BUSINESS CONTINUITY MANAGEMENT Een calamiteit is niet altijd te voorkomen!

Transcriptie

1 BUSINESS CONTINUITY MANAGEMENT Een calamiteit is niet altijd te voorkomen! POSTADRES Postbus AA Den Haag BEZOEKADRES Wilhelmina van Pruisenweg AN Den Haag TELEFOON FAX Auteur(s) : GOVCERT.NL Versie : 1.3 Den Haag : Publieke uitgave :

2

3 GOVCERT.NL is het Computer Emergency Response Team van en voor de Nederlandse overheid. Zij ondersteunt overheidsorganisaties in het Voorkomen en afhandelen van ICT-gerelateerde veiligheidsincidenten, 24 uur per dag, 7 dagen per week. Advies en preventie, waarschuwing, incidentafhandeling en kennisdeling zijn hierbij sleutelwoorden. Logius is de dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. GOVCERT.NL maakt deel uit van Logius. Deze white paper is in 2007 geschreven en gepubliceerd voor de GOVCERT.NL deelnemers. Nu, in mei 2010, wordt het white paper volledig publiek gemaakt. Voor deze publieke uitgave is het document licht herzien: waar nodig is achterhaalde informatie verwijderd en zijn kleine verbeteringen doorgevoerd. DISCLAIMER GOVCERT.NL betracht grote zorgvuldigheid bij het samenstellen en onderhouden van de informatie. GOVCERT.NL is echter niet verantwoordelijk voor de volledigheid, juistheid en actualiteit van de informatie en aanvaardt geen aansprakelijkheid voor eventuele directe of indirecte schade als gevolg van de activiteiten die door een gebruiker worden ondernomen op basis van de informatie, adviezen en waarschuwingen die door middel van dit document wordt verstrekt. Indien er verwezen wordt naar externe bronnen staat GOVCERT.NL niet garant voor de juistheid en volledigheid van deze informatie. Gezien de technologische ontwikkelingen wordt niet gepretendeerd dat het document uitputtend is. Gebruik: Dit werk is gepubliceerd onder de voorwaarden beschreven in de Creative Commons Naamsvermelding-Niet-commercieel- Gelijk delen 3.0 Nederland licentie. Kijk voor meer informatie op BCM Versie juli /23

4 MANAGEMENTSAMENVATTING Het uitvallen van de bedrijfsvoering is één van de belangrijkste bedrijfsrisico s. Tegelijkertijd verandert het dreigingenpatroon voor veel organisaties van traditionele naar technologische- en zelfs terreurdreigingen. De expertise van medewerkers en vitale data zijn bijvoorbeeld de kroonjuwelen van de organisatie, deze zijn alleen met een goed ingericht Business Continuity Management te beschermen tegen de gevolgen van een calamiteit. De doelstelling van BCM is: Het nemen van maatregelen ter voorkoming van ernstige onderbrekingen in de bedrijfsvoering en het nemen van maatregelen ter bescherming van vitale (primaire) bedrijfsprocessen tegen gevolgen van omvangrijke (ver)storingen of calamiteiten. De maatregelen ter voorkoming van ernstige onderbrekingen in de bedrijfsvoering worden als samenhangend geheel opgenomen in een Beveiligingsplan. De maatregelen om de gevolgen van omvangrijke (ver)storingen of calamiteiten van vitale (primaire) bedrijfsprocessen te beperken zijn opgenomen in een Calamiteitenplan. Beheer Fase 1 Continuïteits- kader Fase 2 Continuïteits- strategie en beleid Fase 3 Continuïteits- plan Fase 4 Implementatie en beheer Continu ïte itsnorm en kritis che processe n Vaststellen afhankelijkheden Bepalen risico s (basissce nario s) Huidige situatie Beveiliging Fallb ack/uitwijk Strategie en beleid Preventie Correctie Niets doen Acceptatie Bereiken co nsensus Beveiligingspla n C alamiteite nplan Bevel- en overlegstructuur incl. escalatie Commu nicatie Uitwijk- en herstel Opleidingen Oefenen Beheerplan Van papier naar praktijk Pro-actieve taken Oefenen Evaluatiera pport Aanpassen co ntinuï teitsplan Borgi ng In bovenstaande figuur is een aanpak weergegeven om BCM in een organisatie in te richten. BCM Versie juli /23

