WWW.GOVCERT.NL
BUSINESS CONTINUITY MANAGEMENT Een calamiteit is niet altijd te voorkomen!
POSTADRES
Postbus 84011 2508 AA Den Haag BEZOEKADRES
Wilhelmina van Pruisenweg 104 2595 AN Den Haag TELEFOON
070 888 75 55 FAX
070 888 75 50 E-MAIL
[email protected]
Auteur(s) Versie Den Haag Publieke uitgave
: : : :
GOVCERT.NL 1.3 28.04.2006 27.07.2010
GOVCERT.NL is het Computer Emergency Response Team van en voor de Nederlandse overheid. Zij ondersteunt overheidsorganisaties in het Voorkomen en afhandelen van ICT-gerelateerde veiligheidsincidenten, 24 uur per dag, 7 dagen per week. Advies en preventie, waarschuwing, incidentafhandeling en kennisdeling zijn hierbij sleutelwoorden. Logius is de dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. GOVCERT.NL maakt deel uit van Logius.
Deze white paper is in 2007 geschreven en gepubliceerd voor de GOVCERT.NL deelnemers. Nu, in mei 2010, wordt het white paper volledig publiek gemaakt. Voor deze publieke uitgave is het document licht herzien: waar nodig is achterhaalde informatie verwijderd en zijn kleine verbeteringen doorgevoerd.
DISCLAIMER GOVCERT.NL betracht grote zorgvuldigheid bij het samenstellen en onderhouden van de informatie. GOVCERT.NL is echter niet verantwoordelijk voor de volledigheid, juistheid en actualiteit van de informatie en aanvaardt geen aansprakelijkheid voor eventuele directe of indirecte schade als gevolg van de activiteiten die door een gebruiker worden ondernomen op basis van de informatie, adviezen en waarschuwingen die door middel van dit document wordt verstrekt. Indien er verwezen wordt naar externe bronnen staat GOVCERT.NL niet garant voor de juistheid en volledigheid van deze informatie. Gezien de technologische ontwikkelingen wordt niet gepretendeerd dat het document uitputtend is.
Gebruik:
BCM
Versie 1.3
Dit werk is gepubliceerd onder de voorwaarden beschreven in de Creative Commons Naamsvermelding-Niet-commercieelGelijk delen 3.0 Nederland licentie. Kijk voor meer informatie op http://creativecommons.org/licenses/by-nc-sa/3.0/nl/
27 juli 2010
1/23
MANAGEMENTSAMENVATTING Het uitvallen van de bedrijfsvoering is één van de belangrijkste bedrijfsrisico’s. Tegelijkertijd verandert het dreigingenpatroon voor veel organisaties van traditionele naar technologische- en zelfs terreurdreigingen. De expertise van medewerkers en vitale data zijn bijvoorbeeld de kroonjuwelen van de organisatie, deze zijn alleen met een goed ingericht Business Continuity Management te beschermen tegen de gevolgen van een calamiteit. De doelstelling van BCM is:
Het nemen van maatregelen ter voorkoming van ernstige onderbrekingen in de bedrijfsvoering en het nemen van maatregelen ter bescherming van vitale (primaire) bedrijfsprocessen tegen gevolgen van omvangrijke (ver)storingen of calamiteiten.
De maatregelen ter voorkoming van ernstige onderbrekingen in de bedrijfsvoering worden als samenhangend geheel opgenomen in een Beveiligingsplan. De maatregelen om de gevolgen van omvangrijke (ver)storingen of calamiteiten van vitale (primaire) bedrijfsprocessen te beperken zijn opgenomen in een Calamiteitenplan.
Beheer
Fase Fase 22 ContinuïteitsContinuï teits strategie trategie en beleid
Fase Fase 1 ContinuïïteitsContinu teitskader
Continu ïte itsnorm en kritis che processe n Vastst ellen afhankelijkheden Bep alen ris ico’s (b asissce nario ’s)
Huidig e situatie •Beveiliging •Fallb ack/uitwijk Strategie en beleid •Preventie •Correctie •Niets d oen •Acceptatie •Bereiken co nsensus
Fase 33 ContinuïteitsContinuï teits plan
B eveiligingspla n C alamiteite nplan •Bevel- en overlegstructuur incl. escala tie •Commu nicatie •Uitwijk- en herstel •Opleidingen •Oefenen B eheerp lan
Fase Fase 4 Implementatie en en beheer
• • • •
Va n p apie r n aar p raktijk Pro-actieve taken Oefenen Evaluatiera pport Aanpassen co ntinuï teitsplan
Borgi ng
In bovenstaande figuur is een aanpak weergegeven om BCM in een organisatie in te richten. BCM
Versie 1.3
27 juli 2010
2/23
In Fase 1 wordt het Continuïteitskader neergezet op basis van: 1. De kritische bedrijfsprocessen en de daarvoor vastgestelde continuïteitsnormen; 2. De assets1 waarvan de kritische processen afhankelijk zijn en de mate waarin dat is; 3. De organisatiespecifieke continuïteitsrisico’s en in het bijzonder de calamiteitenscenario’s. In Fase 2 wordt de continuïteitsstrategie bepaald: • Preventieve maatregelen, bijvoorbeeld redundantie van leveranciers, ICT-middelen en andere voorzieningen; • Correctieve maatregelen, bijvoorbeeld noodprocedures, waarbij wordt nagegaan welk fallback of uitwijkalternatief optimaal is; • Geen maatregelen, waarbij de risico's bewust geaccepteerd worden. In Fase 3 ontstaat het Bedrijfscontinuïteitsplan met de bijbehorende deelplannen. De laatste fase beschrijft het inbedden van de plannen in de organisatie door het uitvoeren van het Opleidingsplan, het Oefenplan en het aanwijzen van een Calamiteitenbeheerder voor structureel beheer van de plannen.
