Bedrijfscontinuïteit met behulp van een BCMS

Transcriptie

1 Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart

2 Disaster Recovery Plan 2

3 The Bitter Brew Case To Brew or not to Brew, That s the question

4 Case: Bitter Brew Wij zijn als Bitter Brew voorgedragen om onze bieren te leveren aan het Holland House tijdens de Olympische Spelen in Brazilië, Sotsji, Tokyo en Pyeongchang.

5 We leveren niet alleen onze 5 speciale bieren maar zijn ook verantwoordelijk voor het leveren, bedienen en operationeel houden van de bier tap installaties. En we zorgen voor de bediening in de zaal. Voorwaarde: wij moeten kunnen aantonen, dat we onze bieren in het Holland House continu aan de bezoekers kunnen leveren Hint: laten we een management systeem voor Bedrijfscontinuiteit inrichten (conform ISO 22301)

6 The Bitter Brew Company Gerst Water Transport Hop Gist Installatie Inkoop Brouwerij Onderhoud Bediening

7 Bedrijfscontinuïteit Waarom is het belangrijk Wat is het De ISO Een Business Continuity Management Systeem Voordelen voor bedrijven, die het geïmplementeerd hebben

8 Noodzaak voor bedrijfscontinuïteit Fysiek Operationeel 3 rd Party- Outsourcing IT risico s Brand Overstroming Stroomuitval Onrust/staking Onderbreking van productie Onderbreking van distributie Verlies van 3 rd party warehouse Commitment van leverancier aan bedrijfscontinuïteit Storing van IT diensten Storingen in kritieke systemen, netwerken, databases, etc.

9 Productie / Dienstverlening Wat is bedrijfscontinuïteit? incident calamiteit Maximale uitvalsduur Back to Normal herstel Recovery Time Objective Tijd 9

10 ISO Internationale standaard voor bedrijfscontinuïteit Business Continuity Management Systeem Eisen Aansluiting bij andere management systemen (ISO 9001, ISO 20000, ISO 27001, ) Certificeerbaar Internationale BCM best practice Input en aanbevelingen van vele BC professionals en experts Niet opnieuw uitvinden van het wiel Het belang van BCM in de maatschappij en garanderen dat we een calamiteit aankunnen.

11 Een BCMS volgens de ISO 22301: Scope 2 Referenties naar andere standaarden 3 Termen en definities 4 - Context van de Organisatie 5 - Leiderschap 6 - Planning 7 - Ondersteuning 8 - Uitvoering 9 - Evaluatie van de uitvoering 10 - Verbetering

12 Food Safety vs Business Continuity Mgt.Sys. ISO ISO Scope 2 Referenties naar andere standaarden 3 Termen en definities 4 - Food Safety Management System 5 - Management responsibility 4 - Context van de Organisatie 5 - Leiderschap 6 - Resource Management 7 - Planning and realization of safe products 8 - Validation, verification and improvement of the FSMS 6 - Planning 7 - Ondersteuning 5.7 Emergency preparedness and response Top management shall establish, implement and maintain procedures to manage potential emergency situations and accidents that can impact food safety and which are relevant to the role of the organization in the food chain. 8 - Uitvoering 9 - Evaluatie vd uitvoering 10 - Verbetering

13 8. Uitvoering Business Impact Analyse Risico Analyse Business continuity strategy rangschikken van de activiteiten, die de producten en diensten ondersteunen bepalen van de risico s op een calamiteit; nemen van (preventieve) maatregelen. bepalen van de business continuity aanpak Business continuity procedures Incident response structure Warning and communication Business continuity plans Business recovery plans detecteren van en reageren op een incident hervatten van de bedrijfsactiviteiten terugkeren naar business as usual. Exercising and testing

14 Crisis Management U kunt van een crisis spreken als: de voedselveiligheid van het product in gevaar komt; de kwaliteit van het product niet geleverd kan worden; de productie of levering van het product in gevaar komt; de bedrijfsvoering in het geding komt; er grote bedrijfsschade op kan treden. Dan is het tijd voor een

15 Continuïteitsplannen Incident management Veiligheid (BHV) Berging / beveiliging (locatie, bedrijfsmiddelen, ) Voortzetten van bedrijfsactiviteiten op een alternatieve manier (zonder IT systemen) op een andere locatie Herstellen van IT (en andere processen) Herstellen van bedrijfsactiviteiten Terug naar normaal

16 Continuïteitsplannen Rollen en verantwoordelijkheden voor mensen en teams, Activeren van de plannen, Reactie op de directe gevolgen van een calamiteit, veiligheid / welzijn van individuen en omgeving, voorkomen van verdere schade en uitval; Communicatie, medewerkers en hun verwanten, belangrijkste derde partijen en nooddiensten; Continueren of hervatten van de bedrijfsactiviteiten, binnen een van te voren vastgestelde periode, op een alternatieve manier; op een andere locatie; Hoe om te gaan met (de) media, De-activatie van de plannen na de calamiteit. 16

17 Crisisteam / Calamiteitenteam Situatie onder controle krijgen Omvang en impact bepalen Bepalen start continuïteitsplannen Herstelwerkzaamheden coördineren: prioriteiten mensen middelen Communicatie gedurende het incident Hoe en wanneer communiceren met medewerkers, familie, derde partijen en nooddiensten? Contact met de media strategie met welke, wie, wanneer en wat persberichten en woordvoerders

18 Business Continuity Plan Doel en scope / reikwijdte, Doelstellingen, Activeringscriteria en -procedures, Implementatie procedures, Rollen en verantwoordelijkheden, Communicatie procedures, Interne en externe afhankelijkheden en interacties, Resource eisen, Informatiestromen en documentatieprocedures.

19 Testen en oefenen De organisatie moet de continuïteits-plannen en - procedures testen en oefenen. Waarom testen en oefenen? Valideren van scope en uitgangspunten Correcte werking van technische faciliteiten Voldoende capaciteit op en van de uitwijk locaties Verkorten van doorlooptijd van de procedures Awareness bij derde partijen Competenties en awareness

20 ISO & ISO Guidance

21 Voordelen voor bedrijven Herstellen van de productie en/of dienstverlening Het bedrijf kan na een calamiteit de belangrijkste producten en diensten herstellen tot een van te voren bepaald niveau en binnen een bepaalde tijd Incident Management Plan: hoe te reageren op een incident Communicatie Plan: waarschuwing en communicatie Business Continuity Plan: het kunnen continueren van de belangrijkste (kritieke) processen Recovery Plan: terugkeren naar normale bedrijfsactiviteiten Beproefde methode Aantoonbaar door het oefenen en testen Continu verbeteren vanuit het management systeem

22 Meer informatie ISO Business continuity management systems - Requirements ISO Business continuity management systems - Guidance ISO Guidelines for exercises and testing ISO Risk Management Principles and Guidelines ISO Development of resiliency in the supply chain PAS 200 Crisis management Guidance and good practice BCI Good Practice Guidelines

23 Dank voor uw aandacht! Vragen Opmerkingen Information-Security-Governance.com IT Audits - Security Consulting - Training Suggesties Aart Bitter RE IT Auditor M: +31 (6) E: Aart.Bitter@ISGcom.nl W: