Business Continuity Management (BCM) – Informatiebeveiligingsdienst

Business Continuity Management (BCM)

Wat is BCM?

Business Continuity Management (BCM) gaat over het beheersen van de bedrijfscontinuïteit. BCM is een beheersproces waarbij de gemeente maatregelen treft om- ongeacht de omstandigheden- de continuïteit van de meest kritische bedrijfsprocessen te garanderen. Zodat de dienstverlening ongehinderd doorgang kan vinden. 

Kritische processen aanwijzen en beheersen
Gemeenten voeren taken uit die direct van belang zijn voor hun inwoners en organisaties. Bijvoorbeeld het verstrekken van identiteitsdocumenten of het toekennen en betalen van uitkeringen. Om deze taken uit te kunnen voeren worden bedrijfsprocessen uitgevoerd die als ‘kritisch’ kunnen worden aangemerkt. De gemeente bepaalt zelf welke processen ze als ‘kritisch’ aanmerkt. Gemeentelijke dienstverlening moet altijd kunnen doorgaan en mag niet (of niet langdurig) worden verstoord. Als deze bedrijfsprocessen zouden worden verstoord, dan heeft dat negatieve gevolgen voor- en grote impact op  inwoners, bedrijven, (keten)partners en andere betrokkenen en(medewerkers van de) gemeente.   

Maatregelen
BCM is een beheersproces waarbij de gemeente de nodige maatregelen treft om ongeacht de omstandigheden de continuïteit van de meest kritische bedrijfsprocessen te garanderen. In geval van een onderbreking van één of meerdere van deze kritische bedrijfsprocessen wil je deze tot een minimum tijdsduur beperken. 

Voor wie?

BCM raakt de continuïteit van de hele gemeente. De eindverantwoordelijkheid voor BCM ligt dan ook bij het bestuur / portefeuillehouder. Lijnmanagers zijn operationeel verantwoordelijk.  

BCM raakt de hele organisatie
BCM is een van de hoofdstukken uit de Baseline informatiebeveiliging Overheid (BIO). Daarom is het in eerste instantie vaak de Chief Information Security Officer (CISO) die met BCM in aanraking komt. Maar BCM is niet de verantwoordelijkheid van de CISO. De rol van de CISO rond BCM is beperkt tot de informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer. Maar BCM is veel omvangrijker dan informatiebeveiliging alleen. Het voorkomen van (impact van) brand en het trainen van medewerkers op crisissituaties, behoren niet tot het werkterrein van de CISO. Het is belangrijk dat managers en bestuurders zich bewust zijn dat BCM veel meer is dan alleen zorgen dat de computers blijven draaien. Het is daarom van belang dat de CISO BCM agendeert op het hoogste niveau in de gemeente en dat BCM organisatiebreed wordt opgepakt. Niet alleen de CISO moet erover nadenken, dat moet de gehele organisatie. BCM is dus een organisatiebreed onderwerp met een groot aantal relevante stakeholders en vele onderlinge afhankelijkheden die op elkaar afgestemd moeten worden. Zie ook het artikel in iBestuur Bedrijfscontinuïteitsbeheer is geen ICT-feestje’. 

Waarom besteedt de IBD aandacht aan BCM?

Gemeenten draaien op informatie. Bedrijfsprocessen worden in toenemende mate ondersteund door systemen. De afhankelijkheid van systemen neemt daarmee toe. De IBD is er om gemeenten te helpen om hun informatiebeveiliging en privacy op orde te brengen. De IBD vindt BCM zo belangrijk, dat het een van de modules uit het verhogen digitale weerbaarheid (VDW) programma is.   

Hoewel BCM meer is dan ICT is het belangrijk om maatregelen te implementeren die de gemeente tegen gegevensverlies beschermen. Een goede ‘back-up en recovery strategie’ is essentieel om in geval van een incident de schade voor de beschikbaarheid, betrouwbaarheid en integriteit van informatie te beperken. Dit type maatregelen levert een belangrijke bijdrage aan de bedrijfscontinuïteit. Back-up en recovery is een van de onderwerpen uit de Verhogen Digitale Weerbaarheid (VDW) module BCM. 

Hoe pak je het aan?