5 In Fase 1 wordt het Continuïteitskader neergezet op basis van: 1. De kritische bedrijfsprocessen en de daarvoor vastgestelde continuïteitsnormen; 2. De assets 1 waarvan de kritische processen afhankelijk zijn en de mate waarin dat is; 3. De organisatiespecifieke continuïteitsrisico s en in het bijzonder de calamiteitenscenario s. In Fase 2 wordt de continuïteitsstrategie bepaald: Preventieve maatregelen, bijvoorbeeld redundantie van leveranciers, ICT-middelen en andere voorzieningen; Correctieve maatregelen, bijvoorbeeld noodprocedures, waarbij wordt nagegaan welk fallback of uitwijkalternatief optimaal is; Geen maatregelen, waarbij de risico's bewust geaccepteerd worden. In Fase 3 ontstaat het Bedrijfscontinuïteitsplan met de bijbehorende deelplannen. De laatste fase beschrijft het inbedden van de plannen in de organisatie door het uitvoeren van het Opleidingsplan, het Oefenplan en het aanwijzen van een Calamiteitenbeheerder voor structureel beheer van de plannen. 1 Onder assets wordt verstaan: grondstoffen, faciliteiten (ICT en non-ict waaronder productiemiddelen), mensen / organisatie, gebouwen, informatie. BCM Versie juli /23

6 MANAGEMENT SUMMARY Business interruption is one of the greatest commercial risks. Meanwhile the landscape threatening many organisations is evolving, with traditional hazards giving way to technological and even terrorism threats. An organisation s employee expertise and business-critical data are its crown jewels. They can only be protected against the consequences of a disaster through implementing sound Business Continuity Management. BCM has the following objective: To take measures to prevent serious business interruption and to take measures to protect critical (primary) business processes against the consequences of extensive disruptions, downtime or disasters. The measures for preventing serious business interruption are included in a Security Plan as a cohesive whole. The measures for preventing the consequences of substantial disruptions, downtime or disasters for critical (primary) business processes have been included in an Emergency Response Plan. Management Phase 1 Continuity framework Phase 2 Continuity strategy and policy Phase 3 Continuity plan Phase 4 Implementation and management Continuïity standards for critica l processes Ide ntification of dependencies Risk asessme nt (basis sce nario s) Current situation Security Fallb ack/disa ster re covery Strategy and policy Preventive me asures Corrective measures No measures ta ken Acceptance Achieving consensus Security plan Emergency Response Plan Comma nd structure including escalation Commu nication Disaster recovery Training Practice Management plan Paper to practice Pro-activetasks Practice Evaluation report Modification of co ntinuity plan Safegu ardin g The figure above shows an approach for implementing BCM in the organisation. BCM Versie juli /23

7 During Phase 1, the Continuity Framework is defined based on: 1. The business-critical processes and the continuity norms defined for each process; 2. The assets [1] on which business-critical processes are dependent and the degree of dependence; 3. Continuity risks specific to the organisation, in particular emergency response scenarios. Phase 2 defines the continuity strategy: Preventive measures, e.g. supplier redundancy, IT and other resources; Corrective measures, e.g. contingency procedures an evaluation of which fallback or disaster recovery option yields the best results; No measures are taken; conscious acceptance of risks. The Business Continuity Plan is drawn up in Phase 3, along with the associated sub-plans. The last phase describes embedding the plans across the organisation through implementing the Training Plan, the Practice Plan and the appointment of a Disaster Recovery Manager for structural management of the plans. Assets include: raw materials, resources (IT en non-it including production facilities), people / organisation, buildings, information. BCM Versie juli /23

8 INHOUDSOPGAVE Managementsamenvatting Business Continuity Management Trends Het afsluiten van een verzekeringspolis is niet voldoende Doelstelling BCM Standaarden Kenmerken BCM Inrichting BCM en fasering Fase 1: Continuïteitskader Fase 2: Continuïteitsstrategie en -beleid Fase 3: Continuïteitsplan Deelplannen van een calamiteitenplan Fase 4: Implementatie en beheer Aandachtspunten Lessen uit de praktijk...17 Bijlage A: Inhoudsopgave calamiteitenplan...21 Bijlage B: Woordenlijst...23 BCM Versie juli /23

9 1 BUSINESS CONTINUITY MANAGEMENT 1.1 Trends We zien dat in de huidige maatschappij de continuïteit van de dienstverlening van bedrijven en organisaties steeds belangrijker wordt. Het afbreukrisico bij een ernstige verstoring van de dienstverlening door een calamiteit wordt daarmee ook groter. Imagoschade ontstaat snel, maar is zeer moeilijk te herstellen. Niet alleen de perceptie van de klant verandert. Ook het dreigingenpatroon, dat een calamiteit kan veroorzaken, wijzigt. In het verleden werd meestal rekening gehouden met fysieke dreigingen zoals brand, overstroming, blikseminslag of storm. Vandaag de dag moet men ook rekening houden met technologische dreigingen, waaronder malware, DDoS-aanvallen of uitval van dataverbindingen. Recente ontwikkelingen van dreigingen die de bedrijfsprocessen ernstig kunnen verstoren zijn het gevolg van terreur en Hightech criminaliteit. 1.2 Het afsluiten van een verzekeringspolis is niet voldoende Iedere organisatie heeft assets waarmee de primaire processen worden uitgevoerd. De meeste assets die verloren kunnen gaan bij een calamiteit zoals grondstoffen, faciliteiten (ICT-voorzieningen, gebouwen, werkplekken etc.) en geld zijn verzekerbaar. Een ander deel van deze assets, namelijk de expertise van mensen en procesgebonden data, is zo uniek voor de organisatie dat ze niet door het afsluiten van een verzekeringspolis te verzekeren zijn. Deze assets noemen we dan ook de kroonjuwelen van een organisatie. De enige vorm van verzekering van deze assets is invoering van BCM. Immers, met verzekeringsgeld kun je wel nieuwe apparatuur aanschaffen, een nieuw gebouw laten neerzetten of zelfs omzetverlies afdekken, maar de expertise van mensen en vitale gegevens kun je alleen vervangen door de expertise vast te leggen of te borgen over meerdere specialisten en door back-ups van gegevens te maken en die veilig te stellen als onderdeel van een calamiteitenplan. 1.3 Doelstelling BCM De doelstelling van BCM is: Het nemen van maatregelen ter voorkoming van ernstige onderbrekingen in de bedrijfsvoering en het nemen van maatregelen ter bescherming van vitale (primaire) bedrijfsprocessen tegen gevolgen van omvangrijke (ver)storingen of calamiteiten. De maatregelen ter voorkoming van ernstige onderbrekingen in de bedrijfsvoering worden als samenhangend geheel opgenomen in een Beveiligingsplan. De maatregelen om de gevolgen van omvangrijke (ver)storingen of calamiteiten van vitale (primaire) bedrijfsprocessen te beperken zijn opgenomen in een Calamiteitenplan. BCM Versie juli /23

10 1.4 Standaarden Begin 2005 werd de PAS56: Guide to Business Continuity Management 2 uitgegeven door British Standards Institution (BSI). In 2007 is de PAS56 vervangen door de BS , de British Standard voor BCM. Het bestaat uit twee delen, de BS dat een implementatierichtlijn is en de BS dat de eisen voor een BCMS (Business Continuity Management System) beschrijft. Deze opzet komt overeen met de beveiligingsstandaarden ISO/IEC (eisen voor een Information Security Management System) en ISO/IEC (implementatierichtlijn). In ISO/IEC 27002, deze wordt ook wel de Code voor Informatiebeveiliging genoemd, wordt gesteld dat een organisatie BCM moet inrichten. BCM is daarmee een integraal onderdeel van het algemene beveiligingsbeleid van een organisatie. 1.5 Kenmerken BCM De belangrijkste kenmerken van BCM zijn: Procesgedreven. De basis voor BCM zijn de continuïteitsnormen voor de organisatie. Het management stelt normen vast voor de primaire bedrijfsprocessen. Deze normen worden vervolgens vertaald naar continuïteitsnormen voor de ICT-systemen, gegevensbestanden en faciliteiten die deze primaire bedrijfsprocessen ondersteunen. Calamiteitenscenario s. De continuïteitsstrategie wordt bepaald aan de hand van calamiteitenscenario s. Deze calamiteitenscenario s worden vastgesteld op basis van de, voor de organisatie, meest relevante continuïteitsrisico s. Het management kan besluiten dat er bepaalde restrisico s blijven bestaan, waarvoor -met de beschikbare mensen en middelen- geen calamiteitenscenario hoeft te worden gedefinieerd. Evenwicht tussen Beveiligingsplan en Calamiteitenplan. BCM zorgt voor de noodzakelijke afstemming tussen het beveiligingsplan en het calamiteitenplan (met respectievelijk preventieve en correctieve maatregelen) en zorgt ervoor dat in beide plannen voldoende rekening is gehouden met de eisen die de bedrijfsprocessen stellen. Hoe hoger de eisen hoe hoger de kosten voor de voorzieningen worden. Pragmatisch. Een bedrijfscontinuïteitsplan (BCP) kenmerkt zich door praktische procedures en checklisten. Continuïteit door borging. Borging van BCM-kennis en -beheer (zorg voor een actueel BCP) binnen de organisatie is één van de voorwaarden voor een succesvolle aanpak. BCM-beheer zorgt ervoor dat het BCP actueel blijft bij een veranderende organisatie (omgeving, bedrijfsprocessen, medewerkers en dreigingen) Schemes/BS-25999/ BCM Versie juli /23

