BUSINESS CONTINUITY MANAGEMENT - Crisiscentrum · ‘Business Continuity Plan (BCP). Business...

BUSINESS CONTINUITY MANAGEMENT Handleiding voor implementatie

Sofie Senesael Verhandeling in het kader van de benoeming tot statutair ambtenaar, juni 2009 Promotor: Jaak Raes, Directeur-generaal Crisiscentrum

FOD Binnenlandse Zaken – Algemene Directie Crisiscentrum

BUSINESS CONTINUITY MANAGEMENT

SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM I

BUSINESS CONTINUITY MANAGEMENT – Een handleiding vo or implementatie Executive Summery Overheidsdiensten, waaronder ook de FOD Binnenlandse Zaken, hebben een zeer belangrijke maatschappelijke rol te vervullen. Het is dan ook nodig dat ze in staat zijn de continuiteit van hun dienstverlening te garanderen ongeacht de omstandigheden of bedreigingen waarmee ze worden geconfronteerd. Ze kunnen zich hierop voorbereiden zodat het, in geval van een onderbreking van hun activiteiten, mogelijk is binnen de kortst mogelijke termijn de meest kritische activiteiten te hervatten. De bedoeling van het werk: ‘BUSINESS CONTINUITY MANAGEMENT: Een handleiding voor implementatie’ is een methodologie voor de implementatie van een Business Continuity Management binnen de FOD Binnenlandse Zaken te geven. Wat is Business Continuity Management? Wat is de relatie met andere disciplines zoals bijvoorbeeld risicomanagement en interne audit en wat zijn de voordelen van een Business Continuity Management? Deze vragen worden beanwoord in het ‘Deel 1’ van dit werk. ‘Deel 2’ legt stap voor stap uit welke fasen doorlopen moeten worden om een Business Coninuity Management te implementeren binnen de FOD Binnenlandse Zaken en in ‘Deel 3’ bevinden zich een aantal werkdocumenten die ontwikkeld werden ter ondersteuning van het implementatieproces. Deel 1: Business Continuity Management – Wat en Waa rom? Er bestaat vaak verwarring tussen de begrippen ‘Business Continuity Management’ (BCM) en ‘Business Continuity Plan (BCP). Business Continuity Management is een proces waarbij de organisatie de nodige maatregelen treft om ongeacht de omstandigheden de continuïteit van de meest kritische processen te garanderen. In geval van een onderbreking van een of meerdere van deze processen moet de organisatie in staat zijn snel en kordaat op te treden opdat deze activiteiten binnen de kortst mogelijke termijn kunnen worden hersteld. Een Business Continuity Plan omschrijft hoe men dat concreet gaat doen en is bijgevolg een product van Business Continuity Management. Het Business Continuity Plan is een geheel van procedures, afspraken en contactinformatie die gebruikt wordt op het ogenblik dat een onderbreking daadwerkelijk plaatsvindt. Wat is de relatie met andere specifieke disciplines? Er bestaat een nauw verband tussen Business Continuity Management, crisismanagement, risicomanagement, interne controle en interne audit. Onder risicomanagement in de context van de FOD Binnenlandse Zaken kan enerzijds worden begrepen, het beheer van risico’s die verband houden met de werking van de organisatie zelf. Anderzijds het beheer van risico’s als opdracht van de organisatie. Het Business Continuity Management maakt deel uit van de eerste categorie, meer in het bijzonder het beheer van risico’s die de continuïteit van de organisatie in het gedrang brengen. In ‘Deel 1’ op pagina 16 wordt op een schematische wijze de verhouding tussen de verschillende disciplines weergegeven.


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM II

Wat zijn de voordelen van een Business Continuity Management? Een Business Continuity Management binnen de organisatie zal de organisatie niet alleen in staat stellen haar dienstverlening te verzekeren ondanks een onderbreking van één of meedere processen of activiteiten, daarnaast levert het proces nog andere voordelen op. Zo zorgt het er onder meer voor dat voldaan kan worden aan wettelijke en reglementaire verplichtingen, sterkt het de geloofwaardigheid en reputatie van de organisatie, is het personeel opgeleid en voorbereid om efficiënt te reageren en kan het personeel worden ingeschakeld in andere teams. Daarnaast levert het in detail bekijken van processen soms ook voordelen uit onverwachte hoek op door het zichtbaar maken van knelpunten binnen de organisatie. Business Continuity Standaarden. Er bestaan verschillende internationale standaarden en richtlijnen inzake Business Continuity. Een standaard is een document dat ontwikkeld werd door een officiële, door de International Organisation for Standardization (ISO) erkende, organisatie voor normen of standaarden. Deze standaard of norm beschrijft een afgesproken manier om iets te doen. Het biedt een theoretisch raamwerk dat kan dienen als ondersteuning voor organisaties die een Business Continuity Management programma in hun organisatie wensen te installeren. Er bestaat geen verplichting om bij de implementatie van een Business Continuity Management gebruik te maken van standaarden, het is echter wel ten zeerste aan te bevelen. Het biedt de organisatie een maatstaf aan waartegen deze haar eigen Business Continuity Plan en het ondersteunend Business Continuity Management Proces kan afmeten. Bovendien bieden sommige standaarden eveneens de mogelijkheid om na de implementatie van de standaard binnen de organisatie een certificering te bekomen. Deel 2: De 6 fasen van Business Continuity Manageme nt In deel 2 worden de verschillende fasen besproken die doorlopen moeten worden of de elementen die in de organisatie aanwezig moeten zijn om te kunnen spreken van een Business Continuity Management. Naast een beschrijving van een aantal begrippen en de beschrijving van wat deze fase precies inhoudt, wordt er ook aandacht besteed aan hoe deze fase geïmplementeerd kan worden binnen de FOD Binnenlandse Zaken.

Fase 1 BCM Programma

Fase 3 BCM Strategie

Fase 4 Ontwikkelen

Implementeren BCM respons

Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT

Fase 2 Inzicht in de organisatie


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM III

Fase 1: Het BCM Programma Er wordt aanbevolen om voor de implementatie van een Business Continuity Management de principes van het projectmanagement toe te passen. Het is van belang, net zoals bij elk project, dat er een duidelijk kader beschreven wordt voor de implementatie ervan. Zo is het onder meer nodig dat de doelstellingen van het project duidelijk zijn, de rollen en verantwoordelijkheden worden beschreven, dat er gecommuniceerd wordt over het project, enz. Al deze elementen komen aan bod in het BCM Programma, de zogenaamde ‘kapstok’ van het project. Het is belangrijk dat bij aanvang van het project het management op een formele wijze, in de vorm van een beleidsverklaring, communiceert over het project. Dit benadrukt het belang dat ze aan dit project hechten en is ook meteen één van de randvoorwaarden voor een succesvolle implementatie. Fase 2: Inzicht in de organisatie Business Analyse Nadat de projectstructuur op poten werd gezet en de rollen en verantwoordelijkheden werden toegekend, kunnen de werkzaamheden starten. In deze fase moeten de verschillende processen binnen de organisatie opgelijst worden en moet met het management afgetoetst worden welke de voor hen meest prioritaire doelstellingen zijn op vlak van Business Continuity. Met andere woorden, welke zijn de doelstellingen waarvan de continuïteit niet, tijdelijk of langdurig onderbroken kan worden. Van deze processen moet een analyse worden gemaakt (Business Analyse) zodoende het duidelijk is wat onder meer de middelen zijn die men nodig heeft om het proces uit te voeren, welke de wettelijke regels zijn waaraan het proces gebonden is, hoeveel personeel er minimum nodig is voor de uitvoering van het proces, welke infrastructuur nodig is, … Business Impact Analyse Daarna dient per proces een Business Impact Analyse te worden gemaakt. Hieronder kan worden begrepen dat er in eerste instantie een inschatting moet worden gemaakt van de gevolgen van een onderbreking van het proces voor de organisatie. Daarnaast moet per proces bepaald worden hoe lang het proces maximaal onderboken mag worden, zoniet loopt de organisatie onherstelbare schade op, en wat de tijdspanne is waarbinnen het proces hersteld moet zijn (herstelobjectief). Risicoanalyse Het in kaart brengen van alle mogelijke bedreigingen die kunnen leiden tot een onderbreking van één of meerdere processen binnen de organisatie is geen absolute voorwaarde voor het installeren van een Business Continuity Management en de opmaak van een Business Continuity Plan. Er wordt aanbevolen een Globaal Business Continuity Plan op te maken dat zoveel mogelijk risico’s dekt in plaats van per risico een specifiek plan uit te werken. Specifieke maatregelen worden beter als bijlage opgenomen in het Globale Business Continuity Plan. Er wordt hierbij aanbevolen om zich te baseren op de 4 grote mogelijke gevolgen waarmee een organisatie geconfronteerd kan worden, met name: - Gebrek aan personeel - Gebrek aan faciliteiten (gebouw, lokalen, ..) - Verlies van toegang tot de vitale data - Gebrek aan ICT


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM IV

Fase 3: BCM Strategie Op basis van de informatie over het proces zelf (Business Analyse) en een inschatting van de gevolgen van een onderbreking van het proces dienen maatregelen te worden geformuleerd die ervoor moeten kunnen zorgen dat:

de waarschijnlijkheid van een onderbreking wordt verminderd; de periode van de onderbreking kan worden ingekort; de impact van de onderbreking op de kritische activiteiten beperkt is.

In het kader van de Business Impact Analyse werd bepaald binnen welke tijdspanne welke actviteiten dienen te worden hersteld (herstelobjectief). In deze fase komt het er op aan actievoorstellen (maatregelen) te formuleren die hieraan tegemoet kunnen komen en per voorgestelde maatregel een kosten-baten analyse op te maken. Fase 4: Ontwikkelen, Implementeren BCM Respons Een Business Continuity Management Respons is het antwoord dat een organisatie voorbereid heeft om een incident te kunnen beheersen en de impact ervan op de werkprocessen te minimaliseren. De maatregelen die door het management in de vorige fase werden goedgekeurd moeten in deze fase worden uitgewerkt zodat de organisatie in geval van onderbreking van een bepaald proces snel en efficiënt kan reageren. Er kunnen drie onderling verbonden respons-stappen onderscheiden worden. Per responsfase dient een organisatie te beschikken over een plan of procedures. Alle deze plannen samen kunnen omschreven worden als het Globaal Business Continuity Plan. - Emergency Respons � Incident Management Plan - Business Continuity Respons � Business Continuity Plan - Business Recovery Respons � Business Recovery Plan

Doel Wat?

Incident Management Plan

��Beheersen van het incident of de onderbreking zelf. �� Het beperken van de gevolgschade.

��Contacten met hulp- en interventiediensten �� Evacuatie gebouw �� Sociale bijstand en opvang personeel �� …

Business Continuity Plan �� Herstel of verderzetten van de meest kritische activiteiten.

��Alle relevante informatie (contactgegevens, procedures, …) om de kritische activiteiten terug op te starten of verder te zetten.

Business Recovery Plan �� Herstel van alle activiteiten �� Terugkeer naar een normale situatie.

��Alle relevante informatie voor het herstel of het verderzetten van de niet-kritische activiteiten (de activiteiten die niet in het BCP staan).


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM V

Fase 5: Oefenen, onderhouden en herzien Het volstaat niet om een Incident Management Plan, een Business Continuity Plan en een Business Recovery Plan in de kast te hebben staan. De plannen hebben maar hun nut als deze gekend zijn, actueel zijn en ingeoefend worden. Het inoefenen van de voorziene procedures en maatregelen in de plannen moeten ons verzekeren of de kritieke activiteiten daadwerkelijk binnen de vooropgestelde tijd hersteld kunnen worden. In navolging van oefeningen zal het nodig zijn de inhoud van de plannen bij te sturen of aan te vullen. Daarnaast moet er een procedure worden voorzien die ervoor zorgt dat bij iedere wijziging (intern of extern) met impact voor de organisatie het Business Continuity Management programma worden afgetoetst en de plannen waar nodig worden aangepast. Fase 6: Het inbedden in de organisatiecultuur Om succesvol te zijn moet het Business Continuity Management - project gedragen worden door zoveel mogelijk personen binnen de organisatie. Het management (zowel top als middelmanagement) spelen een essentiële rol bij het in kaart brengen van de kritische processen. Hun steun winnen is dus vitaal voor het project. Zoveel mogelijk personeelsleden moeten overtuigd zijn van het feit dat ze een belangrijke rol te spelen hebben om de continuïteit van de activiteiten van de organisatie te kunnen waarborgen. Het is daarom belangrijk voldoende aandacht te besteden aan bewustwording- en opleidingsprogramma’s voor het personeel en verschillende sensibiliseringsactiviteiten te organiseren. Praktische aanpak om de 6 fasen te doorlopen Op pagina 73 kan een overzicht gevonden worden dat ‘stap voor stap’ weergeeft wat concreet gedaan moet worden om de 6 fasen van Business Continuity Management te doorlopen. Deel 3: Werkdocumenten In deel 3 bevinden zich een aantal werkdocumenten die gebruikt kunnen worden voor het doorlopen van de verschillende fasen.


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM VI


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM

1

INHOUDSTAFEL Voorwoord ..................................................................................................................................3

Inleiding – methodologie ..........................................................................................................3

DEEL 1 : Business Continuity Management - Wat & W aarom ?

1. Wat is Business Continuity Management? ...........................................................................7

2. Wat is de relatie met andere specifieke disciplines? ............................................................8

2.1. Risicomanagement .......................................................................................................8

2.2. Interne controle en interne audit .................................................................................10

2.3. Crisismanagement ......................................................................................................15

2.4. Schematische voorstelling ..........................................................................................16

3. Wat zijn voordelen van een Business Continuity Management Programma?....................17

4. Business Continuity standaarden .......................................................................................17

4.1. Een aantal internationale BCM normen (standards) en richtlijnen (guidelines) .........17

DEEL 2 : De 6 fasen van Business Continuity Manage ment

1 Het BCM Programma..........................................................................................................25

1.1 Beleidsverklaring / Policy Development.....................................................................25

1.2 Doelstellingen, afbakeningen en uitgangspunten van de organisatie / Scope ..........26

1.3 Rollen en verantwoordelijkheden...............................................................................27

1.3.1 Projectstructuur................................................................................................27

1.3.2 Permanente structuur ......................................................................................31

1.3.3 Crisisstructuur..................................................................................................32

2 Inzicht verkrijgen in de organisatie ....................................................................................35

2.1 Business Analyse.......................................................................................................36

2.2 Business Impact Analyse...........................................................................................44

2.3 Risicoanalyse .............................................................................................................48

3 Het bepalen van de BCM – strategie..................................................................................51

4 Het ontwikkelen en implementeren van de BCM respons..................................................55

5 Oefenen, onderhouden en herzien .....................................................................................63

6 Het inbedden van BCM in de organisatiecultuur ................................................................71

Tot slot – synthese aanbevelingen............................................................................................72

DEEL 3 - Werkdocumenten

Bijlagen

Literatuurlijst



2


OFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM

3

Voorwoord

In 2007 werden naar aanleiding van de verspreiding van het vogelgriepvirus (H5N1) door de FOD Binnenlandse Zaken een aantal sensibilisatieacties ondernomen om het bewustzijn, met betrekking tot de mogelijke gevolgen van de uitbraak van een grieppandemie op het maatschappelijke leven, te verhogen. Zo werd ondermeer een informatiecampagne uitgewerkt naar het personeel van de FOD Binnenlandse Zaken om hen bewust te maken van het belang van een goede hygiëne om de verspreiding van virussen tegen te gaan. Daarnaast werd binnen de Algemene Directie Crisiscentrum een checklist ontwikkeld en verspreid (zie bijlage 1) met specifieke maatregelen die genomen kunnen worden binnen organisaties ter voorbereiding op een grieppandemie.

Vanuit deze acties en ook gelet op de recente evoluties (A/H1N1 pandemie) is steeds meer het bewustzijn gegroeid dat het noodzakelijk is dat overheidsdiensten, gelet op de vaak belangrijke maatschappelijk rol die ze vervullen, in staat zijn de continuïteit van hun dienstverlening te garanderen ongeacht de omstandigheden of bedreigingen waarmee ze worden geconfronteerd. De Voorzitster van de FOD Binnenlandse Zaken, mejuffrouw De Knop, hecht veel belang aan risicomanagement binnen de FOD en in het bijzonder het beheren van risico’s op vlak van de continuïteit van de dienstverlening, ethiek en kennisbeheer. Met dit werk, dat werd opgemaakt in het kader van mijn benoeming als statutair ambtenaar en tot doel heeft een methodologie aan te reiken voor de implementatie van een Business Continuity Management, hoop ik op een concrete wijze bij te dragen tot de realisatie van deze doelstelling van de FOD. Inleiding - methodologie Opbouw van het document

Dit document is opgebouwd uit drie delen: • DEEL I bespreekt in het kort het ‘Wat en Waarom van een

Business Continuity Management’ en geeft voorbeelden van een aantal bestaande normen en richtlijnen inzake Business Continuity management.

• DEEL II geeft de verschillende fasen weer die moeten doorlopen worden om een Business Continuity Management te installeren. Op het einde van DEEL II wordt een synthese weergegeven van de aanbevelingen die doorheen het volledige document werden gemaakt.

• DEEL III geeft enerzijds een aantal werkdocumenten die gebruikt kunnen worden bij de implementatie van Business Continuity Management.

Bronnen Om te komen tot dit werk werd een literatuurstudie gedaan met

betrekking tot Business Continuity Management (voor de lijst van de geconsulteerde bronnen wordt verwezen naar het einde van dit document). Het proces, voor de implementatie van een Business Continuity Management in de FOD Binnenlandse Zaken, dat in DEEL II wordt aangereikt houdt dan ook rekening met de belangrijkste principes uit een aantal internationale toonaangevende standaarden of richtlijnen op vlak van Business Continuity Management zoals opgesomd in DEEL I.



4

Daarnaast werd ook contact opgenomen met een aantal personen van interne diensten van de FOD alsook externe bedrijven of organisaties, die omwille van hun expertise allen een interessante bijdrage hebben kunnen leveren aan dit document.

Werkdocumenten In het kader van deze verhandeling werden eveneens een aantal documenten ontwikkeld die kunnen helpen bij de ontwikkeling van een Business Continuity Management binnen een of meerdere diensten van de FOD. Het betreft voornamelijk vragenlijsten en templates die kunnen aangewend worden tijdens het doorlopen van de verschillende fasen van het Business Continuity Management proces. Deze vragenlijsten en templates kunnen waar wenselijk worden aangepast aan de specificiteit van de dienst.

Bestaande informatie

In dit werk wordt rekening gehouden met de reeds bestaande informatie en ondernomen acties binnen de FOD rond onder andere procesbeschrijving, risicoanalyse (zie bijvoorbeeld de informatie verkregen uit de moderniseringsprocessen). Bij bepaalde punten in dit werk wordt dan ook gerefereerd naar reeds bestaande methodes en documenten.

Aanbevelingen Doorheen dit werk worden aanbevelingen geformuleerd voor de implementatie van een Business Continuity Management binnen de FOD Binnenlandse Zaken. Deze aanbevelingen worden op het einde van DEEL II aan de hand van een schema weergegeven.

DEEL 1

Business Continuity Management

- Wat & Waarom ? -



7

1. Wat is Business Continuity Management? Definitie Vaak bestaat er verwarring tussen het begrip ‘Business Continuity

Management (BCM)’ en ‘Business Continuity Plan (BCP)’. Deze begrippen worden regelmatig door elkaar gebruikt, maar betekenen niet hetzelfde. Hieronder staan enkele definities opgesomd waardoor het onderscheid tussen beiden duidelijk wordt. “Business Continuity Management is a holistic management process that identifies potential threats to an organisation and the impacts to business operations that those threats if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities.”1 “Bedrijfscontinuïteitsmanagement is een beheersproces dat risico’s identificeert en beperkt, de mogelijke impact van een onderbreking van een (tijds)kritische bedrijfsprocessen en ondersteunende systemen minimaliseert, en met als ultieme doel het tijdig herstellen van de kritische bedrijfprocessen.”2 “Business Continuity Management heeft tot doel de continuïteit van het bedrijfsproces en het voortbestaan van de organisatie te waarborgen. Het product van BCM bestaat uit werkbare en toepasbare maatregelen, zowel preventief (hebben tot doel het voorkomen dat zich situaties voordoen die de continuïteit van de organisatie aantasten) als repressief (in geval het risico manifest geworden is, zorgen voor repressieve maatregelen om gevolgschade te beperken tot een acceptabel niveau)”3

Business Continuity Plan (BCP)

Een Business Continuity Plan is met andere woorden een product van Business Continuity Management. Een Business Continuity Plan kan omschreven worden als een geheel van reactieve (of repressieve) maatregelen om de gevolgen voor de continuïteit van de organisatie bij het manifesteren van bepaald risico te verminderen. Een Business Continuity Plan kan ook nog omschreven worden als “a documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable pre-defined level.”4 De volgende definitie wordt gehanteerd door de Vlaamse Overheid: “Een Business Continuity Plan is een duidelijk en gedocumenteerd plan om aan te wenden tijdens een verstoring van de bedrijfscontinuïteit, gebeurtenis, incident of crisis. Dit plan behandelt typisch alle sleutelpersonen, middelen, diensten, activiteiten noodzakelijk om het BCM proces te managen.”5

1 British Standard 25999-1:2006, Business continuity management. Code of practice, p.1 2 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari 2007. 3 KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, 2006 4 British Standard 25999-1:2006, Business continuity management. Code of practice, p.2 5 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari 2007.



8

Samenvattend Een Business Continuity Management is met andere woorden een beheersproces waarbij de organisatie de nodige maatregelen treft om in ongeacht de omstandigheden de continuïteit van de meest kritische processen te garanderen. In geval van een onderbreking van een of meerdere van deze processen moet de organisatie in staat zijn snel en kordaat op te treden opdat deze activiteiten op de kortst mogelijke termijn kunnen worden hersteld. Een Business Continuity Plan is een product van Business Continuity Management. Het is een geheel van procedures, afspraken en contactinformatie die gebruikt wordt op het ogenblik dat een onderbreking daadwerkelijk plaatsvindt.

Belang van definities

Naast de hierboven opgesomde definities bestaan nog ontelbaar andere definities van wat Business Continuity Management is. De een al wat beknopter geformuleerd dan de andere. Wat echt belangrijk is, is dat het management van een organisatie dat een Business Continuity Management wenst te implementeren het eens is over wat men voor de organisatie onder Business Continuity Management begrijpt, welke doelstellingen men hiermee wenst te bereiken en dat men bijgevolg dezelfde boodschap uitdragen binnen de volledige organisatie6 (zie infra DEEL II, punt 1.1 beleidsverklaring).

2. Wat is de relatie met andere specifieke discipli nes?

Wat is de relatie van Business Continuity Management ten opzichte van andere gerelateerde disciplines. Ook hierover bestaan verschillende opvattingen. Op basis van de beschrijving van een aantal gerelateerde disciplines werd op pagina 11 een schematische voorstelling weergegeven van de opvatting die verder in dit werk gevolgd zal worden. 2.1. Risicomanagement Definities Een eerste discipline die nauw aanleunt bij Business Continuity

Management is risicomanagement. Risicomanagement is het overkoepelende proces om risico’s te analyseren (risicoanalyse), maatregelen te nemen om de risico’s tot een aanvaardbaar niveau te reduceren, en het vereiste risiconiveau te onderhouden.7 Risicomanagement is het risicobeheerproces van het management. De houding van het management ten opzichte van de ondernemingsrisico’s, zowel op strategisch vlak als op het niveau van de ondernemingsprocessen.8

Link BCM Waar risicomanagement staat voor het beheer van alle mogelijke risico’s binnen een organisatie, richt Business Continuity Management zich op deze risico’s die de continuïteit van de organisatie in het gedrang kunnen brengen. Volgens deze redenering maakt Business Continuity Management integraal deel uit van risicomanagement. Hoe groot het aandeel Business Continuity Management is, is moeilijk in te schatten.

7 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari 2007. 8 R. DRIES, L. VAN BRUSSEL, M. WILLEKENS, Handbook auditing, intersentia, tweede druk, 2004, p. 16



9

Een risico kan afhankelijk van de context op een bepaald ogenblik een bedreiging zijn voor de continuïteit van de organisatie, terwijl dat voorheen niet het geval was. Sommige bronnen zien risicomanagement daarentegen eerder als een onderdeel van een overkoepelende Business Continuity aanpak. Alles hangt af van wat de organisatie begrijpt onder risicomanagement (wat is de scope van de organisatie met betrekking tot risicomanagement?) en wat de doelstelling is van het Business Continuity Management programma van de organisatie (omgaan met klassieke risicodomeinen of meer globaal omgaan met mogelijke incidenten van uiteenlopende aard)9.

Conclusie Er kan geconcludeerd worden dat er een duidelijk een verband is tussen risicomanagement en Business Continuity Management. In de literatuur kan men verschillende standpunten hierrond terugvinden. De context van de FOD Binnenlandse Zaken en meer in het bijzonder de specifieke taken in verband met risico- en crisisbeheer laten toe te besluiten dat Business Continuity Management, voor wat de FOD Binnenlandse Zaken betreft, deel uitmaakt van risicomanagement, doch slechts het management van een specifiek soort risico’s betreft. Niet alle risico’s waarmee de FOD geconfronteerd kan worden zijn immers een bedreiging voor de continuïteit van de opdrachten van de FOD zelf. Zo is de behandeling van risico’s één van de opdrachten van de FOD, zonder dat deze risico’s evenwel een bedreiging zijn voor haar eigen continuïteit. Het uitvaardigen van maatregelen (bijvoorbeeld afsluiten vuilnisbakken, politiebegeleiding, enz.) voor een veilig verloop van een Europese Top is bijvoorbeeld een opdracht van het Crisiscentrum, maar het veiligheidsrisico gelieerd aan de organisatie van een Europese Top is op zich geen bedreiging voor de continuïteit van het Crisiscentrum.

Risicomanagement binnen de FOD BiZa

Wat risicomanagement in het algemeen betreft, wordt er binnen de FOD Binnenlandse Zaken op versnipperde wijze gewerkt rond risico’s. Risico’s worden in kaart gebracht naar aanleiding van moderniseringsprojecten (MPM), de ‘Interne Dienst voor de Preventie en Bescherming op het werk’ maakt onder meer analyses van risico’s op vlak van de gezondheid en welzijn van het personeel alsook op vlak van de inrichting van de arbeidsplaatsen en werkposten. De ‘Dienst Interne Inspectie’ gaat na of risico’s voldoende worden beheerst en identificeren tijdens hun opdrachten ongetwijfeld nieuwe risico’s. Ook in het kader van Business Continuity Management zullen risico’s worden geïdentificeerd. Er wordt aanbevolen om alle risico’s die binnen de FOD worden geïdentificeerd alsook de genomen maatregelen te inventariseren volgens een bepaalde methodiek alsook om de risico’s jaarlijks te herevalueren (zie infra, punt 2.2, interne controle).

9 Business Continuity Management Congres, Kluwer, Edegem, 31 maart 2009



10

Deze aanbeveling is conform het Koninklijk Besluit van 17 augustus 2007 betreffende het intern controlesysteem binnen sommige diensten van de federale uitvoerende macht, meerbepaald de bepaling betreffende de verplichting de inventaris van de documentatie over de interne controlesystemen ter beschikking te kunnen stellen van interne en externe auditoren. Er wordt aanbevolen om met de verschillende betrokkenen na te gaan hoe dit best praktisch gerealiseerd kan worden binnen de FOD. Het beheren en detecteren van nieuwe risico’s is geen éénmalig maar een continu proces is. Het is bijgevolg van belang dat het management haar standpunt bepaalt met betrekking tot de verhouding van risicomanagement ten aanzien Business Continuity Management enerzijds en de mate waarin zij wenst te investeren in risicomanagement in het algemeen met als specifiek aandachtspunt in eerste instantie Business Continuity Management. Dit is vooral van belang wanneer besloten wordt tot de opmaak van een inventaris van de documentatie van de interne controlesystemen binnen de FOD. Op dat ogenblik rijst de vraag wie daarvoor als verantwoordelijke moet worden aangeduid. De functie van een risk manager, een functie die opgang vindt in verschillende organisaties, kan een mogelijke piste zijn. Daarnaast zien we dat deze rol soms ook toegekend wordt aan de Business Continuity Manager.

2.2. Interne controle en interne audit Interne controle en interne audit zijn twee disciplines waarvan de link met Business Continuity Management zeer groot is. De interne controle moet immers nagaan of er binnen de organisatie voldoende maatregelen werden genomen om risico’s te vermijden. De interne audit bekijkt of de interne controle systemen, of nog de mate waarin de risico’s beheerst worden, effectief en efficiënt zijn. Het is dan ook niet verwonderlijk dat de aandacht voor Business Continuity Management vaak groeit vanuit de resultaten van een interne audit. Zo ook is dit het geval bij de Vlaamse Overheid waar naar aanleiding van een interne audit werd vastgesteld dat het merendeel van de entiteiten binnen de Vlaamse Overheid over onvoldoende maturiteit beschikken op vlak van bedrijfscontinuïteit. In het volgende punt wordt het verschil tussen de begrippen ‘interne audit’ en ‘interne controle’ toegelicht. De wettelijke grondslag, alsook de wijze waarop de FOD Binnenlandse Zaken beiden in de praktijk realiseert, komen hierna aan bod. Definitie Volgens het Koninklijk Besluit van 2007 betreffende het intern

controlesysteem binnen sommige departementen van de federale uitvoerende macht, is interne controle een geïntegreerd proces dat door de verantwoordelijken en het personeel van een organisatie is uitgewerkt en dat is bestemd om risico’s te behandelen en een redelijke zekerheid te bieden omtrent de verwezenlijking, in het kader van de opdracht van de organisatie, van de volgende algemene doelstellingen: - uitvoering van geordende, ethische, zuinige, doeltreffende en

doelmatige verrichtingen; - naleving van de verplichtingen tot rekenschap afleggen; - overeenstemming met de geldende wetten en regelgeving; - bescherming van de middelen tegen verlies, wangebruik en schade.



11

Een risico wordt door het Koninklijk Besluit omschreven als een onverwachte gebeurtenis die het bepalen van de vooropgestelde doelstellingen in het gedrang zou kunnen brengen.

Volgende Koninklijke Besluiten leggen de federale overheidsdiensten de verplichting op om een intern controlesysteem uit te bouwen:

Interne controle Het Koninklijk Besluit van 26 mei 2002 betreffende het intern controlesysteem binnen de federale overheid (Belgisch Staatsblad 31 mei 2002) legt aan elke federale overheidsdienst en federale programmatorische overheidsdienst de verplichting op een intern controlesysteem uit te bouwen.

Het Koninklijk Besluit van 17 augustus 2007 betreffende het intern controlesysteem binnen sommige departementen van de federale uitvoerende macht past sommige bepalingen van het Koninklijk Besluit van 26 mei 2002 aan, verduidelijkt ze en vult ze aan.

Verantwoordelijke Het lijnmanagement is verantwoordelijk voor het uitbouwen van een intern controlesysteem. Zij moeten toezien op de naleving van de weten regelgeving en de vereiste procedures, beheerscontroles en rapporteringprocedures uitwerken voor een doeltreffende, kwaliteitsvolle en efficiënte werking en om de vermogensbestanddelen van de organisatie veilig te stellen.

Methodologie

Als methodologie wordt in het Koninklijk Besluit op de interne controle het gebruik van het ‘COSO-Enterprise Risk Management Framework’ aanbevolen. COSO is een managementmodel dat ontwikkeld werd door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit model is bedoeld om aan organisaties een uniform en gemeenschappelijk referentiekader voor interne controle aan te bieden en om het management te ondersteunen bij de verbetering van het intern controlesysteem. In 2004 werd het model geactualiseerd, werden elementen toegevoegd en aangepast. Dit geactualiseerde model richt zich niet meer alleen op interne controle maar op het gehele interne beheersingssysteem en staat bekend als COSO II of Enterprise Risk Management Framework (ERMF).



12

Wat is COSO – ERMF?

Als een organisatie haar doelstellingen wil bereiken dan moet ze kunnen omgaan met risico’s en in staat zijn risico's te beheersen. COSO beschrijft en definieert hiervoor de verschillende elementen van een intern controlesysteem. Dit kan als raamwerk worden gebruikt voor organisaties die een intern controlesysteem willen implementeren. Het model (zie figuur hierboven) geeft in de COSO-kubus de directe relatie weer tussen:

- De doelstellingen van een organisatie (de strategische doelstellingen, de effectiviteit en efficiëntie van de bedrijfsprocessen, de betrouwbaarheid van de informatie en de naleving van relevante weten regelgeving)

- De controlecomponenten: • Interne omgeving (de mate waarin risico’s worden

genomen) • Bepaling van doelstellingen (objective setting) • Identificatie van de gebeurtenissen (kansen/risico’s die

een positieve of negatieve invloed kunnen hebben op het behalen van de doelstellingen)

• De risico-inschatting of de beoordeling van de geïdentificeerde risico’s (waarschijnlijkheid dat risico zich zal voordoen en de gevolgen indien het zich voordoet)

• De risicobeheersingsmaatregelen (risk response) – (risico’s vermijden, aanvaarden, delen of verminderen)

• Controleactiviteiten (vb. functiescheiding) • Informatie en communicatie • Monitoring

- de activiteiten/eenheden waarvoor interne controle nodig is.

Risk components Entity & Unit-level

Components

The COSO Enterprise Risk Management Framework www.COSO.org

Risk management objectives



13

10 Established in 1941, The Institute of Internal Auditors (IIA) is an international professional association of more than 150,000 members with global headquarters in Altamonte Springs, Fla., United States. Throughout the world, The IIA is recognized as the internal audit profession's leader in certification, education, research, and technical guidance, http://www.theiia.org/

Al deze componenten vormen samen een geïntegreerd systeem dat aan de veranderende omstandigheden kan worden aangepast.

Dienstnota intern controlesysteem

Binnen de FOD Binnenlandse Zaken werd in 2003 in opdracht van het Directiecomité een uitgebreide risicoanalyse uitgevoerd. De scope van deze risicoanalyse bestond uit: - de 5 algemene directies - de stafdiensten ICT, B&B, P&O - de coördinatie- en ondersteuningsdiensten van de Voorzitster - het Commissariaat-generaal voor de vluchtelingen en Staatlozen Er werd een rapport neergelegd met een inventaris van de risico’s geïdentificeerd via diverse werkgroepen binnen de FOD Binnenlandse Zaken. Deze risico’s werden ingedeeld in risicodomeinen en er werd een inschatting van de impact en de waarschijnlijkheid van voorkomen van het risico gemaakt. Per dienst werd een verantwoordelijke voor interne controle aangeduid. In 2005-2006 werd een gelijkaardige oefening gemaakt. Hierna werd voornamelijk nog in het kader van de moderniseringsprojecten rond risico’s gewerkt.

Definitie Naast interne controle wordt verder eveneens verduidelijking gegeven rond interne audit. De definitie van interne audit opgesteld door het “Institute of Internal Auditors” werd hernomen in het Koninklijk Besluit betreffende de interne audit binnen de federale overheidsdiensten (cfr. infra) en geeft kernachtig de opdracht van interne audit weer. Deze definitie wordt aangenomen als omschrijving van de opdracht van de interne audit van de federale overheidsdienst. “Interne audit is een onafhankelijke en objectieve activiteit die aan een organisatie zekerheid verstrekt over de mate waarin zij haar werking beheerst, die haar advies verleent om haar werking te verbeteren, en die bijdraagt tot het creëren van toegevoegde waarde. Zij helpt de organisatie haar doelstellingen te bereiken door een systematische en gedisciplineerde evaluatie van de processen voor risicobeheer, beheer en bestuur, en door voorstellen te formuleren om hun effectiviteit te verbeteren.10” De interne audit is met andere woorden een middel om de interne controlesystemen te evalueren, te verbeteren en belangrijke risico’s te identificeren.

Interne audit Het Koninklijk Besluit van 2 oktober 2002 betreffende de interne audit binnen de federale overheidsdiensten (Belgisch Staatsblad 9 oktober 2002).

Interne inspectiedienst

Op vlak van interne audit werd met ingang van 1 maart 2008 door de Voorzitster van het Directiecomité de ‘Dienst Interne Inspectie FOD Binnenlandse Zaken’ opgericht.



14

11 Omschrijving ‘Good governance’ of ‘Deugdelijk bestuur’ (http://www2.vlaanderen.be/bbb/woordenlijst): Het overheidsoptreden moet rechtmatigheid, rechtszekerheid, en rechtsgelijkheid (de drie R's) garanderen in combinatie met de principes van zuinigheid (economy), efficiëntie, effectiviteit en ethiek (de vier E's). Deugdelijk overheidsbestuur of good governance houdt in dat een overheidsoptreden, gedragen door de drie R's en de vier E's gepaard gaat met: een duidelijke verantwoordelijkheidsafbakening tussen de betrokken actoren (parlement, regering, administratie en burger) en een transparante verantwoordingsinformatie over het bereiken van de beleidsdoelstellingen, zowel aan de overheid als aan de burger.

Deze dienst, geleid door mevrouw Els Goddro, heeft als opdracht: - Het toezien op de correcte toepassing van de principes van good

governance;11 - Bijdragen aan de uitbouw van het systeem van interne controle

binnen de organisatie dat betrouwbare managementinformatie moet garanderen;

- Bijdragen tot een optimale beheersing van de risico’s voor het behalen van de doelstellingen van de FOD Binnenlandse Zaken.

De activiteiten van de dienst interne audit situeren zich, conform de bezorgdheden van de Voorzitster en in de lijn van haar managementplan, op 8 domeinen: - bedrijfscontinuïteit - correct financieel beheer - correct aankoopbeheer - respect regelgeving - gefundeerde beslissingen t.a.v. derden - imago van de FOD Binnenlandse Zaken - integriteit - respect mensenrechten/rechten van burgers

Methodologie De Dienst Interne Inspectie van de FOD Binnenlandse Zaken maakt,

zoals in het Koninklijk Besluit op de interne controle wordt aanbevolen, gebruik van het ERMF (Enterprise Risk Management Framework) als raamwerk en heeft een aangepaste methodologie voor risicoanalyse uitgewerkt.

Link BCM Op vlak van risicoanalyse en interne controle zijn binnen de FOD Binnenlandse Zaken reeds een aantal belangrijke stappen gezet, maar om te komen tot een echt risicomanagement zijn er zeker nog een aantal voorwaarden waaraan moet worden voldaan. De risico’s op vlak van bedrijfscontinuïteit maken integraal deel uit van het geheel aan risico’s waarmee de FOD geconfronteerd kan worden. Dit sluit evenwel niet uit dat een ander risico dat in se de continuïteit niet in het gedrang brengt bij het niet nemen van maatregelen wel evolueert tot een dergelijk risico’s. Vb. het niet bijhouden van een kopie of back-up op een andere locatie van de boekhouding is op zich geen risico dat de continuïteit van de processen binnen de organisatie in het gedrang brengt. Wanneer er echter brand uitbreekt op de boekhoudafdeling van de dienst kan dit wel evolueren tot een continuïteitsrisico gelet op de wettelijke verplichting tot het bewaren van facturen. De risicoanalyse die opgemaakt werd in 2003-2004 in het kader van interne controle binnen de FOD, alsook de risicoanalyses die werden opgemaakt in het kader van de moderniseringsprojecten zijn een zeer belangrijke bron van informatie in het kader van het project Business Continuity Management (zie DEEL II, punt 2.3 Risicoanalyse, p. 48-49).



15

2.3. Crisismanagement Definitie Crisismanagement is het terugdringen van de gevolgen van de crisis en

het voorkomen van verdere escalatie. De primaire doelstelling van crisismanagement is crisisbeheersing. Crisismanagement is daarmee, net zoals een Business Continuity Plan, een repressieve of reactieve maatregel.12

Link BCM In het kader van Business Continuity Management is de eerste Business Continuity Management respons het beheren van de acute crisis, het stabiliseren van de situatie en de schade beperken (Incident Management). In een 2de instantie wordt beslist het Business Continuity Plan te activeren om finaal over te gaan naar het herstel van alle processen (Business Recovery). Er is met andere woorden een duidelijke overlapping tussen beiden.

2.4. Schematische voorstelling Als conclusie van voorgaande kan gesteld worden dat er een nauw verband is tussen Business Continuity Management, Crisismanagement, Risicomanagement, Interne controle en Interne audit. Dit verband wordt op volgende figuur op een schematische wijze weergegeven.

12 KNEGTEL, Louise, Crisismanagement vanuit een Business Continuity perspectief, BCM Academy, Harderwijk, 2007

Conclusie Er kan besloten worden dat interne controle en maatregelen op vlak van

bedrijfscontinuïteit onlosmakelijk met elkaar verbonden zijn en overlappen. Het interne controlesysteem moet dus met andere woorden voorzien in beheersmaatregelen voor alle mogelijke risico’s inclusief bedrijfscontinuïteitsrisico’s. Daarnaast is er eveneens een duidelijke link tussen interne audit en Business Continuity Management. Interne audit evalueert in welke mate de organisatie de risico’s die de continuïteit van de organisatie in het gedrang kunnen brengen beheerst en formuleert adviezen hierover.

Er wordt sterk aanbevolen dat er binnen de FOD Binnenlandse Zaken een afstemming van de activiteiten moet zijn tussen de verantwoordelijken op vlak interne controle binnen de FOD, de dienst interne inspectie en de verantwoordelijke(n) inzake Business Continuity Management. Zoals hierboven aangehaald is bedrijfscontinuïteit één van de domeinen die het voorwerp kunnen uitmaken van een audit. Momenteel vindt dit binnen de FOD niet systematisch plaats. Enkel wanneer er aanwijzingen zijn van een ernstig risico op dat vlak en op vraag van de Voorzitster van het Directiecomité wordt dit aspect, net zoals alle andere aspecten, geauditeerd. Een mogelijke aanbeveling zou bijgevolg kunnen zijn bij elke interne audit de beheersing van de risico’s op vlak van bedrijfscontinuïteit op te nemen en hierover naast de huidige rapportage eveneens over te rapporteren aan de verantwoordelijke(n) inzake Business Continuity Management.



16

BUSINESS CONTINUITY PLAN

INCIDENT MANAGEMENT PLAN

DISASTER RECOVERY PLAN

RISICOMANAGEMENT

ORGANISATIEDOELSTELLINGEN

BCM RESPONS

CRISISMANAGEMENT

INCIDENT

RISICO'S

PREVENTIEVE

REACTIEVE

CORRECTIEVE

BEHEERSMTR BEHEERSMTR

PROCESSEN

INTERNE CONTROLE SYSTEEM

INTERNE AUDIT

TRANSFER

ACCEPT

REDUCE

AVOID

KRITIEKE PROCESSEN

BUSINESS AS USUAL

ORGANISATIE

RISICO'S


OFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM



18

3. Wat zijn voordelen van een Business Continuity M anagement Programma? Het installeren van een Business Continuity Management binnen de oganisatie heeft een aantal voordelen waarvan de meest belangrijke hieronder werden opgesomd: Verzekeren dienstverlening

De organisatie voldoet aan de morele en sociale verantwoordelijkheid om bepaalde dienstverlening te garanderen ondanks een onderbreking van één of meerdere werkprocessen.

Wettelijke verplichtingen

De organisatie is voorbereid om ongeacht de omstandigheden te voldoen aan haar wettelijke en reglementaire verplichtingen.

Reputatie

De organisatie is in staat op een geloofwaardige en voorbereide manier respons te geven, wat niet alleen een bescherming maar ook een verrijking van de reputatie kan betekenen.

Behoeften stakeholders

De afhankelijkheden van de organisatie van de verschillende stakeholders, alsook hun behoeften zijn gekend. Deze kunnen een cruciale rol spelen in het verzekeren van de dienstverlening.

Afgesproken aanpak

De respons van de organisatie op een mogelijke onderbreking van de kritieke processen wordt voorbereid en er worden afspraken hierover gemaakt door het management. De organisatie beschikt over procedures en de beschikbaarheid van personeel en middelen is verzekerd.

Middelen

De organisatie weet welke de middelen (personeel, infrastructuur, …) zijn die noodzakelijk zijn voor het verzekeren van de continuïteit van de meest kritieke processen.

Inzicht organisatie Het in detail bekijken van de organisatie en de verschillende processen kan soms voordelen opleveren uit onverwachte hoek. Business Continuity Management kan een bijdrage leveren aan verbetering van de processen door het inzichtelijk maken van knelpunten.

Inschatting impact

De organisatie kan op proactieve wijze de impact van een onderbreking voor de organisatie inschatten. Hierdoor wordt het mogelijk maatregelen te nemen om de impact van een onderbreking te minimaliseren.

Crossteam werken Het personeel wordt opgeleid en is voorbereid om efficiënt te reageren in geval van een incident of onderbreking en kan bovendien worden ingeschakeld in andere teams. De flexibiliteit, de betrokkenheid en de groepsgeest van het personeel worden gestimuleerd.

4. Business Continuity Standaarden

4.1. Een aantal internationale BCM normen (standard s) en richtlijnen (guidelines)

In de literatuur is heel wat terug te vinden over Business Continuity Management, zo ook verschillende richtlijnen en normen. Deze kunnen dienen als een theoretisch raamwerk als ondersteuning voor organisaties die een Business Continuity Management programma in hun organisatie wensen te installeren.



19

Hieronder wordt vooreerst het verschil tussen beiden uitgelegd om daarna een aantal voorbeelden te geven van de meest gebruikte en gelezen internationale richtlijnen en normen. BC norm Een Business Continuity norm is een document dat ontwikkeld werd

door een officiële, door de International Organisation for Standardization (ISO) erkende, organisatie voor normen of standaarden. Deze norm beschrijft een afgesproken manier om iets te doen. Tot op heden bestaat er geen ISO norm inzake Business Continuity Management. Met de publicatie van de Publicly Available Specification ISO/PAS 22399:2007 (cfr. infra) werd echter een stap in deze richting gezet.

BC richtlijnen Een Business Continuity richtlijn daarentegen heeft geen officieel karakter. Het is eerder een samenvatting van een aantal richtlijnen en ‘best practices’ om een Business Continuity Management te installeren.

Waarom gebruiken?

Er bestaat geen verplichting om bij de implementatie van een Business Continuity Management gebruik te maken van normen of richtlijnen, het is echter wel ten zeerste aan te bevelen. Het biedt de organisatie een maatstaf aan waartegen deze haar eigen Business Continuity Plan en het ondersteunend Business Continuity Management Proces kan afmeten. Bovendien bieden sommige standaarden eveneens de mogelijkheid om na de implementatie een certificering te bekomen. Hieronder worden een aantal van de meeste bekende richtlijnen en normen inzake Business Continuity Management weergegeven. Niettegenstaande er binnen verschillende landen richtlijnen en standaarden werden uitgewerkt, treedt het Verenigd Koninkrijk toch op het voorplan met een standaard die wereldwijd wordt gebruikt, met name de British Standard 25999.

‘BCI Good Practice Guidelines’

Business Continuity Institute (BCI) Guidelines De ‘Business Continuity Institute’ werd opgericht in 1994 in het Verenigd Koninkrijk. Deze organisatie, met ondertussen meer dan 4000 leden uit meer dan 85 verschillende landen, heeft als doel BCM professionals te ondersteunen en begeleiden. De BCI Good Practice Guidelines bespreekt de grote principes binnen het Business Continuity Management proces en geeft aanbevelingen voor de toepassing ervan. Deze Good Practice Guidelines zijn zowel van toepassing op grote als kleine organisaties ongeacht de sector.

BS25999 In november 2006 werd door de British Standard Institute (BSI) de officiële British Standard BS25999 part one gepubliceerd in vervanging van de PAS 56 (Publicly Available Specification) ‘Guide to Business Continuity Management’. In november 2007 werd de British Standard BS25999 part two gepubliceerd. - BS25999 part one: Dit deel geeft een algemeen kader met betrekking

tot het proces, de principes en de terminologie inzake Business Continuity Management. Het biedt een basis voor het begrijpen, ontwikkelen en implementeren van Business Continuity in de organisatie. Deze norm is zoals hierboven aangegeven de vervanging van de PAS56 en is gebaseerd op de BCI ‘Good Practice Guidelines’ (zie supra).



20

- BS25999 part two: Dit deel beschrijft de specifieke vereisten voor onder meer de implementatie, het monitoren, het herzien, het oefenen en verbeteren van het Business Continuity Systeem binnen het geheel van het risicomanagement binnen de organisatie.

De British Standard BS25999 blijkt volgens een enquête over BC standaarden georganiseerd door ‘Continuity Central’ (februari – maart ’07) de meest gelezen internationale norm voor Business Continuity te zijn. Deze norm werd aangekocht door de FOD Binnenlandse Zaken (Algemene Directie Crisiscentrum).

ISO/PAS22399:2007 In November 2007 publiceerde ISO een Public Available Publication (PAS) en bijgevolg het eerste internationaal geratificeerde document met betrekking tot preparedness and continuity management. ‘ISO/PAS 22399:2007 Societal security – Guideline for incident prepared ness and operational continuity management ’ is een internationale consensus over best practices van de vijf belangrijkste spelers op dit vlak:

1. NFPA 1600, Standard on Disaster Management and Business Continuity Programs of the US National Fire Protection Association (NFPA)

2. BS 25999-1: Business Continuity Management Part 1: Code of Practice of the British Standard Institute (BSI)

3. HB 221: Business Continuity Management, of Standards Australia (SA)

4. SI 24001:2007: Security and continuity management systems – requirements and guidance or use of the Standards Institution of Israel (SII)

5. the work of the Japanese Inustrial Standards Committee (JISC) Dit initiatief vloeit voort uit de nood aan één globaal en herkenbaar traject voor preparedness en continuity management uit te tekenen en hierbij de verwarring tussen de verschillende nationale benaderingen weg te werken. Deze ISO/PAS werd aangekocht door de FOD Binnenlandse Zaken (Algemene Directie Crisiscentrum).

IT- gerichte normen Naast algemene normen en richtlijnen inzake Business Continuity Management, bestaan er eveneens een aantal specifiek IT-gerichte normen richtlijnen waarin de continuïteit op vlak van ICT besproken wordt, waarvan hieronder enkele voorbeelden: ITIL (IT Infrastructure Library) is een raamwerk voor het beheer van IT binnen de organisatie. ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management. NIST – Contingency Planning guide for IT systems (US)

Conclusie In het kader van dit werk werden een aantal van de bovenvermelde richtlijnen en normen bestudeerd. Zowel de BS 25999 (deel 1 en deel 2), alsook de ISO/PAS22399:2007 werden door het Crisiscentrum aangekocht.



21

Er kan worden vastgesteld dat deze documenten in grote lijnen hetzelfde weergeven, hier en daar wat anders geformuleerd of gedetailleerd. Het is dan ook niet zo dat wanneer de organisatie kiest om een bepaalde norm te volgen de resultaten tegenovergesteld zouden zijn dan wanneer zij gebruik zouden maken van een andere norm. Hierbij kan ook nog worden opgemerkt dat deze richtlijnen en normen enkel aangeven wat de stappen zijn die ondernomen moeten worden om een Business Continuity Management te installeren, maar weinig informatie bevatten over het ‘hoe’ de verschillende stappen in de praktijk moeten worden omgezet. De aanbevelingen voor de implementatie van Business Continuity Management binnen de FOD Binnenlandse Zaken die verder in dit document worden geformuleerd, baseren zich bijgevolg op de verschillende stappen die in de doorgenomen richtlijnen en normen terugkomen, en dit aangevuld met nuttige informatie uit een uitgebreide literatuurstudie en persoonlijk onderhoud met personen die reeds praktische ervaring hebben op vlak van Business Continuity Management.



22

DEEL 2

- De 6 fasen van Business Continuity Management -



23

Inleiding

In dit deel worden de verschillende fasen besproken die doorlopen moeten worden of de elementen die in de organisatie aanwezig moeten zijn om te kunnen spreken van een Business Continuity Management. Naast een beschrijving van een aantal begrippen en de beschrijving van wat deze fase precies inhoudt, wordt er ook aandacht besteed aan hoe deze fase geïmplementeerd kan worden binnen de FOD Binnenlandse Zaken.

In DEEL I werd een opsomming gegeven van een aantal internationale standaarden die beschikbaar zijn. Allen hanteren een min of meer gelijk procesmodel, dat hieronder verder zal worden besproken. Hieronder vindt men een afbeelding van het Business Continuity Management proces gebaseerd op de lifecycle volgens de British Standard 25999-1:2006.

Procesmodel

De fasen van BCM 1. Het Business Continuity Programma

2. Inzicht in de organisatie

3. Het bepalen van de BCM strategie

4. Het ontwikkelen en implementeren van de BCM res pons

5. Oefenen, onderhouden en herzien

6. Het inbedden van BCM in de organisatiecultuur




Fase 4 Ontwikkelen


Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT



24



25

F

ase

1 –

BC

M P

rogr

amm

a

1 Het BCM Programma Het is van belang, net zoals bij elk project, dat er een duidelijk kader beschreven wordt voor de implementatie van een Business Continuity Management. Zo is het onder meer nodig dat de doelstellingen van het project duidelijk zijn, de rollen en verantwoordelijkheden worden beschreven, dat er gecommuniceerd wordt over het project, enz. Al deze elementen komen aan bod in het BCM Programma, de zogenaamde ‘kapstok’ van het project. Onder volgend punt komen de verschillende onderdelen van het BCM Programma aan bod. 1.1 Beleidsverklaring / Policy Development

Beleidsverklaring Eén van de belangrijkste randvoorwaarden voor een succesvolle

implementatie van Business Continuity Management is volgens alle geconsulteerde bronnen de ondersteuning van het topmanagement. De verschillende bronnen bevelen dan ook aan dat het topmanagement op een formele wijze een beleidsverklaring (BCM Policy) ondertekent en deze doorheen de organisatie communiceert. De Voorzitster van het Directiecomité van Binnenlandse Zaken heeft deze doelstelling, met name de uitbouw van een risicomanagement met bijzondere aandacht voor continuïteit, in haar Managementplan 2009-2014 ingeschreven. Dit kan indirect eveneens als een beleidsverklaring gelden. Om het belang van deze doelstelling te benadrukken is het ook aangewezen een specifieke communicatie vanuit het topmanagement hierrond te verspreiden doorheen de organisatie.




Fase 4 Ontwikkelen


Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT



26

F

ase 1 – BC

M P

rogramm

a

Inhoud van de beleidsverklaring

Wat staat er in een beleidsverklaring? Als antwoord op die vraag volgt hierna een opsomming van de punten die in de beleidsverklaring aan bod moeten/kunnen komen (deze lijst is niet exhaustief):

- De definitie van Business Continuity Management volgens de organisatie;

- De Business Continuity doelstellingen van de organisatie (welke resultaten worden verwacht?);

- De scope van het BCM project (welke diensten/processen wel, welke niet of later?, welke risicodomeinen);

- Het toekennen van verantwoordelijkheden en de organisatie van het project (projectleider, stuurgroep, werkgroep);

- De beschikbaarheid van personeel en middelen (tijd/budget); - Versiecontrole en documentbeheer van de beleidsverklaring; - Contactinformatie; - Facultatief: Referenties naar documentatie, standaarden, wet-

en regelgeving (vb. BCM standaard); - Facultatief: Het standpunt van het management met betrekking

tot de verhouding risicomanagement versus Business Continuity Management (zie DEEL I, punt 2.1 Risicoanalyse, p. 8-9).

Initieel kan de beleidsverklaring een eerder algemene intentieverklaring zijn om naarmate de werkzaamheden vorderen verder te verfijnen en aan te vullen. Dit is ook de reden waarom de beleidsverklaring met regelmaat dient te worden herzien.

Voorstel voor de FOD Binnenlandse Zaken

In DEEL III kan men een ontwerp beleidsverklaring voor de FOD Binnenlandse Zaken terugvinden. Dit document moet in eerste instantie aangepast worden conform de verwachtingen van het management ten aanzien van dit project, daarna dient het document verder te worden aangevuld en verfijnd naarmate het project vordert.

