Norm OP.02 Procedures voor back-up en herstel

De organisatie heeft een strategie ingevoerd voor het maken van back-ups van relevante data en programma’s. Back-up- en herstelprocedures zijn formeel gedefinieerd en ingevoerd voor alle daarvoor aangewezen systemen. Het back-upschema en de retentieperiode zijn in lijn met de door de organisatie geaccepteerde risico’s voor dataverlies, gebaseerd op de gevoeligheid van het systeem en de kosten voor handmatig herstel. Herstelprocedures worden periodiek getest en gedocumenteerd.

Waarom is dit nodig?

Als je een strategie hebt voor back-up en herstel en daar procedures opricht en regelmatig test, verminder je daarmee het risico om bij een incident meer data te verliezen dan acceptabel is voor je organisatie. Tegelijk verlaag je de kosten van herstel.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er zijn geen procedures voor back-up en herstel.
2 Herhaalbaar
  • Er zijn procedures voor back-up en herstel van systemen, applicaties, data en documentatie.
  • Het back-upschema en de retentie-eisen zijn niet (volledig) in lijn met de eisen van de organisatie.
3 Bepaald (streefniveau)
  • Er zijn passende procedures en beleid voor de back-up van systemen, applicaties, data en documentatie, en deze nemen zowel organisatie- als beveiligingseisen in overweging.
  • Beleid en procedures zijn in lijn met organisatiebehoeften en goedgekeurd door het schoolbestuur of de schoolleiding.
  • De verantwoordelijkheden voor het maken, herstellen en bewaken van back-ups zijn duidelijk toegewezen.
  • De prioriteit voor dataherstel is gebaseerd op eisen die de organisatie heeft bepaald en procedures voor de continuïteit van it-diensten.
4 Beheerst

Aanvullend op niveau 3:

  • Door middel van het risicomanagementmodel en it-servicecontinuïteitsplan wordt periodiek bepaald welke data essentieel is voor de organisatie.
  • Er worden periodiek voldoende hersteltesten uitgevoerd om te garanderen dat alle componenten van back-ups effectief en correct hersteld kunnen worden.
  • De operationele effectiviteit van back-up- en herstelprocedures worden periodiek geëvalueerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De performance van het back-up- en herstelproces wordt periodiek aan het schoolbestuur of de schoolleiding gerapporteerd en indien nodig worden verbeteringen voorgesteld.
  • De procedures zijn een belangrijk onderdeel van de disasterrecoveryplanning van de organisatie.
  • Systemen, applicaties, gegevens en documentatie die door derden worden onderhouden of verwerkt, worden adequaat geback-upt of anderszins beveiligd.
  • Teruggave van back-ups door derden is verplicht en escrow- of deponeringsregelingen worden overwogen.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Bepaal voor alle systemen, applicaties en dataverwerkingen welke eisen er zijn voor back-up- en herstelprocedures. Leg dit vast in een beleidsdocument en in procedures die voldoen aan de eisen.
  • Zorg dat het schoolbestuur of de schoolleiding het beleid en de bijbehorende procedures vaststelt.
  • Neem dataherstel op in het bedrijfscontinuïteitsplan. Zie voor meer informatie norm BC.01 Bedrijfscontinuïteisplanning.

Gerelateerde wetten en normen

Norm OP.02 Procedures voor back-up en herstel is gerelateerd aan de ISO-standaard 27001:2022 en het certificeringsschema ROSA.

ISO 27001/2:2022

  • A8.13
  • A8.16

Certificeringsschema ROSA

  • Beschikbaarheid/Herstel
  • Integriteit van de gegevens/Backup
Afdrukken

Op deze pagina