Skip to main content

Implementatie van BCM – voorkomen is beter dan genezen


Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Want, door snel en op de juiste manier op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd. Dit proces noemen we ook wel ‘Bedrijfs Continuïteits Management (BCM)’ of Bedrijfscontinuïteit. Maar hoe ga je hier mee aan de slag? 

De beschikbaarheid en continuïteit van kritische bedrijfsprocessen kan in gevaar komen door ontwrichtende gebeurtenissen, zoals brand, wateroverlast, een (stroom)storing of een beveiligingsincident. Met alle gevolgen van dien voor een burger, de bedrijfsvoering en de reputatie van de gemeente. Maar hoe kun je als gemeente de beschikbaarheid en continuïteit van je kritische bedrijfsprocessen (blijven) garanderen indien deze in gevaar komen?

Risico’s in kaart brengen

Om je goed te kunnen voorbereiden op een crisisincident is het allereerst belangrijk om te weten welke risico’s je loopt bij bepaalde incidenten. Wat zijn bijvoorbeeld de risico’s voor de organisatie wanneer deze wordt gehacked? Hiervoor is het belangrijk om de kritieke processen van de niet-kritieke processen binnen de gemeentelijke organisatie te onderscheiden. Kortom, wat zijn onze primaire processen die ons bestaansrecht bepalen? Om dit te bepalen wordt een Bedrijfsimpactanalyse (BIA) gebruikt. Hiermee wordt inzichtelijk gemaakt wat de gemeente minimaal nodig heeft om na een calamiteit de bedrijfsactiviteiten (ofwel de publieke taak) te kunnen continueren. Wat een BIA is en hoe je deze kunt uitvoeren, kun je lezen in de blog ‘Wat is een Business Impact Analyse en hoe voer je deze uit’.

Ook heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) onlangs een aantal nieuwe bedrijfscontinuïteitsbeheer (BCM) (sub)producten gepubliceerd, die gemeenten helpen bij het bepalen van de kritische bedrijfsprocessen en het beschrijven van deze kritische bedrijfsprocessen. Ook is er een overzicht samengesteld met de top 13 gemeentelijke kritische processen en de (belangrijkste) ondersteunende bedrijfsprocessen.

Wie z’n taak is het om BCM op te starten?

De CISO, het management of iemand anders? Oorspronkelijk hadden gemeenten een calamiteitenplan, hierin stond alleen beschreven hoe een ICT-incident aangepakt moest worden. De rest was onderdeel van het Bedrijfshulpverleningsplan (BHV-plan). Tegenwoordig worden, door de digitalisering, alle potentiële incidenten die kunnen plaatsvinden binnen een gemeente in één plan verwerkt. Hiervan dient het overgrote deel van de incidenten bij de CISO te worden gemeld. Want, niet alleen bij digitale calamiteiten, zoals een hack, kan de informatieveiligheid in gevaar komen. Juist ook incidenten zoals brand en overstromingen kunnen de informatieveiligheid binnen een gemeente verstoren. De CISO heeft dus veel te maken met BCM en krijgt dit in de praktijk veelal op zijn bordje (zie ook hoofdstuk 17 in de BIO).

Maar, bedrijfscontinuïteit is ook een strategische aangelegenheid, waarbij het management de strategische keuzes moet maken. De BIA vraagt een grotere investering van het management dan de gebruikelijke aanpak, maar kan op die manier wel tijd en desinvesteringen besparen. Je ziet, het is lastig om het werk wat bij BCM moet worden verricht bij één iemand te beleggen, omdat het afdeling overstijgend is.

Routekaart

Om gemeenten op weg te helpen heeft IB&P daarom een ‘Routekaart voor Bedrijfscontinuïteit’ opgesteld, met daarin hoe je dit kunt aanpakken. Dit document geeft een overzicht van de wijze waarop IB&P bedrijfscontinuïteit binnen een gemeente analyseert, implementeert en borgt. (Mocht je interesse hebben in deze routekaart, neem dan contact met ons op). Momenteel zijn we deze routekaart al bij een gemeente aan het implementeren. Het belangrijkste is dat je het stap voor stap aanpakt in plaats van helemaal compleet alles uit te werken. Dus zorg bijvoorbeeld eerst voor een goede implementatie van de PDCA-cyclus die je vervolgens jaarlijks verbeterd. Het routeplan bestaat uit vier fases:

Fase 1: Behoefteanalyse

Als eerste moet er gekeken worden wat er binnen de organisatie noodzakelijk is aan bedrijfscontinuïteit. Hierbij wordt er gekeken naar de risico’s die de organisatie loopt en wat de primaire processen zijn binnen de organisatie.

Fase 2: Bepalen strategie
Op basis van de output van de eerste fase is het van belang dat de organisatie op basis van de risico’s en de primaire processen een bedrijfscontinuïteitsbeleid opstelt. Op basis van dit beleid kunnen ook de vervolgplannen worden opgesteld, zoals een calamiteitenplan en Incident response.

Fase 3: Implementeren BCM

Vervolgens is het belangrijk dat alle producten die op papier zijn opgeleverd, niet alleen op papier blijven staan. Medewerkers moeten weten op welke wijze men moet reageren op calamiteiten (bewustwording). Daarom moeten de plannen, het beleid en de procedures niet alleen op papier staan, maar ook verspreid en besproken worden op de afdelingen. Ook het crisisteam moet weten wat ervan hen verwacht wordt en bestaande procedures moeten aansluiten bij het proces.

Fase 4: Oefenen, onderhouden en herzien

Tot slot, is het belangrijk om met enige regelmaat te controleren of het calamiteitenplan nog juist functioneert. In deze laatste fase gaat het voornamelijk om het borgen dat het calamiteitenplan met procedures en beleid actueel is én blijft. Door middel van tests waarbij de lessons learned verwerkt kunnen worden, maar ook wanneer organisatorische veranderingen zijn, is het goed om het plan en de procedures te toetsen.

Meer informatie?

Wil je meer weten over deze routekaart of heb je hulp nodig op dit vlak? Laat ons dit dan weten en neem contact met ons op. IB&P kan jouw gemeente o.a. helpen met het uitvoeren van de Business Impact Analyse (BIA) en het opstellen van het BC-beleid en het calamiteitenplan (o.a. inrichting crisisteam). Ook kan IB&P jaarlijks terugkomen om de processen en documenten te herijken en een crisisoefening uit te voeren. 

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …