Het belang van een (correcte) uitvoering van een Business Impact Analyse (BIA) werd reeds in de eerste blog van deze serie toegelicht. Hoe je een BIA kunt uitvoeren kun je terugvinden in de tweede blog van deze serie. Nadat je de BIA hebt uitgevoerd, kun je aan de slag met het opstellen van een business continuïteitsplan (BCP). Het opstellen van een dergelijk plan kan soms een complexe puzzel zijn. In deze derde blog van een serie van vier geef ik je graag wat handvatten voor het opstellen van een BCP.
Terugblik
Aan de hand van jouw BIA heb je assets en leveranciers verbonden aan jouw kritieke bedrijfsprocessen. Je hebt ook mogelijke impact op je business gedefinieerd en gekwantificeerd. Na deze kwantificatie heb je voor elk kritiek bedrijfsproces vastgelegd welk niveau van impact voor jou nog net acceptabel is, ook wel de maximum acceptable outage (MAO). Naast een MAO kun je ook een recovery time objective (RTO) vaststellen, dit is een tijd waarin je de business zou willen herstellen om bepaalde impact te voorkomen.
Continuïteitsvoorwaarden
Na de BIA is het de bedoeling dat je voor elk kritiek bedrijfsproces vaststelt welke middelen je nodig hebt om jouw proces altijd binnen de RTO te kunnen leveren.
| Tijd |
Vul hier middel in: |
| Gebouw Z |
Leverancier Y |
Applicatie X |
| < 4 uur |
|
|
|
| < 1 dag |
|
|
|
| < 3 dagen |
|
|
|
| < 1 week |
|
|
|
| < 1 maand |
|
|
|
Wanneer je veel middelen (resources) nodig hebt om je producten en diensten te blijven leveren dan krijgt het herstellen van dat proces prioriteit over processen met minder noodzakelijke middelen.
Handvatten
Na het vaststellen van de continuïteitsvoorwaarden kun je eindelijk beginnen met het opstellen van het BCP! Maar waar begin je?
- Maak een register van al je kritieke bedrijfsprocessen met daarin alle informatie van de BIA. Sla dit register op naast je reeds uitgevoerde BIA en je toekomstige BCP. Dit register moet levend blijven en correct beheerd worden. Je zult dit register moeten aanpassen wanneer er veranderingen in je processen plaatsvinden. Vergeet ook niet je BCP aan te passen waar dat nodig is.
- Stel formeel het doel en de scope van het plan vast. Dit betekent dat je goedkeuring nodig heeft van ‘senior management’.
- Zorg ervoor dat het BCP een duidelijke verantwoordelijkheidsstructuur heeft, gebruik hiervoor een RA(S)CI model.
- Neem bij het opstellen van een BCP je incidentproces als uitgangspunt. Haal bijvoorbeeld alle contactgegevens van je incidentteam en andere sleutelrollen op en verwerk ze in dit plan. Of beter nog, verwerk deze contactgegevens in een systeem en verwijs naar dit systeem.
- Geef duidelijk aan wat het tijdspad moet zijn voor de voortzetting van je kritieke bedrijfsprocessen.
- Bedenk bij welke ‘triggers’ je BCP moet worden uitgevoerd en wie bij deze triggers direct geïnformeerd moet worden. Laat deze triggers formeel vastleggen. Ook hier geldt dat formele goedkeuring is vereist.
- Een trigger is bijvoorbeeld: een spontane, structurele onderbreking van een dienst door een globale pandemie.
- Maak een flowchart waarin de triggers van het BCP zijn verwerkt, en zorg dat deze naadloos aansluit op je incidentenprocedure en datalekprocedure.
- Leg workarounds van middelen van kritieke bedrijfsprocessen vast en koppel deze aan de juiste personen.
- Omdat je voor elk kritiek bedrijfsproces een inventarisatie hebt gemaakt weet je precies hoe lang een bepaalde resource niet beschikbaar mag zijn, voordat je business daar onacceptabele gevolgen van ondervindt. Deze informatie kun je opnemen in je BCP.
- Geef in je BCP op waar logs te vinden zijn.
- Maak een passend distributieplan voor het BCP, zodat alle stakeholder toegang hebben tot het document.
Wees bewust dat alle informatie in je BCP moet bijdragen aan het antwoord op de vraag: wat heb je (altijd) nodig om jouw business te continueren? Een kleine kanttekening is dat het BCP degelijk verschilt met het disaster recovery plan (DRP).
Tot slot
Je hebt een goed beeld van je kritieke bedrijfsprocessen, en je hebt een passend plan gemaakt dat je voorbij een crisis moet helpen. Maar eigenlijk wil je een stap verder gaan. Jij wil ervoor zorgen dat alles rondom het BCP goed gemanaged wordt zodat je niet meer voor verassingen komt te staan. In dat geval is het aan te raden om jouw business continuïteitsplannen in een managementsysteem te gieten. Hiervoor kun je het framework van business continuïteitsmanagement (BCM) gebruiken. Het mooie aan dit systeem is dat je direct al je andere plannen, denk bijvoorbeeld aan het disaster recovery plan, mee kan nemen. Hierover lees je meer in de laatste blog van deze serie van vier.
