Business Impact Analyse (BIA) Hoe doe je dat? De klassieke BIA verloopt via volgende grote stappen (passages tussen haakjes worden opgenomen in andere delen van de toolbox) : 1. (Vorm een begrip van de organisatie en haar processen) 2. (Identificeer de nodige middelen) 3. (Schat de bedreigingen en risico s in). Begrijp de organisatie en haar processen 1. Identificeer alle processen van de organisatie 2. (Identificeer de stakeholders en geïnteresseerde partijen.) 3. Schat de impact in de tijd in voor elk proces indien het wegvalt of onderbroken werd. 4. Bepaal de RTO (Recovery Time Objective) en RPO (Recovery Point Objective) voor elk proces. 5. Identificeer interne en externe afhankelijkheden. 1. O.a. ook van timings van andere plannen 2. O.a. ook van de reeds genomen en nog te nemen maatregelen 3. O.a. van handleidingen en documenten 4. 6. Sorteer de lijst volgens het RTO 7. Kies nu de processen top-x waarvoor je het BCP wil gaan uitwerken (processen met een RTO kleiner of gelijk aan 48 uur zijn de tijdskritieke processen.) Identificeer de nodige middelen 1. Mens: bepaal de rollen om de processen uit te voeren, 1. Hoeveel VTE s zijn vereist? 2. Welke klanten zijn nodig? 3. Welke tech support is nodig? 4. Welke leveranciers zijn nodig? 5. Hebben we nood aan personeel van andere entiteiten? 2. Machines: toegangen tot gegevens; telewerkmogelijkheden; 3. Benodigde gegevens 4. Benodigde werkplekken 1. Bureaus 2. Stoelen 3. Computers 4. Verwarming 5. Koffie 6. Vergaderruimte 7. Technische ruimte 8. Geografische voorkeur Schat de bedreigingen en risico s in. 1. Gebruik hiervoor de resultaten van de risicoanalyse die reeds was uitgevoerd voor de processen. 2. Beperk u in een eerste fase tot de tijdskritieke processen.
Een mogelijke BIA heeft dus de volgende tabellen en lay-out: Stap 1: processenlijst volgnr Proces / activiteit Beschrijving impact Grootte impact (1-5) RTO Prioriteit RTO RPO Afhankelijkheden TKP/ EP/ NP(1) (1): TKP: Tijdskritiek proces is een proces dat binnen 48 heropgestart moet worden na een incident; EP: Essentieel proces is een proces dat binnen 14 dagen heropgestart moet worden na een incident; NP: Noodzakelijk proces is een proces dat binnen 6 à 8 weken heropgestart moet worden na een incident Stap 2: middelen nodig voor kritieke processen Volgnr Proces Rollen vereist, aantal Vereiste tools en systemen Vereiste Hardware Werkruimte nodig / Aantal personen Andere afdelingen /organisatieonderdelen /leveranciers /diensten contactpersonen en functies en contactgegevens Stap 3: assessment van bedreigingen / Risico s Volgnr Proces Bedreiging/ risicostatement Kans / reden Kans Hoog/ / Laag Impact / Beschrijving Impact hoog/ / Laag Risico Hoog/ / Laag Aanvaarden/ Verplaatsen/ Verminderen/ Verwijderen / Wat is er reeds preventief aanwezig?
Update en herziening van de BIA. Als u reeds een BCP heeft dat u moet updaten, zorg er dan voor dat: de TKP s in de BIA en de prioriteiten in het plan overeenkomen. het BCP afgestemd is op de RTO s in de BIA. de SLA s afgestemd zijn op de RTO s in de BIA. de planning enkel de TKP s (tijdskritieke processen) omvat die er toe doen in het tijdsvenster dat uw plan behelst. De BIA is het fundament van het BCP. Het levert inzicht waarom wat in het BCP wordt opgenomen en wat niet. Daardoor gaat het updaten van een BCP sneller, maar dan moet u ook de BIA accuraat houden. Doe dit min. eenmaal per jaar bij elke belangrijke wijziging in de organisatie (nieuwe processen, oude processen die stoppen, een nieuw gebouw, mensen die wijzigen zoals personeel, de staf,, leveranciers, burgers, de omgeving die wijzigt, SLA s die wijzigen, Kijk bij een herziening dus na of er iets wijzigde sinds de vorige versie.
Omschrijving en nut van topics in de BIA. Procesinformatie voor BIA Naam tijdskritiek en/of missiekritiek proces Omschrijving proces Proceswerkmiddel Omschrijving en nut Omschrijving: Identificatie van het proces dat tijdskritiek is (een proces dat binnen 48 heropgestart moet worden na een incident) en/of missiekritiek is (een proces dat meehelpt om de missie van een entiteit te bereiken). Nut: Een lijst van gevoelige processen waar de overleving van de organisatie in het bijzonder van afhankelijk is. Omschrijving: Korte uitleg over wat het tijdskritieke/missiekritieke proces inhoudt, wanneer het begint en wanneer het eindigt. Nut: Zolang geen generieke namen voor processen bestaat, is de omschrijving nodig om helderheid te scheppen over wat de inhoud van het bedoelde proces is. Omschrijving: De mensen en middelen die nodig zijn om een tijdskritiek en/of missiekritiek proces te laten verlopen. Per werkmiddel wordt bepaald in welke periode(s) het urgent is, hoeveel eenheden nodig zijn en welk alternatief kan worden voorgesteld. Proceswerkmiddelen kunnen zijn: - Personeel (aantal en functie) - Werkplekken - Telefoons / Fax / GSM s - Werkstations - Laptops - Print- & kopieerfaciliteiten - Toegang tot e-mail - Toegang tot internet - Nut: In een crisisperiode kan een proces sneller heropgestart worden als geweten is welke werkmiddelen daarvoor nodig zijn. Procesperiode Omschrijving: Tijdstip(pen) waarop het tijdskritieke/missiekritieke proces wordt uitgevoerd. Nut: Deze tijdsindicator geeft aan in welke periode van het jaar een proces de geselecteerde procesurgentie heeft. Dit kan immers verschillen voor bijvoorbeeld seizoensgebonden processen. Hierdoor kan m.b.v. een flexibele rapportering een herstelling opgezet worden die het meest relevant is voor het moment waarop de crisis optreedt.
Procesinformatie voor BIA Impact bij uitval van het proces RTO: Recovery Time Objective RPO: Recovery Point Objective Proceseigenaar Procesafhankelijkheden Hardware-afhankelijkheid Omschrijving en nut Omschrijving: Beschrijft de omvang van de geleden schade. Deze impacts kunnen zijn: reputatieschade, financiële schade, menselijke schade, werkachterstand, stoffelijke schade, Nut: De impact wordt vaak gezien als de mate van hoogdringendheid om een procesurgentie te bepalen. Het is daarom een indicator die aangeeft hoe groot de verliezen van allerlei aard kunnen zijn indien een proces uitvalt. Omschrijving: Het tijdsverloop dat het management toestaat vanaf een ontwrichtend incident tot aan het voorlopig heropstarten van de activiteiten, dikwijls op een vooraf bepaald niveau van de capaciteit. Nut: Deze grootheid is een meer verfijnde indicator van de dringendheid van het heropstarten van de processen en geeft aan de technici een indicatie in welke prioritaire volgorde ze de processen moeten kunnen heropstarten ten behoeve van de organisatie(s). Deze indicator is o.a. essentieel voor de planning van de heropstart van de IT systemen. Omschrijving: De periode die tussen twee momenten van veilige gegevensopslag mag liggen. D.w.z. hoeveel gegevens/transacties mogen tussen de laatste veilige gegevensopslag en het ontwrichtende incident maximaal verloren gaan. Nut: Deze indicator is voor ICT-gerelateerde processen een indicator gerelateerd aan het backup systeem. Het levert een idee van hoeveel achterstand er zal moeten weggewerkt worden, en van hoeveel werk van de laatste dagen is verloren kunnen gaan. Omschrijving: De persoon die aansprakelijk is voor een proces. Nut: Wanneer een bepaald proces betrokken is bij een incident kan eenvoudig de aansprakelijke persoon op de hoogte worden gebracht. Omschrijving: Deze afhankelijkheden zeggen welke processen van elkaar afhankelijk zijn (in beide richtingen: is afhankelijk van en is noodzakelijk voor ) Nut: Met deze informatie heeft men een beter zicht op de problematiek en kan de evolutie van een cascade van crisissen voorkomen worden. Omschrijving: De afhankelijkheid van hardware, zoals laptops, notebooks, tablets, smartphones, servers, Deze informatie moet (deels: servers, ) in het exploitatiedossier duidelijk zijn. Nut: Dit stelt de ICT in staat een raming te maken
Procesinformatie voor BIA Omschrijving en nut voor het management voor de hardware-onkosten, alsook te weten welke hardware nodig is om een nieuw systeem op te zetten, waarop de processen kunnen draaien. Software-afhankelijkheid Financiële afhankelijkheid Faciliteitenafhankelijkheid Belanghebbendenafhankelijkheid Omschrijving: De afhankelijkheid van software, zoals browsers, documentum, centerstage, office, Deze informatie moet (deels: servers, ) in het exploitatiedossier duidelijk zijn. Nut: Dit stelt de ICT in staat een raming te maken voor het management voor de software-onkosten, alsook te weten welke software nodig is om een nieuw systeem op te zetten, waarop de processen kunnen draaien. Omschrijving: Proces-gerelateerde, gebouwgerelateerde onkosten e.a. Nut: Deze afhankelijkheid geeft een inzicht in een deel van de kosten bij de heropstart van de processen. Dit helpt in het voorbereiden / aanvragen van budgetten en kostenposten. Omschrijving: De afhankelijkheden van zaken zoals broodjes, koffie, tafels, bureautica, stoelen, elektriciteit, toiletten, water, licht, airco, Nut: Dit stelt de financieel verantwoordelijke in staat een raming te maken voor de onkosten voor faciliteiten en geeft ook informatie over de noodzakelijke faciliteiten zodat personeelsleden hun werk kunnen doen. Omschrijving: Dit zijn gegevens in de contactenlijsten, zoals leveranciers, klanten, medewerkers Nut: Hiermee heeft het management een overzicht van alle betrokken partijen, waarmee zij contacten moet onderhouden om door hen / voor hen de processen terug operationeel te krijgen.