Business Continuity Management Pieter de Ruiter 1 / MAXIMAAL DRIE WOORDEN
Lelystad, 29 juni 2009
AGENDA
• Waarom Business Continuity Management? • Hoe pakken we BCM aan? • Wat is de relatie van BCM met SABSA?
SCS Lelystad en mijn roots in beveiliging
Pieter de Ruiter Senior Business Consultant Getronics
Botter 15-90 8232 JR Lelystad Postbus 2228 8203 AE Lelystad The Netherlands M +31 (0)650676656
F +31 (0)320255255 E
[email protected] http://www.getronics.nl
The heart of Getronics Business Continuity operations Apeldoorn & Amsterdam included
Getronics Security & Continuity Services
Getronics Datacenters: Lelystad
• Gestart in 1981 als Computer Uitwijk Centrum (CUC) in Lelystad • 120 medewerkers • Maakt deel uit van GDC (Amsterdam, Apeldoorn, Lelystad, Schiphol Oost, Aalsmeer etc etc…) • Getronics is marktleider Business Continuity in Nederland • Lid van BCI (Business Continuity Institute) • Getronics Continuity Services richt zich op - financiële sector - lokale overheden - zakelijke dienstverlening
Portfolio
TU Delft
Pandemie
Definities Definitie
Business Continuity
Business Continuity is het geheel van maatregelen welke noodzakelijk is om de mogelijke interne en externe verstoringen op de processen van de organisatie tot een aanvaardbaar niveau te beperken. Definitie
Business Continuity Management BCI “BCM is een holistisch proces om bedreigingen met een negatieve impact te identificeren en biedt daarbij een model aan om veerkrachtig te worden en effectieve maatregelen in te zetten ter bewaking van de belangen van stakeholders, reputatie, merk en waardegenererende activiteiten”.
Doelstelling van Business Continuity Management
Volledig getest & effectief BCM
A Performance niveau
B
Geen BCM – Geluk
C
Tijd
Kritiek herstel punt
Geen BCM – Hoe nu verder??
..... No Pain – No Gain!
Innovatieve Kwaliteit Standaard
BS:25999-part 1 (2006) – “Code of Practice” – Do‟s en Don‟ts – Goede ideeën – Project verankering – Breder begrip continuïteit
BS:25999-part 2 (2007) – PDCA – Auditable activiteiten – Conformiteit – Kwaliteit – Vertrouwen
Generieke aanpak BCM Levencyclus (BS25999)
• • •
• •
BCM is een proces BS25999 „code of best practice‟ Geadopteerd door Getronics als guideline Gebaseerd op Plan, Do Check, Act Methodiek
– Overall Programma Management – Understand, het in kaart brengen van organisatie en bepalen van eisen – BCM Strategy, vaststellen van de strategie – Develop en implement, het opstellen en implementeren van de plannen – Exercise and improve, oefenen en optimaliseren – Embed, borging van BCM in de organisatie
BS25999-2 / BCMS
Plan
Do
Act
Check
Bron: BSI Committee BCM/001 Business continuity management
BS25999-1 en BS25999-2
BS25999-2 / BCMS Hoofdgroepen
1. 2. 3. 4. 5. 6. 7. 8. 9.
Plan
Do
Check
Act
Planning van het BCMS
Uitvoering van het BCMS
Monitoring van het BCMS
Continue onderhoud en verbetering van het BCMS
Scope Doelstellingen BCM beleid Communicatie Resources Training Inbedding Documentatie Controle mechanismen …
ORGANISATIE!
1. 2.
3. 4. 5. 6. 7.
Business impact analyse Risico assessment BCM Strategie BCM organisatie Testen Onderhoud Audit
UITVOERING!
1. 2. 3.
Interne audit Onderzoek input Onderzoek output
1. 2.
3. 4.
MONITORING!
Continue verbetering Correctieve acties Preventieve acties Gebaseerd op terugkoppeling!!!
CONTROLE!
Uitvoering BIA Stakeholders
Organisatie Leveranciers en partners Product/Dienst
Activiteit
Visie en Doelen
Product/dienst
Activiteit
Activiteit
Product/dienst
Activiteit
Activiteit
Ondersteunende activititeiten Middelen
Ondersteunende activititeiten Middelen
Activiteit
Strategie plannen
Klanten
Uitvoering BIA Onderlinge afhankelijkheden Stakeholders
Organisatie Leveranciers en partners Product/Dient Product/service
Activiteit
Visie en Doelen
Product/dienst
Activiteit Activiteit
Activiteit Activiteit
Product/dienst
Activiteit
Activiteit
Ondersteunende activititeiten
Ondersteunende activititeiten
Middelen
Middelen
Middelen
Activiteit
Strategie plannen
Klanten
Performance niveau
Uitvoering BIA Maximaal tolerabele duur van disruptie
Activiteit M.T.D.