1
Onder assets wordt verstaan: grondstoffen, faciliteiten (ICT en non-ICT waaronder productiemiddelen), men-
sen / organisatie, gebouwen, informatie. BCM
Versie 1.3
27 juli 2010
3/23
MANAGEMENT SUMMARY
Business interruption is one of the greatest commercial risks. Meanwhile the landscape threatening many organisations is evolving, with traditional hazards giving way to technological and even terrorism threats. An organisation’s employee expertise and business-critical data are its crown jewels. They can only be protected against the consequences of a disaster through implementing sound Business Continuity Management. BCM has the following objective:
To take measures to prevent serious business interruption and to take measures to protect critical (primary) business processes against the consequences of extensive disruptions, downtime or disasters.
The measures for preventing serious business interruption are included in a Security Plan as a cohesive whole. The measures for preventing the consequences of substantial disruptions, downtime or disasters for critical (primary) business processes have been included in an Emergency Response Plan.
Management
Phase 22 Continuity strategy and policy policy
Phase 1 Continuity framework
Continu ïity stan dard s fo r critica l processes Ide ntification o f d epen den cies Risk asessme nt (b asis sce nario’s)
Curre nt situation •Security •Fallb ack/disa ster re covery Strategy and po licy •Preventive me asures •Corrective mea sures •No measures ta ken •Acceptance •Achieving consensus
Phase 4 Implementation Implementation and management management
Phase 33 Continuity Continuity plan
Secu rity plan Em ergency Respo nse Plan •Comma nd structure including escalation •Commu nication •Disaste r r ecovery •Training •Practice Manag ement p lan
• • • •
Paper to p ractice Pro-active tasks Practice Evaluation report Modification of co ntinuity plan
Safegu ardin g
The figure above shows an approach for implementing BCM in the organisation.
BCM
Versie 1.3
27 juli 2010
4/23
During Phase 1, the Continuity Framework is defined based on: 1. The business-critical processes and the continuity norms defined for each process; 2. The assets[1] on which business-critical processes are dependent and the degree of dependence; 3. Continuity risks specific to the organisation, in particular emergency response scenarios. Phase 2 defines the continuity strategy: • Preventive measures, e.g. supplier redundancy , IT and other resources; • Corrective measures, e.g. contingency procedures — an evaluation of which fallback or disaster recovery option yields the best results; • No measures are taken; conscious acceptance of risks. The Business Continuity Plan is drawn up in Phase 3, along with the associated sub-plans. The last phase describes embedding the plans across the organisation through implementing the Training Plan, the Practice Plan and the appointment of a Disaster Recovery Manager for structural management of the plans.
Assets include: raw materials, resources (IT en non-IT including production facilities), people / organisation , buildings , information.
BCM
Versie 1.3
27 juli 2010
5/23
INHOUDSOPGAVE
Managementsamenvatting...........................................................................................2 1 1.1 1.2 1.3 1.4 1.5
Business Continuity Management ....................................................................7 Trends .............................................................................................................. 7 Het afsluiten van een verzekeringspolis is niet voldoende ........................................ 7 Doelstelling BCM ................................................................................................ 7 Standaarden ...................................................................................................... 8 Kenmerken BCM................................................................................................. 8
2 2.1 2.2 2.3 2.3.1 2.4 2.5
Inrichting BCM en fasering ..............................................................................9 Fase 1: Continuïteitskader ................................................................................... 9 Fase 2: Continuïteitsstrategie en -beleid.............................................................. 12 Fase 3: Continuïteitsplan ................................................................................... 12 Deelplannen van een calamiteitenplan................................................................. 13 Fase 4: Implementatie en beheer ....................................................................... 14 Aandachtspunten.............................................................................................. 16
3
Lessen uit de praktijk ....................................................................................17 Bijlage A: Inhoudsopgave calamiteitenplan...................................................21 Bijlage B: Woordenlijst ..................................................................................23
BCM
Versie 1.3
27 juli 2010
6/23
1
BUSINESS CONTINUITY MANAGEMENT 1.1
Trends
We zien dat in de huidige maatschappij de continuïteit van de dienstverlening van bedrijven en organisaties steeds belangrijker wordt. Het afbreukrisico bij een ernstige verstoring van de dienstverlening door een calamiteit wordt daarmee ook groter. Imagoschade ontstaat snel, maar is zeer moeilijk te herstellen. Niet alleen de perceptie van de klant verandert. Ook het dreigingenpatroon, dat een calamiteit kan veroorzaken, wijzigt. In het verleden werd meestal rekening gehouden met fysieke dreigingen zoals brand, overstroming, blikseminslag of storm. Vandaag de dag moet men ook rekening houden met technologische dreigingen, waaronder malware, DDoS-aanvallen of uitval van dataverbindingen. Recente ontwikkelingen van dreigingen die de bedrijfsprocessen ernstig kunnen verstoren zijn het gevolg van terreur en Hightech criminaliteit. 1.2
Het afsluiten van een verzekeringspolis is niet voldoende
Iedere organisatie heeft assets waarmee de primaire processen worden uitgevoerd. De meeste assets die verloren kunnen gaan bij een calamiteit zoals grondstoffen, faciliteiten (ICT-voorzieningen, gebouwen, werkplekken etc.) en geld zijn verzekerbaar. Een ander deel van deze assets, namelijk de expertise van mensen en procesgebonden data, is zo uniek voor de organisatie dat ze niet door het afsluiten van een verzekeringspolis te verzekeren zijn. Deze assets noemen we dan ook de kroonjuwelen van een organisatie. De enige vorm van verzekering van deze assets is invoering van BCM. Immers, met verzekeringsgeld kun je wel nieuwe apparatuur aanschaffen, een nieuw gebouw laten neerzetten of zelfs omzetverlies afdekken, maar de expertise van mensen en vitale gegevens kun je alleen vervangen door de expertise vast te leggen of te borgen over meerdere specialisten en door back-ups van gegevens te maken en die veilig te stellen als onderdeel van een calamiteitenplan. 1.3
Doelstelling BCM
De doelstelling van BCM is: Het nemen van maatregelen ter voorkoming van ernstige onderbrekingen in de bedrijfsvoering en het nemen van maatregelen ter bescherming van vitale (primaire) bedrijfsprocessen tegen gevolgen van omvangrijke (ver)storingen of calamiteiten.
De maatregelen ter voorkoming van ernstige onderbrekingen in de bedrijfsvoering worden als samenhangend geheel opgenomen in een Beveiligingsplan. De maatregelen om de gevolgen van omvangrijke (ver)storingen of calamiteiten van vitale (primaire) bedrijfsprocessen te beperken zijn opgenomen in een Calamiteitenplan. BCM
Versie 1.3
27 juli 2010
7/23
1.4
Standaarden
Begin 2005 werd de “PAS56: Guide to Business Continuity Management”2 uitgegeven door British Standards Institution (BSI). In 2007 is de PAS56 vervangen door de BS 259993, de British Standard voor BCM. Het bestaat uit twee delen, de BS 25999-1 dat een implementatierichtlijn is en de BS 25999-2 dat de eisen voor een BCMS (Business Continuity Management System) beschrijft. Deze opzet komt overeen met de beveiligingsstandaarden ISO/IEC 27001 (eisen voor een Information Security Management System) en ISO/IEC 27002 (implementatierichtlijn). In ISO/IEC 27002, deze wordt ook wel de “Code voor Informatiebeveiliging” genoemd, wordt gesteld dat een organisatie BCM moet inrichten. BCM is daarmee een integraal onderdeel van het algemene beveiligingsbeleid van een organisatie. 1.5
Kenmerken BCM
De belangrijkste kenmerken van BCM zijn: • Procesgedreven. De basis voor BCM zijn de continuïteitsnormen voor de organisatie. Het management stelt normen vast voor de primaire bedrijfsprocessen. Deze normen worden vervolgens vertaald naar continuïteitsnormen voor de ICT-systemen, gegevensbestanden en faciliteiten die deze primaire bedrijfsprocessen ondersteunen. • Calamiteitenscenario’s. De continuïteitsstrategie wordt bepaald aan de hand van calamiteitenscenario’s. Deze calamiteitenscenario’s worden vastgesteld op basis van de, voor de organisatie, meest relevante continuïteitsrisico’s. Het management kan besluiten dat er bepaalde restrisico’s blijven bestaan, waarvoor -met de beschikbare mensen en middelen- geen calamiteitenscenario hoeft te worden gedefinieerd. • Evenwicht tussen Beveiligingsplan en Calamiteitenplan. BCM zorgt voor de noodzakelijke afstemming tussen het beveiligingsplan en het calamiteitenplan (met respectievelijk preventieve en correctieve maatregelen) en zorgt ervoor dat in beide plannen voldoende rekening is gehouden met de eisen die de bedrijfsprocessen stellen. Hoe hoger de eisen hoe hoger de kosten voor de voorzieningen worden. • Pragmatisch. Een bedrijfscontinuïteitsplan (BCP) kenmerkt zich door praktische procedures en checklisten. • Continuïteit door borging. Borging van BCM-kennis en -beheer (zorg voor een actueel BCP) binnen de organisatie is één van de voorwaarden voor een succesvolle aanpak. BCM-beheer zorgt ervoor dat het BCP actueel blijft bij een veranderende organisatie (omgeving, bedrijfsprocessen, medewerkers en dreigingen).
2
http://www.pas56.com
3
http://www.bsigroup.com/en/Assessment-and-certification-services/management-systems/Standards-and-
Schemes/BS-25999/ BCM
Versie 1.3
27 juli 2010
8/23
2
INRICHTING BCM EN FASERING Inrichten van BCM vereist aandacht vanuit het management en heeft een multidisciplinair karakter. Het ligt voor de hand om BCM projectmatig in een organisatie in te richten. In figuur 1 is een aanpak weergegeven om BCM in een organisatie in te richten en te borgen.
Beheer
Fase 2 Continuï Continuïteitsteitsstrategie en beleid
Fase 1 Continuï Continuïteitsteitskader
Continuïteitsnormen kritische processen Vaststellen afhankelijkheden Bepalen risico’s (basisscenario’s)
Huidige situatie •Beveiliging •Fallback/uitwijk Strategie en beleid •Preventie •Correctie •Niets doen •Acceptatie •Bereiken consensus
Fase 3 Continuï Continuïteitsteitsplan
Beveiligingsplan Calamiteitenplan •Bevel- en overlegstructuur incl. escalatie •Communicatie •Uitwijk- en herstel •Opleidingen •Oefenen Beheerplan
Fase 4 Implementatie en beheer
Van papier naar praktijk • Pro-actieve taken • Oefenen • Evaluatierapport • Aanpassen continuïteitsplan Borging
Figuur 1 Inrichten BCM
2.1
Fase 1: Continuïteitskader
Het management zet de eerste stap. Zij geeft in de eerste fase aan welke processen kritiek zijn voor de continuïteit van de organisatie en stelt de continuïteitseisen vast voor deze processen. Voor het opstellen van het continuïteitskader voor de kritische bedrijfsprocessen onderneemt men de volgende stappen: 1. Continuïteitsnormen opstellen 2. Bepalen afhankelijkheden 3. Risicoanalyse Voor het opstellen van de continuïteitsnormen wordt er gekeken naar: • De recovery time objective (RTO), ofwel wanneer (na de start van een incident) moet een bedrijfsproces weer "up and running" zijn?
BCM
Versie 1.3
27 juli 2010
9/23
•
De recovery point objective (RPO), ofwel hoeveel dataverlies is acceptabel ingeval van een calamiteit? (ofwel wat mag de meest recente datum van de laatste back-up zijn?)
Tijdstip laatste back-up / punt nog bruikbare data
Tijdstip Systemen&data hersteld
Tijd één week
één dag
Hoever terug? Recovery Point Objective (RPO) •Hoe hoger de mutatiegraad van gegevens •Hoe kleiner de RPO
Hoe lang om te herstellen? Recovery Time Objective (RTO) •Hoe kritischer het systeem •Hoe kleiner de RTO
Herstelpunt
Hersteltijd
Figuur 2 RTO en RPO van een proces
De proceseigenaren dienen de RTO en RPO aan te geven. Het management geeft de onderlinge prioriteit van de processen aan. Deze prioriteitstelling bepaalt de volgorde waarin de processen na een calamiteit weer moeten worden hersteld. De te nemen maatregelen zijn afhankelijk van de continuïteitsnormen. Aan korte RTO of RPO zitten, als het gaat om uitwijk- en back-upmogelijkheden, veelal hoge prijskaartjes. In onderstaande figuur is een relatie aangegeven tussen de continuïteitsnormen, mogelijke oplossingen en de te verwachten kosten.
Hoge
Hoge
Kosten
Kosten
Hot Standby
Replicatie
Cold Standby Hoge RTO
Tape back-up Hoge RPO
Figuur 3 Relatie RTO / RPO, oplossingen en kosten
BCM
Versie 1.3
27 juli 2010
10/23
Als tweede stap worden de assets bepaald waarvan en in welke mate de kritische processen afhankelijk zijn. Assets worden hier in de breedste zin des woord bedoeld, dus faciliteiten, medewerkers en data. In deze stap worden antwoorden gezocht op vragen als: • Welke medewerkers vervullen een sleutelrol voor het betreffende bedrijfsproces? • Welke ICT-omgeving (applicaties, hardware, infrastructuur, telefonie, call center, fax) wordt gebruikt voor het bedrijfsproces? • Welke werkplekken worden gebruikt voor dit bedrijfsproces? • Welke informatie is nodig voor het bedrijfsproces en waar is die aanwezig? Denk hierbij aan papieren dossiers, digitale data op werkstations van medewerkers, centraal opgeslagen informatie. • Welke ketenpartners kan men onderkennen? Denk hierbij aan toeleveranciers, outsourcingspartijen (niet alleen ICT, maar ook beveiliging, catering etc.). De laatste stap in fase 1 is een risicoanalyse. Welke dreigingen zijn relevant voor de organisatie en welke impact hebben deze? Door de risico’s (impact x kans) voor de organisatie in kaart te brengen krijgt men inzicht met welke calamiteitenscenario’s men rekening moet houden. Het is vaak onmogelijk alle dreigingen te inventariseren met de kans van optreden, maar door te focussen op de bedrijfskritische processen en de bijbehorende systemen, blijft een risicoanalyse hanteerbaar. Daarbij kan men zoveel als mogelijk verschillende dreigingen clusteren tot eenzelfde calamiteitenscenario. De smoking hole is het meest bekende calamiteitenscenario, waarbij zowel het gebouw als de systemen volledig en langdurig zijn uitgevallen. Dit scenario kan veroorzaakt worden door een uitslaande brand, maar ook een overstroming of een langdurige stroomstoring (waardoor alle systemen en de verwarming in het gebouw uitvallen) kan een oorzaak zijn. Andere calamiteiten scenario’s zijn: • Gebouw intact maar de systemen zijn uitgevallen (bijvoorbeeld ten gevolge van een ernstige kortsluiting , een DDoS-aanval of een harddiskcrash); • Gebouw niet bruikbaar, maar de systemen zijn op afstand nog te gebruiken (bijvoorbeeld evacuatie i.v.m. bommelding).
BCM
Versie 1.3
27 juli 2010
11/23
2.2
Fase 2: Continuïteitsstrategie en -beleid.
In fase 2 wordt de continuïteitsstrategie bepaald. Hierbij wordt de bestaande situatie in ogenschouw genomen en onderzocht in welke mate men al aan de continuiteitseisen voldoet. Daarnaast wordt de status van de preventieve maatregelen van het beveiligingsplan in kaart gebracht en wat de mogelijkheden voor uitwijken fallbackvoorzieningen onderzocht. De continuïteitsstrategie geeft een samenhangend geheel weer van: • preventieve maatregelen, bijvoorbeeld redundantie van leveranciers, ICTmiddelen en andere voorzieningen; • correctieve maatregelen, bijvoorbeeld noodprocedures, waarbij wordt nagegaan welk fallback of uitwijkalternatief optimaal is; • geen maatregelen, waarbij de risico's bewust geaccepteerd worden. 2.3
Fase 3: Continuïteitsplan
In Fase 3 ontstaat het bedrijfscontinuïteitsplan. Figuur 4 geeft de relatie tussen het beveiligingsplan en het calamiteitenplan weer. Het beveiligingsplan richt zich op de preventieve beveiligingsmaatregelen, het calamiteitenplan beschrijft hoe men reageert, indien onverhoopt toch een calamiteit optreedt. Verder zijn in figuur 4 de deelplannen van het calamiteitenplan aangegeven.
