ZBC Kennisbank

Voorbeeld plan van aanpak fase 2 van uw Business Continuity Plan BCP of calamiteitenplan

 

Inhoudsopgave    

  1. Inleiding
  2. Inleiding Plan Business Continuity Plan
  3. Doelstelling, aanpak en succesfactoren
  4. Organisatie
  5. Activiteitenplan
  6. Nawoord 

1. Inleiding

Veel bedrijven hikken aan tegen het opstellen van een Business Continuity plan, vaak omdat ze niet weten waar ze moeten beginnen of omdat ze denken, dat dit grote investeringen met zich meebrengt. In de praktijk blijkt het echter meestal mee te vallen, als men gebruik kan maken van een aantal werkbare sjablonen. In het artikel ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’ gaan we in op zo’n aanpak met behulp van sjablonen en geven we aan welke keuzes er gemaakt moeten worden. In het artikel ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’ reiken we u de sjablonen aan, waarmee u de globale risico-inventarisatie kunt uitvoeren om vervolgens in fase 2 gericht te kunnen focussen op de geïnventariseerde risico’s.
In dit artikel geven we u een praktijkvoorbeeld van zo’n Business Continuity Plan (fase 2), waarbij is ingebed, dat het plan actueel blijft nadat het eenmaal is opgesteld. De organisatie in het voorbeeld noemen we PPPP.     

2. Inleiding Plan Business Continuity Plan

2.1 Aanleiding en probleemstelling *

De stuurgroep ‘Informatievoorziening’ heeft vastgesteld, dat de huidige plannen een onvoldoende beschrijving geven van wat er gedaan moet worden in geval van een calamiteit en met name van wat er moet gebeuren om in geval van een calamiteit, de schade zoveel mogelijk te beperken en de bedrijfsvoering zo snel mogelijk weer op te starten. Een belangrijke oorzaak hiervan is een gebrek aan bewustzijn van de risico’s, die beveiligingsincidenten in het algemeen met zich meebrengen.    

Bestaande producten, waarop het Business Continuity Plan (BCP) dient aan te sluiten zijn:    

  • het bedrijfsnoodplan, waarin beschreven staat wat er gedaan moet worden bij fysieke calamiteiten om de schade zoveel mogelijk te beperken en het gevaar voor de medewerkers te reduceren;
  • het uitwijkplan, waarin beschreven staat hoe de uitwijk van de centrale sever plaats zal vinden in geval van een calamiteit.

2.2 Inhoud van dit plan van aanpak

Dit plan beoogt zicht te geven op:    

  • wat er gedaan moet worden (hoofdstuk 2);
  • de organisatie van het project (hoofdstuk 3);
  • de globale inspanning, de kosten en de planning van de uit te voeren activiteiten (hoofdstuk 4).

3. Doelstelling, aanpak en succesfactoren

3.1 Doelstelling project

De doelstellingen van dit project zijn:    

  • de continuïteit van de primaire bedrijfsvoering van het PPPP in het geval van calamiteiten te garanderen door:
    • het definiëren van preventieve maatregelen;
    • het opstellen van een draaiboek in geval van een calamiteit;
    • het verhogen van het beveiligingsbewustzijn van afdelingshoofden en functioneel applicatiebeheerders binnen PPPP.

3.2 Aanpak

De projectaanpak wordt beschreven aan de hand van de volgende afbeelding:

plan_bcp1

Er wordt gestart met een inventarisatieronde over de afdelingen. Doel hiervan is, de risico’s en aandachtspunten in kaart brengen m.b.t. de beveiliging in het algemeen en het geval van een calamiteit in het bijzonder.

Op grond van deze inventarisatie worden de totale risico’s voor het PPPP geanalyseerd en worden maatregelen gedefinieerd. Deze kunnen betrekking hebben op:    

  • aanpassing van de uitwijkvoorziening;
  • het op te stellen draaiboek (reactief);
  • preventieve maatregelen.

Vervolgens worden deze maatregelen nader uitgewerkt en vastgelegd.    

In de aanpak wordt ervan uitgegaan, dat PPPP zelf in staat is om invulling te geven aan het opstellen van dit Business Continuity Plan (BCP).    

De inspanning van ZBC zal zich met name richten op:    

  • het opstellen van plannen;
  • het uitvoeren van een inventarisatieronde, om het bewustzijn te verhogen en vervolgens maatregelen te definiëren;
  • het aanmaken sjablonen, waarmee PPPP aan de slag kan;
  • begeleiding en review.

3.3 Kritische Succesfactoren

Gezien de cultuur van PPPP, is het risico zeer aanzienlijk, dat het gecreëerde bewustzijn snel zal verdampen en het Business Continuity Plan (BCP) spoedig verouderd zal zijn.    

  • Er zal daadwerkelijke besluitvorming moeten plaatsvinden door de stuurgroep en de directie omtrent nieuwe projecten en wijzigingsvoorstellen, waarbij de beveiligingsrisico’s expliciet een criterium vormen, dat getoetst dient te worden op de vastgestelde beleidsuitgangspunten in het informatiebeveiligingsbeleid.
  • Jaarlijks wordt door de IAD een audit georganiseerd, waarbij getoetst wordt of het vastgestelde beleid gehandhaafd is en het beveiligingsniveau niet is teruggelopen.

Belangrijke succesfactoren voor het project zijn:    

  • beschikbaarheid en aandacht van afdelingsmanagers en functioneel applicatiebeheerders;
  • het nakomen van afgesproken acties.
     

4. Organisatie

De projectorganisatie heeft de volgende structuur:

plan_bcp2

Opdrachtgever is de stuurgroep ‘Informatievoorziening’.    

De stuurgroep is verantwoordelijk voor de vaststelling van het Business Continuity Plan (BCP). De stuurgroep is bevoegd om namens  PPPP te bepalen, welke risico’s acceptabel zijn en wat een acceptabele kritische tijdsduur is voor continuering van bedrijfsprocessen in het geval van een calamiteit.    

Actiehouder is xxxx. Hij is de eigenaar van dit plan en verantwoordelijk voor het doen uitvoeren van dit plan. Hij is bevoegd om beslissingen te nemen over wijzigingen op dit plan, waarover hij achteraf verantwoording dient af te leggen aan de stuurgroep.    

Externe begeleiding wordt gegeven door ZBC. ZBC is verantwoordelijk voor het geven van inzicht in beveiligingsrisico’s bij de betrokkenen, het voorstellen van een samenhangend pakket aan maatregelen en het aanleveren van sjablonen, waarmee de producten van dit project gerealiseerd kunnen worden. ZBC is bevoegd om wijzigingen voor te stellen en probleemrapportages te geven aan de actiehouder.    

De afdelingshoofden zijn verantwoordelijk voor de inventarisatie van alle kritische componenten in geval van een calamiteit en het (doen) uitvoeren van overeengekomen maatregelen. Voorts zijn zij in het kader van het informatiebeveiligingsbeleid verantwoordelijk voor de naleving van de beleidsuitgangspunten.    

Hoofd ICT is verantwoordelijk voor de realisatie van een up-to-date uitwijkplan, waarin de uitwijk van alle noodzakelijke centrale ICT-voorzieningen geregeld is. Tevens is hij verantwoordelijk voor de daadwerkelijke invulling van de sjablonen. De uitvoering gebeurt door medewerkers van de ICT-afdeling.    

Hoofd AZ is verantwoordelijk voor de realisatie van de fysieke en infrastructurele maatregelen, welke tijdens dit project vastgesteld worden.     

