Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur



Vergelijkbare documenten
De Nederlandsche Bank N.V. mei Toetsingskader Business Continuity Management Financiële Kerninfrastructuur

Business Continuity Management

Business Impact Analyse (BIA) Hoe doe je dat?

Bedrijfscontinuïteit met behulp van een BCMS

De IT en infrastructuur direct weer up-and-running na een incident

J.H. van den Berg. Versie 1.0 Mei 2011

BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.

Toets uw eigen continuïteitsplan

Inleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM)

TARGET2 nieuwsbrief. Inhoud. De TARGET2 nieuwsbrief. Projectplanning TARGET2

Vragenlijst ten behoeve van opstellen continuïteitsplan

SESSIE 1.3 GEBRUIK: NATUURGEWELD

Het BiSL-model. Een whitepaper van The Lifecycle Company

Impact van de invoering van Het Nieuwe Werken op BCM

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

Business Continuity Planning Consultants

IT Beleid Bijlage R bij ABTN

Brochure Business Continuity & ICT

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Handreiking Bijzonder Beheer bij Banken

Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer

Bestaande standaarden voor continuïteitsmanagement en PAS56

Afsprakenlijst behorende bij het Convenant voor samenwerkingsafspraken tussen Veiligheidsregio s, Politie en ProRail

Risico s kennen, weerbaarheid. vergroten

Wet beveiliging netwerken informatiesystemen. Algemene informatie. Meer weten?

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013

De controller met ICT competenties

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Tweede Kamer der Staten-Generaal

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

1 Dienstbeschrijving all-in beheer

Algemeen bestuur Veiligheidsregio Groningen

Toelatingscriteria voor verschillende niveaus van de pre-applicatie

Bedrijfsgegevens. Bedrijfsnaam. Vestigingsadres. Postcode vestigingsadres. Vestigingsplaats. Over hoeveel vestigingen beschikt uw bedrijf totaal?

Matrix Comply-or-Explain Code Banken 2017

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Verlening van de aanvankelijke verklaringen van geen bezwaar

Handreiking. Schoolondersteuningsprofiel. Passenderwijs

Samen werken aan voedselveiligheid

Circulaire in verband met gezonde beheerspraktijken inzake de bedrijfscontinuïteit van financiële instellingen

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, (t.a.v. J. van der Meer)

Reglement Raad van Toezicht. Diabetes Fonds

De toegevoegde waarde van fysieke beveiliging. Over Thimo Keizer

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

2. Wat zijn per sector/doelgroep de algemene inzichten ten aanzien van de inhoud van de continuïteitsplannen?

Consultatieversie ECB, 20 oktober 2015

Incidentbestrijdingsplan Grootschalige Uitval Nutsvoorzieningen

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

(Business) Informatieplanning. 1 Vanbragt informatiemanagement / 2BVisible

Voorstel aan dagelijks bestuur

CONCEPT DE NEDERLANDSCHE BANK N.V. Good Practice Kapitaalbeleid kleine verzekeraars

Thema 2: aanschaf en gebruik van e-healthtoepassingen

FORMULIER FUNCTIEPROFIEL

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

High Availability & Disaster Recovery

Nr.: Renswoude, 31 maart 2015 Behandeld door: J. van Dijk Onderwerp: (concept) Regionaal Risicoprofiel Veiligheidsregio Utrecht 2014

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Van Bragt Informatiemanagement

Ons kenmerk z Onderwerp Advies concept besluit verplichte geestelijke gezondheidszorg

22 oktober Onderzoek: Klantvriendelijkheid Banken

Gevolgen terroristische aanslag in Nederland voor de Hotellerie. Specifiek voor hotels die dagelijks veel buitenlandse gasten verwelkomen

Gemeentelijke Telecommunicatie GT Connect

Generieke I Toets & Advies

Als wij nu de systemen dicht zetten, waar zeg ik dan ja tegen?