Bedrijfscontinuïteitsplan
Beveiligingsplan
Calamiteitenplan Calamiteitenplan
Uitwijk afspraken
Oplieding plan Back-up Data
SLA’s
BHV-plan Communicatieplan
Enkele voorbeelden Redundantiestrategie
Voorkom SPOF
Beheerplan
UPS
Preventief
Escalatieplan
Oefenplan Uitwijk & Herstelplan
Correctief
Figuur 4 Overzicht Bedrijfscontinuïteitsplan (BCP)
BCM
Versie 1.3
27 juli 2010
12/23
2.3.1
Deelplannen van een calamiteitenplan
Escalatieplan Een escalatieplan geeft de criteria aan wanneer sprake is van een calamiteit, wie waarover beslist en wie wanneer moet worden gealarmeerd. Een incident kan uitgroeien tot een calamiteit en het moet duidelijk zijn wanneer dat gebeurt en wie daarover besluit. Daarnaast wordt in het escalatieplan aangegeven hoe de verantwoordelijkheden en bevoegdheden zijn belegd tijdens de calamiteit. Vooral de relatie tussen crisismanagement, verantwoordelijk voor de aansturing van de bestrijding van een calamiteit, ten opzichte van het lijnmanagement is hierbij essentieel. Bedrijfshulpverlening (BHV) heeft bijvoorbeeld bij een brand de bevoegdheid tot ontruiming van het gebouw, dat kan tegenstrijdig zijn met de belangen van het lijnmanagement, daarom is het belangrijk dat deze bevoegdheden duidelijk zijn. Communicatieplan In een communicatieplan wordt vastgelegd wie met wie tijdens een calamiteit moet en mag communiceren. Communicatie is een van de succesfactoren bij een calamiteit. Door duidelijk en concreet te communiceren over de aard en gevolgen van een calamiteit kan men bij alle betrokkenen begrip kweken voor de situatie. Hierbij kan men verschillende doelgroepen onderscheiden, zoals media, klanten, medewerkers en hulpverleners. Het crisisteam coördineert de communicatie naar deze doelgroepen. Meestal is de communicatiemanager verantwoordelijk voor de externe communicatie en stemt af met het crisisteam. Uitwijk- en herstelplan Het uitwijk- en herstelplan beschrijft op managementniveau de procedures om de uitwijk- en fallbackvoorzieningen in geval van een calamiteit in gebruik te nemen en vervolgens om weer terug te keren naar de normale bedrijfsvoeringsituatie. Bij uitwijk worden de belangrijkste ICT-systemen op een andere locatie (andere vestiging of bij een uitwijkcentrum) in gebruik genomen met de back-up gegevens. De procedure hiervoor hangt nauw samen met de gekozen technische oplossing en de organisatiestructuur en moet vooraf bij de betreffende medewerkers bekend zijn. Verder staat in het uitwijkplan aangegeven waar de verschillende medewerkers worden verwacht bij een alarmering, welke acties van hen worden verwacht, etc. Tevens voorziet het uitwijkplan in het inrichten van een crisiscentrum (mensen en middelen) van waaruit de activiteiten met betrekking tot de uitwijk kunnen worden aangestuurd. Bij calamiteiten waarbij de veiligheid van de medewerkers in het geding is, stemt de bedrijfshulpverlening (BHV) de activiteiten af met Openbare Orde en Veiligheidsdiensten (OOV: brandweer, ambulancediensten, politie en marechaussee) om de hulpverlening op gang te brengen. Dit betekent dat tevens een ontruimingsplan en procedures hoe te handelen bij brand, ongeval, inbraak, bomalarm, etc. aanwezig moeten zijn. Tevens vindt vanuit het crisiscentrum de persvoorlichting plaats.
BCM
Versie 1.3
27 juli 2010
13/23
Opleidingsplan In het opleidingsplan wordt aangegeven over welke expertise en vaardigheden de verschillende betrokkenen binnen de organisatie moeten beschikken en welke opleidingen nodig zijn om de vereiste kwaliteiten te verkrijgen. Bij een aantal calamiteiten wordt ook de BHV ingeschakeld om de persoonlijke veiligheid van de medewerkers te waarborgen. Gezien de koppeling met BHV is het te overwegen om een gezamenlijk opleidingsplan voor BCM en BHV op te stellen waarbij men inzicht krijgt in de totale opleidingsbehoefte voor calamiteitenmanagement, inclusief het bijbehorende budget. Oefenplan Het oefenplan beschrijft aan de hand van crisisscenario’s de procedures die worden beoefend, alsof er een calamiteit heeft plaatsgevonden. Oefeningen kunnen op verschillende manieren worden uitgevoerd. Zo kan men alleen een communicatieoefening houden, waarbij het escalatieproces en de alarmering van de betrokkenen wordt geoefend. Maar men kan ook daadwerkelijk een systeem uitwijken om het uitwijkplan in de praktijk te oefenen. Dit laatste heeft sterk de voorkeur, maar zal niet altijd haalbaar zijn. De bedrijfsvoering kan worden verstoord bij een uitwijktest van een kritiek systeem en dat is niet altijd acceptabel. Het oefenplan bevat ook de evaluatiecriteria aan de hand waarvan de mate van succes van de oefening of test beoordeeld wordt. Beheerplan Het beheerplan is noodzakelijk om het BCP up-to-date te houden. Om te beginnen dient een BCP een formele eigenaar te hebben en een calamiteitenbeheerder. De eigenaar is budgethouder voor alle activiteiten die voor beheer van het calamiteitenplan nodig zijn en opdrachtgever voor de calamiteitenbeheerder. Deze laatste heeft de verantwoordelijkheid voor het tijdig aanpassen op basis van bijvoorbeeld wijzigingen in systemen en bereikbaarheidsgegevens en de coördinatie van calamiteitenoefeningen. 2.4
Fase 4: Implementatie en beheer
De laatste fase beschrijft het inbedden van de plannen in de organisatie. Dit geschiedt door het uitvoeren van het Opleidingsplan, het Oefenplan (waarmee het escalatieplan, de uitwijk- en herstelplannen en het communicatieplan worden getest) en het aanwijzen van een Calamiteitenbeheerder voor structureel beheer van de plannen. Testen en oefenen In de laatste fase van het BCM-project maken we de stap van papier naar de praktijk. Dit betekent dat het BCP zoals dat in concept is vastgesteld zal worden getest en geoefend. In het oefenplan zijn hiervoor de lijnen uitgezet. Opstellen evaluatierapport Op basis van de testverslagen wordt een evaluatierapport opgesteld. In dit rapport wordt aangegeven hoe de tests zijn verlopen. Verder worden hierin voorstellen tot verbetering aangegeven. BCM
Versie 1.3
27 juli 2010
14/23
Aanpassen BCP Op basis van het evaluatierapport en de besluitvorming daarover, wordt het BCP aangepast. Borging Met het vaststellen van het BCP, wordt ook het beheerplan vastgesteld. Het beheerplan bevat een aantal taken, bevoegdheden en verantwoordelijkheden. Door het BCP vast te stellen worden deze automatisch en definitief toegewezen.
