Politik for sikkerhedskopiering og gendannelse

Politik for sikkerhedskopiering og gendannelse (P15) fastlægger organisationens obligatoriske krav til sikkerhedskopiering og gendannelse af data, systemer og applikationer. Dens primære formål er at beskytte organisationens driftsmæssige robusthed og integritet og understøtte forretningskontinuitet selv under større forstyrrelser som systemsvigt, cyberangreb eller utilsigtede sletninger. Politikken beskriver både en standardiseret tilgang til sikkerhedskopieringsdrift og sikrer klare gendannelsesparametre, især ved at definere forventninger til RTO (Recovery Time Objective) og RPO (Recovery Point Objective). Disse krav er tæt tilpasset organisationens ledelsessystem for informationssikkerhed og Business Continuity Plans, hvilket sikrer retlig, reguleringsmæssig og driftsmæssig overholdelse. Politikkens omfang er omfattende: Den påvirker alle forretningskritiske og driftsmæssige systemer, der er omfattet af ISMS, herunder strukturerede og ustrukturerede data såsom databaser, filer, e-mails og konfigurationsindstillinger. Den omfatter alle typer driftsmiljøer (lokal, hybrid, cloud), backupmedier (fysiske, virtuelle, offsite) samt personale, der fører tilsyn med eller udfører sikkerhedskopieringsprocesser. Systemer, der skal udelukkes fra sikkerhedskopiering, skal risikovurderes, dokumenteres og godkendes formelt, hvilket understreger politikkens fokus på risikostyring og ansvarlighed. Som en del af sine mål specificerer politikken, at alle kritiske aktiver skal sikkerhedskopieres med passende frekvens, redundans og kryptering, og at alle procedurer, opbevaringsplaner og udpegede roller dokumenteres. Gendannelsesmekanismer skal opfylde foruddefinerede RTO- og RPO-tærskler baseret på forretningskonsekvensanalyser. Integritet og effektivitet af backupmiljøet valideres gennem regelmæssig gendannelsestest og vedligeholdelse af revisionsspor. For regulatorisk tilpasning håndhæver politikken direkte kontroller fra ISO/IEC 27001:2022 (herunder driftskontinuitet og sikker bortskaffelse), ISO/IEC 27002:2022 (såsom integritet og gendannelsesplanlægning) samt krav fra NIST SP 800-53, GDPR, EU NIS2 og DORA. Kontrakter med tredjeparts backupudbydere skal afspejle organisationens forventninger til kryptering, bortskaffelse, underretning om hændelser og revisionsbevis for test. Roller og ansvar er eksplicit beskrevet, med strategisk tilsyn hos Direktion og informationssikkerhedschef (CISO), driftsmæssig udførelse hos IT og Drift samt specialiseret styring hos DPO, applikationsejere og relevante leverandører. Politikken kræver en Master Backup Schedule, regelmæssige gennemgangscyklusser, stærk kryptering, separate backupmiljøer og strenge kontroller for ændringsstyring. Stram styring sikrer, at revisionslogs vedligeholdes, at undtagelser kontrolleres omhyggeligt og risikovurderes, og at gendannelseskapaciteter testes med fastsatte intervaller. Manglende overholdelse udløser disciplinære foranstaltninger for internt personale og sanktioner eller eskalering for leverandører, og regelmæssig gennemgang af logfiler, tidsplaner og relateret dokumentation indgår i revision og compliance-processer. Endelig gennemgås politikken mindst årligt, så opdateringer afspejler strategiske, retlige eller teknologiske ændringer, med kommunikation til alle berørte parter. Ved at koble til en række styringsdokumenter (Ramme for risikostyring, Aktivstyring, dataklassificering, dataopbevaringspolitik, datamaskering og Politik for hændelseshåndtering (P30)) er denne politik indlejret i organisationens samlede tilgang til datasikkerhed, kontinuitet og overholdelse af lovgivningen.