14   Bedrijfscontinuïteitsbeheer

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

14.1   Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.

14.1.1   Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden ontwikkeld en bijgehouden waarbinnen de eisen voor informatiebeveiliging worden meegenomen die nodig zijn voor de continuïteit van de bedrijfsvoering.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende kernelementen van het beheerproces van bedrijfscontinuïteit samen te brengen:
  • a) inzicht in de risico's waarmee de organisatie wordt geconfronteerd, in termen van waarschijnlijkheid en gevolgen in de tijd, waaronder identificatie van de kritische bedrijfsprocessen en de toewijzing van prioriteiten (zie 14.1.2);
  • b) identificeren van alle bedrijfsmiddelen die verband houden met kritische bedrijfsprocessen (zie 7.1.1);
  • c) inzicht in de gevolgen die onderbrekingen veroorzaakt door informatiebeveiligingsincidenten kunnen hebben op de bedrijfsactiviteiten (het is belangrijk oplossingen te vinden voor het omgaan met zowel kleinere incidenten die geringere gevolgen hebben, als met ernstige incidenten die de continuïteit van de organisatie kunnen bedreigen) en het vaststellen van bedrijfsdoelstellingen voor IT-voorzieningen;
  • d) overwegen om een geschikte verzekering af te sluiten, die zowel onderdeel kan uitmaken van het totale bedrijfscontinuïteitsproces als onderdeel is van het operationeel risicomanagement;
  • e) identificeren en mogelijk invoeren van aanvullende preventieve en verlichtende beheersmaatregelen;
  • f) identificeren van voldoende financiële, organisatorische en technische middelen en omgevingshulpbronnen om de vastgestelde informatiebeveiligingseisen te kunnen aanpakken;
  • g) waarborgen van de veiligheid van personeel en beschermen van IT-voorzieningen en eigendommen van de organisatie;
  • h) formuleren en documenteren van bedrijfscontinuïteitsplannen waarin informatiebeveiligingseisen zijn opgenomen in overeenstemming met de overeengekomen strategie voor bedrijfscontinuïteit (zie 14.1.3);
  • i) regelmatig testen en actualiseren van plannen en processen die zijn doorgevoerd (zie 14.1.5);
  • j) waarborgen dat het beheer van de bedrijfscontinuïteit wordt opgenomen in de processen en structuur van de organisatie; toekennnen van de verantwoordelijkheid voor het coördineren van het beheerproces van bedrijfscontinuïteit aan een geschikt niveau binnen de organisatie (zie 6.1.1).
Binnen de zorg zijn aanvullend de volgende overwegingen van belang. Business Continuity Management, waaronder 'disaster recovery', wordt in toenemende mate gezien als een vereiste. Vanwege de strenge beschikbaarheidseisen in de zorg is veelal een grote inspanning vereist om robuustheid en redundancy te bereiken voor de infrastructuur en voor de beschikbaarheid van personeel.
Zorg ervoor dat de business continuity planning crisismanagementplanning omvat.
Zorg er ook voor dat de plannen inzake business continuity planning regelmatig op een programmatische basis worden getest. In dit programma moeten de testen op elkaar aansluiten, variërend van droog oefenen, het testen van onderdelen, het bepalen van de haalbaarheid van hersteltijden, tot volledige oefeningen. Een dergelijk programma beperkt het risico en zorgt voor verbetering van het bewustzijn bij de medewerkers.
Overige informatie
Het proces van continuïteitsbeheer heeft tot doel om de verstoring als gevolg van calamiteiten en beveiligingsincidenten tot een aanvaardbaar niveau te beperken, door een combinatie van preventieve en herstelmaatregelen. Gedacht kan worden aan het langdurig uitvallen van stroom, netwerk, applicaties of aan brand, waterschade, afwezig zijn van de eigen deskundigen, intrusies, kwaadaardige programmatuur enz. Mogelijke oplossingen zijn noodaggregaten, uitwijkvoorzieningen, het gebruik van papier of een opgeladen notebook met daarop een automatisch gemaakte back-up van de vorige avond (handig bij visite rijden, maar ook bij incidentele stroomuitval of een kapotte server).

14.1.2   Bedrijfscontinuïteit en risicobeoordeling

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging.
Organisaties die patiëntgegevens verwerken behoren een continuïteitsstrategie vast te stellen, te documenteren, in te voeren en te onderhouden. Hierin behoort voor ieder bedrijfsproces een maximaal toegelaten uitvalduur (MUD) en een maximaal toelaatbaar verlies aan gegevens (MGV) te worden vastgesteld.
Aandachtspunten en aanbevelingen voor implementatie
Baseer de informatiebeveiligingsaspecten van de bedrijfscontinuïteit op het identificeren van gebeurtenissen (of een reeks gebeurtenissen) die onderbrekingen van de bedrijfsprocessen van de organisatie kunnen veroorzaken, bijvoorbeeld uitvallen van apparatuur, menselijke fouten, diefstal, brand, natuurrampen en terroristische aanslagen. Voer als volgende stap een risicobeoordeling om de waarschijnlijkheid en gevolgen van dergelijke onderbrekingen te bepalen wat betreft tijd, schadeniveau en herstelperiode.
Voer de risicobeoordelingen van de bedrijfscontinuïteit uit met de volledige betrokkenheid van verantwoordelijken van bedrijfsmiddelen en processen. Behandel in deze beoordeling alle bedrijfsprocessen, dus naast de IT-voorzieningen, ook de resultaten die specifiek voor informatiebeveiliging zijn. Het is belangrijk om de verschillende risico-aspecten te koppelen om een volledig beeld te krijgen van de bedrijfscontinuïteitseisen van de organisatie. De beoordeling identificeert, kwantificeert en prioriteert de risico's in relatie tot de criteria en doelstellingen die van belang zijn voor de organisatie, waaronder kritische hulpbronnen, gevolgen van onderbrekingen, toegelaten uitvaltijden en herstelprioriteiten.
Ontwikkel afhankelijk van de resultaten van de risicobeoordeling een strategie voor de bedrijfscontinuïteit om de benadering van bedrijfscontinuïteit in het algemeen te bepalen. Bewerkstellig dat zodra een strategie is opgesteld, goedkeuring van de directie wordt verkregen en een plan wordt gemaakt en goedgekeurd om deze strategie te implementeren.

14.1.3   Continuïteitsplannen en informatievoorziening

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg voor het proces van continuïteitsplanning de volgende punten:
  • a) identificatie van en instemmen met alle verantwoordelijkheden en procedures voor bedrijfscontinuïteit;
  • b) identificatie van aanvaardbaar verlies van informatie en diensten;
  • c) implementatie van procedures om herstel en reconstructie van bedrijfsprocessen en beschikbaarheid van informatie mogelijk te maken binnen de vereiste tijdspanne; met bijzondere aandacht voor de beoordeling van interne en externe afhankelijkheden en lopende contracten;
  • d) operationele procedures die volgen op het afronden van herstel en reconstructie;
  • e) documentatie van overeengekomen procedures en processen;
  • f) geschikte opleiding van personeel in de overeengekomen procedures en processen, waaronder crisisbeheer;
  • g) testen en actualiseren van de plannen.
Richt het planningsproces op de vereiste bedrijfsdoelstellingen, bijvoorbeeld het herstel van bepaalde communicatiediensten voor klanten binnen een aanvaardbare periode. Stel diensten en middelen die nodig zijn om dit te verwezenlijken vast, waaronder personele bezetting, middelen die niet met informatieverwerking te maken hebben, evenals uitwijkmogelijkheden voor IT-voorzieningen. Tot dergelijke uitwijkmogelijkheden kunnen worden gerekend: overeenkomsten met derden in de vorm van wederzijdse overeenkomsten, of commerciële abonneediensten.
In bedrijfscontinuïteitsplannen worden kwetsbaarheden van de organisatie behandeld en bevatten daarom gevoelige informatie: bescherm deze plannen op de juiste manier. Bewaar kopieën van continuïteitsplannen op een externe locatie op voldoende afstand om te ontkomen aan schade door een calamiteit op de hoofdlocatie. Zorg ervoor dat de directie waarborg biedt dat de exemplaren van de continuïteitsplannen actueel zijn en met dezelfde mate van bescherming worden beveiligd als op de hoofdlocatie. Bewaar ook ander materiaal nodig voor het uitvoeren van de continuïteitsplannen op de externe locatie.
Zorg ervoor dat indien alternatieve tijdelijke locaties worden gebruikt, het niveau van de geïmplementeerde beveiligingsmaatregelen op gelijk niveau zijn als de hoofdlocaties.
Overige informatie
Opgemerkt wordt dat crisisbeheerplannen en -activiteiten (zie 14.1.3) kunnen verschillen van het beheer van bedrijfscontinuïteit, d.w.z. er kan zich een crisis voordoen die met de normale beheerprocedures het hoofd kan worden geboden.

14.1.4   Kader voor de bedrijfscontinuïteitsplanning

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud.
Aandachtspunten en aanbevelingen voor implementatie
Beschrijf in elk bedrijfscontinuïteitsplan de aanpak voor continuïteit, bijvoorbeeld de aanpak voor het waarborgen van de beschikbaarheid en veiligheid van informatie of het informatiesysteem. Specificeer in elk plan ook het escalatieplan en de voorwaarden voor de activering daarvan, evenals de personen die verantwoordelijk zijn voor de uitvoering van ieder onderdeel van het plan. Pas, wanneer nieuwe eisen worden vastgesteld, bestaande procedures voor noodsituaties, bijvoorbeeld evacuatieplannen of alle uitwijkvoorzieningen, dienovereenkomstig aan. Neem procedures op in het programma voor wijzigingenbeheer van de organisatie om te waarborgen dat bedrijfscontinuïteitszaken altijd adequaat worden afgehandeld.
Wijs voor elk plan een specifieke verantwoordelijke aan. Laat procedures voor noodsituaties, handmatige uitwijkvoorzieningen en herstartplannen vallen onder de verantwoordelijkheid van de verantwoordelijken van het desbetreffende bedrijfsmiddel of proces. Neem in overweging dat uitwijkvoorzieningen voor alternatieve technische diensten, zoals informatieverwerking en communicatievoorzieningen, gebruikelijk vallen onder de verantwoordelijkheid van het dienstverlenende bedrijf.
Laat het kader voor continuïteitsplanning de vastgestelde informatiebeveiligingseisen aan de orde stellen en de volgende punten omvatten:
  • a) de voorwaarden voor activering van de plannen, waarin wordt beschreven hoe het proces moet verlopen (hoe de situatie moet worden ingeschat, wie erbij moet worden betrokken), voordat een plan wordt geactiveerd;
  • b) procedures voor noodsituaties, waarin wordt beschreven welke handelingen moeten worden genomen na een incident waarbij de bedrijfsvoering in gevaar wordt gebracht;
  • c) uitwijkprocedures, waarin wordt beschreven welke handelingen moeten worden genomen om belangrijke bedrijfsactiviteiten of ondersteunende diensten te verplaatsen naar alternatieve, tijdelijke locaties, en om bedrijfsprocessen binnen de vereiste tijdspanne te hervatten;
  • d) tijdelijke operationele procedures die moeten volgen op het afsluiten van de herstel- en reconstructiefase;
  • e) herstartprocedures, waarin wordt beschreven welke handelingen moeten worden genomen om de normale bedrijfsvoering te hervatten;
  • f) een onderhoudsschema, waarin wordt beschreven hoe en wanneer het plan wordt getest en op welke manier het plan wordt bijgehouden;
  • g) bewustwordings-, opleidings- en trainingsactiviteiten, die erop gericht zijn om inzicht in de bedrijfscontinuïteitsprocessen te kweken en te waarborgen dat de processen doeltreffend blijven;
  • h) de verantwoordelijkheden van individuele medewerkers, waarin wordt beschreven wie verantwoordelijk is voor de uitvoering van welk onderdeel van het plan; waar nodig aanwijzen van vervangers ;
  • i) de kritische bedrijfsmiddelen en hulpbronnen nodig om de procedures voor noodsituaties, de uitwijkprocedures en herstartprocedures te kunnen uitvoeren.
Pas, wanneer nieuwe behoeften worden vastgesteld, de bestaande procedures voor noodsituaties, zoals evacuatieplannen of bestaande uitwijkvoorzieningen, dienovereenkomstig aan.

14.1.5   Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geactualiseerd, om te bewerkstelligen dat ze actueel en doeltreffend blijven.
Aandachtspunten en aanbevelingen voor implementatie
Laat bedrijfscontinuïteitsplannen waarborgen dat alle leden van het herstelteam en andere betrokken medewerkers op de hoogte zijn van de plannen en van hun verantwoordelijkheid voor bedrijfscontinuïteit en informatiebeveiliging en hun rol kennen wanneer een plan in werking wordt gesteld.
Geef in het testschema voor het (de) bedrijfscontinuïteitsplan(nen) aan hoe en wanneer elk onderdeel van het (de) continuïteitsplan(nen) wordt getest. Test elk onderdeel van de plannen regelmatig.
Er kunnen verschillende technieken worden gebruikt om er zeker van te zijn dat het (de) plan(nen) daadwerkelijk functioneren. Dit omvat bijvoorbeeld:
  • a) gezamenlijk doorlopen van diverse scenario's (bespreking van de bedrijfsherstelprocedures aan de hand van voorbeelden van onderbrekingen);
  • b) simulaties (in het bijzonder om mensen te trainen in hun rol na een incident en bij crisisbeheer);
  • c) testen van technische herstelprocedures (om te waarborgen dat informatiesystemen doeltreffend kunnen worden hersteld);
  • d) testen van herstel op een andere locatie (waarbij bedrijfsprocessen parallel aan hersteloperaties worden uitgevoerd, op een andere plaats dan de hoofdlocatie);
  • e) testen van voorzieningen en diensten van leveranciers (om te waarborgen dat externe diensten en producten in overeenstemming zijn met contractuele verplichtingen);
  • f) realistische oefeningen (waarbij wordt getoetst dat organisatie, personeel, apparatuur, voorzieningen en processen bestand zijn tegen onderbrekingen).
Deze technieken kunnen door elke organisatie worden gebruikt. Pas ze toe op een manier die past bij het specifieke herstelplan. Leg de testresultaten vast, en voer handelingen uit om waar nodig de plannen te verbeteren.
Wijs verantwoordelijkheden toe voor regelmatige beoordeling van elk bedrijfscontinuïteitsplan. Laat het vaststellen van veranderingen in de werkwijze van de organisatie die nog niet hun neerslag hebben gevonden in de bedrijfscontinuïteitsplannen volgen door een adequate update van het desbetreffende plan. Laat het formele proces van wijzigingenbeheer waarborgen dat de bijgewerkte plannen worden verspreid en bekrachtigd door regelmatige beoordeling van het plan als geheel.
Voorbeelden van veranderingen waar actualiseren van bedrijfscontinuïteitsplannen aan de orde is zijn aanschaf van nieuwe apparatuur of een upgrade van systemen, en veranderingen in:
  • a) personeel;
  • b) adressen of telefoonnummers;
  • c) bedrijfsstrategie;
  • d) locatie, voorzieningen en bronnen;
  • e) wetgeving;
  • f) ingehuurd personeel, leveranciers en belangrijke klanten;
  • g) processen, of nieuwe of ingetrokken processen;
  • h) risico's (operationeel en financieel).
Neem de procedures voor het bijwerken van de continuïteitsplannen op in het wijzigingenbeheer (zie 12.5.1) van de organisatie.
Overige informatie
Beproevingen van de continuïteitsplannen kunnen ook op onderdelen worden uitgevoerd of gesimuleerd. Aangeraden wordt ervoor te zorgen dat alle leden van het herstelteam en andere betrokken medewerkers op de hoogte zijn en blijven van de continuïteitsplannen. Het is aan te bevelen de procedures van de continuïteitsplannen op te nemen in het wijzigingenbeheer van de instelling om ervoor te zorgen dat de voor de continuïteit van de bedrijfsvoering belangrijke zaken op de correcte manier worden aangepakt.