'Bouwen op een stevig fundament
geeft vertrouwen in de toekomst'

Maarten Consultant Security & Beleid
IT-Beleid vormen? Samen met ACA.

Business Continuity Plan

Een van de belangrijke stappen om te zetten bij de invulling van Business Continuity Management is het opstellen van een Business Continuity Plan (BCP). In het BCP worden de bedrijfsprocessen onderverdeeld in primaire, secundaire en eventuele tertiaire processen. Vervolgens wordt de afhankelijkheid van ICT bepaald en risico’s ten aanzien van verstoringen in kaart gebracht. Voor risico’s welke bovengemiddeld zijn of welke niet acceptabel zijn worden mitigerende maatregelen getroffen. Door de indeling in procescategorieën kunnen met name de primaire processen worden beschermd, o.a. met uitwijk, en kunnen additionele maatregelen worden getroffen om later secundaire processen op te starten. Bovendien wordt in het BCP aandacht geschonken aan het omleiden van de processen naar bijvoorbeeld uitwijk. Business Continuity en (Managed) Disaster Recovery zijn ruime begrippen met een groot aandachtsgebied waarin vele facetten aan bod dienen te komen. O.a. Wat gebeurt er als er een storing optreedt in een van de componenten die ondersteunend zijn aan de bedrijfsprocessen waardoor een deelstoring optreedt, of erger, het bedrijfsproces stil komt te liggen?

 

 

In de volgende paragrafen worden de stappen toegelicht die genomen worden om te komen tot de invulling van Business Continuity Management.

Business Impact Analyse (BIA)

De eerste stap is het uitvoeren van een Business impact analyse (BIA) om de kritische processen in kaart te brengen. Er wordt gestart met het vastleggen van de businesskant van de ICT omgeving. Welke processen zijn er, welke applicaties en functionaliteiten dienen er voor de gebruikers te zijn voor die processen en hoe draaien die op de infrastructuur? De aangetroffen processen worden ingedeeld in de juiste niveaus met daaraan gekoppeld de beschikbaarheidseisen.

Bedreigingen Kwetsbaarheden Analyse (BKA)

Bij de bedreigingen kwetsbaarheden analyse (BKA) wordt er gekeken naar de zaken die een bedreiging voor de continuïteit kunnen opleveren. Er wordt een risicomatrix van bedreigingen en kwetsbaarheden opgesteld zodat de afhankelijkheden en raakvlakken per applicatie en componenten inzichtelijk worden Er wordt in kaart gebracht hoe processen negatief of zelf destructief beïnvloed kunnen worden door interne en externe risico’s.

Calamiteitenplan

Bij het opstellen van het calamiteitenplan wordt bepaald welke risico’s ondervangen dienen te worden door middel van een calamiteitenplan (mitigatie). Als organisatie zijn we gewend om met risico’s om te gaan. Sommige risico’s accepteren we, andere risico’s kunnen we niet accepteren en moeten we ondervangen. Deze afweging vindt in deze fase plaats en dient doorgaans met de directie te worden afgestemd. Ook de accountant van de onderneming kan hier een belangrijke rol in spelen.

Implementatieplan

Voordat de recovery plannen gemaakt zijn moeten deze in “vredestijd” voorbereid worden en getest. Daarbij dient er een implementatieplan gemaakt te worden. Dit plan bevat alle werkzaamheden en resources die er nodig zijn om de uitwijk omgeving geschikt te maken voor een uitwijk en een uitwijk test.

Uitwijktestplan

Bevat alle applicaties en testscenario’s die uitgevoerd moeten worden bij een uitwijktest. De handelingen en verwachte resultaten dienen van te voren vastgesteld te worden zodat tijdens de uitwijktest getoetst kan worden of de resultaten voldoen aan de verwachtingen. De eindrapportage van de testplan bevat verbeterpunten voor de volgende BCM cyclus.

Hier vindt ook de daadwerkelijk borging in de organisatie plaats. Door het uitvoeren van table-top oefeningen wordt getoetst of de gemaakte plannen kloppen, procedures werken en iedereen die betrokken is weet wat hij of zij moet doen.

Crisisorganisatie

Als de crisisorganisatie actief wordt in een organisatie betekent dit in BCP termen dat het “oorlogstijd” is. Van te voren moet dan helder zijn wanneer de crisisorganisatie in werking treedt, wie hierin zitten en wat de manier van werken is.

Draaiboek Calamiteit- en Recoveryplannen

Het hoofddoel van het BCP is natuurlijk dat er een overzichtsdocument is voor de crisismanager (Draaiboek calamiteit) en dat er werkende recovery plannen zijn. Deze plannen kunnen in geval van crisis makkelijk gevonden worden, zijn getest en de uitvoerende medewerkers begrijpen wat er van ze verwacht wordt.

 

Download: Whitepaper Business Continuity