FAQ BS 25999

Che cos’è BS 25999?

E’ uno standard che identifica i processi, i principi e la terminologia per la GESTIONE della BUSINESS CONTINUITY (BCM). Lo standard lavora su obiettivi ampi e per questo motivo non è prescrittivo, in modo da essere applicabile a tutte le organizzazioni, siano esse piccole, medie, grandi, locali, nazionali o globali, pubbliche o private. Lo standard si prefigge i seguenti obiettivi:

fornisce gli elementi di base per comprendere il BCM (Business Continuity Management)

fornisce strumenti di misura coerenti e riconosciuti a livello globale

fornisce un approccio sistematico all’istituzione di best practice

non si occupa della gestione e pianificazione delle emergenze, se non nell’ambito del ruolo assunto da un’organizzazione all’interno di un grande incidente.

BS25999 è composta da due parti: la Parte 1 è un codice di pratica, mentre la Parte 2 è una specifica di requisiti per un sistema di gestione della business continuity.

Qual è la differenza tra BS 25999 Parte 1 e 2?

BS 25999 si compone di due parti, complementari e integrabili:

BS 25999-1:2006 Codice di Pratica: pubblicato nel novembre 2006, il Codice di pratica descrive come un’organizzazione può istituire e mantenere attività relative alla BC utilizzando il BS25999 Business Continuity Life Cycle. Il documento definisce i processi, i principi e la terminologia per affrontare progetti di business continuity e propone una sintesi metodologica delle migliori pratiche in tema di BCM.

BS 25999-2:2007 Specifica. Pubblicata nel novembre 2007, la specifica descrive come un’organizzazione può implementare, mantenere e migliorare un sistema di gestione della Business Continuity, in accordo al modello PLAN-DO-CHECK-ACT che è familiare agli utenti di altri sistemi di gestione come ISO 9001, Iso 14001 e ISO 27001. Questa è una specifica che descrive azioni specifiche che un’organizzazione deve intraprendere per essere conforme allo standard. La specifica è oggetto di audit; pertanto è certificabile.

Perché è stata sviluppata la BS 25999?

BS 25999 è stata sviluppata da BSI in UK per rispondere alle richieste di aziende e di autorità pubbliche di soddisfare le loro esigenze in termini di business continuity, ovvero di rispondere agli incidenti che minacciano l’interruzione delle quotidiane attività di business. Successivamente BS 25999 è stata recepita in tutto il mondo, dove ha avuto un grande successo. Molte organizzazioni di diversi settori industriali e di diverse aree geografiche hanno implementato lo standard e ottenuto la certificazione.

Che cos’è la certificazione BS 25999?

Quando BSI certifica (o registra) un’organizzazione in accordo a uno standard come BS 25999, fornisce un’assicurazione indipendente che l’organizzazione soddisfa i requisiti dello standard stesso. Per farlo, BSI esegue un’analisi dei risultati di un audit/assessment e fornisce un certificato come prova di conformità.

Perché un’organizzazione dovrebbe implementare un sistema di gestione della business continuity in accordo alla BS 25999?

I benefici chiave sono:

sicurezza che l’organizzazione ha un piano che le permette di continuare la propria attività in caso di sospensione del servizio da parte della catena di fornitura

chiaro vantaggio di business sui concorrenti nell’approcciare industria e governi, poiché in grado di fornire adeguati livelli di fiducia e garanzia

offre pubblica garanzia che l’organizzazione è solida

un sistema di gestione della BC certificato fornisce una “prova di rischio gestito”, che concorre alla riduzione di premi assicurativi

Il miglioramento continuo è un beneficio insito nella certificazione BS 25999. E’ particolarmente rilevante nelle industrie che hanno un rischio alto e altamente regolato e laddove le organizzazione devono dimostrare aderenza continua a obblighi legali e normativi.

BS 25999 fornisce alle organizzazioni la garanzia che il loro sistema di gestione della BC sarà efficace al momento di una interruzione del servizio e i benefici nel poter dimostrare a tutti gli stakeholder che è in essere un sistema di gestione della BC secondo best practice internazionali conosciute in tutto il mondo.

Qual è la differenza tra certificazione e auto valutazione?

Le organizzazioni possono dichiarare di essere conformi a BS 25999 tramite un self-assessment (auto valutazione), o un audit interno. Ma cosa significa questo per gli stakeholder? Qualcuno potrebbe sostenere che l’auto valutazione non è attendibile, perché una terza parte non è coinvolta. Noi crediamo che solo un audit di certificazione indipendente e ripetibile verso un determinato standard sia accettabile come evidenza di conformità e di miglioramento continuo verso le migliori pratiche di BCM.

Quanto dura il percorso di certificazione?

Dipende dall’organizzazione, dalla maturità verso BCM e quanto il sistema di BCM dell’azienda soddisfa i requisiti della BS 25999. Molte organizzazioni hanno un programma di BCM, ma non hanno un approccio di sistema. Implementare un sistema di gestione basato su standard e verificarlo non è un processo a breve. In genere ci vogliono 6-12 mesi per ottenere la certificazione. Gap analysis, formazione e informazioni di supporto sono messi a disposizione da parte di BSI, in modo da supportare le aziende nell’ottenere la certificazione il prima possibile.

A cosa si riferisce lo scopo e come si determina?

Lo scopo si riferisce alla parte dell’organizzazione alla quale il sistema di gestione della BC è applicato. Idealmente questo dovrebbe essere applicato all’intera organizzazione, in modo da avere un sistema di gestione della BC che può essere invocato in caso di incidente. Alcune organizzazioni possono essere interessate ad avere un sistema di gestione della BC solo per alcuni prodotti o servizi chiave e perciò lo scopo può essere ristretto a quei prodotti o servizi e alle attività di supporto che assicurano tali prodotti/servizi possano essere forniti ai clienti.

Questo significa produrre documentazione aggiuntiva?

Come tutti gli standard sui sistemi di gestione, BS 25999 non si prefigge lo scopo di essere un “peso burocratico” per le organizzazioni. E’ chiaro, però, che qualsiasi documentazione o registrazione venga richiesta nell’adempimento dello standard, questa deve essere gestita correttamente.

Se l’azienda é certificata in accordo a ISO 9001 o 14001, ad esempio, ci sono una serie di processi generici, che evitano la duplicazione di documentazione.

Abbiamo implementato un sistema secondo la ISO 9001. Implementare la BS25999 significa duplicare gli sforzi?

Ci sono molti parallelismi tra ISO 9001 e BS 25999 perché entrambi seguono la stessa metodologia, comune a molti standard.

Gli elementi comuni sono il coinvolgimento del Top Management, Formazione, Audit interni, Revisioni e Azioni Correttive e Preventive.

Naturalmente, BS 25999 ha specifiche proprie relativamente alla gestione della BC che richiedono attenzioni aggiuntive.

BSI può proporre della formazione per assistere un'organizzazione nell’implementazione della BS 25999?

BSI offre un programma completo per la gestione della BC e formazione specifica sulla BS 25999. Questi corsi coprono ogni aspetto della BS 25999, anche per Implementation e Internal Auditing.

Per maggiori informazioni: http://www.bsigroup.it/Formazione/

Quante aziende sono state certificate secondo BS 25999?

Nonostante BS 25999 parte 2 sia di recente pubblicazione (novembre 2007), molte organizzazioni in tutto il mondo sono già state certificate, dimostrando chiaramente l’importanza della BCM e la popolarità dello standard e il suo riconoscimento a livello internazionale. BSI ha certificato più di 40 organizzazioni in tutto il mondo in diversi settori industriali. Tra questi: Vodafone, Accenture, Citigroup, NEC. Per leggere alcuni Case Studies.

Qual è la differenza tra BS 25999 e gli altri standard?

BS 25999 assicura che un sistema di gestione della business continuity è abbastanza solido da sostenere il business dell’intera organizzazione. Altri standard (ad es. 9001 e 27001) hanno un controllo o obiettivi che coprono parzialmente l’area della business continuity, senza però entrare nello specifico. Esistono altri standard sulla business continuity, sviluppati localmente e per un mercato specifico. BS 25999 è l’unico standard riconosciuto a livello globale per la sua eccellenza.

BS 25999 diventerà uno standard ISO?

Come accaduto in passato per altri British Standards, ad es. BS 7799 e BS 15000, che sono diventate rispettivamente ISO 27001 e ISO 2000, l’ISO (International Standards Organization) ha dimostrato un interesse verso BS 25999 e all’impatto che ha sul mercato. Lo sviluppo di due nuove ISO è in corso: ISO 22399 (Codice di pratica) e ISO 22301 (Specifica). Entrambe gli standard utilizzano BS 25999 come fonte documentale e BSI guida il gruppo di lavoro che sta sviluppando gli standard.

L’uscita dei nuovi standard è prevista non prima del 2011.

Quando gli standard saranno effettivi, le aziende che hanno ricevuto la certificazione BS 25999 potranno passare alla ISO molto facilmente. Per le organizzazioni che vogliono essere in linea con le best practice adottate e riconosciute internazionalmente, è consigliabile non attendere l’uscita delle ISO, ma passare subito alla certificazione BS 25999.

Quale percorso deve intraprendere un’organizzazione per essere certificata BS 25999?

Step 1 acquistare la norma BS 25999 parte 1 e 2 e familiarizzare con i requisiti

Step 2 determinare gli scopi del proprio BCMs

Step 3 considerare una gap analysis per determinare quanto il sistema di gestione della BC si avvicina ai requisiti della BS 25999

Step 4 partecipare ai corsi di formazione BSI sulla BS 25999

Step 5 richiedere una quotazione a BSI per ottenere la certificazion

Step 6 Pre assessment

Step 7 Assessment

Step 8 Certificazione

Step 9 Visite periodiche

Una volta ottenuta la certificazione, BSI continuerà a verificare il BCM dell’azienda certificata per assicurare la compliance alla BS 25999 e un miglioramento continuo.