Politika zálohování a obnovy

Politika zálohování a obnovy (P15) stanovuje povinné požadavky organizace na zálohování a obnovu dat, systémů a aplikací. Jejím hlavním účelem je chránit provozní odolnost organizace a integritu dat a podporovat kontinuitu podnikání i během významných narušení, jako jsou selhání systémů, kybernetické útoky nebo náhodné smazání. Politika v jádru popisuje standardizovaný přístup k zálohovacím operacím a zajišťuje jasné parametry obnovy, zejména definováním očekávání pro RTO (Recovery Time Objective) a RPO (Recovery Point Objective). Tyto požadavky jsou úzce sladěny s implementací rámce ISMS a s plány kontinuity podnikání, čímž je zajištěn právní, regulační a provozní soulad. Rozsah politiky je komplexní: dopadá na všechny kriticky důležité obchodní a provozní systémy pokryté rozsahem ISMS, včetně strukturovaných dat a nestrukturovaných dat, jako jsou databáze, soubory, e-maily a konfigurační nastavení. Vztahuje se na všechny typy provozních prostředí (on-premise, hybridní, cloud), zálohovací média (fyzická, virtuální, mimo pracoviště) a personál dohlížející na zálohovací procesy nebo je provádějící. Systémy, které mají být ze zálohovacích operací vyloučeny, musí být posouzeny z hlediska rizik, zdokumentovány a formálně schváleny, což podtrhuje důraz politiky na řízení rizik a odpovědnost. V rámci svých cílů politika stanovuje, že všechna kritická aktiva musí být zálohována s odpovídající frekvencí, redundancí a šifrováním, přičemž musí být zdokumentovány všechny postupy, harmonogramy uchovávání a určené role. Mechanismy obnovy musí splňovat předem definované prahové hodnoty RTO a RPO na základě posouzení dopadů na obchodní činnost. Integrita a účinnost zálohovacího prostředí jsou ověřovány prostřednictvím pravidelného testování obnovy a udržování auditní stopy. Pro regulační sladění politika přímo vynucuje kontroly z ISO/IEC 27001:2022 (včetně provozní kontinuity a bezpečné likvidace), ISO/IEC 27002:2022 (např. integrita a plánování obnovy) a také požadavky vycházející z NIST SP 800-53, GDPR, EU NIS2 a DORA. Smlouvy s poskytovateli služeb třetích stran pro zálohování musí odrážet očekávání organizace ohledně šifrování, likvidace, oznamování incidentů a auditních důkazů z testování. Role a odpovědnosti jsou výslovně popsány: strategický dohled je přiřazen vrcholovému vedení a řediteli informační bezpečnosti (CISO), provozní realizace týmům IT a provozu a specializovaná správa pověřenci pro ochranu osobních údajů (DPO), vlastníkům podnikových aplikací a příslušným dodavatelům. Politika vyžaduje hlavní kalendář záloh, pravidelné cykly přezkumu, silné šifrování, oddělená zálohovací prostředí a přísné řízení změn. Přísná správa zajišťuje, že auditní záznamy jsou udržovány, výjimky jsou pečlivě řízeny a posuzovány z hlediska rizik a schopnosti obnovy jsou testovány ve stanovených intervalech. Nesoulad navíc spouští disciplinární opatření pro interní zaměstnance a sankce nebo eskalaci pro dodavatele; pravidelné přezkoumání logů, harmonogramů a související dokumentace je součástí auditních a zajišťovacích procesů. Politika je přezkoumávána nejméně jednou ročně, aby aktualizace odrážely strategické, právní nebo technologické změny, a je komunikována všem dotčeným stranám. V návaznosti na sadu dokumentů správy a řízení (řízení rizik, správa aktiv, klasifikace dat, uchovávání dat, maskování dat a reakce na incidenty) je tato politika součástí komplexního přístupu organizace k bezpečnosti dat, kontinuitě a regulačnímu souladu.