Politika zálohování a obnovy – SME

Politika zálohování a obnovy (P15S) poskytuje komplexní přístup k zajištění, aby byla všechna nezbytná podniková data chráněna před ztrátou a aby mohla být v případě narušení rychle obnovena. Byla vyvinuta specificky pro malé a střední podniky (SME) a zohledňuje strukturální realitu organizací bez složitých útvarů IT, například bez specializovaných týmů Bezpečnostního operačního centra (SOC) nebo role ředitele informační bezpečnosti (CISO). Proto přiřazuje hlavní dohledové a rozhodovací odpovědnosti generálnímu řediteli (GM), což ji činí praktickou a v souladu s ISO/IEC 27001:2022. V jádru politika stanovuje vymahatelná pravidla, která vyžadují pravidelné zálohování všech kritických dat, včetně finančních, zákaznických, HR a informací podnikových systémů napříč stolními počítači, servery a cloudovými aplikacemi. Politika je přesná v rozsahu a vyžaduje zahrnutí zálohovacích médií, jako jsou USB disky nebo cloudová řešení. Všem zaměstnancům odpovědným za nakládání s daty, spolu s externími poskytovateli IT podpory, ukládá důsledně dodržovat předepsané protokoly pro zálohování a bezpečné ukládání. P15S stanovuje jasné cíle: zajistit, aby byla všechna kritická data bezpečně zálohována v intervalech sladěných s posouzeními rizik, zaručit včasnou a úplnou obnovu dat a zabránit neoprávněnému přístupu nebo manipulaci prostřednictvím robustního šifrování a řízení úložiště. Role a odpovědnosti jsou jasně vymezeny: GM odpovídá za vynucování politiky, alokaci zdrojů, každoroční přezkoumání a dohled nad incidenty, zatímco poskytovatelé IT zajišťují technickou implementaci a vykazování. Zaměstnanci musí ukládat práci pouze do schválených systémů, čímž se dále snižuje riziko. Politika vyžaduje zdokumentovaný Plán zálohování, který popisuje, co je zálohováno, frekvenci, pravidla uchovávání a pokyny pro bezpečné mazání vycházející ze souvisejících politik. Zálohy musí být prováděny podle stanovených harmonogramů, například denně nebo týdně pro finanční záznamy, měsíčně pro konfigurační nastavení systémů a inkrementálně pro sdílené soubory, kde je to možné. Kritická opatření vyžadují, aby byla data uložena alespoň na dvou místech (např. lokálně a v cloudu), šifrována při uložení mimo pracoviště a přístupná výhradně oprávněnému personálu. Logy, reporty a pravidelné testování postupů obnovy jsou povinné, což podporuje provozní spolehlivost i požadavky na audit pro normy, jako jsou ISO/IEC 27001 a GDPR. Řízení rizik a výjimek je součástí: jakákoli odchylka, prodleva nebo technické selhání musí být zdokumentováno, odůvodněno a schváleno GM. Zakázané činnosti, jako je ukládání kritických dat na neschválená zařízení nebo vynechávání testů obnovy, jsou výslovně uvedeny. Každoroční a incidenty vyvolaná přezkoumání politiky zajišťují průběžné sladění s právním, regulačním a technickým vývojem. U problémů ovlivňujících zálohování nebo obnovu se eskalace a dokumentace řídí podle Politiky reakce na incidenty (P30S), čímž se upevňuje integrovaná správa napříč prostředím správy informací v SME. Tato politika tak umožňuje SME plnit mezinárodní požadavky na soulad se strukturou přizpůsobenou jejich provozní realitě.