Model Continuïteitsplan

Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

ColofonNaam document Model Continuïteitsplan

Versienummer 2.0

Versiedatum Maart 2019

Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018)

Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld;2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker

berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

3

Rechten en vrijwaringDe IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.

Met dank aanDe expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

Wijzigingshistorie

Versie Datum Wijziging / Actie1.0 September 2016 Eerste versie2.0 Maart 2019 BIO update

Over de IBDDe IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

LeeswijzerDit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.

DoelHet doel van dit document om een voorbeeld te geven hoe een continuïteitsstrategie vormgegeven kan worden. De invulling van dit model continuïteitsstrategie vereist dat de gemeente een aantal stappen doorloopt zoals beschreven in de handreiking Bedrijfscontinuïteitsbeheer. Op basis van de gemeentelijke situatie (zoals specifieke keuzes, kenmerken en behoeften) dient dit model continuïteitsstrategie te worden ingevuld en/of aangepast.

DoelgroepDit document is van belang voor medewerkers die zich met continuïteitsbeheer bezig houden.

Relatie met overige producten Baseline Informatiebeveiliging Overheid (BIO) Informatiebeveiligingsbeleid van de gemeente Risicoanalyse Handreiking back-up en recovery gemeenten Voorbeeld incidentmanagement en response beleid

5

Inhoudsopgave

1. Algemeen.............................................................................................................................................. 91.1. Inleiding.........................................................................................................................................................91.2. Crisisbeheer...................................................................................................................................................91.3. Wat is ons doel en onze doelgroep..............................................................................................................101.4. Afbakening en reikwijdte.............................................................................................................................101.5. Definitie ‘calamiteit’.....................................................................................................................................101.6. Beschrijving bedrijfsprocessen.....................................................................................................................111.7. Wat zijn onze uitgangspunten.....................................................................................................................111.8. Verantwoordelijkheden continuïteitsplan...................................................................................................121.9. Wat is de relatie met andere plannen..........................................................................................................121.10. Inhoud continuïteitsplan..............................................................................................................................12

2. Organisatie continuïteitsbeheer........................................................................................................... 132.1. Toelichting...................................................................................................................................................132.2. Crisisorganisatie...........................................................................................................................................132.3. Crisisbeheerteam.........................................................................................................................................132.4. Overige betrokkenen...................................................................................................................................142.5. (keten)Partners............................................................................................................................................152.6. Briefings en teambijeenkomsten.................................................................................................................152.7. Informeren...................................................................................................................................................15

3. Continuïteitsbeheer............................................................................................................................. 163.1. Toelichting...................................................................................................................................................163.2. Continuïteit bedrijfsprocessen.....................................................................................................................163.3. Afhankelijkheid van derden voor dienstverlening........................................................................................163.4. Middelen......................................................................................................................................................17

4. Activering continuïteitsplan................................................................................................................. 184.1. Toelichting...................................................................................................................................................184.2. Activering continuïteitsplan.........................................................................................................................18

5. Herstelscenario’s bedrijfsprocessen.....................................................................................................205.1. Toelichting...................................................................................................................................................205.2. Herstelscenario <bedrijfsproces 1>..............................................................................................................205.3. Afschalen crisisorganisatie...........................................................................................................................20

6. Algemene gegevens............................................................................................................................. 216.1. Toelichting...................................................................................................................................................216.2. Beschrijving continuïteitsvoorzieningen......................................................................................................216.3. Formulieren.................................................................................................................................................216.4. Distributielijst continuïteitsplan...................................................................................................................21

7. Bereikbaarheidsgegevens.................................................................................................................... 227.1. Toelichting...................................................................................................................................................227.2. Bereikbaarheidsgegevens interne betrokkenen..........................................................................................227.3. Bereikbaarheidsgegevens externe betrokkenen..........................................................................................22

Continuïteitsplan <Gemeente>

<subtitel>

Opdrachtgever: <opdrachtgever>Opdrachtnemer: <opdrachtnemer>

Versie <versienummer>Status: <concept/definitief>Datum: <datum>

Wijzigingshistorie:

versie datum Opmerkingen1 01-09-2016 Eerste versie

7

Bedrijfscontinuïteitsplan <Gemeente>

<subtitel>

Inhoudsopgave 21 Algemeen 32 Organisatie continuïteitsbeheer 83 Continuïteitsbeheer 124 Activering continuïteitsplan 155 Herstelscenario’s bedrijfsprocessen 176 Algemene gegevens 187 Bereikbaarheidsgegevens 19

1. Algemeen1.1. InleidingEen gemeente voert taken uit die direct van belang zijn voor haar inwoners. De gemeente: houdt bij wie er in de gemeente wonen. Dat gebeurt in de Basisregistratie personen (BRP)1; geeft officiële documenten uit, zoals een paspoort of identiteitskaart (conform de Wet

Paspoortuitvoeringsregeling (PUN)2) en een rijbewijs; verstrekt uitkeringen aan wie niet in eigen levensonderhoud kan voorzien; is verantwoordelijk voor de Wet maatschappelijke ondersteuning (Wmo)3, de Participatiewet en de

jeugdzorg; is verantwoordelijk voor de huisvesting van scholen en geeft geld uit aan leerlingen die extra

begeleiding nodig hebben; maakt bestemmingsplannen. Hierin staat welk gebied bestemd is voor huizen, welk deel voor natuur

en welk deel voor bedrijven; houdt toezicht op de woningbouw en maakt daarover afspraken met woningcorporaties; legt straten, wegen voetpaden en fietsroutes aan. En zorgt dat ze onderhouden worden; voert de Wet milieubeheer uit. Deze regelt onder andere de gescheiden inzameling van huisvuil; verstrekt subsidies, bijvoorbeeld aan een zwembad of bibliotheek; zorgt dat bedrijventerreinen goed bereikbaar zijn. En verstrekt vergunningen voor markten.

Om deze taken uit te kunnen voeren worden hiervoor bedrijfsprocessen uitgevoerd die als ‘kritisch’ kunnen worden aangemerkt. Dit betekent dat langdurige uitval van deze bedrijfsprocessen vanwege de negatieve gevolgen voor de gemeente, burgers, medewerkers, bedrijven, (keten)partners en andere betrokkenen onacceptabel is. Om langdurige stagnatie van de kritische bedrijfsprocessen van de gemeente te voorkomen dient een proces voor continuïteitsbeheer te worden ingericht. Onderdeel van dit proces vormt het opstellen van het continuïteitsplan. In dit plan zijn de acties vastgelegd die dienen te worden uitgevoerd, nadat een calamiteit is ontstaan. Alle medewerkers, in het bijzonder degene die een rol hebben binnen dit continuïteitsplan, dienen op de hoogte te zijn van hetgeen van hen wordt verwacht in geval van een calamiteit. Hiertoe dienen regelmatig oefeningen te worden gehouden. Dit draagt ertoe bij dat de noodzakelijke stappen om de voortgang van de bedrijfsprocessen te waarborgen zo snel en efficiënt mogelijk worden genomen na het optreden van een calamiteit. Dit continuïteitsplan dient als vertrouwelijke informatie te worden behandeld. Het bevat gevoelige informatie, zoals adressen van personen en autoriteiten en gegevens betreffende de bedrijfsvoering.

1.2. CrisisbeheerCrisisbeheer is gericht op het zo snel en effectief mogelijk beperken van de effecten en het wegnemen van de bron van de calamiteit. Hierbij dient zoveel mogelijk gebruik te worden gemaakt van bestaande crisisbeheervoorzieningen. De procedure voor het in werking stellen van het continuïteitsplan dient beschreven te zijn net zoals de taken en verantwoordelijkheden van functionarissen, teams en organisatieonderdelen. De bedrijfsprocessen die tijdens een calamiteit niet mogen uitvallen dienen beschreven te zijn, evenals bedrijfsprocessen die eventueel gestaakt zullen worden en de gevolgen daarvan. De procedure voor het informeren en mobiliseren van doelgroepen en derden dient beschreven te

1 https://www.rvig.nl/brp2 http://wetten.overheid.nl/BWBR00128113 http://wetten.overheid.nl/BWBR0035362 of https://www.rijksoverheid.nl/onderwerpen/zorg-en-ondersteuning-thuis/inhoud/wmo-2015

9

zijn evenals de benodigde middelen. De contactgegevens van alle doelgroepen, interne en externe diensten en derden dienen ook in het continuïteitsplan opgenomen te zijn.

1.3. Wat is ons doel en onze doelgroepDit continuïteitsplan beschrijft de acties die dienen te worden uitgevoerd, nadat een calamiteit heeft plaatsgevonden die de voortgang van gemeentelijke kritische bedrijfsprocessen in gevaar brengt. Als gevolg daarvan komt de dienstverlening van de gemeente in het geding. De aanleiding kan een stroomstoring zijn waardoor ICT, energievoorzieningen en huisvesting niet meer of maar gedeeltelijk functioneren. Maar ook zonder stroomstoring kan de ICT van de gemeente uitvallen (bijvoorbeeld als gevolg van een cyberaanval) met allerlei mogelijke consequenties.

Het doel van dit continuïteitsplan is dan ook om de effecten van een calamiteit zoveel mogelijk te reduceren, de dienstverlening van de gemeente te continueren en het herstel te bespoedigen. Hierbij kan onderscheid worden gemaakt in activiteiten in de voorbereidingsfase en de fase dat daadwerkelijk een calamiteit heeft plaatsgevonden.Ter voorbereiding dient de gemeente een aantal maatregelen te treffen om zodoende (nood)voorzieningen te organiseren. Deze (nood)voorzieningen dienen het functioneren van de kritische bedrijfsprocessen van de gemeente in geval van uitval op te vangen – althans voor een bepaalde periode. Tijdens een calamiteit dient de gemeente een aantal activiteiten te ondernemen om de continuïteit van haar eigen dienstverlening in stand te houden of te herstellen en de effecten zo snel en effectief mogelijk te beperken.

Als dit continuïteitsplan zorgvuldig wordt uitgevoerd, kan na het ontstaan van een calamiteit snel en doeltreffend worden opgetreden, zodat de uitval van de bedrijfsprocessen binnen de gestelde grenzen blijft.

De doelgroep van dit continuïteitsplan zijn de functionarissen die bij uitval belast zijn met het zoveel mogelijk reduceren van de effecten van een calamiteit, het continueren van de bedrijfsprocessen van de gemeente en de voorbereiding op uitval. Op bestuurlijk niveau is dat het College van Burgemeester en Wethouders, op tactisch/operationeel niveau is dat managementteam onder leiding van de gemeentesecretaris, en functionarissen binnen de gemeente met expertise op het gebied van facilitaire zaken (zoals ICT inclusief telefonie/ andere communicatiemiddelen, gebouwbeheer en beveiliging).

1.4. Afbakening en reikwijdteHet continuïteitsplan dient de acties te beschrijven die uitgevoerd dienen te worden, nadat een calamiteit heeft plaatsgevonden die zodoende de voortgang van de kritische bedrijfsprocessen van de gemeente in gevaar brengt. Dit betekent dat dit continuïteitsplan zich beperkt tot de waarborging van de voortgang van de gemeentelijke (kritische) bedrijfsprocessen. Verder heeft het continuïteitsplan alleen betrekking op de waarborging van de voortgang van de bedrijfsprocessen. Het continuïteitsplan besteedt dus geen aandacht aan ontruiming, redding en schadebeperking direct na het optreden van een calamiteit. Deze activiteiten dienen vastgelegd te zijn in de zogenaamde bedrijfsnoodplan(nen) van de locatie(s) en het ontruimingsplan van de gemeente.

1.5. Definitie ‘calamiteit’Een calamiteit wordt in het kader van dit continuïteitsplan gedefinieerd als een ongewenste gebeurtenis die zodanige negatieve gevolgen heeft dat de voortgang van de kritische bedrijfsprocessen van de gemeente wordt verstoord en de maximale uitvalsduur van deze kritische bedrijfsprocessen dreigt te worden overschreden.

1

1.6. Beschrijving bedrijfsprocessenVoor de bedrijfsprocessen van de gemeente zijn de volgende continuïteitseisen vastgesteld:

Afdeling/ bedrijfsproces Classificatie Maximale uitvalsduur4 Maximaal gegevensverlies5

1.7. Wat zijn onze uitgangspuntenBij het opstellen van dit continuïteitsplan is de dienstverlening van de gemeente het startpunt. De dienstverlening omvat een aantal kritische en niet-kritische bedrijfsprocessen. De uitvoerbaarheid daarvan is afhankelijk van beschikbare middelen (bijvoorbeeld menskracht, ICT of transportmiddelen en huisvesting). Deze middelen kunnen door externe factoren (ofwel risico’s) geraakt worden (bijvoorbeeld een grieppandemie met uitval van menskracht tot gevolg, een stroomstoring met effect op ICT). De impact op de beschikbaarheid van middelen zal verschillen en daarmee ook op de uitvoering van de kritische bedrijfsprocessen. Hieronder is de relatie tussen kritische bedrijfsprocessen, middelen en risico’s schematisch uitgebeeld.

Proces A

Proces B

Proces C

Proces Z

Grieppandemie

Stroomstoring

Cyberattack

Terroristische aanslag

….andere dreiging….

