Het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen en calamiteiten zodat er geen overtreding van wettelijke termijnen plaatsvindt.

Er dient een proces van continuïteitsmanagement te worden geïmplementeerd om de verstoring(en) als gevolg van calamiteiten en beveiligingsincidenten tot een aanvaardbaar niveau te beperken. Hiervoor dient een combinatie van preventieve correctieve maatregelen te worden ontwikkeld.

Door een beheerst proces adequaat inspelen op de ontwikkelingen en de handhaving van de continuïteit van de bedrijfsprocessen binnen de GSD.

• Binnen de GSD heerst inzicht in de risico’s in termen van waarschijnlijkheid en mogelijke gevolgen op de gehele organisatie die een onderbreking op de bedrijfsactiviteit in relatie tot de bedrijfsdoelen zou hebben;
• De strategie van de GSD is geformuleerd in overeenstemming met de doelen én wettelijke verplichtingen;
• Conform de bedrijfsstrategie heeft de GSD continuïteitsplannen ontwikkeld;
• De continuïteitsplannen worden regelmatig getest en geactualiseerd en zonodig bijgesteld indien de resultaten niet toereikend blijken te zijn.

De mogelijke oorzaken en gevolgen in kaart brengen van onderbrekingen van de bedrijfsprocessen door middel van een risicoanalyse zodat de risico’s kunnen worden afgedekt.

• Het gewenste beveiligingsniveau van de bedrijfsprocessen is aan de hand van een risicoanalyse vastgesteld;
• Er is een inventarisatie gedaan van dreigingen voor de bedrijfsprocessen en de kans dat deze zich voordoen;
• Met behulp van een kwetsbaarheidanalyse is een inschattingen gedaan dat een dreiging manifest wordt met daarbij de gevolgen voor de bedrijfsprocessen;
• De GSD heeft op basis van een risicoanalyse een beveiligingsplan opgesteld waarin de risico’s adequaat met maatregelen worden afgedekt.

Een onderbreking van de bedrijfsprocessen voorkomen c.q. herstellen met behulp van continuïteitsplannen.

• Noodprocedures met daarin de verantwoordelijkheden voor het management en medewerkers zijn opgesteld en goedgekeurd;
• Noodprocedures zijn binnen de GSD uitgedragen en er worden regelmatig passende trainingen gehouden;
• De noodprocedures worden regelmatig geëvalueerd.

Door een consistente structuur in de verschillende continuïteitsplannen aan te brengen raken deze optimaal op elkaar afgestemd.

• Continuïteitsplannen moeten tenminste voorzien in:
  • Voorwaarden voor activeren van de noodprocedures;
  • Procedures voor noodsituaties, inclusief meldingen richting Suwi- ketenpartners (waaronder het BKWI), politie, brandweer, lokale overheid;
  • Uitwijkprocedures met daarin de acties om kritische bedrijfsprocessen op andere locaties voort te zetten;
  • Beveiligingsprocedures om te allen tijde de gegevens adequaat te beveiligen;
  • Afstemming met leveranciers van diensten;
• Elke continuïteitsplan heeft één specifieke eigenaar.

De continuïteitsplannen worden periodiek getest, onderhouden en geëvalueerd zodat de plannen optimaal en effectief zijn.

• Voor de continuïteitsplannen zijn testschema’s opgesteld met daarin de specificaties over:
  • Het “droogtesten” van diverse scenario’s;
  • Het testen van herstel- en uitwijkprocedures voor de informatiesystemen;
  • Het testen van voorzieningen en diensten van leveranciers;
• De continuïteitsplannen worden regelmatig geëvalueerd en waar nodig geactualiseerd.