fw-1

Business Requirements Module

fw-1

Scenario Management Module

fw-1

Runbook Management Module

fw-1

Test & Audit Module

fw-1

BCPI R6 Mobile

ISO 22301

Binnen 6 maanden ISO 22301 compliant

Nederland loopt wereldwijd voorop in de ontwikkeling van het BCM vakgebied.
De BCPI methodiek & tooling worden al meer dan 12 jaar elk dag in hele complexe organisaties beproefd.
En elke dag worden de methodiek & tooling aangepast aan nieuwe eisen en wensen in de praktijk.

Tegelijkertijd vormt de ontwikkeling van internationale ISO 22301 BCM standaard een jarenlang durend proces.
De ontwikkeling van de standaard loopt hierdoor zelfs wat achter ten opzichte van de ontwikkelingen in de praktijk.
Met de BCPI methodiek & tooling kunt u ruimschoots voldoen aan de ISO 22301 BCM standaard.

In de ISO standaard is een centrale rol weggelegd voor de inrichting van een Plan-Do-Check-act cyclus in het BCMS.
In de BCPI tooling is de inrichting van een BCMS Plan-Do-Check-Act cyclus volledig geautomatiseerd. 
Organisaties kunnen hierdoor binnen ca. 6 maanden voldoen aan de eisen van de ISO 22301 standaard.

Dit wordt hieronder aan de hand van de indeling van de ISO 22301 standaard inzichtelijk gemaakt.

De ISO 22301 standaard

In onderstaande tabel wordt zichtbaar gemaakt hoe de BCPI methodiek & tooling een BCMS implementeren conform de ISO 22301 standaard .

0. Introduction

De International Organization for Standardization (ISO) specificeert hier de eisen voor een effectief Business Continuity Management System (BCMS).

  • begrip van eisen en wensen van de organisatie als basis voor BCM beleid en doelstellingen
  • regels en maatregelen om verstoringen het hoofd te kunnen bieden
  • bewaking van de werking en effectiviteit van het BCMS
  • voortdurende verbetering van het BCMS op basis van objectieve meting

De standaard hanteert een Plan-Do-Check-Act model voor de ontwikkeling en verbetering van het BCMS. 

Key componenten van het BCMS zijn:

  • Beleid
  • Personen met duidelijke verantwoordelijkheden
  • Management processen voor:
    • beleidsvorming
    • planning
    • implementatie en toepassing
    • kwaliteitsmeting
    • management review
    • verbetering
  • Documentatie en controleerbaar bewijs

De BCPI methodiek & tooling hanteren dezelfde eisen, werkmodel en key-components als hierboven beschreven.

1. Scope

Dit korte hoofdstuk geeft enige inleidende toelichting over de toepasselijkheid van de standaard.

De eisen in deze internationale standaard zijn algemeen en bedoeld om van toepassing te zijn op alle organisaties, of delen daarvan, ongeacht het type, grootte of de aard van de organisatie. De mate waarin eisen van toepassing zijn kan afhankelijk van de werkomgeving en complexiteit, per organisatie wel verschillen.

Ook de BCPI tooling is ingericht om te kunnen worden gehanteerd in alle organisaties, of delen daarvan, ongeacht het type, grootte en aard van de organisatie. Analyses en plannen zijn altijd op maat en specifiek voor de situatie, zowel qua structuur als qua mate van detaillering. Dit is logisch omdat de inhoud van die analyses en plannen volledig gevoed vanuit de expertise en grote kennis van gebruikers, beheerders en auditors in die verschillende organisaties.

2. Normative references

Dit hoofdstuk is bedoeld om ruimte te bieden voor het opnemen van normatieve referenties.
In deze ISO standaard zijn er geen normatieve referenties.

3. Terms and Definitions

Dit hoofdstuk specificeert alle termen en definities die in de standaard worden gebruikt.
BCPI hanteert dezelfde termen en definities als de ISO 22301 standaard.

4. Context

Dit hoofdstuk beschrijft de activiteiten die nodig zijn om een helder beeld te verschaffen van de organisatie in haar specifieke eigen context als basis voor bepaling van de scope en inrichting van het BCMS. 

4.1           Begrip van de organisatie                                                                                     
4.2           Eisen en verwachtingen van belanghebbenden                                                   
4.3           Scope van het BCMS                                                                                             
4.4           Een BCMS conform de ISO 22301 standaard

De BCPI tooling verschaft door middel van met name de Business Requirements Module een diepgaand inzicht in de structuur van de organisatie, doelstellingen, bedreigingen, processen, prioriteiten, classificaties, werkwijzen en belanghebbenden in de organisatie. Door periodieke actualisatie en automatisering kan dit inzicht actueel worden gehouden.

Dit draagt bij aan een helder en gedragen beeld van alle eisen en verwachtingen, verplichtingen, mogelijke verstoringen, risico's en mogelijke gevolgen voor de organisatie.
De organisatie heeft hierdoor een zeer solide basis om de beoogde gefundeerde scope en inrichting van een BCMS conform de ISO 22301 standaard te kunnen bepalen.

5. Leadership

Dit hoofdstuk beschrijft de activiteiten om te waarborgen dat het BCMS voldoende management support heeft binnen de organisatie.

5.1           Leadership voor het BCMS                                                               
5.2           Management support voor het BCMS                                                                   
5.3           BCMS beleid                                                                                       
5.4           Verantwoordelijkheden en bevoegdheden voor het BCMS                          

Een organisatie die investeert in de BCPI methodiek & tooling geeft daarmee impliciet een helder en krachtig signaal af dat het management ook daadwerkelijk belang hecht aan  kwaliteit van haar operaties en aan de ontwikkeling van een effectief BCMS als onderdeel van het kwaliteits management systeem.

De BCPI tooling biedt niet alleen alle functionaliteiten om een complete Plan-Do-Check-Act cycus conform de ISO 22301 standaard te implementeren. De tooling biedt ook krachtige workflow management functies om het BCM proces te stroomlijnen en kunnen bewaken. Hieruit spreekt een duidelijk commitment om te bereiken dat:

  • BCM beleid wordt vertaald naar effectieve maatregelen
  • BCM doelstellingen daadwerkelijk worden gerealiseerd
  • BCM resultaten worden behaald
  • BCM een integraal onderdeel wordt van de processen van de organisatie
  • BCM taken en bevoegdheden in de hele organisatie duidelijk worden 

Om het commitment blijvend hoog te houden, biedt de tooling alle functies en rapportages om risico’s en non conformities vroegtijdig te kunnen signaleren en rapporteren.

6. Planning

Dit hoofdstuk beschrijft de activiteiten om specifieke risico's en kansen voor de organisatie te identificeren als basis voor Business Continuity doelstellingen en Business Continuity plannen.

6.1          Acties in relatie tot risico’s en kansen                                                                    
6.2          Business Continuity doelstellingen & plannen

De BCPI methodiek & tooling kan op basis van de geïntegreerde Business Impact Analyses een volledig bruto- en netto-risicobeeld presenteren tot op service- of objectniveau voor meerdere verschillende impacts: volledig verlies, tijdelijke onbeschikbaarheid, onbetrouwbare werking of inbreuken op de beveiliging. 

De BCPI methodiek & tooling verschaffen dus een zeer helder beeld van bruto en netto risico’s per service en objectgroep en daarmee een controleerbare en inzichtelijke basis om Business Continuity doelstellingen en plannen tot op het niveau van service en objectgroep te kunnen bepalen. Dit stelt de organisatie ook in staat om realisatie van die doelstellingen te kunnen bewaken, niet alleen voor continuïteit, maar ook voor beschikbaarheid, integriteit en vertrouwelijkheid.

7. Support

Dit hoofdstuk van de standaard beschrijft activiteiten om te realiseren dat er voldoende support komt voor het BCMS.

7.1           Beschikbaar stellen van voldoende resources voor het BCMS                       
7.2           Competentie van de in het BCMS betrokken personen                                      
7.3           Bewustzijn van verantwoordelijkheid van in het BCMS betrokken personen        
7.4           Communicatieprocedures voor het BCMS                                                      
7.5           Beheer van BCMS relevante informatie                                                                 

Een kernvoorwaarde voor het beschikbaar krijgen van voldoende resources, competenties, bewustzijn en support voor het BCMS, is dat helder is:

  • welke resources om welke reden in de organisatie benodigd benodigd zijn
  • welke competenties voor die risico's, services en objecten nodig zijn
  • hoe verantwoordelijkheden voor scenario's en herstetaken verdeeld zijn
  • betrokkenen hierover met elkaar in contact komen
  • welke informatie in dat kader relevant is

In veel organisaties komt ondanks dat daar veel tijd en geld aan wordt besteed, het BCM proces niet van de grond. De belangrijkste reden hiervoor is dat die organisaties in hun onderdelen en afdelingen geen eenduidige methodiek en werkwijze hanteren, geen eenduidig begrippenkader hanteren, geen eenduidige grondslagen voor prioritering en classificaties en geen eenduidige structuren voor plannen en documentatie hanteren. 
Zonder die eenduidigheid kunnen de Continuity Managers aan het management niet goed inzichtelijk maken, waarom welke resources en welke support vereist zijn. Juist die zaken worden in de BCPI methodiek & tooling allemaal in één keer helder gestructureerd. Bovendien wordt de ontwikkeling van BCM competenties ondersteund met heldere online trainingen en met on-site coaching.

Omdat organisaties in de BCPI methodiek in alle onderdelen en afdelingen wel een eenduidige methodiek en werkwijze hanteren, een eenduidig begrippenkader, eenduidige grondslagen voor prioritering en classificaties hanteren en eenduidige structuren voor plannen en documentatie hanteren, kunnen Continuity Managers met de vele rapporten die geautomatiseerd worden geproduceerd wel volledig inzichtelijk maken, waarom welke resources en welke support bij gebruikers, beheerders, controllers, auditors en zelfs bij providers vereist zijn. Dit kan worden gespecificeerd tot op het niveau van scenario, plan, service, objectgroep en maatregel.

De praktijk leert dat het door de feitelijke en inzichtelijke onderbouwing geen enkel  probleem is om goede management support voor het BCMS te verkrijgen en om te voldoen aan de randvoorwaarden van dit hoofdstuk van de ISO 22301 standaard.

8. Operation

Dit hoofdstuk is het enige hoofdstuk van de hele ISO 22301 standaard dat ingaat op de Do-component van het Plan-Do-Check-Act model.

8.1           BCMS procesplanning en BCMS procesbeheersmaatregeen
8.2           Analyse en prioriteitenstelling in relatie tot verstoringen en risico’s                       
8.3           Business Continuity strategieën in relatie tot verstoringen                                   
8.4           Vaststelling & implementatie van Continuity Plannen en procedures                   
8.5           Oefeningen en tests van Business Continuity Plannen en procedures

De BCPI methodiek & tooling vormen een samenhangende set van 13 jaar lang beproefde maatregelen voor BCMS procesplanning en BCMS procesbeheersing.
Alle stappen in de methodiek zijn in die 13 jaar geoptimaliseerd en helder gestructureerd.

De krachtige functies voor de uitvoering van Business Impact Analyses produceren heldere prioriteitenstellingen voor processen, services en objecten, zowel  voor situaties van verlies als voor situaties van tijdelijke niet beschikbaarheid (uitval), onbetrouwbare werking of inbreuken op de beveiliging. 

De integratie van die Business Impact Analyses maakt het mogelijk om op elk moment actuele Business Continuity strategieën, plannen, procedures en tests te kunnen presenteren, met heldere herstelprioriteiten en heldere taakverdelingen over (interne of externe) teams en om op elk moment actueel inzicht te bieden in de status van herstelbaarheid per service en objectgroep in dat scenario.

Eventuele restrisico's worden tot op service-, object-, taak- en teamniveau inzichtelijk gepresenteerd en zijn altijd met complete audit trails gedocumenteerd. 
Plannen en testplannen kunnen gericht zijn op situaties van verlies als voor situaties van tijdelijke niet beschikbaarheid (uitval), onbetrouwbare werking of inbreuken op de beveiliging. 

De BCPI methodiek & tooling voldoen hiermee ruim aan de eisen van dit hoofdstuk van de ISO 22301 standaard. 

9. Evaluation

Dit hoofdstuk behandelt alle acties om de performance en effectiviteit van het BCMS vootdurend te kunnen meten en monitoren.

9.1           Monitoring, meting en evaluatie van het BCMS
9.2           Internal audit programma ter evaluatie van het BCMS
9.3           Review van de performance van het BCMS

De BCPI tooling is ontwikkeld door expert consultants op het gebied van administratieve organisatie, interne controle, informatiebeveiliging, business continuity management, disaster recovery management, die bovendien ook meer dan 35 jaar ervaring inbrengen als IT auditors.

Zij hebben alle functies van de tooling omgeven met uitgebreide en gedetailleerde test-, controle- en audit functies en rapportages om de volledigheid, tijdigheid en kwaliteit van het beheerproces, de analyses, de plannen, de maatregelen, de tests en de documentatie voortdurend te kunnen bewaken.

Organisaties die de BCPI methodiek & tooling hanteren zoals die bedoeld is, scoren per definitie hoog in onafhankelijke audits, hebben een track record van geslaagde uitwijktests en scoren hoog in certificeringstrajecten waarin de ISO 22301, de ISO 27001 en de ISAE 3402 als normen worden gehanteerd.

10. Improvement

Dit hoofdstuk behandelt de acties die nodig zijn om non-conformities in het BCMS tijdig te indentificeren en het BCMS voortdurend te verbeteren.

10.1         Identificaties van afwijkingen en correctieve acties
10.2         Verbetering van de performance van het BCMS

De ingebouwde maatregelen van test, controle, audit en proces workflow management die gemeld zijn bij hoofdstuk 9. Evaluation dragen zeer bij aan vroegtijdige signalering van eventuele non-conformities in het BCMS.
Het BCMS verschaft de beheerders van het BCMS voortdurend tot op het niveau van scenario, service, objectgroep, team en maatregel signalen en alerteringen over ontijdige of ontbrekende acties in de analyses, de plannen, de maatregelen of de tests. 

Op grond hiervan kan de performance van het BCMS voortdurend en in alle onderdelen van de organisatie worden gemonitored en – waar nodig – voortdurend worden verbeterd. Het BCMS zal een  krachtig instrument worden als kennismanagement systeem, als hulpmiddel voor interne communicatie en als instrument voor complexiteitsreductie en procesoptimalisatie in de organisatie.

Een holistisch BCM proces conform de ISO 22301 standaard

De ISO 22301 standaard propageert de invoering van een holistisch Business Continuity Management proces.
In onderstaande tabel wordt toegelicht hoe de BCPI methodiek & tooling vormgeven aan dat beoogde holistisch BCM proces. 

 

Aspect 1 – ondersteuning van alle relevante BCM functies

BCPI kan voor de holistische benadering de BCM procesorganisatie ondersteunen in alle lagen van de organisatie.
De BCPI tooling ondersteunt de samenwerkingsverbanden van alle betrokkenen op:

  • Corporate niveau
  • Company niveau
  • Business unit niveau
  • Afdeling niveau
  • Proces niveau

In middelgrote organisaties delen de betrokkenen vaak een Core Team licentie.
In grote tot zeer grote organisaties delen de betrokkenen meestal een Corporate licentie.

Aspect 2 – Ondersteuning van alle relevante kwaliteitsdimensies

In de visie van BCPI ondersteunt de tooling alle relevante kwaliteitsdimensies om te kunnen spreken van een holistische benadering.
De continuïteit van operaties kan worden verstoord door incidenten die leiden tot:

  • verlies van locaties, configuraties of services
  • tijdelijke onbeschikbaarheid van locaties, configuraties of services
  • onbetrouwbaarheid van locaties, configuraties of services
  • onvoldoende beveiliging van locaties, configuraties of services

Een holistisch business continuity management process moet al deze dreigingen kunnen adresseren.
De BCPI tooling ondersteunt daarom alle risicoanalyses, alle planningswerkzaaamheden, alle maatregelen en alle tests op het gebied van:

  • continuïteit
  • beschikbaarheid
  • integriteit
  • vertrouwelijkheid

Aspect 3 – ondersteuning van alle disciplines in de multidiscipinaire samenwerking

Een holistische benadering vereist in de visie van BCPI een multidisciplinaire benadering.
De BCPI tooling ondersteunt de multidisciplinaire samenwerking van:

  • Process Quality Management
  • Facilities Management 
  • Business Continuity Management
  • Security Management
  • Service Management
  • Integrity Management
  • (IT) Disaster Recovery Management
  • Operational & IT audit

Vanuit de SAAS omgeving kunnen teams binnen en buiten de organisatie worden aangestuurd.
Bij uitbestedingen kan de multisiciplinaire samenwerking dus ook inter-organisatorisch worden opgezet.

Aspect 4 – Ondersteuning van de planning voor alle relevante Objecten & Services

Een holistische benadering vereist in de visie van BCPI dat alle mogelijke relevante Objecten & Services kunnen worden belicht.

De BCPI tooling ondersteunt daarom risicoanalyses, planning, maatregelen en tests voor alle operaties en configuraties van de organisatie:

  • Hoofdkantoren
  • Distributiecentra
  • Fabrieken
  • Call centers
  • Data centers
  • Procesautomatisering
  • Informatievoorziening
  • Facilitaire voorzieningen
  • Et cetera