Business continuity plan

Een Business Continuity Plan (BCP) is een set van documenten die preventief wordt uitgewerkt om in geval van ramp een organisatie toe te laten zijn kritieke diensten te blijven leveren op een vooraf bepaald aanvaardbaar niveau binnen een bepaalde tijd. Het is een belangrijk onderdeel in het Business Continuity Management (BCM) van een organisatie.

In het BCP wordt dus vastgelegd welke maatregelen men gaat nemen wanneer zich een ramp voordoet. Onder een ramp verstaan we een gebeurtenis die de operaties, staf, aandeelwaarde, belanghebbenden, merkreputatie, vertrouwen en/of strategische/business doelen zodanig in de problemen kan brengen, dat daardoor de bedrijfscontinuïteit in gevaar komt. Voorbeelden zijn het onbeschikbaar worden van (een deel van) de gebouwen, de uitval van kritieke ICT infrastructuur, een pandemie, natuurrampen, enz. Een BCP focust zich enkel op het garanderen van de bedrijfscontinuïteit en niet op de evacuatieplannen.

Eén van de belangrijkste onderdelen van een BCP is het oplijsten van welke processen als kritiek worden beschouwd en hoe snel deze ten laatste moeten hervat kunnen worden. Zo kan men weten welke processen prioriteit moeten krijgen en welke eventueel uitgesteld kunnen worden, wanneer door de grootte van de ramp geen normale werkomstandigheden mogelijk zijn. Door de kritieke processen als basis te nemen, kan men zo ook de kritieke middelen identificeren en opnemen in het BCP. Dit zijn namelijk de middelen die absoluut noodzakelijk zijn om de kritieke processen op een acceptabel niveau te kunnen uitvoeren. Verder kan men nog andere toevoegingen doen zoals diverse contactgegevens van medewerkers en belangrijke externe partijen, specifieke aandachtspunten, etc.

Het opstellen van een BCP

De eerste stap om een BCP op te stellen is het uitvoeren van een Business impact-analyse (BIA). Tijdens een BIA gaat men namelijk samen met de verschillende verantwoordelijken de kritieke processen bepalen door te gaan kijken wat hun potentiële impact is en hoe snel deze zich kan manifesteren. Het is belangrijk dat men, bij het bepalen van de impact, niet louter naar de financiële schade kijkt, maar eveneens niet-financiële schade in beschouwing neemt. Niet-financiële schade kan bijvoorbeeld imago- en reputatieschade, juridische vervolging en schade aan personeel en andere belanghebbenden zijn. Door vervolgens te gaan kijken welke middelen nodig zijn bij het uitvoeren van de kritieke processen, bekomt men de kritieke middelen. Onder middelen verstaan we alle benodigdheden voor de uitvoering van een proces, gaande van ICT systemen en papierwerk tot de werknemers en gebouwen.

Aan de hand van deze BIA kan men al een groot deel van het BCP invullen, namelijk de kritieke processen en middelen. Daarna moet men nog andere informatie toevoegen die noodzakelijk is voor de continuïteit van de organisatie te garanderen in geval van een ramp. Enkele nuttige voorbeelden zijn: contactgegevens van personeel en kritieke leveranciers, hoe de communicatie moet verlopen intern en extern, informatie over waar men bepaalde kritieke middelen kan huren of kopen (indien deze onbeschikbaar worden) en een uitwijkplan. Men moet hier wel voorzichtig zijn, dat men niet te veel informatie samenbundelt. Het is niet de kwantiteit die hier telt, maar vooral de kwaliteit. Het ganse werk moet nog overzichtelijk en efficiënt in gebruik zijn.

Onderhoud en testen van een BCP

Aangezien BCM een blijvend proces is, is het noodzakelijk dat het BCP ook onderhouden en verbeterd wordt. Het is dan ook aangewezen om vaste periodieke revisies uit te voeren en het plan, indien mogelijk, te testen. Vaak komen er tijdens het testen elementen naar boven waar men zich nog niet bewust van was. Het testen en herzien van het BCP zorgt eveneens voor een bewustzijn, vertrouwen en kennis bij het personeel die van vitaal belang kan zijn bij het uitbreken van een ramp.

Testen mogen uiteraard niet een ongewenste impact hebben op de bedrijfsprocessen en moeten daarom zorgvuldig worden voorbereid. De test moet zo opgesteld worden, zodat de kans op een incident rechtstreeks ten gevolge ervan zo klein mogelijk is.

Externe links

• (en) WikiHow - How to create a business continuity plan
• (nl) zbc.nu - Keuzes en aanpak voor uw BCP

Bronnen, noten en/of referenties (en) BS 25999-1:2006 Business Continuity Management Part 1: Code of practice – British Standards BSI 2006