EscalatieEscalatieplan plan versie versie1.0 1.0
EscalatieEscalatieplan plan versie versie1.1 1.1
Uitwijk- en Uitwijk- en herstelherstelplannen plannen versie 1.0 versie 1.0
Uitwijk- en Uitwijk- en herstelherstelplannen plannen versie 1.1 versie 1.1 Oefening Oefening
CommuniCommunicatieplan catieplan versie versie1.0 1.0
EvaluatieEvaluatierapport rapport
CommuniCommunicatieplan catieplan versie versie1.1 1.1
OpleidingsOpleidingsplan plan versie versie1.0 1.0
OpleidingsOpleidingsplan plan versie versie1.1 1.1
Oefenplan Oefenplan versie versie1.0 1.0
Oefenplan Oefenplan versie versie1.1 1.1
Beheerplan Beheerplan versie versie1.0 1.0
Beheerplan Beheerplan versie versie1.1 1.1 Calamiteitenplan
Schrijffase
Oefen- en testfase
Schrijffase
Figuur 5 Van papier naar praktijk
Checklists Het BCP wordt uitgevoerd in de vorm van checklists. In de praktijk zal de situatie tijdens of vlak na een calamiteit er nèt iets anders uitzien dan voorzien in het BCP. Hoe gedetailleerder het BCP hoe kwetsbaarder het BCP is voor zulke afwijkingen. Een BCP op basis van een checklist is minder gedetailleerd, waardoor deze ook minder snel veroudert. Bovendien stimuleert een BCP op basis van een checklist de creativiteit. Beheer Tijdens beheer worden de activiteiten uitgevoerd, die zijn vastgesteld in het beheerplan. Dat wil zeggen dat regelmatig geoefend wordt (in enkele gevallen kan dat samen met BHV: bijvoorbeeld bij een ontruimingsoefening) en dat de resultaten van de evaluaties hiervan worden verwerkt in de plannen. Ook wordt het communicatieplan en opleidingsplan voorzien van een update bij wijzigingen in de organisatie.
BCM
Versie 1.3
27 juli 2010
15/23
2.5
Aandachtspunten • •
•
•
•
•
•
BCM
Management aandacht en commitment: zonder voldoende management aandacht en commitment wordt BCM een papieren tijger. Opleidingen: opleiden van de betreffende medewerkers is de eerste stap om inzicht te krijgen in de te nemen beslissingen en acties behorende bij BCM. Oefenen: door het oefenen van een aantal realistische calamiteitenscenario’s worden de medewerkers getraind en krijgt men inzicht in verbeterpunten. BCM onderdeel van elk nieuw project: op deze manier worden de risico’s van een nieuw systeem vroegtijdig onderkend en blijft BCM up-todate. BCM onderdeel van afspraken outsourcing: ook externe partijen kunnen een invloed hebben op de continuïteit van de dienstverlening. Door BCM op te nemen in de afspraken wordt vastgelegd aan welke eisen de externe partij moet voldoen en daarmee wordt ook duidelijk wat de impact op de bedrijfsvoering kan zijn. Invoering van nieuwe ICT-systemen. De calamiteitenbeheerder dient bij een ontwikkel- en migratie- of implementatietraject van een nieuw ICTsysteem te worden betrokken, om de gevolgen hiervan voor het BCP in kaart te kunnen brengen. Dit kan betekenen dat er gezorgd moet worden voor aanvullende technische voorzieningen, die in het Beveiligingsplan moeten worden opgenomen. Stel een procesbegeleider / projectleider aan met voldoende mandaat: op deze manier verzekert de organisatie zich BCM de aandacht krijgt die nodig is om de benodigde veranderingen te realiseren.
Versie 1.3
27 juli 2010
16/23
3
LESSEN UIT DE PRAKTIJK Continuïteitsnormen vitale bedrijfsprocessen Veel organisaties kennen een Service Level Agreement waarin de service levels voor diensten zijn aangegeven. Deze SLA’s geven meestal alleen de service levels weer voor Business As Usual en niet voor calamiteitensituaties. Bij calamiteiten staat de continuïteit van de organisatie op het spel. Het is dan ook de organisatie, in casu de proceseigenaren, die moeten aangeven welke processen van vitaal belang zijn en wat bij een calamiteit een acceptabele onderbreking is van deze processen (deze kunnen aanmerkelijk anders zijn dan de service levels in de SLA’s). De ervaring leert dat het in de praktijk de nodige inspanning vergt om de primaire bedrijfsprocessen te onderkennen en de bijbehorende continuïteitsnormen te definiëren. Vaak onderschat men de kosten die verbonden zijn met de gestelde beschikbaarheideisen. Hoe korter de maximaal acceptabele onderbreking bij een calamiteit, hoe duurder. Denk daarbij aan de kosten voor ‘hot standby’ versus ‘uitwijk’ op een andere locatie (die binnen een dag wordt geïnstalleerd), zie ook figuur 3 in paragraaf 2.1. Uiteindelijk zal de organisatie de kosten hiervoor moeten dragen, ook al worden deze uit het ICT-budget gehaald. Afhankelijkheden van ICT systemen Bekend is de risicoanalyse, die uitgevoerd wordt bij het opstellen van een beveiligingsplan. Deze gegevens kunnen ook gebruikt worden voor het opstellen van een calamiteitenplan. Niet alle ICT-systemen zijn even belangrijk voor de ondersteuning van een vitaal bedrijfsproces en voor sommige systemen kan bij een calamiteit tijdelijk een workaround worden toegepast, waardoor het proces toch weer binnen de gestelde tijd operationeel kan zijn. Bij deze analyse mag de logistieke keten niet worden vergeten. De afhankelijkheden van bijvoorbeeld leveranciers van diensten voor het primaire proces en distributeurs die de producten naar de klant transporteren voor de primaire processen is vaak groter dan men denkt. Data De voor een organisatie unieke data behoort, zoals al eerder is opgemerkt, tot de kroonjuwelen van een organisatie. Het niet kunnen leveren van een dienst, omdat de gegevens over een aanvraag niet meer beschikbaar zijn, kan het imago van een organisatie ernstig schaden. Het gaat hierbij niet alleen om digitale gegevens, die men door het maken en veilig opslaan van back-ups kan veiligstellen, maar ook om data op papier. Denk hierbij aan lopende dossiers of post, die geen onderdeel uitmaken van de back-up cyclus van de ICT-afdeling. Bij het terughalen van die gegevens is men dan afhankelijk van de welwillende medewerking van klanten.
BCM
Versie 1.3
27 juli 2010
17/23
Configuratiedata van systemen c.q. servers kunnen een ondergeschoven kindje zijn. De beheerders hebben vaak de systemen zelf geïnstalleerd en geconfigureerd en zijn van mening, dat zij dit een tweede maal ook kunnen. Echter bij een uitwijk staat men onder grote tijdsdruk en kan een nieuwe installatie van een systeem mislukken doordat een vinkje, dat later is aangebracht bij een wijziging, over het hoofd wordt gezien. Dit vergt naast goed configuratie- en wijzigingsbeheer ook back-up van configuratiedata. Continuïteitsstrategie Bij het opstellen van een continuïteitsstrategie wordt meestal als eerste gedacht aan uitwijk van essentiële ICT-systemen met bijbehorende data naar een uitwijkcentrum. Bij grote organisaties met meerdere vestigingen valt het te overwegen om de ontwikkel- en testomgeving op een andere locatie te plaatsen als de productieomgeving. Bij uitval van de productieomgeving kan men dan intern uitwijken naar de ontwikkel- en testomgeving. Uitwijk hoeft niet altijd de meest voor de hand liggende oplossing te zijn. Soms zijn de continuïteitsnormen zodanig ruim dat men bij een calamiteit kan volstaan met het huren of aanschaffen van nieuwe apparatuur ter vervanging van de apparatuur die verloren is gegaan. Natuurlijk is uitwijk van de centrale ICT-systemen een belangrijke voorwaarde voor de continuïteit van een bedrijf, maar minstens zo belangrijk is dat er ingerichte werkplekken zijn met bureau, stoel, telefoon, een werkstation met de juiste clients en toegang tot de netwerkinfrastructuur. Dit geldt ook als de reguliere systemen nog wel operationeel zijn, maar de medewerkers ten gevolge van een evacuatie vanaf een andere werkplek (op een andere vestiging, thuis of in een gehuurde bedrijfsruimte) moeten kunnen werken. BCM is dus niet beperkt tot de ICT-afdeling. Een ander punt voor de strategie is de prioriteitsstelling bij uitwijk van bedrijfsprocessen. Het lijkt triviaal, maar het proces klantcontact heeft in veel gevallen de hoogste prioriteit. Is men niet bereikbaar voor de klant (telefonisch of via internet) dan loopt men snel imagoschade op. Afstemmen plannen Het is in de praktijk niet altijd eenvoudig om beveiligingsplan en calamiteitenplan met elkaar in evenwicht te brengen. Organisaties zijn snel geneigd om vanuit ICT een groot aantal preventieve maatregelen (beveiligingsplan) te bedenken. Deze maatregelen moeten wel in verhouding staan met de continuïteitsrisico’s, die de organisatie loopt. Het is vanuit BCM-oogpunt niet zinvol om bijvoorbeeld redundante netwerkapparatuur in één ruimte te plaatsen. Bij uitval van deze ruimte, wordt alle apparatuur geraakt en heeft aanbrengen van redundantie geen enkele zin.
BCM
Versie 1.3
27 juli 2010
18/23
In een calamiteitenplan kennen we niet alleen correctieve maatregelen, die de gevolgen van een calamiteit beperken, maar ook preparatoire maatregelen. Deze laatste maatregelen maken bijvoorbeeld uitwijk mogelijk. Een voorbeeld van zo’n preparatoire maatregel is het opslaan van een back-up op een andere locatie. Of een afspraak met een telecomprovider dat deze, bij optreden van een calamiteit, communicatielijnen herrouteert en extra bandbreedte aanlevert naar een uitwijklocatie. Bij het optreden van een calamiteit heeft de bedrijfshulpverlening (BHV) als eerste taak om de veiligheid van alle personen te waarborgen. Hiervoor is een koppeling tussen het BHV-plan en de andere plannen binnen het calamiteitenplan nodig. Enerzijds om doublures in de maatregelen te voorkomen, anderzijds om te voorkomen, dat de medewerkers tegenstrijdige opdrachten krijgen waardoor hun persoonlijke veiligheid in gevaar kan komen. Implementatie Vaak is een ICT-afdeling gewend te denken voor hun klanten: de organisatie. Zo denkt de ICT-afdeling te weten welke continuïteitseisen de business vraagt. De business daarentegen gaat er vaak vanuit dat de ICT-afdeling ondanks alle budget- en capaciteitsbeperkingen alles voor 100% geregeld heeft. Zo kan het voorkomen dat de ICT-afdeling wel aandacht heeft geschonken aan preventieve maatregelen, maar de extra maatregelen, die uitwijk moeten ondersteunen, is vergeten. Alle uitwijkplannen en voorschriften ten spijt heeft men hierdoor geen uitwijkmogelijkheid en is alle moeite voor niets. Elke wijziging van de infrastructuur of de ICT-omgeving moet via een wijzigingsprocedure ook op zijn relatie met BCM worden beoordeeld. Komt door zo’n wijziging de uitvoering van het calamiteitenplan in gevaar, dan dienen aanvullende maatregelen te worden genomen om dit te voorkomen. Oefenen, oefenen en nog eens oefenen Op papier zien de plannen er vaak goed uit, maar helaas de opsteller van zo’n plan is ook maar een mens. Ondanks de goede bedoelingen kan hij of zij zaken over het hoofd zien, ook al wordt het plan door een team van deskundigen gereviewd. Bij het oefenen van de plannen snijdt het mes aan twee kanten. Enerzijds kunnen denkfouten in de plannen worden ontdekt en verbeterd. Anderzijds worden de betreffende medewerkers getraind in de uitvoering van het plan. Evenals bij ontruimingsoefeningen tijdens een zware regenbui kan de motivatie niet voor iedereen even hoog zijn, maar de inspanning weegt wel degelijk op tegen het resultaat. Je zult maar bij een calamiteit tegen het feit aanlopen dat het uitwijksysteem voor het plaatsen van de back-up een ander type tapereader heeft dan het productiesysteem.
