Business
Continuity
management
Wat is bedrijfscontinuïteit management?
Bedrijfscontinuïteit management (Engels: business continuity management) is het geheel van maatregelen (beleid, procedures, processen, technische maatregelen) die de levering van uw belangrijkste diensten en producten aan al uw afnemers veilig stelt. Het doel is om onderbrekingen te voorkomen in uw leverings- en productie processen en om deze zo snel mogelijk te herstellen in het geval dat uw bedrijf onvoorzien geraakt wordt door een calamiteit. Dit alles zodat de schade voor uw organisatie en uw afnemers zoveel mogelijk wordt beperkt.
Welke maatregelen relevant zijn voor uw organisatie is afhankelijk van diverse factoren zoals het type organisatie, de markt waarin uw organisatie acteert, de contractuele verplichtingen die u bent aangegaan, geldende wet- en regelgeving en de risico’s die uw organisatie wenst te nemen en/of te vermijden.
Het doel van
Bedrijfscontinuïteit management
- Borgen van levering van diensten en producten aan uw klanten, maar ook van de producten en diensten waar uw organisatie van afhankelijk is.
- Voorkomen van uitval van productie- en leveringsprocessen.
- Het snel kunnen detecteren van continuïteit incidenten.
- Effectief reageren op calamiteiten zodat u weer snel in bedrijf bent.
- Leren van fouten.
-Verhoog uw weerbaarheid-
Waarom is bedrijfscontinuïteit management voor uw organisatie van belang?
We gaan steeds meer naar een “altijd aan” samenleving waarin diensten- en producten 24 uur per dag besteld en geleverd moeten worden. Door het uitbesteden van bedrijfsactiviteiten worden bedrijven steeds meer afhankelijk van elkaar en bepaald de zwakste schakel de sterkte van de gehele leveringsketen. Hierdoor stellen bedrijven en klanten steeds hogere eisen aan de betrouwbaarheid van de levering van producten en diensten. Bij kritieke diensten eist ook de overheid dat maatregelen worden genomen om de dienstverlening te garanderen, ook bij grote calamiteiten.
Het is daarom van belang dat uw organisatie bekend is met de risico’s die de continuïteit van uw organisatie in gevaar kunnen brengen. Door het invoeren en onderhouden van een adequate bedrijfscontinuïteit strategie verhoogt u de weerbaarheid van uw organisatie en voorkomt u dat calamiteiten het voortbestaan van uw organisatie in gevaar kunnen brengen.
Weet u welke producten en diensten cruciaal zijn voor uw klanten? Weet uw welke diensten en producten het meest van belang zijn voor het voortbestaan van uw organisatie? Bent u bekend met de eisen die klanten, afnemers, verzekeraars en overheid stellen aan de borging van uw dienstverlening? Weet u van welke leveranciers uw organisatie sterk afhankelijk is en of en hoe deze partijen hun dienstverlening hebben geborgd? Bent u bekend met de risico’s die effect kunnen hebben op uw organisatie en de levering van uw diensten en producten?
Voordelen van een goede bedrijfscontinuïteit
Klantenbinding – Bestaande klanten zien dat u maatregelen neemt om onderbrekingen te voorkomen, om deze snel te herstellen en dat u leert van incidenten en calamiteiten. Hierdoor ziet men uw organisatie als een betrouwbare partner waar ze graag zaken mee blijven doen.
Succesvol nieuwe opdrachten binnenhalen –Door de ketenafhankelijkheid stellen partijen hoge eisen op het vlak van continuïteit waar zij zaken mee willen doen. Voordat dus een derde partij een nieuwe samenwerking met uw organisatie zal aangaan wil deze partij vooraf weten hoe uw organisatie de continuïteit van de dienstverlening aan derden heeft ingeregeld. Indien dit niet voldoet aan de verwachtingen kan het zijn dat uw organisatie niet in aanmerking komt voor de nieuwe opdracht en u dus potentiële omzet gaat missen.
In geval van calamiteit
Een calamiteit zoals fouten in een product, schade toegebracht aan het milieu, ransomware of brand in een deel van uw bedrijf kan verstrekkende gevolgen hebben voor het voortbestaan van uw organisatie.
Effectief gebruik van uw bedrijfsmiddelen- Een goed bedrijfscontinuiteit strategie is gebaseerd op de risico’s die er voor uw organisatie echt toe doen. Door te focussen op deze risico’s investeert u in de juiste maatregelen, voorkomt u onnodige kosten en verhoogt u de effectiviteit van uw eigen organisatie. Kansen zien en nemen met een goed inzicht van en controle over de risico’s die deze met zich meebrengen. Dat is effectief ondernemerschap!
Voorkomen van onnodige schade – Door uw continuïteit maatregelen af te stemmen op bestaande contractuele afspraken met partners, klanten en relevante wet- en regelgeving voldoet u aan al uw ketenverplichtingen. Hierdoor voorkomt u onnodige schade aan uw imago, uw merk en eventuele boetes of juridische geschillen.
Concurrentie voordeel – Alle bovengenoemde voordelen helpen mee bij aan het versterken van uw concurrentiepositie. Door het behalen van een ISO 22301 certificaat, het testen van uw calamiteiten plannen en/of het laten uitvoeren van een (interne) audit maakt u aantoonbaar dat uw continuïteit strategie ook werkt. Zie ook: Dit kunnen wij voor u betekenen
De continuïteit borgen van de levering
van uw diensten en producten
Ook als het eens goed mis gaat!
-Ken de weerbaarheid van uw eigen organisatie-
Belangrijke aandachtspunten bij het implementeren van een bedrijfscontinuïteit strategie
Bij het ontwikkelen en implementeren van uw bedrijfscontinuïteit strategie dient u rekening te houden met de volgende aspecten:
Aan welke eisen moet u voldoen?
Weet welke eisen er allemaal aan uw organisatie gesteld worden met betrekking tot bedrijf continuïteit! Welke wet- en regelgeving en contractuele verplichtingen rusten er op uw organisatie aangaande continuïteitsmanagement. Hoe vertalen al deze eisen zich naar maatregelen op het gebied van personeel, processen en technologie?
Welke bedrijfsonderdelen zijn cruciaal voor uw bedrijfsvoering?
Bepaal aan de hand van vooraf gestelde criteria welke bedrijfsmiddelen het meest van belang zijn voor uw bedrijfsvoering. Documenteer deze en bepaal of de continuïteit van deze bedrijfsmiddelen afdoende is gewaarborgd? Hoe lang kunt u zonder deze bedrijfsmiddelen en kunt u in alle gevallen deze bedrijfsmiddelen binnen de vereiste periode herstellen?
Welke risico’s doen er echt toe?
Inventariseer uw risico en classificeer deze! Welke risico’s wilt u vermijden omdat deze een te hoge impact hebben op uw kritieke bedrijfsmiddelen en dus uw bedrijfsvoering? Welke maatregelen kunt u of MOET u nemen om deze risico’s terug te brengen naar een acceptabel niveau. Zorg dat u regelmatig de risico’s voor uw organisaties in kaart brengt en evalueert. Verzekeren is een optie maar niet altijd een garantie voor een goed blijvend herstel van uw bedrijf.
De keten is zo sterk als de zwakste schakel
Van welke derde partijen is uw bedrijfsvoering afhankelijk? Welke activiteiten heeft u uitbesteedt en welke bedrijfscontinuïteit eisen heeft u gesteld in de contracten met deze partijen? Hoe belangrijker de activiteit is hoe concreter de afspraken zouden moeten zijn. Vaak genoeg zien we dat pas na een incident de wijze waarop de contractafspraken zijn vastgelegd van belang worden. Maak daarom vooraf reeds goede afspraken waaruit blijkt welke eisen u stelt aan de continuïteit van de levering van uw leveranciers.
