Norm BC.03 Offsite back-upopslag

Alle kritieke back-upmedia, documentatie en andere IT-resources die nodig zijn in het kader van IT-herstel- en bedrijfscontinuïteitsplannen worden offsite opgeslagen. De inhoud van back-upopslag wordt bepaald in samenspraak met de eigenaren van bedrijfsprocessen en IT-medewerkers. Het beheer op de externe opslagfaciliteit werkt op basis van het beleid voor dataclassificatie en de gebruikelijk manier van mediaopslag van de organisatie. IT-management zorgt ervoor dat offsite-arrangementen periodiek, ten minste jaarlijks, worden beoordeeld op inhoud, bescherming tegen omgevingsfactoren en beveiliging. De compatibiliteit van hardware en software voor het herstellen van gearchiveerde gegevens is gewaarborgd en gearchiveerde gegevens worden periodiek getest en ververst.

Waarom is dit nodig?

Back-ups en andere IT-resources die op een andere locatie dan de school zijn opgeslagen kun je inzetten op het moment dat de IT-infrastructuur van de school fysiek beschadigd is.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Back-upmedia worden niet, of slechts gedeeltelijk, offsite opgeslagen.
Er worden geen extra maatregelen genomen om verlies van data te voorkomen in geval van nood bij het primaire datacenter.

2 Herhaalbaar

De organisatie heeft een beknopte inventarisatie gedaan van kritieke media die offsite opgeslagen moeten worden.
De inhoud van back-ups wordt bepaald in onderling overleg tussen proceseigenaren en IT-medewerkers.
Er zijn maatregelen genomen om offsite back-upopslag van kritieke media te garanderen.

3 Bepaald (streefniveau)

Er is een gedetailleerd overzicht van alle kritieke back-upmedia die offsite opgeslagen dienen te worden. Het overzicht is vastgesteld door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
Aan het management worden duidelijke beschrijvingen van de noodzakelijke dataopslagbeheersmaatregelen gegeven over de offsite opslagfaciliteit, inclusief transport, herstelinstructies, labelen en voorraadlijsten van back-upmedia.
De offsiteregeling is in lijn met de vereisten voor bedrijfscontinuïteit en wordt periodiek geëvalueerd.

4 Beheerst

Aanvullend op niveau 3:

Het beheer van de offsiteopslagfaciliteiten handelt op basis van dataclassificatiebeleid en de procedures voor mediaopslag van de organisatie.
Het IT-management evalueert periodiek de offsitefaciliteiten, in het bijzonder inhoud, beveiliging en bescherming tegen omgevingsfactoren.
Back-updata wordt regelmatig getest en hersteld om de kwaliteit van de data te waarborgen.
De compatibiliteit van hardware en software betrokken bij het herstel van gearchiveerde data wordt periodiek getest.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

De offsitefaciliteiten worden voortdurend verbeterd.
Mirroring van kritieke media door middel van cloudoplossingen wordt toegepast wanneer realtime back-ups van kritieke media nodig zijn.

Voorbeelddocumenten

Procesbeschrijving Back-up en herstel van gegevens – voorbeelddocument (docx)

Gerelateerde wetten en normen

Norm BC.03 Offsite back-upopslag is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

A8.13

Certificeringsschema IBP ROSA

Integriteit van de gegevens/Backup

Afdrukken