# Bedrijfscontinuïteitsplanning

*In het Engels: Business Continuity Planning (BCP)*

Producten:
- [BCP Workshops](../Standards/ISO27x/Implementation%20Products/BCP%20Workshops.md)

## Literatuur

- BCP.mindnode op iCloud > Best Practices
- evt. [CIS Controls](../Standards/CIS/CIS%20Controls.md) als raamwerk
- ISO-22301-2019 'Business continuity management systems' en ISO-22313-2020 'Guidance on the use of ISO 22301'
- [CISSP, Chapter 3](../Standards/CISSP/CISSP_OSG_Chapter_3.md)


Bedrijfscontinuïteitsplanning is een continu proces, met als doel het implementeren en onderhouden van beleid, procedures en processen om de impact van verstoringen te beheersen. Met andere woorden: bedrijfscontinuïteitsplanning richt zich op de continuïteit van bedrijfsprocessen, zo nodig met andere middelen.

Belangrijke onderdelen van Bedrijfscontinuïteitsplanning zijn de Bedrijfsimpact Analyse ([BIA](../ISMS/Business%20Impact%20Analysis%20(BIA).md)) en het Herstelplan ('Disaster Recovery Plan' / [DRP](..//Disaster%20Recovery%20Planning.md)).
De BIA richt zich op het identificeren van de impact van verstoringen op de bedrijfsprocessen, en het Herstelplan richt zich op het herstel van de normale bedrijfsprocessen na een verstoring en de eventuele inzet van alternatieve middelen of werkwijzen .

Zie ook: [Het belang van een Bedrijfscontinuïteitsplan](../ISMS/Belang%20van%20een%20BCP.md) / [The importance of having a business continuity plan](Importance%20of%20a%20BCP.md).


## Aanpak

1. Analyse
2. Planning maatregelen
3. Testen: scenario's simuleren en aanpassingen maken
4. Implementatie maatregelen
5. Testen maatregelen
6. Oefen periodiek de scenario's en pas ze aan waar nodig

**NOG TOEVOEGEN**
Het proces (Beleid) volgens welke dit hele plan tot stand komt en beoordeeld/herzien wordt, en wie daarvoor verantwoordelijk zijn.

## Analyse

Zie: [Business Impact Analysis (BIA)](../ISMS/Business%20Impact%20Analysis%20(BIA).md)

Stappen:
- Bepalen bedrijfskritische processen (prioriteiten bepalen) en informatie-assets
- Dreigingsanalyse
- Belangen stakeholders, wet- en regelgeving, compliance verplichtingen
- Bepalen minimaal acceptabel niveau van functioneren tijdens verstoringen (tov Normaal)
- Analyseren processen en afhankelijkheden
	- intern en extern, mensen en middelen, systemen en verbindingen

### Bedrijfskritische processen en assets

Tabel vullen:

| Kritisch proces | Kritische middelen | Alternatief bij verstoring | Fail-over scenario | Recovery scenario |
| --------------- | ------------------ | -------------------------- | ------------------ | ----------------- |

### Dreigingsanalyse

- Bepaal dreigingen – mens & natuur, bijvoorbeeld:
	- Wegvallen van kritische IT-componenten of diensten (defecten, gerichte aanvallen, ransomware, interruption of service)
	- Wegvallen van medewerkers op sleutelposities (epidemie!)
	- Onbereikbaarheid pand
	- Brand
- Bepaal kans en impact – H/M/L, voor prioriteit
	- Bepaal impact op kritische assets
	- Bepaal impact op processen en belangen stakeholders – intern en extern


## Planning maatregelen

1. Bepaal doelen
2. Ontwerp Fail-over scenario’s
3. Identificeer noodvoorzieningen
4. Bepaal Recovery strategies
5. Stel draaiboeken op

### Bepaal doelen

- MTPD – Maximum tolerable period of disruption (business process)
- MTD – Maximum Tolerable Downtime (assets) – uit de lucht zijn
- RPO – Recovery Point Objective (assets) – acceptable data loss; the point in time that you wish to recover to
- RTO – Recovery Time Objective (processen) – hersteltijd tot normaal

### Fail-over scenario’s
Zoek alternatieve invulling van de bedrijfskritische processen.
Voorbeelden:
- Mobiele hotspots i.p.v. vaste internetverbinding
- Gebruik Acceptatie-omgeving als Productie-omgeving
- Uitwijklocatie, noodstroomvoorziening

 Aandachtspunten:
	- De dreiging moet niet dezelfde impact hebben op de alternatieve oplossing
	- Werk processen uit voor switch-over en switch-back

### Identificeer noodvoorzieningen
Identificeer bestaande noodvoorzieningen en bepaal of ze voldoen

### Bepaal Recovery strategies

- Back-ups – test restores!
- Hot/warm/cold standbys
- High-availability systems
- Proces uitwerken en testen

### Stel Draaiboeken op
Aspecten:
- Mensen
- Middelen
- Externe partijen
- Rollen en Verantwoordelijkheden (RASCI)
- Communicatie naar stakeholders
	- inhoud voorbereiden
	- contactpersonen en -gegevens

## Scenario's simuleren
Scenario's opstellen o.b.v. risicoanalyse

## Implementatie maatregelen
- Betrek stakeholders, w/o leveranciers, autoriteiten, nooddiensten
- Maak duidelijke afspraken, zorg voor periodieke check!
- Stel procedures en instructies op, incl. het Pre-disaster proces
- Train de direct betrokkenen adhv scenario’s
- Stel Emergency-Response guidelines op – ook BHV
- COMMUNICEER!

## Aandachtspunten vanuit ISO 27001
- Uitgangspunt: handhaven van de beveiligingsniveaus in een ongunstige situatie
- Vaststellen hoe en in welke omstandigheden van het beleid mag worden afgeweken
- Compenserende IB-maatregelen als handhaven niet mogelijk is (noodmaatregelen)
- Documenteer afwijkingen in een logboek

## Aandachtspunten Uitvoering BCP
- Turbulentie geeft extra risico’s
- Focus ligt op Beschikbaarheid, Vertrouwelijkheid en Integriteit naar de achtergrond
- Let op Data in Transit
- Patching and configuration management on backup systems
- Toegang tot netwerken, systemen, faciliteiten en ruimtes
- Fysieke beveiliging op uitwijklocaties


 [^1]: NIST definieert het andersom: MTD = The amount of time mission/business process can be disrupted without causing significant harm to the organization’s mission; RTO = The maximum amount of time that a system resource can remain unavailable before there is an unacceptable impact on other system resources, supported mission/business processes, and the MTD.


## Links

See also:
- [Disaster Recovery Planning](..//Disaster%20Recovery%20Planning.md)
- [Checklist for auditing Business Continuity and Disaster Recovery](../Literature/Checklists%20Gerardus%20Blokdyk/Checklist%20for%20auditing%20Business%20Continuity%20and%20Disaster%20Recovery.md)
- [Ransomware Playbook](Ransomware%20Playbook.md)

ISO controls:
- 5.29:
	- [a-5.29-Information-security-during-disruption](../Standards/ISO27x/OST/27002/EN/a-5.29-Information-security-during-disruption.md)
	- [[ISO_27002_2022_NL_BT 5.29 Informatiebeveiliging tijdens een verstoring]]
	- [[ISO_27002_2022_NL_NN 5.29 Informatiebeveiliging tijdens een verstoring]]
- 5.30:
	- [a-5.30-ICT-readiness-for-business-continuity](../Standards/ISO27x/OST/27002/EN/a-5.30-ICT-readiness-for-business-continuity.md)
	- [ISO_27002_2022_5.30_PE ICT readiness for business continuity](../../../iso27DIY-gis/reference/Paraphrased/ISO27002-2022-EN/ISO_27002_2022_5.30_PE%20ICT%20readiness%20for%20business%20continuity.md)
	- [a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit](../Standards/ISO27x/OST/27002/NL/a-5.30-ICT-gereedheid-voor-bedrijfscontinuiteit.md)
	- [[ISO_27002_2022_NL_NN 5.30 ICT-gereedheid voor bedrijfscontinuïteit]]
- 5.31:
	- [ISO_27002_2022_5.31_OT Legal, statutory, regulatory and contractual requirements](../iso27diy-corp/Corpus/Standards/ISO-27002-OST/ISO27002-EN-2022/ISO_27002_2022_5.31_OT%20Legal%2C%20statutory%2C%20regulatory%20and%20contractual%20requirements.md)
- 5.24:
	- [a-5.24-Information-security-incident-management-planning-and-preparation](../Standards/ISO27x/OST/27002/EN/a-5.24-Information-security-incident-management-planning-and-preparation.md)