Bedrijfscontinuïteit: wat is uw plan B bij een calamiteit?

bedrijfscontinuïteit

Meer aandacht voor BCM bij gemeentes

Binnen de veiligheidsregio is uw gemeente gewend om bij een ramp snel op te schalen m.b.v. een tijdelijke crisisorganisatie en een beproefd draaiboek. Waar kunt u op terugvallen als uw gemeentelijke organisatie wordt getroffen worden door een  calamiteit (stroomstoring, brand, overstroming, hack, etc.)? Recente gebeurtenissen zoals de brandstichting in Woudenberg, de aanslag op het gemeentehuis in Bemmel (Lingewaard) of de meerdaagse stroomstoring in de regio Bommelerwaard onderstrepen het belang van een plan B.

Vreemd genoeg zijn de meeste gemeenten niet of nauwelijks voorbereid op een situatie waarbij voorzieningen die we als vanzelfsprekend beschouwen langdurig niet beschikbaar zijn. In tegenstelling tot commerciële dienstverleners als banken, energie- en telecombedrijven, staat BCM bij gemeentes nog in de kinderschoenen. De laatste jaren krijgt BCM gelukkig steeds meer aandacht. Net als bij een verzekering maakt iedere gemeente voor zichzelf een afweging welke risico’s en onderbrekingstijd binnen de bedrijfsvoering en dienstverlening acceptabel zijn. Uiteraard in de context van wettelijke verplichtingen, bestuurlijke ambities en eigen servicenormen.

BCM is niet vrijblijvend. De nieuwe Baseline Informatiebeveiliging Overheid (vervangt de BIG per 2019) verplicht gemeentes om een actueel continuïteitsplan te hebben. De VNG heeft hiervoor onlangs een  handreiking  uitgebracht. Daarnaast legt uw gemeente ieder jaar via de  ENSIA-audit verantwoording af of ze in ‘in control’ is bij de bescherming van de basisregistraties (BRP, BAG, BGT) en andere kritische bedrijfsmiddelen nodig voor gemeentelijke dienstverlening (o.a. paspoortuitgiftestation, SuWinet). 

De uitdaging

Kunt u in het geval van een calamiteit de continuïteit van uw kritische bedrijfsprocessen garanderen met behoud van data?  Is team Burgerzaken in staat om geboortes en verhuizingen tijdig te verwerken? Is de sociale dienst in staat om uitkeringen uit te betalen? Hoe gaat u communiceren met uw burgers en medewerkers? Weten uw collega’s wat, hoe en in welke volgorde een tijdelijke oplossing geboden kan worden? Zijn er duidelijke afspraken met leveranciers over uitwijk? Als het antwoord op alle vragen ‘ja’ is, heeft uw gemeente de continuïteit goed geborgd.

Desondanks blijft BCM een lastig onderwerp; een gemeente heeft immers een groot scala aan processen en geen onbeperkte middelen. Dit maakt het onmogelijk om voor de gehele organisatie alle risico’s af te dekken. Bovendien zijn de plannen en richtlijnen doorgaans vanuit een ICT-perspectief geschreven, waardoor eigenaarschap en verantwoordelijkheden niet op concernniveau worden geborgd. Om tot een goede prioritering te komen en om de bedrijfskritische processen vast te stellen is er behoefte aan een integrale aanpak die niet vanuit IT, maar juist vanuit ‘de business’ redeneert. Maatregelen gaan verder dan het organiseren van een back-up op afstand, het treffen van een noodstroomvoorziening of het afnemen van een redundante internetverbinding. BCM faciliteert een ongestoorde dienstverlening en bedrijfsvoering, het gaat om inwoners, ondernemers en medewerkers.

Onze aanpak

Onderstaand Figuur behandelt een iteratief 4-stappenplan op weg naar een passend BCM-stelsel van plannen en maatregelen voor uw gemeente. Daarbij adviseren we een focus op de meest bedrijfskritische processen, bijvoorbeeld in de vorm van een top 15. Bij de uitwerking van uitwijkvoorzieningen hanteren we een integraal perspectief vanuit Mens, Huisvesting en ICT.

  Hieronder bespreken we de vier stappen op weg naar een weerbare organisatie.

Stap 1: Continuïteitskaders bepalen

Tijdens stap 1 bepalen we samen met u de continuïteitskaders. We starten met een quickscan van de huidige situatie van plannen en maatregelen op BCM-gebied. We meten bij diverse stakeholders (zie legenda) hoe men de weerbaarheid van de organisatie inschat (perceptie) in het geval er een calamiteit optreedt.

Vervolgens wordt er samen met de business (per domein, cluster of afdeling) gekeken naar de meest kritische processen. Op basis van een beknopte Business Impact Analyse bepalen de continuïteitsnormen die daarbij van toepassing zijn:

       ·            Return Point Objective (RPO) is het maximaal toegestane dataverlies.

       ·            Return Time Objective (RTO) is de maximaal toegestane downtime.

       ·           Maximum Tolerable Period of Disruption (MTPD) de maximale tijd dat inwoners/ondernemers geen gebruik kunnen maken van een dienst/ product. 

 

Tijdens een workshop met directie en leidinggevenden werken we aan bewustwording m.b.t. landelijke verplichtingen en richtlijnen (o.a. BIO, ISO/NEN22301, ..), behandelen we de uitkomsten van de nulmeting en gaan we op zoek naar de ‘risk appetite’ van de directie en leidinggevenden (risico = kans x impact). Aan de hand van onafhankelijke criteria (bijv. wettelijke normen, bestuurlijke ambities, interne servicenormen, etc.) maken we een selectie en prioritering van de meest bedrijfskritische processen van de gemeente (bijv. een Top-15).

Stap 2: Programma ‘BCM op orde’

In de tweede stap wordt het BCM-stelsel nader uitgewerkt via een programmatische aanpak. We organiseren een projectgroep per kritisch proces en inventariseren de bestaande plannen en afspraken met leveranciers. De projectgroep gaat aan de slag met een aangereikte template om het uitwijkplan vorm te geven. Het BCM-stelsel bestaat ten minste uit de volgende onderdelen:

·     Centraal Bedrijfscontinuiteitsplan (BCP): escalatieprocedure, crisismanagementstructuur, overzicht kritische processen, bereikbaarheidsgegevens (intern en extern), communicatieprocedures en governance;

·     Uitwijkplan kritische processen: noodprocedure, maatregelen en bereikbaarheidsgegevens per proces;

          ·       Beheerplan ICT & Elektra voorzieningen: specificaties en serviceafspraken m.b.t .uitwijkvoorzieningen.

Deze documenten dienen te worden vastgesteld op organisatieniveau (directie, college of raad) alsook de middelen die daarbij benodigd zijn voor de eenmalige implementatie en jaarlijkse structurele lasten (o.a. onderhoud uitwijkvoorzieningen, uitwijktesten, doorontwikkeling BCP, etc.).

Stap 3: Implementatie BCM-stelsel

In de derde stap worden de plannen en maatregelen geïmplementeerd, de BCM-crisisorganisatie geïnstalleerd en de sturingsmechanisme (besluitvorming, overlegstructucturen) ingericht. De belangrijkste onderdelen van de plannen worden organisatiebreed en/of per domein gecommuniceerd (‘need to know’ basis). In het kader van training worden de deelplanen tijdens een simulatie met proceseigenaren en het BCM-team uitgebreid getoetst op begrijpelijkheid, volledigheid en actualiteit en juistheid.

Stap 4: Testen en evaluatie ‘weerbaarheid’

Het is belangrijk om te realiseren dat het BCM-stelsel constant aan verandering onderhevig is. Wijzigingen in wetgeving, risicoperceptie en keuzes binnen de eigen organisatie (bijv. andere leverancier, nieuwe functionarissen) zijn hier debet aan. Daarom is het verstandig om periodiek een risicoanalyse en business impact analyse uit te voeren en de plannen te updateten. Verder is het van belang om met steekproeven of jaarlijkse controles de uitwijkvoorzieningen in de praktijk te testen. Door de Quickscan te herhalen (1-meting, etc.) kan beoordeeld worden of de organisatie is gegroeid qua weerbaarheid.

Contact

Heeft u na het lezen van deze nieuwsbrief nog vragen dan kunt u vrijblijvend contact opnemen met de adviseurs Hugo Gillebaard ( h.gillebaard@nativeconsulting.nl  ) en Jeroen de Haas (j.de.haas@nativeconsulting.nl).

Zoeken
Gerelateerde pagina's
Contactpersoon
Hugo Gillebaard
adviseur