Men

s

ICT

Hui

sves

ting

(kritische) processen

dreigingenMiddelen

Figuur 1 Afhankelijkheid tussen dreiging, middelen en (kritische) bedrijfsprocessen6

4 De termijn waarbinnen het bedrijfsproces na het optreden van een calamiteit weer operationeel dient te zijn.5 De termijn die ligt tussen het moment van het optreden van de calamiteit en het moment waarop de gegevens voor het laatst zijn veiliggesteld.6 Bron: model ‘Continuïteitsplan Gemeente - Bij uitval van elektriciteit en/of ICT’ uit de ‘Handleiding continuïteitsmanagement voor organisaties met een vitale maatschappelijke functie’ van het Ministerie van Veiligheid en Justitie, d.d. februari 2014 (http://wodc.nl/onderzoeksdatabase/stand-van-zaken-continuiteitsplannen-van-de-sectoren-ob-en-oov.aspx?cp=44&cs=6796#project-informatie)

Met andere woorden: de uitvoering van een kritisch bedrijfsproces van de gemeente (zoals het laten verstrekken van wekelijkse uitkeringen bij schuldhulpverlening of het verstrekken van reisdocumenten, rijbewijzen en uittreksels) is afhankelijk van middelen die bij een calamiteit mogelijk wegvallen. In dit continuïteitsplan dient beschreven te worden wat de gemeente organiseert om de impact van de uitval van middelen zo veel mogelijk te verkleinen en de kritische bedrijfsprocessen binnen de gemeente te continueren. Het gaat enerzijds om de maatregelen (noodvoorzieningen). Anderzijds betreft het de inrichting van een crisisstructuur om snel en adequaat te kunnen reageren als een calamiteit zich voordoet (bijvoorbeeld de uitval van elektriciteit en/of ICT).

1.8. Verantwoordelijkheden continuïteitsplanDe portefeuillehouder bedrijfscontinuïteitsbeheer is verantwoordelijk voor de inhoud en actualiteit van het continuïteitsplan. BCM-coördinator is verantwoordelijk voor het beheer van het continuïteitsplan. De oefen- en controleactiviteiten die onderdeel vormen van dit beheer, dienen vastgelegd te zijn in het test- en oefenplan continuïteitsbeheer van de gemeente.

Na het optreden van een calamiteit dient een crisisorganisatie binnen de gemeente in werking te treden. Het crisisbeheerteam is verantwoordelijk voor de uitvoering van de activiteiten tijdens een calamiteit.

1.9. Wat is de relatie met andere plannenDit continuïteitsplan is een niet op zichzelf staand product maar heeft relaties met diverse andere plannen. Denk hierbij aan een gemeentelijke crisisplan, een fallback plan, afspraken met noodstroomleverancier et cetera.

Plan Relatie (naam plan) (omschrijving van de relatie tussen dit plan en het continuïteitsplan )

1.10. Inhoud continuïteitsplanDit continuïteitsplan bevat de volgende onderdelen. In hoofdstuk 2 is de organisatie van continuïteitsbeheer binnen de gemeente vastgelegd. Hoofdstuk 3 beschrijft de afhankelijkheden om de continuïteit van bedrijfsprocessen te garanderen. Hoofdstuk 4 beschrijft de wijze van activering van het continuïteitsplan. Hoofdstuk 5 bevat de herstelscenario’s die na het optreden van een calamiteit voor de getroffen bedrijfsprocessen dienen te worden uitgevoerd. In hoofdstuk 6 zijn de gegevens opgenomen die tijdens een calamiteit beschikbaar dienen te zijn. Hoofdstuk 7 bevat de bereikbaarheidsgegevens van zowel interne als externe betrokkenen.

1

2. Organisatie continuïteitsbeheer2.1. ToelichtingIn geval van een calamiteit wordt veelal gewerkt onder hoge druk. In een korte tijd dienen veel beslissingen te worden genomen, die grote gevolgen kunnen hebben. Op grond van deze kenmerken wordt tijdens een calamiteit vaak volgens een afwijkende organisatie dan in de normale situatie gewerkt.

2.2. CrisisorganisatieDe gemeente dient te beschikken over een structuur voor incident- of crisisbeheer. De crisisorganisatie dient te beschikken over toereikend mandaat om het continuïteitsplan in werking te stellen en maatregelen uit te voeren. De crisisorganisatie dient onder de directe verantwoordelijkheid van het College van Burgemeester en Wethouders te opereren.

De crisisorganisatie dient een afspiegeling te zijn van de gemeente en dient de samenstelling op basis van de kenmerken van de calamiteit aan te passen en de benodigde expertise te mobiliseren.

<voeg hier het organogram van uw crisis-/ of continuïteitsorganisatie in>

Binnen de crisisorganisatie van de gemeente dient onderscheid gemaakt te worden naar het crisisbeheerteam en de overige betrokkenen binnen de gemeente.

De taken en verantwoordelijkheden van de mensen en teams die een rol spelen bij de besluitvorming, het verdelen van taken, of het bijstaan in de uitvoering van het continuïteitsplan, dienen vastgelegd te zijn.

2.3. CrisisbeheerteamHet crisisbeheerteam dient bijvoorbeeld de volgende taken en verantwoordelijkheden te hebben:

het nemen van alle besluiten die noodzakelijk zijn voor een zo goed mogelijke continuering van de kritische bedrijfsprocessen

het coördineren van de activiteiten van alle betrokkenen binnen de gemeente het coördineren van de timing van alle activiteiten binnen de gemeente het toezicht houden op de uitvoering van de activiteiten binnen de gemeente het onderhouden van contacten met alle interne betrokkenen bij de afhandeling van de calamiteit het informeren van het direct betrokken medewerkers van de gemeente het er voor zorgdragen dat alle activiteiten inzake de afhandeling van de calamiteit schriftelijk

worden vastgelegd, zodat een evaluatie mogelijk is. Et cetera.

Het crisisbeheerteam dient bijvoorbeeld de volgende bevoegdheden te hebben: het nemen van alle beslissingen die nodig zijn voor een zo spoedig mogelijke en verantwoorde

hervatting van de kritische bedrijfsprocessen van de gemeente het betreden van alle locaties die op enigerlei wijze van belang zijn voor de hervatting van de

kritische bedrijfsprocessen van de gemeente met waarborging van de eigen veiligheid het doen van mededelingen aan de betrokkenen van de gemeente. Et cetera.

Expertise Functionaris binnen de gemeente Taken<bijvoorbeeld Facilitair/ bedrijfsvoering, gebouwbeheer beveiliging en ICT (inclusief verbindingen/ telecommunicatie/ communicatiemiddelen)>

<Benoem de functionarissen die verantwoordelijk zijn van uitvoering van (een of meerdere) taken.>

(opsomming)

In paragraaf 7.2 zijn de bereikbaarheidsgegevens van de leden van het crisisbeheerteam de opgenomen.

2.4. Overige betrokkenenHier dient vermeld te worden welke overige betrokkenen binnen de gemeente een rol na het ontstaan van een calamiteit vervullen.

De taken en verantwoordelijkheden van deze overige betrokkenen zijn bijvoorbeeld: het uitvoeren van de activiteiten die noodzakelijk zijn voor een zo goed mogelijke continuering van

de kritische bedrijfsprocessen het informeren van het crisisbeheerteam van de voortgang van de herstelactiviteiten. Et cetera.

De overige betrokkenen hebben bijvoorbeeld de volgende bevoegdheden: het betreden van alle locaties die op enigerlei wijze van belang zijn voor de hervatting van de

kritische bedrijfsprocessen met waarborging van de eigen veiligheid het doen van mededelingen aan het crisisbeheerteam over de voortgang van de

herstelactiviteiten. Et cetera.

Expertise Functionaris binnen de gemeente Taken

<bijvoorbeeld Operationeel crisisteam per afdeling

<Benoem de functionarissen die verantwoordelijk zijn van uitvoering van (een of meerdere) taken.>

(opsomming)

In paragraaf 7.2 zijn de bereikbaarheidsgegevens van de overige betrokkenen opgenomen.

1

2.5. (keten)PartnersDe relevante (keten)partners dienen bekend te zijn en tevens dient hiervan bekend te zijn of er afspraken vastliggen over het alarmeren/ informeren van de (keten)partners en gemeente. Voorbeelden van (keten)partners zijn:

Leverancier elektriciteitsvoorziening / netbeheerder Leverancier noodstroom / brandstoffen Beheerder communicatiesysteem Beheerder externe servers (ICT) Uitbestedingspartner Cloudleverancier Hard- en software leverancier

(keten)Partner Gemaakte afspraken Samenvatting van afspraken of verwijzing naar onderliggend (operationeel) document

(naam partner) (opsomming) (beschrijving)

2.6. Briefings en teambijeenkomstenAfspraken over tijdstippen en locaties voor briefings en teambijeenkomsten dienen vooraf vastgelegd te zijn.

Team Locat¡e U¡tw¡jklocatie Tijdst¡ppen en frequentie

(naam team) (gebouw, ruimte) (gebouw, ruimte) (vergaderklok, uren:min)

2.7. InformerenDe inwerkingstelling van het continuïteitsplan kunnen een directe impact hebben op de continuïteit van bijvoorbeeld (keten)partners en de samenleving. De inwerkingstelling van het continuïteitsplan dient dan ook gecommuniceerd te worden aan alle doelgroepen. Hiervoor dient de geautoriseerde functionaris gebruik te maken van de bereikbaarheidsgegevens in paragraaf 7.2. De termijn waarbinnen de gemeente deze doelgroepen informeert dient bepaald te zijn.

3. Continuïteitsbeheer3.1. ToelichtingIn de continuïteitsstrategie dient in geval van een calamiteit vastgesteld te zijn welke maatregelen er getroffen zijn om de continuïteit van gemeentelijke kritische bedrijfsprocessen te garanderen.7

3.2. Continuïteit bedrijfsprocessenBij goed functioneren van deze maatregelen verwacht de gemeente dat de volgende bedrijfsprocessen ook bij een calamiteit beschikbaar zijn. Hierbij dient aangegeven te zijn op welke termijn na de uitval het bedrijfsproces weer beschikbaar dient te zijn en welke aanvullende activiteiten daarvoor nog eventueel verricht dienen te worden. Verwijzingen naar gedetailleerde procedures of plannen dienen hierbij opgenomen te worden. De proceseigenaar is verantwoordelijk voor het continueren van dit bedrijfsproces.

Bedrijfsproces Termijn beschikbaarheid Proces eigenaar Activiteiten Verwijzing Gedetailleerde procedures of plannen

(aanduiding bedrijfsproces)

(dagen:uren: min) (functionaris) (opsomming) (document, nummer)

Tevens dient bekend te zijn welke bedrijfsprocessen eventueel niet beschikbaar zullen zijn bij een calamiteit. De gevolgen van de uitval van deze bedrijfsprocessen, zoals geformuleerd in de continuïteitsstrategie dienen benoemd te zijn.

Bedrijfsproces Proceseigenaar Gevolgen(aanduiding bedrijfsproces) (functionaris) (opsomming)

3.3. Afhankelijkheid van derden voor dienstverleningDe volgende bedrijfsprocessen zijn afhankelijk van de dienstverlening van derden. Voor de volgende bedrijfsprocessen zijn reeds afspraken gemaakt met derden. Voor elk bedrijfsproces waar relaties zijn met diensten van derden dient dit benoemd te worden en dienen getroffen maatregelen en de afgesproken maximale uitvalstermijn beschreven te zijn.

Bedrijfsproces Derde Getroffen maatregelen Termijn(aanduiding bedrijfsproces)

(organisatie, functionaris)

(opsomming) (dagen:uren:min)

7 Zie hiervoor het operationele product de ‘model continuïteitsstrategie’ van de IBD.

1

Voor andere bedrijfsprocessen zijn dergelijke afspraken met derden nog niet gemaakt. Hiervoor dient de gemeente vast te leggen wat de procedure is voor het mobiliseren van middelen en inzet van derden ten tijde van een calamiteit. De termijn waarbinnen de gemeente dienstverleners na uitval mobiliseert dient te zijn vastgesteld.

Bedrijfsproces Derde Getroffen maatregelen Termijn(aanduiding bedrijfsproces)

(organisatie, functionaris)

(opsomming) (dagen:uren:min)

3.4. MiddelenDe benodigde middelen voor het continueren van de bedrijfsprocessen dienen vooraf in kaart te zijn gebracht. De gemeente dient er zorg voor te dragen dat deze middelen tijdig beschikbaar zijn. De tijdsspanne na uitval is opgedeeld in meerdere perioden. Voor elke periode dient per middel aangegeven te worden welke hoeveelheid noodzakelijk is.

Bedrijfsproces Middelen <Periode> <Periode> <Periode> <Herstelperiode>(aanduiding bedrijfsproces)

(opsomming) (aantal) (aantal) (aantal) (aantal)

Mensen (beveiliging, transport, logistiek, welzijn, noodvoorzieningen)

Locaties, gebouwen

Noodstroomvoorzieningen

Technologie, ICT en communicatiemiddelen

Informatie (financiële gegevens, klantgegevens, leverancier en stakeholder gegevens, contracten,verzekeringspapieren, Service Level Agreements (SLA))

Voorraden

Management van - en communicatie met - stakeholders

4. Activering continuïteitsplan4.1. ToelichtingNa het ontstaan van een calamiteit dient het continuïteitsplan in werking te worden gesteld. Hierbij dient dit enerzijds zo snel mogelijk te gebeuren, zodat de noodzakelijke acties tijdig kunnen worden gestart. Voor kritische bedrijfsprocessen met een hoge beschikbaarheid hoeft voor het inwerking stellen van het herstelscenario niet gewacht te worden op de activering van het gehele continuïteitsplan volgens de hierna beschreven procedures. De dienstdoende leidinggevende van de afdeling die verantwoordelijk is voor de voortgang van het getroffen bedrijfsproces is bevoegd om direct na het optreden van een calamiteit de noodzakelijke acties voor het waarborgen van de kritische onderdelen van het bedrijfsproces in werking te stellen. Na activering van het gehele continuïteitsplan dient het crisisbeheerteam zo spoedig mogelijk contact op te nemen met de dienstdoende leidinggevende om de acties af te stemmen en te coördineren. Anderzijds is het van belang dat het continuïteitsplan niet onnodig wordt geactiveerd en betrokken medewerkers niet onnodig hiervoor worden opgeroepen. Deze aspecten dienen door het gebruik van een goede activeringsprocedure te worden gewaarborgd. Hierbij dient onderscheid te worden gemaakt naar de activering van het continuïteitsplan tijdens en buiten kantooruren.

4.2. Activering continuïteitsplanAlarmering en opschaling van de crisisorganisatie dient plaats te vinden volgens de vaste structuur én criteria die de gemeente daarvoor heeft opgesteld. In het geval van een serieus te nemen (dreigende) calamiteit, dient het continuïteitsplan geactiveerd te worden, met als doel om de bedrijfsprocessen te ondersteunen die nodig zijn om de doelstellingen van de gemeente te behalen.

Het plan kan als geheel, of in delen, in werking gesteld worden bij een continuïteitsverstoring. Voor elk (deel)plan dient vastgelegd te worden welke functionaris het plan in werking kan stellen en onder welke omstandigheden, voorwaarden en in overleg met wie, het plan geactiveerd kan worden. De handelingen en lijnen om het plan in werking te stellen en de teams te mobiliseren dienen beschreven te zijn,

(Deel)plan Geautoriseerde functionaris

Voorwaarden inwerking stelling

Activiteiten

(document, nummer) (functionaris) (opsomming) (stappenplan)

De activering van het continuïteitsplan kan bijvoorbeeld volgens de volgende stappen plaatsvinden:

1. Na het ontstaan van de calamiteit neemt de medewerker contact op met het afdelingshoofd. Hierbij dient rekening gehouden te worden met: Hoe wordt de uitval/calamiteit van opgemerkt? Wie krijgt melding en hoe van de uitval/calamiteit?

2. Het afdelingshoofd neemt contact op met zijn of haar leidinggevende. Hierbij dient rekening gehouden te worden met de beeldvorming en de volgende vragen dienen hierbij beantwoord te worden: Hoe en door wie vindt beeldvorming van de lokale situatie plaats? Hoe en door wie wordt met eventueel met partners overlegd? Hoe wordt de afweging gemaakt ten aanzien van aard en omvang?

3. Het afdelingshoofd en zijn of haar leidinggevende nemen contact op met de voorzitter van het crisisbeheerteam (of zijn plaatsvervanger). Deze bepaalt op grond van de melding of het crisisbeheerteam wordt gealarmeerd. Er dient vastgelegd te zijn hoe er wordt gealarmeerd.

1

4. Wanneer de voorzitter van het crisisbeheerteam (of zijn plaatsvervanger) heeft besloten dat het crisisbeheerteam wordt gealarmeerd, wordt contact opgenomen met de leden van het crisisteam met de mededeling dat zij zich dienen te melden. De leden van dit team verzamelen zich in het crisiscentrum. Binnen kantooruren dienen de leden van het crisisbeheerteam binnen <x minuten> aanwezig zijn. Buiten kantooruren is deze termijn (zo mogelijk) <y minuten>.

5. Het crisisbeheerteam bepaalt op grond van de beschikbare informatie binnen <xx minuten> of het continuïteitsplan wordt geactiveerd. Er dient vastgelegd te zijn hoe er wordt opgeschaald.

6. Wanneer het continuïteitsplan wordt geactiveerd, worden alle in het plan opgenomen en gezien de aard van de calamiteit relevante betrokkenen gewaarschuwd.

5. Herstelscenario’s bedrijfsprocessen5.1. ToelichtingNadat de oorzaak van de uitval verholpen is, dient de gemeente nog stappen te nemen om te komen tot volledig herstel en normalisatie van de gemeente. In de herstelfase, onderdeel van de nafase, schaalt de crisisorganisatie - zodra mogelijk - af en worden activiteiten overgedragen aan de reguliere organisatie. Verder dient de gemeente aandacht te besteden aan het op gang brengen van bedrijfsprocessen die stil kwamen te liggen. De situatie dient geëvalueerd te worden en leerpunten dienen doorgevoerd te worden in bestaande plannen en procedures.In dit hoofdstuk dienen de herstelscenario’s van de bedrijfsprocessen van de gemeente te worden beschreven. Uitvoering van deze herstelscenario’s is erop gericht het bedrijfsproces binnen de gestelde termijn (zie paragraaf 1.6) weer operationeel te hebben.

5.2. Herstelscenario <bedrijfsproces 1>Bedrijfsprocessen die tijdens uitval om welke reden dan ook zijn stil komen te liggen, dienen opnieuw te worden opgestart. De verwachte termijn voor beschikbaarheid dienen benoemd te zijn en de handelingen die daarvoor nodig zijn dienen te worden weergegeven. De eigenaar van deze bedrijfsprocessen is verantwoordelijk voor het halen van de gestelde hersteltermijn.

In deze paragraaf is het herstelscenario van <bedrijfsproces 1> beschreven.

Nr. Bedrijfs-proces Proces-eigenaar

Termijn beschik-baarheid

Activiteit(en) Uitvoerende(n) Omschrijving

(nr.) (aanduiding bedrijfsproces)

(functionaris) (uren:min) (opsomming) (functionaris) (korte omschrijving)

De middelen die noodzakelijk zijn voor het herstellen van alle bedrijfsprocessen dienen benoemd te zijn in de tabel van paragraaf 3.4. De gemeente dient zorg te dragen dat deze middelen beschikbaar zijn alvorens de herstelperiode in gaat, zie hiervoor de kolom herstelperiode in de tabel van paragraaf 3.4.

5.3. Afschalen crisisorganisatieDe gemeente dient de crisisorganisatie af te schalen volgens de vaste structuur voor op- en afschaling die gehanteerd wordt voor calamiteiten. Aanvullende afspraken, bijvoorbeeld voor het afschalen van de crisisorganisatie of het verlaten van een uitwijklocatie, na uitval van ICT of elektriciteit dienen hier benoemd te worden.

2

6. Algemene gegevens6.1. ToelichtingDit hoofdstuk dient een aantal algemene gegevens te bevatten die tijdens een calamiteit beschikbaar dienen te zijn.

6.2. Beschrijving continuïteitsvoorzieningenBinnen de gemeente wordt na het optreden van een calamiteit gebruik gemaakt van de volgende continuïteitsvoorzieningen.

<beschrijving continuïteitsvoorzieningen toevoegen/ eventueel per afdeling/ bedrijfsproces>

6.3. FormulierenLogboekHier dient aan de hand van het logboek genoteerd te worden welke acties voor de afhandeling van de calamiteit zijn verricht.

Datum Tijdstip Omschrijving Uitvoerder

Overige formulierenHier dienen eigen formulieren toegevoegd te worden.

Formulier Omschrijving(naam) (korte beschrijving van het formulier)

6.4. Distributielijst continuïteitsplanHier wordt weergegeven welke personen een kopie van het continuïteitsplan dienen te ontvangen.

Naam Afdeling Functieomschrijving(naam) (afdeling> (functiebschrijving)

7. Bereikbaarheidsgegevens7.1. ToelichtingIn dit hoofdstuk dienen de bereikbaarheidsgegevens van alle interne en externe diensten, organisaties en dienstverleners die van belang zijn voor de continuïteit van de gemeente opgenomen te worden.

7.2. Bereikbaarheidsgegevens interne betrokkenenBereikbaarheidsgegevens crisisbeheerteam en overige betrokkenen binnen de gemeente.

Functionaris / Rol Naam Locat¡e E-mailadres Telefoon (vast, mobiel)

Alternatieve bereik-baarheid(bijvoorbeeld telefoon-nummerbij calamiteit)

7.3. Bereikbaarheidsgegevens externe betrokkenenBereikbaarheidsgegevens externe betrokkenen, zoals leveranciers en externe (keten)partners.

Dienst-verlener Adres dienst-verlener

Naam contact-persoon

E-mailadres Telefoon (vast, mobiel)

Alternatieve bereik-baarheid (bijvoorbeeld telefoon-nummerbij calamiteit)

Kijk voor meer informatie op:www.informatiebeveiligingsdienst.nl

Nassaulaan 122514 JS Den HaagCERT: 070 204 5511 (9:00 – 17:00 ma – vr)CERT 24x7: Piketnummer (instructies via voicemail)info@IBDGemeenten.nl / incident@IBDGemeenten.nl