Neem contact op

De RTO en RPO uitgelegd

07-09-2023

De Business Impact Analyse

Een Business Impact Analyse (BIA) is de eerste stap in het proces van het opmaken van het Bedrijfscontinuïteitsplan (BCP). Met behulp van een BIA kan worden bepaald wat de impact is op de belangrijke bedrijfsprocessen als deze niet meer kunnen worden uitgevoerd als gevolg van een calamiteit. Een belangrijk onderdeel van de Business Impact Analyse is het vaststellen van de Recovery Time Objective (RTO) en de Recovery Point Objective (RPO). Dit zijn twee meetwaarden bij (gegevens) herstel van een calamiteit.

Recovery Time Objective (RTO)

De RTO is de tijd die nodig is om de processen en systemen te herstellen na een calamiteit om een bepaalde impact te voorkomen. Ook wel de hersteltijddoelstelling genoemd. Een organisatie stelt de tijdsduur vast tussen het begin van de calamiteit en het herstel. Daarnaast wordt vastgesteld wat de herstelstappen zijn die bijvoorbeeld een IT-team moet ondernemen om het herstel van de processen en systemen te realiseren. Hoe lager de RTO, hoe sneller het herstel moet zijn om de impact op de bedrijfsvoering te minimaliseren. Bij het vaststellen van de RTO kan je antwoord geven op vragen als: hoeveel downtime kan jouw organisatie zich verloven? Wat is het budget voor het herstellen van processen en systemen? En wat heb je nodig voor een volledig herstel? De RTO kan voor elke organisatie verschillen.

Recovery Point Objective (RPO)

De RPO specificeert hoeveel dataverlies een organisatie zich kan veroorloven zonder dat het significante schade oploopt. Dit wordt ook wel de herstelpuntdoelstelling genoemd. Er wordt bepaalt wat de maximale tijd is die mag verstrijken tussen de laatste back-up en het moment dat de calamiteit plaatsvindt. Een RPO is afhankelijk van de aard en de waarde van de gegevens, de frequentie van de back-ups en de beschikbaarheid van alternatieve opslaglocaties. Hoe lager de RPO, hoe minder gegevensverlies er optreedt en hoe sneller een organisatie kan herstellen. Bij het vaststellen van de RPO kan je antwoord geven op vragen als: Hoe vaak worden bedrijfskritieke gegevens gewijzigd? Hoe vaak wordt er een back-up gemaakt? Hoeveel opslagruimte is er beschikbaar voor de back-up?

Hieronder tref je een schematische voorstelling van de RPO en de RTO.

De verschillen

Ondanks dat RTO en RPO beide meetindicatoren zijn voor bedrijfscontinuïteit, zijn er ook verschillen. De verschillen zijn:

  • De RTO wordt gemeten direct vanaf het begin van de calamiteit, terwijl de RPO gemeten kan worden na de onderbreking van de bedrijfsvoering.
  • RTO is gericht op de tijd in de toekomst en RPO op tijd in het verleden. De RTO bepaalt hoeveel tijd er nodig is om processen en systemen te herstellen. De RPO behandelt de tijd in het verleden vóór het gegevensverlies toen gegevens werden bewaard tot de laatste recente back-up, waarmee het bedrijf gegevens kan herstellen om de normale activiteiten te hervatten.
  • De RPO gaat over dataverlies en daar wordt bij RTO niet naar gekeken.
  • RTO omvat de stappen die door de IT worden genomen om verschillende rampen te beperken of te herstellen. Maar RPO bepaalt hoe ver het IT-team terug moet gaan tot het laatste tijdstip en wat er moet gebeuren om de operaties terug te brengen naar een toestand van vóór de ramp.
  • RTO is lastiger te bepalen omdat er rekening gehouden moet worden met verschillende factoren, zoals lineaire tijdframes, dag van de calamiteit etc. De datagebruik bij het vaststellen van de RPO is grotendeels consistent.

Hulp nodig?

Onze consultants kunnen jou uitstekend ondersteunen bij het vaststellen van de RPO en RTO als onderdeel van de Business Impact Analyse. Neem contact op voor meer informatie.

Reduce Risk, Create Value!

Contact

Deel deze pagina! Kies je platform