policy Enterprise

Biztonsági mentési és helyreállítási szabályzat

Átfogó biztonsági mentési és helyreállítási szabályzat, amely biztosítja az adatok sértetlenségét, az operatív ellenállóképességet és a jogszabályi megfelelést az üzletmenet-kritikus rendszerek esetében.

Áttekintés

A biztonsági mentési és helyreállítási szabályzat szervezeti követelményeket ír elő a biztonsági mentések gyakoriságára, megőrzésére, biztonságára, helyreállítására és megfelelésére vonatkozóan, védelmet nyújt az adatvesztéssel szemben, és biztosítja a helyreállítást a vezető szabványokkal és az üzletmenet-folytonossági célkitűzésekkel összhangban.

Biztosítja az adatvédelem megvalósítását

Meghatározza az adatvesztés, adatsérülés és kibertámadások elleni védelem követelményeit ellenálló biztonsági mentési stratégiákon keresztül.

Jogszabályi megfelelés

Összhangban van az ISO 27001, NIST, GDPR, DORA és NIS2 követelményeivel a megfelelő adatmegőrzés, biztonsági mentés és helyreállítás érdekében.

Operatív ellenállóképesség

Integrálódik az üzletmenet-folytonossági tervekhez, hogy incidensek esetén gyors és megbízható helyreállítást támogasson.

Teljes áttekintés olvasása
A biztonsági mentési és helyreállítási szabályzat (P15) meghatározza a szervezet kötelező követelményeit az adatok, rendszerek és alkalmazások biztonsági mentésére és helyreállítására vonatkozóan. Elsődleges célja a szervezet operatív ellenállóképességének és az adatok sértetlenségének védelme, az üzletmenet-folytonosság támogatása még jelentős zavarok – például rendszerhibák, kibertámadások vagy véletlen törlések – esetén is. A szabályzat központi elemeként egységes megközelítést rögzít a biztonsági mentési műveletekhez, és egyértelmű helyreállítási paramétereket biztosít, különösen az RTO (Recovery Time Objective) és az RPO (Recovery Point Objective) elvárások meghatározásával. Ezek a követelmények szorosan illeszkednek a szervezet információbiztonsági irányítási rendszerének keretrendszeréhez és az üzletmenet-folytonossági tervekhez, biztosítva a jogi, szabályozási és operatív megfelelést. A szabályzat hatóköre átfogó: kiterjed az IBIR által lefedett valamennyi üzletmenet-kritikus és operatív rendszerre, beleértve a strukturált és strukturálatlan adatokat, például adatbázisokat, fájlokat, e-maileket és rendszerkonfigurációkat. Kiterjed minden operatív környezetre (helyszíni, hibrid, felhő), biztonsági mentési adathordozóra (fizikai, virtuális, telephelyen kívüli), valamint a biztonsági mentési folyamatokat felügyelő vagy végrehajtó személyzetre. Kiemelten: a biztonsági mentési műveletekből kizárandó rendszereket kockázatértékelésnek kell alávetni, dokumentálni kell, és formálisan jóvá kell hagyni, ami alátámasztja a szabályzat kockázatkezelésre és elszámoltathatóságra helyezett hangsúlyát. A célkitűzések keretében a szabályzat rögzíti, hogy valamennyi kritikus eszközről megfelelő gyakorisággal, redundanciával és titkosítással kell biztonsági mentést készíteni, továbbá dokumentálni kell az összes eljárást, megőrzési ütemezést és kijelölt szerepkört. A helyreállítási mechanizmusoknak az üzleti hatás alapján előre meghatározott RTO- és RPO-küszöbértékeket kell teljesíteniük. A biztonsági mentési környezet sértetlenségét és eredményességét rendszeres helyreállítási teszteléssel és ellenőrzési nyomvonal fenntartásával kell validálni. A szabályozási összehangolás érdekében a szabályzat közvetlenül érvényesíti az ISO/IEC 27001:2022 kontrolljait (beleértve az operatív folytonosságot és a biztonságos selejtezést), az ISO/IEC 27002:2022 követelményeit (például a sértetlenséget és a helyreállítási tervezést), valamint a NIST SP 800-53, a GDPR, az EU NIS2 és a DORA követelményeiből származó elvárásokat. A harmadik fél biztonsági mentési szolgáltatókkal kötött beszállítói szerződéseknek tükrözniük kell a szervezet elvárásait a titkosítás, selejtezés, incidensértesítés és tesztbizonyítékok tekintetében. A szerepkörök és felelősségek részletesen rögzítettek: a stratégiai felügyelet a felső vezetés és az információbiztonsági vezető (CISO) feladata, az operatív végrehajtás az IT és az üzemeltetés feladata, a speciális irányítás pedig az adatvédelmi tisztviselő (DPO), az alkalmazástulajdonosok és az érintett beszállítók feladata. A szabályzat előírja a központi biztonsági mentési ütemtervet, a rendszeres felülvizsgálati ciklusokat, az erős titkosítást, az elkülönített biztonsági mentési környezeteket és a szigorú változáskezelési kontrollokat. A szigorú irányítás biztosítja az auditnaplók fenntartását, a kivételek gondos kontrollját és kockázatértékelését, valamint a helyreállítási képességek meghatározott időközönkénti tesztelését. Emellett a meg nem felelés fegyelmi intézkedéseket vált ki a belső munkatársak esetében, illetve kötbéreket vagy eszkalációt a beszállítók esetében; a naplók, ütemezések és kapcsolódó dokumentáció rendszeres felülvizsgálata az audit- és kontrollbizonyossági folyamatok részét képezi. Végül a szabályzatot legalább évente felül kell vizsgálni, biztosítva, hogy a frissítések tükrözzék a stratégiai, jogi vagy technológiai változásokat, és az érintett felek felé történő kommunikáció megtörténjen. A kockázatkezelés, eszközkezelés, adatosztályozás, adatmegőrzés, adatmaszkolás és incidensreagálás irányítási dokumentumokkal való összekapcsolás révén ez a szabályzat a szervezet átfogó megközelítésébe illeszkedik az adatbiztonság, a folytonosság és a jogszabályi megfelelés területén.

Irányelv-diagram

Biztonsági mentési és helyreállítási szabályzat diagram, amely bemutatja az ütemezett biztonsági mentések készítését, a telephelyen kívüli/felhőalapú tárolást, a szerepkör-hozzárendeléseket, a rendszeres helyreállítási tesztelést és az incidenseszkaláció lépéseit.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és együttműködési szabályok

Biztonsági mentési és helyreállítási követelmények

Harmadik fél és felhőalapú biztonsági mentési kontrollok

Irányítás és tesztelés

Megőrzési és biztonságos selejtezési eljárások

Kivételkezelés és kockázatkezelés

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
6.1.38.1Annex A 5.28Annex A 5.29Annex A 8.13
ISO/IEC 27002:2022
8.135.285
NIST SP 800-53 Rev.5
CP-9CP-10SI-12MP-6
EU GDPR
Article 32Recital 49
EU NIS2
Article 21(2)(c)Article 21(2)(d)Article 21(2)(e)
EU DORA
Article 10Article 11
COBIT 2019
DSS01DSS04MEA03

Kapcsolódó irányelvek

Kockázatkezelési szabályzat

Azonosítja a rendszerek és szolgáltatások biztonsági mentésvédelmének kockázatalapú priorizálását.

Eszközkezelési szabályzat

Biztosítja, hogy a biztonsági mentésre jogosult rendszerek szerepeljenek az eszközleltárban, és kapcsolódjanak az életciklus-követéshez és az eszközosztályozáshoz.

Adatosztályozási és címkézési szabályzat

Irányt ad arra, hogy mely adatkategóriák igényelnek biztonsági mentést, beleértve a priorizálást támogató címkézési metaadatokat.

Adatmegőrzési és selejtezési szabályzat

Összehangolja a biztonsági mentések megőrzését a szabályozási megőrzési korlátokkal és a lejárt adathordozók megfelelő selejtezésével.

Adatmaszkolási és pszeudonimizálási szabályzat

Támogatja az adattakarékosságot az érzékeny adatkészletek biztonsági mentése során.

Incidenskezelési szabályzat

Aktiválódik biztonsági mentési hibák, helyreállítási problémák vagy a biztonsági mentési adattárak kompromittálódása esetén.

A Clarysec irányelveiről - Biztonsági mentési és helyreállítási szabályzat

A hatékony biztonsági irányítás több mint szöveg: egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázható struktúrát igényel. Az általános sablonok gyakran kudarcot vallanak, mert hosszú bekezdésekkel és nem definiált szerepkörökkel kétértelműséget teremtenek. Ez a szabályzat úgy készült, hogy az Ön biztonsági programjának operatív gerince legyen. A felelősségeket a modern vállalatokban ténylegesen meglévő szerepkörökhöz rendeljük, beleértve az információbiztonsági vezetőt (CISO), az IT-biztonságot és a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedi sorszámozású záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a szabályzat bevezetését, az egyes kontrollok szerinti auditálását, valamint a dokumentum sértetlenségének veszélyeztetése nélküli biztonságos testreszabását, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Tesztelt helyreállítási eljárások

Előírja a helyreállítási gyakorlatokat és a sértetlenségi ellenőrzéseket, biztosítva, hogy a biztonsági mentések a gyakorlatban is működjenek, és a rendszerek valóban helyreállíthatók legyenek.

Változtathatatlan és auditálható biztonsági mentések

A biztonsági mentéseket szigorú változtathatatlansággal, verziókezeléssel és teljes ellenőrzési nyomvonallal védjük a manipuláció vagy jogosulatlan módosítások megelőzése érdekében.

Részletes szerepkör szerinti elszámoltathatóság

A biztonsági mentési feladatok egyértelmű hozzárendelése a felső vezetéshez, a CISO-hoz, az IT-hoz és az üzleti tulajdonosokhoz megszünteti az operatív kétértelműséget.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés Vezetőség

🏷️ Témafedezet

Biztonsági mentés és helyreállítás Üzletmenet-folytonosság menedzsment Vészhelyzeti helyreállítás Megfelelés Adatvédelem
€69

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Backup and Restore Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7