Biztonsági mentési és helyreállítási szabályzat – SME

A Biztonsági mentési és helyreállítási szabályzat (P15S) átfogó megközelítést biztosít annak érdekében, hogy minden alapvető üzleti adat védett legyen az adatvesztéssel szemben, és zavar esetén gyorsan helyreállítható legyen. Kifejezetten kis- és középvállalkozások (SME-k) számára készült; figyelembe veszi azon szervezetek strukturális sajátosságait, amelyek nem rendelkeznek összetett IT-részlegekkel, például dedikált biztonsági műveleti központ (SOC) csapatokkal vagy információbiztonsági vezető (CISO) szerepkörrel. Ennek megfelelően a fő felügyeleti és döntéshozatali felelősségeket a vezérigazgatóhoz (GM) rendeli, így a szabályzat egyszerre gyakorlati és összhangban van az ISO/IEC 27001:2022 követelményeivel. A szabályzat központi eleme a kikényszeríthető szabályok meghatározása, amelyek előírják minden kritikus adat rendszeres biztonsági mentését, beleértve a pénzügyi, ügyfél-, HR- és üzleti rendszeradatokat asztali gépeken, kiszolgálókon és felhőben üzemeltetett rendszerekben. A hatókört pontosan rögzíti, és előírja a biztonsági mentési adathordozók (például USB-meghajtók vagy felhőalapú megoldások) bevonását. A szabályzat előírja, hogy az adatkezelésért felelős valamennyi munkatárs, valamint a külső IT-támogatók szigorúan kövessék az előírt protokollokat a biztonsági mentés és a biztonságos tárolás során. A P15S egyértelmű célokat határoz meg: annak biztosítását, hogy minden kritikus adat biztonságosan mentésre kerüljön a kockázatértékeléshez igazított gyakorisággal; az időszerű és teljes adat-helyreállítás garantálását; valamint a jogosulatlan hozzáférés vagy manipuláció megelőzését erős titkosítással és tárolási hozzáférés-ellenőrzéssel. A szerepkörök és felelősségek világosan elkülönülnek: a vezérigazgató felel a szabályzat érvényesítéséért, az erőforrások biztosításáért, az éves felülvizsgálatokért és az incidensek felügyeletéért, míg az IT-szolgáltatók végzik a technikai megvalósítást és a jelentéstételt. A munkatársaknak kizárólag jóváhagyott rendszerekbe kell menteniük a munkájukat, ami tovább csökkenti a kockázatot. A szabályzat dokumentált Biztonsági mentési tervet ír elő, amely részletezi, mi kerül mentésre, milyen gyakorisággal, milyen megőrzési szabályok szerint, valamint a biztonságos törlés iránymutatásait a kapcsolódó szabályzatok alapján. A biztonsági mentéseket rögzített ütemezés szerint kell végrehajtani, például napi vagy heti mentést a pénzügyi nyilvántartásokhoz, havi mentést a konfigurációs beállításokhoz, és ahol lehetséges, inkrementális mentést a megosztott fájlokhoz. Kritikus kontrollként előírja, hogy az adatokat legalább két helyszínen kell tárolni (például helyi és felhő), a telephelyen kívüli tárolás esetén titkosítva, és kizárólag jogosult személyek számára hozzáférhetően. A naplók, jelentések és a helyreállítási eljárások időszakos tesztelése kötelező, támogatva az üzemi megbízhatóságot és az ISO/IEC 27001 és a GDPR szerinti auditkövetelményeket. A kockázat- és kivételkezelés beépített: bármely eltérést, mulasztást vagy technikai meghibásodást dokumentálni, indokolni és a vezérigazgatóval jóváhagyatni kell. A tiltott tevékenységek – például kritikus adatok nem engedélyezett eszközökön történő tárolása vagy a helyreállítási tesztek kihagyása – kifejezetten rögzítettek. Az éves és incidensvezérelt felülvizsgálatok biztosítják a folyamatos összhangot a jogi, szabályozási és technikai változásokkal. A biztonsági mentést vagy helyreállítást érintő problémák esetén az eszkaláció és a dokumentálás az Incidenskezelési szabályzat (P30S) szerint történik, megerősítve az integrált irányítást az SME információkezelési környezetében. A szabályzat így lehetővé teszi az SME-k számára a nemzetközi megfelelési elvárások teljesítését a működési realitásokhoz igazított struktúrával.