11 2 INRICHTING BCM EN FASERING Inrichten van BCM vereist aandacht vanuit het management en heeft een multidisciplinair karakter. Het ligt voor de hand om BCM projectmatig in een organisatie in te richten. In figuur 1 is een aanpak weergegeven om BCM in een organisatie in te richten en te borgen. Beheer Fase 1 Continuïteits teits- kader Fase 2 Continuïteits teitsstrategie en beleid Fase 3 Continuïteits teitsplan Fase 4 Implementatie en beheer Continuïteitsnormen kritische processen Vaststellen afhankelijkheden Bepalen risico s (basisscenario s) Huidige situatie Beveiliging Fallback/uitwijk Strategie en beleid Preventie Correctie Niets doen Acceptatie Bereiken consensus Beveiligingsplan Calamiteitenplan Bevel- en overlegstructuur incl. escalatie Communicatie Uitwijk- en herstel Opleidingen Oefenen Beheerplan Van papier naar praktijk Pro-actieve taken Oefenen Evaluatierapport Aanpassen continuïteitsplan Borging Figuur 1 Inrichten BCM 2.1 Fase 1: Continuïteitskader Het management zet de eerste stap. Zij geeft in de eerste fase aan welke processen kritiek zijn voor de continuïteit van de organisatie en stelt de continuïteitseisen vast voor deze processen. Voor het opstellen van het continuïteitskader voor de kritische bedrijfsprocessen onderneemt men de volgende stappen: 1. Continuïteitsnormen opstellen 2. Bepalen afhankelijkheden 3. Risicoanalyse Voor het opstellen van de continuïteitsnormen wordt er gekeken naar: De recovery time objective (RTO), ofwel wanneer (na de start van een incident) moet een bedrijfsproces weer "up and running" zijn? BCM Versie juli /23

12 De recovery point objective (RPO), ofwel hoeveel dataverlies is acceptabel ingeval van een calamiteit? (ofwel wat mag de meest recente datum van de laatste back-up zijn?) Tijdstip laatste back-up / punt nog bruikbare data Tijdstip Systemen&data hersteld Tijd één week Hoever terug? Recovery Point Objective (RPO) Hoe hoger de mutatiegraad van gegevens Hoe kleiner de RPO Herstelpunt één dag Hoe lang om te herstellen? Recovery Time Objective (RTO) Hoe kritischer het systeem Hoe kleiner de RTO Hersteltijd Figuur 2 RTO en RPO van een proces De proceseigenaren dienen de RTO en RPO aan te geven. Het management geeft de onderlinge prioriteit van de processen aan. Deze prioriteitstelling bepaalt de volgorde waarin de processen na een calamiteit weer moeten worden hersteld. De te nemen maatregelen zijn afhankelijk van de continuïteitsnormen. Aan korte RTO of RPO zitten, als het gaat om uitwijk- en back-upmogelijkheden, veelal hoge prijskaartjes. In onderstaande figuur is een relatie aangegeven tussen de continuïteitsnormen, mogelijke oplossingen en de te verwachten kosten. Hoge Kosten Hot Standby Hoge Kosten Replicatie Cold Standby Tape back-up Hoge RTO Hoge RPO Figuur 3 Relatie RTO / RPO, oplossingen en kosten BCM Versie juli /23

13 Als tweede stap worden de assets bepaald waarvan en in welke mate de kritische processen afhankelijk zijn. Assets worden hier in de breedste zin des woord bedoeld, dus faciliteiten, medewerkers en data. In deze stap worden antwoorden gezocht op vragen als: Welke medewerkers vervullen een sleutelrol voor het betreffende bedrijfsproces? Welke ICT-omgeving (applicaties, hardware, infrastructuur, telefonie, call center, fax) wordt gebruikt voor het bedrijfsproces? Welke werkplekken worden gebruikt voor dit bedrijfsproces? Welke informatie is nodig voor het bedrijfsproces en waar is die aanwezig? Denk hierbij aan papieren dossiers, digitale data op werkstations van medewerkers, centraal opgeslagen informatie. Welke ketenpartners kan men onderkennen? Denk hierbij aan toeleveranciers, outsourcingspartijen (niet alleen ICT, maar ook beveiliging, catering etc.). De laatste stap in fase 1 is een risicoanalyse. Welke dreigingen zijn relevant voor de organisatie en welke impact hebben deze? Door de risico s (impact x kans) voor de organisatie in kaart te brengen krijgt men inzicht met welke calamiteitenscenario s men rekening moet houden. Het is vaak onmogelijk alle dreigingen te inventariseren met de kans van optreden, maar door te focussen op de bedrijfskritische processen en de bijbehorende systemen, blijft een risicoanalyse hanteerbaar. Daarbij kan men zoveel als mogelijk verschillende dreigingen clusteren tot eenzelfde calamiteitenscenario. De smoking hole is het meest bekende calamiteitenscenario, waarbij zowel het gebouw als de systemen volledig en langdurig zijn uitgevallen. Dit scenario kan veroorzaakt worden door een uitslaande brand, maar ook een overstroming of een langdurige stroomstoring (waardoor alle systemen en de verwarming in het gebouw uitvallen) kan een oorzaak zijn. Andere calamiteiten scenario s zijn: Gebouw intact maar de systemen zijn uitgevallen (bijvoorbeeld ten gevolge van een ernstige kortsluiting, een DDoS-aanval of een harddiskcrash); Gebouw niet bruikbaar, maar de systemen zijn op afstand nog te gebruiken (bijvoorbeeld evacuatie i.v.m. bommelding). BCM Versie juli /23

14 2.2 Fase 2: Continuïteitsstrategie en -beleid. In fase 2 wordt de continuïteitsstrategie bepaald. Hierbij wordt de bestaande situatie in ogenschouw genomen en onderzocht in welke mate men al aan de continuiteitseisen voldoet. Daarnaast wordt de status van de preventieve maatregelen van het beveiligingsplan in kaart gebracht en wat de mogelijkheden voor uitwijken fallbackvoorzieningen onderzocht. De continuïteitsstrategie geeft een samenhangend geheel weer van: preventieve maatregelen, bijvoorbeeld redundantie van leveranciers, ICTmiddelen en andere voorzieningen; correctieve maatregelen, bijvoorbeeld noodprocedures, waarbij wordt nagegaan welk fallback of uitwijkalternatief optimaal is; geen maatregelen, waarbij de risico's bewust geaccepteerd worden. 2.3 Fase 3: Continuïteitsplan In Fase 3 ontstaat het bedrijfscontinuïteitsplan. Figuur 4 geeft de relatie tussen het beveiligingsplan en het calamiteitenplan weer. Het beveiligingsplan richt zich op de preventieve beveiligingsmaatregelen, het calamiteitenplan beschrijft hoe men reageert, indien onverhoopt toch een calamiteit optreedt. Verder zijn in figuur 4 de deelplannen van het calamiteitenplan aangegeven. Bedrijfscontinuïteitsplan SLA s Voorkom SPOF Beveiligingsplan Uitwijk afspraken Enkele voorbeelden UPS Back-up Data BHV-plan Escalatieplan Calamiteitenplan Oplieding plan Redundantiestrategie Communicatieplan Uitwijk & Herstelplan Beheerplan Oefenplan Preventief Correctief Figuur 4 Overzicht Bedrijfscontinuïteitsplan (BCP) BCM Versie juli /23

15 2.3.1 Deelplannen van een calamiteitenplan Escalatieplan Een escalatieplan geeft de criteria aan wanneer sprake is van een calamiteit, wie waarover beslist en wie wanneer moet worden gealarmeerd. Een incident kan uitgroeien tot een calamiteit en het moet duidelijk zijn wanneer dat gebeurt en wie daarover besluit. Daarnaast wordt in het escalatieplan aangegeven hoe de verantwoordelijkheden en bevoegdheden zijn belegd tijdens de calamiteit. Vooral de relatie tussen crisismanagement, verantwoordelijk voor de aansturing van de bestrijding van een calamiteit, ten opzichte van het lijnmanagement is hierbij essentieel. Bedrijfshulpverlening (BHV) heeft bijvoorbeeld bij een brand de bevoegdheid tot ontruiming van het gebouw, dat kan tegenstrijdig zijn met de belangen van het lijnmanagement, daarom is het belangrijk dat deze bevoegdheden duidelijk zijn. Communicatieplan In een communicatieplan wordt vastgelegd wie met wie tijdens een calamiteit moet en mag communiceren. Communicatie is een van de succesfactoren bij een calamiteit. Door duidelijk en concreet te communiceren over de aard en gevolgen van een calamiteit kan men bij alle betrokkenen begrip kweken voor de situatie. Hierbij kan men verschillende doelgroepen onderscheiden, zoals media, klanten, medewerkers en hulpverleners. Het crisisteam coördineert de communicatie naar deze doelgroepen. Meestal is de communicatiemanager verantwoordelijk voor de externe communicatie en stemt af met het crisisteam. Uitwijk- en herstelplan Het uitwijk- en herstelplan beschrijft op managementniveau de procedures om de uitwijk- en fallbackvoorzieningen in geval van een calamiteit in gebruik te nemen en vervolgens om weer terug te keren naar de normale bedrijfsvoeringsituatie. Bij uitwijk worden de belangrijkste ICT-systemen op een andere locatie (andere vestiging of bij een uitwijkcentrum) in gebruik genomen met de back-up gegevens. De procedure hiervoor hangt nauw samen met de gekozen technische oplossing en de organisatiestructuur en moet vooraf bij de betreffende medewerkers bekend zijn. Verder staat in het uitwijkplan aangegeven waar de verschillende medewerkers worden verwacht bij een alarmering, welke acties van hen worden verwacht, etc. Tevens voorziet het uitwijkplan in het inrichten van een crisiscentrum (mensen en middelen) van waaruit de activiteiten met betrekking tot de uitwijk kunnen worden aangestuurd. Bij calamiteiten waarbij de veiligheid van de medewerkers in het geding is, stemt de bedrijfshulpverlening (BHV) de activiteiten af met Openbare Orde en Veiligheidsdiensten (OOV: brandweer, ambulancediensten, politie en marechaussee) om de hulpverlening op gang te brengen. Dit betekent dat tevens een ontruimingsplan en procedures hoe te handelen bij brand, ongeval, inbraak, bomalarm, etc. aanwezig moeten zijn. Tevens vindt vanuit het crisiscentrum de persvoorlichting plaats. BCM Versie juli /23

16 Opleidingsplan In het opleidingsplan wordt aangegeven over welke expertise en vaardigheden de verschillende betrokkenen binnen de organisatie moeten beschikken en welke opleidingen nodig zijn om de vereiste kwaliteiten te verkrijgen. Bij een aantal calamiteiten wordt ook de BHV ingeschakeld om de persoonlijke veiligheid van de medewerkers te waarborgen. Gezien de koppeling met BHV is het te overwegen om een gezamenlijk opleidingsplan voor BCM en BHV op te stellen waarbij men inzicht krijgt in de totale opleidingsbehoefte voor calamiteitenmanagement, inclusief het bijbehorende budget. Oefenplan Het oefenplan beschrijft aan de hand van crisisscenario s de procedures die worden beoefend, alsof er een calamiteit heeft plaatsgevonden. Oefeningen kunnen op verschillende manieren worden uitgevoerd. Zo kan men alleen een communicatieoefening houden, waarbij het escalatieproces en de alarmering van de betrokkenen wordt geoefend. Maar men kan ook daadwerkelijk een systeem uitwijken om het uitwijkplan in de praktijk te oefenen. Dit laatste heeft sterk de voorkeur, maar zal niet altijd haalbaar zijn. De bedrijfsvoering kan worden verstoord bij een uitwijktest van een kritiek systeem en dat is niet altijd acceptabel. Het oefenplan bevat ook de evaluatiecriteria aan de hand waarvan de mate van succes van de oefening of test beoordeeld wordt. Beheerplan Het beheerplan is noodzakelijk om het BCP up-to-date te houden. Om te beginnen dient een BCP een formele eigenaar te hebben en een calamiteitenbeheerder. De eigenaar is budgethouder voor alle activiteiten die voor beheer van het calamiteitenplan nodig zijn en opdrachtgever voor de calamiteitenbeheerder. Deze laatste heeft de verantwoordelijkheid voor het tijdig aanpassen op basis van bijvoorbeeld wijzigingen in systemen en bereikbaarheidsgegevens en de coördinatie van calamiteitenoefeningen. 2.4 Fase 4: Implementatie en beheer De laatste fase beschrijft het inbedden van de plannen in de organisatie. Dit geschiedt door het uitvoeren van het Opleidingsplan, het Oefenplan (waarmee het escalatieplan, de uitwijk- en herstelplannen en het communicatieplan worden getest) en het aanwijzen van een Calamiteitenbeheerder voor structureel beheer van de plannen. Testen en oefenen In de laatste fase van het BCM-project maken we de stap van papier naar de praktijk. Dit betekent dat het BCP zoals dat in concept is vastgesteld zal worden getest en geoefend. In het oefenplan zijn hiervoor de lijnen uitgezet. Opstellen evaluatierapport Op basis van de testverslagen wordt een evaluatierapport opgesteld. In dit rapport wordt aangegeven hoe de tests zijn verlopen. Verder worden hierin voorstellen tot verbetering aangegeven. BCM Versie juli /23

17 Aanpassen BCP Op basis van het evaluatierapport en de besluitvorming daarover, wordt het BCP aangepast. Borging Met het vaststellen van het BCP, wordt ook het beheerplan vastgesteld. Het beheerplan bevat een aantal taken, bevoegdheden en verantwoordelijkheden. Door het BCP vast te stellen worden deze automatisch en definitief toegewezen. Escalatieplan Escalatieplan Escalatieplan Escalatieplan Uitwijk- en Uitwijk- en herstelplannen herstelplannen Uitwijk- en Uitwijk- en herstelplannen herstelplannen Communicatieplan Communicatieplan Oefening Oefening Evaluatierapport Evaluatierapport Communicatieplan Communicatieplan Opleidingsplan Opleidingsplan Opleidingsplan Opleidingsplan Oefenplan Oefenplan Oefenplan Oefenplan Beheerplan Beheerplan Beheerplan Beheerplan Calamiteitenplan Oefen- en testfase Schrijffase Schrijffase Figuur 5 Van papier naar praktijk Checklists Het BCP wordt uitgevoerd in de vorm van checklists. In de praktijk zal de situatie tijdens of vlak na een calamiteit er nèt iets anders uitzien dan voorzien in het BCP. Hoe gedetailleerder het BCP hoe kwetsbaarder het BCP is voor zulke afwijkingen. Een BCP op basis van een checklist is minder gedetailleerd, waardoor deze ook minder snel veroudert. Bovendien stimuleert een BCP op basis van een checklist de creativiteit. Beheer Tijdens beheer worden de activiteiten uitgevoerd, die zijn vastgesteld in het beheerplan. Dat wil zeggen dat regelmatig geoefend wordt (in enkele gevallen kan dat samen met BHV: bijvoorbeeld bij een ontruimingsoefening) en dat de resultaten van de evaluaties hiervan worden verwerkt in de plannen. Ook wordt het communicatieplan en opleidingsplan voorzien van een update bij wijzigingen in de organisatie. BCM Versie juli /23