BCM heeft als doel om ‘in control’ te zijn over de belangrijkste bedrijfsprocessen. De verantwoordelijkheid voor BCM ligt bij de top van de gemeente. Het vaststellen van kritische processen en het managen daarvan is ‘chefsache’. De lijnmanagers kunnen de gemeentesecretaris of de portefeuillehouder BCM adviseren.  

Standaard aanpak in 4 stappen
Voor het oppakken van BCM heeft de IBD samen met een expertgroep uit verschillende gemeenten een standaard aanpak ontwikkeld. Deze aanpak kent de volgende stappen: BedrijfsprocessenRisico’sMaatregelenOefenen.  

Ondersteunende producten per stap
Voor alle 4 de stappen zijn ondersteunende producten ontwikkeld; van overall plannen van aanpak tot gedetailleerde praktisch toepasbare producten. De lijnverantwoordelijken en hun medewerkers kunnen met deze producten concreet aan de slag met BCM. Er zijn ook producten gericht op het adviseren van de gemeentesecretaris vanuit zijn rol als hoeder van de continuïteit van de gemeente. 

Plan-do-check- act
BCM verdient structureel aandacht, daarom is het raadzaam om dit goed te borgen in de organisatie door te werken via een Plan Do Check Act (PDCA) cyclus.   

Bedrijfscontinuïteitsplan
Met BCM worden vooraf de belangrijkste risico’s voor de continuïteit in kaart gebracht. Er wordt onderzocht welke gevolgen risico’s mogelijk hebben voor de gemeente. Wat is de mogelijke impact? Welke maatregelen kan de gemeente vooraf nemen om deze impact te voorkomen?  Al deze informatie wordt samengebracht in een Bedrijfscontinuïteitsplan (BCP). Door de maatregelen in dit plan uit te voeren, blijft de omvang van de schade tot een acceptabel niveau beperkt en worden de risico’s beheerst. Door BCM goed in te richten bespaart de gemeente veel tijd en geld en beschermt de dienstverlening van de gemeente als zich een calamiteit voordoet. Tot slot verhoogt de gemeente de effectiviteit door het BCP regelmatig te oefenen met het gemeentelijke crisisteam, de resultaten te evalueren en verbeteringen door te voeren. 

Welke producten heeft de IBD voor BCM en back-up en recovery?

De IBD heeft praktisch toepasbare producten ontwikkeld die het implementeren van BCM en back-up en recovery ondersteunen. Zo bestaat het aanbod voor BCM uit overkoepelde producten. Elke stap uit de BCM aanpak (Processen, Risico’s, Maatregelen en Oefenen) wordt ondersteund door specifieke producten. 

Overkoepelende BCM-producten
De overkoepelende BCM-producten zijn: agenderen BCM binnen de gemeente, handreiking BCM, Plan van Aanpak (PvA) BCM, mindmap BCM, proces-/stroomschema BCM en GAP-analyse BCM. Voor back-up en recovery zijn de volgende producten ontwikkeld: belang van back-up voor gemeenten en back-up versus archivering, aandachtspunten back-up en recovery incl. SaaS-leveranciers en toepassen 3-2-1 back-up principe. 

Hieronder worden de specifieke ondersteunende producten per stap weergegeven. 

Beheersproces BCM

BCM is een beheersproces waarbij de gemeente de nodige maatregelen treft om ongeacht de omstandigheden de continuïteit van de meest kritische bedrijfsprocessen te garanderen. In geval van een onderbreking van één of meerdere van deze kritische bedrijfsprocessen wil je deze tot een minimum tijdsduur beperken.   

Ondersteunende producten Beheersproces
Het beheersproces BCM wordt ondersteunt door de producten:

Agenderen BCM binnen de gemeente 
In het document agenderen BCM binnen de gemeente wordt een globale aanpak beschreven om een start te maken met BCM binnen de gemeente en hierbij de juiste personen/ disciplines te betrekken. Denk hierbij aan het inzichtelijk maken van de risico’s, de verantwoordelijken benoemen en het niet als een zelfstandig onderwerp aan te vliegen maar voor een integrale aanpak te kiezen.

Handreiking BCM
De handreiking beschrijft een good practice voor bedrijfscontinuïteit. De handreiking biedt handvatten om bedrijfscontinuïteit te ontwikkelen of te verbeteren en deze te implementeren. 

