Back-up- en herstelplan

Gegevensverlies of systeemuitval, we denken er liever niet aan. Hoe goed je informatiebeveiliging ook regelt en ook al doet iedereen op school zijn best doet om zich aan de ict-regels en -afspraken te houden, het kan toch een keer misgaan. Zorg er daarom met een back-upplan en herstelplan voor dat je bent voorbereid op incidenten of calamiteiten als brand en ransomeware-aanvallen in je ict-omgeving.

Elke verstoring van de ict-omgeving kan grote impact hebben op het onderwijs of het werk van de ondersteunende afdelingen. Lesuitval, toetsen die niet doorgaan, verloren documenten, te laat betaalde facturen of salarissen – het zijn reële risico’s. Wat doe je als een onderdeel van de ict-omgeving niet meer werkt, als een belangrijk systeem uitvalt of als de school het doelwit is van een ransomware-aanval? Twee belangrijke elementen bij de voorbereiding op een dergelijke situatie zijn het hebben van goede back-ups en het hebben van een goed herstelplan.

Back-upbeleid

En back-up is eenvoudig gezegd een kopie van bestand of een it-systeem die buiten de eigen ict-omgeving bewaard wordt. Wanneer het originele bestand of it-systeem om welke reden dan ook niet meer beschikbaar is, dan kan de kopie worden ingezet. In veel gevallen is een back-up dé manier om een probleem op te lossen of een systeem te herstellen. Beschrijf daarom in je ict-beleid hoe jouw organisatie omgaat met de back-ups van bestanden en it-systemen.

Herstelplan: draaiboek bij incidenten en calamiteiten 

Wanneer jouw school geconfronteerd wordt met een incident of calamiteit, moet je snel en adequaat kunnen reageren. Daarom is het belangrijk om vooraf na te denken hoe je met bepaalde situaties zult omgaan. Want anders dreigt op het moment waarop een incident of calamiteit plaatsvindt de paniek snel de overhand te krijgen. Maak daarom een herstelplan. Een herstelplan is een soort draaiboek dat stap voor stap beschrijft wie wat moet doen bij een incident of calamiteit. De bedoeling van het herstelplan is de normale situatie zo snel mogelijk te kunnen herstellen.

Eerst een risicoanalyse maken

Voor zowel het back-upbeleid als het herstelplan is het maken van een risicoanalyse een belangrijke eerste stap. Op basis van een risicoanalyse bepaal je welke data en it-systemen cruciaal zijn voor de voortgang van het onderwijs en de bedrijfsvoering. Met dit inzicht kan je vervolgens invulling geven aan het back-upbeleid en het herstelplan.

Aandachtspunten back-upplan

Uit de risicoanalyse blijkt aan welke data en welke it-systemen in het back-upbeleid aandacht moet worden besteed. Houd bij het opstellen van het beleid rekening met de volgende zaken:

  1. Bepaal de noodzaak en de frequentie van de back-ups. Vaak is het niet nodig om dagelijks een back-up te maken. Dit geldt bijvoorbeeld voor data of it-systemen die niet vaak gebruikt worden. Voor it-systemen die online worden aangeboden heeft de leverancier vaak al een voorziening die voldoet aan de eisen van de organisatie.
  2. Bewaar back-ups buiten de eigen ict-omgeving. Wanneer een back-up in de eigen ict-omgeving wordt bewaard, bestaat de kans dat een incident of calamiteit (brand, virusbesmetting, ransomware-aanval) ook de back-up raakt. Daarom is het van belang om de back-up buiten de eigen ict-omgeving te bewaren.
  3. Test regelmatig of back-ups gelukt zijn. Een back-up is natuurlijk alleen bruikbaar als deze gelukt is. Daarom is het goed om regelmatig te testen of data of it-systemen na het terugzetten van een back-up ook daadwerkelijk weer beschikbaar zijn.

Aandachtspunten herstelplan

Een herstelplan of calamiteitenplan is er om na een incident of calamiteit de schade te beperken en zo snel mogelijk weer les te kunnen geven en aan het werk te kunnen. Let bij het opstellen van het plan op de volgende zaken: 

  1. Stel een team samen dat verantwoordelijk is voor de afhandeling van incidenten en calamiteiten. Maak voor de hele organisatie duidelijk wie de leden van dit team zijn, welke taken en verantwoordelijkheden zij hebben en zorg voor de juiste training en opleiding van de leden.
  2. Beschrijf meerdere scenario’s, van een klein incident tot een grote calamiteit. De aanpak kan verschillen, net als de personen en partijen die betrokken of geïnformeerd moeten worden. Door scenario’s uit te werken denk je vooraf na over verschillende manieren om met bepaalde situaties om te gaan en ben je beter voorbereid als het incident zich voordoet.
  3. Oefen de uitvoering van het plan. Een plan maken is één ding, een plan uitvoeren is iets heel anders. Daarom is het belangrijk om de uitvoering van het herstelplan regelmatig te oefenen. Bij het oefenen komen zaken naar voren waar nog niet of niet goed genoeg over is nagedacht. Het herstelplan kan daarmee worden verbeterd. Daarnaast is oefenen nodig om ervaring op te doen met het uitvoeren van het plan, zodat mensen in het geval van een incident of calamiteit al enige routine hebben in de afhandeling ervan. 

Weet iedereen wat hij moet doen bij een incident?

Back-up- en herstelplannen werken alleen als iedereen binnen en buiten de organisatie weet wat hij of zij moet doen en waar hij terecht kan in geval van een incident of calamiteit. Denk hierbij dus zowel aan je interne als aan je externe communicatie. 
 
Zorg dat belangrijke documenten goed geborgd en veilig bewaard worden. Zo moet een herstelplan natuurlijk toegankelijk zijn in het geval van een incident of calamiteit. Dan moet het plan niet op een server of in een it-systeem staan die door de calamiteit niet meer beschikbaar is. Bewaar bijvoorbeeld een papieren versie in een brandveilige kluis en een digitale versie op een externe harde schijf op een andere locatie dan de school.

Wie doet wat?

  • Ict-verantwoordelijke: zorgt voor beleid, bewaking van activiteiten, communicatie.
  • Ict-beheer (intern of extern): zorgt voor de technische uitvoering.
  • Externe partijen (leveranciers online it-systemen): zorgen voor technische uitvoering.

Lees meer over back-up- en herstelplannen

Inhoudsopgave