Centraal Administratiekantoor Bijzondere Zorgkosten Den Haag

Transcriptie

1 Continuïteit van de informatievoorziening bij het Centraal Administratiekantoor Bijzondere Zorgkosten Den Haag 2 april 2002 Continuïteit van de informatievoorziening bij het CAK-BZ

2 Agenda Even voorstellen; Wat doet het CAK-BZ? Historie Continuïteitsvoorziening; Aanleiding tot verbetering; Continuïteitsvoorziening; Implementatie Continuïteitsvoorziening; Certificering CvI 1999; Vragen?

3 Even voorstellen Dennis Vrolijk Manager Systeembeheer & ondersteuning I.C.T.: ITIL Service Management; Uitwijkcoördinator; Informatiebeveiliging.

4 Centraal Administratiekantoor Bijzondere Zorgkosten B.V. Johan de Wittlaan JR Den Haag 2 april 2002 Continuïteit van de informatievoorziening bij het CAK-BZ

5 Wat doet het CAK-BZ? Het CAK communiceert zowel elektronisch als op papier met alle AWBZ-zorginstellingen: de zorgkantoren; de inhoudingsinstanties (pensioenfondsen, bedrijfsverenigingen, sociale werkplaatsen, de SVB en de GAK-kantoren); de Belastingdienst; en het college van Zorgverzekeringen.

6 Wat doet het CAK-BZ? Data-warehouse Nederland voor Zorginformatie: FBZ (Financiering bijzondere zorgkosten) In 2000 : 23 miljard per jaar groeiend naar 30 miljard in EBI (Eigen Bijdrage Intramuraal) bijdrageplichtigen per maand; 2,4 miljard per jaar. EBAT (Eigen Bijdrage Administratie Thuiszorg) 5 miljoen nota s per jaar. ASA (AWBZ Service voor Assuradeuren) UNIVE en NUTS/Delta Lloyd.

7 CAK bijbel Vanuit de maatschappelijke verantwoordelijkheid van CAK-BZ als speler in de sociale zekerheid is continuïteit van de informatievoorziening bij CAK-BZ een zeer belangrijk aandachtsgebied.

8 Historie Continuïteitsvoorziening Voor 1997 Uitwijkcontract BREZAN automaterialen. jaarlijks uitwijktest A-serie mainframe. extra aandachtspunt Buren.

9 Historie Continuïteitsvoorziening Buren Huis ten Bosch

10 Historie Continuïteitsvoorziening Buren

11 Historie Continuïteitsvoorziening Buren Joegoslavië Tribunaal

12 Aanleiding tot verbetering continuïteitsvoorziening 1997 : Thuiszorg Centraal! CAK werd door overheid verantwoordelijk gesteld voor de inning van de eigen bijdrage thuiszorg Beschikbaarheid informatiesystemen allerhoogste prioriteit.

13 Disaster Recovery Methodology Uitwijkvoorzieningen Uitwijkprocedures Voorstudie Uitgangspunten Implementatietest Oper. fase Uitwijkorganisatie

14 Voorstudie Gevolgschade onderzoek Materieel Inventaris, Apparatuur, Inkomsten, Renteverlies, Standbykosten, Overuren, Extra personeel, Facturen,... Immaterieel Gebrek aan risico-beheersing, Schadeclaims, Marktpositie, Imago, Verlies van vertrouwen, Contractuele verplichtingen, Vertrouwen in informatie, Fraude, Bestuurbaarheid,

15 Voorstudie Advies CUC/Getronics opstellen calamiteitenplan huren van empty shell kostbaar gevolg: inrichten Parkweg als uitwijkcentrum CAK

16 Uitgangspunten Worst Case Maximaal Toegestane Uitvalsduur Maximaal Toegestane Data-loss Prioriteiten Bedrijfskritische processen Type uitwijk-voorziening/locatie Uitvoerders van de uitwijkoperatie

17 Uitwijkvoorzieningen Bepalen voorzieningen: Preventief; Repressief; Uitwijk; Herstel. Implementeren voorzieningen: Telefonie; Werkplekken; ICT; Archiveren brondocumenten; Etc.