Plan van aanpak (PvA) BCM
Het plan van aanpak is geschreven als aanvulling op de handreiking BCM. Dit document is een hulpmiddel om BCM van een gemeente concreet vorm te geven, waarmee wordt voldaan aan de eisen uit de Baseline informatiebeveiliging Overheid (BIO). 

Mindmap BCM
Op basis van het PvA BCM is een mindmap gemaakt die alle stappen van het PvA BCM laat zien. In één oogopslag wordt duidelijk welke stappen genomen moeten worden, welke activiteiten belangrijk zijn en wat het resultaat daarvan is om zodoende tot een eigen gemeentelijk BCM plan (of plannen) te komen. 

Stroom-/processchema BCM
Ook is er op basis van het PvA BCM een stroom- / processchema BCM ontwikkeld met daarin een voorzet met betrekking tot de relevante rollen en verantwoordelijkheden (RACI) en de te gebruiken producten om de verschillende stappen concreet in te vullen. 

GAP-analyse BCM 
Dit document bestaat uit een vragenlijst. Onderdeel van de vragenlijst zijn de GAP-analyse en de Impactanalyse. De GAP-analyse is deel 1 en hier wordt vastgesteld of de betreffende stap uit het PvA BCM is uitgevoerd binnen de gemeente. Deel 2 bestaat uit de Impactanalyse en in dit deel wordt vastgesteld wat de status is van de stap uit het PvA BCM en wie hiervoor verantwoordelijk is. 

Stap 1 ‘Bedrijfsprocessen’

Ondersteunende producten Bedrijfsprocessen
Stap 1 ‘Bedrijfsprocessen’ geeft inzicht in de kritische bedrijfsprocessen die niet mogen uitvallen en biedt de producten bepalen bedrijfscontinuïteitsvereisten, bedrijfsimpactanalyse (BIA), baselinetoets BBN BIO, criteria kritische bedrijfsprocessen, top kritische bedrijfsprocessen en beschrijven van kritische bedrijfsprocessen. Hieronder volgt een korte omschrijving van de ondersteunende producten. 

Bepalen bedrijfscontinuïteitsvereisten
Dit document legt de termen Recovery Time Objective (RTO) en Recovery Point Objective (RPO) in gewone taal uit, zodat ook degene die deze waarden moeten bepalen, begrijpen wat deze concepten betekenen. 

Bedrijfsimpactanalyse (BIA)
Het doel van deze BIA is om inzicht te krijgen van de impact op bedrijfsprocessen voor de bedrijfsvoering van de gemeente als van belang zijnde middelen niet of onvoldoende functioneren. Hierdoor krijgt de gemeente inzicht in de afhankelijkheid van deze middelen, hoe de gemeente zich kan voorbereiden om die impact zo klein mogelijk te houden en welke middelen hiervoor nodig zijn. De BIA is een hulpmiddel om de kritische bedrijfsprocessen vast te stellen.  

Baselinetoets BBN BIO
Dit document  kan worden gebruikt om te bepalen of een proces, informatiesysteem en/of informatie een bepaald BasisBeveiligingsNiveau (BBN) conform de BIO. De uitkomst kan worden gebruikt om te bepalen of er meer maatregelen nodig zijn voor een bedrijfsproces en ondersteunende informatiesystemen. 

Criteria kritische bedrijfsprocessen
Dit document bevat criteria die gemeenten kunnen hanteren om de gemeentelijke kritische bedrijfsprocessen vast te stellen. 

Top gemeentelijke kritische bedrijfsprocessen
Dit document bevat de 13 meest kritische bedrijfsprocessen van gemeenten en de (belangrijkste) ondersteunende bedrijfsprocessen. Dit overzicht kan natuurlijk per gemeente verschillen. 

Template beschrijving van kritische bedrijfsprocessen
Dit document geeft een template waar de gemeentelijke kritische bedrijfsprocessen kunnen worden beschreven. De 13 meest kritische bedrijfsprocessen zijn hierbij al zoveel mogelijk ingevuld. Hierbij wordt een koppeling gemaakt met de GEMMA-processen en gemeentelijke taakvelden. Ook dient er beschreven te worden wat de minimale vereisten aan het bedrijfsproces zijn om het op een vooraf bepaald niveau uit te kunnen voeren. Tevens wordt de classificatie (beschikbaarheid, integriteit en vertrouwelijkheid) en de hersteltijden van het bedrijfsproces hierbij vastgelegd. 