1.2 Doelstellingen, afbakeningen en uitgangspunten van de organisatie / Scope

Scope van het project

Het is aangewezen dat voor de implementatie van een Business Continuity Management gewerkt wordt met de algemene principes van het projectmanagement. Niettegenstaande Business Continuity Management geen tijdelijk gegeven is, wat een typisch kenmerk is van een project, is het volgens verschillende bronnen een goede methode om het managementproces binnen de organisatie te installeren. In een volgende fase kan dan geopteerd worden voor een permanente structuur die onder andere ook instaat voor het opvolgen, onderhouden, updaten en inoefenen van de Business Continuity Plannen. Onder punt 1.3 ‘rollen en verantwoordelijkheden’ (pagina 27) werd daarom een onderscheid gemaakt tussen de projectstructuur enerzijds (de tijdelijke werkgroepen en contactpersonen die zullen bijdragen bij de ontwikkeling van de plannen) en anderzijds een permanente structuur (één of meerdere aanspreekpunten Business Continuity binnen de organisatie die bevoegdheden hebben bij de activering van de plannen, verantwoordelijk zijn voor het updaten en inoefenen van het plannen,…).



27

F

ase

1 –

BC

M P

rogr

amm

a

Het is evenwel best mogelijk dat de personen die in de projectstructuur hebben meegewerkt aan de ontwikkeling van de plannen eveneens in de permanente structuur een belangrijke rol kunnen spelen. Dat is niet verwonderlijk aangezien deze personen de plannen beter kennen dan wie ook binnen de organisatie.

1.3 Rollen en verantwoordelijkheden 1.3.1 Projectstructuur Projectbeheer De eerste fase in het BCM programma is het beheer van het

programma zelf. Dit kan ook omschreven worden als het projectbeheer. Dit omvat voornamelijk de projectorganisatie, de rollen en verantwoordelijkheden alsook de werkwijze die gevolgd zal worden.

Projectfiche Bij aanvang van een project dient volgens de principes van het projectmanagement een projectfiche te worden opgemaakt. De projectfiche bevat onder meer een duidelijke beschrijving van de doelstellingen van het project en de gewenste resultaten, een verdeling van de rollen en verantwoordelijkheden, de scope van het project, de afhankelijkheden, de mogelijke risico’s waarmee men geconfronteerd kan worden, een analyse van de kosten en de baten en een globale planning van het project. Het is van belang dat de projectfiche besproken wordt met en formeel goedgekeurd wordt door het management. Deze fiche is immers de kapstok van het volledige project. De informatie in de projectfiche komt voor een groot deel overeen met de informatie in de beleidsverklaring, doch is gedetailleerder naar praktische informatie over de methodologie. Waar de projectfiche een exclusief intern document is met als doelgroep alle personen die nauw bij het project betrokken zijn of er aan meewerken, is de beleidsverklaring toegankelijk voor alle personen die deel uitmaken van de organisatie en daarbuiten.

Voorstel voor de FOD Binnenlandse Zaken

In DEEL III kan men een ontwerp projectfiche voor de FOD Binnenlandse Zaken terugvinden. Dit document moet in eerste instantie aangepast worden conform de verwachtingen van het management ten aanzien van dit project, daarna dient het document samen met de daarvoor aangeduide werkgroep verder te worden verfijnd in een gedetailleerd stappenplan of ook nog ‘Plan van Aanpak’ genaamd.

Projectorganisatie

Alvorens het project kan worden opgestart dient door het topmanagement, de sponsor van het project, een projectleider te worden aangeduid die het project ‘implementatie van een Business Continuity Management’ zal coördineren. Het aantal personeelsleden nodig voor dit project hangt af van de grootte, de aard, de complexiteit en de geografische locatie van de organisatie alsook van de scope (worden alle directies/diensten betrokken?) en de beschikbare tijd.



28

F

ase 1 – BC

M P

rogramm

a

Benchmarking

In kleine en middelgrote organisaties (<250)1 kan de BCM activiteit worden toegekend aan een individu naast zijn/haar andere opdrachten. Dit is zelden bevredigend wanneer de andere opdrachten dagelijkse operationele verantwoordelijkheid vergen. In grotere organisaties (>250 werknemers) kunnen er meerdere personen hetzij voltijds, hetzij halftijds BCM verantwoordelijkheden krijgen. Uit een bevraging van een aantal personen die binnen een organisatie werken op het project Business Continuity Management blijkt dat zij deze functie in de meeste gevallen voltijds uitoefenen alsook hiervoor ondersteund worden door meer dan één universitair geschoold persoon. Bij de personen van de organisaties waarmee contacten werden gelegd (zie hieronder enkele voorbeelden) was het enkel bij de Vlaamse Gemeenschap dat er geen voltijds personeel werkt op Business Continuity Management. De contactpersonen van de Vlaamse Gemeenschap beamen echter wel dat het geen overbodige luxe zou zijn dat zij voltijds op het project zouden kunnen werken. Enkele voorbeelden:

- Voor het Justus Lipsius gebouw van de Raad van de Europese Unie (2400 werknemers) werken 2 VTE reeds meerdere jaren op business Continuity.

- Bij het Europees Parlement (+/- 5000 ambtenaren) werken 10 VTE op crisismanagement waarvan 2 VTE op Business Continuity Management.

- Bij Infrabel (+/-13.000 werknemers) 3 VTE universitair geschoolden ism 3 consultants van Deloitte

- Bij Dexia Bank België 10VTE op Operationeel Risico Management waarvan 4 VTE op Business Continuity Management (+/-14.000 werknemers)

- Bij de Vlaamse Gemeenschap (voor 11 entiteiten) 3 VTE, deeltijds (15%) naast overige taken.

Structuur projectorganisatie

Het is aangewezen dat voor de FOD Binnenlandse Zaken minstens 1 persoon zich voltijds (eventueel tijdelijk voltijds daarna deeltijds) kan bezighouden met dit project. Deze persoon is het centrale contactpunt voor de volledige organisatie. Daarnaast is het nuttig om per directie een contactpersoon Business Continuity (BCM correspondent) te hebben die de concrete acties coördineert binnen zijn eigen directie en hierover rapporteert aan de projectleider. Er wordt aanbevolen volgende rollen te voorzien in de projectorganisatie:

- de projectsponsor: de opdrachtgever voor het project, topmanagement

- de projectleider: de persoon die wordt aangeduid om het project te leiden en de werkzaamheden te coördineren

- de correspondenten / task force: vertegenwoordigers uit de verschillende directies

- deelnemers werkgroepen binnen de directie: personeelsleden die meewerken aan het operationaliseren van de acties op de werkvloer.

1 Commission Recommendation 96/280/EC of 3 April 1996 concerning the definition of small and medium-sized enterprises



29

F

ase

1 –

BC

M P

rogr

amm

a

Hieronder kan men per rol een opsomming vinden van de bevoegdheden in die rol, alsook bij sommige rollen een beschrijving van het profiel. Daarna wordt een schematische weergave gegeven van de projectorganisatie en een voorstel tot werkwijze om deze samen te stellen.

Rol projectsponsor De rol van de projectsponsor bestaat onder andere uit: - Aanduiden van een persoon of een team om het BCM programma te

beheren; - Het bepalen van de scope van het management proces (vb. hoeveel

VTE, deadlines,..) alsook van het BCM programma (vb. welke diensten? Welke risicodomeinen?);

- Goedkeuren van het eventuele budget; - Monitoring van de vooruitgang van het project; - Goedkeuren van de beleidsverklaring en communicatie hierover; - Goedkeuring met betrekking tot welke de sleutelprocessen zijn van

een dienst; - Goedkeuring van de te ondernemen acties die worden voorgesteld

(BCM respons); - Goedkeuring van het BCP opleidings-, oefenen

herzieningsprogramma.

Rol projectleider – (BC Manager)

De rol van de projectleider bestaat onder andere uit: - Coördinatie van het project; - Het ontwikkelen en goedkeuring van een BCM plan van aanpak

(verschillende te ondernemen stappen); - Opvolging van de planning en de organisatie van de verschillende

BCM activiteiten binnen de organisatie en de verschillende afdelingen;

- Business Continuity promoten doorheen de organisatie en buiten de organisatie wanneer gepast;

- Het beheren van het eventuele budget; - Het bijhouden van alle BCM programma documentatie; - Op een geregeld tijdstip rapporteren aan de projectsponsor over de

vooruitgang van het project en de lacunes; - Het verzekeren van de opvolging van de projectplanning volgens

tijdschema; - Het uittekenen en superviseren van het testen oefenplan; - Periodieke herziening van de ontwikkelde plannen; - Risicomonitoring.

Profiel Projectleider (BC Manager)

Het is van belang dat de persoon die instaat voor de coördinatie van het project voor de volledige organisatie over voldoende anciënniteit en autoriteit beschikt om dit project te dragen. Daarnaast is het wenselijk dat deze persoon voldoende kennis heeft over de opdrachten van de organisatie en de verschillende afdelingen of bereid is zich op dit vlak snel in te werken. De projectleider moet eveneens in staat zijn vlot contacten te leggen met personen van verschillende niveaus en moet overtuigend overkomen.



30

F

ase 1 – BC

M P

rogramm

a

Rol Stuurgroep – Task Force BCM

Rol van de stuurgroep / Task Force BCM: - De stuurgroep is samengesteld uit afgevaardigden uit de

verschillende afdelingen van een organisatie (BCM correspondent) - De gepaste BCM activiteiten plannen en organiseren binnen de

eigen afdeling van de organisatie; - Intern overleg binnen de afdeling organiseren; - Rapportering aan de het eigen diensthoofd; - Rapportering aan de projectleider / BCM Manager.

Profiel BCM correspondent

Bij voorkeur is dit een persoon die op vrijwillige basis deze taak op zich neemt en bijgevolg ook overtuigd is van het nut van het project. Deze persoon moet een goede kennis hebben van de opdrachten van zijn/haar directie of moet bereid zijn zich hier snel in in te werken. Daarnaast moet hij/zij in staat zijn vlot contacten te leggen binnen zijn/haar directie en een aantal personeelsleden binnen zijn/haar directie te mobiliseren in een werkgroep om concrete acties voor de directie uit te werken.

Werkgroep(en) Rol van de werkgroep(en): - Het onder leiding van de BCM correspondent voorbereiden van de

BCM activiteiten - Het implementeren van de concrete BCM maatregelen binnen de

organisatie

Profiel werkgroep(en)

De werkgroep is zoveel mogelijk samengesteld uit vertegenwoordigers van de verschillenden afdelingen/diensten binnen de directie.

Voorstel projectorganisatie BiZa

Projectleider

(BCM coördinator)

Task Force BCM

BCM correspondent

DVZ/OE

BCM correspondent

VPB/SPP

BCM correspondent

CV/SC

BCM correspondent

IB/IP

BCM correspondent

CC

BCM correspondent Stafdienst B&B

BCM correspondent Stafdienst P&O

BCM correspondent Stafdienst ICT

BCM correspondent

RVV/CCE

BCM correspondent CGVS/CGRA

Experten

Projectsponsor

Voorzitster Directiecomité



31

F

ase

1 –

BC

M P

rogr

amm

a

In dit schema bestaat de Task Force Business Continuity Management uit: - de projectleider - één BCM correspondent per directie - één BCM correspondent per stafdienst - In functie van de te bespreken punten in de Task Force kunnen

interne en externe experten worden uitgenodigd. Andere aanbevelingen in verband met de projectorganisatie BCM voor de FOD Binnenlandse Zaken:

- Het verspreiden van een interne oproep voor het aanwijzen van zowel de projectleider als de BCM-correspondenten (projectleden afkomstig uit de verschillende diensten) is een mogelijkheid.

- De aanduiding van de projectleider alsook de aanwijzing van de BCM-correspondenten, gebeurt door de projectsponsor en bij voorkeur op een formele manier. De beslissing wordt daarna door het topmanagement gecommuniceerd doorheen de organisatie. Dit toont enerzijds aan hoeveel belang het topmanagement aan het project hecht. Anderzijds zorgt deze communicatie er ook voor dat de rollen en verantwoordelijkheden van iedereen duidelijk zijn.

- De toegekende rollen in het kader van dit project worden ingeschreven in de functiebeschrijving.

- Er kan nagedacht worden over het valoriseren van de medewerkers aan dit project, bijvoorbeeld door:

o Een externe opleiding inzake Business Continuity Management te laten volgen;

o Toekennen van een projectpremie; o Publicatie van een artikel rond het project en de

projectmedewerkers in bijvoorbeeld Interiors.

1.3.2 Permanente structuur

Zoals hierboven reeds aangehaald is Business Continuity Management geen tijdelijk gegeven. Het volstaat met andere woorden niet een aantal plannen in de kast te hebben liggen. Integendeel, de opgemaakte plannen moeten voortdurend bijgewerkt worden in functie van de wijzigingen binnen de organisatie, de plannen moeten aangepast worden aan nieuwe risico’s of bedreigingen waarmee de organisatie wordt geconfronteerd, de plannen moeten getest worden op haalbaarheid, het personeel moet op regelmatige basis de in de plannen beschreven rollen inoefenen, enz…. Niettegenstaande hierboven werd aanbevolen de principes van projectmanagement toe te passen om het proces in de organisatie te introduceren en op gang te trekken, is het om bovenvermelde redenen sterk aan te raden hierna een permanente structuur voor Business Continuity Management binnen de organisatie te voorzien. Met een permanente structuur wordt enerzijds bedoeld dat één of meerdere personen op het niveau van de centrale coördinatiediensten zich permanent blijft bezig houden met Business Continuity Management en risicomanagement in het algemeen (Business Continuity Manager / Risk Manager).



32

F

ase 1 – BC

M P

rogramm

a

Daarnaast is het ook aan te raden dat de BCM correspondenten binnen de verschillende directies permanent een rol blijven spelen. Zij blijven het contactpunt voor vragen in verband met Business Continuity Management binnen hun directie, zij signaleren aan de BC Manager wanneer er wijzigingen in de plannen moeten worden aangebracht en sturen de informatie door, zij kunnen ook het contactpunt zijn voor het organiseren van oefeningen, opleidingen, …

1.3.3 Crisisstructuur

Rol BC manager BCM correspondent igv onderbreking

Anderzijds moet er ook nagedacht worden over welke de rol dan moet zijn van deze permanente structuur, in het bijzonder van de BCM correspondenten en de BC Manager, in geval van een ernstige onderbreking waarbij het noodzakelijk is het Business Continuity Plan effectief op te starten. Aangezien deze personen het plan door en door kennen zou het onverstandig zijn in een noodsituatie hun kennis niet in te zetten. Afhankelijk van de cultuur die binnen de organisatie heerst, moet de exacte rol van deze personen in geval van een noodsituatie worden gedefinieerd. Het moet in elk geval duidelijk zijn dat de Business Continuity Manager en/of de BCM correspondenten in geval van een onderbreking niet de verantwoordelijke zijn voor het herstellen van de activiteiten. Hun rol is als facilitator ondersteunend en in sommige situaties sturend kunnen optreden zodat het herstelproces vlotter kan verlopen.

Praktisch voorbeeld Crisiscentrum

In mei ’09 werd, naar aanleiding van de A/H1N1 griep, de mogelijke afkondiging van het nationaal noodplan influenza voorbereid binnen het Crisiscentrum. Er werd een interne coördinatievergadering opgericht onder leiding van het diensthoofd noodplanning, twee dossierbeheerders noodplanning, één permanentiechef, één communicator en de persoon die zich momenteel bezighoudt met Business Continuity Management binnen het Crisiscentrum. Omdat bij de afkondiging van een nationale fase er verhoogde prestaties worden geleverd door het personeel van het Crisiscentrum en in geval van een grieppandemie ook het Crisiscentrum te kampen kan krijgen met een hoog aantal zieken, bestaat de kans dat er op een bepaald ogenblik een gebrek aan personeel ontstaat waardoor de continuïteit van de activiteiten (in casu beheer federale fase) in het gedrang kan komen. Het voorstel kan zijn dat voor het Crisiscentrum de BCM correspondent geïnformeerd wordt van zodra naar aanleiding van een bepaalde gebeurtenis een fase van nationale coördinatie wordt afgekondigd. Dit kan bijvoorbeeld geconcretiseerd worden doordat de BCM correspondent deelneemt aan de interne coördinatievergadering zoals hierboven beschreven, en zo een betere inschatting kan maken van de mogelijke bedreigingen voor de continuïteit. De BCM correspondent kan dan de nodige acties ondernemen om mogelijke back-up personen te briefen en te verwittigen dat ze zich stand-by moeten houden.



33

F

ase

1 –

BC

M P

rogr

amm

a

Ook in geval van stroompanne, ICT-problemen, of problemen met toegang tot het gebouw of een deel van het gebouw is het belangrijk te beschrijven in welke gevallen de correspondent al dan niet wordt gecontacteerd, wat zijn/haar rol exact is (bijvoorbeeld afkondiging plan, contacten leggen met andere diensten, back-ups oproepen,..) en dient er hierrond een aantal interne afspraken te worden gemaakt. De rol van de BCM correspondent moet bijgevolg per dienst afzonderlijk worden bekeken en de structuur sluit best zoveel mogelijk aan bij de huidige bestaande structuren.



34

F

ase 1 – BC

M P

rogramm

a


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM 35

F

ase

2 –

Inzi

cht i

n de

org

anis

atie

2 Inzicht verkrijgen in de organisatie De tweede fase in het Business Continuity Management proces is het verkrijgen van een goed inzicht in de eigen organisatie, de werking van de bedrijfsprocessen, de mensen en de middelen die voor de uitvoering van de processen nodig zijn, de onderlinge afhankelijkheden tussen de processen, de impact van een onderbreking van de processen op de organisatie en de bedreigingen waarmee de organisatie kan worden geconfronteerd. Deze fase wordt in de literatuur gezien als één van de belangrijkste fasen in het Business Continuity Management. Hier worden de fundamenten gelegd voor het verdere verloop van het proces. Om te weten hoe en op wat men zich moet/kan voorbereiden, en welke de middelen zijn die ter beschikking moeten worden gehouden, moet men de processen in detail gaan bekijken. Binnen deze fase kunnen 3 belangrijke stappen onderscheiden worden: Business Analyse (BA)

Bij het uitvoeren van een Business Analyse worden alle elementen (input, output, doelstelling, middelen,…) van het proces in kaart gebracht, alsook de eventuele afhankelijkheden van het proces met andere processen.

Business Impact Analyse (BIA)

De Business Impact Analyse is een analyse van de impact van een onderbreking van de processen voor de organisatie, ongeacht de oorzaak van de onderbreking.

Risicoanalyse (RA)

De Risicoanalyse is een analyse betreffende de mogelijke bedreigingen die kunnen leiden tot een onderbreking van de processen van de organisatie, de waarschijnlijkheid van hun voorkomen en de impact ervan op de organisatie.




Fase 4 Ontwikkelen


Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT



36

F

ase 2 – Inzicht in de organisatie B

usiness Analyse (B

A)

2.1 Business Analyse Zoals hierboven beschreven wordt bij het uitvoeren van een Business Analyse informatie verzameld over de processen binnen een organisatie. Hierna wordt beschreven hoe men processen binnen een organisatie definieert, wat een proces is, hoe men de processen binnen een organisatie kan oplijsten en welke processen van belang zijn in het kader van het project Business Continuity Management. Organisatie-doelstellingen

Elke organisatie vertrekt van een visie, die op haar beurt vertaald wordt in organisatiedoelstellingen. Om deze doelstellingen te realiseren zal de leiding van de organisatie een strategie uitwerken, processen uittekenen en invoeren alsook middelen inzetten en/of aantrekken. Om de processen binnen de organisatie te kennen moet men met andere woorden eerst de organisatiedoelstellingen identificeren. Het komt er in deze fase op aan zoveel mogelijk informatie met betrekking tot de doelstellingen van de organisatie te verzamelen. Deze informatie kan bijvoorbeeld teruggevonden worden in: - Managementplannen - Mission statements - Oprichtingsdecreet of –wet van een organisatie - Statuten van de organisatie - Balanced Scorecards - Swot analyses - Moderniseringsprojecten - Audits - Jaarverslagen - Enz..

Prioritiseren Nadat de doelstellingen van de organisatie werden opgelijst moet worden afgetoetst met het management welke de voor hen meest prioritaire doelstellingen zijn op vlak van Business Continuity. Met andere woorden, welke zijn de doelstellingen waarvan de continuïteit niet, tijdelijk of langdurig onderbrok en kan worden. Op deze vraag bestaat geen ‘correct’ of ‘incorrect’ antwoord. Er bestaan ook geen eenduidige criteria om te gaan bepalen welke doelstellingen binnen een organisatie belangrijk of kritiek zijn voor het voortbestaan van een organisatie in geval van onderbreking en welke minder.

Stap 1

Business Impact

Analyse (BIA)

Business Analyse

(BA)

Risico- Analyse

(RA)

Fase 2

Stap 2 Stap 3

inzicht in

de organisatie



F

ase

2 –

Inzi

cht i

n de

org

anis

atie

Voor een aantal doelstellingen spreekt het voor zich dat ze erg belangrijk zijn, voor andere is dit helemaal niet zo eenvoudig te bepalen. De continuïteit van bepaalde doelstellingen zal hic et nunc ongetwijfeld belangrijker zijn dan de continuïteit van andere doelstellingen binnen de organisatie. Dit is echter maar een momentopname. Afhankelijk van verschillende omgevings- en/of andere factoren kunnen er nieuwe risico’s ontstaan en andere risico’s afnemen, waardoor de scope van het project dient te moeten worden aangepast. Indien men echter snel tot concrete resultaten wil komen is het beter eerst te werken rond een beperkt aantal doelstellingen en dit later uit te breiden naar andere doelstellingen in de plaats van op éénzelfde ogenblik continuïteitsstrategieën te willen uitwerken voor de volledige organisatie.

Processen Eenmaal door het management beslist is welke organsatiedoelstellingen behoren tot de scope van het project, dan dient voor deze doelstellingen te worden nagegaan wat de verschillende processen zijn binnen de organisatie die ervoor zorgen dat deze doelstellingen wordt bereikt. Daarna dienen deze processen te worden geanalyseerd en gevisualiseerd, zodat iedereen deze op dezelfde wijze begrijpt. Ook hier kan herhaald worden dat het doel van BCM er niet uit bestaat onmiddellijk alle processen zo snel mogelijk opnieuw te activeren na een uitval. Het is daarentegen belangrijk de vraag te stellen “wat is het minimum dat gedaan moet worden om de meest krit ieke activiteiten te herstellen?” Vooraleer verder te gaan op de methodologie betreffende het verzamelen van informatie rond een bepaald proces wordt eerst stilgestaan bij het begrip zelf. Wat is een proces?

Wat is een proces? Er bestaat nogal wat onduidelijkheid over de juiste invulling van het begrip proces. De ISO 9000:2005 norm geeft hierover de volgende definitie: Een proces is een geheel van samenhangende of elkaar beïnvloedende activiteiten dat input omzet in output.

INPUT OUTPUT

ACTIVITEIT 1

Proces

taak c

taak b

Taak a

ACTVITITEIT 2

ACTIVITEIT 3



38

F


usiness Analyse (B

A)

Een proces bevat activiteiten die doorgaans door meerdere rollen worden uitgevoerd. Een activiteit is een generieke term voor een groep van taken of werkzaamheden binnen een proces. Een activiteit of een taak wordt uitgevoerd door een rol. Een rol is niet noodzakelijk een functie maar wel een bundeling van competenties die noodzakelijk zijn voor het uitvoeren van een bepaalde activiteit of een taak (voorzitter vergadering, woordvoerder, …). Een rol valt met andere woorden niet noodzakelijk samen met een bestaande functie binnen de organisatie.

Soorten processen In elke organisatie kunnen er drie soorten processen worden onderscheiden (primaire, ondersteunende en managementprocessen). Het maken van dit onderscheid kan nuttig zijn wanneer het management bepaalt welke processen wel en welke processen niet deel uitmaken van het BCM project. Zo kan besloten worden zich in eerste instantie te richten op de primaire processen en pas in tweede instantie op de ondersteunende processen. Zo behoudt men ook een beter beeld van welke processen reeds werden besproken in het kader van het project en welke niet.

Primaire processen (kern- of operationele proc.)

Primaire processen zijn de processen van de organisatie die nodig zijn om de kernopdrachten te vervullen. Primaire processen zijn het meest onderscheidend aangezien zij uniek zijn en de specifieke dienstverlening van de organisatie beschrijven. Een voorbeeld voor het Crisiscentrum:

- Het garanderen van de 24u-permanentie is een primair proces - Selectie en Rekrutering van personeel is een ondersteunend

proces - Opvolging van kritische prestatie-indicatoren (KPI) is een

management- of besturend proces

Ondersteunende processen

Ondersteunende processen zijn processen van de organisatie die de primaire processen ondersteunen (vb. aanwerving personeel, ter beschikking stellen van ICT-infrastructuur, …) en uiteraard ook de besturingsprocessen en zichzelf. Ondersteunende, net zoals besturende processen (zie infra) zijn ongeveer bij alle organisatie gelijkaardig opgebouwd. Conform het EFQM-model2 kan bij ondersteunende processen een onderscheid gemaakt worden in mensen (personeelsmanagement) en middelen. De middelen gerelateerde processen kunnen verder opgedeeld worden in informatiemanagement, communicatie management, facility management en financieel management.

Management-processen

Managementprocessen omvatten alle activiteiten met betrekking tot het plannen, controleren, evalueren en bijsturen. Het zijn met andere woorden de processen die nodig zijn om de organisatie te besturen teneinde te voldoen aan de doelstellingen en aan de van toepassing zijnde weten regelgeving.

2Het EFQM-model is een model wat is ontwikkeld door de European Foundation for Quality Management. Het primaire doel van dit instrument is om organisaties beter in staat te stellen hun eigen functioneren, met betrekking tot gehele bedrijfsvoering, in het licht van Total Quality Management (TQM) te beoordelen. Deze beoordeling gebeurt aan de hand van een zelfbeoordeling (self-assessment). Dergelijke zelfbeoordeling wordt door EFQM omschreven als: “Self-Assessment is a comprehensive, systematic and regular review of an organisation’s activities and results referenced against the EFQM-model”



F

ase

2 –

Inzi

cht i

n de

org

anis

atie

Hieraan kan de besturing van de procesontwikkeling zelf worden toegevoegd. Dit zijn de zogenaamde verbeterprocessen, ook nog ‘Business Process Reengineering’ (BPR) of Moderniseringsprojecten (MPM) genaamd. Verbeterprocessen kunnen gezien worden als een soort besturende processen. Deze processen hebben immers tot doel het fundamenteel herdenken en radicaal vernieuwen van de organisatieprocessen om belangrijke prestatieverbeteringen te realiseren.

Schematische voorstelling

Figuur: gecertificeerde opleiding CACERSA02 – Uittekenen van processen – OFO

Processen FOD BiZa

In het kader van de moderniseringsprojecten binnen de FOD Binnenlandse Zaken werden de verschillende processen binnen de algemene directies reeds in kaart gebracht. Hierbij werd gebruik gemaakt van het informaticaprogramma ‘Office Visio’. De moderniseringsprojecten zijn bijgevolg eveneens een belangrijke bron van informatie.

Sleutelprocessen

In principe zijn alle werkzaamheden van een organisatie onder te brengen in een of meerdere processen. Niet alle processen zijn echter van even groot belang. Zoals hierboven reeds aangehaald is het in het kader van Business Continuity Management belangrijk de sleutelprocessen binnen de organisatie in kaart te brengen. De sleutelprocessen zijn de processen die kritisch zijn voor de continuïteit van de organisatie. Opgelet, zowel primaire, ondersteunende als sturende processen kunnen behoren tot de sleutelprocessen van de organisatie. Een sleutelproces is dus niet noodzakelijk gelijk aan een primair proces.

Visulariseren van sleutelprocessen

Om een beter overzicht te krijgen van de verschillende processen binnen de organisatie en de onafhankelijkheden tussen deze processen onderling, kan het nuttig zijn de processen visueel in kaart te brengen aan de hand van flowcharts of procesmappen. Een flowchart geeft een visueel beeld van een proces waardoor het inzicht in het weergegeven proces of systeem verhoogt. Processen die beschrijvend worden weergegeven zijn daarentegen vaak onoverzichtelijk. Daarnaast zijn de volledigheid en tegenstrijdigheden in dit geval moeilijk te achterhalen.

HRM

Managementprocessen

Primaire processen

Ondersteunende processen



40

F


usiness Analyse (B

A)

Het grafisch standaardiseren van de processen heeft als voordeel of kenmerk dat: - Ze een gemeenschappelijke taal leveren, waardoor ze sneller

begrepen worden door iedereen; - Ze een structuur leveren die los staat van de organisatie of de

functies; - Ze een basis leveren van waaruit herziening van de processen

mogelijk is; - Ze op pijnpunten wijzen bij het afleveren van resultaten; - Ze de huidige manier van werken zichtbaar maken; - Ze hiërarchisch opgebouwd zijn en zich eerst concentreren op wat

belangrijk is.

Analyse sleutelprocessen

Om te weten hoe de organisatie zich moet voorbereiden om de continuïteit van de sleutelprocessen te verzekeren moet deze kunnen beschikken over een inventaris van alle voorwaarden waaraan voldaan moet worden zodat het proces operationeel kan zijn. Om inputs te kunnen omzetten in outputs zijn er immers middelen nodig (personen, computersystemen, hardware, uitrusting, ….), moet men over bepaalde vitale gegevensbestanden kunnen beschikken, moet er rekening gehouden worden met specifieke weten regelgeving, enz….

Aan de hand van volgend model kan alle informatie met betrekking tot een specifiek proces op een overzichtelijke wijze worden opgelijst.

Procesmodel Kenmerken proces In bovenstaande figuur worden alle kenmerken van een proces in

kaart gebracht. Hierna wordt per kenmerk toegelicht wat eronder kan worden begrepen.

Input Wat is de input van het proces? Een input is iets dat getransformeerd, verbruikt, gebruikt, verwerkt, … wordt in het proces. Voorbeelden van inputs van een proces kunnen zijn: de gegevens van een contactpersoon, een aanvraag, een vraag tot opleiding van eigen personeel, een vraag van een burger aan het loket, een aanvraag tot verlof, een factuur van een leverancier,… Deze inputs worden verwerkt tot outputs om te voldoen aan de behoeften en verwachtingen van de aanvrager. In administratieve processen hebben inputs doorgaans te maken met data.

PROCES

Regels Doelstelling Start Einde

Belanghebbenden Personeel Middelen Lokatie

INPUT OUTPUT



F

ase

2 –

Inzi

cht i

n de

org

anis

atie

Output Wat is de output van het proces? Een output is iets dat geproduceerd wordt door het proces. Het is het geleverde resultaat of de dienst aan een externe belanghebbende of een ander intern proces. Voorbeelden van outputs zijn: een afgeleverde vergunning, een antwoord met de toestemming of weigering van een verlof, een antwoord op een vraag van een burger, een betaalde factuur, …

Doelstelling Wat wil men bereiken met dit proces?

Start

Wat is de trigger (evenement, gebeurtenis, trekker) die het proces in gang zet? - De trigger maakt geen deel uit van het proces zelf - Het is maw niet de eerste activiteit van het proces - Een proces start altijd met een of meerdere triggers. Vb. een trigger voor de behandeling van een asielaanvraag kan bijvoorbeeld de verklaring van de kandidaat-vluchteling dat hij/zij asiel wenst aan te vragen. Mogelijke triggers: - Bericht of boodschap: vb. oproep, bericht, fax, vraag van de

burger - Tijd: vb. elke eerste donderdag van de maand, elke week,

een concrete datum of uur, op maandag,… - Regel: vb. een noodsituatie doet zich voor, een limiet is

overschreden,… - Ander proces: vb. proces X levert input aan het proces - Wat is de relatie met andere processen?

Regels Aan welke regels is het proces gebonden? - Intern bepaalde regels: vb. dienstnota’s, arbeidsreglementen,

instructies, handleidingen, … - Regels opgelegd door derden: vb. wetten, Europese richtlijnen, ... - Bestaan er geschreven protocollen en procedures mbt dit proces? - Zijn er verzekeringen afgesloten die tot uitkering komen bij

calamiteiten? - Welke contractuele verplichtingen zijn er met derden? - Welke weten regelgeving is voor de organisatie van toepassing?

Belang-hebbenden Wie heeft er belang bij (instanties, organisaties, …) dat het proces goed verloopt? Wordt er voor de uitvoering van het proces gebruik gemaakt van de diensten van derden?

Personeel Wat is het ideale aantal personeelsleden dat nodig is om dit proces uit te voeren? Wat is het minimum aantal personeelsleden dat nodig is om dit proces uit te voeren? Welke zijn de functies (rollen) nodig? : aantal, skills, taken, hoeveelheid en tijd

Middelen Wat zijn de middelen nodig om het proces uit te voeren? Vb. computertoepassingen, data, checklists, formulieren, activa, …. Technologie:

- Welke IT is essentieel om de activiteiten uit te voeren? - Welke systemen van spraak en data communicatie zijn

essentieel voor uw activiteiten?



42

F


usiness Analyse (B

A)

Informatie: - Welke informatie is essentieel om de activiteit uit te voeren? - Hoe en waar wordt deze informatie bewaard?

Leveranciers en partners - Wie zijn de prioritaire leveranciers en partners waarvan de

activiteiten afhankelijk zijn? - Worden bepaalde opdrachten mbt dit proces uitbesteed aan

andere organisaties, aan wie en waarvoor? - Zijn er bepaalde wederzijdse overeenkomsten/contracten

afgesloten met andere organisaties?

lokatie Waar (geografische plaats) wordt dit proces uitgevoerd? (1 of meerdere plaatsen) Vinden de activiteiten op verschillende lokaties plaats? Zijn er alternatieve locaties beschikbaar om dit proces uit te voeren? Welke installaties, machines en andere infrastructuur zijn essentieel voor het uitvoeren van de activiteiten?

Einde Het eindevenement is het ogenblik waarop geen activiteiten meer nodig zijn. Wijze waarop het proces kan eindigen: - Bericht of boodschap: vb. antwoord is verzonden aan de

aanvrager als besluit van het proces - Fout: vb. een fout tijdens het proces, doet het proces eindigen - Ander proces: vb. het proces geeft output aan een ander proces - Combinatie van vorige - Wat is de relatie met andere processen?

Hieronder kunt u een fictief voorbeeld vinden voor een fictief proces ‘afleveren van een vergunning’. Let wel, in het kader van Business Continuity is het noodzakelijk de middelen en het personeel meer te detailleren en te kwantificeren. Figuur: gecertificeerde opleiding CACERSA02 – Uittekenen van processen – OFO

Einde Vergunning afgeleverd

Inputs • Vraag van klant • Gegevens van de klant

Belangengroep • Aanvrager • Samenleving • Directie • Andere

overheid

Personeel • Dossierbehandelaar • Jurist • Administratief

medewerker

Middelen • Softwarepakket • Laptops • Communicatiemiddelen

Plaats • Brussel • Oostende • Luik

Outputs • Brief met beslissing • Vergunning • Bijgewerkt register

Start Aanvraag

Doelstellingen • Snelle afhandeling • Correcte afhandeling • Klantgerichte

dienstverlening • Efficiënte afhandeling

Regels • Ministerieel Besluit

van 6 dec. JJ • EU Richtlijn 87/999

Proces 'afleveren van een vergunning' • Ontvangen van de aanvraag • Controleren op volledigheid • Inhoudelijk beoordelen • Voorbereiden van de beslissing • Goedkeuren van de beslissing • Mededelen van de beslissing



F

ase

2 –

Inzi

cht i

n de

org

anis

atie

Afhankelijkheden van het proces

Naast het maken van een inventaris van alle elementen die rond een proces hangen is het minstens even belangrijk stil te staan bij de eventuele afhankelijkheid van het proces van andere processen. Er moet worden nagegaan in welke mate sleutelprocessen kwetsbaar of afhankelijk zijn van anderen. Wanneer een sleutelproces X afhankelijk is van de input van proces Y. Dan moet er rekening worden gehouden dat proces Y hersteld moet worden alvorens proces X opnieuw kan functioneren. Op dit ogenblik kan men stellen dat het proces Y eveneens een sleutelproces binnen de organisatie is. Het is met andere woorden belangrijk om de verhouding en de afhankelijkheden van de verschillende processen binnen de organisatie te gaan bekijken en hiermee rekening te houden. Daarnaast is het best mogelijk dat een sleutelproces van de organisatie afhankelijk is van een proces dat niet behoort tot de eigen organisatie maar wel tot een externe organisatie. In dit geval blijft het de verantwoordelijkheid van de organisatie zelf om in de continuïteit van haar proces te voorzien. Dit kan bijvoorbeeld door contracten of protocollen af te sluiten met externe organisaties waarin aandacht wordt besteed aan continuïteit of door de externe organisaties actief te betrekken in de opmaak van het Business Continuity Plan.

Procesniveau Sommige processen zijn echter te complex om in haar geheel te bekijken. Wanneer dit het geval is kan het proces verder gedetailleerd worden. Dit kan in verschillende niveaus tot wanneer men een voldoende niveau van detail bereikt heeft. Wanneer men een proces op een gedetailleerder niveau gaat bekijken (vb. op niveau van de activiteiten), dan moet men per processtap of activiteit het procesmodel toepassen en de informatie met betrekking tot de kenmerken van de processtap oplijsten. Het laagste niveau is het niveau van een processtap of activiteit. - Niveau 0: organisatie - Niveau 1: basisproces (3 à 6 activiteiten die kernprocessen

vormen binnen de organisatie) - Niveau 2 deelproces - Niveau 3 activiteiten binnen een deelproces

Werkmethode

Een standaardmethode voor data-verzameling rond processen bestaat niet. Hieronder volgen echter wel enkele methodes die gebruikt kunnen worden en telkens een evaluatie van de gebruikte methode. Er wordt aanbevolen een combinatie van deze methodes te gebruiken, meerbepaald de organisatie van een workshop waarbij een vragenlijst als leidraad wordt gebruikt. Indien wenselijk kan het bij complexe of zeer technische processen nuttiger zijn aanvullende individuele gesprekken te organiseren met de proceshouders. Hieronder worden de verschillende mogelijkheden weergegeven:

Workshops Een groep mensen (3 à 7 personen) die informatie kan geven met betrekking tot een bepaald proces (o.a. proceseigenaar, uitvoerders van activiteiten) worden samengebracht en bevraagd over het proces.



44

F


usiness Analyse (B

A)

Evaluatie van de methode: - Snel resultaat; - Gelegenheid voor het creëren van betrokkenheid door participatie; - het bewust zijn van de werknemers verhoogd significant wanneer

“wat als” vragen en scenario’s worden bediscussieerd.

Vragenlijsten Standaard vragenlijsten worden verspreid met de vraag deze ingevuld terug te bezorgen. Evaluatie van de methode: - Vragenlijsten geven een grote hoeveelheid aan informatie en de

resultaten zijn direct vergelijkbaar, maar de kwaliteit kan in vraag gesteld waneer de vragenlijst niet consistent werd vervolledigd;

- Mogelijke fouten in de interpretatie van de vragen.

Interviews Individuele gesprekken met proceseigenaars of uitvoerders van activiteiten (de sleutelfiguren) Evaluatie van de methode: - Interviews kunnen zeer goede informatie geven, maar zijn zeer

tijdsintensief. - De output van de interviews kan variëren in formaat en detail.

Voorstel vragenlijst Business Analyse

In DEEL III kan men een ontwerp vragenlijst voor de FOD Binnenlandse Zaken terugvinden. Deze vragenlijst kan gebruikt worden in het kader van de Business Analyse.

Resultaat Business Analyse

Aan het einde van de Business Analyse beschikt men over een lijst of tabel waarin alles wat rond het proces hangt (alle middelen nodig om het proces uit te voeren, alle weten regelgeving, …) werd opgelijst. Wanneer een proces, na onderbreking ervan, opnieuw dienst opgestart te worden moet immers geweten zijn wat hiervoor allemaal nodig is en in welke volgorde.

2.2 Business Impact Analyse Definitie BIA Het uitvoeren van een Business Impact Analyse bestaat uit een

analyse van de impact (in termen van gevolgschade) van een onderbreking van de sleutelprocessen van de organisatie en het verloop ervan in de tijd, ongeacht de oorzaak van de onderbreking. In deze fase is het met andere woorden de bedoeling een inschatting te maken van de impact van een uitval van de processen binnen de organisatie. Dit zal niet alleen helpen bepalen welke de volgorde zal zijn waarin de activiteiten zullen moeten worden hersteld. Deze informatie zal ook het management toelaten met kennis van zaken te beslissen in welke Business Coninuity maatregelen (cfr. infra) prioritair te gaan investeren. Processen waarvan een onderbreking een zeer grote impact heeft zullen logischerwijze sneller moeten worden hersteld dan processen waarvan de impact van een onderbreking klein is. Tijdens de Business Impact Analyse is het daarnaast van belang per proces na te gaan wat de maximaal duldbare uitval is (MTPD) alvorens de onderbreking van het proces onherstelbare schade aanricht voor de organisatie en wat de organisatie als objectief vooropstelt van termijn waarbinnen het proces hersteld moet zijn (RTO). Beiden begrippen worden hieronder toegelicht:



F

ase

2 –

Inzi

cht i

n de

org

anis

atie

RTO (Hersteltijd) De RTO (Recovery Time Objective) is dus de termijn die de organisatie vooropstelt waarbinnen het proces hersteld moet worden. Het is aangewezen binnen de organisatie op managementniveau de verschillende mogelijke Recovery Time Objectives (RTO) vast te leggen en dezelfde indeling te gebruiken doorheen de organisatie. Dit heeft als voordeel dat in geval van onderbreking van een bepaald proces met transversale impact (in het geval van de FOD BiZa: met impact voor meerdere directies en/of diensten) een dienstoverschrijdende coördinatie vlotter kan verlopen. Iedereen spreekt immers in dit geval dezelfde taal. Het kan daarom ook nuttig zijn niet alleen met op voorhand vastgelegde RTO te werken, maar daarnaast ook een algemene beschrijving (soort definitie) te formuleren per RTO. Het is aan te raden niet meer dan 5 à 6 RTO te gebruiken. Bijvoorbeeld voor Dexia Bank België worden 4 indelingen gebruikt:

- RTO 1 – Het proces moet hersteld zijn binnen de 4u na de onderbreking = interbancaire verrichtingen, marktenzaal

- RTO 2 - Het proces moet hersteld zijn binnen de 48u na de onderbreking = cliëntgerichte operationele processen

- RTO 3 - Het proces moet hersteld zijn binnen 1 week na de onderbreking= belangrijke ondersteunende en managementprocessen

- RTO 4 - Het proces mag later dan 1 week na de onderbreking worden hersteld = andere ondersteunende en managementprocessen

Een voorbeeld van een mogelijke beschrijving kan zijn:

- Kritische activiteiten: Activiteiten die onmiddellijk voorzien moeten worden zoniet kan dit leiden tot verlies van mensenlevens, vernietiging van infrastructuur, verlies van vertrouwen in de overheid, en aanzienlijk verlies aan inkomsten als gevolg hebben. Deze activiteiten vereisen doorgaans continuïteit binnen de 24 uur na de onderbreking.

-Vitale activiteiten: Vitale activiteiten zijn activiteiten die voorzien moeten worden binnen 72 uur zoniet kan dit leiden tot het verlies van mensenlevens, vernietiging van infrastructuur, verlies van vertrouwen in de overheid, een aanzienlijk verlies aan inkomsten of onevenredige kosten van herstel.

- Noodzakelijke activiteiten: Noodzakelijke activiteiten moet worden hervat binnen de twee weken zoniet kan dit leiden tot aanzienlijk verlies, verdere vernietiging of onevenredige kosten van herstel.

-Wenselijke activiteiten: Wenselijke activiteiten zouden kunnen worden uitgesteld gedurende twee weken of langer, maar zijn nodig om terug te keren naar de normale bedrijfsomstandigheden en vermindering van verdere ontwrichting of verstoring van normale omstandigheden.

Dit zijn slechts voorbeelden. Deze dienen aangepast te worden conform de verwachtingen van het management en de specifieke situatie van de organisatie en in het bijzonder de aard van de processen.

MTPD (maximale uitvaltijd)

De MTPD (Maximum Tolerable Period of Disruption) is de maximale duur van uitval zoniet kan de organisatie ernstige onherstelbare schade oplopen. Het spreekt bijgevolg voor zich dat de RTO (het objectief voor herstel) korter moet zijn dan de MTPD (de maximaal duldbare uitval).

Uitgangspunten

Bij een Business Impact Analyse wordt nagegaan wat de gevolgen zijn in geval van een onderbreking van een sleutelproces en hoe de



46

F


usiness Analyse (B

A)

organisatie hetzij zo snel als mogelijk het sleutelproces kan hervatten, hetzij de impact van de onderbreking kan minimaliseren. In deze fase is het bijgevolg niet van belang te kijken naar de oorzaak van de onderbreking dan wel naar de gevolgen dat het veroorzaakt. Daarom wordt bij het maken van een Business Impact Analyse vertrokken van: - Een worstcase scenario, vb. gebrek aan data, personeel en

faciliteiten. Bijvoorbeeld verwoesting door brand. Van een situatie waarbij momenteel geen herstelmogelijkheden bestaan.

- De idee dat men zich niet mag focussen op het onmiddellijk herstellen van alle processen en/of diensten. Het is de bedoeling snel de meest noodzakelijke processen opnieuw op gang te brengen.

Doelstellingen BIA De doelstellingen van de Business Impact Analyse zijn:

- De kwantitatieve en kwalitatieve impact identificeren die zal worden opgelopen bij een verstoring van de kritieke processen. Deze informatie zal in een later stadium van belang zijn en invloed hebben bij het bepalen van de juiste respons.

- Nagaan aan welke sleutelprocessen prioriteit moet worden gegeven in geval van een onderbreking en in welke volgorde deze processen hersteld moeten worden. Hoe hoger de impact en hoe korter de tijd is waarbinnen het proces hersteld moet worden, hoe ‘kritischer’ het proces.

- Per proces identifceren binnen welke termijn het proces idealiter hersteld moet zijn en realistisch hersteld kan zijn (RTO). Hier moeten verschillende levels worden toegekend (door de organisatie zelf) vb. RTO 0 = herstel binnen de 12u, RTO 1 = binnen de 24u, enz…

- Per sleutelproces nagaan hoe lang het proces maximaal onderbroken mag worden (MTPD). Indien de onderbreking langer duurt wordt onherstelbare schade aangericht.

- De inschatting maken van de noodzakelijke middelen in de tijd (belangrijkste computersystemen, het materiaal, personeel, ….). Tijdens de Business Analyse werden de noodzakelijke middelen per sleutelproces al in kaart gebracht in geval van ‘business as usual’. Tijdens de Business Impact Analyse komt het er op aan de behoefte aan middelen te rangschikken in de tijd.

Inschatting impact Zoals hierboven aangehaald dient per proces in kaart te worden gebracht wat de impact is van de onderbreking van het proces en deze zo goed mogelijk te beschrijven, waar mogelijk te kwantificeren. Dit kan onder meer bevatten: - impact op de veiligheid, gezondheid of welzijn van het personeel - impact op de veiligheid, gezondheid of welzijn van de burgers - de schending van wettelijke opdrachten en bepalingen - schade aan de reputatie - financiële schade - verminderen van de kwaliteit van producten en diensten - omgevingsschade - …



F

ase

2 –

Inzi

cht i

n de

org

anis

atie

Resultaat BA en BIA

Aan het einde van de Business Impact Analyse dient men per proces over de volgende informatie te beschikken: - Een rangschikking van de sleutelprocessen volgens prioriteit in het

kader van bedrijfscontinuïteit - Maximaal duldbare uitvaltijd (MTPD) - De RTO en MTPD voor elk sleutelproces. - Lijsten van belangrijke leveranciers, systemen, en vitale data. - Ramingen van de kwalitatieve en kwantitatieve impact van een

gebeurtenis in functie van de duur van de verstoring (b.v. 24 uren, 48 uren, 5 dagen, enz.)

- Een overzicht van wat nodig is voor het herstellen van sleutelprocessen in functie van de duur van de verstoring.

- De informatie verkregen uit de Business analyse en de Business Impact Analyse is belangrijke input voor het Business Continuity Plan, met name de beschrijving welke acties wanneer moet gebeuren in geval van onderbreking van een proces.

Werkmethode De werkmethodes voor data-verzameling die kunnen worden

voorgesteld zijn dezelfde als deze die in het kader van de Business Analyse werden opgesomd (zie infra, punt 2.1, p. 36). Het uitvoeren van de Business Analyse en de Business Impact Analyse worden in de literatuur vaak ook vermeld in één stap. Het is echter mogelijk beide stappen afzonderlijk te bevragen. Dit hangt af van de complexiteit van het proces dat men wenst te bespreken. Per proces dient echter de volledige procedure te worden herhaald.

Sign-off resultaten De resultaten van de Business Analyse en de Business Impact

Analyse moeten gepresenteerd worden aan en goedgekeurd worden door het management.

Voorstel template In DEEL III kan een template voor Business Impact Analyse teruggevonden worden. De RTO (het herstelobjectief) en de MTPD (maximaal duldbare uitvaltijd) in de template gelden als voorbeeld en kunnen bijgevolg worden aangepast in functie van de behoeften. Het is wel aangeraden dezelfde RTO en MTPD te gebruiken binnen de volledige organisatie.



48

F


usiness Analyse (B

A)

2.3 Risicoanalyse

Een volgende stap in het verkrijgen van een goed inzicht in de organisatie is het uitvoeren van een risicoanalyse. De Risicoanalyse is een analyse betreffende de mogelijke bedreigingen die kunnen leiden tot een onderbreking van de processen van de organisatie, de waarschijnlijkheid van hun voorkomen en de impact ervan op de organisatie. Zowel in de literatuur als in de praktijk stellen we vast dat er op vlak van risicobenadering binnen Business Continuity Management twee uiteenlopende visies zijn: Uitgebreide risicoanalyse

Enerzijds is er de visie waarbij vertrokken wordt vanuit een inventaris van alle mogelijke risico’s en het maken van een inschatting van de impact van de diverse risico’s op de organisatieprocessen. In functie van de ‘kans van optreden van het risico’ en de ‘impact’ dat het risico teweeg brengt wordt de strategie bepaald en wordt gekeken welke maatregelen/acties ondernomen moeten worden.

Scenario’s

Anderzijds is er de visie waarbij wordt geponeerd dat het niet steeds noodzakelijk is om in het kader van Business Continuity Management een uitgebreide risicoanalyse uit te werken. Het is wel belangrijk dat er op herhaaldelijke tijdstippen (idealiter 1 keer per jaar) een risicoanalyse plaatsvindt, maar het voeren van een risicoanalyse is geen absolute voorwaarde om het Business Continuity Management proces binnen de organisatie te kunnen implementeren. Een meer pragmatische aanpak is het vertrekken van een door het management gedefinieerd prioritair risico, of beter nog vanuit een ‘worstcase scenario’. In dit geval wordt niet vertrokken vanuit de mogelijke risico’s, dan wel wordt aandacht besteed aan de mogelijke gevolgen voor de organisatie ongeacht de dreiging. De mogelijke gevolgen kunnen de volgende zijn:

- gebrek aan faciliteiten of gebrek aan toegang tot de faciliteiten (gebouwen, lokalen,…)

- gebrek aan vitale data - gebrek aan ICT-infrastructuur - gebrek aan Human Resources/personeel

Een valkuil is het maken van een plan dat specifiek gericht is op één risico (vb. grieppandemie). Het is beter één globaal plan te hebben dat verschillende risico’s afdekt dan per specifiek risico een bijlage te ontwikkelen aan het globaal plan. In het tijdschrift Beveiliging wordt het als volgt geformuleerd: “Het is een gemiste kans een BCP te maken voor alleen de bestrijding van een pandemie. De kosten van een totaal BCP zijn minder dan de som van een serie deelplannen, om maar te zwijgen van de onderhoudskosten”. Specificiteiten met betrekking tot een bepaald specifiek risico kunnen beter als bijlage aan het Globaal Business Continuity Plan worden toegevoegd.

Aanbeveling FOD Biza

Voor de FOD Binnenlandse Zaken wordt aanbevolen om op vlak van risicoanalyse een update te maken van de analyse die in ’03-’04 werd uitgevoerd. Deze risicoanalyse kan als uitgangspunt gebruikt worden voor een nieuwe risicoanalyse, alsook het scoresysteem met waar nodig enkele aanpassingen. Deze risicoanalyse moet idealiter jaarlijks geactualiseerd worden, maar is echter geen voorwaarde om een Business Continuity Management binnen de FOD BiZa te kunnen implementeren.



F

ase

2 –

Inzi

cht i

n de

org

anis

atie

Voor de FOD Binnenlandse Zaken wordt eveneens aanbevolen om in het kader van Business Continuity Management een ‘Globaal Business Continuity Plan’ op te maken waarbij de FOD zich voorbereidt op een mogelijke onderbreking van de meest kritische activiteiten. Hierbij is het aangewezen zich niet zozeer te fixeren op alle mogelijke risico’s waarmee de FOD geconfronteerd kan worden (en bijgevolg voor elk mogelijk risico een Business Continuity Plan uit te werken) maar eerder op de mogelijke gevolgen van risico’s. De belangrijkste gevolgen waarmee de FOD geconfronteerd kan worden zijn:

- Gebrek aan personeel - Gebrek aan ICT - Gebrek aan data/informatie - Gebrek aan faciliteiten

Dit sluit niet uit dat rond bepaalde specifieke risico’s (bijvoorbeeld ‘uitbreken grieppandemie’) wordt gewerkt. In dit geval is het aan te bevelen om maatregelen op vlak van Business Continuity eerder als bijlage bij het globaal Business Continuity Plan wordt gevoegd (cfr. als voorbeeld bijlage 2, voorstel van specifieke maatregelen die op vlak van grieppandemie kunnen worden uitgewerkt.) De uitgewerkte maatregelen maken dan als bijlage deel uit van het Globaal BCP van de FOD).

Conclusie Een uitgebreide risicoanalyse is geen absolute voorwaarde om een Business Continuity Management te implementeren. Het is echter wel van belang op regelmatige basis een risicoanalyse te doen binnen de organisatie (Onder meer in het kader van interne controle, cfr. supra) om ‘nieuwe’ risico’s te capteren, aan te pakken en op die manier het Business Continuity Plan verder te verfijnen en aan te vullen. Het uitvoeren van een risicoanalyse is immers een zeer tijdsintensief proces. Met betrekking tot risicoanalyse heeft de FOD al praktische ervaring:

- In het kader van de Moderniseringsprojecten is de risicoanalyse steeds het uitgangspunt.

- In het kader van het uitwerken van een intern controlesysteem werd in 2003 – 2004 eveneens een risicoanalyse uitgevoerd binnen de FOD.

- De Interne inspectiedienst onder leiding van Mevr. Goddro, heeft een methodologie voor risicoanalyse ontwikkeld.

Om bovenvermelde redenen zal daarom hier niet verder ingegaan worden op de methodolgie inzake risicoanalyse.



50

F


usiness Analyse (B

A)



F

ase

3 –

Bep

alen

BC

M S

trat

egie

3 Het bepalen van de BCM - strategie

Doelstelling Op basis van de goedgekeurde resultaten van de Business Impact

Analyse en de mogelijke gevolgen van een onderbreking (gebrek aan personeel, data, ICT en infrastructuur) hetzij eventueel de resultaten van de risicoanalyse (afhankelijk van de methodologie die wordt gevolgd) dienen maatregelen te worden geformuleerd die ervoor moeten kunnen zorgen dat: - de waarschijnlijkheid van een onderbreking wordt verminderd; - de periode van de onderbreking kan worden ingekort;

de impact van de onderbreking op de kritische activiteiten beperkt is.

