vremena.
• Hardver – osim ako posao ne zahtijeva rad na posebnom tipu računala, vrlo je lako naći alternativu – obično kod kuće postoji privatno računalo ili se može posuditi od poznanika ili se pak može kupiti u najbližem dućanu računalne tehnike.
• Zaposlenici – za ovo se je možda i najteže pripremiti. Pretpostavimo da jedan zaposlenik nije dostupan, a jedino on/ona zna određene informacije (npr. administratorsku lozinku, korake koje je potrebno poduzeti u sklopu važnog projekta, itd.) – u takvim slučajevima priprema bi obuhvaćala dokumentiranje svih tih informacija kako bi bile dostupne i kad nema tog zaposlenika. Može se i dogoditi da je određeni zaposlenik odsutan, a nitko drugi nema vremena ni znanja da preuzme njegov posao – za takve bi se slučajeve unaprijed trebalo odrediti koga se u kratkom roku može angažirati kao zamjenu. Ovdje je naravno bitno odrediti nekoga tko ima potrebne vještine/kvalifikacije.

Da zaključim: kad se radi o okviru za kontinuitet poslovanja ne postoji razlika između velikih i malih organizacija – i male i velike tvrtke moraju dobro razmisliti koje pripreme moraju provesti kako bi opstale i nakon havarije. Razlika postoji samo u razini pripreme – manje tvrtke mogu proći s vrlo malim ulaganjima.

Pogledajte i naš webinar Osnove BS 25999-2 – 3. dio: Planiranje kontinuiteta poslovanja (seminar uz naplatu).

Menadžment vam je u zadatak dao da implementirate kontinuitet poslovanja, ali niste sasvim sigurni kako ćete to učiniti? Iako to nije lak zadatak, možete se poslužiti metodologijom iz norme BS 25999-2 kako biste si olakšali život – u nastavku se nalaze glavni koraci nužni za implementaciju te norme:

1. Osigurajte podršku menadžmenta

Iako to nije obavezni korak prema BS 25999-2, sigurno je ključan za sam početak – ako menadžment ne razumije koristi koje donosi kontinuitet poslovanja i ako nije predan tom projektu, vaš projekt najvjerojatnije neće uspjeti.

2. Primijenite projektni pristup

Za uspostavu sustava za upravljanje kontinuitetom poslovanja (BCMS) bit će potrebno dosta vremena i resursa – morate jasno definirati što se mora učiniti, u kojem vremenskom roku i koje su uloge u provedbi projekta. Drugim riječima, morate primijeniti metode upravljanja projektima.

3. Definirajte ciljeve i opseg; sastavite Politiku upravljanja kontinuitetom poslovanja

Morate definirati što želite postići BCMS-om – sukladnost, smanjenje razine rizika, zahtjevi klijenata/partnera, itd. Također morate definirati što ćete uključiti u svoj BCMS – čitavu organizaciju ili samo jedan njezin dio. Na primjer, možda ćete odlučiti da ćete uključiti samo podatkovni centar ako svojim klijentima pružate usluge hostinga. Sve to treba dokumentirati u Politici upravljanja kontinuitetom poslovanja (Politika BCM-a).

4. Definirajte uloge i odgovornosti za BCMS

Budući da će BCMS postati stalna aktivnost u vašoj organizaciji, morate jasno definirati odgovornosti, osobito za “sponzora” BCMS-a (netko tko je odgovoran za BCMS, ali nije uključen u svakodnevne aktivnosti oko BCMS-a) te “koordinatora upravljanja BCM-om”, “menadžera upravljanja BCM-om” ili neku sličnu funkciju – jedna ili više osoba s aktivnim zaduženjima oko BCMS-a. Te uloge i odgovornosti je najbolje definirati kroz Politiku BCM-a.

5. Implementirajte obavezne procedure

Norma BS 25999-2 propisuje implementaciju sljedeće četiri obavezne procedure: upravljanje dokumentima i zapisima, interni audit, preventivne i korektivne mjere. Te procedure zapravo tvore temelj vašeg sustava upravljanja, slično kao u  ISO 27001 ili ISO 9001.

6. Provedite analizu utjecaja na poslovanje i procjenu rizika

Pomoću analize utjecaja na poslovanje morate odrediti kritične aktivnosti, maksimalno tolerirano vrijeme njihovog prekida, međuovisnosti između takvih kritičnih aktivnosti (uključujući i ovisnosti o dobavljačima i outsourcing partnerima), kao i postaviti ciljana vremena oporavka.

Provedbom procjene rizika zapravo ćete saznati koji bi mogli biti uzroci prekida vaših kritičnih aktivnosti – oni mogu biti prirodne, ali i ljudske aktivnosti, i to zlonamjerne ili slučajne. Također biste morali provesti i obradu rizika, što znači da morate odlučiti kako ćete smanjiti vjerojatnost da nešto pođe po zlu. Nažalost ova norma ne definira procjenu i obradu rizika na najbolji način pa bi bilo dobro da pogledate normu ISO 27001 koja ih opisuje mnogo detaljnije.

7. Određivanje strategije kontinuiteta poslovanja

Prije nego krenete s pisanjem planova kontinuiteta poslovanja, morate odrediti koji će vam resursi biti potrebni za ponovno uspostavljanje kritičnih aktivnosti – koji ljudi, lokacije, podaci, hardver, softver, dobavljači, oursourcing partneri, itd.

Strategija kontinuiteta poslovanja mora odrediti ne samo ono što vam je potrebno, nego i kako ćete osigurati te resurse.

8. Pisanje planova za upravljanje incidentima i planova kontinuiteta poslovanja

Svrha planova za upravljanje incidentima je opisati kako ćete izravno reagirati na pojavu incidenta (npr. požar, potres, prijetnja bombom, nestanak struje, itd.) kako biste spriječili njegovo širenje i pokušali smanjiti izravne učinke.

S druge strane, svrha planova kontinuiteta poslovanja je opisati  kako ćete oporaviti svoje kritične aktivnosti – kako ćete aktivirati sve resurse koje ste pripremili. To znači da morate opisati tko će što raditi, u kojem vremenu, uz pomoć kojih podataka i tehnologije kako bi vaša organizacija ponovno profunkcionirala.

Sve te planove treba detaljno opisati jer se moraju izvršavati čak i u slučaju da nema glavnog osoblja – zbog toga ih treba pisati tako da ih može provesti i netko drugi.

9. Obučavanje i osvješćivanje

Morate definirati kompetencije potrebne za izvršavanje planova kontinuiteta poslovanja u slučaju prekida i zatim provesti obuku svog osoblja (kako zaposlenika tako i vanjskih partnera) da bi se postigla ta razina kompetencije.

Međutim, to nije dovoljno – osoblju ćete još morati objasniti zašto je upravljanje kontinuitetom poslovanja nužno. Budimo realni, svoje ćete planove kontinuiteta poslovanja primijeniti možda jednom u životu pa će ih većina zbog toga smatrati gubitkom vremena. Zato im morate objasniti zašto tako nešto postoji. (Vidi također Upravljanje kontinuitetom poslovanja – kako izići na kraj sa skepticima?)

10. Vježbanje BCM-a

Ako ste pomislili da ste napisali savršene planove, vjerojatno griješite – gotovo je nemoguće odmah na početku sastaviti plan bez greške. Zbog toga je vježbanje obavezni dio BCMS-a – planove morate testirati u situaciji koja više ili manje nalikuje stvarnom prekidu. Tek ćete tada znati što ste planirali dobro, a što niste.

11. Održavanje i pregledavanje BCMS-a

Još jedan način kako svoj BCMS možete stalno održavati ažurnim je definiranje intervala u kojima ćete pregledavati svoje planove kontinuiteta poslovanja, ali i druge aranžmane (npr. ugovore s dobavljačima i outsourcing partnerima, obučavanje i osvješćivanje itd.). Različite promjene u okolini prijete da vaša dokumentacija postane zastarjela – dovoljno je da neki zaposlenik napusti tvrtku pa da vam u planu ostane neupotrebljivi telefonski broj ako je ta osoba imala ulogu u BCMS-u.

Također je obavezno provesti pregled nakon incidenta ako je stvarno došlo do incidenta – njegova svrha je saznati kako je organizacija stvarno reagirala – je li slijedila planove ili ne.

12. Interni audit

Svrha internog audita  je saznati  je li sve u redu, na objektivan način – interni auditor mora biti osoba koja treba saznati je li nešto  u vašem BCMS-u učinjeno pogrešno kako bi se to moglo ispraviti. Ako se učini kako treba, interni audit može biti jedan od najboljih načina da poboljšate svoj BCMS. (Nedoumice vezane za interne auditore po normi ISO 27001 i BS 25999-2)

13. Pregled od strane menadžmenta

Kako je već rečeno, vrlo je važno da se menadžment uključi u projekt – pregled od strane menadžmenta služi upravo tome. Norma propisuje da menadžment mora ispitati sve relevantne činjenice o upravljanju kontinuitetom poslovanja i odlučiti je li ono ispunilo svoju svrhu. Kad je to učinjeno, menadžment mora donijeti odluku o tome koja poboljšanja treba provesti.

14. Preventivne i korektivne mjere

Najbolje bi bilo spriječiti da se pogreške (ili “nesukladnosti” u terminologiji norme BS 25999) događaju – tome služe preventivne mjere. One predstavljaju sustavan način ispravljanja stvari prije nego dođe do problema. Slično preventivnim mjerama, tu su i korektivne mjere koje rješavaju problem koji se već dogodio.

Sad je pitanje: zašto biste uopće koristili normu BS 25999-2? Iako ona (još uvijek) nije međunarodna norma, radi se o najpopularnijoj normi za kontinuitet poslovanja u cijelom svijetu. Navedene korake osmislili su najbolji stručnjaci s područja kontinuiteta poslovanja pa ako želite implementirati najbolje prihvaćene prakse za kontinuitet poslovanja, ne morate tražiti dalje.

Ovdje možete preuzeti dijagram Proces implementacije norme BS 25999-2 u kojem su svi ovi koraci grafički prikazani zajedno s potrebnom dokumentacijom (potrebno je registrirati se).

Jeste li ikada čuli rečenice poput “To se ne može provesti”, “Ovo nema smisla” ili “U slučaju ozbiljne havarije sve će biti uzalud”? Ako ste provodili projekte upravljanja kontinuitetom poslovanja, vjerojatno jeste. Naravno, takav pristup ne bi pomogao vašem projektu – zato ovdje navodim nekoliko savjeta kako odgovoriti takvim skepticima.

“Ako dođe do havarije, bespomoćni smo”

Ovo ćete najčešće čuti. U tome možda ima istine ako niste ozbiljno pripremili strategiju kontinuiteta poslovanja i planove kontinuiteta poslovanja uzimajući u obzir sve moguće scenarije. Ako ste to ipak učinili, možete im objasniti da ste pripremili rezervnu lokaciju koja je dovoljno udaljena tako da može podnijeti bilo koju havariju, da ste napravili sigurnosne kopije podataka, da ste osigurali zamjenu za svakog zaposlenika u organizaciji, da imate alternativne dobavljače za sve kritične usluge i sl.

“U slučaju atomskog rata, to ne može funkcionirati”

Osim ako niste dio vojne industrije, zar bi to uopće bilo bitno? U slučaju ovakve katastrofe vaše poslovanje ionako više ne bi imalo smisla.

“Ne vidimo svrhu”

Nadajte se da nikada nećete morati primijeniti kontinuitet poslovanja. Ne spominjući opće poznate primjere poput napada 11. rujna ili uragana Katrina, dovoljno je pitati – jeste li vam ikad nestala struja? Je li vam se ikada pokvario server? Ili možda računalo na kojem su bili pohranjeni važni podaci? Jeste li ikada čuli da je neka zgrada izgorjela do temelja? Dovoljno je čitati crnu kroniku kako biste shvatili da se takve stvari mogu svakome dogoditi.

“Provest ćemo to samo da auditor bude zadovoljan”

Izokrenuli ste prioritete. Ako sve učinite kako treba, zaštitit ćete sebe, a i vaš će auditor biti zadovoljan.

“Ne možemo predvidjeti sve incidente”

To je istina, barem u početku. Ali ako pravilno provedete procjenu rizika, konzultirate literaturu i upotrijebite razne resurse te redovito pregledavate procjenu, vrlo ćete vjerojatno s vremenom moći uzeti u obzir sve moguće rizike. Kad ih jednom prepoznate, možete pripremiti odziv.

“U opasnim situacijama ljudi se brinu za svoje obitelji, a ne za posao”

To je također istina. Tko u slučaju potresa ne bi nazvao svoju obitelj da provjeri je li s njima sve u redu? Međutim, taj ćete problem riješiti tako da vrlo pažljivo isplanirate tko nakon incidenta smije ići kući, a tko mora ostati rješavati situaciju, i da se pobrinete se za obitelj zaposlenika koji moraju ostati (npr. tako što ćete taj zadatak povjeriti nekom drugom zaposleniku).

“U kriznim situacijama ljudi reagiraju iracionalno”

Ovo je definitivno istina. Ali ako zaposlenike (i dobavljače/partnere) redovito obučavate i vježbate planove kontinuiteta poslovanja, oni će se naučiti na stresne situacije pa će kod pojave takve situacije vjerojatno pravilno reagirati.

Ako ste već provodili slične projekte, znate koliko je osviještenost važna. Ako vaši suradnici ne prepoznaju smisao takvih projekata, imat ćete velikih poteškoća u njihovoj implementaciji, da ne spominjem da bi vaš projekt mogao i potpuno propasti – zato unaprijed morate dobro razmisliti o osvješćivanju.

Pogledajte i naš webinar Osnove BS 25999-2 – 2. dio: Strategija kontinuiteta poslovanja (seminar uz naplatu).

Vjerojatno se pitate zašto nakon procjene rizika još morate provoditi i analizu utjecaja na poslovanje. Sve ste rizike identificirali, zar ne? Mnogo ste vremena potrošili na analizu svoje tvrtke, čemu dakle još jedna analiza?

Svrha analize utjecaja na poslovanje ipak je nešto drukčija. U kontinuitetu poslovanja sve se vrti oko vremena – nije važno možete li oporaviti poslovnu aktivnost ako to ne možete učiniti u razumnom roku. Upravo se analizom utjecaja na poslovanje želi utvrditi što je “razumno” pa je njezin glavni cilj utvrditi ciljano vrijeme oporavka za svaku kritičnu aktivnost unutar organizacije.

Takva se analiza često olako shvaća – kao prvo, tvrtka obično nije svjesna toga da bi krivi rezultati mogli dovesti do nepotrebnih troškova ili neprikladne strategije kontinuiteta poslovanja, a osim toga se i podcjenjuje trud koji je potrebno uložiti u provođenje analize utjecaja na poslovanje.

Zbog toga ovdje navodim nekoliko savjeta koji će vašu analizu utjecaja na poslovanje učiniti uspješnijom:

Shvatite analizu kao (mini) projekt. Odredite osobu odgovornu za provedbu analize i definirajte njezina ovlaštenja; definirajte opseg, ciljeve i vremenske rokove.

Napravite domaću zadaću, pripremite dobar upitnik. Dobro strukturiranim upitnikom možete uštedjeti mnogo vremena, a rezultati će biti točniji. U normama BS 25999-1 i BS 25999-2 možete naći dobre smjernice što takav upitnik mora sadržavati – između ostalog morate utvrditi posljedice prekida i kako one variraju s vremenom, identificirati resurse koji su potrebni za oporavak i sl. Dobro je postaviti pitanja kojima se mogu ocijeniti i kvalitativni i kvantitativni učinci.

Definirajte jasne kriterije. Ako osobe koje intervjuirate moraju na pitanja odgovarati tako da daju ocjene od 1 do 5, svakako objasnite što točno svaka od tih 5 ocjena znači. Nije rijetkost da posljedice istog događaja zaposlenici na nižim razinama ocijene kao katastrofalne, a najviši menadžment kao umjerene.

Sakupljajte podatke u interakciji s ljudima. Najbolji se rezultati postižu kada osoba koja ima iskustva s kontinuitetom poslovanja provodi intervju s osobom koja je odgovorna za kritičnu aktivnost. Na taj se način razjašnjavaju mnoge nejasnoće i postiže ujednačenost u odgovorima. Ako intervjui nisu izvedivi, organizirajte barem jednu radionicu za sve sudionike kako bi mogli pitati sve što ih muči. Drugim riječima, nemojte im samo slati upitnike i izgrditi ih ako ih ne ispune na vrijeme.

Ciljano vrijeme oporavka odredite tek nakon što utvrdite sve međuovisnosti. Primjerice, iz upitnika ćete možda zaključiti da je za kritičnu aktivnost “A” maksimalno tolerirano vrijeme prekida 2 dana, dok je maksimalno tolerirano vrijeme prekida za aktivnost “B” 1 dan i da se ne može oporaviti bez aktivnosti “A”. To znači da ciljano vrijeme oporavka aktivnosti “A” mora biti 1 dan, a ne 2 dana.

Iz iskustva znam da su rezultati analize utjecaja na poslovanje često iznenađujući – obično je ciljano vrijeme oporavka dulje nego što se u početku mislilo, a analiza utjecaja na poslovanje otkriva ovisnost o nekim resursima koji u stvari predstavljaju jedinstvenu točku prekida. Ali najbolje je to što je analiza utjecaja na poslovanje najučinkovitiji način na koji ljude možete potaknuti da razmišljaju o neočekivanom – stvarajući takvu svijest povećavate vjerojatnost za opstanak svoje tvrtke.

Pogledajte i naš webinar Osnove BS 25999-2 – 1. dio: Analiza utjecaja na poslovanje (seminar uz naplatu).

Razmišljate o uvođenju norme za upravljanje kontinuitetom poslovanja/norme BS 25999-2? No onda saznate da će vas to puno koštati? Koštati vas vjerojatno hoće, ali ne nužno onoliko koliko ste mislili – to možete riješiti dobrom strategijom kontinuiteta poslovanja.

Norma BS 25999-2 strategiju kontinuiteta poslovanja definira kao “pristup organizacije koji osigurava njezin oporavak i kontinuitet u slučaju havarije ili drugih većih incidenata ili prekida u poslovanju”. Poanta je, dakle, da se na najbolji mogući način pripremite na djelovanje u slučaju havarije. Priprema može uključivati organizacijske mjere (pisanje planova, sklapanje ugovora s dobavljačima/partnerima, vježbanje, pregled, osvješćivanje itd.) i ulaganje u opremu, infrastrukturu itd.

Vrijeme je vrlo važan faktor u oporavku – ako svoje poslovanje ne oporavite u razumnom roku, vjerojatno ćete izgubiti klijente, a time i posao. Zato se u strategiji kontinuiteta poslovanja mora postaviti ciljano vrijeme oporavka za svaku kritičnu aktivnost, s tim da to vrijeme može biti različito za pojedine aktivnosti.

Ima još jedna stvar koju treba uzeti u obzir: što je ciljano vrijeme oporavka kraće, potrebna je veća investicija  – na primjer, ako podatkovni centar želite oporaviti za manje od sat vremena, morat ćete investirati u rezervnu lokaciju koja će biti opremljena gotovo isto kao i primarna lokacija; s druge strane, ako podatkovni centar želite oporaviti unutar dva tjedna, investicija će biti puno manja jer će biti dovoljno na rezervnoj lokaciji pohraniti samo sigurnosne kopije, što vam ostavlja dva tjedna za nabavku potrebne opreme. To znači da ciljano vrijeme oporavka ne biste trebali postavljati ni na jako dugi, ali ni jako kratki rok.

Nešto ćete ipak morati investirati nakon što odredite ciljano vrijeme oporavka. Dobra strategija kontinuiteta poslovanja pomoći će vam doduše da tu investiciju umanjite i da svejedno budete u stanju oporaviti svoje kritične aktivnosti unutar ciljanog vremena oporavka. Evo nekoliko primjera:

• možda vam na rezervnoj lokaciji ne treba vlastiti podatkovni centar – u većini zemalja moguće je takvu lokaciju unajmiti od specijalizirane tvrtke, što znači da ne morate investirati u infrastrukturu, možda čak ni u opremu ili softver,
• možda vam na rezervnoj lokaciji ne trebaju uredi– zaposlenici koji ne posluju direktno s klijentima mogu raditi od kuće,
• možda vam uopće ne treba rezervna lokacija ako ostale poslovne jedinice imate na raznim lokacijama koje mogu preuzeti kritične aktivnosti pogođene havarijom,
• opremu možda ne morate kupovati unaprijed ako pronađete dobavljača koji može jamčiti isporuku opreme unutar vašeg ciljanog vremena oporavka,
• itd.

Svi ovi primjeri zahtijevaju povećanje vaših organizacijskih mogućnosti, ali ako želite uštedjeti nešto novca, vrijedi o tome razmisliti.

Pogledajte i naš webinar Osnove BS 25999-2 – 2. dio: Strategija kontinuiteta poslovanja (seminar uz naplatu).

Na prvi pogled informacijska sigurnost i kontinuitet poslovanja nemaju mnogo toga zajedničkog – neki bi možda nadodali da je jedina sličnost u tome što su oboje povezani s informacijskom tehnologijom.

Međunarodna norma ISO/IEC 27001 najbolje definira upravljanje informacijskom sigurnošću, dok britanska norma BS 25999-2 definira kontinuitet poslovanja – želimo li dakle usporediti ova dva pojma, najpametnije je pogledati što o tome kažu ove dvije norme.

Prije svega, informacijska tehnologija važan je dio i norme ISO 27001 i norme BS 25999-2, ali se ni u kojem slučaju ne može reći da se te dvije norme bave isključivo informacijskom tehnologijom – naglasak je na poslovnim procesima i resursima i s time povezanim rizicima. Istina je da je informacijska tehnologija  glavni alat za obradu podataka, ali činjenica je da su najveći rizici povezani sa zlonamjernim i nenamjernim djelovanjem ljudi. Stoga se rizici povezani s informacijskom sigurnošću ili kontinuitetom poslovanja ne mogu razriješiti samo informacijskom tehnologijom – puno je važnije definirati organizaciju, procese i odgovornosti unutar organizacije.

No što je u biti informacijska sigurnost? Norma ISO 27001 definira je kao “očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija”. S druge strane, norma BS 25999-2 kontinuitet poslovanja definira kao „stratešku i taktičku sposobnost organizacije da planira i odgovori na incidente i prekide u poslovanju kako bi nastavila s poslovnim aktivnostima na razini koju je prethodno definirala kao prihvatljivu“.

Te dvije definicije ne pokazuju velike sličnosti. Jedan ih detalj ipak čini vrlo sličnima -  dostupnost. I informacijska sigurnost i kontinuitet poslovanja usredotočuju se na to da  informacije budu dostupne onima kojima su potrebne – u tom smislu Aneks A norme ISO 27001 nudi neke mjere posvećene isključivo kontinuitetu poslovanja.

Nadalje, obje norme zahtijevaju provođenje procjene rizika kako bi se uočili potencijalni problemi vezani za informacije; obje norme zahtijevaju upravljanje dokumentacijom, provođenje internih audita, preglede od strane menadžmenta, te popravne i preventivne mjere. To znači da ako već posjedujete dokumentaciju za normu ISO 27001, iste proceduremožete koristiti i za BS 25999-2 (uz manje prilagodbe).

U čemu je razlika? Glavna razlika je u količini detalja. Norma ISO 27001 pokriva puno šire područje i stoga ne ulazi u detalje kad se radi o kontinuitetu poslovanja; s druge strane, norma BS 25999-2 detaljno opisuje kako treba provoditi analizu utjecaja na poslovanje, kako definirati strategiju kontinuiteta poslovanja ili što bi trebao biti sadržaj planova kontinuiteta poslovanja itd.

Da zaključim – poanta je da se kontinuitet poslovanja može smatrati dijelom informacijske sigurnosti. U praksi to znači da je za implementaciju kontinuiteta poslovanja u kontekstu norme ISO 27001 najbolje koristiti normu BS 25999-2 kao smjernicu.

Pogledajte i naš besplatni webinar ISO 27001 & BS 25999-2: Zašto ih je bolje implementirati zajedno?.