Stap 2 ‘Risico’s’

Ondersteunende producten Risico’s
Stap 2 ‘Risico’s’ betreft het in kaart brengen van de risico’s van de kritische bedrijfsprocessen en de risico’s die worden geaccepteerd. De kans op het optreden van een bepaald risico en de impact hiervan op de gemeente als geheel. Deze stap wordt ondersteunt door de producten (diepgaande) risicoanalysemethode inclusief uitleg, template beschrijving kritische bedrijfsprocessen en handreiking Risicoregister en Risico Acceptatie Overeenkomst (RAO). Hieronder volgt een korte omschrijving van de ondersteunende producten. 

(Diepgaande) Risicoanalysemethode
Het doel van dit document is het bieden van een instrument om risicoanalyses uit te voeren indien de uitkomst van de baselinetoets BBN BIO dit als resultaat geeft.

Template beschrijving van kritische bedrijfsprocessen
Dit document kan verder worden ingevuld met de uitkomsten van deze stap. 

Risicoregister en Risico Acceptatie Overeenkomst (RAO)
Deze documenten ondersteunen de organisatie bij het grip houden op risico’s waarvoor nog geen of nog geen goede maatregel gevonden is om de risico’s adequaat te mitigeren tot een acceptabel niveau voor de organisatie. 

Stap 3 ‘Maatregelen’

Ondersteunende producten Maatregelen
Stap 3 ‘Maatregelen’ geeft een overzicht van de maatregelen om de bedrijfscontinuïteit te garanderen. De uitvoering van noodzakelijk te nemen maatregelen dient te worden geborgd, zodat de maatregelen ook daadwerkelijk worden uitgevoerd. Denk hierbij aan bedrijfscontinuïteitsplannen (BCP) en een communicatieplan. Producten die hierbij ondersteuning bieden zijn model continuïteitsstrategie, model continuïteitsplan, kaartje in de meterkast voor de gemeentesecretaris, scenariokaarten en quick reference kaarten, handreiking communicatieplan, back-up strategie en back-up plannen. 

Het Model continuïteitsstrategie en Model continuïteitsplan zijn voorbeelden van een dergelijke strategie en plan. De invulling van deze modellen vereist dat de gemeente een aantal stappen doorloopt zoals beschreven in de handreiking bedrijfscontinuïteitsbeheer. Op basis van de gemeentelijke situatie (zoals specifieke keuzes, kenmerken en behoeften) dient dit model continuïteitsstrategie en continuïteitsplan te worden ingevuld en/of aangepast. 

Als onderdeel van BCM is een aantal producten ontwikkeld om gemeenten te helpen bij de voorbereidingen op een informatiebeveiligingsincident of cybercrisis. Deze producten bevatten belangrijke aandachtspunten ter voorbereiding op een crisis. De gemeenten moeten deze producten aanpassen aan de eigen (crisis)organisatie en invullen. Bij een crisis is dan in een oogopslag duidelijk welke stappen doorlopen moeten worden en zijn dan de juiste contacten en documenten voor handen. Een van de producten is het kaartje in de meterkast voor de gemeentesecretaris. 

Scenariokaarten 
Ook zijn zeven scenariokaarten en ‘quick reference’ kaarten ontwikkeld. De scenariokaarten zijn een handvat en helpen een crisisteam tijdens de ‘warme fase’ de specifieke kenmerken van het type scenario te doorzien. De quick reference kaarten bevatten de ‘highlights’ van de scenariokaarten. Deze quick reference kaarten geven net als het kaartje in de meterkast voor de gemeentesecretaris in een oogopslag de belangrijkste aandachtspunten weer. Het gaat hierbij om de volgende documenten: 

Back-up en recovery

Back-up en recovery beschermt gegevens tegen verschillende dreigingen, waaronder hardware storingen, menselijke fouten, cyberaanvallen, corruptie van gegevensdragers/opslagmedia en natuurrampen. Het is belangrijk om gegevens te beschermen tegen elk mogelijk probleem, zodat de gemeente niet overrompeld wordt als er iets gebeurt. Een goede back-up strategie stelt de gebruiker in staat om terug te keren naar het laatst bekende goede punt voordat een probleem zich voordeed. In het beste geval zou de restore van een back-up moeten leiden tot een snel herstel van ten minste de bedrijfskritische gegevens. 