DJI-convenant 2018 t/m Werken aan een "Solide Personeelsbeleid"

[Naam verzekeraar] [Adres] Geachte [..],

Senior communicatieadviseur

Tweede Kamer der Staten-Generaal

Service- en Supportvoorwaarden (Servicecontract software)

Service Garantie. Inhoudsopgave. Versie 1.2. November 2016

Rapportage integrale risicoanalyse herziening Governance Havenschap Moerdijk

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

IORP II-proof vanuit een ESG perspectief 2 7 S E P T E M B E R

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Raadsvoorstel. Aan de gemeenteraad.

Uitwijk en disaster recovery met of zonder cloud? Roger Deckers 14 maart 2012

Corporate Governance verantwoording

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Expertmeeting uitval telecommunicatie / ICT

TREASURY-STATUUT GEMEENTE GRAVE

Functieprofiel: Operationeel Manager. De operationeel manager ontvangt leiding van en is verantwoording schuldig aan de directeur.

4204 REGELING INCIDENTEN KREDIETINSTELLINGEN EN VERZEKERAARS NEDERLANDSE STAATSCOURANT VAN 23 DECEMBER 2003 NR 248

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Risicoprofiel Evenementen 1.1

Failure As Option. ISACA, Round Table, Eindhoven, September 16, 2014 Failure is an Option

Overzicht van taken en competenties. Demandmanager-rol

Roadmap Vitaal Financiële sector

Veiligheidsregio Fryslân. Netwerkbijeenkomst crisispartners i.h.k.v. de risico s 2012

Weerbaarheid is een Werkwoord

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

A CLIENTSYSTEEM. 1 Intake

Privacy & online. 9iC9I

Antwoordmodel. Meerkeuzevragen (40 punten)

Transcriptie:

De Nederlandsche Bank N.V. 1 januari 2007 Divisie Betalingsverkeer beleid Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur Versie: 2007

2

TOETSINGSKADER BCP FINANCIËLE KERNINFRASTRUCTUUR (bijstellingen in cursief) In 2004 is interbancair een toetsingskader business continuity planning (BCP) opgesteld dat banken, Equens, beursinstellingen, andere marktpartijen en De Nederlandsche Bank N.V. (DNB) zullen gebruiken om hun BCP-plannen concreet in te vullen en actueel te houden. In 2006 is dit toetsingkader herzien. Deze herziening vond plaats als onderdeel van de toezichten oversightactiviteiten van DNB. De belangrijkste wijzigingen zijn de vervanging van standaard 10 door met de financiële sector gemaakte afspraken en de toevoeging van een handreiking ten aanzien van de invulling van de continuïteit van de menselijke factor voor de als kritisch aangemerkte systemen/bedrijfsprocessen De volgende negen BCP-normen worden voorgesteld om als algemeen toetsingskader voor instellingen van de financiële kerninfrastructuur in Nederland te dienen. De normen zijn afgeleid van internationale praktijken (o.a. IMF). Het is op voorhand niet de bedoeling om alle normen qua belang eenzelfde gewicht te geven. Bij het toetsingskader kan onderscheid worden gemaakt tussen BCP-activiteiten die de instellingen zich zelf willen opleggen en activiteiten die DNB van de instellingen minimaal verwacht. 1. Iedere instelling moet een door de directie/senior-management goedgekeurd business continuity plan hebben waarin de strategie, business continuity doeleinden en kritische bedrijfsprocessen zijn bepaald en waar in adequate continuïteitsmaatregelen staan beschreven. Uiteraard staat de veiligheid en bescherming van de medewerkers voorop. Het plan moet tenminste jaarlijks worden geactualiseerd en eventueel vaker als er ingrijpende wijzigingen zijn in de organisatie, bedrijfsprocessen of systemen. In het plan dient uitleg te worden gegeven over de maximaal acceptabele tijd dat bedrijfsprocessen en systemen niet kunnen functioneren. In het plan moet tevens aandacht zijn besteed aan de internationale dimensie van de organisatie en consequenties van b.v. outsourcing zijn meegenomen. Het verdient overweging dat het BCP -plan door de interne auditafdeling is beoordeeld. In bijlage 2 wordt indicatief een opsomming gegeven van relevante onderwerpen die in een business continuity plan worden uitgewerkt. 2. Iedere instelling dient een risicoanalyse te hebben gemaakt van mogelijke calamiteiten en vooral de impact op essentiële systemen en processen. Hierbij kunnen calamiteitenscenario s worden geclassificeerd in de categorieën: technisch en organisatorisch falen, moedwillig menselijk handelen (terrorisme, fysiek geweld, cyberaanvallen) en natuurrampen. Deze aanpak 3