In het kader van de Business Impact Analyse werd bepaald binnen welke tijdspanne welke actviteiten dienen te worden hersteld (Recovery Time Object / RTO). In deze fase komt het er op aan actievoorstellen (maatregelen) te formuleren die hieraan tegemoet kunnen komen. Het spreekt voor zich dat hoe korter de Recovery Time Object hoe ‘hotter’ de strategie of nog wanneer een activiteit bijvoorbeeld binnen de 4u hersteld moet worden de maatregelen vaak een hogere kostprijs kennen. Daarnaast moet er bij het bepalen van de maatregelen eveneens rekening worden gehouden met de al bestaande maatregelen.

Kosten-baten analyse

Per activiteit (indien wenselijk ook per deelactiviteit) dient een oplijsting te worden gemaakt van voorstellen van maatregelen. Deze maatregelen kunnen zowel preventief, reactief als correctief zijn.




Fase 4 Ontwikkelen


Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT



52

F

ase 3 – Bepalen B

CM

Strategie

- Preventieve maatregelen: het ondernemen van acties om in de toekomst mogelijke problemen te voorkomen.

- Correctieve maatregelen: het ondernemen van acties om iets recht te zetten. Dit houdt intrinsiek in dat er ook iets mis is gegaan.

- Reactieve maatregelen: maatregelen die in werking treden indien een risico manifest is geworden en die ervoor zorgt dat de bedreiging zo snel mogelijk wordt gestopt en de gevolgschade zoveel mogelijk wordt beperkt.

Per voorstel van maatregel moet een kosten-baten analyse opgemaakt

worden of nog, er moet worden gekeken wat enerzijds de kosten (in financiële middelen, maar eveneens in werkuren) zijn voor het ontwikkelen, implementeren en onderhouden van maatregelen en wat anderzijds de baten en voordelen zijn van deze maatregelen. Deze afweging moet het management in staat stellen de juiste beslissing te kunnen nemen met betrekking tot de strategie die zij wenst te volgen. Bijvoorbeeld, wanneer het gebouw van een organisatie niet meer toegankelijk is, kan geopteerd worden te werken van uit een alternatieve locatie. Door het opmaken van een kosten-batenanalyse van de verschillende mogelijke alternatieve locaties kan het management met kennis van zaken beslissen.

Werkwijze Deze oefening kan het best gebeuren in een werkgroep met o.a. de proceseigenaar(s) en personeel dat in dit proces operationeel is. In de projectstructuur voorgesteld voor de FOD Binnenlandse Zaken kan dit gezien worden als de oprichting van meerdere werkgroepen (1 of meerdere per directie/dienst, afhankelijk van het aantal processen dat moet worden besproken) waarin verschillende personeelsleden van de dienst zetelen. Deze werkgroep wordt voorgezeten door de BCM correspondent van de directie/dienst. Deze laatste ontvangt ondersteuning op vlak van de methodologie door, en rapporteert over de resultaten van de werkgroep(en) aan, de BCM coördinator/projectleider. De opdracht van de BCM correspondent bestaat er uit: - Per activiteit de verschillende mogelijke acties identificeren om de

hersteltijd (RTO of Recovery Time Object) te behalen; - De Kosten/batenanalyse opmaken van de verschillende acties, de

afweging van de voor– en nadelen per acties; - Na keuze van het management uit de verschillende acties, het

opmaken van een implementatieplan (wie-wat-wanneer-hoe) voor de gekozen maatregelen;

- Implementatie en opvolging van het actieplan.

Sign-off resultaten Op het einde van deze oefening dient door het management de formele goedkeuring te worden gegeven met betrekking tot de te ondernemen maatregelen. Dit is eveneens de fase waarin het management beslist welke de budgetten zijn die zullen worden vrijgemaakt voor de uitvoering van welke maatregelen. Zoals hierboven aangehaald kunnen zowel preventieve, correctieve en reactieve maatregelen worden genomen.



F

ase

3 –

Bep

alen

BC

M S

trat

egie

Naast het treffen van de nodige preventieve maatregelen (onder het motto beter voorkomen dan genezen) wordt in het volgende onderdeel voornamelijk ingegaan op reactieve maatregelen, in het bijzonder het opmaken van een Business Continuity Plan (BCP). Een BCP is een geheel van reactieve maatregelen. In het plan wordt beschreven ‘wie wat wanneer moet doen’ in geval het risico zich daadwerkelijk manifesteert. Het plan geeft met andere woorden een beschrijving van de te volgen procedures. Eenmaal door het management beslist werd welke maatregelen genomen moeten worden, dient een plan van aanpak te worden opgemaakt.



54

F

ase 3 – Bepalen B

CM

Strategie



F

ase

4 –

Ont

wik

kele

n, im

plem

ente

ren

BC

M R

espo

ns

4 Het ontwikkelen en implementeren van de BCM respo ns Een Business Continuity Management Respons is het antwoord dat

een organisatie voorbereid heeft om een incident dat zich voordoet te kunnen beheersen en de impact ervan op de werkprocessen te minimaliseren. De maatregelen die door het management in de vorige fase werden goedgekeurd moeten worden uitgewerkt zodat de organisatie in geval van onderbreking van een bepaald proces snel en efficiënt kan reageren.

Volgens de ISO/PAS 22399:2007 ‘Societal security – Guideline for incident preparedness and operational continuity’ management’ benaderen organisaties incidenten op een verschillende wijze. Ondanks hun specifieke benadering zijn er drie generieke en onderling verbonden ‘respons’-stappen te onderscheiden: - Emergency Respons (Incident Management) - Continuity Respons (Business Continuity) - Recovery Respons (Business Recovery)




Fase 4 Ontwikkelen


Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT



56

F

ase 4 – Ontw

ikkelen, implem

enteren B

CM

Respons

Volgende figuur geeft het onderscheid tussen de verschillende responses weer: Figuur: British standard, Business Continuity Management, part 1: Code of practice, p.27

Emergency Respons

De ‘Emergency Response’ is de eerste reactie in navolging van een bepaald incident. Het betreft in eerste instantie de bescherming van personen (bijvoorbeeld door evacuatie van het gebouw, oproepen van hulp-en interventiediensten, EHBO,…) en eigendommen met als doel de schade te beperken en het incident onder controle te krijgen. Het geheel aan procedures met betrekking tot de eerste reactie in navolging van een incident, wordt het Incident Management Plan (IMP) genaamd.

Business Continuity Respons

De ‘Business Continuity Respons’ bestaat uit het in gang zetten van processen en het vrijmaken van middelen opdat de organisatie de continuïteit van de meest kritische processen kan blijven garanderen.

Business Recovery Respons

De ‘Business Recovery Response’ is de fase waarin er opnieuw wordt overgegaan naar ‘business as usual’.

Incident

Tijdsas

Incidentrespons

Business Continuity

Business Recovery – back-to-normal

Oge

nblik

zer

o

Globale hersteldoelstelling Zo snel mogelijk terug naar normaal

Stap 1

Business Continuity

Plan (BCP)

Incident

ManagementPlan (IMP)

Business Recovery

Plan (BRP)

Stap 2 Stap 3

Fase 4

BCM Respons



F

ase

4 –

Ont

wik

kele

n, im

plem

ente

ren

BC

M R

espo

ns

Structuur responsplannen

Per responsfase dient een organisatie te beschikken over een plan of procedures. Alle deze plannen samen kunnen omschreven worden als het Globaal Business Continuity Plan. Het spreekt voor zich dat men eerst het incident dat de onderbreking heeft veroorzaakt (vb. brand) onder controle moet hebben, alvorens het proces opnieuw te kunnen opstarten. - Incident Management Plan (IMP) - Business Continuity Plan (BCP) - Business Recovery Plan (BRP) Deze (deel)plannen moeten allen volgende elementen bevatten: - Doelstelling en scope van het plan - De rollen en verantwoordelijkheden - Het opstarten van het plan (hoe, door wie, wanneer, …) - De documenteigenaar - Essentiële contactgegevens

Incident Management Plan

De defintie van een Incident Mangement Plan volgens de British Standard 25999 luidt als volgt: “the incident management plan is a clearly defined and documented plan of action for use at the time of an incident, typically covering the key personnel, resources, services and actions needed to implement the incident management process.” Het Incident Management Plan dient in een eenvoudige en makkelijk op te stellen structuur te voorzien, die de organisatie in staat stelt:

- de aard en de reikwijdte van het incident te bevestigen; - controle te nemen over de situatie; - te communiceren met stakeholders; - Deze structuur moet ook de geschikte business continuity

respons opstarten. Het is niet de bedoeling nieuwe procedures en plannen uit te werken. In tegendeel, het is hier de bedoeling de reeds bestaande procedures en documenten (evacuatieprocedures, contactgegevens hulp- en interventiediensten, …) samen te brengen, de eventuele lacunes te identificeren om daarrond verdere afspraken te maken.

Opstarten van het IMP

Een escalatieprocedure moet worden opgemaakt (flowchart) met verschillende fases naarmate de ernst van het incident. De verschillende gradaties van ernst moeten gedefinieerd worden en per gradatie dient gespecificeerd te worden wie gecontacteerd moet worden. Bij Belgacom zien de verschillende levels van ‘emergency respons / crisis escalation’ er bijvoorbeeld als volgt uit:

� minor incident level 0 � noticeable incident level 1 � critical incident level 2 - (BERT-team Belgacom

Emergency Response Team) � major disaster level 3: (BERT-team + ad hoc BMC

members) Elke organisatie dient voor zichzelf de escalatiecriteria te bepalen.



58

F

ase 4 – Ontw

ikkelen, implem

enteren B

CM

Respons

Documenteigenaar Het is belangrijk dat de rol van ‘documenteigenaar’ wordt toegekend aan bepaalde personen, bij voorkeur de projectleider en de BCM-correspondenten. Aangezien bovengenoemde personen instaan voor respectievelijk de coördinatie binnen de organisatie en binnen hun afdeling, zijn zij de meest aangewezen persoon om alle informatie bij te houden. De gegevens van deze perso(o)n(en) worden op het plan zelf vermeld. Het is de verantwoordelijkheid van deze perso(o)n(en) dat alle gegevens vermeld in het plan actueel zijn en de nodige aanpassingen worden gedaan in geval van wijzigingen. Daarnaast is het eveneens de taak van deze perso(o)n(en) te zorgen dat alle actoren in het bezit zijn van de laatste versie van het plan. Het is dan ook belangrijk met een systeem van genummerde versies te werken. Voor de elektronische verspreiding en archivering van de documenten zal ongetwijfeld gewerkt kunnen worden via Sharepoint.

Inhoud IMP

Hierna wordt een opsomming gegeven van de informatie en de documenten die zich in het Incident Management Plan kunnen bevinden. Deze lijst is niet exhaustief. - Escalatieprocedure - Essentiële contactgegevens (contactlijsten): brandweer, politie,

medische interventie, directie, … - Takenlijsten/checklijsten: procedure voor het beheren van de

onmiddellijke gevolgen van de ontwrichting (vb. richtlijnen in geval van brand).

- Noodcontactgegevens: procedure hoe en onder welke omstandigheden de organisatie communiceert aan personeel/familie/vrienden en contactpersonen. Informatie om in noodgevallen contact op te nemen met naasten.

- Procedures met betrekking tot mensen/identificeren verantwoordelijken: o Evacuatieplan, verzamelpunten o Afspraken voor transport personeel o Procedure voor de mobilisering van reddings-, eerstehulp- en

evacuatiebijstandsteams o Procedure voor lokalisering van de personen die aanwezig

waren of in de omgeving van de site o Afspraken rond debriefing getroffen personeel / raad geven /

sociale bijstand o Communicatie en veiligheidsdebriefings

- Gegevens incidentmanagementlocatie: alternatieve ontmoetingsplaats wanneer de primaire locatie niet meer toegankelijk is.

- Templates of formulieren om vitale informatie over het incident op te slaan (vb tijdslijn incident, details over de slachtoffers, beslissingen die werden genomen, het geld dat werd besteed, schadebegrotingen, gebruikte communicatie en alle info nuttig geacht ter ondersteuning van de post-incident terugblik)

- Mediarespons: communicatiestrategie ten aanzien van de media, contactgegevens woordvoerders, templates voor mediabericht,…

- Stakeholdersmanagement: Strategie ten aanzien van de stakeholders



F

ase

4 –

Ont

wik

kele

n, im

plem

ente

ren

BC

M R

espo

ns

- Eventuele andere bijlagen: grondplan van het gebouw, procedure voor beheer schadeclaims, …

De vorm waarin de informatie wordt vermeld is minder van belang, dat is dan ook de reden waarom hier niet verder op ingegaan wordt.

Business Continuity Plan

Het Business Continuity Plan geeft in detail weer wat, wie, hoe en wanneer welke acties moet ondernemen zodat de continuïteit van de kritische activiteiten binnen de organisatie kan gegarandeerd worden, hetzij de betrokken activiteiten zo snel als mogelijk opnieuw opgestart kunnen worden. Het Business Continuity Plan bestaat met andere woorden uit een geheel door het management goedgekeurde reactieve maatregelen. Het beschrijft de wijze waarop een organisatie reageert op het ogenblik dat een risico zich daadwerkelijk manifesteert. In een middelgrote of grote organisatie kan het BCP opgesplitst worden in Business Activity Response Plans waarbij iedere afdeling een plan opmaakt als antwoord voor zijn afdeling.

Opstarten van het BCP

In het IMP (zie supra) staat beschreven wie bevoegd is om het Business Continuity Plan op te starten, wanneer en welke de te volgen procedure is. Deze informatie wordt eveneens in het Business Continuity Plan zelf hernomen. Daarnaast moet in het BCP beschreven staan wie allemaal gecontacteerd moet worden van zodra de beslissing voor het opstarten van het BCP genomen werd en in elke volgorde (bijvoorbeeld aan de hand van een contact-tree).

Documenteigenaar Ook voor het Business Continuity Plan is het van belang dat een persoon de rol van ‘documenteigenaar’ wordt toebedeeld. Het is de verantwoordelijkheid van deze persoon dat alle gegevens vermeld in het plan actueel zijn en de nodige aanpassingen te doen in geval van wijzigingen. Daarnaast is het eveneens de taak van deze persoon te zorgen dat alle actoren in het bezit zijn van de laatste versie. Het is dan ook voor het BCP belangrijk met een systeem van genummerde versies te werken.

Inhoud BCP - Escalatieprocedure / opstarten BCP - Essentiële contactgegevens: Verantwoordelijken voor het

afkondigen van het Business Continuity Plan - Actieplan/takenlijsten voor de BCP verantwoordelijken - Alternatieve locatie:

o Voor de bijeenkomst van de BCP verantwoordelijken o Voor de continuïteit van de sleutelprocessen in geval

de infrastructuur niet meer toegankelijk is - Opsomming van de kritieke sleutelprocessen met het telkens daarbij

de tijd waarbinnen de activiteit hersteld moet worden (RTO of Recovery Time Objectif), alsook de rangschikking van de processen en activiteiten volgens RTO.

- Afhankelijkheden van andere processen (met de respectievelijke RTO en contactpersonen. Bijvoorbeeld het ICT-proces)

- Personeel nodig voor de uitvoering van de kritieke sleutel-processen (contactgegevens, rollen en verantwoordelijkheden, alsook eventueel transport, logisitiek, catering, …)



60

F

ase 4 – Ontw

ikkelen, implem

enteren B

CM

Respons

- Vitale data nodig voor de uitoefening van het proces en de vindplaats ervan (of van de back-up)

- Faciliteiten (bijvoorbeeld vergaderzalen, persruimte, ... voor het geval de sleutelactiviteiten naar een alternatieve locatie dienen te worden verplaatst.

- Lijst met leveranciers of andere dienstverlenende firma’s - Eventuele andere benodigdheden (cash geld voor urgente

betalingen) - Andere relevante informatie:

- wettelijke documenten (bijvoorbeeld contracten, verzekeringspolissen, eigendomsakten, enz...)

- Communicatiestrategie (t.a.v. personeel, partners/belanghebbenden, leveranciers, media, …)

- Formulieren: templates logboek/incidentenlogboek

Herstelplan Het Herstelplan of Business Recovery Plan beschrijft de activiteiten die ondernomen moeten worden om terug te keren naar ‘business as usual’. Het plan geeft de recovery targets of milestones aan na een volledige of gedeeltelijke opschorting van bepaalde activiteiten. Het spreekt voor zich dat het van belang is eerst de continuïteit van de meest kritische activiteiten te plannen en voor te bereiden alvorens maatregelen te gaan nemen om volledig terug te keren naar ‘business as usual’. Voor bepaalde processen kan het nodig zijn zo snel mogelijk na de onderbreking terug te gaan naar een volledig herstel. Er kan hier bijvoorbeeld gedacht worden aan alles wat ICT-processen betreft. De afhankelijk van de processen van de organisatie van ICT is dermate hoog dat het belangrijk is over een Business Recovery Plan op vlak van ICT te beschikken.

Documentenbeheer Ook voor het Business Recovery Plan is het van belang dat een persoon de rol van ‘documenteigenaar’ wordt toebedeeld. Het is niet alleen van belang dat deze persoon er op toeziet dat de verspreide versie de meest actuele is en dat alle betrokken personen in het bezit zijn van de laatste versie (versiecontrole). Daarnaast is het eveneens belang dat er kopieën van de plannen bewaard worden op een andere locatie op voldoende afstand om elke impact van een bedreiging of incident op de hoofdlocatie uit te sluiten, en dezelfde veiligheidsgraad krijgen als op de hoofdlocatie.



F

ase

4 –

Ont

wik

kele

n, im

plem

ente

ren

BC

M R

espo

ns

Synthese BCM Respons

Doel Wat?

Incident Management Plan ��Beheersen van het incident

of de onderbreking zelf. �� Het beperken van de

gevolgschade.

��Contacten met hulp- en interventiediensten

�� Evacuatie gebouw �� Sociale bijstand en

opvang personeel �� …

Business Continuity Plan �� Herstel of verderzetten van de meest kritische activiteiten.

��Alle relevante informatie (contactgegevens, procedures, …) om de kritische activiteiten terug op te starten of verder te zetten.

Business Recovery Plan �� Herstel van alle activiteiten

�� Terugkeer naar een normale situatie.

��Alle relevante informatie voor het herstel of het verderzetten van de niet-kritische activiteiten (de activiteiten die niet in het BCP staan).



62

F

ase 4 – Ontw

ikkelen, implem

enteren B

CM

Respons



F

ase

5 –

Oef

enen

, ond

erho

uden

, h

erzi

en

5 Oefenen, onderhouden en herzien Oefenbeleid Het volstaat niet om een Incident Management Plan, een Business

Continuity Plan en een Business Recovery Plan in de kast te hebben staan. De plannen hebben maar hun nut als deze gekend zijn, actueel zijn en ingeoefend worden. Er dient met andere woorden eveneens een oefenprogramma ontwikkeld en geïmplementeerd worden binnen de organisatie. Het inoefenen van de voorziene procedures en maatregelen in de plannen moeten ons verzekeren of de naar aanleiding van de Business Impact Analyse geïdentificeerde hersteltijden (Recovery Time Objectives) gehaald kunnen worden en de kritieke activiteiten met andere woorden binnen de vooropgestelde tijd hersteld kunnen worden. Het is van belang dat de grote lijnen van het oefenbeleid van de organisatie eveneens wordt opgenomen in de globale beleidsverklaring inzake Business Continuity. Niet alleen de verantwoordelijkheden, de methodologie en het tijdsschema dat gevolgd zal worden dient opgenomen te worden. Daarnaast moet de beleidsverklaring eveneens omschrijven welke soort oefeningen georganiseerd zullen worden en in welke volgorde. Het oefenbeleid wordt goedgekeurd door het management.




Fase 4 Ontwikkelen


Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT



64

F

ase 5 – Oefenen, onderhouden,

herzien

Doelstelling

De doelstellingen van het organiseren van oefeningen zijn onder meer: - Het personeel vertrouwd te maken met de inhoud van de

plannen; - De kwaliteit van de plannen te testen (zijn de gegevens

volledig, actueel, coherent?); - Na te gaan of de individuen vermeld in het plan op de hoogte

zijn van hun rol en in staat zijn hun verantwoordelijkheden op te nemen;

- Na te gaan of de procedures vermeld in het plan haalbaar en realistisch zijn?

- Na te gaan of de vooropgestelde herstelobjectieven realistisch zijn?

- De plannen aan te passen in functie van de verbeterpunten die werden vastgesteld tijdens de oefeningen.

Het inoefenen van de plannen dient als een onderdeel van het Business Continuity Management te worden gezien. Het is daarom ook belangrijk dat een op maat van de organisatie afgestemd oefenbeleid gevalideerd wordt door het management. Idealiter zouden de plannen jaarlijks getest moeten worden. Het is echter niet steeds noodzakelijk het volledige plan te testen. Er kunnen evenwel oefeningen georganiseerd worden van een verschillende moeilijkheidsgraad en omvang of met betrekking tot slechts een gedeelte van de organisatie of processen. Het resultaat van de oefeningen dient als input voor eventuele aanpassingen van het plan.

Soorten oefeningen

Moeilijkheid Soort oefening Omschrijving Eenvoudig

Table top of desk check

Bepaalde delen van het plan of bepaalde procedures worden in groep nagekeken, overlopen en besproken.

Medium

Table top met scenario

Bepaalde delen van het plan of bepaalde procedures worden in groep nagekeken, overlopen en besproken aan de hand van een of meerdere scenario’s. De procedures worden niet in ‘real-time’ toegepast.

Simulatie Een onderbreking van een of meerdere processen wordt zo waarheidsgetrouw mogelijk nagebootst waardoor de procedures in het plan worden uitgetest. Aan de hand van een scenario wordt de onderlinge samenwerking en rolverdeling op de proef gesteld, het omgaan met gebrekkige informatie en het besluitvormingsproces wordt geoefend.



F

ase

5 –

Oef

enen

, ond

erho

uden

, h

erzi

en

Complex Globale oefening

Oefening die zo dicht mogelijk aanleunt bij de realiteit en die het plan in zijn geheel test. Een onderbreking wordt in ‘real-time’ nagebootst. De procedures worden effectief in gang gezet en toegepast. Opgelet: er dient steeds een inschatting te worden gemaakt van de kosten, de impact van de oefening en de risico’s voor de normale werking.

Ontwikkelen van een oefening

Het type oefening waarvoor geopteerd zal worden is afhankelijk van de doelstelling die men wenst te bereiken. Het is met andere woorden van belang dat een oefening goed wordt voorbereid, zodat het zijn doel niet voorbijschiet. Bij de organisatie van oefeningen kunnen in het algemeen een aantal verschillende opeenvolgende fasen onderscheiden worden: 1 Het plannen van de oefening. Dit houdt onder meer het volgende

in: - Inschatting maken van de huidige kennis en het vermogen

binnen de organisatie om effectief en efficiënt te reageren op een onderbreking;

- Definiëren van de scope van de oefening (welk deel van het plan wordt getest?);

- De globale doelstelling van de oefening (wat wil men bereiken?);

- Samenstelling van het team dat de oefening zal voorbereiden (oefenbegeleiders);

- Identificeren van de specifieke doelstellingen (Specifiek, Meetbaar, Aanvaardbaar, Realistisch en Tijdsgebonden) van de oefeningen, de context en de deelnemers.

2 Ontwikkelen van de oefening. Dit houdt onder meer het volgende

in: - Het opmaken van het oefenscenario; - Een algemene lijst met de belangrijkste activiteiten (vb.

activeren BCP, opstarten back-up procedure, communicatie aan het personeel…) die tijdens de oefening moeten plaatsvinden. Dit moet overeenstemmen met de gestelde objectieven van de oefening;

- Oplijsting van de acties die per activiteiten moeten worden uitgevoerd;

- Indien nodig (afhankelijk van de omvang en het type van oefening) een inschatting maken van het risico dat gepaard gaat met de oefening en eventueel de nodige voorzorgsmaatregelen nemen;

- Identificeren van de benodigdheden voor de oefening: administratieve ondersteuning, zalen, oefenmateriaal, eventueel transport, plannen, …);

- Een evaluatiemechanisme ontwikkelen (Hoe zal de oefening worden geëvalueerd?);

- Voorzien in de nodige mechanismen voor de sturing en begeleiding van de oefening (observatoren, evaluatoren,..);



66

F


herzien

- Voorbereiden en communiceren van de instructies voor de deelnemers aan de oefening;

- Het verkrijgen van goedkeuring en ondersteuning van het management.

3 Oefening: de oefening wordt gestuurd en ondersteund door een of

meerdere oefenbegeleiders. Het is van belang dat deze mensen opgeleid worden om een oefening te organiseren, sturen en begeleiden, hetzij duidelijk weten wat hun taken zijn. Voor de FOD Binnenlandse Zaken zou het bijgevolg aangewezen zijn dat de BCM verantwoordelijken van de verschillende directies en diensten een opleiding krijgen inzake het organiseren en begeleiden van oefeningen.

4 Evaluatie van de oefening - Onmiddellijk na de oefening een eerste korte debriefing en

feedback organiseren voor de deelnemers; - Ten laatste enkele weken na de oefening, het organiseren van

een groepsdiscussie waarin aanbevelingen voor de aanpassingen van het plan worden opgelijst;

- Opmaken van een schriftelijk rapport van de eindconclusies van de oefening en opstellen van een actieplan.

5 Post-oefening

- Communiceren van de resultaten van de oefening aan het management;

- Goedkeuring van het actieplan door het management; - Organiseren van follow-up sessies voor de deelnemers

aan de oefening; - Implementatie van de wijzigingen in de plannen (Business

Continuity Plan, Incident Management Plan eventueel Business Recovery Plan).

Oefencyclus Binnen de organisatie is het aangewezen dat een oefencyclus wordt

opgemaakt. Deze cyclus, die idealiter jaarlijks herhaald wordt, bestaat uit een reeks van opeenvolgende oefenmethodes die toenemen in complexiteit en omvang en die de organisatie moet doorlopen. Deze oefencyclus bepaalt de frequentie van de oefeningen en is gebaseerd op het oefenbeleid dat door het management werd vastgelegd. Dit wil niet zeggen dat in afwachting van de realisatie van de plannen geen oefeningen kunnen georganiseerd worden met betrekking tot bepaalde specifieke onderdelen van het plan. Op de figuur op volgende pagina wordt de oefencyclus van Dexia weergegeven, meerbepaald het soort oefeningen dat georganiseerd wordt (table top, telefooncascade, …) en in welke volgorde (met toenemende moeilijkheidsgraad).

Voorbeeld oefeningen

Voor de FOD Binnenlandse Zaken kunnen bijvoorbeeld volgende oefeningen worden voorgesteld:

- Oefening waarbij de procedures worden nagekeken - Beschikbaarheidstest: de contactpersonen in de

procedures en plannen worden opgebeld om hun bereikbaarheid en beschikbaarheid te testen, zowel binnen



F

ase

5 –

Oef

enen

, ond

erho

uden

, h

erzi

en

als buiten de kantooruren. - Oproepen van personen die als back-up werden

aangeduid en het effectief ter plaatste laten komen. - Ontruiming van het gebouw, opstarten en verderzetten van

de kritische activiteiten op een andere locatie

Opvolging en onderhoud

Niet alleen in navolging van oefeningen zal het nodig zijn de inhoud van de plannen bij te sturen of aan te vullen. Daarnaast moet er een procedure worden voorzien die ervoor zorgt dat bij iedere wijziging (intern of extern) met impact voor de organisatie het Business Continuity Management programma worden afgetoetst en de plannen waar nodig worden aangepast. Zo bestaat bijvoorbeeld bij Belgacom een procedure waarbij voor nieuwe producten een aanvraag via het Business Continuity Management team moet gebeuren. Er moet op voorhand aangetoond kunnen worden hoe in de continuïteit van het product voorzien zal worden in geval van een onderbreking. Naast wijzigingen aan het plan die voortvloeien uit oefeningen moeten updates van de plannen of met anderen woorden, wijzigingen, toevoegingen van procedures, processen, strategieën, plannen of een gewijzigde beleidsverklaring op een formele manier verspreid worden aan de sleutelpersonen (personen die een rol te spelen hebben in het kader van BCM) binnen de organisatie. Het is belangrijk vast te leggen wie over een papieren versie van het plan beschikt, waar de versies worden bewaard en wanneer updates worden verspreid (bijvoorbeeld 4 maal per jaar: januari – april – juli – oktober). Om de garantie te hebben dat alle betrokkenen over de meest recente versie beschikken is het ook aangeraden te werken met een distributielijst (waarbij de betrokkenen een ontvangstbewijs aftekenen).

Het meten van de vooruitgang en de maturiteit

Er zijn verschillende mogelijkheden om de opvolging van het Business Continuity Management te garanderen. De vooruitgang van het project kan opgenomen worden als prestatieindicator in om het even welk prestatie-opvolgingssysteem. Een andere mogelijkheid is het meten van de maturiteit van de organisatie op vlak van Business Continuity via interne controle en interne audit. In de volgende figuren wordt het opvolgingssysteem voor BCM weergegeven zoals gebruikt binnen Dexia. Dexia baseert zich op de British Standard 25999.



68

F


herzien

Figuur ‘Managementdashboard Business Continuity Management’ – Dexia Bank (British Standard 25999)

Figuur: Scoresysteem inzake fase 5 van de BCM lifecycle: oefenen, onderhouden en herzien



Figuur: Het managementdashboard voor de volledige BCM Lifecycle



F

ase

6 –

Het

inbe

dden

in d

e or

gani

satie

cultu

ur

6 Het inbedden van BCM in de organisatiecultuur Draagvlak Om succesvol te zijn moet het Business Continuity Management -

project gedragen worden door zoveel mogelijk personen binnen de organisatie. Het management (zowel top als middelmanagement) spelen een essentiële rol bij het in kaart brengen van de kritische processen. Hun steun winnen is dus vitaal voor het project. Zoveel mogelijk personeelsleden moeten overtuigd zijn van het feit dat ze een belangrijke rol te spelen hebben om de continuïteit van de activiteiten van de organisatie te kunnen waarborgen. Het is daarom belangrijk voldoende aandacht te besteden aan bewustwording- en opleidingsprogramma’s voor het personeel. Enerzijds moeten alle personeelsleden geïnformeerd worden over de inhoud van de plannen en moet iedereen zich bewust zijn van zijn/haar individuele verantwoordelijkheden. Anderzijds is het aangewezen dat personeelsleden met onmiddellijke verantwoordelijkheden (bijvoorbeeld BCM correspondenten) specifieke opleidingen kunnen volgen met betrekking tot Business Continuity Management in het algemeen of zoals hierboven reeds aangehaald met betrekking tot het organiseren van oefeningen.




Fase 4 Ontwikkelen


Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT



72

F

ase 6 – Het inbedden in de

organisatiecultuur

Het Business Continuity Management programma moet ook blijvend onder de aandacht worden gehouden door bijvoorbeeld het verspreiden van een interne nieuwsbrief, informatie op het intranet, bespreking van de topic in teammeetings, het gebruiken van een logo,... Voor nieuwe personeelsleden kan het Business Continuity Management beleid van de organisatie eventueel geïntegreerd worden in het opleidings- of onthaalprogramma. Andere mogelijkheden om een draagvlak te creëren kunnen zijn:

- Workshops of discussiegroepen rond het thema organiseren - Artikels publiceren met betrekking tot oefeningen en

vergaderingen van de Task Force: communicatie over de werkzaamheden

- Opleidingen of infosessie organiseren - Nieuwsbrief - Een pagina op intranet - Bezoek aan de alternatieve locatie - Rondgang bij het middenkader

Tot slot – synthese aanbevelingen Eenmaal de verschillende fasen van de Business Continuity Management lifecycle doorlopen zijn, is de implementatie van het Business Continuity Management Programma misschien afgerond maar er blijven nog een aantal permanente taken over die ervoor zorgen dat de BCM-lifecycle steeds opnieuw doorlopen wordt. Zo is het bijvoorbeeld nodig op regelmatige tijdstippen de risico’s waarmee een organisatie geconfronteerd kan worden of de impact van een onderbreking op de organisatie opnieuw te gaan bekijken. Deze kunnen immers wijzigen naargelang de context van de organisatie. Oefeningen kunnen daarnaast input geven aan de plannen en ook de beleidsverklaring kan verder verfijnd worden. Bovenvermelde toont aan dat het noodzakelijk is te denken aan een permanente structuur voor Business Continuity Management of risicomanagement in het algemeen binnen de organisatie (zie punt 1.3.2 permanente structuur, p. 31). Om af te sluiten volgt op de volgende pagina een synthese van de praktische aanbevelingen die doorheen dit document gemaakt werden met betrekking tot het installeren van een Business Continuity Management binnen de organisatie, in het bijzonder de FOD Binnnenlandse Zaken.


Fase 6 Het inbedden in de organisatiecultuur




Fase 4 Ontwikkelen


Fase 5 Oefenen

Onderhouden Herzien

BUSINESS CONTINUITY

MANAGEMENT

Fase 1 Business Continuity Management Programma

� Zorg ervoor dat het binnen de organisatie duidelijk is wat men begrijpt onder Business Continuity Management. Formuleer een organisatiedefinitie.

� Formuleer de doelstellingen die men wenst te bereiken. � Wat is de scope van het project? Niet alle diensten en processen moeten van bij het begin betrokken worden.

Dit kan een invloed hebben op de vooruitgang van het project. � Verspreid een beleidsverklaring: communiceer op een formele wijze doorheen de organisatie over het project

en het belang ervan. � Neem het Business Continuity Management als doelstelling op in het strategisch en operationeel plan van de

organisatie. � Gebruik een norm of standaard voor Business Continuity Management ter ondersteuning.

Zie dit als een leidraad en vul deze aan waar wenselijk. � Pas de principes van het projectmanagement toe bij de implementatie van Business Continuity Management � Richt een projectstructuur op (projectleider, stuurgroep, werkgroep) voor de implementatie � Voorzie een permanentie structuur voor het oefenen, onderhouden en herziening van de plannen (zie fase 4). � Voorzie een algemene opleiding betreffende Business Continuity Management voor de leden van het projectteam.

� Maak een lijst van de processen binnen de organisatie en visualiseer deze aan de hand van flowcharts. � Werk rond een beperkt aantal processen (bijvoorbeeld de primaire processen) en breidt daarna uit naar

andere. Stel de vraag “wat is het minimum dat gedaan moet worden om de meest kritieke activiteiten te herstellen?”.

� Breng per proces een aantal die nauw betrokken zijn rond de tafel en maak samen een analyse van het proces (benoem de kenmerken en afhankelijkheden van het proces).

� Leg binnen de organisatie een aantal hersteldoelstellingen of Recovery Time Objectives (RTO) vast (bijvoorbeeld RTO 1 = herstel binnen de 4u na onderbreking, RTO 2 = herstel binnen de 12u, enz.) die gebruikt worden doorheen de organisatie en voeg deze toe aan de beleidsverklaring.

� Leg binnen de organisatie een aantal maximaal duldbare uitvaltijden of Maximum Tolerable Period of Disruption (MTPD) vast (bijvoorbeeld MTPD 1 = maximaal duldbare uitval = 24u, MTPD 2 = maximaal duldbare uitval = 48u,. ). Wanneer deze overschreden worden loopt de organisatie onherstelbare schade op.

� Breng per proces opnieuw een aantal medewerkers die nauw betrokken zijn rond de tafel en bepaal per proces welke hersteldoelstelling of RTO en welke MTPD van toepassing is voor het proces en welke de impact is van een uitval van het proces.

� Breng verslag uit van deze oefening bij het management en laat hen de informatie valideren. � Maak geen Business Continuity Plan per specifiek risico maar streef ernaar één Globaal Business Continuity

Plan (BCP) te maken dat verschillende risico’s afdekt. Specifieke maatregelen voor specifieke risico’s kunnen als bijlage bij het globaal BCP worden opgenomen.

� Hou rekening met de 4 meest waarschijnlijke scenario’s: gebrek aan personeel, gebrek aan toegang tot de faciliteiten, gebrek aan vitale data en gebrek aan ICT-infrastructuur.

� Een risicoanalyse is geen absolute voorwaarde om een Business Continuity Plan te maken. Voer op regelmatige tijdstippen (idealiter 1 x per jaar) een risicoanalyse uit om het Globaal BCP verder te verfijnen.

Fase 4 Ontwikkelen en implementeren Business Continuity Respons

� Schrijf de reactieve maatregelen (het optreden in geval van een reële onderbreking) neer in: - het Incident Management Plan (wanneer deze het beheren van het risico in acute fase of het

beperken van de schade betreft) - het Business Continuity Plan (wanneer deze het heropstarten of verderzetten van de meest

kritische processen betreft) - Het Business Recovery Plan (wanneer deze de terugkeer naar de normale situatie betreft)

� Schrijf deze maatregelen neer in de vorm van procedures, afspraken, contactgegevens, enz. Bijvoorbeeld voor:

- Het Incident Management Plan kan dat een evacuatieprocedure zijn. - Het Business Continuity Plan kan dat een procedure voor het oproepen van back-ups zijn en

een lijst met de contactgegevens. - Het Business Recovery Plan kan dat een procedure voor het heropstarten van een niet-

kritisch proces zijn.

Fase 3 Business Continuity Strategie

� Breng per proces opnieuw een aantal medewerkers die nauw betrokken zijn rond de tafel en bepaal welke maatregelen genomen kunnen worden om de continuïteit van de processen te kunnen blijven garanderen in geval van:

- gebrek aan personeel - gebrek aan toegang tot de faciliteiten - gebrek aan vitale data - gebrek aan ICT-infrastructuur

� Hou bij het formuleren van de maatregelen rekening met de tijd waarbinnen het proces hersteld moet worden (de in de vorige fase vastgelegde RTO), de maximaal duldbare uitvaltijd (de in vorige fase vastgelegde MTPD) en de impact van een uitval van het proces.

� Hoe groter de impact van een uitval van het proces en hoe korter de RTO, hoe ‘dringender/hotter’ de maatregelen.

� Maak per voorgestelde maatregel een kosten-batenanalyse op. � Breng verslag uit van deze oefening en laat het management op basis van de in vorige fasen

verzamelde informatie, welke maatregelen uitgevoerd zullen worden. � Maak een actieplan op voor de implementatie van de goedgekeurde maatregelen. � Maak een onderscheid tussen preventieve, correctieve en reactieve maatregelen. � Voorzie de nodige middelen (budget en personeel) voor de uitvoering van de acties.

Fase 5 Oefenen, onderhouden, herzien

� Zorg dat het duidelijk is wie alle informatie bijhoudt. � Maak een oefenprogramma op met verschillende

types van oefeningen met toenemende moeilijkheidsgraad.

� Implementeer ervaringen uit oefeningen en vul of pas de plannen aan waar nodig (zie fase 4)

� Voorzie in een opvolgingssysteem om de vooruitgang van het project te meten.

� Maak een procedure op voor onderhoud van de gemaakte plannen (actueel houden van de gegevens en verspreiding van de meest recente versie).

� Meet de maturiteit van de organisatie op vlak van Business Continuity Management via interne audit.

� Creëer een draagvlak binnen de organisatie en zorg ervoor dat de personeelsleden bewust worden van het feit dat ze een belangrijke rol spelen in het garanderen van de continuïteit van de activiteiten.

� Bijvoorbeeld door: een communicatiecampagne, een intranetpagina, een artikel in het personeelsblad,…

DEEL 3

- Werkdocumenten -


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM - 1 -

Fas

e 1

– B

CM

Pro

gram

ma

Bel

eids

verk

larin

g

ONTWERP

BELEIDSVERKLARING – FOD Binnenlandse Zaken LIGNE POLITIQUE – SPF Intérieur

BUSINESS CONTINUITY MANAGEMENT Versiebeheer Business Continuity Management Beleidsverklaring : Versie Datum Goedgekeurd

door Op

(datum) Synthese wijzigingen

Volgende herziening

0.01 dd.mm.jj dd.mm.jj

dd.mm.jj

Verspreiding Business Continuity Management Beleidsverklaring (versie 0.01) aan:

Naam

Datum

Intranet

Personeel BiZa


- 2 - SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM

Fas

e 1

– B

CM

Pro

gram

ma

Bel

eids

verk

larin

g Wat betekent Business Continuity Management voor de FOD Binnelandse Zaken (definitie)

De Federale Overheidsdienst Binnenlandse Zaken heeft als opdracht het voorbereiden en uitvoeren van het beleid van de federale minister van Binnenlandse Zaken.

De FOD Binnenlandse Zaken is belast met een brede waaier van opdrachten die zich situeren binnen 4 grote domeinen:

- De veiligheid van de burger en de bescherming van publieke en private eigendommen: openbare orde en preventie, hulpverlening aan de bevolking en crisisbeheer.

- De toegang tot het grondgebied en verblijf op ons grondgebied van vreemdelingen: toegang van de vreemdelingen tot het grondgebied, hun verblijf, vestiging, terugkeer en uitwijzing. Het beheer van de gesloten centra, de transitcentra en de repatriëringscentra en het meewerken aan de strijd tegen de clandestiene immigratie en de mensenhandel.

- De Registratie en identificatie van de natuurlijke personen : identificatie van de natuurlijke personen (wetgeving, productie, beveiliging van de systemen) en de wetgeving omtrent, de werking van en de toegang tot het rijksregister.

- De uitoefening van bepaalde democratische rechten: het beheer van de reglementaire aspecten betreffende de instellingen, voor zover die aspecten deel uitmaken van de federale bevoegdheid. De uitoefening van bepaalde democratische rechten heeft onder andere betrekking op de verkiezingen die tot de federale bevoegdheid behoren en de openbaarheid van bestuur.

Deze opdrachten zijn allen van groot maatschappelijk belang. De FOD Binnenlandse Zaken moet bijgevolg de effectieve en efficiënte uitvoering van deze opdrachten kunnen waarborgen en dit niet alleen in gewone omstandigheden. De FOD Binnenlandse Zaken moet permanent in staat zijn haar opdrachten uit te voeren, ook wa nneer de omstandigheden van die aard zijn dat de continuïteit ervan in het gedrang komt. De FOD Binnenlandse Zaken vindt het daarom belangri jk zich te organiseren en de nodige maatregelen te nemen zodat zij in geval van een onderbreking van een of meerdere van haar processen in staat is snel en kor daat op te treden opdat de meest kritieke sleutelactiviteiten binnen de kortst mogel ijke termijn kunnen worden hersteld. Doelstellingen Business Continuity Management: Het Business Continuity Management proces zal zorgen voor een groter inzicht in de organisatiestructuur en de afhankelijkheden binnen de FOD Binnenlandse Zaken. De voornaamste doelstelling van het proces bestaat er echter uit de FOD Binnenlandse Zaken in de mogelijkheid te stellen om snel en efficiënt te reageren in geval van onderbreking zodat we:

- De meest kritieke dienstverlening kunnen blijven behouden; - Onze sociale verantwoordelijkheid voor de omgeving en de veiligheid van de

burger kunnen blijven behouden; - De reputatie van de Federale Overheidsdienst Binnenlandse Zaken kunnen

beschermen; - Voldoen aan de wettelijke en reglementaire voorschriften ; - Op noodsituaties kunnen reageren en deze beheren ter bescherming van de

gemeenschap;



Fas

e 1

– B

CM

Pro

gram

ma

Bel

eids

verk

larin

g

De Scope van het Business Continuity Management voo r de FOD Binnenlanse Zaken In het Business Continuity Management Programma van de FOD Binnenlandse Zaken gaat de aandacht in eerste instantie uit naar de 4 grote gevolgen van risico’s die de continuïteit van onze dienstverlening in het gedrang kunnen brengen, met name: - De onmogelijkheid van toegang tot onze faciliteiten (gebouwen, materiaal,…) - Het gebrek aan personeel voor de uitvoering van onze dienstverlening - Het gebrek aan ICT-infrastructuur - Een gebrek aan toegang tot de vitale informatie nodig om onze opdrachten uit te voeren

Volgende Algemene Directies en diensten van de FOD Binnenlandse Zaken zullen zich hierop voorbereiden en de nodige maatregelen uitwerken: - Algemene Directie Crisiscentrum - Algemene Directie Veiligheid en Preventie - Algemene Directie Instellingen en Bevolking - Algemene Directie Civiele Veiligheid - Dienst Vreemdelingenzaken - Stafdienst P&O - Stafdienst ICT - Stafdient B&B - (Commissariaat-generaal voor de Vluchtelingen en Staatlozen) - (Raad voor Vreemdelingenbetwistingen)

Het Business Continuity Management Programma De Voorzitster en de leden van het Directiecomité erkennen het belang van de implementatie van dit proces binnen de FOD Binnenlandse Zaken. Een projectteam Business Continuity Management zal worden samengesteld waarin de verschillende in het vorige punt aangehaalde diensten vertegenwoordigd zijn. Zij zullen de werkzaamheden op vlak van Business Continuity Management binnen hun dienst coördineren en optreden als contactpunt Business Continuity Management binnen hun organisatie.

Brussel, dd.mm.jjjj Bij herziening kan de Policy verder aangevuld en gedetailleerd worden: De leden van het projectteam Opleidingsprogramma Het oefenbeleid Herzieningsprogramma



Fas

e 1

– B

CM

Pro

gram

ma

Bel

eids

verk

larin

g


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM -1-

Fas

e 1

– B

CM

Pro

gram

ma

Pro

ject

fiche

ONTWERP

PROJECTFICHE

Implementatie Business Continuity Management FOD Binnenlandse Zaken

Versie Datum Auteur document Reden van wijziging 0.01 dd.mm.jj

Projectfiche Projectnaam: Implementatie Business Continuity Management binnen de FOD

Binnenlandse Zaken Behorend tot:

Federale Overheidsdienst Binnenlandse Zaken

Projectleider: X

Opdrachtgever: Mejuffrouw De Knop, Voorzitster van het Directiecomité

Kerninformatie Project

Uitdaging /

aanleiding

In 2007 werden naar aanleiding van de verspreiding van het vogelgriepvirus (H5N1) door de FOD Binnenlandse Zaken een aantal sensibilisatieacties ondernomen om het bewustzijn, met betrekking tot de mogelijke gevolgen van de uitbraak van een grieppandemie op het maatschappelijke leven, te verhogen, met name:

- een informatiecampagne werd uitgewerkt naar het personeel van de FOD Binnenlandse Zaken om hen bewust te maken van het belang van een goede hygiëne om de verspreiding van virussen tegen te gaan.

- Door de Algemene Directie Crisiscentrum werd een checklist ontwikkeld en verspreid met specifieke maatregelen die genomen kunnen worden binnen organisaties ter voorbereiding op een grieppandemie.

Vanuit deze acties en ook gelet op de recente evoluties (A/H1N1 pandemie) is steeds meer het bewustzijn gegroeid dat het noodzakelijk is dat overheidsdiensten, gelet op de vaak belangrijke maatschappelijk rol die ze vervullen, in staat moeten zijn de continuïteit van hun dienstverlening te garanderen ongeacht de omstandigheden of bedreigingen waarmee ze worden geconfronteerd.


Fas

e 1

– B

CM

Pro

gram

ma

Pro

ject

fiche

Doelstellingen

De voornaamste doelstelling van het proces bestaat er uit de FOD Binnenlandse Zaken in de mogelijkheid te stellen om snel en efficiënt te reageren in geval van een onderbreking zodat we: - De meest kritieke dienstverlening kunnen blijven behouden; - Onze sociale verantwoordelijkheid voor de omgeving en de veiligheid

van de burger kunnen blijven behouden; - De reputatie van de Federale Overheidsdienst Binnenlandse Zaken

kunnen beschermen; - Voldoen aan de wettelijke en reglementaire voorschriften ; - Op noodsituaties kunnen reageren en deze beheren ter bescherming

van de gemeenschap;

Definities Door het uitwerken van maatregelen, het neerschrijven en inoefenen van interne procedures en afspraken moet de FOD Binnenlandse Zaken permanent in staat zijn haar opdrachten uit te voeren, ook wanneer de omstandigheden van die aard zijn dat de continuïteit ervan in het gedrang komt.

In Scope (afhankelijk van de beslissing van het management – hieronder volgt slechts een voorbeeld) Primaire processen van:

- Algemene Directie Crisiscentrum - Algemene Directie Veiligheid en

Preventie - Algemene Directie Instellingen en

Bevolking - Algemene Directie Civiele Veiligheid - Dienst Vreemdelingenzaken - Stafdienst P&O - Stafdienst ICT - Stafdient B&B

Uit Scope - Commissariaat-generaal voor de

Vluchtelingen en Staatlozen - Raad voor Vreemdelingenbetwistingen

Afhankelijkheden

- Personeel: het aantrekken of aanduiden van de juiste personen die het project kunnen leiden en de activiteiten binnen de verschillende diensten en directies kunnen coördineren.

Risicolijst

- Er is geen onvoldoende groot draagvlak binnen de organisatie. - De scope van het project is te groot waardoor de vooruitgang van het

project in het gedrang kan komen - Er zijn onvoldoende middelen beschikbaar om bepaalde specifieke

maatregelen (bijvoorbeeld de inrichting van een alternatieve locatie) uit te voeren.



Fas

e 1

– B

CM

Pro

gram

ma

Pro

ject

fiche

Kosten / Baten Baten :

- De continuïteit van onze dienstverlening kunnen garanderen in geval van een onderbreking

- Een verbeterd imago bij andere FOD’s, burgers en bedrijven. - Een voorbeeldfunctie naar andere federale overheidsdiensten

Kosten:

- Tijdsinvestering personeel - Opleiding van het betrokken personeel - Investeringen voor de uitwerking van bepaalde specifieke

maatregelen (bijvoorbeeld een extern back-up centrum voor data op het netwerk, de inrichting van een alternatieve locatie, ..)

Globale planning van het project

Beschrijving van de concrete oplevering Datum

1 Het projectteam werd samengesteld

2 De scope van het project werd vastgelegd

3 De beleidsverklaring werd verspreid

4 Het ‘Plan van Aanpak’ werd goedgekeurd

5 De analyse van de processen is gefinaliseerd

6 De Business Impact Analyse werd uitgevoerd en goedgekeurd

7 Een inventaris en een kosten-baten analyse van mogelijke maatregelen werd opgemaakt

8 Het actieplan met de door de Voorzitster en het Directiecomité gekozen maatregelen werd opgemaakt en uitgevoerd.

9 Het Incident Management Plan, het Business Continuity Plan en het Disaster Recovery Plan werd opgemaakt.

10 Een oefenprogramma werd opgesteld

11 Een onderhoudsprocedure werd opgemaakt


Fas

e 1

– B

CM

Pro

gram

ma

Pro

ject

fiche

Goedkeuring Plan Van Aanpak

Overzicht van de personen die het Plan van Aanpak moeten goedkeuren Naam

Dienst Rol &

verantwoordelijkheid

Mejuffrouw De Knop Voorzitster van het Directiecomité

Directeur-generaal

Opsomming van de personen die zullen deelnemen aan de verdere uitwerking van het Plan van Aanpak Naam / profiel

Dienst

BCM correspondent 1

Algemene Directie A

BCM correspondent 2 Algemene Directie B

BCM correspondent 3 Stafdienst C



Fas

e 2

– In

zich

t in

de o

rgan

isat

ie

Vra

genl

ijst B

usin

ess

Impa

ct A

naly

se

ONTWERP

VRAGENLIJST - BUSINESS ANALYSE

Naam proces: Beschrijving proces:

Geef een korte beschrijving van het proces.

Subprocessen Onderscheid eventuele subprocessen (of activiteiten) binnen het proces.

Visuele voorstelling

Visualiseer het proces aan de hand van een stoomdiagram.

Proceseigenaar (verantwoordelijke)

Wie binnen de organisatie is de verantwoordelijke voor het proces?

Relatie met andere processen

Welke relaties kennen deze processen met andere afdelingen of derden?

Afhankelijkheden van andere processen

Van welke processen is het proces afhankelijk? Interne processen: Externe processen:

Kenmerken

PROCES

Regels Doelstelling Start Einde

Belanghebbenden Personeel Middelen Lokatie

INPUT OUTPUT


-2- SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM

Fas

e 2

– In

zich

t in

de o

rgan

isat

ie

Vra

genl

ijst B

usin

ess

Impa

ct A

naly

se

Input Wat is de input van het proces? Een input is iets dat getransformeerd, verbruikt, gebruikt, verwerkt, … wordt in het proces. Voorbeelden van input van een proces kunnen zijn: de gegevens van een contactpersoon, een aanvraag, een vraag tot opleiding van eigen personeel, een vraag van een burger aan het loket, een aanvraag tot verlof, een factuur van een leverancier,… Deze input worden verwerkt tot output om te voldoen aan de behoeften en verwachtingen van de aanvrager. In administratieve processen hebben input doorgaans te maken met data.

Output Wat is de output van het proces? Een output is iets dat geproduceerd wordt door het proces. Het is het geleverde resultaat of de dienst aan een externe belanghebbende of een ander intern proces. Voorbeelden van output zijn: een afgeleverde vergunning, een antwoord met de toestemming of weigering van een verlof, een antwoord op een vraag van een burger, een betaalde factuur, …

Doelstelling Wat wil men bereiken met dit proces?

Start

Wat is de trigger (evenement, gebeurtenis, trekker) die het proces in gang zet?

- De trigger maakt geen deel uit van het proces zelf - Het is maw niet de eerste activiteit van het proces - Een proces start altijd met een of meerdere triggers.

Vb. een trigger voor de behandeling van een asielaanvraag kan bijvoorbeeld de verklaring van de kandidaat-vluchteling dat hij/zij asiel wenst aan te vragen. Mogelijke triggers:

- Bericht of boodschap: vb. oproep, bericht, fax, vraag van de burger

- Tijd: vb. elke eerste donderdag van de maand, elke week, een concrete datum of uur, op maandag,…

- Regel: vb. een noodsituatie doet zich voor, een limiet is overschreden,…

- Ander proces: vb. proces X levert input aan het proces - Combinatie van de vorige

Regels Aan welke regels is het proces gebonden?

- Intern bepaalde regels: vb. dienstnota’s, arbeidsreglementen, instructies, handleidingen, …

- Regels opgelegd door derden: vb. wetten, Europese richtlijnen, ... - Bestaan er geschreven protocollen en procedures met betrekking tot

dit proces? (opgeven, type en locatie) - Zijn er verzekeringen afgesloten die tot uitkering komen bij

calamiteiten? - Welke contractuele verplichtingen zijn er met derden? - Welke weten regelgeving is voor de organisatie van toepassing?

Belanghebbenden Wie heeft er belang bij (instanties, organisaties, …) dat het proces goed

verloopt? - Wordt er voor de uitvoering van het proces gebruik gemaakt van de

diensten van derden?



Fas

e 2

– In

zich

t in

de o

rgan

isat

ie

Vra

genl

ijst B

usin

ess

Impa

ct A

naly

se

Personeel Wat is het aantal personeelsleden dat nod ig is om dit proces uit te voeren? - Welke zijn de functies (rollen) nodig? : aantal, competenties, taken,

hoeveelheid en tijd (Uitdrukken in rollen, zoveel mogelijk bestaande rollen)

Middelen Wat zijn de middelen nodig om het proces u it te voeren? Vb. computertoepassingen, data, checklists, formulieren, activa, …. (De courante middelen worden niet opgenomen in de beschrijving van het proces (telefoon, stoel, lokaal, …)

- Geef een lijst van alle computer applicaties/systemen gebruikt voor dit proces (inclusief spreadsheets, lokale databanken, enz…)

- Van welke informatiesystemen wordt voor de uitvoering van het proces gebruik gemaakt?

- Welke overige bedrijfsmiddelen worden voor de uitvoering van het proces gebruikt

- Is het proces afhankelijk van elektriciteit en/of gas? - Is het proces afhankelijk van water? - Is het proces afhankelijk van airconditioning? - Is het proces afhankelijk van andere benodigdheden? - Is het proces afhankelijk van telefoon? (uitgaand, inkomende,

videoconferentie, …)? - Is het proces afhankelijk van fax? - Is het proces afhankelijk van computer en netwerk (pc specificaties:

software/hardware, pc verbindingen, servers, ..) - Is het proces afhankelijk van unieke benodigdheden? (vb.

rekenmachines, audio recorders, audio/visio apparatuur, …) - Is het proces afhankelijk van post of koerierdiensten? - Is het proces afhankelijk van veiligheidsdiensten? - Is het proces afhankelijk van specifieke documentatie? - Is het proces afhankelijk van interne werkgroep? *Deze lijst is niet exhaustief en kan verder worden aangevuld

Locatie Waar (geografische plaats) wordt dit proces uitgevoerd? (1 of meerdere

plaatsen) - Vinden de activiteiten op verschillende locaties plaats

Einde Het eindevenement is het ogenblik waarop geen activiteiten meer nodig zijn.