18 Uitwijk locatie

19 Uitwijk werkplek

20 Uitwijk werkplek

21 Uitwijkvoorzieningen Beschikbaarheid optimaliseren door o.a.: Implementatie SAN netwerk! Aanschaf ES7000 van UNISYS;

22 Uitwijkvoorzieningen

23 Uitwijkvoorzieningen Back-up en restore alle applicaties: Tape ( kruislings); Schijf; Kluis op andere lokatie.

24 Uitwijkvoorzieningen Archiveren Brondocumenten

25 Uitwijkvoorzieningen Infrastructureel: Dual systemen; Mirroring; Clustering; UPS (onverstoorbare energievoorziening); Directe verbinding met Randon beveiliging; Directe verbinding met brandweer.

26 Uitwijkvoorzieningen

27 Uitwijkvoorzieningen

28 Uitwijkprocedures Bepalen activiteiten: Wat. Opstellen procedures: Wie; Waarmee (DRM toolkit); Wanneer; Hoe. Opstellen uitwijkhandboek.

29 Uitwijkscenario

30 DRM - Toolkit 0700 CRIS 360 min. Unix PW27 opbouwen 0520 CRIS 1 min. Beslismoment Unix op de Parkweg 0250 CRIS 30 min. TIS operationeel testen SNT 0300 CRIS 10 min SNT operationeel 0530 CRIS 30 min. Activeren teams PW27

31 Uitwijk simulatie

32 Uitwijkorganisatie Organisatie verantwoordelijk voor uitvoering continuïteitsplan: Crisis Coördinatie & Management; Communicatie naar partijen. Vastleggen procedures in calamiteitenplan; Beheerorganisatie verantwoordelijkheid voor onderhoud; Organisatie Test continuïteitsplan.

33 Uitwijkorganisatie Organisatorische procedures: Uitwijk scenario beschreven voor: uitwijk Callcenter; algehele uitwijk. Regelmatige sloepenrol.

34 Implementatietest Doel: Van theorie naar praktijk; Plan verificatie. Testplan: Doelstellingen; Procedures; Uitwijkvoorzieningen; Evaluatie; Terugkoppeling aan management.

35 Operationele fase Dynamisch proces; Actueel houden continuïteitsplan: Personele wijzigingen; Wijzigingen bedrijfsproces; Organisatorische wijzigingen; Wijzigingen hard- en software. Regulier testen; Borging in Change Management (ITIL)

36 Certificering Code voor Informatiebeveiliging Naast beschikbaarheid was ook integriteit en exclusiviteit van de informatievoorziening belangrijk voor CAK. opdracht aan consultant tot ontwikkeling van een projectplan om ook aan deze twee kwaliteitsaspecten zorg te besteden.

37 Certificering Code voor Informatiebeveiliging Advies: Kies openbare norm; Code voor Informatievoorziening breed draagvlak en bekend bij overheid, de belangrijkste partner!

38 Certificering Code voor Informatiebeveiliging Begin 1999 gaf het directieteam unaniem opdracht tot starten van project en deze af te sluiten met certificaat tegen de 10 basismaatregelen van de BS7799.

39 Certificering Code voor Informatiebeveiliging Beleidsdocument voor informatie beveiliging Toewijzing van verantwoordelijkheden voor beveiliging Trainen en opleiding voor informatie beveiliging Rapportage van beveiligingsincidenten Viruscontrole Het proces van continuïteitsplanning Voorkomen van onrechtmatig kopiëren van programmatuur Beveiliging van bedrijfsdocumenten Naleving van de wetgeving inzake Wet PersoonsRegistratie (WPR) Naleving van het beveiligingsbeleid

40 Certificering Code voor Informatiebeveiliging Kema certificaat: Audit oktober 1999; Eerste MKB certificaat; Shell, Min Econ Z, EDS en Philips.

41

42 Certificering Code voor Informatiebeveiliging Doorlooptijd van het project was precies 7 maanden! Mede doordat calamiteitenplan al in tact was. Planning ging uit van 22 consultancydagen, werden er 29!

43 Certificering Code voor Informatiebeveiliging Status april 2002 Nieuwe Code BS7799 Per 1 januari 2003 certificering alleen mogelijk tegen alle maatregelen risico-analyse implementeren overige maatregelen

44 Vragen? Dennis Vrolijk