BS 25999

La norme BS 25999 pour la continuité des affaires

BS 25999 est la norme de l’organisme British Standards Institute (BSI) dans le domaine du Management de la Continuité d’Affaires. MCA ou BCM  pour « Business Continuity Management »

Cette norme est constitué de deux parties :

Partie 1 : « BS 25999-1: 2006 Management de la Continuité d’Activité – Code de bonne pratique ».

Elle prend la forme d’un guide général composé de 10 sections qui cherche à établir les processus, les principes et les terminologies pour la gestion de la continuité des activités.

  • Section 1 : Objet et domaine d’application. Cette section définie le champ d’application de la norme, en indiquant clairement qu’il décrit la bonne pratique commune pour adapter la mise en œuvre à l’organisation.
  • Section 2 : Termes et définitions. Cette section décrit la terminologie et les définitions utilisées dans le contenu de la norme.
  • Section 3 : Présentation générale du MCA. C’est une courte présentation de la norme, qui n’est pas destinée à être un guide pour les débutants mais décrit l’ensemble des processus en relation avec le management des risques et les raisons pour lesquelles une organisation met en place le système ainsi que les avantages.
  • Section 4 : Politique de MCA. Le plus important dans la mise en œuvre de la continuité d’activité est d’avoir une politique claire, sans ambiguïté et des ressources appropriées.
  • Section 5 : Gestion du programme MCA. La gestion du programme est au cœur de l’ensemble du processus de MCA et la norme en définie une approche.
  • Section 6 : Compréhension de l’organisation. Dans le but d’appliquer les stratégies appropriées de management de la continuité, l’organisation doit être bien comprise dans sa globalité : Activités critiques, ressources, droits applicables, obligations, menaces, risques.
  • Section 7 : Détermination de la stratégie de continuité d’activité. Une fois que l’organisation est bien comprise, les stratégies globales de continuité d’activité peuvent être définies de manière appropriée.
  • Section 8 : Développement et mise en œuvre des réponses dans le cadre du MCA. Les moyens tactiques par lesquelles la continuité d’activité est déployée. Il s’agit notamment des structures de management de l’incident, gestion de l’incident et des plans de continuité d’activité.
  • Section 9: Exercice, maintenance et revue des dispositions du MCA. Sans les tests sur le MCA, l’organisation ne peut pas être certaine qu’ils correspondent à ses exigences. Exercice, maintenance et revue des dispositions permettront à la continuité d’activité de continuer à répondre aux objectifs de l’organisation.
  • Section 10 : Intégration du MCA dans la culture de l’organisation. Constituer, favoriser et intégrer une culture du MCA au sein de l’organisme, assure qu’elle fait partie des valeurs fondamentales et de la gestion efficace de l’organisme.

 

Partie 2 : « BS 25999- 2 : 2007 Management de la Continuité d’Activité – Spécifications »

Elle spécifie les exigences de la mise en place, l’exploitation et l’amélioration d’un Système de Management de la Continuité d’Activité documenté (SMCA), en décrivant les exigences pouvant être objectivement et indépendamment auditées et ce en 6 sections.

  • Section 1 : Domaine d’application. Cette section définie le champ d’application de la norme, les exigences pour la mise en place et l’exploitation de la documentation du SMCA.
  • Section 2 : Termes et définitions. Cette section décrit la terminologie et les définitions utilisées dans le contenu de la norme.
  • Section 3 : Planification du SMCA (Plan). La seconde partie de la norme est dédiée au bon établissement du model de l’amélioration continue : Plan-Do-Check-Act. La première étape est de planifier le SMCA, l’établir et l’intégrer dans l’organisation.
  • Section 4 : Mise en œuvre et fonctionnement du SMCA (Do). Cette section comprend un certain nombre de sujets que l’on trouve dans la partie 1, bien que la partie 1 doit être utilisée uniquement pour obtenir des axes généraux et des informations. Seul ce qui est dans la partie 2 peut être audité.
  • Section 5 : Surveillance et revue du management du SMCA (Check). Pour veiller à ce que le SMCA soit surveillé continuellement, l’étape de surveillance couvre l’audit interne et la revue de direction du SMCA.
  • Section 6 : Maintenance et amélioration du SMCA (Act). Pour veiller à ce que le SMCA soit à la fois maintenu et amélioré sur une base continue, cette section se concentre sur les mesures préventives et correctives.

 

La première partie BS 25999 a été publié la première fois en en anglais décembre 2006 et la seconde partie BS 25999 en novembre 2007.

Par la suite les deux parties de la norme ont été publié en français en Octobre 2010.

 

Comment différencier les deux parties de la norme

Un moyen utile pour comprendre la différence entre ces deux parties est que la Partie 1 est un document d’orientation qui utilise le terme «devrait», la Partie 2 est une spécification vérifiable de façon indépendante qui utilise le mot «doit».

 

Comment obtenir la certification

La certification (vérification/audit indépendant) à cette norme est disponible auprès des organismes de certification accrédités par l’UKAS (United Kingdom Accreditation Service) et se présente en un processus à étapes multiples, impliquant généralement un certain nombre de visites d’évaluation. L’auditeur doit alors faire une recommandation sur la délivrance ou non de la certification à l’entreprise candidate. Après la certification initiale un certain nombre de visites de suivi sont effectué selon un plan visant à s’assurer que l’organisation est toujours en conformité.