Wijze waarop het proces kan eindigen: - bericht of boodschap: vb. antwoord is verzonden aan de aanvrager als

besluit van het proces - fout: vb. een fout tijdens het proces, doet het proces eindigen - ander proces: vb. het proces geeft output aan een ander proces - combinatie van vorige - Wat is de relatie met andere processen?

Alternatieven Zijn er activiteiten in dit proces die manueel kunnen worden uitgevoerd? Zijn er activiteiten in dit proces die van op een andere locatie kunnen worden uitgevoerd?



Fas

e 2

– In

zich

t in

de o

rgan

isat

ie

Vra

genl

ijst B

usin

ess

Impa

ct A

naly

se

-1-

Fase 2 – Inzicht in de organisatie Vragenlijst Business Impact Analyse

BU

SIN

ES

S C

ON

TIN

UIT

Y M

AN

AG

EM

EN

T

ONTWERP

VRAGENLIJST - BUSINESS IMPACT ANALYSE Naam proces:

Impact uitval:

Inschatting van de gevolgen zijn van de onderbreking van het proces? What if? Aanduiding in onderstaand rooster volgens volgende criteria:

1 = GEEN 2 = MINIMAAL 3 = MATIG 4 = GROOT 5 = KRITIEK 1 2 3 4 5

Financiële impact

• Zou een onderbreking van het proces impact op lopende inkomsten of toekomstige inkomsten?

• Riskeert de organisatie een financiële boete ten gevolge niet naleving contractuele verplichtingen?

• Riskeert de organisatie schadeclaims ten gevolge een onderbreking van het proces?

Beschrijving

Impact op welzijn en veiligheid van het

personeel

• Heeft een onderbreking van het proces een invloed op de veiligheid, de gezondheid en/of het welzijn van het personeel?

Beschrijving

Impact op het imago en de reputatie van de organisatie

• Zou een onderbreking van het proces een negatieve impact hebben op de reputatie van de organisatie?

• Zou een onderbreking van het proces een negatieve impact hebben op het publiek imago van de organisatie?

• Zou een onderbreking van het proces een negatieve impact hebben op het publiek vertrouwen in de organisatie?

Beschrijving

BU

SIN

ES

S C

ON

TIN

UIT

Y M

AN

AG

EM

EN

T


-2-

Statutaire en wettelijke verplichtingen

• Stelt de organisatie zich bloot aan wettelijke verplichtingen als het proces niet wordt uitgevoerd?

Beschrijving

Omgeving (publieke veiligheid en gezondheid)

• Heeft een onderbreking van het proces een invloed hebben op de publieke veiligheid, gezondheid en/of welzijn van de burgers?

• Heeft een onderbreking van het proces een invloed hebben op de omgeving of het milieu?

Beschrijving

Continuïteit van de eigen organisatie • Welke invloed heeft een onderbreking van het proces op de continuïteit van andere processen binnen de organisatie?

MTPD (Maximum Tolerable Period of Disruption)

Maximaal duldbare uitval: Wat is de maximale duur van uitval zoniet kan de organisatie ernstige, onherstelbare schade oplopen?

� Beschrijving

MTPD1 De organisatie kan onherstelbare schade oplopen indien het proces gedurende 24u of langer onderbroken is.

MTPD2 De organisatie kan onherstelbare schade oplopen indien het proces gedurende 48u of langer onderbroken is.

MTPD3 De organisatie kan onherstelbare schade oplopen indien het proces lager dan 48u onderbroken is.

MTPD4 Een onderbreking van het proces zal niet noodzakelijk onherstelbare betekenen voor de organisatie.

RTO (Recovery Time Objective)

Herstelobjectief: Wat is de termijn dat de organisatie vooropstelt waarbinnen het proces hersteld moet worden? Opgelet: Indien er afhankelijkheden bestaan tussen processen (zie Business Analyse) dient de RTO voor die processen in overeenstemming worden gebracht.

� Beschrijving

RTO 1 Het proces moet hersteld zijn binnen de 4 uur na de onderbreking RTO 2 Het proces moet hersteld zijn binnen de 4 -24 uur na de onderbreking RTO 3 Het proces moet hersteld zijn binnen de 24 - 48 uur na de onderbreking RTO 4 Het proces moet hersteld zijn binnen de 48u - 5 dagen na de onderbreking RTO 5 Het proces moet hersteld zijn binnen de 5 - 10 dagen na de onderbreking RTO 6 Het proces kan langer dan > 10 dagen onderbroken zijn

-3-


BU

SIN

ES

S C

ON

TIN

UIT

Y M

AN

AG

EM

EN

T

Afhankelijkheden - Middelen

Welke zijn de middelen waarvan het herstel het meest afhankelijk is? Bepaal de prioriteiten voor het herstel van de middelen die werden opgesomd in de Business Analyse.

3 MINOR Hoe spoedig zou een gebrek aan/het onbeschikbaar zijn van …..ongemakken opleveren voor het proces?

2 MAJOR Hoe spoedig zou het proces een grote verstoring kennen door een gebrek aan/het onbeschikbaar zijn van….?

1 CRITICAL Hoe spoedig zou het niet kunnen beschikken over een kritisch effect hebben (proces valt stil) op het proces?

< 2u 2 – 4u 4 – 12u 12 - 24u 24 – 48u 48u – 5 d. 5 – 10 d. > 10 dagen

Middelen

BU

SIN

ES

S C

ON

TIN

UIT

Y M

AN

AG

EM

EN

T


Fase 3 – Bepalen BCM Strategie


-1-

ONTWERP

TEMPLATE - BUSINESS CONTINUITY MAATREGELEN Naam proces:

Synthese

Recovery Time objective (RTO of herstelobjectief):

Maximal Tolerable Period of Disruption (MTPD of maximale uitvaltijd):

Afhankelijkheid van andere processen (welke + RTO):

Aanwezige alternatieven:

Gebrek aan personeel

Maatregelen Type maatregel

P: preventief C: correctief R: reactief

Voordelen/baten Nadelen/kosten


Fase 3 – Bepalen BCM Strategie

-2-

Geen toegang tot vitale data

Maatregelen Type maatregel P: preventief

C: correctief R: reactief


Gebrek aan faciliteiten/infrastructuur




Gebrek aan ICT






Fas

e 4

– O

ntw

ikke

len,

impl

emen

tere

n B

CM

Res

pons

ONTWERP

TEMPLATE - BUSINESS CONTINUITY PLAN

I. INLEIDING

Doelstellingen:

Autoriteiten:

Distributielijst

Kopie nr. Functie Locatie

Referenties en gerelateerde documenten

Titel document Documenteigenaar Locatie

II. ORGANISATIEPROCESSEN

1. Missie en sleutelactiviteiten

a. Missie

b. Sleutelprocessen (opsomming)

2. Rollen en verantwoordelijkheden

a. BCM Sponsor:

b. BCM Coordinator:

c. BCM Projectteam:

Leden Projectteam Rollen en verantwoordelijkheden Contactinformatie



Fas

e 4

– O

ntw

ikke

len,

impl

emen

tere

n B

CM

Res

pons

d. BCM Permanente structuur/ BCM Response team:

Naam Rollen en verantwoordelijkheden contactinformatie

3. Activatieprocedures

4. Alternatieve locatie

a. Voor de bijeenkomst BCM response team

b. Voor de uitvoering van de sleutelprocessen

5. Communicatiestrategie

Personen bevoegd voor de coördinatie van communicati e t.a.v.

Personen of organisaties die nefaste gevolgen kunnen ondervinden van de onderbreking. Functie Contactinformatie

Partners / belanghebbenden

Personeel

Diensthoofden

Leveranciers

Media

Andere

III. KRITIEKE SLEUTELPROCESSEN

Vul per proces onderstaande informatie aan:

1. Beschrijving van het proces (Zie Business Analyse)

2. MTPD (Maximum Tolerable Period of Disruption) (zie Business Impact analyse)

3. RTO (Recovery Time Object) (zie Business Analyse)

4. Personeel (vul aan welke de personeelsleden zijn die een kritieke rol te vervullen hebben bij het uitvoeren van de activiteit)

Naam Rollen en verantwoordelijkheden contactinformatie

5. Afhankelijkheden

Van welke processen is het proces afhankelijk?

Rollen en verantwoordelijkheden contactinformatie

6. Vitale data

Beschrijving Waar? contactinformatie



Fas

e 4

– O

ntw

ikke

len,

impl

emen

tere

n B

CM

Res

pons

7. Benodigdheden


8. Faciliteiten


9. Leveranciers/consultanten

Beschrijving Geleverde dienst of product contactinformatie

10. Alternatieve leveranciers


11. Andere informatie

Herhaal punt III per proces en in de volgorde van belangrijkheid van de processen



Fas

e 4

– O

ntw

ikke

len,

impl

emen

tere

n B

CM

Res

pons

- Bijlagen -

� H:\BCP1\FINAL TE PRINTEN 30.06.2009\16 Bijlage 1 BCP checklist_NL.doc

Installatie van een Business Continuity Planning

voorbereiding op de uitbraak van een grieppandemie

BIJLAGE 1

2

Inhoud

Installatie van een Business Continuity Planning 1

1 Doelstelling 3

2 Basisaannames 3

3 Planning van de continuïteit van de dienstverlening bij een grieppandemie 4

4 Business Continuity Planning: checklist 4

I Verminder de impact van de pandemie op de werkzaamheden 5

I Verminder de impact van de pandemie op de werkzaamheden 6

II Bescherm de gezondheid van uw personeel 7

III Werk een beleid uit dat bij een grieppandemie moet worden uitgevoerd 8

IV Zorg voor adequate opleiding en communicatie 9

V Coördineer de activiteiten met externe organisaties en met de overheid 10

3

1 Doelstelling

Dit document beoogt een totaalvisie te bieden op essentiële punten waarmee rekening moet worden gehouden om alle sectoren van het socio-economische leven voor te bereiden op de uitbraak van een grieppandemie.

Het opstellen van een plan voor de continuïteit van de dienstverlening zal in het bijzonder toelaten:

- te bepalen wat de nood is aan personeels- en materiële middelen om het hoofd te bieden aan een grieppandemie

- de socio-economische gevolgen op de werkplaats en bij het personeel te beperken

- een zo hoog mogelijke activiteitsgraad te handhaven en tegelijk het blootgestelde personeel te beschermen

- de essentiële operaties en functies te handhaven (vooral dankzij een gepland beheer van de personeels- en materiële middelen).

De uitwerking van een Business Continuity Plan (BCP) zet de pro-activiteit van de organisatie in de verf. Het laat toe het personeel en de partners een signaal te geven dat die zich bewust is van de problemen die een grieppandemie kan meebrengen. Het op punt stellen van dergelijk plan zal de organisatie ook toelaten een stand van zaken op te maken van de hulpmiddelen en de informatie die nodig is om het hoofd te bieden aan een grieppandemie. Bovendien kan dit plan dan ook gehanteerd worden bij andere situaties die de continuïteit in het gedrang brengen.

Voor alles wordt het belang benadrukt van de rol van het Human Resources Management (HRM) bij de uitwerking van dit plan, gelet op de mogelijke absenteïsmegraad.

De informatie in dit document is afkomstig van adviezen van de Wereldgezondheidsorganisatie (WGO) en is ook geïnspireerd op BCP die de regeringen van Canada en de Verenigde Staten van Amerika hebben opgesteld. De informatie is algemeen van aard en moet worden aangepast aan de situatie van de werkomgeving.

2 Basisaannames

Basisaannames voor BCP :

- Een pandemie heeft gevolgen die een groot aantal gebieden – soms zelfs de hele wereld – kunnen treffen. Hulp van buitenaf kan bijgevolg beperkt zijn.

- Organisaties kunnen met een belangrijk absenteïsmepercentage te kampen krijgen (mogelijk het dubbele van het aantal zieken), omdat tal van werknemers ziek vallen, thuis blijven om familieleden te verzorgen, of weigeren om naar hun werk te gaan om besmetting in het openbaar vervoer en in de bureaus te vermijden.

- Waarschijnlijk wordt tijdens de grieppandemie (verschillende golven zijn mogelijk, van elk 8 tot 12 weken) 15 tot 35 % van de actieve bevolking ziek.

- De griepaanvallen zoals ze zich voordoen op de werkplaats verlopen parallel met de ziektegolven in de maatschappij.

- Wie ziek valt, blijft vermoedelijk minstens zeven werkdagen afwezig op het werk.

4

3 Planning van de continuïteit van de dienstverlening bij een grieppandemie

De gevolgen van een pandemie raken essentieel de middelen aan personeel met talloze effecten op het hele socio-economische leven.

Bijvoorbeeld:

- aantasting van essentiële diensten: informatie- en telecommunicatiediensten, bevoorrading in energie, water, voedsel en transport, het banksysteem

- het wordt moeilijker om in de bevoorrading te voorzien die nodig is om de activiteiten voort te zetten (bv: problemen in verband met de import en de levering)

- vraag en aanbod zullen in bepaalde sectoren sterk wijzigen: er zal in hoge mate een beroep worden gedaan op gezondheidsdiensten (bv: ziekenhuizen, artsen), op veiligheid (bv: politie), en op communicatiediensten (bv: internet, telefoon), terwijl de vraag naar vrijetijdsdiensten (bv: toerisme, cultuur, sommige horecasectoren) riskeert te kelderen.

De openbare instellingen zullen niet alleen in staat zijn het hoofd te bieden aan alle problemen die de Belgische bevolking kunnen treffen. Coördinatie en samenwerking tussen de openbare en de privé-sector is dus onontbeerlijk, net als een doeltreffend informatiebeleid, om de gevolgen van de grieppandemie te beperken.

Elke openbare organisatie moet in staat zijn om:

- zich voor te bereiden om de essentiële werking van haar organisatie te waarborgen

- ervoor te zorgen dat het socio-economische leven voortgaat en toestaat dat het overheidsapparaat in haar essentiële bevoegdheidsdomeinen gehandhaafd blijft. Daarom moet de organisatie:

- voorzien in een systeem om de situatie te monitoren, d.w.z. een stand van zaken van de situatie binnen de betrokken sectoren kunnen opmaken.

- ervoor zorgen dat binnen alle activiteitsdomeinen die onder haar bevoegdheid vallen, die elementen zijn bekendgemaakt die onder ogen moeten worden genomen om de continuïteit van de diensten te waarborgen, en zorgen voor een BCP.

- te zorgen voor een doeltreffend communicatiebeleid in elke sector, dat moet worden opgenomen in de globale communicatiestrategie die door de overheden wordt bepaald (www.influenza.be).

4 Business Continuity Planning: checklist De lijst met onderdelen waarmee rekening moet worden gehouden voor de uitwerking van de Business Continuity Planning, kan in vijf grote thema’s worden onderverdeeld:

- Verminder de impact van de pandemie op de werkzaamheden

- Bescherm de gezondheid van uw personeel

- Werk een beleid uit dat bij een grieppandemie moet worden uitgevoerd

- Zorg voor adequate opleiding en communicatie

- Coördineer de activiteiten met externe organisaties en met de overheden.

5

Klaar Lopend Nog niet gestart I Verminder de impact van de pandemie op de wer kzaamheden Nuttige ideeën om deze taak te realiseren

1. Benoem binnen de organisatie iemand en/of een team die/dat verantwoordelijk is voor de coördinatie bij de

voorbereiding van het Business Continuity Plan. Deze persoon (en/of dat team) is verantwoordelijk voor de planning en de coördinatie van het crisisbeheer in geval van een grieppandemie.

Deze persoon of dit team kan in een crisiscel worden opgenomen.

Maak deze benoeming eventueel officieel met hulp van de dienst HRM (bv: via een precieze functiebeschrijving)

2. Deel de activiteiten binnen de organisatie in volgens hun belangrijkheid: - activiteiten die onontbeerlijk zijn en die permanent moeten blijven functioneren - activiteiten die gedurende twee weken mogen worden onderbroken - activiteiten die gedurende acht tot twaalf weken mogen worden onderbroken

Het helpt als vooraf elke functie in de organisatie is omschreven.

3. Ga na of die activiteiten in handen zijn van personen intern aan de organisatie dan wel of sommige door

externen worden behartigd (bv: onderaannemers). Vergewis u ervan dat de continuïteit verzekerd blijft in geval van grieppandemie van de activiteiten die door externen worden behartigd.

4. Bepaal de middelen die noodzakelijk zijn voor de continuïteit van de onontbeerlijke activiteiten: - personeel: effectieven, bekwaamheden, vervanging voor essentiële betrekkingen (zorg voor een

vervangingssysteem, namelijk twee personen ‘back-up’ per sleutelbetrekking bovenop degene die oorspronkelijk die functie invult), een lijst van vrijwilligers die tijdens de pandemie willen werken, mogelijkheden onderzoeken van versterking door gepensioneerden, tijdelijke medewerkers en studenten

- materiële middelen nodig om de activiteit te handhaven (bv: onmisbare grondstoffen, voorziening in energie, voldoende budget)

- de wettelijke basis en de specifieke regels die van toepassing zijn in een pandemiesituatie (voor maatregelen om personeel te betalen, voor eventuele opeisingen, vakanties, arbeidsgeneeskunde, specifieke procedures)

Bepaal met de dienst HRM welke specifieke procedures nodig kunnen zijn (bv: een vervangingssysteem back-ups, lijst met vrijwilligers, specifieke verloning, enz.).

Bekijk met de dienst ICT de continuïteit van de informaticasystemen (bv. de door FEDICT voorgestelde methodologie voor de federale overheid).

5. De personen die bij een grieppandemie sleutelfuncties moeten waarnemen opleiden en voorbereiden. Deze

vorming slaat op intern en extern personeel in functie van wat nodig is (bv: bedienden met andere titels/functiebeschrijvingen, maar ook onderaannemers en gepensioneerden).

Te verwezenlijken met hulp van de dienst HRM.

6

Klaar Lopend Nog niet gestart I Verminder de impact van de pandemie op de wer kzaamheden Nuttige ideeën om deze taak te realiseren

6. Afhankelijk van de rol van de organisatie ontwikkelen van en voorzien in scenario’s van aard om tijdens een pandemie de vraag naar haar producten en/of diensten te kunnen verhogen of verlagen (bv: waarschijnlijk minder vraag om op restaurant te gaan ingevolge een mogelijke beperking van samenscholingen, de vraag naar bijstand door de hulpdiensten stijgt dan weer en er is een grotere nood aan hygiënisch materieel).

7. In functie van de rol en de noden van de organisatie de impact van een grieppandemie op haar financiën en budget bepalen.

Ondersteuning door de dienst Budget/Financiën afhankelijk van de verschillende scenario’s.

8. De impact van een grieppandemie op nationale en internationale verplaatsingen inschatten (bv: verminderde mogelijkheden qua transportmiddelen, eventueel zijn er quarantaines, de grenzen kunnen worden gesloten).

9. Bestudeer enkele alternatieven: - andere werkplaatsen of werkwijzen (bv: telewerken, videoconferentie) - vervoer (bv: bij verminderd openbaar vervoer ervoor zorgen dat degenen die onmisbare functies

vervullen, nog naar hun werk kunnen komen) - logies (bv: bekijk de mogelijkheid om personen die onmisbare functies vervullen, zo nodig ter plekke te

laten overnachten)

Maak met de diensten ICT, HRM en IDPB 1 een stand van zaken op van de mogelijkheden qua infrastructuur en van de logistieke mogelijkheden op de werkplaats (bv: de beschikbaarheid van de lokalen, videoconferentie-uitrusting, thuiswerk, hygiënisch materieel) en eventueel bij het betrokken personeel thuis (bv: is er een computer met internetverbinding)

10. Blijf op de hoogte van de grieppandemie via officiële, geactualiseerde en betrouwbare informatiekanalen (bv: informatie afkomstig van een officieel orgaan van volksgezondheid).

Volg het nieuws; bezoek de website www.influenza.be of bel het nummer 0800/99 777.

11. Stel een plan op voor communicatie en werk het regelmatig bij. In dat plan moet staan:

- wie de persoon/personen is/zijn die naar aanleiding van een grieppandemie belast is/zijn met de coördinatie van de planning en van het beheer van de crisis

- wie sleutelfuncties vervult, wie hun vervangers zijn - een informatieketen, waarin ook de onmisbare partners staan (bv: doelgroepen, leveranciers, cliënten) - een werkwijze waardoor regelmatig over de toestand van de organisatie en van het personeel kan

worden gecommuniceerd

Binnen de diensten HRM et Communicatie uit te werken

12. Organiseer een oefening om het plan te testen en werk het plan regelmatig bij.

1 IDPB = Interne Dienst voor Preventie en Bescherming op het Werk

7

Klaar Lopend Nog niet gestart II Bescherm de gezondheid van uw personeel Nuttige ideeën om deze taak te realiseren

1. Voorzien zijn op en toestaan van afwezigheden van personeel bij een grieppandemie ingevolge fatoren als: - eigen ziekte - ziekte van een familielid - collectieve beperkingsmaatregelen of quarantaines - sluiting van school en/of bedrijf - de vermindering of zelfs de afschaffing van het openbaar vervoer

Vraag de hulp van de dienst HR/PO om in specifieke procedures bij afwezigheid te voorzien naargelang de gevallen hiernaast.

2. Verhoog de maatregelen die de besmetting afremmen door: - versterkte maatregelen qua persoonlijke hygiëne toe te passen: was regelmatig uw handen met zeep en

droog ze af met een wegwerpdoekje, gebruik papieren zakdoekjes voor eenmalig gebruik en werp ze daarna weg, houd uw hand voor uw mond bij hoesten of niezen en was daarna uw handen, draag eventueel een masker

- versterkte hygiënemaatregelen binnen het gebouw toe te passen: ontsmet het kantoor van een zieke (onder andere zijn bureaublad, zijn telefoon, zijn toetsenbord en zijn kantoorbenodigdheden), laat vaker schoonmaken, laat frequent en zonder risico op besmetting vuilbakken ophalen die gebruikte zakdoeken bevatten

- minder contacten tussen personen – intern en met externe partners: houd een sociale afstand (van minstens één meter volgens de algemene gezondheidsaanbevelingen), geef geen hand, vermijd verzamelruimtes (kantine, vergaderzalen)

Contacteer de dienst Aankopen om te voorzien in:

- voldoende hygiënisch materieel (ontsmettingsmiddel, zeep, papieren zakdoekjes en wegwerpdoekjes, alcoholoplossing voor de handen, maskers, handschoenen) en schoonmaakmaterieel (ontsmettings-middel voor de vloer en voor oppervlakten, specifieke vuilzakken)

- personeel om de hygiëne te waarborgen - een speciale opstelling van de bureaus

3. Moedig de jaarlijkse inenting aan van het personeel die deel uitmaken van de risicogroepen tegen de seizoensgriep en volg dat op (de voorbereiding van een pandemievaccin is gebonden aan de productiecapaciteiten van het vaccin tegen de seizoensgriep).

4. Bepaal welk personeel een ernstig risico op blootstelling loopt: - personeel dat met veel publiek in contact komt - personeel dat met publiek in contact komt dat vatbaar is voor de ziekte (bv. professionelen

gezondheidssector, ziekenhuispersoneel) - personeel belast met hygiëne en met schoonmaken - professionelen die in contact komen met levende of dode wezens die besmet kunnen zijn

(bv: pluimveeteelt, begrafenisondernemers)

Zorg samen met vooral de IDPB voor adequate uitrusting en beschermingsmaatregelen afhankelijk van het risico dat het personeel loopt

5. Bepaal welke personeelsleden en welke partners van het bedrijf specifieke behoeften hebben. Integreer de noden van die personen in uw voorbereidingsplan (ondersteuning inzake gezondheid en psychosociale noden)

6. Zorg er binnen de organisatie voor dat de zorg voor de omgeving, de airconditioning en het afval gewaarborgd is.

Haal de vuilbakken regelmatig op. Zet de airconditioning uit.

8

Klaar Lopend Nog niet gestart

III Werk een beleid uit dat bij een grieppandem ie moet worden uitgevoerd (Alle taken die hierboven en hieronder staan opgesomd, moeten worden voorbereid en uitgewerkt. Houd daarbij rekening met de dynamiek van de organisatie. Om de beslissingen van de directie te verduidelijken, worden het beleid en de richtlijnen best uitgeschreven. Generieke maatregelen per sector kunnen ook worden overwogen)

Nuttige ideeën om deze taak te realiseren

1. Bepaal een beleid voor de schadeloosstelling van bedienden en voor ziekteverlof dat typisch is voor

een grieppandemie (bv. niet-bestrafte afwezigheid, vrijaf), evenals richtlijnen voor wanneer iemand die ziek is geweest, niet meer besmettelijk is en weer kan komen werken.

Bepaal met de dienst HRM en de dienst IDPB welke specifieke procedures en maatregelen nodig zijn. Doe dit in overeenstemming met de directie.

2. Bepaal richtlijnen voor alternatieve werkplaatsen en -methodes (bv. telewerken) en voor flexibele

arbeidstijden (bv. variabele ploegen)


3. Bepaal richtlijnen om de uitbreiding van de ziekte op de arbeidsplaats te verhinderen (bv. persoonlijke hygiëne en bepaald sociaal gedrag aanmoedigen, verwijderen wie griepsymptomen vertoont).


4. Bepaal richtlijnen voor specifieke besmettingsrisico’s voor personeel dat: - meer blootgesteld besmet kan worden aan de ziekte - ervan verdacht wordt ziek te zijn of het te worden op de werkplaats (bv. onmiddellijk en

verplicht ziekteverlof)


5. Bepaal een beleid voor de mobiliteit van het personeel om: - de verplaatsingen en reizen te beperken naar (nationale en internationale) getroffen zones - het personeel te ontruimen dat in of nabij de getroffen zones werkt wanneer de pandemie

uitbarst - de werknemers die uit de getroffen zone komen, op te volgen

Bepaal met de dienst HRM welke specifieke procedures en maatregelen nodig zijn. Doe dit in overeenstemming met de directie.

6. Bepaal welke overheden en personen het actieplan van de organisatie kunnen activeren en stopzetten, op basis van welke procedures. Dit zal een alarmering van de professionele activiteiten van de organisatie veroorzaken (bv. de activiteiten in de getroffen gebieden worden stopgezet) en het overmaken van sleutelberichten aan het betrokken personeel impliceren.

Bepaal met de dienst HRM welke specifieke procedures en maatregelen nodig zijn. Doe dit in overeenstemming met de directie.

7. Bepaal een beleid inzake crisiscommunicatie met: - de informatie vooraleer een pandemie zich voordoet (anticipatie en voorbereiding) - de interne en externe communicatie tijdens een pandemie: met het personeel, met de partners

en met de doelgroepen, evenals met de rest van de bevolking (via de media).

Bepaal met de dienst Communicatie welke specifieke procedures en maatregelen nodig zijn. Doe dit in overeenstemming met de directie.

9

Klaar Lopend Nog niet gestart IV Zorg voor adequate opleiding en communicatie Nuttige ideeën om deze taak te realiseren

1. Bepaal de officiële (nationale en internationale) informatiebronnen, die precieze en gepaste informatie geven over de pandemie evenals de hulpmiddelen die toelaten preventie- en actiemaatregelen te nemen in geval van een grieppandemie.

De dienst Communicatie / IDVP moet ervoor zorgen dat hij over correcte en aangepaste informatie beschikt (kan variëren in functie van het door het personeel en de partners opgelopen risico), die officieel is (de dienst moet zijn bronnen kunnen rechtvaardigen).

