BCM Richtlijn - Bestuurszaken
advertisement
HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Bedrijfscontinuïteit bij de Vlaamse overheid: Richtlijnen voor het uitvoeren van een BedrijfsImpactAnalyse van een RisicoAnalyse, de strategieselectie en de crisiscommunicatie. Versie 12/05/2010 Vlaamse overheid Confidentieel Pagina 1 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Inhoudsopgave 1 INTRODUCTIE ............................................................................................................................... 4 2 BCM LEVENSCYCLUS VAN DE VLAAMSE OVERHEID ...................................................................... 5 3 FASE 1: BEGRIJPEN VAN DE ORGANISATIE ................................................................................... 6 3.1 BEDRIJFSIMPACTANALYSE (BIA) ...................................................................................................................... 7 3.1.1 Wat is een Bedrijfsimpactanalyse (BIA)? ......................................................................................... 7 3.1.1.1 3.1.1.2 Stap 1 – Inventaris van kritische, essentiële en noodzakelijke functies ...................................................... 8 Stap 2 – Identificatie van minimaal vereiste werkmiddelen ...................................................................... 10 3.1.2 Werkbladen ................................................................................................................................... 11 3.1.2.1 3.1.2.2 3.1.2.3 3.1.2.4 Deel 1: Inventaris van Kritische Bedrijfsprocessen .................................................................................... 13 Deel 2a: Minimaal vereiste werkmiddelen (1/2) ....................................................................................... 14 Deel 2b: Minimaal vereiste werkmiddelen (2/2) ....................................................................................... 16 Deel 3: Kritische tijdsperiodes en/of data ................................................................................................. 18 3.2 RISICO ANALYSE (RA) ................................................................................................................................. 19 3.2.1 Wat is een Risico Analyse ? ........................................................................................................... 19 3.2.2 Werkblad Riscoanalyse.................................................................................................................. 23 3.2.2.1 Risico Analyse ............................................................................................................................................ 23 3.3 MIDDELEN EN BEHEERSMAATREGELEN ............................................................................................................ 24 3.3.1 Middelen ....................................................................................................................................... 24 3.3.2 Beheersmaatregelen ..................................................................................................................... 24 3.4 CONCLUSIE ............................................................................................................................................... 28 4 FASE 2 – CONTINUÏTEITSTRATEGIE ............................................................................................. 29 4.1 ALGEMEEN................................................................................................................................................ 29 4.2 STRATEGIE OPTIES ...................................................................................................................................... 29 5 FASE 3 – ONTWIKKELEN & IMPLEMENTEREN VAN EEN BCMANTWOORD .................................. 32 5.1 PLAN ONTWIKKELING .................................................................................................................................. 32 5.1.1 Voorbeeld van een BCP Plan gedeelte ........................................................................................... 35 5.1.1.1 5.1.1.2 6 Crisis Team................................................................................................................................................. 35 Teamleden ................................................................................................................................................. 35 CRISIS COMMUNICATIE .............................................................................................................. 37 6.1 6.2 6.3 6.4 BASISPRINCIPES / VERHOUDING TOT BEDRIJFSCONTINUÏTEITS- EN CRISISMANAGEMENT ............................................ 39 SAMENSTELLING, VERANTWOORDELIJKHEDEN EN ORGANISATIE VAN EEN CRISISCOMMUNICATIETEAM ......................... 42 SPECIFIEKE TAKEN EN VERANTWOORDELIJKHEDEN VOOR EEN CRISISCOMMUNICATIETEAM VAN DE VLAAMSE OVERHEID .. 45 CHRONOLOGISCH GEFASEERD ....................................................................................................................... 46 6.4.1 Voorafgaand aan incident of crisis (in "vredestijd") ...................................................................... 46 6.4.2 Eerste essentiële taken bij een incident ......................................................................................... 47 6.4.3 Naarmate de crisis vordert ............................................................................................................ 48 6.4.4 Achteraf (nazorgfase) .................................................................................................................... 49 6.5 MIDDELEN / ELEMENTEN VAN EEN CRISISCOMMUNICATIEPLAN ........................................................................... 50 6.5.1 Verantwoordelijkheden CCT .......................................................................................................... 50 6.5.2 Mogelijke Middelen ....................................................................................................................... 50 6.5.3 Mogelijke Takenlijst....................................................................................................................... 51 7 FASE 4 – OEFENEN, ONDERHOUDEN EN HERZIEN ....................................................................... 53 Vlaamse overheid Confidentieel Pagina 2 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 7.1 7.2 7.3 7.4 WAT WORDT ER GETEST ? ............................................................................................................................ 53 HOE WORDT ER GETEST ?............................................................................................................................. 53 WAAROM WORDT ER GETEST ? ..................................................................................................................... 54 PLANNING VAN TESTEN................................................................................................................................ 55 7.4.1 Basisregels ..................................................................................................................................... 55 7.4.2 Voor de uitvoering van de test ...................................................................................................... 55 7.4.3 Tijdens de uitvoering van de test ................................................................................................... 56 7.4.4 Na de uitvoering van de test ......................................................................................................... 56 7.4.5 Voorbeeld van een test scenario: .................................................................................................. 57 8 LIJST VAN AFKORTINGEN ........................................................................................................... 58 9 LIJST VAN BEGRIPPEN ................................................................................................................ 61 Vlaamse overheid Confidentieel Pagina 3 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 1 INLEIDING Het hervormingsproces Beter Bestuurlijk Beleid kent het lijnmanagement meer operationele autonomie toe en koppelt daaraan een grotere responsabilisering. Het management is verantwoordelijk om, binnen de beleids- en beheerscyclus, de activiteiten op het vlak van ‘sturen’, ‘beheersen’, ‘verantwoorden’ en ‘toezicht houden’ met de nodige openheid, integriteit en verantwoordingsplicht uit te voeren. Bedrijfscontinuïteitsmanagement (BCM) is een belangrijk element van goede bedrijfsvoering (good governance). Belangrijk hierbij is dat BCM niet opgevat wordt als een extra belasting. BCM zit mee in de dagdagelijkse werking, net zoals de overige elementen van het intern controlesysteem. De verantwoordelijkheid voor het uitbouwen van een intern controlesysteem, met inbegrip van continuïteitsplanning, is door het Kaderdecreet Bestuurlijk Beleid toegewezen aan de leidend ambtenaren. Referentieraamwerk is de leidraad interne controle/organisatiebeheersing1. In de leidraad wordt de problematiek van continuïteitsplanning in meerdere thema’s aangekaart. Bedoeling van deze richtlijn is een uitdieping te brengen van deze problematiek. Bedrijfscontinuïteitsmanagement (BCM) wordt binnen de Vlaamse overheid gedefinieerd als het beheersproces dat risico’s identificeert en beperkt, de mogelijke impact van een onderbreking van een (tijds)kritische bedrijfsprocessen en ondersteunende systemen minimaliseert met als ultieme doel het tijdig herstellen van de kritische bedrijfsprocessen. Het bedrijfscontinuïteitsplan (BCP) vertrekt van de (tijds)kritische bedrijfsprocessen en verzekert – onder andere – dat, indien nodig, organisaties worden ondergebracht op een andere fysische locatie, voorzien van minimale kantoorruimte en benodigdheden (bureau, telefoon, fax, documenten…) en met toegang tot de IT-infrastructuur. De doelstellingen, die vooropgesteld worden bij BCM, zijn te zorgen dat de organisatie voorbereid en georganiseerd is, met het oog op het 1. garanderen van de beschikbaarheid van de (tijds-)kritieke processen en dienstverlening; 2. waarborgen van essentiële bedrijfsactiva; 3. minimaliseren van de impact van een incident of ramp; 4. beschikbaar stellen van getrainde mensen om in noodsituaties en herstelsituaties in te zetten; 5. garanderen van het vertrouwen van klanten en andere belanghebbende partijen. Vandaag is het vertrouwen in technologie alleen maar belangrijker aan het worden om de kernprocessen van een bedrijf te kunnen ondersteunen. Dit leidt tot de algemene 1 http://www2.vlaanderen.be/internecontrole/documenten/080505_Leidraad.pdf Vlaamse overheid Confidentieel Pagina 4 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING aanvaarding dat eenvoudige ‘herstelplannen” voor ICT-diensten nu onvoldoende zijn om operationeel te blijven, zelfs tijdens een crisissituatie. De vooropgestelde aanpak is dan ook een holistische aanpak, die zich niet louter beperkt tot ICT. Belangrijk is op te merken dat effectieve bedrijfscontinuïteitsplanning inzet (en gedragenheid) nodig heeft van alle niveaus binnen het bedrijf. Het opzetten van bedrijfscontinuïteitsplannen is een uitdaging. Om die uitdaging van antwoord te dienen hebben organisaties meer nodig dan traditionele methodes om problemen op te lossen. Creativiteit, innovatie, tijd en efficiëntie zijn maar enkele van de planningsvoorwaarden. 