Politika sigurnosnog kopiranja i vraćanja

Politika sigurnosnog kopiranja i vraćanja (P15) uspostavlja obvezne zahtjeve organizacije za sigurnosno kopiranje i vraćanje podataka, sustava i aplikacija. Njezina je primarna svrha zaštititi operativnu otpornost organizacije i cjelovitost podataka, podržavajući kontinuitet poslovanja čak i tijekom velikih poremećaja poput otkaza sustava, kibernetičkih napada ili slučajnih brisanja. U svojoj srži, politika artikulira standardizirani pristup operacijama sigurnosnog kopiranja i osigurava jasne parametre oporavka, osobito definiranjem očekivanja za RTO (Recovery Time Objective) i RPO (Recovery Point Objective). Ovi su zahtjevi usko usklađeni s okvirom sustava upravljanja informacijskom sigurnošću (ISMS) organizacije i planovima kontinuiteta poslovanja, osiguravajući pravnu, regulatornu i operativnu usklađenost. Opseg politike je sveobuhvatan: utječe na sve poslovno kritične i operativne sustave obuhvaćene opsegom ISMS-a, uključujući strukturirane i nestrukturirane podatke kao što su baze podataka, datoteke, e-pošta i konfiguracijske postavke sustava. Proširuje se na sve vrste operativnih okruženja (u vlastitim prostorijama, hibridna, oblak), medije sigurnosnog kopiranja (fizičke, virtualne, izvan lokacije) te osoblje koje nadzire ili provodi procese sigurnosnog kopiranja. Posebno, sustavi koji se isključuju iz operacija sigurnosnog kopiranja moraju biti predmet procjene rizika, dokumentirani i formalno odobreni, čime se naglašava fokus politike na upravljanje rizicima i odgovornost. U okviru svojih ciljeva, politika navodi da se sva kritična imovina mora sigurnosno kopirati uz odgovarajuću učestalost, redundanciju i šifriranje, uz dokumentiranje svih postupaka, rasporeda zadržavanja i dodijeljenih uloga. Mehanizmi vraćanja moraju zadovoljiti unaprijed definirane pragove RTO i RPO na temelju procjena utjecaja na poslovanje. Cjelovitost i djelotvornost okruženja sigurnosnog kopiranja validiraju se kroz redovito testiranje vraćanja i održavanje revizijskog traga. Radi regulatornog usklađivanja, politika izravno provodi kontrole iz ISO/IEC 27001:2022 (uključujući operativni kontinuitet i sigurno zbrinjavanje), ISO/IEC 27002:2022 (kao što su cjelovitost i planiranje vraćanja), kao i zahtjeve preuzete iz NIST SP 800-53, GDPR-a, EU NIS2 i DORA-e. Ugovori s pružateljima usluga treće strane za sigurnosno kopiranje moraju odražavati očekivanja organizacije u pogledu šifriranja, zbrinjavanja, obavještavanja o incidentima i revizijskih dokaza o testiranju. Uloge i odgovornosti su izričito detaljno navedene, dodjeljujući strateški nadzor Izvršnom menadžmentu i CISO-u, operativno izvršenje IT-u i operacijama te specijalizirano upravljanje DPO-u, vlasnicima poslovnih aplikacija i relevantnim dobavljačima. Politika propisuje glavni raspored sigurnosnog kopiranja, redovite cikluse pregleda, snažno šifriranje, odvojena okruženja sigurnosnog kopiranja i stroge kontrole upravljanja promjenama. Strogo upravljanje osigurava da se revizijski zapisi održavaju, iznimke pažljivo kontroliraju i podvrgavaju procjeni rizika te da se mogućnosti vraćanja testiraju u zadanim intervalima. Dodatno, neusklađenost pokreće disciplinske mjere za interno osoblje te kazne ili eskalaciju za dobavljače, pri čemu redoviti pregled dnevnika, rasporeda i povezane dokumentacije čini dio procesa revizije i osiguravanja kontrola. Na kraju, politika se preispituje najmanje jednom godišnje, osiguravajući da ažuriranja odražavaju strateške, pravne ili tehnološke promjene, uz komunikaciju svim pogođenim stranama. Povezana sa skupom dokumenata upravljanja (proces upravljanja rizicima, upravljanje objektima i imovinom, klasifikacija podataka, politika zadržavanja podataka, maskiranje podataka i odgovor na incidente), ova je politika ugrađena u sveobuhvatan pristup organizacije sigurnosti podataka, kontinuitetu i usklađenosti s propisima.