Norm BC.02 Testen van disaster recovery

Bedrijfs- en it-continuïteitsplannen worden regelmatig getest zodat essentiële systemen en diensten effectief kunnen worden hersteld, tekortkomingen worden aangepakt en het plan relevant blijft. Dit vereist een zorgvuldige voorbereiding, documentatie, rapportage van de resultaten, en de implementatie van een actieplan. De mate van testherstel in afzonderlijke applicaties varieert van geïntegreerde testscenario's tot end-to-endtests en geïntegreerde leverancierstests.

Waarom is dit nodig?

Als je de bedrijfs- en it-continuïteitsplannen test, kom je erachter of ze voldoen of dat ze tekortschieten. Indien nodig kun je de plannen dan verbeteren. Test je de plannen niet, dan loop je het gevaar dat ze niet werken op het moment dat je ze nodig hebt.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Het testen van it-continuïteitsplannen wordt niet of ad hoc uitgevoerd.
  • Er is een geïsoleerde testbenadering voor sommige kritieke applicaties en enkele eenvoudige hersteltests voor infrastructuurcomponenten.
2 Herhaalbaar
  • Het it-continuïteitsplan wordt regelmatig getest (eenmaal per jaar).
  • Er is een beperkte consolidatie van individuele hersteltestmethoden voor kritieke toepassingen. Het testen gebeurt meestal via geïsoleerde testen op individuele applicaties en onderliggende infrastructuur.
3 Bepaald (streefniveau)
  • Bedrijfs- en it-continuïteitsplannen worden getest via goedgekeurde, geïntegreerde test-/herstelscenario’s.
  • Bedrijfs- en it-continuïteitsplannen worden op regelmatige basis getest (ten minste eenmaal per jaar) om ervoor te zorgen dat essentiële systemen effectief kunnen worden hersteld, dat tekortkomingen worden aangepakt en dat het plan up-to-date blijft.
  • Er is voorzien in een gedegen voorbereiding, documentatie, rapportage van de testresultaten en, afhankelijk van de resultaten, uitvoering van een actieplan.
4 Beheerst

Aanvullend op niveau 3:

  • Geïntegreerde bedrijfscontinuïteitstests worden uitgevoerd voor het volledige bedrijfskritische applicatie- en infrastructuurlandschap. Dat wil zeggen een volledige failovertest inclusief het herstel van bedrijfsspecifieke activiteiten en werkplekken.
  • Bewezen hersteltools zijn aanwezig voor alle applicaties, en infrastructuurcomponenten, applicaties en services voor alle lagen zijn ondergebracht.
  • Er zijn succesvolle tests op meerdere niveaus voor applicaties en infrastructuurcomponenten.
  • De testplannen voor bedrijfs- en it-continuïteit worden periodiek herzien.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De organisatie slaagt standaard voor haar BC/DR-tests zonder grote tekortkomingen of uitzonderingen omdat haar procedures en capaciteiten over de duur van een paar jaar zijn gefinetuned.
  • Periodieke rapporten over de geteste effectiviteit van de continuïteitsplannen worden naar het schoolbestuur of de schoolleiding gestuurd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Test voor kritische applicaties periodiek of de continuïteitsplannen werken.
  • Documenteer de tests zorgvuldig, zodat de resultaten waar nodig leiden tot verbeteracties.

Gerelateerde wetten en normen

Norm BC.02 Testen van disaster recovery is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

  • A5.29
  • A5.30

Certificeringsschema IBP ROSA

  • Beschikbaarheid/Herstel
Afdrukken

Op deze pagina