Back-up- en herstelbeleid - SME

Het back-up- en herstelbeleid (P15S) biedt een uitgebreide aanpak om te waarborgen dat alle essentiële bedrijfsgegevens worden beschermd tegen verlies en snel kunnen worden hersteld bij een verstoring. Dit beleid is specifiek ontwikkeld voor kleine en middelgrote ondernemingen (SME's) en erkent de structurele realiteit van organisaties zonder complexe IT-afdelingen, zoals het ontbreken van toegewijde SOC-teams of een Chief Information Security Officer (CISO). Daarom wijst het belangrijke toezicht- en besluitvormingsverantwoordelijkheden toe aan de algemeen directeur (GM), waardoor het zowel praktisch als in lijn met ISO/IEC 27001:2022 is. In de kern stelt het beleid afdwingbare regels vast die regelmatige back-ups vereisen van alle kritieke gegevens, waaronder financiële, klant-, HR- en bedrijfssysteeminformatie op desktops, servers en cloudtoepassingen. Het beleid is precies over de scope en vereist opname van back-upmedia zoals USB-sticks of cloudgebaseerde oplossingen. Het verplicht alle medewerkers met verantwoordelijkheid voor gegevensverwerking, samen met externe IT-ondersteuningsproviders, om de voorgeschreven protocollen voor back-up en veilige opslag strikt te volgen. P15S beschrijft duidelijke doelstellingen: waarborgen dat alle kritieke gegevens veilig worden geback-upt met intervallen die zijn afgestemd op risicobeoordelingen, tijdig en volledig gegevensherstel garanderen, en ongeautoriseerde toegang of manipulatie voorkomen via robuuste encryptie en opslagcontrole. Rollen en verantwoordelijkheden zijn duidelijk afgebakend: de GM is verantwoordelijk voor beleidsnaleving, toewijzing van middelen, jaarlijkse herzieningen en incidenttoezicht, terwijl IT-providers de technische implementatie en rapportage verzorgen. Medewerkers moeten werk uitsluitend opslaan op goedgekeurde systemen, wat het risico verder verlaagt. Het beleid vereist een gedocumenteerd back-upplan met daarin wat wordt geback-upt, de frequentie, bewaartermijnen en richtsnoeren voor veilige verwijdering die zijn gebaseerd op gerelateerde beleidslijnen. Back-ups moeten volgens vaste schema's worden uitgevoerd, bijvoorbeeld dagelijks of wekelijks voor financiële administratie, maandelijks voor systeemconfiguraties en waar mogelijk incrementeel voor gedeelde bestanden. Kritieke beheersmaatregelen vereisen dat gegevens op ten minste twee locaties worden opgeslagen (zoals lokaal en in de cloud), versleuteld wanneer offsite, en strikt toegankelijk voor geautoriseerd personeel. Logs, rapportages en periodieke tests van herstelprocedures zijn verplicht, ter ondersteuning van zowel operationele betrouwbaarheid als auditvereisten voor normen zoals ISO/IEC 27001 en GDPR. Risico- en uitzonderingsbeheer zijn ingebouwd: elke afwijking, lapse of technisch falen moet worden gedocumenteerd, gemotiveerd en goedgekeurd door de GM. Verboden handelingen, zoals het opslaan van kritieke gegevens op niet-goedgekeurde apparaten of het overslaan van hersteltests, worden expliciet benoemd. Jaarlijkse en incidentgedreven beleidsherzieningen zorgen voor voortdurende afstemming op juridische, regelgevende en technische ontwikkelingen. Voor kwesties die back-up of herstel beïnvloeden, volgen escalatie en documentatie het incidentresponsbeleid (P30S), waarmee geïntegreerde governance binnen het informatiebeheerlandschap van de SME wordt geborgd. Dit beleid stelt SME's daarmee in staat om internationale nalevingsvereisten te realiseren met een structuur die is afgestemd op hun operationele realiteit.