2. ontwikkel en verspreid informatie over: - de pandemie zelf (bv. tekens en symptomen van griep, wijze van overdracht) - de maatregelen voor persoonlijke en familiale bescherming en hygiëne (bv.

handhygiëne, hoe je te gedragen wanneer je moet hoesten/niezen, sociale afstand)

- de medische en sociale zorg waarin bij een grieppandemie voorzien is (bv. bijzondere medische zorg waarin door de openbare overheden bij een grieppandemie voorzien is)

- de mogelijke behandelingen (bv. gebruik van antivirale middelen, vaccins) - de actieplannen die in de organisatie geïnstalleerd zijn.

De dienst HRM kan in samenwerking met de dienst Communicatie overeenkomen:

- informatievergaderingen voor het personeel te organiseren (zelfs opleidingen, afhankelijk van het opgelopen risico)

- documenten met nuttige informatie uit te delen en die informatie via het intranet van de organisatie te verspreiden

- het personeel naar nuttige sites te verwijzen, zoals www.influenza.be

3. Anticipeer op angst, geruchten en foutieve informatie bij het personeel en plan uw

communicatiestrategie aan.

Ga met de dienst Communicatie na dat te gelegener tijd duidelijke en realistische, maar ook geruststellende informatie verstuurd wordt, die wordt aangepast naargelang het risico dat het personeel loopt.

4. Zorg ervoor dat de berichtgeving cultureel en taalkundig gepast is.

Zorg ervoor dat de informatie verspreid wordt in alle talen die binnen de organisatie worden gebruikt. Vermeld op informatievergaderingen en bij de verspreiding van informatie steeds de referentiepersoon voor de pandemie binnen de organisatie, die op alle vragen kan antwoorden.

5. Installeer een contactsysteem waarmee de sociale band tussen het personeel en zijn organisatie behouden blijft, zodat ook tijdig kan worden doorgegeven:

- wat de stand van de pandemie is binnen de organisatie (absenteïsmepercentage, situatie van de productie van werk/diensten) en daarbuiten

- hoe het zit met de activiteiten voor het personeel en zijn partners, op de werkplaats en daarbuiten

- herinneringen aan het contactsysteem.

De dienst Communicatie / HRM kan bijvoorbeeld een forum op zijn website te zetten, waar het personeel nuttige informatie kan ophalen en sociaal contact kan onderhouden met zijn werkplaats en met diegenen die er deel van uitmaken.

10

Afgelopen Lopend Nog niet gestart

V Coördineer de activiteiten met externe organi saties en met de overheid

Nuttige hulpmiddelen om deze taak te realiseren

1. Werk met horizontale diensten samen zoals met: - de dienst HRM - de dienst Communicatie - de dienst IDPB (met inbegrip van de arbeidsgeneeskunde, om de wettelijke

verplichtingen t.o.v. het personeel te verifiëren) - de dienst ICT - de dienst Aankopen/Budget

De coördinatie wordt zinvol georganiseerd door de directie (bv.: binnen het directiecomité)

2. Werk met externe organisaties samen zoals met: - verzekeraars: ga na wat bij een grieppandemie door uw verzekeringen wordt gedekt - privé-maatschappijen voor preventiediensten

3. Werk samen met overheden zoals met: - de Federale Overheidsdienst Tewerkstelling en Arbeid (voor de bescherming van de

werknemers) - de Federale Overheidsdienst Volksgezondheid (voor het gezondheidsbeleid) - het Coördinatie- en Crisiscentrum van de Regering (inzake de interdepartementale en

interdisciplinaire coördinatie tussen overheden)

4. Werk samen met de gezondheidsinstanties die voor de volksgezondheid instaan op

federaal en lokaal vlak en/of voor noodsituaties om: - het interne noodplan van de organisatie en het externe noodplan van de overheid op

elkaar af te stemmen - te omschrijven wat uw organisatie kan bieden aan de gemeenschap/sector

5. Deel goede praktijkvoorbeelden met andere organisaties van uw gemeenschap/sector, om

de inspanningen voor een tussenkomst in dat domein te verbeteren.

Globaal Business Continuity Plan: Voor de FOD Binnenlandse Zaken wordt aanbevolen om in het kader van Business Continuity Management een globaal Business Continuity Plan op te maken waarbij de FOD zich voorbereidt op een mogelijke onderbreking van de meest kritische activiteiten. Hierbij is het aangewezen zich niet zozeer te fixeren op alle mogelijke risico’s waarmee de FOD geconfronteerd kan worden (en bijgevolg voor elk mogelijk risico een BCP uit te werken) maar eerder op de mogelijke gevolgen van risico’s. De belangrijkste gevolgen waarmee de FOD geconfronteerd kan worden zijn:

- Gebrek aan personeel - Gebrek aan ICT - Gebrek aan data/informatie - Gebrek aan faciliteiten

Dit sluit niet uit dat rond bepaalde specifieke risico’s (bijvoorbeeld ‘uitbreken grieppandemie’) wordt gewerkt. In dit geval is het aan te bevelen om maatregelen op vlak van Business Continuity eerder als bijlage bij het globaal Business Continuity Plan wordt gevoegd. De te nemen maatregelen op vlak van personeel (voorzien dat er voldoende personeel beschikbaar is om de meest kritische actviteiten te blijven uitvoeren) maken reeds deel uit van het ‘Globaal Business Continuity Plan’. Alle directies dienen met andere woorden de nodige voorzieningen te treffen opdat voldoende personeel beschikbaar/opgeleid is om de meest kritische activiteiten verder te zetten in geval van grieppandemie en bijgeolg een hoge afwezigheid wegens ziekte. Specifieke Business Continuity maatregelen op vlak van grieppandemie Deze maategelen hebben voornamelijk als doel: het veiligstellen van het welzijn van de medewerkers van de organisatie en kunnen als bijlage aan het Globaal Business Continuity Plan worden gevoegd. Hieronder volgt een opsomming van een aantal mogelijke maatregelen die op vlak van grieppandemie kunnen worden voorbereid binnen de FOD: Mogelijke maatregelen op vlak van intern communicatie (bovenop de huidige communicatie) Het is aangewezen dat deze maatregelen worden voorbereid door: Centrale Cel voor Informatie en Communicatie ism Stafdienst P&O, de P&O correspondenten, communicatoren ADCC (waarborgen van de coherentie tussen de communicatiepolitiek uitgaande van Volksgezondheid en inhoud van de communicatie binnen de FOD Biza).

1. Afspraken werkwijze mbt interne communicatie (wie communiceert wanneer naar het personeel/criteria): CCIC, stafdienst P&O, Interne Dienst voor Bescherming en Preventie op het werk (IDPB), crisiscentrum.

2. Informatieverspreiding:

Bij activering BCP (in afwachting van een globaal BCP dienen criteria/procedure voor verspreiding worden afgesproken) kunnen direct verschillende procedures en informatierondes worden opgestart, zodat iedereen snel weet wat de nieuwe situatie met zich meebrengt. Tijdige voorlichting richting personeel kan de nodige onrust voorkomen en bijdragen aan het beperken van de verspreiding van de ziekte. Aspecten die aan bod moeten komen tijdens die voorlichting:

• Bij welke ziekteverschijnselen moet je aan griep denken? (cfr. bijvoorbeeld tabel met vergelijking symptomen gewone verkoudheid en griep)

• Hoe luiden de (aangepaste) ziektemeldingsprocdures van het bedrijf tijdens grieppandemie?

• Wat kun je binnen het bedrijf doen om de kans op besmetting zo klein mogelijk te maken?

• Wat moet je doen als bij je collega(s) griep is geconstateerd?

BIJLAGE 2

• Wat kun je bij een griepgeval thuis doen om de kans op besmetting (van jezelf of van familieleden) zo klein mogelijk te maken?

• Wanneer mag je weer aan het werk en welke procedure volg je dan?

3. Intranetpagina met o.a. alle nuttige informatie (criteria die afwezigheid verantwoorden in geval van grieppandemie, psychologische ondersteuning en morele beschikbaarheid voor het personeel, evolutie van de pandemie in cijfers, herhaling van hygiënmaatregelen, etc…)

4. Algemeen contactpunt voor personeel (website/noodnummer – sociale band

personeel/organisatie behouden – communicatie en opvolging situatie): • Stand van zaken mbt de pandemie binnen de organisatie (afwezigheid, opvolging

stand van zaken mbt werking van de dienst/dienstverlening) Mogelijke maatregelen op vlak van interne organisatie FOD tav personeel: Het is aangewezen dat deze maatregelen worden voorbereid door: Stafdienst P&O ism P&O correspondenten (voor punt 6 ism IDPB)

1. Aangepaste procedures voor ziektemelding. Voorzien op en toestaan van afwezigheden van personeel bij een grieppandemie ingevolge factoren als:

• Eigen ziekte • Ziekte van een familielid • Collectieve beperkingsmaatregelen of quarantaines • Sluiting van school en/of bedrijf • De vermindering of zelfs de afschaffing van het openbaar vervoer

2. Aangepaste richtlijnen ivm terugkeer uit ziekteverlof (vermijden dat personen vervroegd kunnen terugkeren uit ziekteverlof door bijvoorbeeld een tijdelijke afwijking van de mogelijkheid tot spontane vervroegde werkhervatting, cfr. dienstnota van 11-01-2008 betreffende afwezigheid wegens ziekte – algemene reglementering, punt 2.4)

3. Richtlijnen in geval van vermoeden van ziekte (mogelijkheid voorzien om personeel met onmiddellijke ingang en verplicht op ziekteverlof te sturen)

4. Monitoring van de situatie – goede opvolging van het ziekteverloop (wat het management eventueel kan doen besluiten bepaalde dienst tijdelijk te sluiten).

5. Het is zinvol na te gaan of concentraties van personeel verminderd of voorkomen kunnen

worden (bijvoorbeeld tijdelijke sluiting cafetaria)

6. Voorbereiden van specifieke richtlijnen voor personeel die omwille van hun functie mogelijks een hogere kans op besmetting lopen. Oplijsten van de risico-doelgroep en voorbereiden van specifieke richtlijnen/communicaties.

7. Aangepaste richtlijnen in verband met dienstverplaatsingen naar het buitenland

- Literatuurlijst -



Literatuur: BARE A., Project CC-ICT STAND ALONE Of Verzekering van de informaticacontinuïteit door de installatie van een Continuity Server, wat ertoe leidt dat het Crisiscentrum volledig onafhankelijk en transporteerbaar wordt, Brussel, Juli 2008. BRANDT, Geert, Uittekenen van processen: gecertificeerde opleiding CACERSA02, Brussel: Opleidingsinstituut van de Federale Overheid, 2007. CONSEIL A. en al., Business Continuity Planning and Pandemic Influenza in Europe An Analysis of Independent Sector and National Governments’ Guidance, London: London School of Hygiene & Tropical Medicine, 2008. CORNELIS B., JUPRELLE P., BRUNET S., dir, Federal Risk Inventory, Survey and Knowledge building (FRISK), Convention VIII/C/P2003, Rapport final, Révision, Liège: Université de Liège, November 2004. ERNST J., “Normen, richtlijnen en weten regelgeving voor Business Continuity Management” in Informatiebeveiling, p.16-20, Juli 2006. KENNEDY S. en HILL D., BCP for smarties. Super user group meeting, Office of Audit, Compliance & Privacy, s.l., October 10 2005. KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, 2006 KNEGTEL, Louise, Crisismanagement vanuit een Business Continuity perspectief, BCM Academy, Harderwijk, 2007 LESSEN C. en BRONSELAER J., Rapport de projet “Développement du service Inspection interne”, Confidentiel, SPF Intérieur, Bruxelles, november 2008. TRIEST V. en POLEUNUS H., Projectmanagement: Policy, Brussel: Federale Overheidsdienst Personeel & Organisatie, 17 december 2003. LILBURN WATSON D., A guide to Business Continuity Management using BS25999, s.l., s.d. PEDROSA NEGAMI DO NASCIMENTO G., Risicoanalyse van IT Gerelateerde Bedrijfsprocessen. Master project BMI verslag, ING, Amsterdan, december 2008. VARGHESE R., Maintaining Local Government Business Continuity. Preparing for a Local Crisis within a Global Pandemic, Virginia: Public Health Division, USA, s.d. WAMSLEY R., Overview Briefing, National Continuity Programs Directorate, Federal Emergency Management Agency, US Department of Homeland Security, USA, 7-8 August 2008. WITHBECK, Dave, dir., Oregon Secretary of State: Business Continuity Planning Project Human Resources Division Business Impact Analysis Report, version 1.2, s.l., 10 april 2008. WOODMAN P., Business Continuity Management, London: Chartered Management Institute, UK, March 2007. WOODMAN P., Business Continuity Management 2008, Cabinet Office in association with Continuity Forum, s.l., March 2008.



“A Risk-based approach to BCM”, in Continuity, September 2008, p.12-13. Activiteiten voor het Comité voor Financiële Stabiliteit 2003-2007, Activiteitsverslag 2007, België, 6 juni 2008 Business Continuity Planning Guide, First edition, Property Advisers to the Civil Estate, Central Advice Unit, s.l., 1st May 1998. Business Continuity Guide, 2nd edition, Alberta Emergency Management Agency, Alberta Municipal Affairs and Housing, Edmonton, Canada, march 2007. British Standard Toolkit, British Standard Institute, BS 25999, UK, 2007. Business Continuity Guide for Small Businesses, AXA Insurance UK, London, UK, 2004. Verbeterprojecten, BPR, Instrument bij de modernisering van de federale overheid, Brussel: Federal Overheidsdienst Personeel & Organisatie, april 2005. Business Continuity Planning for small to medium-sized businesses, Norfolk County Council Emergency Planning Unit and Norfolk Major Incident Team, UK, s.d. Business Continuity Management, A staff Guide, Version 2.0, Financial Services Authority, UK, August 2007. Business Continuity Management good practice guidelines 2008, Business Continuity Institute, s.l., 2008. Business continuity management part 1- Code of practice, British Standard Institute, BS 25999-1, UK, 2006. Business continuity management part 2- Code of practice, British Standard Institute, BS 25999-2, UK, 2007. Business Continuity Management (BCM), International Faculty for Executives, s.l., 2006. Business Continuity Management, Policy Statement, Monmouthshire, U.K., april 2007. Business Continuity Plan Template, Canadian Centre for Emergency Preparedness, Canada, 2000. Business Continuity Planning, BCP Prepardness Planner, Upper Mohawk Inc., USA, s.d. Business continuity planning guide, First Edition, Property Advisers to the Civil Estate (PACE), s.l., May 1998. Business Continuity Planning Guidelines, Texas Department of Information Resources, Austin, Texas, USA, December 2004. Business Continuity Planning. IT Examination Handbook, Federal Financial Institutions Examination Council, s.l., March 2008. Business Continuity Planning Template, Version 4, Brent, UK, June 2002. Business Continuity Planning Workbook 2006, version 06.1, Government of Saskatchewan, Saskatchewan, Canada, 2006.



Evaluatierooster, Vlaamse Overheid – Interne Controle, Organisatiebeheersing, België, December 2008. Guide to Business Continuity Management, Frequently Asked Questions, Second edition, protiviti, Independent Risk Consulting, s.l., 2006. Guide to Developing a BCP, DAS Enterprise Program, s.l., mei 2008. Guide to developing a business Continuity Plan, Guidance for Oregon Agencies, DAS, provided by Enterprise BCP Program, Oregon, USA, may 2008. Het communicatieplan van een project opstellen, Gids voor de federale communicatoren, COMM Collection, nr.12, Brussel: Federale Overheidsdienst Personeel & Organisatie, December 2005. How prepared are you? Business management toolkit, version 1, Her Majesty’s Government, s.d. Influenza Pandemic Planning. Business Continuity Planning Guide, Government of New-Zealand, New-Zealand, October 2005. Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari 2007. Keuzen en aanpak voor uw Business Continuity Plan (BCP) of Calamiteitenplan, ZBC Consultants bv, België, 25 oktober 2007. Leidraad, Vlaamse Overheid – Interne Controle, Organisatiebeheersing, België, December 2008. Mission statement- Uittreksel, Dienst Interne Inspectie FOD Binnenlandse Zaken, Brussel, December 2007. Model Business Continuity Plan for State Agencies, State of Oregon, USA, May 2008. Business Continuity Management, Vlaamse Maatschappij voor Sociaal Wonen, België, 24 april 2008. Nota aan de leden van het Directiecomité, Interne controle – FOD Binnenlandse Zaken, Brussel, 1 juli 2003. Pandemic Influenza Response Plan – Business Continuity Planning Tool Kit, Niagara Region Public Health, Canada, November 2006. Pandemic Influenza - Preparedness, Response and Recovery. Guide for critical infrastructure and key resources, U.S. Department of Homeland Security, USA, 19 september 2006. Plan de Continuité d’Activité – Cas de la pandémie grippale, Version 2, Groupe Carrefour, s.l., december 2007. Preparedness Pandemic Manual prepared for ITMA Foundation, Environmental and Occupational Risk Management, California, USA, December 2006. Professional Practices for Business Continuity Planners, DRIBCI, s.l., 28 august 2003. “ISO/PAS 22399 provides international best practice for preparedness and continuity management” in ISO Management System, January-February 2008, p.5-9.



Rapport de projet: Analyse des risques, Service Inspection Interne, Bruxelles : Service Public Fédéral Intérieur, November 2008. Rapport interne controle: risicoanalyse, FOD Binnenlandse Zaken, Brussel, 9 maart 2004. “Pandemie en Business Continuity Planning”, in Beveiliging, Oktober 2008, p.108-113. De risicoanalyse, Algemene Directie Humanisering van de Arbeid et al., Brussel, Mei 2006. Risk Analysis Methodology, Gundersen Lutheran Medical Center, La Crosse, Wisconsin, USA, s.d. Risk Assessment Questionnaire, BCM & Risk Management Program, Office of the State Chief Information Officer, Information Technology Services, Raleigh, North Carolina, USA, 2004. De Risk Management Standard, Federation of European Risk Management Associations, s.l., 2003. Security-aspecten tijdens een grieppandemie , Security Management, nr.10, oktober 2008, p.44-47. Societal security — Guideline for incident preparedness and operational continuity management, First Edition, ISO/PAS, Switzerland, 1 december 2007 Standard on Disaster/Emergency Management and Business Continuity Program, National Fire Protection Association 1600, Quincy, Massachusetts, USA, 2007. Stanford University Business Continuity Planning, Standford Univertity, USA, s.d. Geconsulteerde webpagina’s : Public Savety Canada, A guide to business continuity planning, http://www.publicsafety.gc.ca/prg/em/gds/bcp-eng.aspx , pagina geconsulteerd op 3 september 2008. Continuity Central, http://www.continuitycentral.com/index.htm , site geconsulteerd op 3 september 2008. State Office of Risk Management, Business Continuity Impact Analysis, http://www.sorm.state.tx.us/Risk_Management/Business_Continuity/bus_impact.php#top , pagina geconsulteerd op 5 september 2008. The National Forum for Risk Management in the Public Sector, Publications page, http://www.alarm-uk.org/publications.aspx , pagina geconsulteerd op 5 september 2008. Teed Business Continuity, BCM Standards, http://www.teed.co.uk/bcm_standards.shtml , pagina geconsulteerd op 8 september 2008. The British Standards Institution, BS 25999 Business continuity, http://www.bsigroup.co.uk/en/Assessment-and-Certification-services/Management-systems/Standards-and-Schemes/BS-2599/ , pagina geconsulteerd op 8 september 2008.



Teed Business Continuity, A Guidance Note on Pandemic Business Continuity Planning, http://www.teed.co.uk/shu/docs/Pandemic%20BCP%20Guidance%20Note%202008.pdf , pagina geconsulteerd op 26 november 2008. ASIS International Advancing Security Worldwide, Business Continuity Guideline, http://www.asisonline.org/guidelines/guidelinesbc.pdf , pagina geconsulteerd op 26 november 2008. ASIS International Advancing Security Worldwide, General Security Risk Assessment, http://www.asisonline.org/guidelines/guidelinesgsra.pdf , pagina geconsulteerd op 26 november 2008. Educause Center for Applied Research, Shared Responsibility for Business Continuity: The Team Approach at UCLA, http://www.educause.edu/ECAR/SharedResponsibilityforBusines/155130 , pagina geconsulteerd op 26 november 2008. NC State University, Business Continuity and Disaster Recovery Department: Project Plan, http://www.ncsu.edu/ehs/BCP/project_plan/ , pagina geconsulteerd op 26 november 2008. Business Continuity International, Business Continuity Planning Asia Pacific, http://www.businesscontinuityinternational.com/ , pagina geconsulteerd op 26 november 2008. The Institute for continuity Management, Developing Business Continuity strategies, www.drii.org/professional_prac/profprac_developing_BC.html., geconsulteerd op 8 december 2008. Australian Government, Business Continuity Planning, http://www.nationalsecurity.gov.au/agd/www/nationalsecurity.nsf/AllDocs/15AA23030D0BD4EDCA256FAA001EBB37?OpenDocument , pagina geconsulteerd op 11 janvier 2009. Texas State University, Business Continuity Program, http://www.fss.txstate.edu/ehsrm/business/business1.html , pagina geconsulteerd op 11 januari 2009. DRI The Institute for Continuity Management, Business Impact Analysis, https://www.drii.org/professionalprac/index.php , pagina geconsulteerd op 11 januari 2009. The American Institute of Certified Public Accountants, Protecting Business Continuity, http://www.aicpa.org/Magazines+and+Newsletters/Newsletters/The+Practicing+CPA/March+April+2008/Protecting+Business+Continuity.htm , pagina geconsulteerd op 11 januari 2009. The art of Management, Structuur, http://123management.nl/0/020_structuur/a200_structuur.html , pagina geconsulteerd op 7 februari 2009. FP&M's World-Class Journey, Process Mapping, http://www.fpm.iastate.edu/worldclass/process_mapping.asp , pagina geconsulteerd op 7 februari 2009. COMATECH, Het EFQM-Excellence model, http://www.comatech.be/nl/efqm.php , pagina geconsulteerd op 15 februari 2009. Universiteit Antwerp, Doctoraatsverdediging Kathleen Van Heuverswyn, 3 november 2008, http://www.ua.ac.be/main.aspx?c=*FACREC&n=59898&ct=58353&e=180471 , pagina geconsulteerd op 1er april 2009.



Committee of sponsoring organizations of the tradeway commission, www.coso.org, geconsulteerd op 1er april 2009. PAS56, Business Continuity Management Using BS25999 , http://www.pas56.com/index.htm pagina geconsulteerd op 3 april 2009. EUR-LEX, BICHAT, http://eur-lex.europa.eu , pagina geconsulteerd op 14 mai 2009. Nonprofit Risk Management Center, Business Continuity Planning Course, http://nonprofitrisk.org/tools/business-continuity/intro/1.htm pagina geconsulteerd op 17 november 2008 Government of Oregon, Business Continuity Planning for Oregon State Agencies, http://www.oregon.gov/DAS/EISPD/BCP/index.shtml , pagina geconsulteerd op 17 november 2008 Government of Oregon, Business Impact Analysis, http://www.oregon.gov/DAS/EISPD/BCP/docs/Business_Impact_Analysis_Questionnaire.doc, pagina geconsulteerd op 17 november 2008 The National academies, Business Continuity and Disaster Recovery Planning References, http://www.nationalacademies.org, 17 november 2008 MARSH Nederland, Risicomanagement publieke organisatie, http://www.marsh.nl/sectorNL/overheid/MRC_Risicoanalyse.php , pagina geconsulteerd op 7 december 2008 Amelior Center for Excellence, Procesmanagement als pijler van uitmuntendheid, http://www.amelior.be/ndl/artikels/artikel.asp?c=4&sc=9&a=179&tc=1 pagina geconsulteerd op 7 december 2008 Government of Canada, Operational Security Standard - Business Continuity Planning (BCP) Program, http://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=12324 pagina geconsulteerd op 7 december 2008 FR Technologies, Business Continuity and Disaster Recovery, http://www.fr-tech.net/bcp-dr.php#tbl-of-contents pagina geconsulteerd op 16 april 2009 Homeland Security Europe, “Fail to prepare and prepare to fail”, http://www.homelandsecurityeu.com/currentissue/article.asp?art=271251&issue=219 pagina geconsulteerd op 16 april 2009 Wildinghe Consultancy, http://www.t-vw.nl/site2/doc_Soorten_Risicos.htm, site geconsulteerd op 16 april 2009 Academisch Medisch Centrum Amsterdam Kwaliteitsinstituut voor de Gezondheidszorg CBO, Draaiboek Bow-Ti, http://www.platformpatientveiligheid.nl/UserFiles/Draaiboek%20Bow-Tie%20methode%20versie%201.0.pdf, pagina geconsulteerd op 1 mei 2009 Business Continuity Planners, “Een ICT-benadering is vaak kostbaar en ineffectief Business continuity planning vraagt om bedrijfsbrede inzet” http://www.bcpi.eu/downloads/artikel_it_beheer_mei_2005.pdf, geconsulteerd op 1 mei 2009 Amsterdam Graduate Business School, Doctoraalscriptie t.b.v. opleiding Bedrijfseconomie, afdeling BIV –AO, http://dare.uva.nl/document/37031



Government of Alberta, http://www.aema.alberta.ca/se_business_continuity_templates.cfm, site geconsulteerd op 1 mei 2009 Pitney Bowes, Business Continuity Plan: table of contents, http://www.pb.com/bv70/en_us/extranet/contentfiles/editorials/downloads/ed_Business_Continuity_BCP_Table_of_Contents.pdf , pagina geconsulteerd op 31 maart 2009 Institute for Business & Home Safety, Business Continuity Forms, http://www.ibhs.org/business_protection/bus_cont_forms.asp , pagina geconsulteerd op 31 maart 2009 RIT Finance and Administration, RIT Business Impact Analysis, http://finweb.rit.edu/buscont/docs/bia_template_rit.doc , pagina geconsulteerd op 31 maart 2009 The Business Continuity Institute, www.thebci.org, UK. pagina geconsulteerd op 31 maart 2009 Cabinet Office of UK Government, www.ukresilience.gov.uk, UK. pagina geconsulteerd op 31 maart 2009 Business Continuity Management Academy, www.bcmacademy.be , België. pagina geconsulteerd op 31 maart 2009 Gesprekken : Gesprek met Bart Van Herzele, Operational Risk Management bij Dexia, Business continuity & Crisismanagement, 9 april 2009. Gesprek met Els Goddro, Hoofd van de dienst Interne Inspectie, FOD Binnenlandse Zaken, 02 februari en 27 februari 2009. Gesprek met Eric Thonnard, Business Continuity Planning Manager bij Belgacom, Présentation de l’approche globale et de la méthodologie de Belgacom en matière de business continuity planning, 19 december 2007. Gesprek met Carolina Stevens, Departement Bestuurszaken, Vlaamse overheid, 7 mei 2009. Presentaties en seminaries : BERNAERTS Philip, Interne Audit en ERM: een integratie, Universiteit Antwerpen Management School Expert Class Internal Auditing, Antwerpen, Academiejaar 2004-2005. DAMOISEAU Ronny, Risicoanalyse met betrekking tot BPR, BCM, interne Controle, FOD Budget & Begroting, Management Support, Brussel, 18 februari 2009. FAURE F., Présentation BCP, Sernoptès Conseil, Visite à la DG Centre de Crise, SPF Intérieur, Bruxelles, 10 december 2007. Business Continuity Management Congres, Kluwer, Edegem, 31 maart 2009.



Wetgeving : Koninklijk Besluit betreffende de interne audit binnen de federale overheidsdiensten, Brussel, 2 oktober 2002 (BS 09/10/2002). Koninklijk Besluit betreffende het intern controlesysteem binnen de federale overheidsdienst, Brussel, 26 mei 2002 (BS 31/05/2002). Koninklijk Besluit betreffende het intern controlesysteem binnen sommige diensten aan de federale uitvoerende macht, Brussel, 17 augustus 2007 (BS 18/10/2007).

BUSINESS CONTINUITY MANAGEMENT - Crisiscentrum · ‘Business Continuity Plan (BCP). Business...

Documents

Transcript of BUSINESS CONTINUITY MANAGEMENT - Crisiscentrum · ‘Business Continuity Plan (BCP). Business...