Stel uw eigen beleid op en onderhoudt deze
Wat zijn de regels binnen uw organisatie met betrekking tot het veilig stellen en beschermen van bedrijfsmiddelen? Zijn deze regels ook van toepassing voor externe partijen die ook werken aan of met uw bedrijfsmiddelen? Zorg dat uw intern beleid regelmatig wordt geanalyseerd en onderhouden zodat ook de laatste ontwikkelingen zijn meegenomen in uw beleid.
Evalueer, leer en verbeter
Bedrijfscontinuïteit is een proces dat in de DNA van uw organisatie moet zitten. Reeds geïmplementeerde maatregelen dienen regelmatig worden getoetst op beschikbaarheid (bestaat de maatregel nog?), volledigheid (dekt de maatregel nog steeds de juiste lading?) en effectiviteit (draagt de maatregel bij aan het omlaag brengen van het geïdentificeerde risico?). Train medewerkerts zodat deze bekend zijn en blijven met de inhoud van het plan en hun rol daarin. De wereld staat niet stil, uw organisatie ook niet en calamiteiten kunnen over enkele jaren een geheel andere impact hebben op uw bedrijfsvoering. Neem dus ieder leermoment, ook een echte crisis, ter harte.
-De mogelijkheden-
Dit kunnen wij voor uw bedrijfscontinuïteit strategie betekenen
Het managen van uw bedrijfscontinuïteit omvat vele activiteiten. Het is daarom onmogelijk om aan te geven of en wat wij voor uw uitdagingen binnen het vakgebied bedrijfscontinuïteit kunnen betekenen. In onderstaande tabel geven wij enkele mogelijkheden die u hopelijk inspiratie geven en leiden tot een nadere kennismaking met onze dienstverlening.
Uw wens
Onze toegevoegde waarde
U wilt uw bedrijfscontinuïteit risico’s in kaart brengen?
Optie 1: Het geheel documenteren, implementeren en uitvoeren van het risico management proces.
Optie 2: Het faciliteren en begeleiden van de risico workshops en/of de business impact analyse (BIA) workshops. Zie ook onze pagina met workshops.
Optie 3: Het vertalen van de door u gedefinieerde risico’s naar concrete en effectieve continuïteitsmaatregelen
U wilt uw bedrijfscontinuïteit strategie en beleid opstellen of updaten?
Optie 1: Wij schrijven het gehele beleids framework en stemmen dit af met en op uw organisatie.
Optie 2: Wij schrijven specifieke beleidsstukken die specifiekere kennis vergen.
Optie 3: Wij kunnen uw bestaand beleid reviewen en u voorzien van aanbevelingen ter verbetering van uw beleid.
U wenst duidelijke afspraken te maken met 1 of meerdere (belangrijke) partners of leveranciers aangaande de continuïteit van hun dienstverlening aan uw organisatie?
Optie 1: Wij nemen deel aan de gesprekken met betrekking tot contractuele bedrijfscontinuïteit eisen.
Optie 2 : Wij toetsen en reviewen de potentiele afspraken die u wenst te maken voordat u officieel het contract tekent.
Optie 3: Wij toetsen uw partner of leverancier op het naleven van de reeds gemaakte contractuele afspraken. Zie onze Compliance en audit pagina.
U wenst een gedragsverandering binnen uw organisatie te bewerkstelligen met betrekking tot bedrijfscontinuïteit?
Optie 1: Wij faciliteren workshops waarin we specifieke thema’s bespreken die relevant zijn voor uw organisatie en afgestemd zijn op het doel dat u wenst te bereiken.
Optie 2: Wij stellen het awareness materiaal op welke uw eigen organisatie kan inzetten voor het ondersteunen van de eigen awareness campagne.
