Beleid bewaartermijnen backup tapes binnen standaarddienstverlening SCD John van Eck, CIO-office Drechtseden – versie 1.1 Versiebeheer Versie
Datum
Wijzigingen
0.1
11-8-2010
Initiële versie
0.2
20-10-2010
Afgestemd met en aangepast na overleg Dennis Lindenburg (storage- en backup beheer SCD/ATB)
0.9
11-11-2010
Afgestemd met Peter van Leeuwen (hoofd Beheer & Exploitatie SCD/ATB) en afgestemd met en aangepast na overleg met Math Verhoef (Service Level Manager SCD/ATB)
1.0
17-01-2011
Versie voor besluitvorming. Versie 0.9 is voorbereidend op het besluitvormingsproces ter instemming voorgelegd aan een aantal functioneel beheerders van belangrijke informatiesystemen. Alle hebben aangegeven in te kunnen stemmen met het voorgestelde beleid. Dit betreft: • Oliver Fisic, nam ens afdeling Burgerzaken, gemeente Zwijndrecht • Arjan Krijgsm an, namens functioneel beheer Financien SCD • Jan Pieter-de Vries namens GR-SDD • Anja Lodder, nam ens GR-BDD
1.01
19-01-2011
Vastgesteld in BMO (Beleidsmanagement overleg CIO) en verwerking tekstuele wijzigingen.
1.02 1.1
01-03-2011 26-09-2011
Reviewopmerkingen Ton Mol verwerkt. Vastgesteld door Breed Beraad Secretarissen (BBS), na positief advies Coördinatieplatform IP&A 15-03-2011.
Inleiding Binnen de standaard ICT dienstverlening van het Servicecentrum Drechtsteden (SCD) draagt de afdeling Applicatie- en technisch beheer (ATB) zorg voor de mogelijkheid tot herstel van een informatiesysteem in het geval van een verstoring. Hiervoor worden o.a. backups op tapes gemaakt, die vervolgens een bepaalde periode worden bewaard zodat er in het geval van verstoring over beschikt kan worden. Dit roept o.a. de vraag op hoe lang backup tapes dan eigenlijk bewaard dienen te worden. Dit aangezien er kosten verbonden zijn aan de opslag op tape, zowel als de opslag van de tapes zelf. Daarnaast kunnen tapes niet oneindig lang bewaard worden, enerzijds vanwege de levensduur van de tapes zelf, en anderszijds vanwege technologische ontwikkelingen. Vandaar deze beleidsnotitie met als doel om beleid te laten vaststellen met betrekking tot de bewaartermijnen van backup tapes. In deze beleidsnotitie wordt per soort backup de bewaartermijn van backup tapes uitgewerkt zoals deze binnen de standaard ICT dienstverlening van het SCD zal gaan gelden, zodat hierover duidelijkheid bestaat naar zowel de ICT Beheer afdeling als de klantorganisaties. Archieffunctie van backups Om beleid vast te stellen t.a.v. de bewaartermijnen dient er eerst helderheid te bestaan over het doel waarom backups gemaakt worden. Dat backups dienen ter herstel van een informatiesysteem bij een verstoring zal geen discussie opleveren. Een tweede mogelijk doel van backups levert wel de nodige discussie op en dat is de vraag of backups ook als doel hebben om te dienen als archief. Daarbij dient ook nog onderscheid gemaakt te worden tussen archivering formeel conform de archiefwet en archivering (zoals het vaak in het normale spraakgebruik gehanteerd wordt) met als doel om data veilig te stellen om later nog gebruik van te kunnen maken. Dit zonder dat het oorspronkelijke informatiesysteem deze data nog bevat dan wel zonder dat het oorspronkelijke informatiesysteem nog bestaat. Ten aanzien van het eerste aspect, de archivering conform de archiefwet is overleg gevoerd met de archiefinspecteur Dordrecht (Herman Bongenaar) en de archiefinspecteur regio (Alex van Leeuwen). De door hen geformuleerde uitgangspunten en de gevormde inzichten op basis van het overleg zijn vastgelegd in bijlage 1. Samenvatting van het advies van de archiefinspecteurs is dat backups geen formele archiefstatus hebben en kunnen hebben, waarbij belangrijk is te stellen dat onze huidige informatiesystemen formeel nog geen dienst doen als digitaal archief en daarmee dus nog niet aan de NEN2082 norm hieromtrent hoeven te voldoen.