sluit ook aan op de lopende regeringsprojecten Vitale infrastructuren en Crisisbeheersing. Voorts dienen aanvaardbare restrisico s te worden aangegeven. 3. In het business continuity plan dient transparant te worden gemaakt op welke wijze in de plannen rekening is gehouden dat de menselijke factor zo min mogelijk een bottleneck is bij het voortzetten van de bedrijfsprocessen en hoe inzet van (andere) medewerkers na een ramp kan worden georganiseerd. Dit zowel voor de ICT als voor de business. In het kader van de invulling wordt verwezen naar bijlage 1 bij dit toetsingskader waarin een handreiking is opgenomen voor de mogelijke invulling van de menselijke factor. 4. Iedere instelling dient over een crisisorganisatie te beschikken om in geval van nood handelend te kunnen optreden. De crisisorganisatie wordt aangestuurd door directie/seniormanagement. 5. Elke instelling dient een analyse te hebben in welke mate men afhankelijk is van basisvoorzieningen (elektriciteit, telecom etc.) en externe providers en op welke wijze de uitwijk hiervoor is georganiseerd. Single points of failure dienen te worden geïdentificeerd. Dit kan overigens ook een organisatieonderdeel zijn of het feit dat slechts een of een paar medewerkers over essentiële kennis beschikken. Ook dient te zijn nagedacht over eventuele alternatieven om de continuïteit van kernvoorzieningen veilig te stellen. 6. De essentiële bedrijfsprocessen en systemen dienen zo vlug mogelijk te worden hervat 1. Hierbij kan voor deelnemers buiten de kerninfrastructuur een langere hersteltijd gelden. 7. Elke instelling dient met zijn essentiële systemen te kunnen uitwijken naar een ander centrum dat, afhankelijk van het risicoprofiel, op voldoende afstand ligt van de hoofdsite. Hierbij dient een tijdshorizon voor de verwachte uitval-of hersteltijd te worden toegepast. Voorts dient een risicoafweging beschikbaar te zijn, waarin is aangegeven welke risico s bij uitwijken worden gelopen en onder welke omstandigheden de risico s kunnen worden beperkt door het systeem op de hoofdsite te herstellen en opnieuw op te starten. 8. Uitwijk van systemen en continuity- en contingencyprocedures moeten regelmatig worden getest. Het gaat hierbij om het testen van zowel ICT-systemen als medewerkers (b.v. uitwijk van 1 Voor de financiële kerninfrastructuur zou inclusief beslis- en reistijd nu een herstel- of uitwijktijd van vier uur kunnen gelden. Op termijn zou dit in lijn met internationale aanbevelingen tot twee uur kunnen worden teruggebracht (voetnoot 2004). 4