Optie 3: Wij kunnen specifieke trainingen (in company) verzorgen die helpen bij het effectief uitrollen van uw bedrijfscontinuïteit strategie. Zie ook onze pagina met trainingen.
U wenst (tijdelijk) kennis en ervaring in te huren voor het implementeren van maatregelen?
Optie 1: Wij kunnen tijdelijk of semi-permanent de rol van BCM manager of BCM Officer invullen.
Optie 2: wij kunnen als expert deelnemen aan uw projecten binnen het vakgebied bedrijfscontinuïteit en uw projectteam ondersteunen bij de implementatie en borging van maatregelen.
Optie 3: wij kunnen onderdeel worden van uw BCM afdeling en deze helpen met het realiseren van hun doelstellingen.
U wenst uw calamiteitenplan en crisis organisatie te toetsen op effectiviteit?
Optie 1: wij kunnen als observator deelnemen aan een calamiteiten oefening en uw organisatie voorzien van onafhankelijke feedback.
Optie 2: wij kunnen een op maat gemaakte calamiteiten oefening opstellen, voorbereiden, faciliteren en evalueren. Kijk hier voor de workshop.
U wenst een verklaring van een onafhankelijke partij omtrent de juiste naleving en/of effectiviteit van uw beleid en /of een (deel) van uw continuïteitsmaatregelen?
Optie 1: Wij voeren een assessment of audit uit op de door u bepaalde scope met als referentie het door u gekozen beleid, norm, standard of wet- en regelgeving. Zie voor mogelijke standaarden en scope Compliance en Audits pagina
U wenst een Business Continuity certificaat als organisatie te behalen?
Optie 1 : wij kunnen uw organiseren begeleiden naar het behalen van een ISO 22301 certificaat of ander relevante norm.
Optie 2: wij kunnen de verplichte interne audit uitvoeren als onderdeel van uw BCMS
Relevante normen en wet- en regelgeving
In onderstaande tabel treft u enkele belangrijke normen, industry best practices en wet en regelgeving aan die mogelijk relevant voor uw organisatie kunnen zijn en waar Triple A Security kennis van en ervaring mee heeft. Wenst u begeleiding bij de implementatie van één van deze normen naam dan vrijblijvend contant met ons op.
ISO 22301
In de ISO 22301 norm staat beschreven hoe bedrijfscontinuïteit procesmatig ingeregeld kan worden. Ook stelt de norm eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden, toetsen en verbeteren van een gedocumenteerd Management Systeem. In het geval van deze norm heet dat systeem BCMS (Business Continuity Management System). Hieronder valt onder andere het periodiek uitvoeren van een risicoanalyse en business impact analyse waarmee risico’s en kritieke bedrijfsmiddelen kunnen worden bepaald.
Business Continuity Institute (BCI)
The Standard of Good Practice met betrekking tot business continuity management wordt onderhouden en uitgegeven door de Business Continuity Institute (BCI). Dit practisch handboek beschrijft op hoofdlijnen hoe men business continuity management vorm kan geven binnen een organisatie.
ENISA
ENISA heeft een website waarin meer informatie te vinden is over het opstellen en implementeren van een bedrijfscontinuiteit aanpak.
De NIB-richtlijn
De NIB-richtlijn (netwerk- en informatieveiligheid richtlijn) is een Europese richtlijn en heeft ten doel om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging, ter ondersteuning van het functioneren van onze samenleving en economie, door de digitale paraatheid te vergroten en de gevolgen van cyberincidenten te verkleinen.
Aanbieders van essentiële diensten als digitale dienstverleners binnen een Europees Lidstaat dienen adequate maatregelen te nemen om beveiligingsrisico’s te beheersen en gevolgen van incidenten te voorkomen en te minimaliseren en ernstige incidenten te melden aan de nationale bevoegde autoriteit of het CSIRT (computer security incident response team).
De Directive on Security of Network and Information Systems (NIS Directive) is de Engelse vertaling van de Europese richtlijn.