Tevens is hierover nog advies ingewonnen bij onze accountantspartij Deloitte Accountants B.V. en hun advies (bijlage 2) ligt in lijn met het gestelde door de archiefinspecteurs. Concluderend kan gesteld worden dat backups niet bedoeld kunnen en mogen zijn als formeel archief in het kader van de archiefwet. Voor wat betreft het tweede aspect van een mogelijk archiveringsdoel kan opgemerkt worden dat dit nooit tot de standaarddienstverlening van het SCD kan behoren omdat dit niet tot het reguliere beheerproces van backup behoort. Dit gebeurt alleen met een specifieke aanleiding. Tevens dient hiervan opgemerkt te worden dat het maar ernstig de vraag is of een backup sowieso voor dit doel geschikt is. Aangezien informatiesystemen ten alle tijde onderhevig zijn aan veranderingen (updates van de applicatiesoftware, updates van de platform (OS en databases), maar denk ook nieuwe versies van backup tapes en tape units, houdbaarheid van tapes, enz., waardoor er grote kans bestaat dat indien noodzakelijk bij het restoren van een backup gemaakt met dit doel voor ogen er onverwachte complicaties optreden waardoor restoren alsnog niet mogelijk blijkt. Bij de uitwerking van het beleid t.a.v. bewaartermijn van backup tapes wordt dan ook alleen rekening gehouden met het doel van backup t.a.v. herstel van informatiesystemen.
Beleid bewaartermijnen backup tapes Het vastgestelde doel voor het maken van backups binnen de standaard ICT dienstverlening van het SCD is het herstel van informatiesystemen. Herstel kan noodzakelijk zijn om tal van redenen, o.a. op basis van menselijke fouten, het falen van hardware, het corrupt/verminkt raken van data, fouten in software, enz. T.a.v. bewaartermijn van backup tapes zijn de vragen relevant tot welk moment terug in de tijd herstel van een informatiesysteem noodzakelijk kan zijn. Waarbij relevant is dat in dit geval door de eigenaar van het informatiesysteem gekozen wordt voor de variant waarbij de actualiteit van gegevens na herstel ook van het moment terug in de tijd zijn. De tweede vraag hierbij is tot welk moment terug in de tijd herstel van een informatiesysteem nog zinvol is. Het antwoord op de eerste vraag is niet hard te definieren omdat niet valt te voorspellen welke soort verstoring of combinatie van verstoringen op kan treden waardoor herstel noodzakelijk is geworden. Juist als maatregel voor deze onzekerheid worden backups gemaakt. De tweede vraag is ook niet hard te beantwoorden, maar herstel naar een moment langer dan een jaar geleden lijkt simpelweg niet reëel. Na herstel van een informatiesysteem naar een moment terug in de tijd zoals genoemd is een veroudering van de actualiteit van gegevens na een jaar niet meer als een acceptabel scenario te zien. Daarom wordt er een periode van een jaar voorgesteld, omdat veel processen een jaarcyclus kennen. Op basis van bovenstaande uitgangspunt is het beleid t.a.v. bewaartermijnen van backup tapes te definieren, hiervoor is eerst nog een korte beschrijving van de gehanteerde backup cyclus binnen de standaard dienstverlening nodig. Binnen de standaarddienstverlening van het SCD worden de volgende soorten backups die op tape gezet worden onderscheiden: • dagbackup (iedere werkdag); • weekbackup (1x per week); • maandbackup (iedere 4e week is de weekbackup de maandbackup); • 16-wekelijkse backup (iedere 16e week is de weekbackup de 16-wekelijkse backup). Op basis daarvan zijn de volgende bewaartermijnen van de backuptapes gedefinieerd, waarbij de bewaartermijn ingaat op de dag van aanmaak van de tape: • dagbackup - 1 week; • weekbackup - 4 weken;
• •
maandbackup - 12 weken; 16-wekelijkse backup - 53 weken (met 53 weken is de bewaartermijn altijd minimaal een jaar (normaal jaar heeft 365 dagen en een schrikkeljaar 366), welk een periode van iets langer dan 52 weken beslaat).
Concreet betekent dit voor de restoremogelijkheden vanaf tape dat de volgende backups op tape beschikbaar zijn voor het herstel van systemen: • de backup van de laatste 5 dagbackups; • de backup van de laatste 3 weekbackups (4e week is maandbackup); • de backup van de laatste 3 maandbackups (16e week is 16-wekelijkse backup); • de backup van de laatste 3 16-wekelijkse backups;
Eenmalige actie vernietiging oude tapes Momenteel is de minimale bewaartermijn van de backuptapes door het SCD al conform het geformuleerde beleid in deze notitie. In de praktijk worden tapes echter ook langer bewaard dan de in deze notitie geformuleerde termijnen. Dit onder invloed van de vorming van het SCD in 2008, waarbij het SCD verantwoordelijk werd voor de aanwezige bestaande oude infrastructuren, waarvan we momenteel nog steeds in de transitiefase zitten van uitfasering van de oude infrastructuren en migratie naar de nieuwe centrale GRID1 infrastructuur. De oude infrastructuren hebben alle hun eigen backupoplossing met hun eigen specifieke tapes en ingerichte backupprocedures. Tevens zijn er veel bewaarde tapes over gekomen naar het SCD die momenteel nog niet vernietigd zijn. Voorstel is dan ook om na besluitvorming door het Coördinatieplatform IP&A en Netwerkberaad over het beleid omtrent bewaartermijnen van backuptapes in het eerste kwartaal van 2011 een eenmalige actie te plannen om alle tapes van voor 2010 te laten vernietigen (conform wettelijke voorschriften). Benadrukt wordt dat hier niet bedoeld wordt dat alle backup tapes van de oude infrastructuren hiermee vernietigd worden. Backup tapes gemaakt in 2010, 2011 en daarna worden bewaard conform de hier voorgestelde bewaartermijnen onafhankelijk of deze een backup bevatten uit een oude infrastructuur dan wel de nieuwe GRID infrastructuur.
