Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart
[email protected]
www.information-security-governance.com
Disaster Recovery Plan
2
The Bitter Brew Case To Brew or not to Brew, That’s the question
www.information-security-governance.com
Case: Bitter Brew
• Wij zijn als Bitter Brew voorgedragen om onze bieren te leveren aan het Holland House tijdens de Olympische Spelen in Brazilië, Sotsji, Tokyo en Pyeongchang.
• We leveren niet alleen onze 5 speciale bieren maar zijn ook verantwoordelijk voor het leveren, bedienen en operationeel houden van de bier tap installaties. • En we zorgen voor de bediening in de zaal. • Voorwaarde: wij moeten kunnen aantonen, dat we onze bieren in het Holland House continu aan de bezoekers kunnen leveren • Hint: laten we een management systeem voor Bedrijfscontinuiteit inrichten (conform ISO 22301)
The Bitter Brew Company
Gerst
Water Transport
Hop Gist
Inkoop
Installatie
Brouwerij
Onderhoud
Bediening
Bedrijfscontinuïteit • • • • •
Waarom is het belangrijk Wat is het De ISO 22301 Een Business Continuity Management Systeem Voordelen voor bedrijven, die het geïmplementeerd hebben
Noodzaak voor bedrijfscontinuïteit Operationeel
Fysiek
Brand Overstroming Stroomuitval Onrust/staking
Onderbreking van productie Onderbreking van distributie
IT risico’s
3rd PartyOutsourcing
Verlies van 3rd party warehouse Commitment van leverancier aan bedrijfscontinuïteit
Storing van IT diensten Storingen in kritieke systemen, netwerken, databases, etc.
Wat is bedrijfscontinuïteit? “Back to Normal”
Productie / Dienstverlening
incident Maximale uitvalsduur
calamiteit
herstel
Recovery Time Objective
Tijd
9
ISO 22301 • Internationale standaard voor bedrijfscontinuïteit • Business Continuity Management Systeem – Eisen • Aansluiting bij andere management systemen (ISO 9001, ISO 20000, ISO 27001, …) • Certificeerbaar • Internationale BCM “best practice” • Input en aanbevelingen van vele BC professionals en experts • Niet opnieuw uitvinden van het wiel
• Het belang van BCM in de maatschappij en garanderen dat we een calamiteit aankunnen.
Een BCMS volgens de ISO 22301:2012
1 Scope 2 Referenties naar andere standaarden 3 Termen en definities 4 - Context van de Organisatie 5 - Leiderschap 6 - Planning 7 - Ondersteuning 8 - Uitvoering 9 - Evaluatie van de uitvoering 10 - Verbetering
Food Safety vs Business Continuity Mgt.Sys. ISO 22301
ISO 22000 1 Scope 2 Referenties naar andere standaarden 3 Termen en definities 4 - Food Safety Management System
4 - Context van de Organisatie
5 - Management responsibility
5 - Leiderschap
6 - Resource Management
6 - Planning
7 - Ondersteuning 5.7 Emergency preparedness and response Top management shall establish, implement and 7 - Planning and realization maintain procedures to manage potential 8 - Uitvoering of safe products emergency situations and accidents that can impact food safety and which are relevant to the 8 - Validation, verification 9 - Evaluatie vd uitvoering role of the organization in the food chain. and improvement of the FSMS
10 - Verbetering
8. Uitvoering Business Impact Analyse Risico Analyse Business continuity strategy
rangschikken van de activiteiten, die de producten en diensten ondersteunen bepalen van de risico’s op een calamiteit; nemen van (preventieve) maatregelen. bepalen van de business continuity aanpak
Business continuity procedures
Incident response structure
detecteren van en reageren op een incident
Warning and communication Business continuity plans
hervatten van de bedrijfsactiviteiten
Business recovery plans
terugkeren naar ‘business as usual’.
Exercising and testing
Crisis Management U kunt van een crisis spreken als: • de voedselveiligheid van het product in gevaar komt; • de kwaliteit van het product niet geleverd kan worden; • de productie of levering van het product in gevaar komt; • de bedrijfsvoering in het geding komt; • er grote bedrijfsschade op kan treden. Dan is het tijd voor een …
Continuïteitsplannen • • • •
Incident management Veiligheid (BHV) Berging / beveiliging (locatie, bedrijfsmiddelen, …) Voortzetten van bedrijfsactiviteiten • op een alternatieve manier • (zonder IT systemen) • op een andere locatie
• Herstellen van IT (en andere processen) • Herstellen van bedrijfsactiviteiten • “Terug naar normaal”
Continuïteitsplannen • Rollen en verantwoordelijkheden voor mensen en teams, • Activeren van de plannen, • Reactie op de directe gevolgen van een calamiteit, • veiligheid / welzijn van individuen en omgeving, • voorkomen van verdere schade en uitval;
• Communicatie, • medewerkers en hun verwanten, belangrijkste derde partijen en nooddiensten;
• Continueren of hervatten van de bedrijfsactiviteiten, • binnen een van te voren vastgestelde periode, • op een alternatieve manier; op een andere locatie;
• Hoe om te gaan met (de) media, • De-activatie van de plannen na de calamiteit. 16
Crisisteam / Calamiteitenteam • Situatie onder controle krijgen • Omvang en impact bepalen
• Bepalen start continuïteitsplannen • Herstelwerkzaamheden coördineren: • prioriteiten • mensen • middelen
• Communicatie gedurende het incident • Hoe en wanneer communiceren met medewerkers, familie, derde partijen en nooddiensten? • Contact met de media • strategie • met welke, wie, wanneer en wat • persberichten en woordvoerders
Business Continuity Plan • • • • • • • • •
Doel en scope / reikwijdte, Doelstellingen, Activeringscriteria en -procedures, Implementatie procedures, Rollen en verantwoordelijkheden, Communicatie procedures, Interne en externe afhankelijkheden en interacties, Resource eisen, Informatiestromen en documentatieprocedures.
Testen en oefenen • De organisatie moet de continuïteits-plannen en procedures testen en oefenen. Waarom testen en oefenen? • Valideren van scope en uitgangspunten • Correcte werking van technische faciliteiten • Voldoende capaciteit op en van de uitwijk locaties • Verkorten van doorlooptijd van de procedures • Awareness bij derde partijen • Competenties en awareness
ISO 22301 & ISO 22313 - Guidance
Voordelen voor bedrijven • Herstellen van de productie en/of dienstverlening • Het bedrijf kan na een calamiteit de belangrijkste producten en diensten herstellen tot een van te voren bepaald niveau en binnen een bepaalde tijd • Incident Management Plan: hoe te reageren op een incident • Communicatie Plan: waarschuwing en communicatie • Business Continuity Plan: het kunnen continueren van de belangrijkste (kritieke) processen • Recovery Plan: terugkeren naar “normale” bedrijfsactiviteiten
• Beproefde methode • Aantoonbaar door het oefenen en testen • Continu verbeteren vanuit het management systeem
Meer informatie • ISO 22301 Business continuity management systems Requirements • ISO 22313 Business continuity management systems Guidance • ISO 22398 Guidelines for exercises and testing • ISO 31000 Risk Management Principles and Guidelines • ISO 28002 Development of resiliency in the supply chain • PAS 200 Crisis management – Guidance and good practice • BCI Good Practice Guidelines 2013 • www.theBCI.org • http://www.drj.com/ • http://www.continuitycentral.com/
Dank voor uw aandacht ! Vragen Opmerkingen
Information-Security-Governance.com IT Audits - Security Consulting - Training
Aart Bitter RE IT Auditor
M: +31 (6) 573 11 593 E:
[email protected] W: www.information-security-governance.com
Suggesties
