Bedrijfscontinuïteits­­­­­­­­­management

gepubliceerd op 14 februari 2024

Na een incident op school moeten de belangrijke processen zo snel mogelijk weer kunnen doorgaan. De plannen, rolverdelingen en terugvalopties die hierop betrekking hebben, leg je vast in een bedrijfscontinuïteitsplan. Zo kun je voorsorteren op ongewenste gebeurtenissen en de kritische processen borgen. Dit noemen we bedrijfscontinuïteitsmanagement.

Bedrijfscontinuïteitsmanagement (BCM) is het vermogen van een organisatie zo snel mogelijk weer aan de slag te kunnen na een tegenslag. Door te werken aan plannen, rolverdelingen en terugvalopties kunnen de belangrijkste bedrijfsprocessen op een acceptabel niveau doorgaan. Daarbij spelen altijd afwegingen: wat zijn de belangrijkste bedrijfsprocessen, en wat is een acceptabel niveau? Bij deze afwegingen baseer je je op de bedrijfsdoelen van de organisatie, en hoeveel risico ze bereid is te dragen.

Bedrijfscontinuïteitsmanagement gaat niet alleen over IBP. Andere voorbeelden van tegenslagen zijn brand, een personele calamiteit of een overstroming. Mogelijk heeft jouw school daar al een plan voor. Maak dan geen apart plan voor IBP-gerelateerde tegenslagen, maar breid het bestaande plan uit. Zo zorg je dat de school één plan heeft om met tegenslagen om te gaan. Dat is voor iedereen duidelijker.

 

Alle scholen moeten een veiligheidsplan hebben. Dit plan beschrijft sociale veiligheid, zoals het tegengaan van pesten. Bedrijfscontinuïteitsmanagement staat daar dus los van. Toch kiezen scholen er soms voor hun plannen voor bedrijfscontinuïteitsmanagement ook op te nemen in het schoolveiligheidsplan. Als dat beter bij je organisatie past, is daar niets op tegen.

Wat zegt het Normenkader IBP?

Het stappenplan op deze pagina ondersteunt je bij de uitwerking van normen BC.01, BC.02, BC.05 van het Normenkader IBP.

Volwassenheidsniveau 3 bij norm BC.01
  • Bedrijfs- en it-continuïteitsplannen zijn gedefinieerd, geïntegreerd en goedgekeurd door het schoolbestuur of de schoolleiding.
  • De organisatie heeft een bedrijfsimpactanalyse uitgevoerd, op basis waarvan recoverytimedoelen zijn bepaald en volledig gedocumenteerde it-herstelplannen en bedrijfs- continuïteitsplannen zijn opgesteld om deze doelen te bereiken.
  • De plannen betreffen gebruikershandleidingen, rollen, verantwoordelijkheden, crisismanagement, communicatieprocessen en de testmethode.
  • Dankzij deze plannen kan de organisatie waarschijnlijk belangrijke operationele processen voortzetten in het geval van een grote onderbreking.
Volwassenheidsniveau 3 bij norm BC.02
  • Bedrijfs- en it-continuïteitsplannen worden getest via goedgekeurde, geïntegreerde test-/herstelscenario’s.
  • Bedrijfs- en it-continuïteitsplannen worden op regelmatige basis getest (ten minste eenmaal per jaar) om ervoor te zorgen dat essentiële systemen effectief kunnen worden hersteld, dat tekortkomingen worden aangepakt en dat het plan up-to-date blijft.
  • Er is voorzien in een gedegen voorbereiding, documentatie, rapportage van de testresultaten en, afhankelijk van de resultaten, uitvoering van een actieplan.
Volwassenheidsniveau 3 bij norm BC.05
  • Er is een crisismanagementplan dat onderdeel is van het bedrijfscontinuïteitsplan (BCP), waardoor de organisatie de essentiële bedrijfsvoering weer kan oppakken, terwijl het crisismanagementteam zich op de crisis richt.
  • Alle betrokkenen zijn op de hoogte van hun verantwoordelijkheden tijdens een crisis.
  • Er zijn periodiek crisisoefeningen voor crisismanagementteams.

Wie doet wat?

Bij bedrijfscontinuïteitsmanagement zijn verschillende rollen betrokken met elk hun eigen taken:

  • Het schoolbestuur is verantwoordelijk voor het vaststellen van het beleid.
  • De IBP-verantwoordelijke gaat aan de slag om bestuurders en andere betrokkenen in beweging te krijgen, elk vanuit hun eigen verantwoordelijkheid. Ook coördineer je de uitvoering van de werkzaamheden. De IBP’er is niet inhoudelijk eigenaar van het onderwerp, maar vaak wel een geschikte procescoördinator.

Meer weten over de rol- en taakverdeling? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Ga met deze stappen aan de slag om bedrijfscontinuïteitsmanagement voor je organisatie in te richten. De eerste 4 stappen beschrijven hoe je tot een bedrijfscontinuïteitsplan komt, stappen 5, 6 en 7 gaan in op wat je daarna moet doen en het oefenen.

In dit stappenplan gaan we uit van een klein schoolbestuur, waar de lijntjes kort zijn en iedereen elkaar gemakkelijk weet te vinden. Is jouw organisatie complexer, dan zul je waarschijnlijk nog wat tussenstappen moeten inbouwen.

Stap 1: Stel kritische bedrijfsprocessen, systemen en leveranciers vast

Stel een lijst op van de kritische bedrijfsprocessen van de scholen binnen jouw organisatie. Dit zijn de processen die altijd moeten doorgaan en die inherent zijn aan de organisatiedoelen:

  • onderwijsuitvoering: lesuitvoering, toetsafname, (toegang tot) leermateriaal
  • onderwijsevaluatie: beoordeling, resultatenregistratie
  • organisatie passend onderwijs: uitvoering basisondersteuning, uitvoering extra ondersteuning

Voor de meeste scholen zullen dit alle kritische bedrijfsprocessen zijn. Wil je toch meer processen als kritisch bestempelen, gebruik dan het Bedrijfsfunctiemodel van de FORA.

Noteer vervolgens welke systemen of ict-leveranciers er noodzakelijk zijn om die bedrijfsprocessen te vervullen. Het zal hierbij bijvoorbeeld gaan om een leerlingadministratiesysteem of een elektronische leeromgeving. Ga uit van de normale situatie: dat het ‘eventueel ook zonder kan’ komt in de volgende stap aan bod.

Stap 2: Bespreek wat je zou doen bij uitval van kritische systemen

Organiseer een workshop waarin je bespreekt hoe je in de huidige situatie zou reageren als de kritische systemen of leveranciers opeens niet beschikbaar zijn. Welke terugvalopties of alternatieven bestaan er voor deze systemen of leveranciers, zodat de kritische bedrijfsprocessen door kunnen gaan?

Zorg dat er in de workshop in elk geval mensen vertegenwoordigd zijn die de ict van de organisatie kennen, en mensen die de bedrijfsprocessen in de praktijk uitvoeren, zoals leraren.

Bespreek verschillende termijnen waarop de systemen of leveranciers niet beschikbaar zijn: wat doe je als deze systemen een uur, een dag of een week uitvallen? Probeer deze scenario’s concreet te presenteren, zoals: “Wat als we worden aangevallen met ransomware?” of: “Wat als onze elektronische leeromgeving wordt ge-DDoS’t?” Deelnemers kunnen zich de complexiteit van de situatie dan beter voorstellen.

Bespreek verschillende aspecten van de terugvalopties of alternatieven:

  • gegevens: welke informatie gaat er verloren?
  • proces: in welke mate kunnen kritische processen minder goed worden uitgevoerd?
  • financieel: wat kost deze oplossing?
  • communicatief: wie communiceert er?
  • verantwoordelijkheden: wat is de rolverdeling tussen bestuur en schoolleiding?

Stap 3: Leg terugvalopties en andere werkwijzen vast in een bedrijfscontinuïteitsplan

Leg de terugvalopties, alternatieven en voorgestelde werkwijze vast in een bedrijfscontinuïteitsplan. Je kunt hiervoor het template Bedrijfscontinuïteitsplan gebruiken.

In het bedrijfscontinuïteitsplan leg je ook vast hoe crisismanagement in jouw organisatie wordt georganiseerd. Als je hier voor het eerst mee aan de slag gaat, zal er nog geen standaard werkwijze zijn afgesproken. Het template bevat een voorbeeld. Pas dit in overleg met betrokkenen aan naar jouw organisatie.

Als je zelf de ict beheert van de kritische systemen, stel dan ook per kritisch systeem een it-herstelplan op. In dit plan beschrijf je hoe de organisatie reageert als dit systeem om uiteenlopende redenen niet beschikbaar is. We geven geen voorbeeld van een it-herstelplan, omdat de meeste schoolorganisaties hun kritische applicaties zullen hebben uitbesteed.

Leg het bedrijfscontinuïteitsplan en de eventuele it-herstelplannen ter instemming voor aan het schoolbestuur. Dit is een vereiste uit het normenkader. Communiceer de plannen daarna intern, in elk geval naar leidinggevenden en naar medewerkers die in de plannen genoemd worden. Collega’s weten dan hoe de organisatie is voorbereid op tegenslagen.

Stap 4: Oefen met het bedrijfscontinuïteitsplan en evalueer

Organiseer een jaarlijkse oefening om het bedrijfscontinuïteitsplan en het crisismanagement van de organisatie in de praktijk te testen. Daarmee bepaal je in hoeverre de huidige plannen en maatregelen voldoen.

Een oefening is gebaseerd op een fictief scenario. De organisatie gedraagt zich daarbij zoveel mogelijk zoals ze zich ook zou gedragen tijdens een daadwerkelijke calamiteit. Functionarissen vervullen hun afgesproken taken, het crisisteam komt in actie, en zoveel mogelijk van de geplande voorzieningen worden uitgevoerd. Het zal niet altijd mogelijk zijn om alle aspecten van de crisisbeheerorganisatie te testen. Je wilt bijvoorbeeld niet daadwerkelijk alle ouders mailen. In zulke gevallen kun je droog oefenen, door na te gaan of de handeling uitvoerbaar is, en dit te noteren.

Evalueer de resultaten van de oefening:

  • In hoeverre waren de afgesproken maatregelen en terugvalopties voldoende om de kritische bedrijfsprocessen door te laten gaan?
  • Hoelang waren de kritische bedrijfsprocessen verstoord?
  • Hoeveel data ging er verloren? Hoe functioneerde het crisismanagementteam?

Leg de behaalde resultaten vast in een bedrijfsimpactanalyse (BIA). Dat is een document waarin je opschrijft wat de kritische bedrijfsprocessen zijn, en welk effect een verstoring ervan op de organisatie heeft. Je kunt hiervoor het template Bedrijfsimpactanalyse gebruiken.

Schrijf per bedrijfsproces op hoelang het duurde voor er een terugvaloptie of alternatief georganiseerd was. Dit noemen we het recoverytimedoel (RTO, voor recovery time objective). Als je niet alle aspecten van de terugvaloptie of het alternatief hebt uitgevoerd tijdens je oefening, maak dan een realistische inschatting van hoelang dit zou hebben geduurd, gemeten vanaf het moment waarop de verstoring werd opgemerkt.

Lees voor meer adviezen over het organiseren van een oefening ook de handleiding van SURF.

Als je it-herstelplannen hebt opgesteld voor kritische systemen die je zelf beheert, dan moet je die ook jaarlijks testen. Deze handreiking gaat daar niet verder op in.

Stap 5: Neem besluiten over aanvullende maatregelen en afspraken

Leg de resultaten van de oefening en de BIA voor aan het schoolbestuur. Zij moeten bepalen of de behaalde resultaten voldoende zijn voor de organisatie, of dat het nodig is om aanvullende maatregelen of afspraken met leveranciers te treffen. Ze kunnen bijvoorbeeld vinden dat de gekozen terugvalopties niet goed genoeg werken, dat er te veel data verloren zal gaan, of dat het te lang duurt om de terugvalopties te organiseren.

Vind je zelf dat er aanvullende maatregelen nodig zijn, stel dan een lijst met aanbevelingen op en leg die met de resultaten en de BIA aan het schoolbestuur voor.

Stap 6: Voer aanvullende maatregelen en afspraken in

Ga aan de slag met het besluit van het schoolbestuur, als het bestuur heeft aangegeven dat er aanvullende maatregelen nodig zijn. Stel de juiste personen verantwoordelijk voor het treffen van de aanvullende maatregelen, of het maken van de aanvullende afspraken met leveranciers.

Monitor de voortgang, en leg eventuele aanpassingen ook vast in het bedrijfscontinuïteitsplan. Zo is het plan altijd een nauwkeurige weergave van hoe jullie organisatie op dat moment op een calamiteit zou reageren.

Stap 7: Oefen jaarlijks en verbeter het bedrijfscontinuïteitsplan

Zorg dat de stappen 4, 5 en 6 jaarlijks worden herhaald. Zo blijven de afspraken voor bedrijfscontinuïteit en crisismanagement voor iedereen duidelijk, en toets je regelmatig of ze nog voldoen.

Ga tijdens deze jaarlijkse herhaling ook in je BIA na of de kritische bedrijfsprocessen en kritische systemen en leveranciers veranderd zijn. Pas de oefening en het bedrijfscontinuïteitsplan daarop aan.

Bedrijfscontinuïteits­management: een pragmatische aanpak

Er bestaan veel internationale standaarden voor bedrijfscontinuïteitsmanagement, die allemaal ongeveer voor dezelfde werkwijze pleiten: de Plan-Do-Check-Act of PDCA-cyclus.

Dit stappenplan werkt ook met een PDCA-cyclus, gebaseerd op de Handreiking Bedrijfscontinuïteitsbeheer van de Informatiebeveiligingsdienst voor gemeenten en de Starterkit Business Continuity Management van SURF/SCIPR. In deze aanpak begint een organisatie niet bij de planfase, maar bij de maatregelen die er al zijn. Ze gaat na in hoeverre deze voldoen, en welke verdere investeringen er nodig zijn. Dit is in feite een omkering van de stappen die de internationale standaarden voorschrijven. Het voordeel van deze pragmatische aanpak is dat een organisatie snel goede stappen kan zetten. Na deze vliegende start, herhaalt de organisatie de cyclus jaarlijks, waarmee ze aansluit op de internationale standaarden.

Tools en voorbeelddocumenten

Verdieping

Met dank aan

Eric Dirkx, Floris Pols en Tjerk Mout.

Heb je een vraag of opmerking over deze pagina? Stuur een mail naar  ibp@kennisnet.nl of stel je vraag in het Netwerk IBP.

Deze pagina maakt onderdeel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.

 

Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.

Inhoudsopgave