5. Activiteitenplan

5.1 Hoofdactiviteiten

1 Planvorming 
2 Inventarisatie risico’s, behoeften en mogelijkheden
2.1     Afstemming risico’s en behoeften gebruikersafdelingen
2.2     Bepalen uitwijkmogelijkheden voor de rest van de technische infrastructuur
2.3     Definitie maatregelen
2.4     Opstellen oplossingsvoorstel en actieplan
2.5     Accorderen oplossingsvoorstel en actieplan
3 Opstellen BCP
3.1     Opstellen basissjablonen
3.2     Bepalen uitwijkscenario en uitwijkplannen per platform
3.3     Ontwikkelen minimaal draaiboek
3.4     Realiseren preventieve maatregelen
3.5     Beleggen en vastleggen structurele verantwoordelijkheden
3.6     Accorderen Business Continuity Plan (BCP)
4 Testen BCP
4.1     Opstellen testplan
4.2     Uitvoeren test volgens het Business Continuity Plan (BCP)
4.3     Zonodig bijstellen van het Business Continuity Plan (BCP)

5.2 Fase 2: Onderzoeken risico’s, behoeften en mogelijkheden

2 Onderzoeken risico’s, behoeften en mogelijkheden Uitvoering Effort (uur) Week#
2.1 Afstemming risico’s en behoeften gebruikersafdelingen Afd. hoofden, FAB, ZBC N*348  28-37
2.2 Bepalen uitwijkmogelijkheden voor de rest van de technische infrastructuur Netwerkbeheerder
Hoofd ICT
728  28-37
2.3 Definitie maatregelen Afd. hoofden, FAB, ZBC N*148  29-39
2.4 Opstellen oplossingsvoorstel en actieplan ZBC 16 39-40
2.5 Accorderen oplossingsvoorstel en actieplan Stuurgroep 1 41
2.6 Communicatietijd/regelwerk Hoofd  ICT
ActiehouderZBC
88 12   28-41

 

In activiteit 2.1 krijgen de afdelingshoofden van tevoren een vragenlijst toegestuurd om deze gedeeltelijk in te vullen. Vervolgens worden gesprekken gepland met elk afdelingshoofd en de FAB om met name dieper in te gaan op de risico’s en bedreigingen en de wijze waarop deze afgedekt kunnen worden.    

De intussen gestarte actie binnen de ICT-afdeling om de uitwijkmogelijkheden van de rest van de infrastructuur te bepalen, wordt ondergebracht in activiteit 2.2.    

In activiteit 2.3 worden de verzamelde gegevens uit act 2.1 vastgelegd en geanalyseerd en worden maatregelen gedefinieerd, welke vervolgens weer worden afgestemd met de betrokkenen.    

De resultaten uit 2.3 worden in activiteit 2.4 uitgewerkt tot een oplossingsvoorstel, waarin ook wordt aangegeven, welke risico’s niet worden afgedekt. Tevens wordt een actieplan uitgewerkt.    

In activiteit 2.5 accordeert de stuurgroep het oplossingsvoorstel en het actieplan en accepteert de niet afgedekte risico’s.    

5.3 Fase 3: Opstellen BCP

3 Opstellen BCP Uitvoering Effort (uur) Week#
3.1 Opstellen basis-sjablonen Hoofd ICT
Actiehouder ZBC
33 16   42-43
3.2 Bepalen uitwijkscenario en uitwijkplannen per platform Netwerkbeheerder?Hoofd ICT 488  40-46
3.3 Ontwikkelen minimaal draaiboek Div. betrokkenen
Coördinator *1ZBC
4040 8   43-47
3.4 Realiseren preventieve maatregelen Div. betrokkenen
Coördinator ZBC
4024 4   43-47
3.5 Beleggen en vastleggen structurele verantwoordelijkheden Div. betrokkenen
Coördinator ZBC
2424 12   43-47
3.6 Accorderen Business Continuity Plan (BCP) Stuurgroep 1 28-41
3 .7 Communicatietijd/ regelwerk Hoofd ICT
Actiehouder ZBC
88 12   28-41
*
Er zal iemand aangewezen moeten worden, die ervoor zorgt, dat de taken uitgezet en weer gebundeld worden en die zelf ook een stuk invulling geeft aan het PPPP-brede stuk. Dit geldt ook voor de volgende twee activiteiten. Als deze rol door ZBC ingevuld wordt, vervallen de andere voor ZBC gespecificeerde uren in act. 3.3-3.5.

