Naar de inhoud Naar de navigatie
Logo ISOR [[Beveiligingsprincipes]]: in elkaar gehaakte hangsloten met de tekst ISOR Beveiliging Principe.
Afbeeldingsinformatie

Back-up van informatie

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.


ID: CLD_U.23
Beveiligingsprincipe
Versie: 2.4
Status: Actueel
Indeling
Beveiligingsaspect:
Icoon met de U van Uitvoering in wit op paars
Uitvoering
Invalshoek:
Icoon met een vraagteken en de tekst onbekend in blauw op grijs
Onbekend

Objectdefinitie

Een back-up van informatie is een reservekopie, of een andere vorm van redundante opslag, die een CSP heeft gemaakt van middelen, inclusief de informatie.

Objecttoelichting

De verdeling van de verantwoordelijkheden voor het maken van back-ups in de clouddienst verschilt per type dienst. Bij IaaS ligt de verantwoordelijkheid voor het maken van back-ups doorgaans bij de CSC. Een CSC is zich echter mogelijk niet bewust van zijn verantwoordelijkheid om back-ups te maken van alle CSC-gegevens die in de clouddienst worden geproduceerd, zoals uitvoerbare bestanden die zijn geproduceerd door het gebruik van de ontwikkelingsmogelijkheden van een PaaS-service. Verschillende niveaus van back-up en herstel kunnen tegen extra kosten als service worden aangeboden en in dit geval kunnen CSC’s kiezen wat en wanneer ze een back-up willen maken.


Criterium

Back-ups van informatie, software en systemen behoren te worden bewaard en regelmatig te worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups.

Doelstelling

Herstel mogelijk maken na verlies van gegevens of systemen.

Risico

Als back-ups van informatie binnen de clouddienst niet volledig, actueel of herstelbaar zijn ingericht, bestaat het risico dat bij verstoringen of calamiteiten gegevens niet (tijdig) kunnen worden hersteld, waardoor de continuïteit van de bedrijfsvoering van de CSC in gevaar komt.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 8.13

Onderliggende normen

IDConformiteitsindicatorStelling
CLD_U.23.01 bewaard

Het moet duidelijk zijn als de CSC verantwoordelijk is voor het implementeren van back-upmogelijkheden wanneer de CSP deze niet biedt, omdat dit geen onderdeel uitmaakt van het type clouddienst.

CLD_U.23.02 overeenkomstig

De CSP moet de specificaties van zijn back-upmogelijkheden aan de CSC verstrekken. De specificaties moeten, indien van toepassing, de volgende informatie bevatten:

  • omvang en planning van back-ups;
  • back-upmethoden en gegevensformaten, inclusief encryptie, indien relevant;
  • bewaartermijnen voor back-upgegevens;
  • procedures voor het verifiëren van de integriteit van back-upgegevens;
  • procedures en tijdschema’s voor het herstellen van gegevens vanaf een back-up;
  • procedures om de back-upmogelijkheden te testen;
  • opslaglocatie van back-ups.
CLD_U.23.03 overeenkomstig

Back-upmaatregelen voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de doelstellingen van incidentrespons- en bedrijfscontinuïteitsplannen. Dit behoort te worden gecombineerd met een test van de herstelprocedures en te worden gecontroleerd aan de hand van de volgens het bedrijfscontinuïteitsplan vereiste hersteltijd. In het geval van kritische systemen en diensten behoren back-upmaatregelen betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.

CLD_U.23.04 beleid

Wanneer de CSP back-upmogelijkheden levert als onderdeel van de clouddienst, moet de CSC de specificaties van de back-upmogelijkheden opvragen bij de CSP.

CLD_U.23.05 beleid

De CSP moet de CSC veilige en gescheiden toegang bieden tot back-ups, zoals virtuele snapshots van een virtuele machine of de opslag, als een dergelijke dienst aan CSC’s wordt aangeboden.

Verwante principes

BIO Thema-uitwerking Clouddiensten
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Een bepaald voorkomen van iets.

Naar de pagina met de definitie van ‘versie’

De betekenis die mensen geven aan gegevens in een context.

Naar de pagina met de definitie van ‘informatie’

Een ondersteunde voorziening.

Naar de pagina met de definitie van ‘dienst’

De plicht of verplichting om bepaalde taken uit te voeren en daarover verantwoording af te leggen.

Naar de pagina met de definitie van ‘verantwoordelijkheid’

Een vooraf vastgestelde handelwijze voor het realiseren van doelen.

Naar de pagina met de definitie van ‘beleid’

De wet- en regelgeving en/of het beleid die van toepassing zijn.

Naar de pagina met de definitie van ‘grondslag’

Een fundamentele en algemeen toepasbare regel, gebaseerd op een overtuiging en die geldt als richtlijn.

Naar de pagina met de definitie van ‘principe’

Een samenhangend en geïntegreerd geheel van componenten die elkaar wederzijds beïnvloeden.

Naar de pagina met de definitie van ‘systeem’

De mogelijkheid van een entiteit om een object te benaderen en te gebruiken.

Naar de pagina met de definitie van ‘toegang’
Overgenomen van "https://www.noraonline.nl/index.php?title=Back-up_van_informatie&oldid=98104"