• FINAAL CONCEPT
  • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    ICT-continuïteit

    De continuïteit van de dienstverlening van de organisatie, is in toenemende mate afhankelijk van de beschikbaarheid van ICT-systemen. Het is dan ook belangrijk om de nodige maatregelen te implementeren om verstoringen van ICT-systemen tot een minimum te beperken.

    Inhoud

     

     

    Doel

     

    DOELSTELLINGEN

    Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

    • Page:
      OD.13

      We zijn voorbereid om de dienstverlening te kunnen blijven garanderen in geval van een calamiteit.

    DREIGINGEN

    Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

     

    Beleid

     

    ICT-continuïteit voor bedrijfscontinuïteit

    De ICT-continuïteit dient te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen die zich moeten vertalen in ICT-continuïteitseisen. De ICT-continuïteit voor bedrijfscontinuïteit is een fundamenteel onderdeel van bedrijfscontinuïteitsbeheer en informatiebeveiligingsbeheer om te bewerkstelligen dat ook tijdens een verstoring aan de doelstellingen van de organisatie kan blijven worden voldaan.

    Business Impact Assessment (BIA)

    Een business impact assessment (BIA) van een ICT-dienst is een proces waarbij de potentiële effecten van een verstoring van de ICT-dienst op de bedrijfsactiviteiten worden geïdentificeerd en geëvalueerd. Het richt zich op het bepalen van de impact van een gebeurtenis op de bedrijfsvoering, financiën en reputatie. Een BIA geeft organisaties objectieve parameters om prioriteit aan herstelmaatregelen en middelen toe te wijzen op basis van de ernst van de impact.

    Een BIA heeft als als uitkomst een Recovery Time Objective (RTO) en een Recovery Point Objective (RPO).

    Deze en andere termen worden gedefinieerd in het algemene Strategiedocument “Business Continuity Management” van Digitaal Vlaanderen, editie 2024. Hieronder worden ze specifiek verwoord voor de ICT-diensten.

    Recovery Time Objective (RTO)

    RTO staat voor Recovery Time Objective en is de maximale toegestane tijd die kan verstrijken na een onderbreking voordat de continuïteit van de bedrijfsvoering en de ICT-diensten hersteld moeten zijn om onaanvaardbare gevolgen te voorkomen. Het bepaalt de tijdslimieten voor herstelwerkzaamheden, inclusief het herstellen van systemen, netwerken en applicaties na een incident. Het vaststellen van een RTO helpt organisaties bij het prioriteren van herstelinspanningen en het toewijzen van de benodigde middelen om de bedrijfscontinuïteit te waarborgen.

    Recovery Point Objective (RPO)

    RPO staat voor Recovery Point Objective en verwijst naar het maximale toegestane verlies van informatie ten gevolge van een incident. Het vertegenwoordigt de hoeveelheid gegevens die een organisatie zich kan veroorloven te verliezen zonder significante negatieve gevolgen. Het definiëren van een RPO is cruciaal voor het plannen van gegevensherstelstrategieën en het implementeren van een passend back-up schema en replicatiemethoden.

    Business Continuity Management (BCM) en Business Continuity Plan (BCP)

    Op het BCM-portaal wordt verder toegelicht hoe bedrijfscontinuïteit wordt beheerd voor Digitaal Vlaanderen. Hier vindt men onder meer een Business Continuity Plan (BCP) voor meerdere verschillende scenario’s dat telkens beschrijft hoe Digitaal Vlaanderen omgaat met een verstoring van bedrijfsactiviteiten. Een BCP is bijgevolg algemener dan een ICT-continuïteitsplan dat specifiek beschrijft hoe een specifieke ICT-dienst of kritisch systeem wordt behandeld in geval van een verstoring. Alsdusdanig zijn ICT-continuïteitsplannen een onderdeel van BCM en één of meerdere BCPs.

    ICT-continuïteitsplan

    Het beheer van de ICT-continuïteit vormt een essentieel onderdeel van de bedrijfscontinuïteitseisen met betrekking tot beschikbaarheid om in staat te zijn:

    1. Te reageren op en te herstellen van verstoringen van ICT-diensten ongeacht de oorzaak;

    2. Te bewerkstelligen dat de continuïteit van geprioriteerde activiteiten door de vereiste ICT-diensten wordt ondersteund;

    3. Te reageren voordat er zich een verstoring van de ICT-diensten voordoet en zodra er ten minste één incident is waargenomen dat kan leiden tot een verstoring van de ICT-diensten.

    De Digitaal Vlaanderen BCM-portaal bevat templates voor de verschillende benodigde documenten.

    Disaster Recovery Plan (DRP)

    Een DRP, oftewel Disaster Recovery Plan, is een uitgebreid plan dat de ICT-organisatie implementeert om de ICT-diensten en kritische systemen te herstellen na een grote calamiteit, zoals een natuurramp, brand, terroristische aanval, of pandemie.

    Let op: Een DRP zijn concreet uitgewerkte, veelal technische documenten, die de acties beschrijven die genomen moeten worden om ICT-infrastructuur en data weer operationeel te krijgen. Dit is zowel pro- als reactief. Dit mag niet verward worden met een CMP (Crisis Management Plan). Het Crisiscentrum van de Vlaamse overheid (CCVO) is een intern crisiscentrum dat de Vlaamse overheid voorbereidt op uitzonderlijke crisissituaties.

    Belangrijke onderdelen:

    Informatiebeveiliging tijdens een verstoring

    De organisatie behoort plannen te maken om tijdens een verstoring het van toepassing zijnde niveau van de informatiebeveiliging te waarborgen. In de context van de bedrijfscontinuïteits- en ICT-continuïteitsplanning kan het nodig zijn de informatiebeveiligingseisen aan te passen, afhankelijk van de soort verstoring, in vergelijking met de normale operationele omstandigheden. Als onderdeel van de bedrijfsimpactanalyse en de risicobeoordeling die worden uitgevoerd binnen continuïteitsbeheer, behoren de gevolgen van het wegvallen van de geheimhouding en de integriteit van informatie, naast de noodzaak om de beschikbaarheid in stand te houden, te worden overwogen en geprioriteerd.

    Voorkomen van verstoringen van ICT-diensten

    De organisatie moet rekening houden met ICT-continuïteitsvereisten bij het ontwerpen en implementeren van ICT-diensten met het oog op het voorkomen van verstoringen van geleverde ICT-diensten.

    Naast onderstaande maatregelen dienen de volgende onderwerpen in acht genomen te worden:

    Vereisten voor de back-up van informatie

    Na het identificeren en classificeren van informatie dient bepaalt te worden welke vereisten van toepassing zijn voor de beschikbaarheid van de informatie.

    Deze vereisten dienen te zijn gebaseerd op:

    • Informatieclassificatie,

    • Beschikbaarheidseisen,

    • Dreigingen en risico’s,

    • Back-up behoeften,

    • Beschikbare back-up technologieën,

    • Beschikbare en te ontwikkelen back-up procedures.

    Voor specifieke vereisten dient er rekening gehouden te worden met:

    • Bevestigen dat de back-up en herstelstrategie voldoet aan:

      • Bedrijfscontinuïteitsplannen

      • Beleid, wet- en regelgeving en andere wettelijke verplichtingen.

    • Het documenteren van de back-up- en herstelprocessen, inclusief:

      • Soorten informatie waarvan een back-up moet worden gemaakt.

      • Schema's voor de back-up van informatie en informatiesystemen.

      • Beheer van back-up media (bijv. bewaartermijn, patroon van back-up cycli).

      • Methoden voor het uitvoeren, valideren en labelen van back-ups.

      • Methoden voor het valideren van het herstel van de informatie en het informatiesysteem.

    Redundantie van informatie-verwerkende faciliteiten

    Redundantie duidt op het ontdubbelen van ICT-infrastructuur componenten. Op die manier blijft bij het uitvallen van één component het geheel wel goed functioneren omdat een ander component de taken overneemt. Technisch zijn er vele oplossingen mogelijk en de gekozen oplossing is afhankelijk van de informatieasset en de onderliggende ICT-architectuur.

    Appendix

     

    Relatie van het beleid met andere richtlijnen en standaarden

     

    Een DRP kent een nauwe relatie met een BCP. Zie het BCM-portaal voor meer informatie.

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (Annex A)

     

    Document status

     

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Beleid voor ICT-continuïteit

    Guido Calomme

    14/05/2024

    1.0

    FINAAL CONCEPT

     

    Beleid voor ICT-continuïteit

    Guido Calomme

    09/06/2024

    1.0

    FINAAL CONCEPT

    feedback van afdelingen verwerkt

     

    Dit is een document voor publiek gebruik.