Waarborgen van bedrijfscontinuïteit
Met dit deelproject zorg je ervoor dat belangrijke processen in jouw school altijd door kunnen gaan. Daarvoor stel je een bedrijfscontinuïteitsplan op met daarin de maatregelen die je neemt als er IT-verstoringen optreden.
Wat is een risico?
Risico’s zijn onzekere gebeurtenissen die het behalen van de doelstellingen van je schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. kunnen beïnvloeden. Met risicomanagement richt je een proces in om risico’s te beheersen. Hierbij maak je een gedegen afweging tussen (te creëren) mogelijkheden en (niet te vermijden) beperkingen binnen je organisatie. Denk aan mogelijkheden en beperkingen die samenhangen met in te zetten capaciteit, middelen en/of praktische toepasbaarheid.
Resultaat van dit deelproject
- Bedrijfscontinuïteitsplan is opgesteld en vastgesteld.
- Crisismanagementplan is verwerkt in bedrijfscontinuïteitsplan.
- Bedrijfsimpactanalyse is opgesteld en vastgesteld.
Normen bij dit deelproject
Bedrijfscontinuïteitsmanagement en crisismanagement
Na een incident of calamiteit op school moeten de belangrijke processen zo snel mogelijk weer kunnen doorgaan. De plannen, rolverdelingen en terugvalopties die hierop betrekking hebben, leg je vast in een bedrijfscontinuïteitsplan. Zo kun je je voorbereiden op ongewenste gebeurtenissen en zorgen dat je kritische processen altijd door kunnen gaan. Dit noemen we bedrijfscontinuïteitsmanagement. Leidt een incident tot een calamiteit? Dan heb je een crisismanagementplan nodig. Met een crisismanagementplan kun je snel en gecoördineerd reageren op calamiteiten. Daardoor verminder je de gevolgen en kun je de geraakte processen binnen een redelijke termijn hervatten. Een crisismanagementplan is onderdeel van het bedrijfscontinuïteitsplan.
Andere incidenten en calamiteiten
Bedrijfscontinuïteitsmanagement gaat niet alleen over informatiebeveiliging en privacy, maar ook over incidenten en calamiteiten als brand of waterschade. Heeft jouw school al een calamiteitenplan? Maak dan geen apart plan voor IBP-gerelateerde incidenten, maar breid het bestaande plan uit. Zo zorg je dat de school één plan heeft om adequaat te reageren op ongewenste gebeurtenissen.
Wie doet wat
- Het schoolbestuur is verantwoordelijk voor het vaststellen van het beleid.
- De IBP’er stelt het bedrijfscontinuïteitsplan op, samen met de bestuurder en andere betrokkenenDe personen van wie persoonsgegevens worden verwerkt.. Ook coördineert de IBP’er de uitvoering van de werkzaamheden die volgen uit het bedrijfscontinuïteitsplan
Aan de slag
Met het volgen van onderstaande stappen waarborg jij de bedrijfscontinuïteit van jouw organisatie.
1. Stel kritische bedrijfsprocessen vast
Kritische bedrijfsprocessen zijn processen die altijd moeten doorgaan. Bij een school moet je hierbij denken aan processen die te maken hebben met onderwijsuitvoering, onderwijsevaluatie en de organisatie van passend onderwijs:
- onderwijsuitvoering: lesuitvoering, toetsafname, (toegang tot) leermateriaal
- onderwijsevaluatie: beoordeling, resultatenregistratie
- organisatie passend onderwijs: uitvoering basisondersteuning, uitvoering extra ondersteuning
Stel een lijst op van alle kritische bedrijfsprocessen van de scholen binnen jouw bestuur. Voor de meeste scholen zullen dit de bovenstaande processen zijn. Binnen het deelproject architectuur breng je je bedrijfsprocessen in kaart. Je kunt de uitkomsten van dat deelproject ook hier gebruiken.
2. Maak een overzicht van systemen en leveranciers
Noteer vervolgens welke systemen of ICT-leveranciers noodzakelijk zijn om bedrijfsprocessen doorgang te laten vinden. Denk aan een leerlingadministratiesysteem of een elektronische leeromgeving en de leveranciersAanbieders van ict- of leermiddelen. daarvan. Let op: je moet hier uit gaan van de normale situatie. Dat het ‘eventueel ook zonder kan’ komt in de volgende stap aan bod. Binnen het deelproject Systeem- en data-eigenaarschap en configuratiebeheer heb je je systemen in kaart gebracht. De resultaten van dat deelproject kun je gebruiken bij deze stap.
3. Inventariseer welke terugvalopties of alternatieven er zijn
Organiseer een brainstorm of overleg waarin je bespreekt hoe je in de huidige situatie zou reageren als de kritische systemen of leveranciers opeens niet beschikbaar zijn. Welke terugvalopties of alternatieven bestaan er voor deze systemen of leveranciers? Zorg dat er in de workshop in elk geval mensen vertegenwoordigd zijn die de ICT van de organisatie kennen en mensen die in de praktijk betrokken zijn bij de bedrijfsprocessen. Denk hierbij bijvoorbeeld aan leraren en medewerkers van de administratie.
Bespreek tijdens de workshop verschillende scenario’s. Varieer daarbij in de duur van de uitval van systemen of leveranciers. Wat doe je als deze systemen een uur, een dag of een week uitvallen? Maak de scenario’s daarnaast zo concreet mogelijk: “Wat als we worden aangevallen met ransomware?” of “Wat als onze elektronische leeromgeving wordt geraakt door een DDoS-aanval?” Deelnemers kunnen zich de complexiteit van de situatie dan beter voorstellen. Bespreek vervolgens de verschillende aspecten van de terugvalopties en alternatieven:
- Gegevens. Welke informatie gaat er verloren?
- Proces. In welke mate kunnen kritische processen minder goed worden uitgevoerd?
- Financieel. Wat kost deze oplossing?
- Communicatief. Wie communiceert er?
- Verantwoordelijkheden. Wat is de rolverdeling tussen bestuur en schoolleiding?
4. Stel een bedrijfsimpactanalyse op
De resultaten van de stappen 1, 2 en 3 leg je vast in een bedrijfsimpactanalyse. Dat is een document waarin je opschrijft wat de kritieke bedrijfsprocessen zijn en welk effect een verstoring ervan op de organisatie heeft. Je kunt hiervoor het voorbeelddocument bedrijfsimpactanalyse (docx) gebruiken.
5. Stel een bedrijfscontinuïteitsplan op
Gebruik de bedrijfsimpactanalyse en de terugvalopties, alternatieven en voorgestelde werkwijze om een bedrijfscontinuïteitsplan op te stellen. Je kunt hiervoor het voorbeelddocument bedrijfscontinuïteitsplan (docx) gebruiken. In het bedrijfscontinuïteitsplan leg je ook vast hoe crisismanagement in jouw organisatie wordt georganiseerd. Heb je hiervoor nog geen standaard werkwijze? Gebruik dan het voorbeelddocument crisismanagementplan uit het voorbeelddocument bedrijfscontinuïteitsplan.
Let op: stel een ICT-herstelplan op
Beheer je zelf de ICT van de kritische systemen? Stel dan ook per kritisch systeem een ICT-herstelplan op. In dit plan beschrijf je hoe de organisatie reageert als dit systeem om uiteenlopende redenen niet beschikbaar is. Als je je kritische systemen niet zelf beheert, hoef je ook geen ICT-herstelplan op te stellen.
6. Leg het bedrijfscontinuïteitsplan voor aan het bestuur
Leg het bedrijfscontinuïteitsplan ter goedkeuring voor aan het schoolbestuur. Breng daarna leidinggevenden en medewerkers die in de plannen genoemd worden op de hoogte van het plan en hun rol daarin. Collega’s weten dan hoe de organisatie is voorbereid op incidenten en calamiteiten.
7. Oefen met het bedrijfscontinuïteitsplan
Organiseer een oefening om het bedrijfscontinuïteitsplan en het crisismanagement van de organisatie in de praktijk te testen. Daarmee bepaal je in hoeverre het huidige plan en de maatregelen voldoen:
- In hoeverre waren de afgesproken maatregelen en terugvalopties voldoende om de kritische bedrijfsprocessen door te laten gaan?
- Hoe lang waren de kritische bedrijfsprocessen verstoord?
- Hoeveel data ging er verloren? Hoe functioneerde het crisismanagementteam?
- Schrijf per bedrijfsproces op hoelang het duurde voor er een terugvaloptie of alternatief georganiseerd was. Dit noemen we het recovery time doel: RTO, voor recovery time objective. Heb je niet alle aspecten van de terugvaloptie of het alternatief uitgevoerd tijdens je oefening? Maak dan een realistische inschatting van hoe lang dit zou hebben geduurd, gemeten vanaf het moment waarop de verstoring werd opgemerkt.
- Pas op basis van de behaalde resultaten je bedrijfsimpactanalyse aan.
Op kennisnet.nl vind je een stappenplan en toolkit voor het organiseren van een crisisoefening.
Let op: DatareplicatieDatareplicatie is het maken en onderhouden van meerdere kopieën van dezelfde data. Het is een manier om te voorkomen dat data of delen van data kwijtraakt en ondersteunt bij het beschikbaar en betrouwbaar maken van data.? Waarschijnlijk niet nodig
Norm BC.04 noemt datareplicatie als mogelijke maatregel. Datareplicatie is het voortdurend bijhouden van een kopie van je een systeem of applicatie, zodat je bij uitval of verstoring meteen weer door kunt en geen data verliest. Dit is een dure en complexe maatregel. Scholen zullen dit zo goed als nooit hoeven inrichten. Regelmatige back-ups, desnoods meerdere keren per dag, voldoen in het onderwijs bijna even goed. Besluit je toch voor een systeem of applicatie datareplicatie in te richten? Gebruik dan de eisen uit norm BC.04.
8. Aanvullende maatregelen en afspraken
Leg de resultaten van de oefening en de bedrijfsimpactanalyse voor aan het schoolbestuur. Zij moeten bepalen of de behaalde resultaten voldoende zijn voor de organisatie of dat het nodig is om aanvullende maatregelen of afspraken met leveranciers te nemen. Ze kunnen bijvoorbeeld vinden dat de gekozen terugvalopties niet goed genoeg werken, dat er te veel data verloren zal gaan of dat het te lang duurt om de terugvalopties te organiseren.
Vind je zelf dat er aanvullende maatregelen nodig zijn? Stel dan een lijst met aanbevelingen op en leg die met de resultaten en de bedrijfsimpactanalyse aan het schoolbestuur voor. Leg aanpassingen ook vast in het bedrijfscontinuïteitsplan. Zorg dat de stappen 7 en 8 jaarlijks worden herhaald. Zo blijven de afspraken voor bedrijfscontinuïteit en crisismanagement voor iedereen duidelijk en toets je regelmatig of ze nog voldoen.