Back-up- en herstelbeleid

Het back-up- en herstelbeleid (P15) stelt de verplichte vereisten van de organisatie vast voor het back-uppen en herstellen van gegevens, systemen en toepassingen. Het primaire doel is het waarborgen van de operationele veerkracht en integriteit van de organisatie, ter ondersteuning van bedrijfscontinuïteit, zelfs tijdens grote verstoringen zoals systeemstoringen, cyberaanvallen of onbedoelde verwijderingen. In de kern beschrijft het beleid zowel een gestandaardiseerde aanpak voor back-upoperaties als duidelijke herstelparameters, met name door verwachtingen voor RTO (Recovery Time Objective) en RPO (Recovery Point Objective) te definiëren. Deze vereisten zijn nauw afgestemd op het managementsysteem voor informatiebeveiliging (ISMS) en de Business Continuity Plans van de organisatie, waardoor juridische, regelgevende en operationele naleving wordt geborgd. De scope van het beleid is uitgebreid: het heeft invloed op alle bedrijfskritische en operationele systemen die onder het ISMS-toepassingsgebied vallen, inclusief gestructureerde en ongestructureerde data zoals databanken, bestanden, e-mails en configuratie-instellingen. Het strekt zich uit tot alle typen operationele omgevingen (on-premises, hybride, cloud), back-upmedia (fysiek, virtueel, offsite) en personeel dat back-upprocessen beheert of uitvoert. Systemen die van back-upoperaties moeten worden uitgesloten, moeten worden onderworpen aan een risicobeoordeling, worden gedocumenteerd en formeel worden goedgekeurd, wat de nadruk van het beleid op risicomanagement en verantwoordingsplicht onderstreept. Binnen de doelstellingen specificeert het beleid dat alle kritieke activa moeten worden geback-upt met passende frequentie, redundantie en encryptie, met documentatie van alle procedures, bewaarschema’s en aangewezen rollen. Herstelmechanismen moeten voldoen aan vooraf gedefinieerde RTO- en RPO-drempels op basis van businessimpactanalyses. De integriteit en doeltreffendheid van de back-upomgeving worden gevalideerd via regelmatige hersteltests en het onderhouden van een audittrail. Voor regelgevende afstemming handhaaft het beleid rechtstreeks beheersmaatregelen uit ISO/IEC 27001:2022 (waaronder operationele continuïteit en veilige afvoer), ISO/IEC 27002:2022 (zoals integriteit en herstelplanning), evenals vereisten uit NIST SP 800-53, GDPR, EU NIS2 en DORA. Contracten met dienstverleners van derde partijen voor back-ups moeten de verwachtingen van de organisatie weerspiegelen met betrekking tot encryptie, afvoer, incidentmelding en auditbewijsmateriaal van tests. Rollen en verantwoordelijkheden worden expliciet uitgewerkt, met strategisch toezicht door uitvoerend leiderschap en de Chief Information Security Officer (CISO), operationele uitvoering door IT en IT-operaties, en gespecialiseerde governance door de DPO, applicatie-eigenaren en relevante leveranciers. Het beleid verplicht een centrale back-upkalender, regelmatige beoordelingscycli, sterke encryptie, gescheiden back-upomgevingen en strikte beheersmaatregelen voor wijzigingsbeheer. Strikte governance waarborgt dat auditlogs worden bijgehouden, uitzonderingen zorgvuldig worden beheerst en risicobeoordeeld, en herstelmogelijkheden op vastgestelde intervallen worden getest. Daarnaast leidt niet-naleving tot disciplinaire maatregelen voor intern personeel en tot sancties of escalatie voor leveranciers, waarbij de regelmatige beoordeling van logboeken, schema’s en gerelateerde documentatie onderdeel vormt van audit- en assuranceprocessen. Tot slot wordt het beleid ten minste jaarlijks herzien, zodat updates strategische, juridische of technologische wijzigingen weerspiegelen, met communicatie aan alle betrokken partijen. Door koppeling met een reeks governancedocumenten (risicobeheer, assetmanagement, gegevensclassificatie, gegevensbewaringsbeleid, gegevensmaskering en incidentrespons) is dit beleid ingebed in de brede aanpak van de organisatie voor gegevensbeveiliging, continuïteit en naleving van de regelgeving.