Minimum niveau Tijd voor herstellen activiteit
= RTO
Tijd voor herstellen normaal activiteitenniveau
Tijd
De hedendaagse BCM-manager en zijn uitdagingen
Medewerkers
Plannen
Compliance
maken
Risico Analyse Processen
Outsourcing
Mngt informatie
Crisis Management
Business Impact Analyse Testen
informeren
Leveranciers
Gegevens beheren
Hoe kunnen we de BCM-manager helpen met zijn vele taken? Structuur, standaardisatie en normalisatie!!! BIA Pro10 Medewerkers Risk BIA LDRPS10 Assessment Pro10 Supply Incident Workforce Compliance Executive Testing Chain API Manager Mngt. Mngt. NōtiFind Dashboards Scorecard Meest Voor Biedt het innoverende uitvoeren eencommand solide van tool Een Deze Alle Verzameld Deze online plannen applicatie tool stelt kritische moeten zorgt u in Een krachtig om methodologie een BC business plannen voor impact mee het te center Bij voor getest staat elke informatie Hoe de voor om applicatie worden. staat uitwisseling de coordinatie van juiste uw Alle van emergency notificatie uitvoeren analyse ee risico van testrapportages tijdens vragen medewerkers organisatie gegevens de bouwen een Continuity tevan stellen calamiteit. ervoor? met welke staan aan alle systeem voor het assessment Processen nodig hier Eventueel ConneXion andere uw iniswelke leveranciers, voor applicatien ten wordt ook en opzichte tijdens nodig een oproepen van duizende outsourcing van zijn binnen een dashboard een alsOutsourcing calamiteit bewijslast. Continuity standaard partner ter personen tegelijkertijd. enz. beschikking zoals Dit ConneXion. de alles BS25999. gesteld voor het welke veiligstellen zorgt voor van een de real-time supplyoverzicht. chain.
Risk Plannen Assessment
API
Compliance
Analyse Compliance Scorecard Mngt informatie
Leveranciers Incident Manager
LDRPS Crisis Management
Business Executive Impact Dashboards Analyse Testen
NōtiFind
informeren
maken
Risico
Workforce Mngt
Gegevens beheren Testing
Supply Chain Mngt
Standaardisatie en normalisatie Hulpmiddel Strohl
On Demand Essential / Professional
License/hosted Professional / Enterprise
BIA
Incident Manager
Notifind
Architectuur algemeen
22 / MAXIMAAL DRIE WOORDEN
Architectuur algemeen
23 / MAXIMAAL DRIE WOORDEN
Organisatie Architectuur
Business Architecture
Information Architecture
Application Architecture
Infrastructure Architecture
Business Continuity & Risk Management Architecture
Relatie BS25999 & SABSA Initiate
Executive management
BS25999-1 Code of Practice BS25999-2 the Specification & SABSA Method
BIA Professional
Scope resources Buy-in
Operations management Complete questionaire Technical management
Present BIA/ RA Report Execute questionaire BIA/RA
Review impacts and Risks
Operations coordination
Prepare Business Continuity Resource Requirements
Review Business Continuity Strategy options
Approve Business Continuity Strategy Business Continuity Solution Outline
Technical coordination
Continuity planner
Prepare questionaire BIA/RA
Analyze questionaire
BS25999-1
Prepare BIA/RA Report
Present BIA/RA Report
Collect requirements
Identify, Cost and present Alternatives
Determining Business Continuity Strategy
Contextual layer : business
Conceptual Layer
BS25999-2 / SABSA
Business Continuity Solution High Level Design
Business Continuity Solution Detail Design
Implementation Plan Business Continuity Solution
A
Understanding the organisation
SABSA
Implementation Business Continuity Solution
Developing and implementing a BCM response
Logical Layer
Physical layer
Component Layer
BCM-programme management / Operational Layer
LDRPS, Notifind, Incident Manager
Executive management
Approve Plan
Operations management Approve Business Continuity Response Organisation
Technical management
Identify Assign Business Continuity Response Organisation Members
Develop / Approve Escalation Plan
Approve Notification Procedures
Define Team Actions
Identify Define Team Recovery Inventories
Embedding Business Continuity
Operations coordination
Technical coordination
Continuity planner
A
Define Business Continuity Response Organisation
BS25999-1
Define Escalation Plan
Develop Notification Procedures
Create Model Team Action Plans
B
Developing and implementing a BCM response
SABSA
BS25999-2 / SABSA
Physical layer
Develop Plan Testing Procedures
Exercising, maintaining and reviewing BCM Arrangements
25 Logical Layer
Develop Plan Maintenance Procedures
Component Layer
BCM-programme management / Operational Layer
Scope resources Buy-in
B
Vragen???
Pieter de Ruiter Senior Business Consultant Getronics
Botter 15-90 8232 JR Lelystad Postbus 2228 8203 AE Lelystad The Netherlands M +31 (0)650676656
F +31 (0)320255255 E
[email protected] http://www.getronics.nl
27 / MAXIMAAL DRIE WOORDEN