de business). Afhankelijk van het belang van het systeem en de business dient dit minimaal eenmaal per jaar te gebeuren. Desgewenst kan worden afgesproken om end-to-end testen voor de gehele keten te organiseren (intern en extern). Voorts kunnen testen van primary site naar secondary site en van secondary site naar secondary site worden gehouden (dit vereist wel een brede afstemming binnen de kerninfrastructuur). 9. Iedere instelling dient een communicatieplan te hebben over de wijze waarop in geval van een calamiteit de communicatie naar alle stakeholders zo adequaat mogelijk kan worden georganiseerd (o.a. de aanleg van contactlijsten en boodschappen). GEMAAKTE AFSPRAKEN Ten aanzien van dit toetsingskader zijn de navolgende afspraken ge maakt: Instellingen die onderdeel uitmaken van de financiële kerninfrastructuur 2 kunnen dit kader gebruiken bij de verdere vormgeving van hun Business Continuity Management/Business Continuity Planning (BCM/BCP). DNB en de sector zullen gezamenlijk initiatieven ontwikkelen om ook op sectorniveau in een adequate aandacht ten aanzien van de BCM/BCP te voorzien. Bijlagen: 1. Handreiking ten aanzien van de invulling van de menselijke factor voor de als kritisch aangemerkte systemen/bedrijfsprocessen. 2. Indicatieve opsomming van relevante onderwerpen die in een business continuity plan kunnen worden uitgewerkt. 2 De financiële kerninfrastructuur bestaat uit ABN AMRO Bank, Bank Nederlandse Gemeenten, Euroclear, Euronext, Fortisbank, Friesland Bank, F. Van Lanschot Bankiers, ING Bank, Equens, Kasbank, LCH.Clearnet SA, NIB Capital, Rabobank, SNS Bank alsmede De Nederlandsche Bank 5

BIJLAGE 1 HANDREIKING TEN AANZIEN VAN INVULLING MENSELIJKE FACTOR VOOR DE ALS KRITISCH AANGEMERKTE SYSTEMEN/BEDRIJFSPROCESSEN Bij deze handreiking is als uitgangspunt genomen dat de kennis benodigd voor een ongestoorde doorgang van de als kritisch aangemerkte systemen/bedrijfsprocessen sturend is voor de keuze uit de mogelijke alternatieven van de invulling van de continuïteit van de menselijke factor. In de onderstaande matrix is dit visueel gemaakt. In deze matrix zijn op de ene as de systemen/bedrijfsprocessen gerangschikt naar kennis benodigd om deze operationeel te houden. Op de andere as van de matrix is aangegeven welke mogelijke alternatieven er zijn ten aanzien van de continuïteitsmaatregelen voor de menselijke factor. Mogelijkheden 1. dubbele 2. uit- 3. 4. gebruik 5. gebruik invulling bezetting op roosteren ploegen- personeel van personeel van continuïteit alternatieve diensten een andere een andere personeel locatie locatie waar locatie waar iets soortgelijk iets soortgelijk al niet operationeel is operationeel is Benodigde kennis van systemen/ bedrijfsprocessen zeer specifiek (a) rood In hoge mate specifiek (b) specifiek (c) niet zo specifiek (d) groen niet specifiek (e)

In de voorgaande matrix worden de groen gearceerde velden als de minimaal gewenste mogelijkheden aangemerkt. Indien gekozen voor de mogelijkheden van de met rood gearceerde velden is de beschikbaarheid van een onderbouwde motivering gewenst. Een gemaakte keuze geeft de invulling weer ten aanzien van het ongestoord doorgang kunnen vinden van systemen/bedrijfsprocessen bij (al dan niet tijdelijk) verlies van medewerkers. Bij de keuze is het tevens van belang dat de maatregelen gericht op de continuïteit van de menselijke factor onderdeel zijn van het totaal aan maatregelen om de meest kritische 3 systemen/bedrijfsprocessen doorgang laten vinden. In het algemeen kan om te voorzien in de continuïteit van de menselijke factor voor dergelijke systemen/bedrijfsprocessen gekozen worden uit de navolgende mogelijkheden: 1. het inrichten van een dubbele bezetting op de alternatieve locatie; 2. het via planmatig uitroosteren voorzien in het op permanente basis extern (buiten de locatie waar de systemen/bedrijfsprocessen operationeel zijn) beschikbaar hebben van voldoende en gekwalificeerd personeel; 3. het werken in ploegendiensten (shifts); 4. het gebruik maken van personeel dat op een andere locatie al gelijksoortige systemen/bedrijfsprocessen operationeel houdt; 5. het gebruik maken van personeel van een andere locatie waar geen gelijksoortige systemen/bedrijfsprocessen operationeel worden gehouden. Zoals als uitgangspunt aangegeven is de te maken keuze ten aanzien van het benodigd personeel afhankelijk van de benodigde kennis voor de bediening van de systemen/bedrijfsprocessen en/of van de positie van de systemen/bedrijfsprocessen op het moment van verstoring. In dit kader zijn 3 Als kritisch kunnen die systemen/bedrijfsprocessen worden aangemerkt die: essentieel zijn voor de liquiditeitsbehoefte van de instelling zelf, haar cliënten of financiële instellingen waar zij een (financiële) relatie mee onderhoud en waarvan elke verstoring, hoe klein ook, ernstige negatieve gevolgen kan hebben voor de continuïteit van de dienstverlening van de instelling, haar cliënten of van de financiële instellingen waar zij een (financiële) relatie mee onderhoud; waarvan de hiervoor genoemde verstoring een aanmerkelijke negatieve invloed kan hebben op de financiële positie van de instelling zelf, haar cliënten of financiële instellingen waar zij een (financiële) relatie mee onderhoud. 2

de navolgende benaderingen ten aanzien van de benodigde kennis te onderscheiden. Deze benodigde kennis is: a) zeer specifiek. Bediening op een andere locatie door ander personeel is niet mogelijk; b) in hoge mate specifiek. Bediening op een andere locatie door ander personeel van soortgelijke systemen/bedrijfsprocessen vindt plaats. Overname van de werkzaamheden door deze laatstgenoemde personeelsleden is goed mogelijk; c) specifiek. Bediening op een andere locatie door ander personeel is moge lijk mits dit personeel daartoe vooraf voldoende voor opgeleid is en hiermee al voldoende praktische ervaring heeft opgedaan; d) niet zo specifiek. Bediening op een andere locatie door ander personeel is mogelijk mits dit personeel daartoe vooraf voldoende voor opgeleid is; e) niet specifiek. Bediening op een andere locatie door ander personeel is mogelijk door eigen personeel of ingehuurd personeel. Training vooraf is niet nodig. Voor de onderkende mogelijkheden geldt tevens nog dat voor de onder a genoemde situatie: voor optie 1 (dubbele bezetting op de alternatieve locatie) het aanbeveling verdient beurtelings vanaf de primaire en vanaf de alternatieve locatie de systemen/bedrijfsprocessen operationeel te houden. Tevens verdient het aanbeveling, indien van toepassing, informatie over eventuele posities dagelijks met een voldoende frequentie uit te wisselen; voor optie 2 (uitroosteren) het aanbeveling verdient rekening te houden met een uitval voor een langere periode. In dit kader verdient het aanbeveling te bezien of het mogelijk is: o om via interne personeelsroulatie tot een bredere kennis van de systemen/bedrijfsprocessen kan worden gekomen. Bij een langdurige uitval zou dan ook op deze personeelsleden kunnen worden teruggevallen; 3

o via een snelle werving en opleiding op de langere termijn in extra voldoende deskundig personeel kan worden voorzien. Bij een positief oordeel over deze mogelijkheid is het gewenst dat de plannen hiertoe en de eventuele lange termijn afspraken worden vastgelegd. voor optie 3 (ploegendienst) de periode van overdracht van de shift een risico vormt. Aanbevolen wordt om de overdrachttijd voor de shifts zo kort mogelijk te laten zijn; een combinatie van optie 2 (uitroosten) en 3 (ploegendienst) ook zou kunnen worden toegepast. Voor de onderkende mogelijkheden geldt tevens nog dat voor de onder b genoemde situatie: het aanbeveling verdient ten behoeve van het op het vereiste peil houden van de kennis en ervaring op beide locaties beurtelings vanaf de primaire en vanaf de alternatieve locatie de als kritisch aangemerkte systemen/bedrijfsprocessen operationeel te houden. Voor de onderkende mogelijkheden geldt tevens nog dat voor de onder c en d genoemde situatie: het aanbeveling verdient dat het personeel op de andere locatie een goede training krijgt en op regelmatige basis ervaring op doet met het operationeel houden van de systemen/bedrijfsprocessen. Het opdoen en bijhouden van de ervaring van het back-uppersoneel kan deels plaatsvinden door deze medewerkers actief te betrekken bij de uitvoering van organisatorische uitwijktests. Voor de onderkende mogelijkheden geldt tevens nog dat voor de onder e genoemde situatie de voor de bediening benodigde documentatie nog meer van belang is. Het is gewenst dat hieraan specifieke aandacht is besteed. Via tests dient te worden vastgesteld of de beschikbare documentatie voldoende is voor het zonder problemen operationeel houden van de systemen/bedrijfsprocessen. Indien gekozen wordt om in het kader van de continuïteit van de menselijke factor meerdere medewerkers kennis en ervaring op te laten doen en de medewerkers onder meer in het geval van een calamiteit in te zetten voor het operationeel houden van systemen/bedrijfsprocessen verdient het aanbeveling de organisatorische maatregelen, zoals ten aanzien van de toegang tot systemen en locaties hierop aan te laten sluiten. 4

Ten aanzien van het kwalificeren van systemen/bedrijfsprocessen verdient het aanbeveling dat het kritisch karakter per systeem en/of proces als uitkomst van de Business Impact Analyse (BIA) wordt bepaald. Het is gewenst dat deze analyse onder meer aangeeft het vereiste serviceniveau, de voor de dienstverlening benodigde componenten en middelen (zoals procedures, benodigd personeel (aantal en kennisniveau), kantoormiddelen, technische benodigdheden, telecommunicatie voorzieningen, IT-systemen en applicaties, benodigde (systeem)software en ondersteunende programma s). Per kritisch systeem verdient het aanbeveling een RTO (Recovery Time Objective ) te definiëren, die aansluit op het vereiste serviceniveau. Gegeven het belang van de als kritisch gekwalificeerde systemen/bedrijfsprocessen verdient het tevens aanbeveling maatregelen te treffen zodat de bediening van deze systemen op een alternatieve locatie kan worden voortgezet. 5

BIJLAGE 2 INDICATIEVE OPSOMMING VAN RELEVANTE ONDERWERPEN DIE IN EEN BUSINESS CONTINUITY PLAN KUNNEN WORDEN UITGEWERKT In een business continuity plan van een instelling dienen de volgende vragen te worden behandeld: Wat zijn de kritieke bedrijfsfuncties, processen en producten? Wat is de business continuity strategy van het bedrijf? Wat zijn de concrete business continuity doelen en maatregelen afgestemd op de tijd dat systemen/business naar verwachting niet op de hoofdlocatie kan functioneren (bijvoorbeeld uitwijkcentrum binnen 2 uur operationeel)? Zijn de continuïteitsplannen goedgekeurd door het senior-management? Welke calamiteitenscenario s worden er beschreven? Heeft men een uitwijksite (zonder meer noodzakelijk bij een LVPS, CCP of SSS)? Aan welke configuratie-eisen dient de uitwijksite te voldoen? Wat is de locatie van de uitwijksite? Welke maatregelen zijn er om de systemen en business in een uitwijksituatie te kunnen bemensen? Wat is het risicoprofiel van de primaire en secundaire site? Hoe verloopt het proces van datareplicatie? In welke mate is men afhankelijk van externe providers? Welke procedures zijn er om kritieke bedrijfsprocessen (b.v. de settlement bij liquiditeitsmoeilijkheden) te kunnen continueren? Hoe wordt omgegaan met outsourcing van activiteiten? Welke veiligheids- en continuïteitseisen worden er gesteld aan de deelnemers in de systemen? Welke uitwijktesten worden er ondernomen? Op welke wijze is het crisiscommando en -communicatie georganiseerd? Zijn de contactlijsten en procedures/checklijsten actueel? Zijn de continuïteitsplannen transparant en bekend in de markt en bij toezichthouders/overseers en andere autoriteiten? Zijn de business continuity plannen toegesneden op internationale aspecten (b.v. is rekening gehouden met bedrijfsactiviteiten in andere landen)?

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback