Webinar Business continuity - vragen en antwoorden

Tijdens het Webinar Business continuity van 26 november is een aantal vragen gesteld die wij samen met Gert Kogenhop voor u hebben beantwoord.

Wat is precies een continuïteitsprobleem? Alleen als de primaire productie of dienst niet meer kan worden uitgevoerd?

Het principe is dat je de continuïteit borgt van de producten die je levert of de diensten die je verleent. Dit doe je door zo optimaal mogelijk voorbereid te zijn op het onverwachte.
Definitie Bedrijfscontinuïteit - ISO 22301: vermogen van een organisatie om tijdens een verstoring producten en diensten met een vooraf vastgestelde capaciteit binnen aanvaardbare tijdskaders te blijven leveren.

Wat is de relatie tussen informatiebeveiliging/informatieveiligheid en BCM?

Wanneer de informatie niet veilig of goed beveiligd is kan de organisatie gecompromitteerd worden. Dit kan, bijvoorbeeld tijdens een hack, ransomware of DDoS-aanval leiden tot het moeten uitschakelen van de systemen en iedereen toegang weigeren om verdere schade te voorkomen. BCM zorgt ervoor dat je, als je afhankelijk bent van ICT, een Plan B hebt in dat geval: “Hoe kunnen we werken zonder ICT?”

Welke relatie is er tussen business continuity en contextanalyse?

Contextanalyse gaat over de context van de organisatie, speelveld, markt, concurrenten en tevens welke producten en diensten (of alle) neem ik mee in de scope van het managementsysteem. Het BCMS is hierop gebouwd, oftewel voor welke producten en diensten conform de contextanalyse/scopebepaling wil ik voorbereid zijn op het (on)verwachte.

Wat is de relatie of juist het verschil met een bedrijfsnoodplan? Beschrijft het noodplan alleen wat de BHV en het crisisteam doet bij een calamiteit?

Correct. Het Bedrijfsnoodplan is vaak en combinatie van een BHV-uitvoeringsplan en een, evacuatie/ontruimingsplan voor het veilig verlaten van het pand inclusief eventueel uitschakelen van machines. Een BedrijfsContinuïteitsPlan (BCP) regelt het in gang zetten van de vastgelegde activiteiten voor de relevante scenario’s om zo snel mogelijk ergens anders, op een andere manier, met andere mensen, noem het maar, de levering van producten en diensten op minimaal het afgesproken niveau voor te zetten.

Is er een groei in het aantal ISO 22301 certificaten? Certificeren bedrijven ook los op ISO 22301, of vaak i.c.m. bijvoorbeeld ISO 27001?

Er is een gestage groei van het aantal certificaten mede dankzij de Coronacrisis. Zeker in combinatie met ISO 27001, maar ook (productie) vaak met ISO 9001. Het niet kunnen leveren is ‘geen kwaliteit leveren’, dit is de link naar ISO 9001.

Hoe selecteer je relevante scenario’s i.p.v. bommelding, aardbeving etc., die minder relevant zijn?

De kunst is om risico’s te groeperen in gevolgen en daarvoor een scenario te bedenken, of zelfs meerdere alternatieven. Hoog ziekteverzuim, pandemie, staking OV, tekort op de arbeidsmarkt – leidt allemaal tot “Onvoldoende personeel om te kunnen produceren”. Dus daarvoor wil je (meerdere) scenario’s bedenken, inrichten en testen.

De continuïteit kan op de lange termijn ook in gevaar komen door bijvoorbeeld het niet meer beschikbaar zijn van bepaalde grondstoffen of andere veranderende omstandigheden. In hoeverre valt dit ook onder ISO 22301?

Dit valt ook onder ISO 22301. Je dient in geval van (volledige) afhankelijkheid van bepaalde grondstoffen zorgen voor alternatieve leveranciers en wellicht zelfs alternatieve grondstoffen. Dit laatste kan leiden tot veranderingen in het productieproces of zelfs de productsamenstelling. Hiervoor kun je ook gebruik maken van Supply Chain Continuity – ISO 22318. Deze wordt momenteel herzien.

Het oefenen van business continuity kan lastig zijn. Hoe kan je oefenen zonder daadwerkelijke verstoring?

Dit kan bijvoorbeeld met een ‘Desktopoefening’, Walk through of the plan’ en Simulatie. Waarbij je een verstoring simuleert. Op een gegeven moment moet je realistisch oefenen, dus écht mensen uit hun werksituatie halen voor een oefening – ook al komt dat niet uit (nooit nl.) – wel doen. Zorg dat je bij een oefening de continuïteit van de organisatie niet in gevaar brengt.

Is er ook een voorbeeld van een uitgewerkt BCM-plan?

Er is geen voorbeeld want elke organisatie heeft een eigen specifiek plan nodig. Voor het opstellen van een plan bepaal je de kritische activiteiten. Bepaal per scenario welke maatregelen voor opstarten na incident nodig zijn in volgorde van prioriteit. Geef ook aan wat de benodigde mensen en middelen zijn.

Hoe krijgen we MKB maar ook aantal grotere ondernemingen zo ver BIA’s (Business Impact Analyse’s) uit te voeren, RTO’s (Recovery Time Objective’s) te definiëren, pragmatische recovery plannen op te zetten en dit continu te verbeteren?

Sense of Urgency. Het topmanagement dient overtuigd te zijn van de noodzaak (en het nut). Het gaat vaak om vier vragen die beantwoord dienen te worden in wat wordt genoemd de ‘Frame meeting’ met het topmanagement:
1. Waarom hebben we Business Continuity nodig?
2. Wat proberen we te beschermen?
3. ‘Hoe veel’ Business Continuity hebben we nodig?
4. Wie moeten er betrokken worden bij het programma?

Wanneer je deze vragen niet naar tevredenheid van eenieder kunt beantwoorden, niet aan beginnen!

Meer informatie

Op de website van BCM+ vind je vele artikelen met onderwerpen als:

  • Bezint eer ge begint
  • COVID-crisis bewijst nut en noodzaak van BCM
  • Een BIA maken: “Hoe doe je dat?”
  • Wat als uw werklocatie niet beschikbaar is
  • BCM: “Durft u nog langer te wachten?”
  • IT en Business Continuity
  • Hoe afhankelijk is uw organisatie van ICT?
  • … en meer

© SCCM   Webdesign: insandouts

Zoeken in de database gecertificeerde organisaties

ISO 14001 (2953) » 8772 vestigingen ISO 45001 (440) » 1778 vestigingen ISO 50001 (44) » 857 vestigingen EMAS (3)»
in de database
Uitgebreid zoeken
Certificatie-instellingen overzicht»
 
Aanmelden nieuwsbrief»
 
mijn.sccm.nl: uw relevante wet-en regelgeving »

Recente tweets over #ISO14001, #ISO45001 en #ISO50001

Volg @SCCM_NL op twitter