Waarborgen van de bedrijfscontinuïteit

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CLD_U.21
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Onbekend

Objectdefinitie

Het waarborgen van de bedrijfscontinuïteit betreft die maatregelen, die tijdens normaal bedrijf en bij voorkomende calamiteiten, binnen de in de SLA overeengekomen maximale uitvalduur (RTO), zorgen voor het herstel van de clouddienst, inclusief de gegevens van de CSC, waarbij voor de CSC een normale bedrijfsvoering op een passend niveau (Quality of Service (QoS)) is.

Objecttoelichting

Omdat de CSC voor zijn bedrijfsvoering sterk afhankelijk is van de CSP, zijn door de CSP getroffen bedrijfscontinuïteitsmaatregelen van essentieel belang. Bedrijfscontinuïteitsmaatregelen omvatten het pakket aan maatregelen dat, zowel voor een normaal bedrijf als voor situaties van calamiteiten, zoals natuurrampen, zorgt voor het herstel van gegevens en de dienstverlening, waarbij gegevensverlies beperkt blijft tot het overeengekomen maximale gegevensverlies. Bekende continuïteitsmaatregelen zijn redundantie, disaster recovery en het periodiek aantonen dat herstelfuncties werken.

Criterium

De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.

Doelstelling

De beschikbaarheid van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie tijdens een verstoring waarborgen.

Risico

Als bedrijfscontinuïteitsmaatregelen bij de clouddienst onvoldoende zijn ingericht, afgestemd of aantoonbaar werken, bestaat het risico dat bij verstoringen of calamiteiten de clouddienst en de bijbehorende gegevens niet tijdig worden hersteld, waardoor de CSC gedurende korte of langere tijd haar taken geheel of gedeeltelijk niet kan uitvoeren.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Onbekend.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 5.30

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_U.21.01	geïmplementeerd	Wanneer de CSC gebruik maakt van meerdere CSP’s, dan behoort de CSC ervoor te zorgen dat er een adequate organisatiestructuur is die is voorbereid op een verstoring, deze verzacht en erop reageert, ondersteund door personeel met de nodige verantwoordelijkheid, autoriteit en competentie.
CLD_U.21.02	geïmplementeerd	De CSP draagt zorg voor redundantie in middelen en voor een redelijke minimale afstand ervan in overeenstemming met de toepasselijke industrienormen en rekening houdend met calamiteiten, zoals natuurrampen. De CSP informeert de CSC over mogelijke restrisico’s in het kader van de BIA van de CSC.
CLD_U.21.03	Bedrijfscontinuïteits doelstellingen	De CSC beschrijft de ICT-continuïteitseisen als resultaat van de bedrijfsimpactanalyse (BIA).
CLD_U.21.04	Bedrijfscontinuïteits doelstellingen	Wanneer de CSC gebruik maakt van meerdere CSP’s, dan behoort de CSC strategieën voor ICT-continuïteit te identificeren en selecteren waarin opties voor voorafgaand aan, tijdens en na een verstoring in overweging worden genomen. Op basis van de strategieën behoren plannen te worden opgesteld, geïmplementeerd en getest om na een (ver)storing van essentiële processen het vereiste beschikbaarheidsniveau van ICT-diensten binnen de vereiste tijdsbestekken te halen.
CLD_U.21.05	ICT-continuïteitseisen	De CSP behoort de impact van een storing op de clouddienst of onderneming te bepalen en ervoor te zorgen dat ICT-continuïteitsplannen de volgende ICT-continuïteitsinformatie omvatten: de maximaal aanvaardbare tijdsperiode (RTO) van elke geprioriteerde ICT-dienst en de procedures voor het herstel van die componenten; de maximale redelijke periode waarin gegevens verloren kunnen gaan en niet kunnen worden hersteld (RPO) van de als informatie gedefinieerde geprioriteerde ICT-middelen en de procedures om de informatie te herstellen.
CLD_U.21.06	ICT-continuïteitseisen	De serviceovereenkomst tussen de CSC en de CSP bevat informatie over hoe en in welke mate de continuïteit van de clouddienstverlening is gewaarborgd. In een rampenresponsplan is beschreven hoe te herstellen van natuurrampen en door de mens veroorzaakte rampen.
CLD_U.21.07	ICT-continuïteitseisen	De CSC waarborgt dat de in de serviceovereenkomst beschreven informatie over de continuïteit van de clouddienstverlening voldoet aan de continuïteitseisen als resultaat van de BIA.