2 BCM LEVENSCYCLUS VAN DE VLAAMSE OVERHEID De BCM levenscyclus helpt professionelen en niet-professionelen een bedrijfscontinuïteitsplan te ontwikkelen. Deze levenscyclus is gebaseerd op de Britse Standaard 25999-1:2006, bekend als de officiële internationale praktijkcode voor BCM. Deze standaard kan gebruikt worden om te verzekeren dat er voldaan wordt aan regelgeving rond bedrijfscontinuïteit en zal er voor zorgen dat een succesvolle audit kan worden ondernomen voor uw bedrijfscontinuïteitsprogramma. De levenscyclus draait rond vier opeenvolgend en gerelateerde elementen: 1. Begrijpen van de organisatie > 2. Bepalen van de BCM strategie > 3. Ontwikkelen en implementeren van een BCM antwoord > 4. Oefenen, onderhouden en herzien De figuur hieronder illustreert deze 4 sleutelelementen in de BCM levenscyclus. Zij geeft aan dat de start van het onderdeel “Begrijpen van de organisatie” begint met het ondernemen van een bedrijfsimpactanalyse en beschrijft de subelementen. De volgende secties geven de hoofdlijnen van deze fases aan. Vlaamse overheid Confidentieel Pagina 5 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Bedrijfsimpactanalyse Activititeiten > Risico x impact > Max aanvaardbare onderbreking > Prioritisering: kritike functies 3 FASE 1: BEGRIJPEN VAN DE ORGANISATIE Het doel van de eerste fase is het assisteren bij het begrijpen van de organisatie door de identificatie van de bedrijfsprocessen, zowel als de kritische activiteiten en middelen die deze ondersteunen. Deze elementen zullen er voor zorgen dat de BCM-strategieën en plannen afgestemd zijn op uw doelstellingen en (statutaire) verplichtingen. In de context van bedrijfscontinuïteit, krijgt men begrip van de organisatie door: Het identificeren van de (strategische en operationele) doelstellingen, verplichtingen ten aanzien van de belanghebbenden, statutaire verplichtingen en de omgeving waarin uw organisatie opereert; Identificeren van activiteiten, goederen en middelen, inclusief deze buiten uw organisatie, die ondersteuning bieden voor leveren van deze producten en diensten. Evalueren van de impact en gevolgen volgens een tijdschaal bij het falen van deze activiteiten, goederen en middelen. Vlaamse overheid Confidentieel Pagina 6 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Identificeren en evalueren van de zichtbare bedreigingen die onderbreking kunnen veroorzaken van de bedrijfsprocessen en de kritische activiteiten, goederen en middelen die deze ondersteunen. Het is belangrijk dat uw organisatie de afhankelijkheden (ook dependenties genoemd2) tussen de activiteiten begrijpt, als ook elke externe afhankelijkheid, die zelfs gedeeld kan zijn met derden. De sleutelactiviteiten in deze fase zijn de bedrijfsimpactanalyse (BIA) en de RisicoAnalyse (RA). Tip: Het is belangrijk dat de organisatie de afhankelijkheden begrijpt van zijn activiteiten, elk vertrouwen dat de organisatie heeft op andere organisaties en het vertrouwen dat anderen hebben in de organisatie. 3.1 BEDRIJFSIMPACTANALYSE (BIA) 3.1.1 WAT IS EEN BEDRIJFSIMPACTANALYSE (BIA)? Een bedrijfsimpactanalyse is een proces waarbij men de impact gaat bepalen en documenteren van een onderbreking van de activiteiten die uw bedrijfsprocessen ondersteunen. Aan het einde van een bedrijfsimpactanalyse proces zou uw organisatie het volgende moeten onderkennen: Welke functies kritisch zijn, i.e. niet ononderbroken mogen worden of hersteld moeten worden binnen een bepaalde tijdsspanne. Welke middelen er nodig zijn om continuïteit of hervatting van activiteiten te kunnen bereiken. Dit laat uw organisatie toe om prioriteit toe te kennen aan investeringen om de paraatheid / beschikbaarheid te verzekeren, het coördineren van 2 Hierbij kan gedacht worden aan de afhankelijkheid van de dienstverlening van centrale dienstverleners Bv. indien afname voor ICT-diensten van de GID – de SLA’s van EDS-T afgesloten met e-IB; Bv. loonverwerking door VLIMPERS; Bv. betalingen via boekhoudsysteem Orafin; Bv. facilitaire dienstverlening door het Agentschap Facilitair Management; Bv afhankelijkheid van een departement of agentschap omdat processen door meerdere entiteiten lopen. Vlaamse overheid Confidentieel Pagina 7 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING continuïteitsmaatregelen en implementeren van plannen voor als het fout gaat bij kritische systemen en men de impact van een onderbreking wil beperken. 3.1.1.1 S TAP 1 – I NVENTARIS VAN KRITISCHE , ESSENTIËLE EN NOODZAKELIJKE FUNCTIES Het uitgangspunt is een goed begrip van de algemene en specifieke doelstellingen van de organisatie. Deze reflecteren de strategische doelstellingen en duiden ook aan wie er voor verantwoordelijk is. Daarna, moeten de functies, die deze doelstellingen ondersteunen, worden geclassificeerd volgens drie brede categorieën: Kritische functies – dit zijn activiteiten, diensten en infrastructuur die niet mogen onderbroken worden, of die hersteld moeten worden binnen de 48u. Zonder deze, zouden de werkzaamheden van de Vlaamse overheid sterk in gevaar worden gebracht; Essentiële functies – dit zijn activiteiten, diensten en infrastructuur waarbij een korte onderbreking kan worden getolereerd (tot 14 dagen), maar waarbij de werkzaamheden van de Vlaamse overheid in gevaar worden gebracht als de onderbreking blijft voortduren; Noodzakelijke functies – dit zijn activiteiten, diensten en infrastructuur, waarbij de Vlaamse overheid zich een onderbreking van 6 à 8 weken kan veroorloven, zonder dat dit ernstige gevolgen heeft voor de dienstverlening, maar die moeten hersteld worden zo snel als de omstandigheden toelaten. Tips: → Denk na over wat de gepaste samenstelling is van een functie – zij moet het hele proces omvatten dat nodig is om een dienst te leveren. → Denk na over de afhankelijkheden binnen een dienst. → Identificeer eerst de kritische functies, daarna neem je de essentiële functies. De overgebleven functies kunnen beschouwd worden als noodzakelijk. → Als een functie enkel kritisch is tijdens specifieke dagen of tijdsperiodes, dan moet het mee opgenomen worden bij de globale lijst van kritische functies. De classificatie van functies zal het bepalen van prioriteiten vergemakkelijken tijdens een onderbreking, waarbij het onmogelijk is om het normale niveau van activiteiten te ondersteunen. De uiteindelijke doelstelling van bedrijfscontinuïteitsmaatregelen is natuurlijk om zo snel mogelijk alle functies terug op zelfde niveau te krijgen als voor het incident plaatsvond. Vlaamse overheid Confidentieel Pagina 8 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Tips: → Een belangrijke boodschap die moet worden gecommuniceerd is dat men ‘kritisch’ moet begrijpen in de zin van ‘urgent’. Deze classificatie impliceert geen waardering over de belangrijkheid van activiteiten onder normale werkomstandigheden. → Hou de lijst van kritische functies beperkt tot een redelijk en beheersbaar aantal. Bij deze functies hoort een gedetailleerde planning, kost en beperkingen. Arbitrage door het hoger management kan nodig zijn. → Nadat de kritische functies geïdentificeerd zijn, ga je verder met het identificeren van het kritische personeel dat toegewezen is aan de functies. → Als een functie enkel kritisch is tijdens specifieke dagen of tijdsperiodes, dan moet het mee opgenomen worden bij de globale lijst van kritische functies Gebruik Werkblad 1 “Inventaris van kritische bedrijfsprocessen” om informatie te verzamelen. Dit werkblad zou een beschrijving moeten bevatten van de processen die kritisch, essentieel en noodzakelijk zijn voor de organisatie vanuit een “Bedrijfscontinuïteit”-perspectief. Geef meer informatie over naam, locatie en gerelateerde taken. Het werkblad introduceert het concept van: Recovery Time Objective (RTO): Dit is maximaal toegestane uitvalsduur voor kritische bedrijfsprocessen binnen dewelke de activiteit, na de start van de onderbreking, moet worden hernomen. Voor elke activiteit, die ondersteuning biedt voor de levering van kernprocessen, zou u moeten: Evalueren volgens de tijdschaal wat de impact zou zijn als de activiteit onderbroken was; Vastleggen van Recovery Time Objective (RTO, ook hersteltijddoelstelling genoemd); Vastleggen van Recovery Point Objective (RPO, ook aanvaardbaar verlies aan data / werk-doelstelling genoemd); Identificeer alle onderling afhankelijke activiteiten, goederen, ondersteunende infrastructuur of middelen die ook continu moeten worden beheerd of hersteld worden volgens een tijdschaal. Wanneer u de impact evalueert, moet u rekening houden met de mogelijke vormen van impact die gerelateerd zijn aan uw doelstellingen en uw belanghebbenden. Deze kunnen ondermeer bevatten: Vlaamse overheid Confidentieel Pagina 9 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING De impact op personeel of het algemeen welzijn; De impact op, schade aan of verlies van faciliteiten, technologie of informatie; De impact van inbreuken van statutaire of contractuele verplichtingen of regelgeving; Schade aan financiële belangen; Vermindering van de kwaliteit van het product of de dienstverlening; Schade aan het milieu. 3.1.1.2 S TAP 2 – I DENTIFICATIE VAN MINIMAAL VEREISTE WERKMIDDELEN Voor elke middel dat ondersteuning biedt voor de kritische of essentiële functies, moet het volgende worden bepaald: • Het doeltijdstip na de start van een onderbreking dat een werkmiddel opnieuw moet beschikbaar zijn, dit is het specifieke Recovery Time Objective (RTO) van het middel. • Het Recovery Point Objective RPO (indien van toepassing). Dit is het maximaal toegestaan verlies van data en/of werk na een calamiteit, uitgedrukt in tijd. Dit is het punt van waar data moet hersteld worden. De RTO en resultaten van de bedrijfsimpactanalyse in het geheel vormen de basis voor het identificeren en analyseren van werkbare strategieën voor het bedrijfscontinuïteitsplan. Werkbare strategieopties zijn alle opties die hervatting van een bedrijfsproces binnen een tijdspanne van of in de buurt van de RTO mogelijk maken. Tips: → Bij het identificeren van afhankelijkheden is het belangrijk gedetailleerd te werk te gaan. Stel uw vragen aan werknemers die dagdagelijks deze taken uitvoeren en laat hen de stappen beschrijven. Het is gemakkelijk om eenvoudige maar fundamentele afhankelijkheden te vergeten zoals een lijst met telefoonnummers of werkende website. → De sleutelvragen zijn: Wanneer moeten deze afhankelijkheden beschikbaar zijn? Zijn er alternatieve methodes. Wat zijn deze? Welke informatie is nodig om continuïteit van de activiteiten te kunnen garanderen. Wanneer zou deze informatie beschikbaar moeten zijn? Zijn er alternatieven? Het werkblad 2 introduceert het concept van: Recovery Point Objective (RPO): Dit is het maximaal toegestaan verlies van data en/of werk na een calamiteit, uitgedrukt in tijd. Dit is het punt van waar data moet hersteld worden. Vlaamse overheid Confidentieel Pagina 10 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING U kunt gebruiken maken van interviews en vooraf opgemaakte vragenlijsten voor uw sleutelpersonen en belanghebbenden om de bedrijfsimpactanalyse uit te voeren. Sjablonen van werkbladen zijn terug te vinden. 3.1.2 WERKBLADEN De ‘bedrijfsimpactanalyse werkbladen’ bestaan uit vijf delen: Deel 1: Inventaris – Kritische bedrijfsprocessen Beschrijf de bedrijfsprocessen van uw organisatie die kritisch zijn voor de organisatie (vanuit een ‘bedrijfscontinuïteit’-perspectief). Verduidelijk met naam, locatie, deelprocessen en activiteiten, gebruikte middelen, interafhankelijkheden met andere (kritische) processen (input van / output naar). Bepaal de RTO (Recovery Time Objective) – Hoe lang kan het proces maximaal onderbroken worden na een zwaar incident (zonder de andere kritische bedrijfsprocessen in gevaar te brengen)?). Deel 2: Matrix – Kritische bedrijfsprocessen / toepassingen Definieer voor elk kritisch bedrijfsproces (uit deel 1) de gebruikte toepassingen. Bepaal de RPO (Recovery Point Objective – Wat is het aanvaardbare verlies van data na een zwaar incident? Hoe ver kunt u de klok terugdraaien? (uitgedrukt in dagen)). Dit zal een overzicht geven van de inter-afhankelijkheden tussen processen en toepassingen en van de impact van een onderbreking van één of meer toepassingen. Deel 3: Tijdsafhankelijke impact op de bedrijfsvoering Wat zijn de mogelijke gevolgen van een incident voor uw organisatie? Gebruik de lijst uit deel 3 als leidraad, maar denk ook na over specifieke gevolgen. Geef een schatting van de impact (hoeveel dagen/weken/maanden na een incident zullen deze gevolgen zichtbaar worden?) door een kruisje te plaatsen in de corresponderende kolom en definieer het relatieve belang van het specifieke gevolg door een score van 0 tot 10 toe Vlaamse overheid Confidentieel Pagina 11 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING te kennen. Dit deel zal meer informatie geven over de mogelijke valkuilen in geval van een ramp. Vlaamse overheid Confidentieel Pagina 12 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 3.1.2.1 D EEL 1: I NVENTARIS VAN K RITISCHE B EDRIJFSPROCESSEN Organisatie Afdeling Contactpersoon Functie Telefoon Kantoorlocatie E-mailadres Kernproces 3 Prioriteit (H-M-L) Locatie Deelprocessen/Activiteiten Afhankelijkheden van andere processen RTO: Recovery Time Objective (Maximaal toegestane uitvalsduur voor kritische bedrijfsprocessen) Kritisch: < 48 uren, Essentieel: < 14 dagen, Noodzakelijk: > 6 à 8 weken Vlaamse overheid Confidentieel Pagina 13 / 63 Middelen RTO3 (Recovery Time Objective) HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 3.1.2.2 D EEL 2 A : M INIMAAL VEREISTE WERKMIDDELEN (1/2) Organisatie Afdeling Contactpersoon Kantoorlocatie Middelen (benodigde middelen om op een acceptabel niveau te werken) Afdeling of Dienst Aantal Tijd waarin de middelen beschikbaar dienen te zijn, eventueel op alternatieve locatie 0 – 48u 2–14 Dagen Personeel (VTE) Werkplekken Telefoons Werkstations Laptops Print & Kopieer faciliteiten Vlaamse overheid Confidentieel Pagina 14 / 63 3 tot 6 à 8 weken Is er een alternatieve methode? Zo ja, welke? HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Middelen (benodigde middelen om op een acceptabel niveau te werken) Afdeling of Dienst Aantal Tijd waarin de middelen beschikbaar dienen te zijn, eventueel op alternatieve locatie Toegang tot e-mail Toegang tot Internet Vlaamse overheid Confidentieel Pagina 15 / 63 Is er een alternatieve methode? Zo ja, welke? HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 3.1.2.3 D EEL 2 B : M INIMAAL VEREISTE WERKMIDDELEN (2/2) Organisatie Afdeling Contactpersoon Kantoorlocatie Locatie Informatie P - papier Tijd waarin de middelen beschikbaar dienen te zijn, eventueel op alternatieve locatie Alternatieven L - locale PC naam C – (eigen) centrale IT diensten Vlaamse overheid 0 – 48u 2–14 Dagen Confidentieel 3 tot 6 à 8 weken Pagina 16 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Type Toepassingen L - locale pc naam Nodig op alternatieve locatie? C - eigen centrale IT diensten Andere middelen/specifieke middelen (vb. fax) Vlaamse overheid Confidentieel Pagina 17 / 63 Specifieke reden? HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 3.1.2.4 D EEL 3: K RITISCHE TIJDSPERIODES EN / OF DATA Organisatie Afdeling Contactpersoon Kantoorlocatie Frequentie en tijdstip van de activiteit Vlaamse overheid Duur van de activiteit Uren, dagen, weken Bedrijfsproces Confidentieel Risico’s Pagina 18 / 63 Wat is de impact wanneer zich calamiteiten voordoen in deze kritische periode(s)? HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 3.2 RISICO ANALYSE (RA) 3.2.1 WAT IS EEN RISICO ANALYSE ? In de context van bedrijfscontinuïteit, moet het niveau van het risico gezien worden ten opzichte van de kritische activiteiten van de organisatie en het risico van hun onderbreking. Kritische activiteiten worden ondersteund door middelen zoals mensen, faciliteiten, technologie, informatie, voorraden en belanghebbenden. De organisatie dient de risico’s die gepaard gaan met deze middelen te identificeren / kennen, evenals de mogelijke bedreigingen die hieruit voortvloeien en de impact voor de werking als deze risico’s/ bedreigingen zich zouden voltrekken en dit incident een bedrijfsonderbreking veroorzaakt. De risicoanalyse is gebaseerd op het BS ISO/IEC 27001 raamwerk en bevat typische elementen zoals: Bepalen van criteria voor aanvaarden van risico’s. onder welke omstandigheden is de organisatie bereid om risico’s te aanvaarden. Identificatie van aanvaardbare risico niveaus. Welke RA aanpak ook wordt gekozen, uw organisatie dient te bepalen welke risico niveaus het bereid is te aanvaarden. Analyse van de risico’s Specifieke bedreigingen zijn gebeurtenissen of acties die, op een bepaald moment, een impact veroorzaken op de middelen, vb. bedreigingen zoals brand, overstromingen, stroomverlies, verlies van personeel, arbeidsverzuim, computer virussen en falen van apparatuur. U zou het risico en de impact van deze gebeurtenissen moeten evalueren en dit op basis van uw huidig niveau van risico beheer. Kwetsbaarheden kunnen zich voortdoen als zwakheden binnen de middelen. Ze kunnen op een bepaald moment beïnvloed worden (d.i. negatieve impact hebben) door de bedreigingen vb. single points of failure, onvolmaaktheden in de brandbeveiliging, schommelingen in voltage, aantal werkkrachten, (kennis)monopolies, solistische posities, IT beveiliging en IT continuïteit. U zou deze kwetsbaarheden moeten analyseren als ook de impact van de resulterende gebeurtenissen en dit en dit op basis van uw huidig niveau van risico beheer. Vlaamse overheid Confidentieel Pagina 19 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Tip: Structureel en proactief beheer van risico’s, kan een organisatie helpen om dynamischer te worden en de kansen te vergroten op het bereiken van zijn doelstellingen. Het zal helpen bij - Het maken van meer beredeneerde beslissingen – risicobeheer kan helpen om beslissingen te verantwoorden met beredeneerde oordelen van de bedoelde en onbedoelde resultaten. - Verbeteren van de efficiëntie door het maken van betere beslissingen over systeem optimalisatie, waar middelen moeten worden aangewend, hoe er beter evenwicht kan worden verkregen tussen het niveau van het risico en de kost van de remediërende maatregelen (kosten/batenafweging) - Versterken van de betrouwbaarheid van de managementsystemen en controleomgeving. Bijkomende informatie over risicomanagement http://www2.vlaanderen.be/internecontrole/risicomgt.htm of thema 1 Doelstellingen, proces- en risicomanagement van de leidraad interne controle/organisatiebeheersing Om deze analyse uit te voeren, zijn er basistypes van risico’s in het kader van bedrijfscontinuïteit die moeten worden overwogen: 1. Onbeschikbaarheid van gebouw/infrastructuur Voorbeeld: risico van brand of overstroming die de faciliteiten van organisatie treft en dus ook de continuïteit van de werkzaamheden. 2. Onbeschikbaarheid van werknemers/expertise Voorbeeld: risico op pandemie, stakingen of vakbondsacties die de continuïteit treffen van de werkzaamheden. 3. Onbeschikbaarheid van ICT/telecommunicatie Voorbeeld: risico van stroomoverbelasting of panne bij de telecommunicatie die de continuïteit treft van de werkzaamheden Vlaamse overheid Confidentieel Pagina 20 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Tip: → Analyseer de impact van deze drie categorieën van risico’s voor elke functie / elk proces. In de meeste gevallen zullen ze alle drie relevant zijn, al kan de impact natuurlijk wel sterk variëren (IT is meer cruciaal voor sommige activiteiten dan andere, waardoor de impact van een incident een hogere of een lagere impact zal hebben). Bij het evalueren van de impact moet je de effecten die er zijn op het behalen van de doelstellingen of de effecten voor de belanghebbenden mee in rekening brengen. Mogelijke gevolgen (secundaire impact) zijn: Externe omgeving niet of niet tijdig behalen van de doelstellingen schade aan relaties verzwakte beslissingen/uitvoering schade aan reputatie/imago Planning, processen en systemen schade aan, of verlies van, middelen, faciliteiten, technologie of informatie schade aan financiële overschrijdingen fraude of onregelmatigheden achteruitgang van de kwaliteit van producten of diensten levensvatbaarheid, onvoorziene kosten, budget Mensen gezondheid en veiligheid – impact op werknemers en algemeen welzijn verlies van moraal/productiviteit van werknemers Wettelijke aspecten en regelgeving impact van schendingen van wettelijke plichten en of regelgevingen schadeclaims, boetes en wettelijke aansprakelijkheid De potentiële impact wordt geclassificeerd als Heel Hoog, Hoog, Middelmatig, Laag, Heel Laag. Vlaamse overheid Confidentieel Pagina 21 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING De tabel hieronder beschrijft een model voor risicoclassificatie. Kwalitatieve schaal Definitie Heel Hoog Van buitengewoon ernstig tot catastrofale schade: volledige ramp met de mogelijk uitvallen van een functie. Hoog Ernstige schade: een voorval dat langdurige onderbrekingen van belangrijke delen van een functie kan veroorzaken. Middelmatig Aanzienlijke schade: een voorval dat met grondige aanpak kan worden verdragen Laag Matige schade: een voorval dat met het gepast proces, kan worden beheerd. Heel Laag Verwaarloosbare of geen schade: elk gevolg kan gemakkelijk worden opgevangen Gebruik Werkblad “Risico Analyse” Deze oefening is enigszins anders dan een standaard risicoanalyse en dit doordat het enkel een analyse is van de impact en niet van de waarschijnlijkheid van een risico. De resultaten van deze risicoanalyse worden gebruikt om mogelijk strategieën voor risico beperking en –vermindering te definiëren. U kunt om de risicoanalyse uit te voeren, gebruik maken van interviews en vooraf opgemaakte vragenlijsten om uw sleutelpersonen en belanghebbenden te bevragen. Werkbladen voor deze doeleinden kan u terugvinden in de sectie hieronder. Vlaamse overheid Confidentieel Pagina 22 / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 3.2.2 WERKBLAD RISCOANALYSE Het ‘RA werkblad’ bestaat uit één deel met de niveaus van de risico’s en verklarende beschrijvingen. 3.2.2.1 R ISICO A NALYSE Classificatie Risico Impact (Kritisch/Essentieel/Nodig) (1-2-3) Proces 1 Essentieel Proces 1 Essentieel Proces 1 Essentieel Verklaring 1. Onbeschikbaarheid van gebouw/infrastructuur Vb. Natuurlijke rampen in regio 2. Onbeschikbaarheid van personeel/expertise 3. Onbeschikbaarheid van ICT/onderbreking operationele werking Confidentieel H M L Proces 3 Vlaamse overheid Impact (HH-H-M-L-HL) Proces 2 Proces 1 Proces Pagina 23 / 63 Remediëring Huidige vb. cold-site Nog te implementeren vb. hot-site HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Het resultaat van deze risicoanalyse wordt gebruikt om de risico impact strategie te bepalen en uiteindelijk de risico comfortzone op vlak van: Onbeschikbaarheid van gebouw/infrastructuur o vb. risico op overstroming in de regio, met aantasting van de continuïteit van de bedrijfswerkzaamheden Onbeschikbaarheid van personeel/expertise o vb. risico op staking en vakbond onrust, met aantasting van de continuïteit van de bedrijfswerkzaamheden Onbeschikbaarheid van ICT/onderbreking van operaties o vb. risico op overbelasting van stroomtoevoer, met aantasting van de continuïteit van de bedrijfswerkzaamheden. 3.3 MIDDELEN EN BEHEERSMAATREGELEN 3.3.1 MIDDELEN Rekening houdend met de resultaten van de bedrijfsimpactanalyse en de risicoanalyse zullen we een schatting maken van de middelen die elke activiteit nodig heeft voor haar herstel. De methodologie binnen de Vlaamse overheid bevat het volgende: Personeelsmiddelen, inclusief aantallen, vaardigheden / competenties en kennis (mensen); De vereiste werklocatie en faciliteiten (facility); Ondersteunende technologie; Het voorhanden zijn van informatie (zowel elektronisch als op papier) over vorige werkzaamheden of onafgewerkte werkzaamheden, die voldoende bijgewerkt en accuraat zijn om de activiteit effectief te laten voortzetten op vooraf afgesproken niveau; Externe diensten en leveranciers. U zou ook rekening moeten houden met de noden van de belanghebbenden bij het bepalen van de niveaus van middelen. 3.3.2 BEHEERSMAATREGELEN Als een resultaat van de bedrijfsimpactanalyse en de risicoanalyse, zou u maatregelen moeten identificeren die: De waarschijnlijkheid reduceren van een onderbreking; Vlaamse overheid Confidentieel 24 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING De periode van de onderbreking verkorten; De impact beperken van een onderbreking van de bedrijfsprocessen. Deze maatregelen zijn ook bekend als verlies beperking en risico behandeling. Verlies beperkingsstrategieën kunnen in combinatie gebruikt worden met andere opties, aangezien niet alle risico’s kunnen vermeden of verminderd worden tot een aanvaardbaar niveau. We zullen kort enkele alternatieve strategieën beschrijven: Bedrijfscontinuïteit Continuïteitstrategieën streven naar het verbeteren van de weerstand van uw organisatie tegen een onderbreking door te verzekeren dat de kritische activiteiten kunnen doorgaan of worden hersteld naar een aanvaarbaard minimum niveau en naar tijdspannes beschreven in de bedrijfsimpactanalyse. Als u gekozen heeft voor bedrijfscontinuïteit voor een sleutelproduct of dienst, dan zullen de Recovery Time Objectieven worden vastgelegd en de continuïteitstrategieën voor uw middelen worden geëvalueerd tegen deze RTO. Aanvaarding Een risico kan aanvaardbaar zijn zonder dat verdere actie wordt ondernomen. Zelfs als deze niet aanvaardbaar is, kan het vermogen om iets te doen aan sommige risico’s beperkt zijn, of kan de kost voor het ondernemen van acties onevenredig zijn met de potentiële voordelen (kosten-batenafweging). In deze gevallen kan het antwoord zijn om het huidige risico niveau toe te staan binnen de risicocomfortzone (aanvaardbaar restrisico rekening houdend met de risicoappetijt) van uw organisatie. Aanvaarding kan aangevuld worden met een plan om de impact op te vangen als het risico zich effectief realiseert. Delen van het risico Sommige risico’s kunnen worden overgedragen aan een derde partij. Dit kan gebeuren door de gewone verzekering of door contractuele afspraken, of het kan gebeuren door een derde partij te betalen om risico op te nemen op een andere manier. Beperken van het risico Deze optie is in het bijzonder goed voor het beperken van financiële risico’s of risico’s bij goederen. Risico’s kunnen worden getransfereerd (overgedragen) om de risicoblootstelling van uw organisatie te verminderen of omdat een andere organisatie meer bekwaam is in het effectief beheren van het risico. Vlaamse overheid Confidentieel 25 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Aanpassen, uitstellen of afsluiten In sommige omstandigheden kan het gepast zijn om de dienst, product, activiteit, functie of proces aan te passen, uit te stellen of af te sluiten. Deze optie kan worden overwogen wanneer er geen conflicten zijn met uw doelstellingen, (statutaire) verplichtingen en verwachtingen van de belanghebbenden. Een combinatie van voorgaande(n) is ook mogelijk. Deze optie zal waarschijnlijk worden overwogen wanneer een dienst, product, activiteit, functie of proces een beperkte levensverwachting heeft. Schematisch kunnen de strategieën als volgt worden weergegeven: Strategieën Aanvaarden •Gebruik opportuniteiten •Accepteer de risico’s •Financier de gevolgen en Monitoring Vermijden •Stop activiteit •Verander objectieven •Krimp de activiteit in en Monitoring Delen •Verzeker de risico’s •Deel de risico’s (allianties, PPS, …) •Besteed de risico’s uit (contracteer) en Monitoring Beperken Aanpassen van: • Organisatie • Medewerkers en management • Operationele activiteiten • Controles en Monitoring Bepalen van de strategie is een managementbeslissing 3 Vlaamse overheid Confidentieel 26 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Van risico naar strategie Strategie Vermijding Activiteit elimineren Beperking Interne aanpassingen Risico’s Deling Aanvaarding Verzekeren Evolutie opvolgen M O N I T O R I N G 4 Tips: → Wees concreet en realistisch bij het definiëren van maatregelen voor remediëring. Als deze goedgekeurd worden, zullen ze moeten worden geïmplementeerd door uw organisatie. → Probeer zo goed mogelijk de financiële kost in te schatten bij het bepalen van maatregelen. De kost kan ook uitgedrukt worden in termen van personeel of cursussen voor bijkomend back-up personeel. → Het is mogelijk om alternatieve maatregelen te definiëren voor elk risico. Elke alternatieve maatregel zal een kost, een gewaarborgd dienstniveau of limieten en nadelen met zich mee brengen. De keuze van de geprefereerde (of mogelijke) maatregelen zal op een later moment worden gemaakt. Vlaamse overheid Confidentieel 27 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 3.4 CONCLUSIE Alle informatie die verzameld is in de eerste fase: “Begrijpen van de organisatie” kan gebruikt worden om de continuïteitstrategie te definiëren en bedrijfscontinuïteitsplan te ontwikkelen in Fase 2: “Continuïteitstrategie & Plan ontwikkeling” van BCM levenscyclus. Gebaseerd op een nazicht van succesvolle bedrijfsimpactanalyse en risicoanalyse en beproefde praktijkvoorbeelden in de sector, kunnen we een aantal kritische succesfactoren identificeren voor dit deel van het BCM proces en in het bijzonder: o Betrokkenheid en gedragenheid van politieke vlak en topmanagement; o Grondige implementatie van een standaard raamwerk voor bedrijfscontinuïteitsbeheer; o Betrouwbare informatie op basis waarvan de diensten hun oordeel kunnen geven over hun activiteiten en risico’s; o Een werkomgeving die het management en personeel aanmoedigt om de hiërarchie te informeren over potentiële problemen en risico’s. Training Trainingen kunnen worden georganiseerd om de grondslagen van het raamwerk uit te leggen en groepsessies te houden rond praktische casussen en situaties. Vlaamse overheid Confidentieel 28 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 4 FASE 2 – CONTINUÏTEITSTRATEGIE 4.1 ALGEMEEN Strategie opties - Implementeren maatregelen; - Analyseer weerbaarheid en mitigerende maatregelen; - Continuïteit voorzien tijdens incident; - Analyseer niet krtitische activiteiten Dit element van de BCM levenscyclus is de logische volgende stap na “Begrijpen van de organisatie”. Als resultaat van de vorige analyse, is uw organisatie in de juiste positie om de gepaste continuïteitstrategieën te kiezen zodat de doelstellingen gerealiseerd worden. In de aanpak kunnen we de volgende stappen onderscheiden: Implementeren van gepaste (beheers)maatregelen om de kans op incidenten te verminderen en/of het potentiële effect van deze incidenten te beperken. Rekening houden met weerstands- en remediërende maatregelen; Zorgen voor continuïteit voor kritische activiteiten tijdens en na een incident; Rekening houden met activiteiten die niet als kritisch werden beschouwd. 4.2 STRATEGIE OPTIES Tijdens de strategische fase worden strategische opties voor de kritische activiteiten en hun ondersteunende middelen van uw organisatie overwogen, die nodig zijn bij het herstel. De meest geschikte strategie of strategieën zullen afhankelijk zijn van een waaier aan factoren zoals daar zijn: Vlaamse overheid Confidentieel 29 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING De Recovery Time Objective (RTO) en Recovery Point Objective (RPO); De kosten van implementeren van een strategie of strategieën; De gevolgen om geen activiteiten / beheersmaatregelen te ondernemen /nemen (= risicoaanvaarding). Deze strategieën concentreren zich op de middelen van uw organisatie, waaronder de volgende: Mensen De gepaste strategieën worden uitgezocht voor het onderhouden van kernvaardigheden en kennis binnen uw organisatie. Deze analyse gaat verder dan werknemers en omvat ook dienstverleners, contractanten en andere belanghebbenden die uitgebreide specialistische vaardigheden en kennis bezitten. Faciliteiten Strategieën worden uitgewerkt om de impact van het onbeschikbaar zijn van de normale werksite(s) te beperken. Deze kunnen ook alternatieve locaties bevatten binnen uw organisatie of sites voorzien bij andere organisaties (uitwijklocaties of afspraken met andere entiteiten). Technologie Op basis van de aard van de technologie en de relatie met de kritische activiteiten zullen de technologische strategieën worden onderzocht. Typisch leidt dit tot één of een combinatie van voorzieningen binnen uw organisatie, diensten geleverd aan uw organisatie en diensten geleverd door een derde partij. Informatie Informatiestrategieën zorgen ervoor dat vitale informatie voor de werking van uw organisatie beschermd en herstelbaar is volgens de RTO en RPO beschreven in de bedrijfsimpactanalyse. Voorraad Uw organisatie stelt een inventaris op en onderhoudt de kernvoorraden die de kritische activiteiten ondersteunen. Een mogelijke strategie kan zijn om additionele voorraden te voorzien op een alternatieve locatie en het gebruik van “just-in-time” leveringen naar andere locaties. Belanghebbenden Vlaamse overheid Confidentieel 30 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Bij het bepalen van de gepaste strategieën wordt rekening gehouden met de belangrijkste belanghebbenden en wordt nagegaan hoe de relatie met deze belanghebbenden wordt beheerd bij het bepalen, implementeren en valideren van strategieën voor incident management en bedrijfscontinuïteit in relatie met civiele noodgevallen. Vlaamse overheid Confidentieel 31 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 5 FASE 3 – ONTWIKKELEN & IMPLEMENTEREN VAN EEN BCMANTWOORD 5.1 PLAN ONTWIKKELING Dit element van de BCM levenscyclus concentreert zich op de ontwikkeling en implementatie van gepaste plannen en afspraken die zorgen voor de continuïteit van de kritische activiteiten volgens hun RPO en RTO en het behandelen van een incident. Het bereik van de bedreigingen waarvoor er wordt gepland, moet bepaald worden door de risicocomfortzone van uw organisatie. Hieronder kunt u voorbeeld vinden van een inhoudsopgave van een plan SECTIE I: Continuïteitsplanning 1. Inleiding en werkingsgebied 2. Wanneer dit plan te gebruiken 3. Autoriteiten 4. Belangrijke Veronderstellingen 5. Onderhoud van het plan – Verantwoordelijkheden 6. Testen en Nazicht van het Plan 7. Additionele Documentatie 8. Organisatorisch overzicht SECTIE II: Continuïteitsteams - Informatie & Taken 9. Continuïteitsteams 9.1 Inleiding 9.1.1 Verantwoordelijkheden 9.1.2 De leden van het team 9.1.3 Kritische Documentatie 9.1.4 Minimaal vereiste werkingsmiddelen voor het team 9.1.5 Takenlijst Vlaamse overheid Confidentieel 32 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 9.2 Incident Management Team (IMT) 9.2.1 Verantwoordelijkheden 9.2.2 Teamleden 9.2.3 Kritische Documentatie 9.2.4 Vereiste Middelen 9.2.5 Takenlijst 9.3 Crisis management Team (CMT) 9.3.1 Verantwoordelijkheden 9.3.2 Teamleden 9.3.3 Kritische Documentatie 9.3.4 Vereiste Middelen 9.3.5 Takenlijst 9.4 Crisis Communicatie Team 9.4.1 Verantwoordelijkheden 9.4.2 Teamleden 9.4.3 Kritische Documentatie 9.4.4 Vereiste Middelen 9.4.5 Takenlijst 9.5 Crisis Team A 9.5.1 Verantwoordelijkheden 9.5.2 Teamleden 9.5.3 Kritische Documentatie 9.5.4 Vereiste Middelen 9.5.5 Takenlijst 9.6 Crisis Team B 9.6.1 Verantwoordelijkheden 9.6.2 Teamleden Vlaamse overheid Confidentieel 33 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 9.6.3 Kritische Documentatie 9.6.4 Vereiste Middelen 9.6.5 Takenlijst 9.7 Crisis Team C 9.7.1 Verantwoordelijkheden 9.7.2 Teamleden 9.7.3 Kritische Documentatie 9.7.4 Vereiste Middelen 9.7.5 Takenlijst 9.8 Crisis Team D 9.8.1 Verantwoordelijkheden 9.8.2 Teamleden 9.8.3 Kritische Documentatie 9.8.4 Vereiste Middelen 9.8.5 Takenlijst 9.9 Crisis Team E 9.9.1 Verantwoordelijkheden 9.9.2 Teamleden 9.9.3 Vereiste Middelen 9.9.4 Takenlijst SECTIE III: Ondersteunende Informatie 10. Sleutelpersonen 11. Continuïteitsfaciliteiten 12. Herstel en continuïteit van de dienstverlening 13. De Vereiste werkingsmiddelen 14. Kritische bedrijfsprocessen & Diensten SECTIE IV: Documentcontrole Vlaamse overheid Confidentieel 34 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 15. Distributielijst 16. Aanpassingen 17. Testverslagen Bijlagen 18. Evacuatieplan 19. BCP Procedures 5.1.1 VOORBEELD VAN EEN BCP PLAN GEDEELTE 5.1.1.1 C RISIS T EAM 5.1.1.1.1 V ERANTWOORDELIJKHEDEN … … 5.1.1.2 T EAMLEDEN Crisis Team Naam (+ 2de in lijn) Functie/Verantwoordelijkheden 6 kernmedewerkers (namen dienen nog aangevuld te worden) 5.1.1.2.1 V EREISTE M IDDELEN Beschrijving Vereist aantal RTO Werkplek (bureau, stoel, telefoon) 6 4u Werkstation (standaard) 6 4u Print- & Kopieerfaciliteiten 6 4u Toegang tot Email 6 4u Toegang tot Internet 6 4u Vlaamse overheid Commentaar Confidentieel 35 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Applicaties: 4u … … Data op gemeenschappelijke schijven Scanner 5.1.1.2.2 T AKENLIJST CTBV01 – Activeer de cel … (6 medewerkers) vanuit het gebouw (Boudewijn) CTBV02 – Indien het gebouw van … beschikbaar is kunnen de documenten ingescand worden via hun scansysteem CTBV03 –De documenten dienen door … aangeleverd te worden in (bv. Boudewijn) of het gebouw … CTBV04 – De ingescande documenten dienen via mail verstuurd te worden naar de desbetreffende contactpersonen (intern en extern) … Vlaamse overheid Confidentieel 36 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 6 CRISIS COMMUNICATIE De sleutel tot succesvolle reactie op een incident is snelle en gecontroleerde reactie en de capaciteit om, volgens het werkingsgebied en de potentiële gevolgen van de onderbreking, dit flexibel en efficiënt te doen. De aanvankelijke reactie zal door de verantwoordelijke voor bedrijfscontinuïteit worden beheerd, die de rol van Continuïteitsmanager voor deze procedure zal opnemen. Recovery Team C Recovery Team(s) ICT Recovery Team(s) Facilities Crisis Team A Crisis Team B Crisis Team Crisis Team ICT Crisis Team Facilities IMT stays at incident location STRATEGIC LAYER Crisis Team HR TACTICAL LAYER Recovery Team B OPERATIONAL LAYER Recovery Team A Crisis Comm. Team CMT IMT Het Incident Management Team, dat door de Incident Manager wordt geleid, zal de situatie evalueren. Als er (een mogelijkheid van) een ernstig potentieel effect op kritieke activiteiten vermoed wordt, zal de Continuïteitsmanager worden geïnformeerd. Het Incident Management Team (IMT) zal reageren op de situatie en voert de nodige acties uit om : het effect van het incident te verminderen Lichamelijke /morele schade voor personeel te beperken Verder verlies of schade aan de faciliteiten te verminderen. Vlaamse overheid Confidentieel 37 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING De Continuïteitsmanager zal de situatie beoordelen, al dan niet besluiten om het bedrijfscontinuïteitsplan te activeren, en met de steun van de incidentmanager bepalen welke hersteloptie toegepast kan worden. Als de procedure wordt geactiveerd, zullen de leden van het Continuïteitsmanagementteam, voor elk domein dat door het incident wordt beïnvloed, gecontacteerd en geïnformeerd worden. Het Continuïteitsmanagementteam zal samenkomen om de situatie te bekijken en zal, gebruik makend van de lijst van kritieke processen: Herstel en continuïteitsdoelstellingen goedkeuren Termijnen vastleggen voor de uit te voeren acties / activiteiten, Middelen toewijzen Verantwoordelijkheden toewijzen. De leden van het Continuïteitsmanagementteam zullen hun teams bijeenroepen en : de hersteldoelstellingen communiceren prioriteiten vastleggen voor de herstel/continuïteitsacties die uitgevoerd moeten worden aan teamleden, op basis van de hersteldoelstellingen, verantwoordelijkheden en acties toewijzen. De teams zullen op de hun aangewezen herstellocatie(s) positie nemen en verifiëren dat alle middelen, die voor verrichting van de herstelactiviteiten vereist zijn, beschikbaar en operationeel zijn. De bedrijfscontinuïteitverrichtingen/de bedrijfsfuncties zullen zo spoedig mogelijk opgestart worden. Vlaamse overheid Confidentieel 38 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Response / Recovery Activity Incident Management Crisis Management Business Continuity Voor het luik crisiscommunicatie wordt er verwezen naar de expertise van de afdeling Communicatie van het departement Diensten voor Algemeen Regeringsbeleid. De afdeling Communicatie van de Diensten voor het Algemeen Regeringsbeleid (DAR) van de Vlaamse overheid neemt uitdrukkelijk het voortouw in de volgende gevallen: op verzoek van de minister-president van de Vlaamse Regering of de Vlaamse minister van Bestuurszaken; tijdens crises die het departement DAR treffen; tijdens andere crises waarbij een rampenplan operationeel wordt waarin de afdeling Communicatie een rol speelt (op dit ogenblik gaat het om het rampenplan voor het Boudewijngebouw in Brussel en het rampenplan van de dienst protocol van DAR) Bijkomende informatie is terug te vinden op de communicatiewebstek: http://koepel.vonet.be/nlapps/docs/default.asp?fid=640 Bijkomende informatie ivm crisiscommunicatie in het bijzonder: http://koepel.vonet.be/nlapps/docs/default.asp?fid=654 6.1 BASISPRINCIPES / VERHOUDING TOT BEDRIJFSCONTINUÏTEITS- EN CRISISMANAGEMENT Bij een incident of crisis komen zowel interne als externe communicatie-acties aan bod, maar let wel de puur beheersmatig contacten die plaatshebben tijdens een crisis (bv. alarmering en bijhorende verwittigingen, of het functionele overleg tussen teams) zijn niet noodzakelijk te beschouwen als crisiscommunicatieacties. Hiervoor vertrouwt het crisiscommunicatieteam op een goede organisatie elders (i.c. crisismanagementteam Vlaamse overheid Confidentieel 39 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING CMT). Omgekeerd moet het crisismanagementteam ook kunnen vertrouwen in een uitgebreide communicatie-expertise. Want bij communicatieacties komt meer kijken dan enkel door het CMT goedgekeurde boodschappen uitsturen om mensen voor te lichten of te beïnvloeden (bv. zodat ze veiliger gedrag vertonen). Zo is het bv. ook nodig de communicatie die elders plaatsvindt te monitoren zodat men kan inschatten wat behalve proactief (uitzendend) ook reactief (remediërend) nodig is om naast een crisis in de feiten niet ook nog 's een flink escalerende reputatiecrisis in de publieke opinie (imagoschade, verlies van het vertrouwen van klanten en burgers) mee te maken. Ook reputatiemanagementacties maken dus onderdeel uit van crisisbeheersende communicatie. Bij het uitvoeren van een risico- of BIA-analyse dient er dus ook aandacht te zijn voor de reputatieschade die uit een incident kan voortvloeien. Er bestaat immers altijd een onvoorziene kans op reputatieschade vanuit gebeurtenissen die losstaan van de eigen organisatie, bijvoorbeeld als iemand bepaalde uitspraken doet, bijvoorbeeld omdat een niet-waargenomen criminineel handelen plots de aandacht wekt van pers of gerecht, ... Crisiscommunicatie dient daarom best niet benaderd te worden als losstaand van het dagdagelijkse woordvoerderschap en reputatiemanagement, dat een crisisvoorkomende rol kan hebben. Zoals dit schema illustreert, moet een organisatie dus grosso modo twee soorten informatie beheren : Vlaamse overheid Confidentieel 40 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING - informatie die noodzakelijk is om een incident of crisis tot en goed einde te brengen (crisiscommunicatie); - informatie die een rol moet spelen in het herstellen, in stand houden of vergroten van het krediet van het crisismanagement of de organisatie (reputatiemanagement). Wat dat laatste betreft, geldt dat hoe meer krediet men vooraf al heeft, hoe meer men heeft om op terug te vallen. Vandaar het belang van een goed (dagdagelijks) woordvoerderschap of communicatiebeheer waarin relaties worden op basis van een stakeholdersanalyse, en het belang van een goede monitoring , allebei investeringen waar men tijdens een crisis dan ook vlot op kan terugvallen. Schematisch voorgesteld: Vlaamse overheid Confidentieel 41 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 6.2 SAMENSTELLING, VERANTWOORDELIJKHEDEN EN ORGANISATIE VAN EEN CRISISCOMMUNICATIETEAM Pragmatisme staat voorop. Het belangrijkste is dat zo snel mogelijk het essentiële wordt gedaan met de beschikbare mensen en middelen. Daarop moet men getraind en voorzien zijn. Maar terwijl een minimaal bezet team al een eerste reeks essentiële taken vervult (voor een chronologische benadering, verwijzen we alvast naar §6.4), moet er tegelijk een hele werking op poten worden gezet die veel moet aankunnen. De schema's hierboven en die hieronder - afkomstig van het federale crisiscentrum (IBZ) - tonen wat een volledige invulling van de communicatiediscipline kan inhouden bij een crisis. In deze en de volgende paragraaf staan we nog even stil bij wat er allemaal nodig kan blijken qua competenties en taakinvulling. Vlaamse overheid Confidentieel 42 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING In de federale noodplanning4 ziet men de invulling van de communicatiediscipline als volgt : 4 http://crisis.ibz.be/ > documentatie > publicaties > (1) Leidraad crisiscommunicatie en (2) Noodplanning en crisisbeheer in België. Vlaamse overheid Confidentieel 43 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Bij de Vlaamse overheid is elke entiteit verantwoordelijk voor zijn eigen communicatie ... en dus crisiscommunicatie. Om al de bovenvermelde skills te kunnen invullen, staan twee principes voorop : - terugvallen op dagdagelijkse routines Het is geen goed idee om procedures uit te dokteren of teams "op papier" te organiseren die de dagelijkse realiteit nauwelijks weerspiegelen. De organisatie en de voorzieningen noodzakelijk bij een incident of crisis vallen het best zoveel mogelijk terug op de dagdagelijkse routines en middelen, op die manier zijn de noodzakelijke procedures al gekend. Mocht blijken dat dit. niet voldoet onder tijdsdruk, kan worden overwogen om de dagelijkse organisatie aan te passen of in bijkomende middelen of vorming te investeren. Vandaar het belang van testen (cf. infra). - tijdig samenwerking zoeken. De entiteit moet minstens voorzien of voor bepaalde taken niet beter allianties worden aangegaan met specifieke entiteiten die op dit vlak meer expertise of voorzieningen kunnen bieden, met name de afdeling Communicatie (DAR), de afdeling Contactpunt Vlaamse Infolijn (DAR), of andere entiteiten binnen het beleidsdomein. Een onderlinge taakverdeling met die laatste is sowieso aan de orde, en daarin hoort deze problematiek in feite al in beeld te worden gebracht. De hierboven beschreven skills zijn in principe aanwezig in de afdeling Communicatie (DAR) of kunnen door haar snel worden gevonden - zij het dat ze niet alle even onmiddellijk beschikbaar zijn. Wat betreft de samenwerking met de afdeling Communicatie (DAR) staan de basisprincipes uitgelegd op http://koepel.vonet.be/communicatie > crisiscommunicatie5 Wat betreft de oprichting van een crisiscontactcenter kan een protocol worden afgesloten met het Contactpunt Vlaamse Infolijn. Tijdens een crisis is het alleszins nodig dat het Contactpunt Vlaamse Infolijn snel op de hoogte wordt gebracht van de ontwikkelingen, om adequaat te kunnen antwoorden of doorverwijzen als haar De afdeling heeft in 2009 voorzien in een bestellingsopdracht crisiscommunicatie en reputatiemanagement die het mogelijk maakt om volgens vooraf vastgelegde tarieven een communicatiebureau onder de arm te nemen dat ondersteuning kan bieden voor (mediatraining, message training, uitschrijven en testen van procedures) of tijdens dan wel na een crisis (meedenken, message coaching, monitoring, praktische ondersteuning). Zie voornoemde extranetpagina's voor meer uitleg. 5 Vlaamse overheid Confidentieel 44 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING vragen worden gesteld via 1700, via de contactmogelijkheden op www.vlaanderen.be of langs andere wegen. Indien de afdeling Communicatie (DAR) wordt betrokken, zal zij altijd meteen ruggespraak houden met de afdeling Contactpunt Vlaamse Infolijn (DAR), en vice versa. Voor een grondiger overzicht van de te treffen voorbereidingen, zie §6.4.1 en de modules als bijlage. 6.3 SPECIFIEKE TAKEN EN VERANTWOORDELIJKHEDEN VOOR EEN CRISISCOMMUNICATIETEAM VAN DE VLAAMSE OVERHEID Het crisis communicatie team (CCT) staat in voor de ondersteuning en uitvoering van alle communicatieacties in het kader van het incident, en ook voor de monitoring van de communicatie in de buitenwereld. De volgende communicatieacties ( in principe afgetoetst in het crisismanagementteam) tegenover specifieke doelgroepen moeten worden overwogen: actief behartigen dat er zo snel mogelijk sluitende afspraken worden gemaakt over de taakverdeling bij het woordvoerderschap en het communicatiemanagement, en die onmiddellijk intern bekendmaken bij iedereen die een rol te spelen heeft, inclusief iedereen bij wie een vraag uit de buitenwereld kan toekomen interne communicatie met personeelsleden, i.s.m. HR; de communicatie met familieleden van eventuele slachtoffers onder het personeel is echter een specifieke taak voor de relevante HR-dienst, af te stemmen met het crisismanagement en -communicatieteam interne communicatie met de kabinetten van de Vlaamse Regering en met andere Vlaamse entiteiten (los van de specifieke contacten in het kader van het crisisbeheer) externe communicatie met lokale en federale overheden (hulpdiensten, crisiscentrum, bestuursverantwoordelijken ...) - al dan niet i.f.v. het gemeentelijke, provinciale of risicospecifieke nationale rampenplan externe communicatie met omwonenden externe communicatie met "de burger" ("het publiek", "de samenleving") externe perscontacten of contacten met burgerjournalisten, bloggers of andere specifieke actoren (in wisselwerking met media- en webmonitoring), en het bijhouden van een specifiek logboek daarover externe communicatie met leveranciers en andere partijen (cf. stakeholdersanalyse) Vlaamse overheid Confidentieel 45 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING het beantwoorden van vragen en het bijhouden van een specifiek logboek daarover (zie ook procedures contactcenter) het bijhouden van (een) logboek(en) van de overige communicatieactiviteiten (andere logboeken zijn geen taak) - zie ook de aparte module "crisislogboek" het onderling afstemmen van alle spelers of acties, bv. het treffen van alle voorbereidingen zodat de interne communicatie niet pas plaatsvindt nà de externe communicatie gebeurt. 6.4 CHRONOLOGISCH GEFASEERD 6.4.1 VOORAFGAAND AAN INCIDENT OF CRISIS (IN "VREDESTIJD ") Eerst en vooral is het zaak om een reeks voorbereidingen te treffen. Daarin investeren maakt het verloop tijdens een incident minder stresserend en zal er ook voor zorgen dat een crisis gestructureerd en met meer vertrouwen wordt benaderd. Enkele essentiële to do's : - evalueren van de dagelijkse werking, met name van het bestaand woordvoerderschap, incl. de taakafspraken tussen ministeriële en ambtelijke woordvoerders, en tussen sectorale ambtelijke woordvoerders onderling; - een snelle eerste stakeholdersanalyse wat betreft het reputatiemanagement met gelijk ook een vertaling naar doelgroepen & kanalen; deze oefening kan zelfs uitmonden in een actieplan dat bv. via PR-acties zorgt voor toegenomen krediet bij journalisten - van het leggen van contacten die bekwaamheid en een positieve organisatiecultuur etaleren tot een volledige onderbouwde corporate branding oefening ; - overleg plegen met de afdeling Communicatie (DAR), bv. over woordvoerderschap en reputatiemanagement, en de afdeling Contactpunt Vlaamse Infolijn (DAR), bv. om een protocol af te sluiten over de SLA's als u een call center nodig hebt als crisiscontactcentrum; - feitelijke voorzieningen treffen op het vlak van dagdagelijkse pers- en webmonitoring; - uitwerken van een risico-analyse, risicoscenario's, uitschrijven rampenplan (draaiboeken en adresboeken); naderhand eventueel bepaalde procedures bekijken i.s.m. IAVA; Vlaamse overheid Confidentieel 46 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING - uitschrijven en inoefenen van een specifiek crisiscommunicatieplan als luik van het rampenplan; - voorbereiden van informatiefiches en scripts en andere praktische tools (bv. rolkoffer, uitwijklocatie, adres- en verzendlijsten in synchroniseerbare formaten, ...); - organiseren van een oefentraject, van teambuildingsessies om de samenwerking en het vertrouwen te doen groeien tot tests die de eigen procedures en skills op de proef te stellen (waarna plannen en draaiboeken ev. worden herschreven) - organiseren van vorming, bv. mediatraining, message training, stressbeheersing,, ... Zie ook §6.5 + de modules als bijlage. 6.4.2 EERSTE ESSENTIËLE TAKEN BIJ EEN INCIDENT Zie §5.2 voor de allereerste reeks inschattingen en taken onmiddellijk na de verwittiging van de crisiscommunicatiemanager, en zie §6.3 voor de lijst te behartigen taken i.f.v. een eerste reeks essentiële doelgroepen. Normaal gezien wordt zo snel mogelijk het volledige team verzameld en aan het werk gezet. Idealiter verzamelen alle medewerkers op de afgesproken plaats, met name het crisiscommunicatielokaal aanpalend aan de vergaderzaal van het crisis management team (CMT). Echter een samenwerking in geografisch verspreide slagorde is ook mogelijk. Als er bv. geen sprake is van een evacuatie kunnen een aantal mensen misschien een hoger rendement halen door te werken vanuit hun vertrouwde omgeving. En buiten de kantooruren kunnen bepaalde mensen misschien beter van op afstand aan dringende klussen werken dan dat ze een tijdrovende verplaatsing ondernemen die hen tijdelijk afsnijdt van bepaalde middelen. In afwachting van de volledige ontplooiing verzamel(t)(en) de reeds beschikbare verantwoordelijke(n) voor de crisiscommunicatie via het CMT (of desnoods rechtstreeks) zo snel mogelijk de nodige informatie met het oog op een eerste berichtgeving. In de eerste minuten na een melding is het belangrijk een objectief overzicht te krijgen van wat er gaande is, en die informatie te delen met de doelgroepen die er nood aan hebben. Wie dat precies zijn, zowel intern als extern, is een strategische keuze (wat wanneer te bereiken bij welke doelgroepen) die normaliter wordt afgetoetst in het CMT op voordracht van het crisiscommunicatieteam (CCT). De typische W-vragen blijven het uitgangspunt : Vlaamse overheid Confidentieel 47 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Wat is er waar gebeurd ? Wanneer is het gebeurd ? Wie is er bij betrokken ? Wat is de oorzaak van de calamiteit (indien gekend) ... en zijn meer incidenten mogelijk ? Wat is er gaande op het vlak van de bestrijding ? Wanneer zal het incident onder controle zijn, wat is daarvan zeker en wat zijn prognoses (en wie maakt die) ? Wat is er al bekend in de buitenwereld en hoe evolueert de berichtgeving daar ? Hoe zijn detectie en melding verlopen, en wanneer was het CMT daarvan op de hoogte ? Ook of en wanneer een eerste berichtgeving plaatsvindt, is voorwerp van een beslissing van het CMT op voordracht van het CCT. Belangrijk is alleszins dat er in principe wel vrij snel iets wordt gecommuniceerd, omdat zo meteen wordt getoond dat men "on top" is, waardoor alvast krediet wordt opgebouwd. Deze vorm van openheid impliceert echter niet dat er meteen veel of zoveel mogelijk wordt gecommuniceerd. Ten eerste worden enkel feiten gecommuniceerd waarvan men zeker is, en ten tweede moet ook strategisch worden gedacht in welke volgorde de acties het best plaatsvinden. De crisiscommunicatiemanager helpt die afweging te maken in het crisismanagement op basis van de ontwikkelingen die hij waarneemt en van zijn kennis van technieken en kanalen en van de noden van doelgroepen, media en andere stakeholders. Belangrijk is ook dat alle interne en externe communicatieacties op elkaar zijn afgestemd, en dat interne doelgroepen in principe als eerste worden ingelicht. Normaal gezien mag een Vlaams ambtenaar geen nieuws vernemen via de pers dat hem niet minstens gelijktijdig via interne kanalen werd aangeboden. Dit heeft bv. als gevolg dat ook de interne berichtgeving moet worden voorbereid wanneer voorbereidingen worden getroffen voor een persconferentie. Nieuwe informatie wordt in principe doorgenomen in het CMT om via het CCT verwerkt te worden tot verdere (aangepaste of uitgebreide) communicatie. 6.4.3 NAARMATE DE CRISIS VORDERT Naarmate het incident duidelijker wordt of de crisis evolueert, moeten de taken beschreven in §6.3 steeds grondiger worden behartigd tegenover de diverse doelgroepen. Daarbij moet er ook aandacht zijn voor onvermoede doelgroepen. Vlaamse overheid Confidentieel 48 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Nieuwe informatie wordt in principe doorgenomen in het CMT om via het CCT verwerkt te worden tot verdere communicatieacties, aangepast of uitgebreid of verfijnd per doelgroep. De berichtgevingsoefening wordt cyclisch herhaald tijdens het verloop van een crisis, zodat de berichtgeving accuraat blijft of kan worden uitgebreid of verfijnd. Mogelijke bronnen van informatie zijn: de input vanuit het veld, in de eerste plaats via het incidentmanagementteam (IMT) en de externe hulpdiensten; de besprekingen in het crisismanagementteam (CMT); de input vanuit de monitoring van de berichtgeving (media, andere); wat wordt vernomen bij de personeelsleden; de feedback vanuit de vragen die worden gesteld. Het is alleszins nodig dat logboeken worden bijgehouden van de perscontacten en van de vragen die door derden werden gesteld - en hoe en door wie ze werden beantwoord binnen welke termijnen. Maar het is ook nodig de daden van het crisiscommunicatieteam bij te houden, zodat ze kunnen worden afgewogen tegen het feitelijke verloop van de crisis. 6.4.4 ACHTERAF (NAZORGFASE ) Na de acute fase volgen doorgaans fases van terugkeer, herstel, nazorg en evaluatie. Het is zaak alert te blijven voor mogelijke communicatieve opportuniteiten, maar ook de communicatieve noden te blijven respecteren van bepaalde doelgroepen. Het kan bijvoorbeeld gaan om: Intern: het personeel (opvolginformatie over de feiten, de slachtoffers, de evaluatie, de maatregelen, wat zij zelf kunnen doen, ...); eventuele communicatie over slachtoffers kan een kiese zaak zijn en moet zeker goed worden afgetoetst. Extern: leveranciers, klanten, andere derden (opvolginformatie over de getroffen dienstverlening, wanneer die hersteld zal zijn, of er eventueel veranderen, ...); kan ev. ook via de media verlopen Vlaamse overheid Confidentieel 49 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING media en maatschappij (opvolginformatie over de evaluatie, de getroffen maatregelen, de gemaakte aanpassingen, ...) ... zonder daarom te veel te beloven (vertel de evaluatie en de plannen, en vertel nadien de realisaties, desnoods resultaat per resultaat). Ook hier blijft het zaak voorzichtig te blijven wat betreft eventuele schuldvragen, verantwoordelijkheden of de gerechtelijke procedure tout court. Toch moet bij elke formele stap in zo'n procedure overwogen worden of er bepaalde dingen mogen en kunnen worden gecommuniceerd, bv. het dossier komt dan voor, de uitspraak is de volgende, deze of gene instantie gaat in beroep, ... De afdeling Communicatie (DAR) legt zich nog toe op verdere aanbevelingen wat betreft communicatie met politie en justitie. 6.5 MIDDELEN / ELEMENTEN VAN EEN CRISISCOMMUNICATIEPLAN Belangrijk is meteen zeer operationeel te denken, en dus geen papieren plan te schrijven dat in een kast verdwijnt en daar blijft omdat het te omslachtig is om bij een incident of ramp te openen. Beter is een aantal procedures uit te tekenen, en een aantal checklists klaar te hebben, en die grondig in te oefenen. 6.5.1 VERANTWOORDELIJKHEDEN CCT Het Crisis Communicatie Team (CCT) staat in voor de ondersteuning en uitvoering van alle communicatiestromen in het kader van de calamiteit. De volgende communicatiestromen worden hierbij ondersteund Interne communicatie : Personeelsleden (via HR) Externe communicatie : andere Vlaamse ministeries Externe communicatie : Leveranciers Externe communicatie : Federale diensten Externe communicatie : Burger / belanghebbenden incl politieke niveau Media en Pers 6.5.2 MOGELIJKE MIDDELEN Hieronder een overzicht van de mogelijke middelen ter ondersteuning van het Crisis Communicatie Team: Vlaamse overheid Confidentieel 50 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Beschrijving Vereist aantal Schrijfgerief en papier 1 Telefoon en Fax (direct) 1 GSM (met lader) 1 Werkplek 1 Desktop PC 1 Laptop PC 1 Kopieermachine 1 Logboek 1 Werkbord 1 Mailing-apparatuur en materiaal TV en Radio 1 Telefoonregistratiemateriaal optioneel Video conferencing optioneel Commentaar 1 6.5.3 MOGELIJKE TAKENLIJST De verantwoordelijke van het crisis communicatie team verzamelt zo snel mogelijk de nodige informatie : Wat is er waar gebeurd ? Wie is er bij betrokken ? Wanneer is het gebeurd ? Hoe en wanneer was het CMT daarvan op de hoogte ? Wat is de oorzaak van de calamiteit (indien gekend)? Het medewerkers van de organisatie verzamelen in het crisiscommunicatielokaal en wordt geïnformeerd met de verzamelde informatie Evalueer op basis van de eerste informatie of er dient te worden gecommuniceerd. Het crisis communicatie team dient bovenstaande informatie actueel te houden. Mogelijke bronnen van deze informatie zijn : Vlaamse overheid Confidentieel 51 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING De crisis management team (CMT)meetings Het incident management team (IMT) De Media De personeelsleden De verzamelde informatie moet gerapporteerd worden aan het CMT en verwerkt worden via aanpassingen in de communicatie. Het logboek van het crisiscommunicatie team dient zorgvuldig opgesteld en bijgehouden te worden : Een samenvattende omschrijving van de calamiteit Dateren en beschrijven van elke actie die ondernomen wordt Vragen van externe partijen en de media worden eveneens hierin vermeld Bepaal wat er wordt gecommuniceerd = formuleer uw kernboodschap (denk eraan dat u op radio en televisie hooguit 30 seconden hebt om uw standpunt toe te lichten). Bepaal de doelgroep(en) en via welk kanaal/welke kanalen er wordt gecommuniceerd. Stel, op basis van de bekomen informatie, het benodigde communicatiemateriaal op (statement/persbericht/brief/e-mail/speech/presentatie/…, alsook een “Vragen & Antwoorden” document en neem dit door met de van toepassing zijnde woordvoerder Breng eerst de eigen medewerkers op de hoogte en communiceer pas nadien extern. Verspreid de kernboodschap via het gekozen kanaal/de gekozen kanalen. Zorg voor telefonische begeleiding bij de verspreiding van een persbericht. Bepaal op basis van perceptie én (nieuwe) input van het CMT of er verder dient te worden gecommuniceerd. Voorbeelden worden toegevoegd als bijlage bij deze handleiding en zijn beschikbaar via http://koepel.vonet.be/communicatie > crisiscommunicatie. Vlaamse overheid Confidentieel 52 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 7 FASE 4 – OEFENEN, ONDERHOUDEN EN HERZIEN De eerste prioriteit van het Bedrijfscontinuiteitsplan is het garanderen van het vooraf bepaalde niveau van continuïteit van de dienstverlening in het geval van een calamiteit. Om deze garanties te kunnen geven is het noodzakelijk dat de Bedrijfscontinuiteitsplan oplossingen de nodige tests ondergaan. Alleen op deze wijze kan er zekerheid gegeven worden omtrent de effectiviteit en de snelheid van de vooropgestelde (nood)maatregelen. 7.1 WAT WORDT ER GETEST ? Zolang de tests niet uitgevoerd zijn, is het Bedrijfscontinuiteitsplan louter gebaseerd op veronderstellingen omtrent de hersteltijden en –mogelijkheden. De Bedrijfscontinuiteitsplanmaatregelen zijn gebaseerd op een 3-tal elementen : Specifieke technische infrastructuur of oplossingen (Technologie) Bepaalde activiteiten / afspraken / processen die geactiveerd worden (Processen) De beschikbaarheid van een organisatie van getraind personeel dat in staat is om in geval van nood te reageren overeenkomstig het Bedrijfscontinuiteitsplan (Personeel) + Locatie Al naargelang hun aanwezigheid en belang in de BCP maatregelen, dienen elk van deze elementen getest te worden om de nodige zekerheid te verschaffen. 7.2 HOE WORDT ER GETEST ? Men kan een 4-tal verschillende tests onderscheiden : Checklist : afpunten van een aantal aandachtspunten (beschikbaarheid van middelen of informatie), overwegend van toepassing bij Bedrijfscontinuiteitsplan processen en Bedrijfscontinuiteitsplan personeel. Walkthrough test: (table top test) typische test met betrekking tot Bedrijfscontinuiteitsplan processen, in het bijzonder waar interacties tussen verschillende geografische locaties, afdelingen, externe partijen of BCP teams vereist zijn. Vlaamse overheid Confidentieel 53 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Simulatie: (Dry Run) Test waarbij, geïsoleerd van de operationele organisatie of infrastructuur, bepaalde Bedrijfscontinuiteitsplan technologie of Bedrijfscontinuiteitsplan processen getest worden. Full-interruption: Test waarbij voor de operationele organisatie of infrastructuur zelf de voorziene Bedrijfscontinuiteitsplan technologie of Bedrijfscontinuiteitsplan processen getest worden Het spreekt voor zich dat elk type van test zijn eigen risicoprofiel heeft: Type Proces Impact Inspanning Complexiteit Checklist Nazicht & verificatie van de plannen geen klein Walkthrough Interactief geen beperkt beperkt Simulatie Check procedures beperkt gemiddeld klein Full Interruption Check Continuiteit Kan significant zijn hoog Kan significant zijn Laag Hoog Risico geen 7.3 WAAROM WORDT ER GETEST ? Het resultaat en doel van een test kan variëren al naargelang de maturiteit van de te testen beheersmaatregel : Bij een niet mature beheersmaatregel (maatregel die nog gedefinieerd of gerealiseerd moet worden) zal de test vooral de haalbaarheid / effectiviteit van de maatregel verifiëren (proof-of-concept). Een haalbare en geïmplementeerde maatregel zal daarna getest worden om benodigde BCP-inspanningen, tijdsduur en effectiviteit van de betrokken maatregelen te optimaliseren. Uiteindelijk, bij een maatregel die reeds matuur is, zal deze ter onderhoud en training op regelmatige tijdstippen uitgevoerd worden, waarbij de randvoorwaarden geverifieerd en eventueel bijgestuurd worden. Een succesvolle uitvoering van een test is gebaseerd op : Duidelijke afbakening van de test naar omvang, werkgebied en gewenste resultaat. Het gebruik van vooraf vastgelegde werkmiddelen en procedures. Registratie van elke afwijking van bovenstaande. Vlaamse overheid Confidentieel 54 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Acties en beslissingen om de afwijkingen te corrigeren. Opvolging van deze acties. 7.4 PLANNING VAN TESTEN 7.4.1 BASISREGELS Bedrijfscontinuiteitsplantesten worden uitgevoerd om de nodige garanties te kunnen geven. Het heeft natuurlijk weinig zin om lukraak Bedrijfscontinuiteitsplan testen uit te voeren. De volgende redenen kunnen hiervoor gegeven worden : Complexe testen, waarbij verschillende componenten, personen en processen met elkaar interageren, kunnen pas uitgevoerd worden wanneer de nodige garanties omtrent de gebruikte componenten, personen en processen in vorige, meer beperkte testen, reeds gegeven werden. Werkingsmiddelen, die een centrale rol in het Bedrijfscontinuiteitsplan spelen, worden daarom het best eerst getest alvorens verdere tests uit te voeren die complexer zijn en/of meer risico inhouden. Het spreekt voor zich dat het risico op de operationele omgeving bij alle testen tot een strikt minimum worden beperkt. Dit houdt in dat zaken die getest kunnen worden met een test die weinig tot geen risico inhouden, ook eerst door middel van deze test geverifieerd worden. Tests worden bij voorkeur uitgevoerd door de personen die bij calamiteit en/of incident instaan voor het uitvoeren van de maatregel / activiteit waarbinnen de test kadert. Een test kan pas uitgevoerd worden wanneer de impact van de uitvoering en eventueel mislukken van de test ingeschat is. Het tijdstip, locatie, en gebruikte materiaal voor de test wordt zodanig gekozen dat de impact op de organisatie geminimaliseerd wordt. De coördinatie en rapportering van de uitvoering van de testen wordt bij voorkeur door een welbepaalde persoon uitgevoerd. Deze staat dan ook in voor de opvolging en het onderhoud van het testplan. 7.4.2 VOOR DE UITVOERING VAN DE TEST Op basis van bovenstaande ‘basisregels’ en de beschikbaarheid van de personen en middelen worden de verschillende tests uitgevoerd. Vlaamse overheid Confidentieel 55 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Voor elke test die uitgevoerd wordt, dienen de volgende zaken uitgevoerd te worden : Bepalen van de doelstelling die men met deze test wenst te behalen Identificeren van de gebruikte middelen (mensen, materiaal, externe partners) Inschatten van de impact van de test Bepalen van het best aangewezen tijdstip om de test(s) uit te voeren, zodat de impact op de (operationele) organisatie zo veel mogelijk beperkt wordt. Verwittigen / inplannen van de tests, uitvoerend personeel bepalen en te gebruiken werkingsmiddelen vastleggen Bij impact naar (een groep van) eindgebruikers en/of externe partijen, dienen deze op voorhand verwittigd te worden omtrent het uitvoeren van de tests en de mogelijke gevolgen die hiermee gepaard kunnen gaan. 7.4.3 TIJDENS DE UITVOERING VAN DE TEST Tijdens de uitvoering van de tests, wordt er op gelet dat : De uitgevoerde activiteiten nauwkeurig worden geregistreerd, waarbij de gebruikte werkingsmiddelen, het tijdstip en de tijdsduur van elke deelactiviteit worden vermeld. Indien er een afwijking van de vooraf bepaalde procedure is, er bijkomende middelen nodig zijn, of een bepaalde veronderstelling niet correct blijkt te zijn, dient dit ook vermeld te worden. Wanneer er zich problemen voordoen die een zware impact dreigen te hebben op de operationele taken van de geteste omgeving, moet de test onmiddellijk onderbroken worden en moet de nominale situatie zo snel mogelijk hersteld worden (vooral van toepassing op full-interruption tests) 7.4.4 NA DE UITVOERING VAN DE TEST Na de uitvoering van de tests, wordt er gerapporteerd omtrent de uitgevoerde test. Deze rapportage omvat : Een samenvatting van het verloop van de test De conclusies die getrokken kunnen worden op basis van de test; met inbegrip van de garanties die gegeven kunnen worden (bekomen van zekerheid). Indien er een afwijking van de vooraf bepaalde aanpak of procedure is gedetecteerd, er bijkomende middelen nodig zijn of een bepaalde veronderstelling niet van Vlaamse overheid Confidentieel 56 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING toepassing blijkt te zijn, dienen remediërende acties ondernomen te worden om deze tekortkomingen te ondervangen. 7.4.5 VOORBEELD VAN EEN TEST SCENARIO: Het volgende scenario zal zich afspelen: Entiteit X, één van de grootste in Vlaanderen, is gevestigd in Brussel. In de ochtend komt er een gasalarm binnen. Dit alarm wordt veroorzaakt door een te zwaar beladen vrachtwagen die door de parkingvloer zakt en daarbij gasleidingen beschadigd. Juist op dat moment rijdt er iemand zijn auto naar buiten en veroorzaakt een ontploffing. Het is 9.15 uur in de morgen en een groot deel van de medewerkers arriveert op het werk via de parking en personeelsingang. Een gezelschap van enkele gasten bevindt zich in de centrale hal bij de receptie, afwachtend op de receptioniste die hun in zal schrijven als bezoeker. Gedurende de oefening zullen de deelnemers gecontacteerd worden door verschillende derde partijen (Media, familieleden, autoriteiten, makelaars, nutsbedrijven…). De vragen in het uitgeschreven scenario dienen als uitgangspunt. Afhankelijk van de antwoorden en reacties zullen er bijkomende vragen gesteld worden. De simulatie is ingedeeld in 6 fazen. Tijdens de eerste fazen zal de calamiteit escaleren naar een rampscenario. Ook zullen er meer en meer derde partijen het crisisbeheer onderbreken (media, andere overheidsinstanties, brandweer, familieleden medewerkers, …). Het is de bedoeling dat de deelnemers ageren volgens het bestaande Business Continuity Plan. Tevens zullen hun handelingen vergeleken worden met “best practices”. Volgende medewerkers zullen deelnemen aan de scenario test: … ... Het is niet de bedoeling om na te gaan of de deelnemers fouten maken tijdens het beheren van de calamiteit. Het is wel de bedoeling om na te gaan waar het Continuïteitsplan dient aangevuld en/of aangepast te worden. Het scenario is een calamiteit die de normale arbeidsroutines verstoord. Tevens is het aan te bevelen om de deelnemers niet op voorhand op de hoogte te stellen van dit scenario. Vlaamse overheid Confidentieel 57 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 8 LIJST VAN AFKORTINGEN Afkorting Begrip Verklaring BCM Bedrijfscontinuïteitsmanagement BCM is een beheersproces dat risico’s identificeert en beperkt, de mogelijke impact van een onderbreking van (tijds)kritische bedrijfsprocessen en ondersteunende systemen minimaliseert met als ultieme doel het tijdig herstellen van de kritische bedrijfsprocessen. BIA Bedrijfsimpactanalyse Het is een overkoepelend management proces dat de potentiële impact identificeert van een bedreiging voor de organisatie, een raamwerk biedt om een effectief antwoord te bieden met de nodige flexibiliteit en weerbaarheid, met als doel het beschermen van de belangen van de belangrijkste betrokkenen, reputatie en waardevolle bedrijfsactiviteiten. Een bedrijfsimpactanalyse is een proces waarbij men de impact gaat bepalen en documenteren van een onderbreking van de activiteiten die uw sleutelprocessen ondersteunen. DRP Vlaamse overheid Disaster Recovery Planning Is een onderdeel van het Business Continuity Plan (BCP) dat de organisatie aanwendt voor het herstellen of volledig herstarten van de (IT en telecommunicatie) Confidentieel 58 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Afkorting Begrip Verklaring componenten na een gebeurtenis, incident of crisis. CCT Crisis Communicatie Team Het crisis communicatie team (CCT) staat in voor de ondersteuning en uitvoering van alle communicatieacties in het kader van het incident, en ook voor de monitoring van de communicatie in de buitenwereld. CMT Crisis Management Team Het Crisis Management Team leidt in geval van een calamiteit alles in goede banen dit om de bedrijfscontinuïteit te kunnen waarborgen. IMT Incident Management Team Het Incident Management Team evalueert de situatie. RA Risico Analyse Een risicoanalyse is een proces waarbij de bedreigingen voor kritische middelen, de kwetsbaarheden van deze middelen en de impact die zou voltrekken als een bedreiging een incident wordt en bedrijfsonderbreking veroorzaakt, gaat analyseren. RTO Recovery Time Objective Hersteltijddoelstelling Dit is maximaal toegestane uitvalsduur voor kritische bedrijfsprocessen, binnen dewelke de activiteit moet worden hernomen, na de start van de onderbreking Vlaamse overheid Confidentieel 59 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING Afkorting RPO Begrip Recovery Point Objective Verklaring Aanvaardbaar verlies (doelstelling) Dit is het maximaal toegestaan verlies van data en/of werk na een calamiteit, uitgedrukt in tijd. Dit is het punt van waar data moet hersteld worden. Vlaamse overheid Confidentieel 60 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING 9 LIJST VAN BEGRIPPEN Activiteit De dienst, het proces of de handeling die geleverd wordt voor de interne of externe klant Belanghebbenden Belanghebbenden zijn alle personen die een – al dan niet financieel – belang hebben in de activiteiten van de organisatie, bijvoorbeeld de beleidsmakers, de burgers/klanten, de werknemers, de samenleving, inspectiebureaus, de media, partners enzovoort. De regeringsinstanties zijn ook belanghebbenden. (CAF) Externe belanghebbenden zijn de partijen die beïnvloed worden of invloed uitoefenen op de activiteiten van de organisatie maar er geen formeel deel van uitmaken. (leidraad IC/OB) Bedrijfsproces Een bedrijfsproces is een geheel van opeenvolgende activiteiten dat middelen (input) omzet in resultaten (output en outcome) waardoor een meerwaarde wordt gecreëerd. Er zijn drie categorieën: • Kernprocessen zijn essentieel om de producten of diensten van de organisatie te leveren. Het zijn die processen die nodig zijn om de behoeften van de klanten te vervullen. Bv. Dossierbehandeling, het uitvoeren van inspecties door inspectiediensten, verlenen van vergunningen / erkenningen • Management- of beheersprocessen zijn nodig om de organisatie(-eenheid) te besturen, teneinde te voldoen aan de doelstellingen en aan de wet- en regelgeving. Bv. Strategie, organisatiebeheersing, missie- en doelstellingenbepaling, … • Ondersteunende processen voorzien in de nodige middelen, ze kunnen zowel de kernprocessen als de managementprocessen ondersteunen. Bv. ICT, (uit)betalingsproces, aankoopproces, HR, ….. Een proces kan afhankelijk van de opdracht van de organisatie voor de ene organisatie een ondersteunend proces en voor een andere organisatie een kernproces zijn. http://www2.vlaanderen.be/internecontrole/faq.htm Cold-site Vlaamse overheid Een cold site is de goedkoopste vorm van een backup site voor een organisatie om zijn werkzaamheden voor te zetten. Er zijn geen backups aanwezig van gebruikersdata van de originele locatie en er Confidentieel 61 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING is ook geen infrastructuur die klaar staat. Doelstelling Strategische doelstelling Algemene doelstellingen voor de middellange en lange termijn die de algemene richting aangeven die de organisatie wil uitgaan. Ze beschrijven de uiteindelijke resultaten of effecten (outcomes) die de organisatie beoogt. Operationele doelstelling Een concrete vertaling van de strategische doelstellingen, bijvoorbeeld per eenheid. Een operationele doelstelling kan onmiddellijk worden omgezet in een reeks activiteiten en taken. Essentieel Processen en applicaties die gedurende maximum 14 dagen onderbroken mogen worden; Hot-site Een hot-site is een kopie van de originele site, met volledige (IT) infrastructuur en backups van gebruikersdata. Informatiesysteem Naast Informatiesystemen in de nauwe betekenis van het woord (Applicaties, Tools) wordt hier ook de Data opslag (Databases) en de gebruikte technologieën onder begrepen Kritisch Processen en applicaties die permanent moeten blijven functioneren of voor maximum 2 dagen onderbroken mogen worden en binnen deze termijn terug opgestart moeten zijn; Noodzakelijk Processen en applicaties die gedurende 6 à 8 weken onderbroken mogen worden. Risico Risico's zijn interne en externe factoren die de kwaliteit van producten en diensten beïnvloeden / bedreigen en bijgevolg ook de realisatie van de organisatiedoelstellingen kunnen belemmeren. Risico’s kunnen dus zowel met processen als met organisatie entiteiten geassocieerd worden. Risicobeheer Bij risicobeheer dient het management zich af te vragen wat er dient beschermd te worden, waartegen bescherming moet Vlaamse overheid Confidentieel 62 Pagina / 63 HANDLEIDING BCM - WERKGROEP BCM/BEVEILIGING geboden worden en op welke manier. Een adequaat risicobeheer draagt bijgevolg bij tot het succes van uitvoering van deze activiteiten, alsook het behalen van de doelstellingen. Het is een proces waarbij alle mogelijke risico's onder de loep genomen worden om ze vervolgens te gaan indelen in verschillende graden naargelang de ernst van het risico. Deze aanpak laat het management toe kosten-effectieve beslissingen te nemen over wat zij precies wenst te beschermen, zodat de risico's tot op een voor de organisatie aanvaardbaar niveau worden gebracht. Risicomanagement Risicomanagement is het overkoepelende proces om de risico’s te analyseren (risicoanalyse), maatregelen te nemen om de risico’s tot een aanvaardbaar niveau te reduceren, en het vereiste risiconiveau te onderhouden. Risico-appetijt De risico-appetijt is de mate van risico die een organisatie bereid is te nemen / te aanvaarden op om het even welk ogenblik. Organisaties kunnen een risico-avers, risiconeutraal of een risicovol profiel hebben. In het algemeen wordt gesteld dat overheidsinstanties eerder een risico-averse houding aannemen. Werkplek De locatie waar de ambtenaar werkt Administratieve standplaats Werkstation Een werkstation (ook wel Eng. workstation) is een krachtige computer voor professioneel gebruik, die over gespecialiseerde hardware of software beschikt. Werkstation is ook de term gebruikt voor de loonadministratie van onderwijspersoneel van de Vlaamse Gemeenschap in België. Vlaamse overheid Confidentieel 63 Pagina / 63
