De Nederlandsche Bank N.V. 1 januari 2007 Divisie Betalingsverkeer beleid Toetsingskader Business Continuity Planning (BCP) Financiële Kerninfrastructuur Versie: 2007
2
TOETSINGSKADER BCP FINANCIËLE KERNINFRASTRUCTUUR (bijstellingen in cursief) In 2004 is interbancair een toetsingskader business continuity planning (BCP) opgesteld dat banken, Equens, beursinstellingen, andere marktpartijen en De Nederlandsche Bank N.V. (DNB) zullen gebruiken om hun BCP-plannen concreet in te vullen en actueel te houden. In 2006 is dit toetsingkader herzien. Deze herziening vond plaats als onderdeel van de toezichten oversightactiviteiten van DNB. De belangrijkste wijzigingen zijn de vervanging van standaard 10 door met de financiële sector gemaakte afspraken en de toevoeging van een handreiking ten aanzien van de invulling van de continuïteit van de menselijke factor voor de als kritisch aangemerkte systemen/bedrijfsprocessen De volgende negen BCP-normen worden voorgesteld om als algemeen toetsingskader voor instellingen van de financiële kerninfrastructuur in Nederland te dienen. De normen zijn afgeleid van internationale praktijken (o.a. IMF). Het is op voorhand niet de bedoeling om alle normen qua belang eenzelfde gewicht te geven. Bij het toetsingskader kan onderscheid worden gemaakt tussen BCP-activiteiten die de instellingen zich zelf willen opleggen en activiteiten die DNB van de instellingen minimaal verwacht. 1. Iedere instelling moet een door de directie/senior-management goedgekeurd business continuity plan hebben waarin de strategie, business continuity doeleinden en kritische bedrijfsprocessen zijn bepaald en waar in adequate continuïteitsmaatregelen staan beschreven. Uiteraard staat de veiligheid en bescherming van de medewerkers voorop. Het plan moet tenminste jaarlijks worden geactualiseerd en eventueel vaker als er ingrijpende wijzigingen zijn in de organisatie, bedrijfsprocessen of systemen. In het plan dient uitleg te worden gegeven over de maximaal acceptabele tijd dat bedrijfsprocessen en systemen niet kunnen functioneren. In het plan moet tevens aandacht zijn besteed aan de internationale dimensie van de organisatie en consequenties van b.v. outsourcing zijn meegenomen. Het verdient overweging dat het BCP -plan door de interne auditafdeling is beoordeeld. In bijlage 2 wordt indicatief een opsomming gegeven van relevante onderwerpen die in een business continuity plan worden uitgewerkt. 2. Iedere instelling dient een risicoanalyse te hebben gemaakt van mogelijke calamiteiten en vooral de impact op essentiële systemen en processen. Hierbij kunnen calamiteitenscenario s worden geclassificeerd in de categorieën: technisch en organisatorisch falen, moedwillig menselijk handelen (terrorisme, fysiek geweld, cyberaanvallen) en natuurrampen. Deze aanpak 3
sluit ook aan op de lopende regeringsprojecten Vitale infrastructuren en Crisisbeheersing. Voorts dienen aanvaardbare restrisico s te worden aangegeven. 3. In het business continuity plan dient transparant te worden gemaakt op welke wijze in de plannen rekening is gehouden dat de menselijke factor zo min mogelijk een bottleneck is bij het voortzetten van de bedrijfsprocessen en hoe inzet van (andere) medewerkers na een ramp kan worden georganiseerd. Dit zowel voor de ICT als voor de business. In het kader van de invulling wordt verwezen naar bijlage 1 bij dit toetsingskader waarin een handreiking is opgenomen voor de mogelijke invulling van de menselijke factor. 4. Iedere instelling dient over een crisisorganisatie te beschikken om in geval van nood handelend te kunnen optreden. De crisisorganisatie wordt aangestuurd door directie/seniormanagement. 5. Elke instelling dient een analyse te hebben in welke mate men afhankelijk is van basisvoorzieningen (elektriciteit, telecom etc.) en externe providers en op welke wijze de uitwijk hiervoor is georganiseerd. Single points of failure dienen te worden geïdentificeerd. Dit kan overigens ook een organisatieonderdeel zijn of het feit dat slechts een of een paar medewerkers over essentiële kennis beschikken. Ook dient te zijn nagedacht over eventuele alternatieven om de continuïteit van kernvoorzieningen veilig te stellen. 6. De essentiële bedrijfsprocessen en systemen dienen zo vlug mogelijk te worden hervat 1. Hierbij kan voor deelnemers buiten de kerninfrastructuur een langere hersteltijd gelden. 7. Elke instelling dient met zijn essentiële systemen te kunnen uitwijken naar een ander centrum dat, afhankelijk van het risicoprofiel, op voldoende afstand ligt van de hoofdsite. Hierbij dient een tijdshorizon voor de verwachte uitval-of hersteltijd te worden toegepast. Voorts dient een risicoafweging beschikbaar te zijn, waarin is aangegeven welke risico s bij uitwijken worden gelopen en onder welke omstandigheden de risico s kunnen worden beperkt door het systeem op de hoofdsite te herstellen en opnieuw op te starten. 8. Uitwijk van systemen en continuity- en contingencyprocedures moeten regelmatig worden getest. Het gaat hierbij om het testen van zowel ICT-systemen als medewerkers (b.v. uitwijk van 1 Voor de financiële kerninfrastructuur zou inclusief beslis- en reistijd nu een herstel- of uitwijktijd van vier uur kunnen gelden. Op termijn zou dit in lijn met internationale aanbevelingen tot twee uur kunnen worden teruggebracht (voetnoot 2004). 4
de business). Afhankelijk van het belang van het systeem en de business dient dit minimaal eenmaal per jaar te gebeuren. Desgewenst kan worden afgesproken om end-to-end testen voor de gehele keten te organiseren (intern en extern). Voorts kunnen testen van primary site naar secondary site en van secondary site naar secondary site worden gehouden (dit vereist wel een brede afstemming binnen de kerninfrastructuur). 9. Iedere instelling dient een communicatieplan te hebben over de wijze waarop in geval van een calamiteit de communicatie naar alle stakeholders zo adequaat mogelijk kan worden georganiseerd (o.a. de aanleg van contactlijsten en boodschappen). GEMAAKTE AFSPRAKEN Ten aanzien van dit toetsingskader zijn de navolgende afspraken ge maakt: Instellingen die onderdeel uitmaken van de financiële kerninfrastructuur 2 kunnen dit kader gebruiken bij de verdere vormgeving van hun Business Continuity Management/Business Continuity Planning (BCM/BCP). DNB en de sector zullen gezamenlijk initiatieven ontwikkelen om ook op sectorniveau in een adequate aandacht ten aanzien van de BCM/BCP te voorzien. Bijlagen: 1. Handreiking ten aanzien van de invulling van de menselijke factor voor de als kritisch aangemerkte systemen/bedrijfsprocessen. 2. Indicatieve opsomming van relevante onderwerpen die in een business continuity plan kunnen worden uitgewerkt. 2 De financiële kerninfrastructuur bestaat uit ABN AMRO Bank, Bank Nederlandse Gemeenten, Euroclear, Euronext, Fortisbank, Friesland Bank, F. Van Lanschot Bankiers, ING Bank, Equens, Kasbank, LCH.Clearnet SA, NIB Capital, Rabobank, SNS Bank alsmede De Nederlandsche Bank 5
BIJLAGE 1 HANDREIKING TEN AANZIEN VAN INVULLING MENSELIJKE FACTOR VOOR DE ALS KRITISCH AANGEMERKTE SYSTEMEN/BEDRIJFSPROCESSEN Bij deze handreiking is als uitgangspunt genomen dat de kennis benodigd voor een ongestoorde doorgang van de als kritisch aangemerkte systemen/bedrijfsprocessen sturend is voor de keuze uit de mogelijke alternatieven van de invulling van de continuïteit van de menselijke factor. In de onderstaande matrix is dit visueel gemaakt. In deze matrix zijn op de ene as de systemen/bedrijfsprocessen gerangschikt naar kennis benodigd om deze operationeel te houden. Op de andere as van de matrix is aangegeven welke mogelijke alternatieven er zijn ten aanzien van de continuïteitsmaatregelen voor de menselijke factor. Mogelijkheden 1. dubbele 2. uit- 3. 4. gebruik 5. gebruik invulling bezetting op roosteren ploegen- personeel van personeel van continuïteit alternatieve diensten een andere een andere personeel locatie locatie waar locatie waar iets soortgelijk iets soortgelijk al niet operationeel is operationeel is Benodigde kennis van systemen/ bedrijfsprocessen zeer specifiek (a) rood In hoge mate specifiek (b) specifiek (c) niet zo specifiek (d) groen niet specifiek (e)
In de voorgaande matrix worden de groen gearceerde velden als de minimaal gewenste mogelijkheden aangemerkt. Indien gekozen voor de mogelijkheden van de met rood gearceerde velden is de beschikbaarheid van een onderbouwde motivering gewenst. Een gemaakte keuze geeft de invulling weer ten aanzien van het ongestoord doorgang kunnen vinden van systemen/bedrijfsprocessen bij (al dan niet tijdelijk) verlies van medewerkers. Bij de keuze is het tevens van belang dat de maatregelen gericht op de continuïteit van de menselijke factor onderdeel zijn van het totaal aan maatregelen om de meest kritische 3 systemen/bedrijfsprocessen doorgang laten vinden. In het algemeen kan om te voorzien in de continuïteit van de menselijke factor voor dergelijke systemen/bedrijfsprocessen gekozen worden uit de navolgende mogelijkheden: 1. het inrichten van een dubbele bezetting op de alternatieve locatie; 2. het via planmatig uitroosteren voorzien in het op permanente basis extern (buiten de locatie waar de systemen/bedrijfsprocessen operationeel zijn) beschikbaar hebben van voldoende en gekwalificeerd personeel; 3. het werken in ploegendiensten (shifts); 4. het gebruik maken van personeel dat op een andere locatie al gelijksoortige systemen/bedrijfsprocessen operationeel houdt; 5. het gebruik maken van personeel van een andere locatie waar geen gelijksoortige systemen/bedrijfsprocessen operationeel worden gehouden. Zoals als uitgangspunt aangegeven is de te maken keuze ten aanzien van het benodigd personeel afhankelijk van de benodigde kennis voor de bediening van de systemen/bedrijfsprocessen en/of van de positie van de systemen/bedrijfsprocessen op het moment van verstoring. In dit kader zijn 3 Als kritisch kunnen die systemen/bedrijfsprocessen worden aangemerkt die: essentieel zijn voor de liquiditeitsbehoefte van de instelling zelf, haar cliënten of financiële instellingen waar zij een (financiële) relatie mee onderhoud en waarvan elke verstoring, hoe klein ook, ernstige negatieve gevolgen kan hebben voor de continuïteit van de dienstverlening van de instelling, haar cliënten of van de financiële instellingen waar zij een (financiële) relatie mee onderhoud; waarvan de hiervoor genoemde verstoring een aanmerkelijke negatieve invloed kan hebben op de financiële positie van de instelling zelf, haar cliënten of financiële instellingen waar zij een (financiële) relatie mee onderhoud. 2
de navolgende benaderingen ten aanzien van de benodigde kennis te onderscheiden. Deze benodigde kennis is: a) zeer specifiek. Bediening op een andere locatie door ander personeel is niet mogelijk; b) in hoge mate specifiek. Bediening op een andere locatie door ander personeel van soortgelijke systemen/bedrijfsprocessen vindt plaats. Overname van de werkzaamheden door deze laatstgenoemde personeelsleden is goed mogelijk; c) specifiek. Bediening op een andere locatie door ander personeel is moge lijk mits dit personeel daartoe vooraf voldoende voor opgeleid is en hiermee al voldoende praktische ervaring heeft opgedaan; d) niet zo specifiek. Bediening op een andere locatie door ander personeel is mogelijk mits dit personeel daartoe vooraf voldoende voor opgeleid is; e) niet specifiek. Bediening op een andere locatie door ander personeel is mogelijk door eigen personeel of ingehuurd personeel. Training vooraf is niet nodig. Voor de onderkende mogelijkheden geldt tevens nog dat voor de onder a genoemde situatie: voor optie 1 (dubbele bezetting op de alternatieve locatie) het aanbeveling verdient beurtelings vanaf de primaire en vanaf de alternatieve locatie de systemen/bedrijfsprocessen operationeel te houden. Tevens verdient het aanbeveling, indien van toepassing, informatie over eventuele posities dagelijks met een voldoende frequentie uit te wisselen; voor optie 2 (uitroosteren) het aanbeveling verdient rekening te houden met een uitval voor een langere periode. In dit kader verdient het aanbeveling te bezien of het mogelijk is: o om via interne personeelsroulatie tot een bredere kennis van de systemen/bedrijfsprocessen kan worden gekomen. Bij een langdurige uitval zou dan ook op deze personeelsleden kunnen worden teruggevallen; 3
o via een snelle werving en opleiding op de langere termijn in extra voldoende deskundig personeel kan worden voorzien. Bij een positief oordeel over deze mogelijkheid is het gewenst dat de plannen hiertoe en de eventuele lange termijn afspraken worden vastgelegd. voor optie 3 (ploegendienst) de periode van overdracht van de shift een risico vormt. Aanbevolen wordt om de overdrachttijd voor de shifts zo kort mogelijk te laten zijn; een combinatie van optie 2 (uitroosten) en 3 (ploegendienst) ook zou kunnen worden toegepast. Voor de onderkende mogelijkheden geldt tevens nog dat voor de onder b genoemde situatie: het aanbeveling verdient ten behoeve van het op het vereiste peil houden van de kennis en ervaring op beide locaties beurtelings vanaf de primaire en vanaf de alternatieve locatie de als kritisch aangemerkte systemen/bedrijfsprocessen operationeel te houden. Voor de onderkende mogelijkheden geldt tevens nog dat voor de onder c en d genoemde situatie: het aanbeveling verdient dat het personeel op de andere locatie een goede training krijgt en op regelmatige basis ervaring op doet met het operationeel houden van de systemen/bedrijfsprocessen. Het opdoen en bijhouden van de ervaring van het back-uppersoneel kan deels plaatsvinden door deze medewerkers actief te betrekken bij de uitvoering van organisatorische uitwijktests. Voor de onderkende mogelijkheden geldt tevens nog dat voor de onder e genoemde situatie de voor de bediening benodigde documentatie nog meer van belang is. Het is gewenst dat hieraan specifieke aandacht is besteed. Via tests dient te worden vastgesteld of de beschikbare documentatie voldoende is voor het zonder problemen operationeel houden van de systemen/bedrijfsprocessen. Indien gekozen wordt om in het kader van de continuïteit van de menselijke factor meerdere medewerkers kennis en ervaring op te laten doen en de medewerkers onder meer in het geval van een calamiteit in te zetten voor het operationeel houden van systemen/bedrijfsprocessen verdient het aanbeveling de organisatorische maatregelen, zoals ten aanzien van de toegang tot systemen en locaties hierop aan te laten sluiten. 4
Ten aanzien van het kwalificeren van systemen/bedrijfsprocessen verdient het aanbeveling dat het kritisch karakter per systeem en/of proces als uitkomst van de Business Impact Analyse (BIA) wordt bepaald. Het is gewenst dat deze analyse onder meer aangeeft het vereiste serviceniveau, de voor de dienstverlening benodigde componenten en middelen (zoals procedures, benodigd personeel (aantal en kennisniveau), kantoormiddelen, technische benodigdheden, telecommunicatie voorzieningen, IT-systemen en applicaties, benodigde (systeem)software en ondersteunende programma s). Per kritisch systeem verdient het aanbeveling een RTO (Recovery Time Objective ) te definiëren, die aansluit op het vereiste serviceniveau. Gegeven het belang van de als kritisch gekwalificeerde systemen/bedrijfsprocessen verdient het tevens aanbeveling maatregelen te treffen zodat de bediening van deze systemen op een alternatieve locatie kan worden voortgezet. 5
BIJLAGE 2 INDICATIEVE OPSOMMING VAN RELEVANTE ONDERWERPEN DIE IN EEN BUSINESS CONTINUITY PLAN KUNNEN WORDEN UITGEWERKT In een business continuity plan van een instelling dienen de volgende vragen te worden behandeld: Wat zijn de kritieke bedrijfsfuncties, processen en producten? Wat is de business continuity strategy van het bedrijf? Wat zijn de concrete business continuity doelen en maatregelen afgestemd op de tijd dat systemen/business naar verwachting niet op de hoofdlocatie kan functioneren (bijvoorbeeld uitwijkcentrum binnen 2 uur operationeel)? Zijn de continuïteitsplannen goedgekeurd door het senior-management? Welke calamiteitenscenario s worden er beschreven? Heeft men een uitwijksite (zonder meer noodzakelijk bij een LVPS, CCP of SSS)? Aan welke configuratie-eisen dient de uitwijksite te voldoen? Wat is de locatie van de uitwijksite? Welke maatregelen zijn er om de systemen en business in een uitwijksituatie te kunnen bemensen? Wat is het risicoprofiel van de primaire en secundaire site? Hoe verloopt het proces van datareplicatie? In welke mate is men afhankelijk van externe providers? Welke procedures zijn er om kritieke bedrijfsprocessen (b.v. de settlement bij liquiditeitsmoeilijkheden) te kunnen continueren? Hoe wordt omgegaan met outsourcing van activiteiten? Welke veiligheids- en continuïteitseisen worden er gesteld aan de deelnemers in de systemen? Welke uitwijktesten worden er ondernomen? Op welke wijze is het crisiscommando en -communicatie georganiseerd? Zijn de contactlijsten en procedures/checklijsten actueel? Zijn de continuïteitsplannen transparant en bekend in de markt en bij toezichthouders/overseers en andere autoriteiten? Zijn de business continuity plannen toegesneden op internationale aspecten (b.v. is rekening gehouden met bedrijfsactiviteiten in andere landen)?