BS 25999
BS 25999 — это британский стандарт, устанавливающий требования к системе менеджмента непрерывности бизнеса (Business Continuity Management, BCM). Разработанный Британским институтом стандартов (BSI), он стал первым в мире формализованным стандартом, предназначенным для внедрения, поддержания и улучшения процессов обеспечения непрерывности деятельности организации в условиях кризисов, сбоев и чрезвычайных ситуаций. Стандарт был опубликован в двух частях: первая (BS 25999-1) содержала свод практических правил и рекомендаций, вторая (BS 25999-2) — формальные требования к системе менеджмента, на соответствие которым проводилась сертификация.
История создания
Потребность в едином подходе к управлению непрерывностью бизнеса возникла в начале 2000-х годов на фоне роста числа техногенных катастроф, террористических атак (включая события 11 сентября 2001 года в США) и природных катаклизмов. До появления BS 25999 организации использовали разрозненные методики и отраслевые руководства, что затрудняло оценку и сравнение зрелости систем BCM.
Разработка стандарта началась в 2003 году под руководством BSI при участии экспертов из различных секторов экономики, государственных органов и профессиональных ассоциаций. Целью было создание универсального, гибкого и проверяемого на практике документа, который мог бы применяться как в коммерческих, так и в некоммерческих организациях любого размера.
Первая часть стандарта, BS 25999-1:2006, была опубликована в 2006 году. Она представляла собой руководство по внедрению системы менеджмента непрерывности бизнеса, содержала описание ключевых принципов, процессов и лучших практик. Вторая часть, BS 25999-2:2007, вышла в 2007 году и стала основой для сертификации. Она устанавливала формальные требования к системе, включая обязательные процедуры, документацию и критерии аудита.
Структура и основные положения
Стандарт BS 25999 базировался на цикле PDCA (Plan-Do-Check-Act) и интегрировал принципы риск-менеджмента. Его ключевые элементы охватывали весь жизненный цикл системы управления непрерывностью бизнеса.
BS 25999-1:2006 (Свод практических правил)
Данная часть носила рекомендательный характер и описывала:
- Политику непрерывности бизнеса — определение целей, области применения и ответственности руководства.
- Анализ воздействия на бизнес (Business Impact Analysis, BIA) — методику выявления критических бизнес-процессов, оценки последствий их нарушения и определения приоритетов восстановления.
- Оценку рисков — идентификацию угроз (природные, техногенные, человеческие) и уязвимостей, а также оценку вероятности и потенциального ущерба.
- Стратегию непрерывности — выбор подходов к восстановлению (например, резервные мощности, аутсорсинг, облачные решения) для каждого критического процесса.
- Планирование и разработку — создание планов непрерывности бизнеса (BCP) и планов восстановления после катастроф (DRP), включая процедуры эвакуации, коммуникации и координации.
- Обучение и осведомленность — программы подготовки персонала, проведение учений и тренировок.
- Тестирование и аудит — регулярные проверки работоспособности планов, внутренние и внешние аудиты системы.
- Постоянное улучшение — корректирующие и предупреждающие действия на основе результатов тестирования и анализа.
BS 25999-2:2007 (Требования к системе менеджмента)
Эта часть содержала обязательные требования для сертификации. Ключевые разделы включали:
- Общие требования — определение области применения системы, документальное оформление политики и процедур.
- Политика в области непрерывности бизнеса — утверждение высшим руководством, доведение до сведения сотрудников.
- Планирование — проведение BIA и оценки рисков, выбор стратегий, разработка планов.
- Внедрение и функционирование — реализация процедур, распределение ресурсов, управление инцидентами.
- Мониторинг и анализ — проведение внутренних аудитов, анализ со стороны руководства, измерение эффективности.
- Улучшение — корректирующие и предупреждающие действия, актуализация документации.
Применение и сертификация
Стандарт BS 25999 был ориентирован на организации, стремящиеся продемонстрировать заинтересованным сторонам (клиентам, партнёрам, регуляторам, страховщикам) свою способность противостоять сбоям и минимизировать их последствия. Сертификация по BS 25999-2 проводилась аккредитованными органами по сертификации (например, BSI, DNV, SGS) и подтверждала соответствие системы менеджмента установленным требованиям.
Наибольшее распространение стандарт получил в Великобритании, а также в странах Европы, Ближнего Востока и Азии. Он активно применялся в финансовом секторе, телекоммуникациях, энергетике, здравоохранении, государственном управлении и производственных компаниях. В России BS 25999 использовался в качестве основы для построения систем непрерывности бизнеса в ряде крупных корпораций и банков, однако официального статуса национального стандарта не получил.
Переход на ISO 22301
В 2012 году Международная организация по стандартизации (ISO) опубликовала международный стандарт ISO 22301:2012 «Социальная безопасность. Системы менеджмента непрерывности бизнеса. Требования», который был разработан на основе BS 25999-2. Целью создания ISO 22301 была унификация требований к BCM на глобальном уровне и замена национальных стандартов единым международным документом.
После публикации ISO 22301 BSI официально объявил о прекращении действия BS 25999-2:2007. Организации, сертифицированные по BS 25999, получили переходный период (обычно 2–3 года) для перехода на новый стандарт. В настоящее время BS 25999 считается устаревшим и не применяется для сертификации, однако его методологическая база (BIA, оценка рисков, цикл PDCA) легла в основу ISO 22301 и продолжает использоваться в практике управления непрерывностью бизнеса.
Критика и ограничения
Несмотря на широкое признание, BS 25999 подвергался критике по ряду аспектов:
- Сложность внедрения для малых предприятий — стандарт требовал значительных ресурсов на документирование, проведение BIA и аудитов, что делало его малодоступным для небольших организаций.
- Избыточная детализация — некоторые эксперты отмечали, что требования к документации и процедурам были излишне формализованы, что могло приводить к бюрократизации процесса.
- Отсутствие интеграции с другими системами — стандарт не предусматривал явной интеграции с системами менеджмента качества (ISO 9001), информационной безопасности (ISO 27001) или охраны труда (ISO 45001), что требовало дополнительных усилий для создания единой системы управления.
- Ограниченная географическая применимость — будучи британским стандартом, он не учитывал особенности регулирования и практики в других странах, что снижало его универсальность.
Значение и наследие
BS 25999 сыграл ключевую роль в профессионализации и стандартизации управления непрерывностью бизнеса. Он впервые предложил чёткую, структурированную и проверяемую модель, которая позволила организациям системно подходить к обеспечению устойчивости. Стандарт способствовал развитию рынка консалтинговых и аудиторских услуг в области BCM, а также повышению осведомлённости руководства о необходимости инвестиций в непрерывность.
Наследие BS 25999 выражается в том, что его основные концепции и методология были перенесены в ISO 22301, который сегодня является доминирующим международным стандартом в этой области. Многие специалисты, прошедшие обучение и сертификацию по BS 25999, продолжают применять его принципы в своей работе, адаптируя их к требованиям ISO 22301.
Источники
- BS 25999-1:2006 «Business Continuity Management. Part 1: Code of Practice»
- BS 25999-2:2007 «Business Continuity Management. Part 2: Specification»
- ISO 22301:2012 «Societal security — Business continuity management systems — Requirements»
- BSI Group. «Business Continuity Management: The BS 25999 Standard» (2007)
- Goh, M. H. «A Manager’s Guide to Implementing BS 25999» (2008)
- Руководящие документы Банка России по управлению непрерывностью бизнеса (2010–2015)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →