policy Enterprise

Varmuuskopiointi- ja palautuspolitiikka

Kattava varmuuskopiointi- ja palautuspolitiikka, joka varmistaa tietojen eheyden, toiminnallisen resilienssin ja sääntelyvaatimusten noudattamisen liiketoimintakriittisille järjestelmille.

Yleiskatsaus

Varmuuskopiointi- ja palautuspolitiikka velvoittaa organisaatiotason vaatimukset varmuuskopioinnin tiheydelle, säilytykselle, tietoturvalle, palautukselle ja vaatimustenmukaisuudelle. Se suojaa tietojen menetykseltä ja varmistaa palautumisen yhdenmukaisesti johtavien standardien ja liiketoiminnan jatkuvuustavoitteiden kanssa.

Varmistaa tietojen suojauksen

Määrittelee vaatimukset suojautumiseksi tietojen menetykseltä, vioittumiselta ja kyberhyökkäyksiltä resilienssiä tukevien varmuuskopiointistrategioiden avulla.

Sääntelyvaatimusten noudattaminen

Yhdenmukaistettu ISO 27001:n, NIST:n, GDPR:n, DORA:n ja NIS2:n kanssa vaatimustenmukaista tietojen säilytystä, varmuuskopiointia ja palautusta varten.

Toiminnallinen resilienssi

Integroitu liiketoiminnan jatkuvuussuunnitelmiin nopean ja luotettavan palautumisen tukemiseksi poikkeamien yhteydessä.

Lue koko yleiskatsaus
Varmuuskopiointi- ja palautuspolitiikka (P15) määrittää organisaation pakolliset vaatimukset tietojen, järjestelmien ja sovelluskokonaisuuksien varmuuskopioinnille ja palautukselle. Sen ensisijainen tarkoitus on suojata organisaation toiminnallista resilienssiä ja tietojen eheyttä sekä tukea liiketoiminnan jatkuvuutta myös merkittävien häiriöiden aikana, kuten järjestelmävikojen, kyberhyökkäysten tai vahingossa tapahtuvien poistojen yhteydessä. Politiikka sekä kuvaa standardoidun lähestymistavan varmuuskopiointitoimintoihin että varmistaa selkeät palautusparametrit, erityisesti määrittelemällä RTO- (Recovery Time Objective) ja RPO- (Recovery Point Objective) -odotukset. Nämä vaatimukset on yhdenmukaistettu tiiviisti organisaation tietoturvallisuuden hallintajärjestelmäviitekehyksen ja liiketoiminnan jatkuvuussuunnitelmien kanssa, mikä varmistaa oikeudellisen, sääntelyyn liittyvän ja operatiivisen vaatimustenmukaisuuden. Politiikan soveltamisala on kattava: se koskee kaikkia ISMS:n soveltamisalapiiriin kuuluvia liiketoimintakriittisiä ja operatiivisia järjestelmiä, mukaan lukien rakenteinen data ja rakenteeton data, kuten tietokannat, tiedostot, sähköpostit ja kokoonpanoasetukset. Se ulottuu kaikkiin operatiivisiin ympäristöihin (omissa tiloissa, hybridi, pilvi), varmuuskopiointivälineisiin (fyysiset omaisuuserät, virtuaaliset, organisaation ulkopuolella) sekä henkilöstöön, joka valvoo tai toteuttaa varmuuskopiointiprosesseja. Järjestelmät, jotka suljetaan varmuuskopioinnin ulkopuolelle, on arvioitava riskien arviointimenettelyllä, dokumentoitava ja hyväksyttävä muodollisesti, mikä korostaa politiikan painotusta riskienhallintaan ja vastuuvelvollisuuteen. Tavoitteissaan politiikka määrittää, että kaikki kriittiset omaisuuserät on varmuuskopioitava asianmukaisella tiheydellä, redundanssilla ja salausvaatimuksilla sekä dokumentoitava kaikki menettelyt, säilytysaikataulut ja nimetyt roolit. Palautusmekanismien on täytettävä ennalta määritetyt RTO- ja RPO-kynnykset liiketoimintavaikutusten arviointien tulosten perusteella. Varmuuskopiointiympäristön eheys ja tehokkuus validoidaan säännöllisellä palautustestauksella ja tarkastusjäljen ylläpidolla. Sääntely-yhdenmukaisuuden osalta politiikka toimeenpanee suoraan ISO/IEC 27001:2022 -kontrolleja (mukaan lukien operatiivinen jatkuvuus ja turvallinen hävittäminen), ISO/IEC 27002:2022 -vaatimuksia (kuten eheys ja palautussuunnittelu) sekä vaatimuksia NIST SP 800-53:sta, GDPR:stä, EU:n NIS2:sta ja DORA:sta. Sopimusten kolmansien osapuolten palveluntarjoajien kanssa on heijastettava organisaation odotuksia salauksesta, hävittämisestä, poikkeamien ilmoittamisesta ja testitulosten näyttämisestä. Roolit ja vastuut kuvataan yksiselitteisesti: strateginen valvonta osoitetaan ylimmälle johdolle ja tietoturvajohtajalle (CISO), operatiivinen toteutus IT- ja tietoturvatiimeille sekä IT-toiminnoille ja erikoistunut hallintotapa tietosuojavastaavalle (DPO), sovellusomistajille sekä asiaankuuluville toimittajille. Politiikka edellyttää päävarmuuskopiointiaikataulua, säännöllisiä katselmointisyklejä, vahvaa salausta, erillisiä varmuuskopiointiympäristöjä sekä tiukkoja muutoksenhallintakontrolleja. Tiukka hallintotapa varmistaa, että tarkastuslokitus ja lokit säilytetään, poikkeukset hallitaan huolellisesti ja riskien arviointi tehdään, ja palautuskyvykkyyksiä testataan määritetyin aikavälein. Lisäksi vaatimustenvastaisuus käynnistää kurinpitotoimenpiteet sisäiselle henkilöstölle sekä seuraamukset tai eskaloinnin toimittajille, ja lokien, aikataulujen sekä niihin liittyvän dokumentaation säännöllinen katselmointi on osa auditointi- ja kontrollivarmuusprosesseja. Lopuksi politiikka katselmoidaan vähintään vuosittain, jotta päivitykset heijastavat strategisia, oikeudellisia tai teknologisia muutoksia, ja siitä viestitään kaikille vaikutuksen alaisille osapuolille. Kytkeytyen hallintodokumenttien kokonaisuuteen (riskienhallinta, omaisuuden hallinta, tietojen luokittelu, tietojen säilytys, tietojen peittäminen ja tietoturvapoikkeamiin reagointi) tämä politiikka on osa organisaation kokonaisvaltaista lähestymistapaa tietoturvaan, jatkuvuuteen ja sääntelyvaatimusten noudattamiseen.

Käytäntökaavio

Varmuuskopiointi- ja palautuspolitiikan kaavio, joka havainnollistaa aikataulutetun varmuuskopioinnin luomisen, organisaation ulkopuolella/pilvisäilytyksen, roolien osoittamisen, säännöllisen palautustestauksen ja poikkeamien eskalointivaiheet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja sitoutumissäännöt

Varmuuskopiointi- ja palautusvaatimukset

Kolmannen osapuolen ja pilvivarmuuskopioinnin hallintakeinot

Hallintotapa ja testaus

Säilytys- ja turvallisen hävittämisen menettelyt

Poikkeusten hallinta ja riskien käsittely

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
6.1.38.1Annex A 5.28Annex A 5.29Annex A 8.13
ISO/IEC 27002:2022
8.135.285
NIST SP 800-53 Rev.5
CP-9CP-10SI-12MP-6
EU GDPR
Article 32Recital 49
EU NIS2
Article 21(2)(c)Article 21(2)(d)Article 21(2)(e)
EU DORA
Article 10Article 11
COBIT 2019
DSS01DSS04MEA03

Liittyvät käytännöt

Riskienhallintapolitiikka

Määrittää riskiperusteisen priorisoinnin järjestelmien ja palvelukokonaisuuksien varmuuskopiointisuojaukselle.

Omaisuuden hallintapolitiikka

Varmistaa, että varmuuskopiointikelpoiset järjestelmät ovat omaisuusluettelossa ja kytketty elinkaaren seurantaan sekä omaisuuden luokittelukäytäntöihin.

Tietojen luokittelu- ja merkintäpolitiikka

Ohjaa, mitkä tietokategoriat edellyttävät varmuuskopiointia, mukaan lukien priorisointia tukevat merkintämetatiedot.

Tietojen säilytys- ja hävittämispolitiikka

Yhdenmukaistaa varmuuskopioiden säilytyksen sääntelyn säilytysrajojen kanssa ja varmistaa vanhentuneiden välineiden asianmukaisen hävittämisen.

Tietojen peittäminen ja pseudonymisointi -politiikka

Tukee tietosuojaa ja tietojen minimoinnin periaatteita arkaluonteisten tietoaineistojen varmuuskopioinnin aikana.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Aktivoituu varmuuskopiointivirheiden, palautusongelmien tai varmuuskopiodata-arkistojen vaarantumisen yhteydessä.

Tietoa Clarysecin käytännöistä - Varmuuskopiointi- ja palautuspolitiikka

Tehokas tietoturvan hallinto edellyttää enemmän kuin pelkkiä kirjauksia; se edellyttää selkeyttä, vastuuvelvollisuutta ja rakennetta, joka skaalautuu organisaatiosi mukana. Yleiset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Osoitamme vastuut nykyaikaisessa yrityksessä esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat toimikunnat, mikä varmistaa selkeän vastuuvelvollisuuden. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon ottaa käyttöön, auditoida tiettyjä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta asiakirjasta dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Testatut palautusmenettelyt

Edellyttää palautusharjoituksia ja eheyden tarkistuksia, jotta varmuuskopiot toimivat käytännössä ja järjestelmät ovat aidosti palautettavissa.

Muuttumattomat ja auditoitavat varmuuskopiot

Varmuuskopiot suojataan tiukalla muuttumattomuudella, versioinnilla ja täydellisellä tarkastusjälkitoteutuksella peukaloinnin tai luvattomien muutosten estämiseksi.

Tarkkarajainen roolivastuu

Selkeä varmuuskopiointitehtävien osoittaminen ylimmälle johdolle, tietoturvajohtajalle (CISO), IT:lle ja liiketoiminnan omistajille poistaa operatiivisen epäselvyyden.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT tietoturva vaatimustenmukaisuus johto

🏷️ Aiheen kattavuus

varmuuskopiointi ja toipuminen liiketoiminnan jatkuvuuden hallinta katastrofipalautus vaatimustenmukaisuuden hallinta tietosuoja
€69

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Backup and Restore Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7