18 2.5 Aandachtspunten Management aandacht en commitment: zonder voldoende management aandacht en commitment wordt BCM een papieren tijger. Opleidingen: opleiden van de betreffende medewerkers is de eerste stap om inzicht te krijgen in de te nemen beslissingen en acties behorende bij BCM. Oefenen: door het oefenen van een aantal realistische calamiteitenscenario s worden de medewerkers getraind en krijgt men inzicht in verbeterpunten. BCM onderdeel van elk nieuw project: op deze manier worden de risico s van een nieuw systeem vroegtijdig onderkend en blijft BCM up-todate. BCM onderdeel van afspraken outsourcing: ook externe partijen kunnen een invloed hebben op de continuïteit van de dienstverlening. Door BCM op te nemen in de afspraken wordt vastgelegd aan welke eisen de externe partij moet voldoen en daarmee wordt ook duidelijk wat de impact op de bedrijfsvoering kan zijn. Invoering van nieuwe ICT-systemen. De calamiteitenbeheerder dient bij een ontwikkel- en migratie- of implementatietraject van een nieuw ICTsysteem te worden betrokken, om de gevolgen hiervan voor het BCP in kaart te kunnen brengen. Dit kan betekenen dat er gezorgd moet worden voor aanvullende technische voorzieningen, die in het Beveiligingsplan moeten worden opgenomen. Stel een procesbegeleider / projectleider aan met voldoende mandaat: op deze manier verzekert de organisatie zich BCM de aandacht krijgt die nodig is om de benodigde veranderingen te realiseren. BCM Versie juli /23

19 3 LESSEN UIT DE PRAKTIJK Continuïteitsnormen vitale bedrijfsprocessen Veel organisaties kennen een Service Level Agreement waarin de service levels voor diensten zijn aangegeven. Deze SLA s geven meestal alleen de service levels weer voor Business As Usual en niet voor calamiteitensituaties. Bij calamiteiten staat de continuïteit van de organisatie op het spel. Het is dan ook de organisatie, in casu de proceseigenaren, die moeten aangeven welke processen van vitaal belang zijn en wat bij een calamiteit een acceptabele onderbreking is van deze processen (deze kunnen aanmerkelijk anders zijn dan de service levels in de SLA s). De ervaring leert dat het in de praktijk de nodige inspanning vergt om de primaire bedrijfsprocessen te onderkennen en de bijbehorende continuïteitsnormen te definiëren. Vaak onderschat men de kosten die verbonden zijn met de gestelde beschikbaarheideisen. Hoe korter de maximaal acceptabele onderbreking bij een calamiteit, hoe duurder. Denk daarbij aan de kosten voor hot standby versus uitwijk op een andere locatie (die binnen een dag wordt geïnstalleerd), zie ook figuur 3 in paragraaf 2.1. Uiteindelijk zal de organisatie de kosten hiervoor moeten dragen, ook al worden deze uit het ICT-budget gehaald. Afhankelijkheden van ICT systemen Bekend is de risicoanalyse, die uitgevoerd wordt bij het opstellen van een beveiligingsplan. Deze gegevens kunnen ook gebruikt worden voor het opstellen van een calamiteitenplan. Niet alle ICT-systemen zijn even belangrijk voor de ondersteuning van een vitaal bedrijfsproces en voor sommige systemen kan bij een calamiteit tijdelijk een workaround worden toegepast, waardoor het proces toch weer binnen de gestelde tijd operationeel kan zijn. Bij deze analyse mag de logistieke keten niet worden vergeten. De afhankelijkheden van bijvoorbeeld leveranciers van diensten voor het primaire proces en distributeurs die de producten naar de klant transporteren voor de primaire processen is vaak groter dan men denkt. Data De voor een organisatie unieke data behoort, zoals al eerder is opgemerkt, tot de kroonjuwelen van een organisatie. Het niet kunnen leveren van een dienst, omdat de gegevens over een aanvraag niet meer beschikbaar zijn, kan het imago van een organisatie ernstig schaden. Het gaat hierbij niet alleen om digitale gegevens, die men door het maken en veilig opslaan van back-ups kan veiligstellen, maar ook om data op papier. Denk hierbij aan lopende dossiers of post, die geen onderdeel uitmaken van de back-up cyclus van de ICT-afdeling. Bij het terughalen van die gegevens is men dan afhankelijk van de welwillende medewerking van klanten. BCM Versie juli /23