Norm OP.02 Procedures voor back-up en herstel

De organisatie heeft een strategie ingevoerd voor het maken van back-ups van relevante data en programma’s. Back-up- en herstelprocedures zijn formeel gedefinieerd en ingevoerd voor alle daarvoor aangewezen systemen. Het back-upschema en de retentieperiode zijn in lijn met de door de organisatie geaccepteerde risico’s voor dataverlies, gebaseerd op de gevoeligheid van het systeem en de kosten voor handmatig herstel. Herstelprocedures worden periodiek getest en gedocumenteerd.

Waarom is dit nodig?

Als je een strategie hebt voor back-upEen reservekopie van gegevens, zodat bij beschadiging of verlies van gegevens herstel
kan plaatsvinden. en herstel en daar procedures opricht en regelmatig test, verminder je daarmee het risico om bij een incident meer data te verliezen dan acceptabel is voor je organisatie. Tegelijk verlaag je de kosten van herstel.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er zijn geen procedures voor back-up en herstel.

2 Herhaalbaar

Er zijn procedures voor back-up en herstel van systemen, applicaties, data en documentatie.
Het back-upschema en de retentie-eisen zijn niet (volledig) in lijn met de eisen van de organisatie.

3 Bepaald (streefniveau)

Er zijn passende procedures en beleid voor de back-up van systemen, applicaties, data en documentatie, en deze nemen zowel organisatie- als beveiligingseisen in overweging.
Beleid en procedures zijn in lijn met organisatiebehoeften en goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
De verantwoordelijkheden voor het maken, herstellen en bewaken van back-ups zijn duidelijk toegewezen.
De prioriteit voor dataherstel is gebaseerd op eisen die de organisatie heeft bepaald en procedures voor de continuïteit van IT-diensten.

4 Beheerst

Aanvullend op niveau 3:

Door middel van het risicomanagementmodel en IT-servicecontinuïteitsplan wordt periodiek bepaald welke data essentieel is voor de organisatie.
Er worden periodiek voldoende hersteltesten uitgevoerd om te garanderen dat alle componenten van back-ups effectief en correct hersteld kunnen worden.
De operationele effectiviteit van back-up- en herstelprocedures worden periodiek geëvalueerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

De performance van het back-up- en herstelproces wordt periodiek aan het schoolbestuur of de schoolleiding gerapporteerd en indien nodig worden verbeteringen voorgesteld.
De procedures zijn een belangrijk onderdeel van de disasterrecoveryplanning van de organisatie.
Systemen, applicaties, gegevens en documentatie die door derden worden onderhouden of verwerkt, worden adequaat geback-upt of anderszins beveiligd.
Teruggave van back-ups door derden is verplicht en escrow- of deponeringsregelingen worden overwogen.

Voorbeelddocumenten

Procesbeschrijving Back-up en herstel van gegevens – voorbeelddocument (docx)

Gerelateerde wetten en normen

Norm OP.02 Procedures voor back-up en herstel is gerelateerd aan de ISO-standaard 27001:2022 en het certificeringsschema ROSA.

ISO 27001/2:2022

A8.13
A8.16

Certificeringsschema ROSA

Beschikbaarheid/Herstel
Integriteit van de gegevens/Backup

Afdrukken