Premium Business Continuity Assessment: Hoe Werkt Het?
Business Continuity Planning (BCP) en Disaster Recovery (DR) bepalen of uw organisatie een grote verstoring overleeft. Deze assessment meet uw weerbaarheid tegen ISO 22301 met focus op kritische processen, RTO/RPO, oefeningen en afhankelijkheden.
Wat is de Premium Business Continuity Assessment?
Veel organisaties hebben «een BCP»: een document van 50 pagina's dat na de eerste versie nooit meer is aangeraakt. Deze assessment toetst of uw BCP daadwerkelijk werkt: zijn de kritische processen geïdentificeerd, zijn RTO/RPO gemeten, wordt er getest, en kunnen afhankelijkheden ook continueren?
Het volgt de structuur van ISO 22301 en NIST SP 800-34 met 40+ controls verdeeld over zes pijlers: governance, BIA, strategie, plannen, oefeningen en verbetering.
De 6 categorieën
Governance & beleid (15 punten)
Goedgekeurd BCP-beleid, BCP-coördinator, betrokkenheid van het management. Reviewproces minimaal jaarlijks.
Zonder management-mandaat blijft BCP een papieren tijger; de assessment toetst of bestuur formeel verantwoordelijk is.
Business Impact Analyse (BIA) (20 punten)
Inventarisatie van bedrijfsprocessen, criticaliteit, financiële en reputatie-impact bij uitval, en afhankelijkheden (ICT, leveranciers, mensen, locatie).
Een goede BIA is het fundament — zonder BIA zijn RTO/RPO arbitrair en is de hele BCP onderbouwd op aannames.
Strategie & oplossingen (20 punten)
Per kritisch proces: wat is de continuiteits-strategie? Hot/warm/cold standby, hybride werken, alternatieve leveranciers, manuele processen.
De assessment kijkt of de strategie past bij de RTO en of er voldoende investering is om die strategie ook te realiseren.
Plannen & documentatie (15 punten)
Concrete BCP- en DR-plannen per proces of locatie. Activatie-criteria, rollen, contact-info, escalatie-paden, terugkeer-procedures.
Een plan dat alleen bij de BCP-coördinator op de laptop staat, is geen plan — de assessment kijkt naar bereikbaarheid in een crisis-situatie.
Oefeningen & tests (20 punten)
Tabletop-oefeningen, simulaties, full-scale tests. Frequentie en scope per kritisch proces.
Volwassenheid: minimaal jaarlijks tabletop, tweejaarlijks technische DR-test, vijfjaarlijks full-scale crisis-simulatie.
Verbetering & metrics (10 punten)
Lessen uit oefeningen en reële incidenten worden teruggevoerd. KPIs zoals daadwerkelijke RTO vs targeted RTO worden gerapporteerd.
Een BCP zonder leerproces verliest snel waarde door wijzigingen in IT-landschap, organisatie en leveranciers.
Wat wordt er gecontroleerd?
40+ controls verdeeld over de zes pijlers, gemapt op ISO 22301 en NIST SP 800-34:
- BCP-beleid: goedgekeurd, gecommuniceerd, jaarlijks herzien.
- Eindverantwoordelijke: aangewezen op bestuursniveau.
- BIA-coverage: alle kritische processen geïnventariseerd.
- RTO/RPO per proces: gedefinieerd, gemeten, gerealiseerd.
- Single points of failure: geïdentificeerd en gemitigeerd.
- Leveranciers-afhankelijkheid: kritieke leveranciers met BCP-clausule in contract.
- Personeels-redundantie: sleutelposities met back-up.
- Communicatie-plan: intern (medewerkers) en extern (klanten, media).
- Activatie-criteria: duidelijk en gedocumenteerd.
- Tabletop-oefening: minimaal jaarlijks per kritisch proces.
- Technische DR-test: failover daadwerkelijk uitgevoerd.
- Lessons learned: proces voor terugvoer naar BCP-update.
Resultaten interpreteren
Na afronding van de assessment ontvangt u een uitgebreid resultaatoverzicht met de volgende onderdelen:
- BCP-volwassenheids-score (0-100) met grade.
- Pijler-breakdown: governance, BIA, strategie, plannen, oefeningen, verbetering.
- Top-10 gaps met implementatie-prioriteit en effort.
- RTO/RPO-overzicht met gap tussen target en realiteit.
- Oefen-kalender template voor de komende 24 maanden.
- Roadmap richting ISO 22301-conformiteit (indien gewenst).
Als uw BCP nog nooit getest is, is de werkelijke effectiviteit onbekend — een score zegt dan vooral iets over de papieren staat. Plan binnen 90 dagen een tabletop-oefening van het meest kritische proces; dat geeft meer inzicht dan welk rapport ook.
Wat zit er in het rapport?
De Premium Business Continuity Assessment levert een compleet, professioneel rapport. Het rapport bevat:
- Volwassenheids-meting tegen alle zes BCP-pijlers (ISO 22301)
- 40+ controls met gap-analyse en prioritering
- Oefen-kalender template voor 24 maanden
- RTO/RPO-overzicht per kritisch proces
- Roadmap richting volledige BCP-conformiteit
- Downloadbaar PDF-rapport (NL/EN) voor BCP-coördinator en bestuur
- 3 herhalingen om voortgang halfjaarlijks te meten
Veelgestelde vragen
Wat is het verschil tussen BCP en DR?
BCP (Business Continuity Plan) gaat over het draaiend houden van de organisatie als geheel: mensen, processen, communicatie. DR (Disaster Recovery) is het IT-deel: data, applicaties en infrastructuur herstellen. DR is een onderdeel van BCP, niet andersom.
Is dit hetzelfde als de NIS2 BCP-eis?
NIS2 vereist dat «essentiële» en «belangrijke» entiteiten een proportionele BCP hebben. Deze assessment dekt die eis en gaat verder — ook nuttig voor organisaties die niet onder NIS2 vallen maar wel weerbaarheid willen.
Wat is een «tabletop-oefening»?
Een gestructureerde sessie van 2-3 uur waarin een crisis-scenario wordt doorlopen aan tafel: wie doet wat, welke beslissingen worden wanneer genomen? Geen technische uitvoering, wel echt nadenken. De assessment levert templates voor 5 veelvoorkomende scenario's.
Moet onze hosting-leverancier ook een BCP hebben?
Voor kritische ICT-leveranciers (zoals BasisHost zelf) ja — vaak contractueel afgedwongen via een BCP/DR-clausule. De assessment helpt u te bepalen voor welke leveranciers dit vereist is en welke vragen u moet stellen bij contract-vernieuwing.
Volledige BCP/DR-toets met BIA, RTO/RPO-analyse, oefen-kalender en roadmap richting ISO 22301-conformiteit.
Bestel de Premium Business Continuity Assessment