Back-up- en herstelplan

Elke verstoring van de ict-omgeving kan grote impact hebben op het onderwijs of het werk van de ondersteunende afdelingen. Lesuitval, toetsen die niet doorgaan, verloren documenten, te laat betaalde facturen of salarissen – het zijn reële risico’s. Wat doe je als een belangrijk systeem uitvalt of als de school het doelwit is van een ransomware-aanval? Een goed back-up- en herstelplan zijn in dat soort situaties noodzakelijk.

Back-up plan

Een back-up is een kopie van bestand of een it-systeem die buiten de eigen ict-omgeving bewaard wordt. Is het originele bestand of it-systeem niet meer beschikbaar? Dan kan de kopie worden ingezet. Beschrijf daarom in je ict-beleid hoe jouw organisatie omgaat met de back-ups van bestanden en it-systemen.

Herstelplan

Wanneer jouw school geconfronteerd wordt met een incident of calamiteit, moet je snel en adequaat kunnen reageren. Maak daarom een herstelplan. Een herstelplan is er om na een incident of calamiteit de schade te beperken en zo snel mogelijk weer les te kunnen geven en aan het werk te kunnen. Het dwingt je bovendien om vooraf na te denken hoe je met bepaalde situaties omgaat en voorkomt dat paniek de overhand krijgt. In een herstelplan beschrijf je stap voor stap wie wat doet bij een incident of calamiteit. Het uitgangspunt van het herstelplan is om de normale situatie zo snel te herstellen.

Wie doet wat? 

Bij het maken van een back-up- en herstelplan zijn verschillende rollen betrokken met elk hun eigen taken:

• De ict-verantwoordelijke zorgt voor beleid, bewaking van activiteiten, communicatie.
• De ict-beheerder zorgt voor de technische uitvoering en eventuele aansturing van externe partijen die verantwoordelijk zijn voor de technische uitvoering.

Aan de slag

Hieronder beschrijven we in een aantal stappen hoe je een back-up- en herstelplan maakt. Sommige stappen zijn voor beide plannen noodzakelijk. Een aantal stappen zijn specifiek voor het back-up plan of het herstelplan bedoeld.

Stap 1 | Stel een calamiteitenteam samen

Stel een team samen dat verantwoordelijk is voor de afhandeling van incidenten en calamiteiten. Maak voor de hele organisatie duidelijk wie de leden van dit team zijn, welke taken en verantwoordelijkheden zij hebben en zorg voor de juiste training en opleiding van de leden.

Stap 2 | Stel de plannen op op basis van je risicoanalyse

Op basis van een risicoanalyse bepaal je welke data en it-systemen cruciaal zijn voor de voortgang van het onderwijs en de bedrijfsvoering. Met dit inzicht kan je vervolgens invulling geven aan het back-up beleid en het herstelplan. Houd bij een back-up plan rekening met:

• De noodzaak en de frequentie van de back-ups. Vaak is het niet nodig om dagelijks een back-up te maken. Dit geldt bijvoorbeeld voor data of it-systemen die niet vaak gebruikt worden. Voor it-systemen die online worden aangeboden heeft de leverancier vaak al een voorziening die voldoet aan de eisen van de organisatie.
• Bewaren van back-ups buiten de eigen ict-omgeving. Bewaar je een back-up in de eigen ict-omgeving? Dan bestaat de kans dat bij een incident of calamiteit – brand, virusbesmetting, ransomware-aanval – ook de back-up wordt geraakt. Bewaar de back-up daarom altijd buiten de eigen ict-omgeving.
• Regelmatig testen. Een back-up is natuurlijk alleen bruikbaar als deze gelukt is. Daarom is het goed om regelmatig te testen of data of it-systemen na het terugzetten van een back-up ook daadwerkelijk weer beschikbaar zijn.

Houd bij het herstelplan rekening met:

• Beschrijven van verschillende soorten scenario’s. Beschrijf meerdere scenario’s: van een klein incident tot een grote calamiteit. De aanpak kan namelijk per type scenario verschillen. Net als de personen en partijen die betrokken of geïnformeerd moeten worden. 

Stap 3 | Oefen de uitvoering van het herstelplan

Een herstelplan of calamiteitenplan is er om na een incident of calamiteit de schade te beperken en zo Een plan maken is één ding, een plan uitvoeren is iets heel anders. Daarom is het belangrijk om de uitvoering van het herstelplan regelmatig te oefenen. Bij het oefenen komen zaken naar voren waar nog niet of niet goed genoeg over is nagedacht. Het herstelplan kan daarmee worden verbeterd. Daarnaast is oefenen nodig om ervaring op te doen met het uitvoeren van het plan, zodat mensen in het geval van een incident of calamiteit al enige routine hebben in de afhandeling ervan.

Stap 4 | Bewaar de plannen op een veilige plaats

Zorg dat belangrijke documenten goed geborgd en veilig bewaard worden. Zo moet het herstelplan natuurlijk toegankelijk zijn in het geval van een incident of calamiteit en niet op een server of in een it-systeem staan die door de calamiteit niet meer beschikbaar is. Bewaar bijvoorbeeld een papieren versie in een brandveilige kluis en een digitale versie op een externe harde schijf op een andere locatie dan de school.

Stap 5 | Zorg dat de plannen bij iedereen bekend zijn

Back-up- en herstelplannen werken alleen als iedereen binnen en buiten de organisatie weet wat hij of zij moet doen en waar hij terecht kan in geval van een incident of calamiteit. Denk hierbij dus zowel aan je interne als aan je externe communicatie.

Verdieping

• Het uitwijk- en herstelplan
• Maak in drie stappen een goede back-up

Gerelateerde onderwerpen

Beveiligingsincidenten en datalekken melden