1
Gemeenschappelijke Regionale Infrastructuur Drechtsteden
Bijlage 1
Gesprek Bewaartermijnen backup tapes d.d. 24 november 2009 Aanwezig: John van Eck (ICT-architect Drechsteden), Peter van Leeuwen (systeemmanager Applicatie en Technisch beheer SCD), Herman Bongenaar (archiefinspecteur gemeente Dordrecht), Alex van Leeuwen (archiefinspecteur regio Drechtsteden) Vooraf heeft de archiefinspectie de volgende uitgangspunten geformuleerd: 1. Backup tapes bevatten kopieën van een grote hoeveelheid ‘informatieobjecten’ (documenten, data uit databases etc.) die in principe verschillende bewaartermijnen hebben a. Is gedifferentieerd vernietigen mogelijk? (dit zou op termijn – als we een echt digitaal archief hebben – wenselijk zijn) b. Zo niet, dan alles op termijn in één keer vernietigen 2. Een backup tape of server heeft geen archiefstatus en ook de documenten op de backup tape hebben geen archiefstatus. Met archiefstatus bedoelen we dat het om een ‘origineel’ stuk gaat (en dus niet een kopie), dat als bewijs kan dienen bij de rechter. De kernbegrippen zijn: authenticiteit (de herkomst van het stuk staat onomstotelijk vast), betrouwbaarheid (de informatie in het stuk klopt) en integriteit (er is sprake van onafgebroken beheer, dus er kan niet mee zijn geknoeid). Dat een tape (of de documenten erop) geen archiefstatus heeft, betekent dat ICT terughoudend moet zijn met het terugzoeken van documenten waarvan het origineel al op correcte wijze is vernietigd. 3. De bewaartermijn van een backup tape moet zijn gerelateerd aan het nut dat de tape heeft voor de recovery van data, dus: zodra de tape zijn nut als backup verliest kan de tape vernietigd worden, ook al staan er documenten op die een langere bewaartermijn hebben. 4. Onze voorkeur gaat uit naar gecontroleerde vernietiging van backup tapes, dus vastleggen in een protocol welke tapes wanneer worden vernietigd 5. Binnen nu en 5 jaar hebben we een digitaal archief: de documenten op de backup tapes van het officiële digitale archief hebben wél archiefstatus op het moment dat een backup tape teruggezet moet worden! De bovenstaande punten zijn uitgebreid aan de orde gekomen. Nieuwe inzichten die daaruit voortvloeien: • Gedifferentieerd vernietigen is nu niet mogelijk en daarnaast nadrukkelijk niet gewenst: functioneel beheer en technisch beheer moeten gescheiden blijven. • Bij het weggooien van de oudste tapes (nu: 7 jaar) moet vooraf goed zijn uitgezocht of bepaalde organisatieonderdelen er impliciet op rekenen dat “ICT” backup tapes bewaard. Te denken valt aan financiële applicaties. Op dit moment zijn het vooral financiële administraties die een vrijwel volledige digitale bedrijfsvoering hebben en mogelijk volledig op backup tapes aangewezen zijn bij het kunnen raadplegen van oudere data. Dit is een risico vanuit het verantwoordingsbelang van de archiefvormers (gemeenten en gemeenschappelijke regelingen) en moet dus meegewogen worden in de bewaarstrategie van backup tapes. • De mate waarin en de termijn waarop klanten data terug willen kunnen zetten hangt af van het service level dat is overeengekomen. Dit is een zaak tussen ATB en de organisatieonderdelen. De archiefinspectie wil graag op de hoogte blijven van de ontwikkelingen op dit terrein.
Bijlage 2 – reactie Deloitte Accountants BV Inzake archivering / bewaartermijnen gelden de regels van de archiefwet. Even los van hard of soft copy formaat. Zo zijn boekhoudkundige gegevens, zoals je weet, minimaal 7 jaar te bewaren. Maar bijvoorbeeld bepaalde gegevens van personeelsdossiers: tot 40 jaar ná uitdiensttreding. Voor het uitsluitend elektronisch archiveren, dient voldaan te zijn aan NEN2082; zolang er ook hard copies zijn, geldt die verplichting niet. Denk hierbij aan Digitalisering van Inkoopfacturen: als je alleen nog maar soft copies hebt, moeten je programmatuur en de organisatie erom heen aan NEN2082 voldoen. Bij elektronische gegevensdragers dienen de media nog leesbaar te zijn en dient de benodigde apparatuur om het te lezen nog beschikbaar te zijn.
