BS 25999 est la norme de l’organisme British Standards Institute (BSI) dans le domaine du Management de la Continuité d’Activité. Cette norme remplace le PAS 56, une spécification publiquement disponible (Publicly Available Specification), publié en 2003 sur le même sujet.
Créée par le BSI, BS 25999 est une norme de Management de la Continuité d’Activité (MCA) qui comprend deux parties :
Partie 1 : « BS 25999-1: 2006 Management de la Continuité d’Activité - Code de bonne pratique », prend la forme d’un guide général et cherche à établir les processus, les principes et les terminologies pour le Management de la Continuité d’Activité.
Partie 2 : « BS 25999- 2 : 2007 Management de la Continuité d’Activité – Spécifications » spécifie les exigences de la mise en place, l'exploitation et l'amélioration d’un Système de Management de la Continuité d’Activité documenté (SMCA), décrivant uniquement les exigences pouvant être objectivement et indépendamment auditées.
Un moyen utile pour comprendre la différence entre ces deux parties est que la Partie 1 est un document d'orientation qui utilise le terme « devrait », la Partie 2 est une spécification vérifiable de façon indépendante qui utilise le mot « doit ».
La certification (vérification/audit indépendant) à cette norme est disponible auprès des organismes de certification accrédités par l’UKAS (United Kingdom Accreditation Service) et se présente en un processus à étapes multiples, impliquant généralement un certain nombre de visites d'évaluation. L'auditeur doit alors faire une recommandation sur la délivrance ou non de la certification à l’entreprise candidate. Après la certification initiale un certain nombre de visites de suivi sont faites selon un plan visant à s'assurer que l'organisation est toujours en conformité.
Section 1 : Objet et domaine d’application. Cette section définit le champ d’application de la norme, en indiquant clairement qu’il décrit la bonne pratique commune pour adapter la mise en œuvre à l’organisation.
Section 2 : Termes et définitions. Cette section décrit la terminologie et les définitions utilisées dans le contenu de la norme.
Section 3 : Présentation générale du MCA. C’est une courte présentation de la norme, qui n’est pas destinée à être un guide pour les débutants mais décrit l’ensemble des processus en relation avec le management des risques et les raisons pour lesquelles une organisation met en place le système ainsi que les avantages.
Section 4 : Politique de MCA. Le plus important dans la mise en œuvre de la continuité d’activité est d’avoir une politique claire, sans ambiguïté et des ressources appropriées.
Section 5 : Gestion du programme MCA. La gestion du programme est au cœur de l’ensemble du processus de MCA et la norme en définie une approche.
Section 6 : Compréhension de l’organisation. Dans le but d’appliquer les stratégies appropriées de management de la continuité, l'organisation doit être bien comprise dans sa globalité : Activités critiques, ressources, droits applicables, obligations, menaces, risques.
Section 7 : Détermination de la stratégie de continuité d’activité. Une fois que l'organisation est bien comprise, les stratégies globales de continuité d’activité peuvent être définies de manière appropriée.
Section 8 : Développement et mise en œuvre des réponses dans le cadre du MCA. Les moyens tactiques par lesquelles la continuité d’activité est déployée. Il s'agit notamment des structures de management de l’incident, gestion de l’incident et des plans de continuité d’activité.
Section 9: Exercice, maintenance et revue des dispositions du MCA. Sans les tests sur le MCA, l’organisation ne peut pas être certaine qu’ils correspondent à ses exigences. Exercice, maintenance et revue des dispositions permettront à la continuité d’activité de continuer à répondre aux objectifs de l’organisation.
Section 10 : Intégration du MCA dans la culture de l’organisation. Constituer, favoriser et intégrer une culture du MCA au sein de l’organisme, assure qu’elle fait partie des valeurs fondamentales et de la gestion efficace de l’organisme.
Section 1 : Domaine d’application. Cette section définie le champ d’application de la norme, les exigences pour la mise en place et l’exploitation de la documentation du SMCA.
Section 2 : Termes et définitions. Cette section décrit la terminologie et les définitions utilisées dans le contenu de la norme.
Section 3 : Planification du SMCA (Plan). La seconde partie de la norme est dédiée au bon établissement du model de l’amélioration continue : Plan-Do-Check-Act. La première étape est de planifier le SMCA, l’établir et l’intégrer dans l’organisation.
Section 4 : Mise en œuvre et fonctionnement du SMCA (Do). Cette section comprend un certain nombre de sujets que l'on trouve dans la partie 1, bien que la partie 1 doit être utilisée uniquement pour obtenir des axes généraux et des informations. Seul ce qui est dans la partie 2 peut être audité.
Section 5 : Surveillance et revue du management du SMCA (Check). Pour veiller à ce que le SMCA soit surveillé continuellement, l’étape de surveillance couvre l’audit interne et la revue de direction du SMCA.
Section 6 : Maintenance et amélioration du SMCA (Act). Pour veiller à ce que le SMCA soit à la fois maintenu et amélioré sur une base continue, cette section se concentre sur les mesures préventives et correctives
Version Anglaise: La première partie BS 25999-1:2006 a été publié en et la seconde partie BS 25999-2:2007 en .
Version française : Les deux parties de la norme ont été publiées en 2010 et lancées publiquement en par BSI France.
Les deux parties de la norme sont susceptibles d'être révisées et elles peuvent être finalement incorporées dans d'autres normes nationales ou internationales.