Hallo allemaal,

In RODIN staat dat je binnen de organisatie beschikking moet hebben over een passende back-upstrategie, calamiteiten- en herstelplan. Wie van jullie heeft hier ervaring mee en wellicht al wat verder uitgewerkt?

Weergaven: 753

Hierop reageren

Berichten in deze discussie

De afdeling systeembeheer heeft neem ik aan wel een back-upstrategie, maar dat had je waarschijnlijk al bedacht. Heb je ook je archiefdienst al gevraagd naar hun calamiteitenplan?

Aansluitend bij Joost, vermoed ik dat de meeste I&A-afdelingen wel backup-, calamiteiten- en herstelplannen hebben. De vraag is of ze ook passend zijn. Dekt de vlag de lading? Zijn de plannen up-to-date?

Ik zou vooral niet zelf dingen gaan uitvinden en schrijven. Check wat er al is binnen je organisatie en vertaal het naar je eigen situatie.

Helaas lang geleden dat ik mij met Rodin bemoeide.

Logischerwijs zouden Ministerie en VNG nadere beleidsregels incl. templates opgesteld moeten hebben.

Daarnaast zul je overlap hebben met BiSL, ASL en ITIL v.w.b. Continuity Management; 'vraag uw systeembeheerder'.

Archiefgericht ken je wellicht onderstaande links ook  al :

-  Handboek Informatiebeveiliging van Kinggemeenten, waarin ook de A&K-analyse

http://www.handboekveiligheidszorgmusea.nl/

http://praktijkvoorbeelden.vng.nl/publiek/geavanceerd-zoeken.aspx?t...

http://ebookbrowse.com/handleiding-voor-het-maken-van-een-calamitei...

Als gemeente hebben we al jaren de maken met GBA audits.

Hier staan ook strenge eisen in met betrekking tot back-up en recovery van systemen. Als je ervoor zorgt dat al je kernapplicaties aan deze eisen voldoen, dan voldoe je volgens mij ook aan de Rodin eisen.

Onderdeel van de GBA audit is het opstellen van een informatie beveiligingsplan. Wij hebben dat breder getrokken en daar dus ook de andere kernapplicaties bij betrokken.

Dag Bart, Inderdaad wordt de GBA landelijk goed geaudit en is het inderdaad wenselijk dat dit doorgetrokken wordt naar de andere systemen.

Is dat informatie beveiligingsplan binnen de gemeente opgesteld of zijn daar ook externen bij betrokken ?

Door wie wordt de audit verricht ?

 

@Yvonne :

voor de GBA-audit kun je terecht op :

https://www.bprbzk.nl/GBA/Informatiebank/Juridisch/GBA_audit

https://www.bprbzk.nl/GBA/Audit_4e_cyclus

voor de zelfevaluatie op :

https://www.bprbzk.nl/GBA/Informatiebank/Vraag_en_antwoord/Zelfeval...

Daarnaast volgen er beveiligingsverplichtingen uit diverse andere regelingen, zoals http://www.inspectieszw.nl/actueel/nieuwsberichten/inspectieszwhand...

Vergeet echter niet dat vanuit archiefregelgeving bijv. andere bewaartermijnen gelden.

Ga dus vooral niet alles zélf doen. Je moet gewoon even op zoek naar degene bij wie alle lijntjes bij elkaar komen v.w.b. de uitvoering. In de praktijk dus het Hoofd Systeembeheer.

Wij hebben het informatiebeveiligingsplan opgesteld in samenwerking met BMC en de audit is geloof ik gedaan door KEMA.

Het lijkt mij in ieder geval wenselijk om op dit gebied één integraal plan op te stellen waarnaar je voor de verschillende audits, regelgeving kunt verwijzen. Nu is dat voornamelijk GBA en RODIN waar echt op getoetst wordt, maar er komen nog meer audits aan (b.v. Basisregistraties) die eisen gaan stellen op dit gebied.

 

Overigens vraag ik mij af of je naar hoofd systeembeheer moet voor de inventaristie. Als je zo'n document opstelt ga je inventariseren wat de verschillende eisen zijn, wat je als kernapplicaties beschouwd en welke eisen je daar zelf als organisatie aan stelt. Dat is dus een organisatiebrede inventarisatie waarbij ook niet technische zaken aan bod komen. (functiescheiding, autorisaties e.d.)

Dat levert dan een totaalplaatje op dat waarmee je uiteraard met automatisering gaat kijken of/hoe dat tot technische aanpassingen moet leiden.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden