Norm BC.01 Bedrijfscontinuïteitsplanning
Waarom is dit nodig?
Bedrijfs- en it-continuïteitsplannen geven je kaders om tijdens een grote storing de juiste dingen te doen. Ze helpen je om adequaat te handelen, zodat je de gevolgen van de storing beperkt kunt houden. Het is dus belangrijk om deze plannen te hebben.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen bedrijfsgericht it-continuïteitsplan.
- De it-organisatie heeft een beperkt en algemeen herstelplan voor het netwerk en de systemen.
2 Herhaalbaar
- It- (en uiteindelijk bedrijfs)continuïteitsplannen worden ontwikkeld op basis van een informeel (en beknopt) framework. Deze plannen zijn niet compleet en gebaseerd op een risico gerelateerd begrip van potentiële bedrijfseffecten.
- In het geval van een grote onderbreking kunnen betrokken belangrijke processen en systemen wellicht worden hersteld, maar herstelactiviteiten zullen waarschijnlijk ontoereikend zijn.
- Als kritieke programma’s en data verloren gaat en/of belangrijke medewerkers vertrekken, kunnen belangrijke businessprocessen gedurende een langere periode niet uitgevoerd worden.
3 Bepaald (streefniveau)
- Bedrijfs- en it-continuïteitsplannen zijn gedefinieerd, geïntegreerd en goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
- De organisatie heeft een bedrijfsimpactanalyse uitgevoerd, op basis waarvan recoverytimedoelen zijn bepaald en volledig gedocumenteerde it-herstelplannen en bedrijfs- continuïteitsplannen zijn opgesteld om deze doelen te bereiken.
- De plannen betreffen gebruikershandleidingen, rollen, verantwoordelijkheden, crisismanagement, communicatieprocessen en de testmethode.
- Dankzij deze plannen kan de organisatie waarschijnlijk belangrijke operationele processen voortzetten in het geval van een grote onderbreking.
4 Beheerst
Aanvullend op niveau 3:
- De continuïteitsplannen bevatten een roulerend schema van tabletop en live simulatietesten van de continuïteits- en crisismanagementplannen, waarin verbeteringen zijn doorgevoerd op basis van de resultaten van eerdere tests.
- Tekortkomingen bij de uitvoering van bedrijfscontinuïtiteitsplannen worden gerapporteerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Bedrijfscontinuïteitsplannen en gerelateerde processen worden periodiek geëvalueerd.
- Zowel tekortkomingen in (de effectiviteit of efficiëntie van) de continuïteitsplannen als verbeteringen worden gerapporteerd aan het schoolbestuur of schoolleiding.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Stel een bedrijfscontinuïteitsplan op en laat het vaststellen door het schoolbestuur.
- Op de pagina inrichten van bedrijfscontinuïteitsmanagement op de Aanpak IBP staat een een praktische aanpak voor bedrijfscontinuïteitsmanagement beschreven. Je kunt hierbij denken aan het uitvoeren van een bedrijfsimpactanalyse of het bepalen van herstelstrategie en -aanpak. Hierbij kun je ook gebruikmaken van het template Bedrijfscontinuïteitsplan. Dan geef je invulling aan alle aspecten van de norm.
Hulpmiddelen
Gerelateerde wetten en normen
Norm BC.01 Bedrijfscontinuïteitsplanning is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.
ISO 27001/2:2022
- A5.29
- A5.30
- A5.5
- A5.6
Certificeringsschema IBP ROSA
- Beschikbaarheid/Herstel