De IBD heeft samen een expertgroep praktisch toepasbare producten ontwikkeld die het implementeren van back-up en recovery ondersteunen. Tevens zijn producten ontwikkeld die kunnen worden gebruikt om het belang van back-up en het verschil met archivering binnen de gemeente uit te leggen. 

Ondersteunende producten back up en recovery 

Handreiking back-up en recovery gemeente
Dit document geeft handvatten hoe het back-up en recovery beleid van een gemeente opgezet en uitgevoerd kan worden.

Back-up strategie en Back-up plan
Deze documenten zijn concretere uitwerking van de handreiking waarbij de back-up strategie het startpunt is voor back-up- en herstelactiviteiten. De basis hierbij vormen de bedrijfscontinuïteitsvereisten. Deze worden bepaald door het uitvoeren van een risicoanalyse (RA) en een bedrijfsimpactanalyse (BIA). Een goede back-up strategie stelt de gemeente in staat om te voldoen aan de door de organisatie gestelde bedrijfscontinuïteitsvereisten. Het back-up plan is een concretisering van de back-up strategie. 

Bepalen bedrijfscontinuïteitsvereisten
Recovery Time Objective (RTO) en Recovery Point Objective (RPO) zijn twee concepten waarvan iedereen die bij BCM betrokken is, heeft gehoord. In dit document worden deze termen in “gewone” taal uitgelegd. 

Aandachtspunten back-up en recovery incl. SaaS-leveranciers 
De aandachtspunten kunnen worden gebruikt bij het opstellen van een Programma van Eisen (PvE) met betrekking tot back-up en recovery. 

Toepassen 3-2-1 back-up principe 
In dit document wordt een praktisch toepasbare beschrijving gegeven van de wijze waarop dit back-up principe kan worden ingevuld. Ook worden tips gegeven om gebruik te maken van cloudopslag als onderdeel van de gemeentelijke 3-2-1 back-up strategie. 

Stap 4 ‘Oefenen’

Stap 4 ‘Oefenen’ betreft het oefenen of testen van de bedrijfscontinuïteitsplannen om te waarborgen dat ze actueel en doeltreffend blijven. Aan de hand van de resultaten van de oefening worden bedrijfscontinuïteitsplannen bijgesteld en wordt de gemeente bijgeschoold. Het oefenen dient te worden geborgd middels een programma. Speciale aandacht dient uit te gaan naar veranderingen die invloed hebben op het bedrijfsproces of de systemen. Vanuit hetzelfde oogpunt is het van belang dat al bij het inkoopproces oog is voor keuzes die van invloed kunnen zijn op de bedrijfscontinuïteit. Producten die hierbij ondersteuning bieden zijn handreiking wijzigingsbeheer en handreiking inkoopvoorwaarden. 

Waarborgen actualiteit en doeltreffendheid
De handreiking wijzigingsbeheer beschrijft het proces rond wijzigingsbeheer/changemanagement. Voor Verhoging Digitale Weerbaarheid (VDW) zijn er aanvullende producten ontwikkeld over dit onderwerp. Wij raden aan om te beginnen bij de factsheet changemanagement. In deze factsheet wordt de essentie behandeld van hoe wijzigingen op een gecontroleerde wijze kunnen worden doorgevoerd en worden verwijzingen gemaakt naar relevante producten. 

BCM bij samenwerken met leveranciers
Bij het verwerven van producten of diensten is het van belang om in een vroegtijdig stadium aan mogelijke leveranciers kenbaar te maken welke beveiligingsniveaus de gemeente hanteert en welke beveiligingseisen de gemeente heeft en wat zij hierbij verwacht van de leverancier. In de handreiking inkoopvoorwaarden worden de informatiebeveiligingseisen uitgewerkt die de inkoopvoorwaarden van een gemeente versterken. 

Oefenscenario’s digitale Incidenten
In samenwerking met het Instituut voor Veiligheids- en Crisismanagement (COT) is een cyberoefenpakket voor gemeenten tot stand gekomen. Met dit oefenpakket kan de gemeente en desgewenst in aansluiting met partners zelfstandig een interactieve cyberoefening organiseren en uitvoeren. Het oefenpakket bestaat uit drie varianten: 

Zie voor meer informatie over het cyberoefenpakket de speciale webpagina van de IBD.