Norm BC.03 Offsite back-upopslag
Alle kritieke back-upmedia, documentatie en andere it-resources die nodig zijn in het kader van it-herstel- en bedrijfscontinuïteitsplannen worden offsite opgeslagen. De inhoud van back-upopslag wordt bepaald in samenspraak met de eigenaren van bedrijfsprocessen en it-medewerkers. Het beheer op de externe opslagfaciliteit werkt op basis van het beleid voor dataclassificatie en de gebruikelijk manier van mediaopslag van de organisatie. It-management zorgt ervoor dat offsite-arrangementen periodiek, ten minste jaarlijks, worden beoordeeld op inhoud, bescherming tegen omgevingsfactoren en beveiliging. De compatibiliteit van hardware en software voor het herstellen van gearchiveerde gegevens is gewaarborgd en gearchiveerde gegevens worden periodiek getest en ververst.
Waarom is dit nodig?
Back-ups en andere it-resources die op een andere locatie dan de school zijn opgeslagen kun je inzetten op het moment dat de it-infrastructuur van de school fysiek beschadigd is.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Back-upmedia worden niet, of slechts gedeeltelijk, offsite opgeslagen.
- Er worden geen extra maatregelen genomen om verlies van data te voorkomen in geval van nood bij het primaire datacenter.
2 Herhaalbaar
- De organisatie heeft een beknopte inventarisatie gedaan van kritieke media die offsite opgeslagen moeten worden.
- De inhoud van back-ups wordt bepaald in onderling overleg tussen proceseigenaren en it-medewerkers.
- Er zijn maatregelen genomen om offsite back-upopslag van kritieke media te garanderen.
3 Bepaald (streefniveau)
- Er is een gedetailleerd overzicht van alle kritieke back-upmedia die offsite opgeslagen dienen te worden. Het overzicht is vastgesteld door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
- Aan het management worden duidelijke beschrijvingen van de noodzakelijke dataopslagbeheersmaatregelen gegeven over de offsite opslagfaciliteit, inclusief transport, herstelinstructies, labelen en voorraadlijsten van back-upmedia.
- De offsiteregeling is in lijn met de vereisten voor bedrijfscontinuïteit en wordt periodiek geëvalueerd.
4 Beheerst
Aanvullend op niveau 3:
- Het beheer van de offsiteopslagfaciliteiten handelt op basis van dataclassificatiebeleid en de procedures voor mediaopslag van de organisatie.
- Het it-management evalueert periodiek de offsitefaciliteiten, in het bijzonder inhoud, beveiliging en bescherming tegen omgevingsfactoren.
- Back-updata wordt regelmatig getest en hersteld om de kwaliteit van de data te waarborgen.
- De compatibiliteit van hardware en software betrokken bij het herstel van gearchiveerde data wordt periodiek getest.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De offsitefaciliteiten worden voortdurend verbeterd.
- Mirroring van kritieke media door middel van cloudoplossingen wordt toegepast wanneer realtime back-ups van kritieke media nodig zijn.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Stel op basis van de continuïteitseisen vast welke back-ups hoe vaak gemaakt moeten worden en welke daarvan op een andere locatie opgeslagen moeten worden. Leg dit overzicht voor aan het schoolbestuur en stel het vast.
- Maak duidelijke afspraken over de manier waarop de data worden opgeslagen.
- Bekijk jaarlijks of de off-site backup nog passend is bij de eisen van de organisatie.
Gerelateerde wetten en normen
Norm BC.03 Offsite back-upopslag is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.
ISO 27001/2:2022
- A8.13
Certificeringsschema IBP ROSA
- Integriteit van de gegevens/Backup