Norm OP.02 Procedures voor back-up en herstel
Waarom is dit nodig?
Als je een strategie hebt voor back-upEen reservekopie van gegevens, zodat bij beschadiging of verlies van gegevens herstel
kan plaatsvinden. en herstel en daar procedures opricht en regelmatig test, verminder je daarmee het risico om bij een incident meer data te verliezen dan acceptabel is voor je organisatie. Tegelijk verlaag je de kosten van herstel.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er zijn geen procedures voor back-up en herstel.
2 Herhaalbaar
- Er zijn procedures voor back-up en herstel van systemen, applicaties, data en documentatie.
- Het back-upschema en de retentie-eisen zijn niet (volledig) in lijn met de eisen van de organisatie.
3 Bepaald (streefniveau)
- Er zijn passende procedures en beleid voor de back-up van systemen, applicaties, data en documentatie, en deze nemen zowel organisatie- als beveiligingseisen in overweging.
- Beleid en procedures zijn in lijn met organisatiebehoeften en goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
- De verantwoordelijkheden voor het maken, herstellen en bewaken van back-ups zijn duidelijk toegewezen.
- De prioriteit voor dataherstel is gebaseerd op eisen die de organisatie heeft bepaald en procedures voor de continuïteit van it-diensten.
4 Beheerst
Aanvullend op niveau 3:
- Door middel van het risicomanagementmodel en it-servicecontinuïteitsplan wordt periodiek bepaald welke data essentieel is voor de organisatie.
- Er worden periodiek voldoende hersteltesten uitgevoerd om te garanderen dat alle componenten van back-ups effectief en correct hersteld kunnen worden.
- De operationele effectiviteit van back-up- en herstelprocedures worden periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De performance van het back-up- en herstelproces wordt periodiek aan het schoolbestuur of de schoolleiding gerapporteerd en indien nodig worden verbeteringen voorgesteld.
- De procedures zijn een belangrijk onderdeel van de disasterrecoveryplanning van de organisatie.
- Systemen, applicaties, gegevens en documentatie die door derden worden onderhouden of verwerkt, worden adequaat geback-upt of anderszins beveiligd.
- Teruggave van back-ups door derden is verplicht en escrow- of deponeringsregelingen worden overwogen.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Bepaal voor alle systemen, applicaties en dataverwerkingen welke eisen er zijn voor back-up- en herstelprocedures. Leg dit vast in een beleidsdocument en in procedures die voldoen aan de eisen.
- Zorg dat het schoolbestuur of de schoolleiding het beleid en de bijbehorende procedures vaststelt.
- Neem dataherstel op in het bedrijfscontinuïteitsplan. Zie voor meer informatie norm BC.01 Bedrijfscontinuïteisplanning.
Gerelateerde wetten en normen
Norm OP.02 Procedures voor back-up en herstel is gerelateerd aan de ISO-standaard 27001:2022 en het certificeringsschema ROSA.
ISO 27001/2:2022
- A8.13
- A8.16
Certificeringsschema ROSA
- Beschikbaarheid/Herstel
- Integriteit van de gegevens/Backup