Home / Nieuws & Blogs / Hoe stelt u een business continuïteitsplan op?

Hoe stelt u een business continuïteitsplan op?

| 17 augustus 2021

Het belang van een (correcte) uitvoering van een Business Impact Analyse (BIA) werd reeds in de eerste blog van deze serie toegelicht. Hoe u een BIA kunt uitvoeren kunt u terugvinden in de tweede blog van deze serie. Nadat u de BIA heeft uitgevoerd, kunt u aan de slag met het opstellen van een business continuïteitsplan (BCP). Het opstellen van een dergelijk plan kan soms een complexe puzzel zijn. In deze derde blog van een serie van vier geef ik u graag wat handvatten voor het opstellen van een BCP.

Terugblik

Aan de hand van uw BIA heeft u assets en leveranciers verbonden aan uw kritieke bedrijfsprocessen. U heeft ook mogelijke impact op uw business gedefinieerd en gekwantificeerd. Na deze kwantificatie heeft u voor elk kritiek bedrijfsproces vastgelegd welk niveau van impact voor u nog net acceptabel is, ook wel de maximum acceptable outage (MAO). Naast een MAO kunt ook een recovery time objective (RTO) vaststellen, dit is een tijd waarin u de business zou willen herstellen om bepaalde impact te voorkomen.

Continuïteitsvoorwaarden

Na de BIA is het de bedoeling dat u voor elk kritiek bedrijfsproces vaststelt welke middelen u nodig heeft om uw proces altijd binnen de RTO te kunnen leveren.

Tijd Vul hier middel in:
Gebouw Z Leverancier Y Applicatie X
< 4 uur      
< 1 dag      
< 3 dagen      
< 1 week      
< 1 maand      


Wanneer u veel middelen (resources) nodig heeft om uw producten en diensten te blijven leveren dan krijgt het herstellen van dat proces prioriteit over processen met minder noodzakelijke middelen.

Handvatten

Na het vaststellen van de continuïteitsvoorwaarden kunt u eindelijk beginnen met het opstellen van het BCP! Maar waar begint u?

  • Maak een register van al uw kritieke bedrijfsprocessen met daarin alle informatie van de BIA. Sla dit register op naast uw reeds uitgevoerde BIA en uw toekomstige BCP. Dit register moet levend blijven en correct beheerd worden. U zult dit register moeten aanpassen wanneer er veranderingen in uw processen plaatsvinden. Vergeet ook niet uw BCP aan te passen waar dat nodig is.
  • Stel formeel het doel en de scope van het plan vast. Dit betekent dat u goedkeuring nodig heeft van ‘senior management’.
  • Zorg ervoor dat het BCP een duidelijke verantwoordelijkheidsstructuur heeft, gebruik hiervoor een RA(S)CI model.
  • Neem bij het opstellen van een BCP uw incidentproces als uitgangspunt. Haal bijvoorbeeld alle contactgegevens van uw incidentteam en andere sleutelrollen op en verwerk ze in dit plan. Of beter nog, verwerk deze contactgegevens in een systeem en verwijs naar dit systeem.
  • Geef duidelijk aan wat het tijdspad moet zijn voor de voortzetting van uw kritieke bedrijfsprocessen.
  • Bedenk bij welke ‘triggers’ uw BCP moet worden uitgevoerd en wie bij deze triggers direct geïnformeerd moet worden. Laat deze triggers formeel vastleggen. Ook hier geldt dat formele goedkeuring is vereist.
    • Een trigger is bijvoorbeeld: een spontane, structurele onderbreking van een dienst door een globale pandemie.
  • Maak een flowchart waarin de triggers van het BCP zijn verwerkt, en zorg dat deze naadloos aansluit op uw incidentenprocedure en datalekprocedure.
  • Leg workarounds van middelen van kritieke bedrijfsprocessen vast en koppel deze aan de juiste personen.
  • Omdat u voor elk kritiek bedrijfsproces een inventarisatie heeft gemaakt weet u precies hoe lang een bepaalde resource niet beschikbaar mag zijn, voordat uw business daar onacceptabele gevolgen van ondervindt. Deze informatie kunt u opnemen in uw BCP.
  • Geef in uw BCP op waar logs te vinden zijn.
  • Maak een passend distributieplan voor het BCP, zodat alle stakeholder toegang hebben tot het document.

 Wees bewust dat alle informatie in uw BCP moet bijdragen aan het antwoord op de vraag: wat heeft u (altijd) nodig om uw business te continueren? Een kleine kanttekening is dat het BCP degelijk verschilt met het disaster recovery plan (DRP).  

Tot slot

U heeft een goed beeld van uw kritieke bedrijfsprocessen, en u heeft een passend plan gemaakt dat u voorbij een crisis moet helpen. Maar eigenlijk wilt u een stap verder gaan. U wilt ervoor zorgen dat alles rondom het BCP goed gemanaged wordt zodat u niet meer voor verassingen komt te staan. In dat geval is het aan te raden om uw business continuïteitsplannen in een managementsysteem te gieten. Hiervoor kunt u het framework van business continuïteitsmanagement (BCM) gebruiken. Het mooie aan dit systeem is dat u direct al uw andere plannen, denk bijvoorbeeld aan het disaster recovery plan, mee kan nemen. Hierover leest u meer in de laatste blog van deze serie van vier.