BCM
Versie 1.3
27 juli 2010
19/23
Borging Een aantal zaken zijn cruciaal voor de borging van BCM in een organisatie. Zo is er voldoende aandacht en commitment van het management nodig om te voorkomen dat BCM slechts een papieren tijger wordt. Er moet bijvoorbeeld ruimte zijn voor het opleiden van medewerkers, zodat voor iedereen duidelijk wordt wat BCM inhoudt en welke beslissingen en acties daarbij horen. Alleen door (realistische) BCM scenario’s te oefenen worden de medewerkers getraind en krijgt men inzicht in de verbeterpunten. Zo wordt de kwaliteit van de BCM procedures en de kennis van de medewerkers steeds verbeterd. Tot slot moet BCM ook een integraal onderdeel worden van het bedrijfsproces, zodat overal waar het relevant is wordt nagegaan of er een impact is op BCM of dat BCM een impact heeft op het bedrijfsproces. Daarmee blijven de procedures actueel en sluit het zo goed mogelijk aan op de bedrijfsvoering.
BCM
Versie 1.3
27 juli 2010
20/23
BIJLAGE A: INHOUDSOPGAVE CALAMITEITENPLAN
Het calamiteitenplan bestaat uit de volgende plannen: Escalatieplan 1. Inleiding en achtergrond; 2. Beschrijving bedreigingen en calamiteitenscenario's; 3. Beschrijving criteria en procedures voor het bepalen of sprake is van een calamiteit; 4. Beschrijving organisatie en overlegstructuur bij calamiteitenscenario's; 5. Beschrijving faciliteiten voor crisisteam. Uitwijk- en herstelplan 1. Inleiding en achtergrond; 2. Activering: wanneer treed het uitwijk- en herstelplan in werking? 3. Fasering van de uitwijk en het herstel: a. Aanpak; b. Aanpak binnen en buiten kantooruren; c. Fasering; 4. Invulling functies bij calamiteiten en besluitvorming; 5. Checklist per fase. Communicatieplan 1. Inleiding en achtergrond; 2. Communicatiebeleid met betrekking tot een calamiteit: a. Doelstelling communicatie; b. Analyse doelgroepen; c. Wie is bevoegd voor communicatie met doelgroepen; d. Communicatie met de verschillende doelgroepen; 3. Communicatieprocedures: a. Per doelgroep communicatieprocedure; 4. Bereikbaarheidsgegevens: a. Algemeen; b. Crisisteam; c. Communicatie ten behoeve van calamiteitenmanagement; d. Communicatie met de doelgroepen.
BCM
Versie 1.3
27 juli 2010
21/23
Opleidingsplan 1. Overzicht betrokken functionarissen bij proces BCM; 2. Overzicht betrokken functionarissen bij Continuïteitsplan; 3. Overzicht benodigde kennis, kunde en vaardigheden per functionaris; 4. Opleidingsactiviteiten op basis van benodigde vs. aanwezige kennis, kunde en vaardigheden; 5. Kosten van opleidingsactiviteiten; 6. Beschrijving waarop "nieuwe" medewerkers die een rol krijgen binnen BCM opgeleid/getraind worden; 7. Wijze waarop opleidingsplan in het kader van BCM wordt geborgd binnen het HRM-proces (Human Resource Management, bijv. afstemming met persoonlijke ontwikkel/opleidingsplannen). Oefenplan per calamiteitenscenario 1. Beschrijving wijze van testen; 2. Beschrijving benodigde middelen; 3. Beschrijving impact op bedrijfsvoering; 4. Beschrijving evaluatiecriteria. Beheerplan 1. Wie is eigenaar van het BCP? 2. Wie is beheerder van het BCP? 3. Welke taken, verantwoordelijkheden en bevoegdheden hebben eigenaar en beheerder? 4. Welke taken, verantwoordelijkheden en bevoegdheden hebben proceseigenaren in het up-to-date houden van het BCP? 5. Welke taken, verantwoordelijkheden en bevoegdheden hebben interne leveranciers in het up-to-date houden van het BCP? 6. Welke middelen zijn gemoeid met het up-to-date houden van het BCP en wie betaalt dat? 7. Welke middelen zijn gemoeid met het beschikbaar krijgen/houden van de uitwijk en herstelvoorzieningen en wie betaalt dat? 8. Hoe vaak wordt het BCP aan de orde gesteld in het directieoverleg? 9. Hoe vaak wordt het BCP onderworpen aan een interne evaluatie? 10. Hoe vaak wordt het BCP onderworpen aan een externe evaluatie?
BCM
Versie 1.3
27 juli 2010
22/23
BIJLAGE B: WOORDENLIJST
Begrip
Omschrijving
Asset
Alle middelen van een organisatie om de bedrijfsprocessen te kunnen uitvoeren: grondstoffen, faciliteiten (ICT en non-ICT waaronder productiemiddelen), mensen / organisatie, gebouwen, informatie.
Backoffice
Het gedeelte van de organisatie waar bedrijfsprocessen worden uitgevoerd, die niet direct contact hebben met de klant.
BCP
Business Continuïteit Plan: een goed onderbouwd plan dat bij het optreden van een calamiteit gebruikt kan worden om de gevolgen hiervan te beperken.
BHV
De bedrijfshulpverlening is een team van deskundigen op het gebied van hulpverlening, gericht op veiligheid en gezondheid op het werk.
DoS
Een Denial of Service aanval is een aanval die tot doel heeft de gebruikers het rechtmatige gebruik van een dienst te ontzeggen
DDoS
Distributed Denial of Service is een DoS aanval waarbij vele systemen op een netwerk worden ingezet om de aanvalskracht te vermenigvuldigen. Hierbij worden vaak gekaapte computers (bots) gebruikt.
Fallback
Een ander gebouw of voorziening die gebruikt kan worden als het oorspronkelijke gebouw of voorziening niet bruikbaar of beschikbaar is.
Frontoffice
Het gedeelte van de organisatie dat contact heeft met de klant.
Risico analyse
Bij een risicoanalyse worden bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de kans van het optreden ervan bepaald en wordt vervolgens berekend wat als gevolg de schade is die op zou kunnen optreden als een bedreiging zich daadwerkelijk voor doet.
RPO
Recovery Point Objective: de meest recente datum van de laatste backup, die toelaatbaar is zijn.
RTO
Recovery Time Objective: Tijd waarbinnen een bedrijfsproces weer “up and running” moet zijn.
Smoking hole
Een situatie na een calamiteit waarbij zowel het gebouw als alle systemen volledig en langdurig onbruikbaar zijn.
BCM
Versie 1.3
27 juli 2010
23/23