 

In activiteit 3.1 worden de basissjablonen opgesteld conform de behoeften van het PPPP. Op basis van bestaande sjablonen wordt hierbij een selectie gemaakt voor de onderdelen, die de PPPP-sjablonen moeten bevatten.    

In activiteit 3.2 wordt per platform het uitwijkplan gedefinieerd en worden de onderlinge afhankelijkheden bepaald en vastgelegd in het uitwijkscenario.    

In activiteit 3.3 wordt invulling gegeven aan het draaiboek, zoals dat geldt tijdens een evt. optredende calamiteit. Hierbij is het van belang, dat m.n. verantwoordelijkheden en bevoegdheden eenduidig worden toegekend.    

In activiteit 3.4 worden alle zaken gerealiseerd, die nu geregeld moeten worden om in het geval van een calamiteit ook daadwerkelijk uit te kunnen wijken. Dit varieert van de calamiteitenschakeling van KPN, afspraken met leveranciers m.b.t. de kooplijst tot en met de bemanning van de telefooncentrale in geval van uitwijk.    

In activiteit 3.5 worden de zaken geregeld die nodig zijn om in geval van een uitwijk direct te kunnen beschikken over actuele lijsten van medewerkers en relaties en om kritische niet geautomatiseerd opgeslagen gegevens weer beschikbaar te kunnen krijgen.    

In 3.4 worden de uitkomsten van 3.2 en 3.3 vertaald in concrete acties, die vervolgens uitgezet dienen te worden bij leveranciers en intern. De inspanning die deze activiteit met zich meebrengt, is sterk afhankelijk van de gekozen oplossing.    

De resultaten uit act 3.4 zullen in act 3.5 veelal bekrachtigd moeten worden in de vorm van contracten.    

Voorts zullen in act 3.6 plannen gemaakt moeten worden voor de deeltests en de integrale test.    

Tenslotte wordt de voorziening zoals deze  is uitgewerkt beoordeeld in act 3.7.    

5.4 Fase 4: Test

De uitvoering van de test is de verantwoordelijkheid van de lijnorganisatie van PPPP. De uitvoering dient plaats te vinden zoals is vastgelegd in het Business Continuity Plan (BCP). Op dit moment is hierover geen planning af te geven.    

5.5 Inzet per medewerker

Betrokkene Uren
Actiehouder 19
Hoofd ICT 35
Netwerkbeheerder? 104
Afdelingshoofden en FAB-ers 96
Diverse betrokkenen 136
Coördinator 88
Stuurgroep 2
ZBC 176

6.  Nawoord

Wij hebben u in dit artikel een beeld gegeven van wat er ongeveer moet gebeuren om uw BCP weer up-to-date te maken. De rol van ZBC kan uiteraard ook ingevuld worden door een van uw eigen Door de ‘Cursus aanpak opzetten business continuity plan-BCP’ te volgen kunt u behoed worden voor de belangrijkste valkuilen en kunt u ook beschikken over de sjablonen en voorbeelden. Want kunt u zich in deze tijd van recessie nog een strop riskeren van onverzekerde schade bij calamiteit? Het Business Continuity Plan zorgt ervoor, dat u de schade van zo’n tegenvaller minimaliseert.

Oorspronkelijke versie: 18 november 2007
*
PPPP heeft de uitwijk voor de centrale servers geregeld bij een uitwijkcentrum, maar de uitwijk voor het netwerk en de externe verbindingen moeten nog geregeld worden.

Download Download artikel als MS Word document Download artikel als PDF document Print deze paginaVerstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 12 oktober 2011 | Copyright: ZBC




Be Sociable, Share!

Geef een reactie

Je moet inloggen om een reactie te kunnen plaatsen.