policy SME

Atsarginių kopijų kūrimo ir atkūrimo politika – SVV

Užtikrinkite veiklos tęstinumą naudodami šią SVV pritaikytą atsarginių kopijų kūrimo ir atkūrimo politiką, apimančią vaidmenis, procedūras, atitiktį ir atkuriamumą visoms sistemoms ir duomenims.

Apžvalga

Ši politika apibrėžia aiškias taisykles ir atsakomybes, kaip SVV aplinkoje saugiai kurti atsargines kopijas ir atkurti duomenis, užtikrinant veiklos tęstinumą, atitiktį reglamentavimo reikalavimams ir veiksmingą rizikos valdymą.

Užtikrinamas veiklos tęstinumas

Užtikrina savalaikį duomenų atkūrimą po incidentų ir apsaugo nuo atsitiktinio praradimo ar techninių gedimų.

Pritaikyta SVV

Sukurta organizacijoms be specializuotų IT komandų, apibrėžiant aiškius vaidmenis generaliniams vadovams ir išorinei IT pagalbai.

Atitiktis reglamentavimo reikalavimams

Palaiko ISO/IEC 27001, BDAR, ES NIS2 ir DORA, taikant struktūrizuotas ir audituojamas atsarginių kopijų kūrimo procedūras.

Skaityti visą apžvalgą
Atsarginių kopijų kūrimo ir atkūrimo politika (P15S) pateikia išsamų požiūrį, kaip užtikrinti, kad visi esminiai verslo duomenys būtų apsaugoti nuo praradimo ir galėtų būti greitai atkurti sutrikimo atveju. Ši politika, sukurta specialiai mažoms ir vidutinėms įmonėms (SVV), atsižvelgia į organizacijų be sudėtingų IT departamentų struktūrines realijas, pavyzdžiui, į tai, kad nėra specializuotų SOC komandų ar CISO. Todėl ji priskiria pagrindines priežiūros ir sprendimų priėmimo atsakomybes generaliniam vadovui (GV), todėl yra praktiška ir suderinta su ISO/IEC 27001:2022. Politikos esmė – vykdytinos taisyklės, reikalaujančios reguliariai kurti visų kritinių duomenų atsargines kopijas, įskaitant finansinius, klientų, personalo ir verslo sistemų duomenis staliniuose kompiuteriuose, serveriuose ir debesijos taikomųjų programų aplinkoje. Politika tiksliai apibrėžia taikymo sritį, įtraukdama atsarginių kopijų laikmenas, tokias kaip USB laikmenos ar debesija pagrįsti sprendimai. Ji nurodo visiems darbuotojams, atsakingiems už duomenų tvarkymą, kartu su išoriniais IT pagalbos teikėjais, griežtai laikytis nustatytų atsarginių kopijų kūrimo ir saugaus saugojimo protokolų. P15S apibrėžia aiškius tikslus: užtikrinti, kad visi kritiniai duomenys būtų saugiai kopijuojami intervalais, suderintais su rizikos vertinimu, garantuoti savalaikį ir pilną duomenų atkūrimą bei užkirsti kelią nesankcionuotai prieigai ar klastojimui, taikant patikimą šifravimą ir saugojimo kontrolę. Vaidmenys ir atsakomybės aiškiai apibrėžti: GV yra atskaitingas už politikos vykdymo užtikrinimą, išteklių paskirstymą, kasmetines peržiūras ir incidentų priežiūrą, o IT paslaugų teikėjai atsako už techninį įgyvendinimą ir ataskaitų teikimą. Darbuotojai privalo saugoti darbą tik patvirtintose sistemose, taip dar labiau mažindami riziką. Politika reikalauja dokumentuoto atsarginių kopijų plano, kuriame nurodoma, kas kopijuojama, kopijavimo dažnis, saugojimo taisyklės ir saugaus ištrynimo gairės, paremtos susijusiomis politikomis. Atsarginės kopijos turi būti daromos pagal nustatytus grafikus, pavyzdžiui, kasdien arba kas savaitę finansiniams įrašams, kas mėnesį sistemų konfigūracijoms ir, kur įmanoma, inkrementiškai bendrinamiems failams. Kritinės kontrolės priemonės reikalauja duomenis saugoti bent dviejose vietose (pvz., vietoje ir debesijoje), šifruoti, kai saugoma už organizacijos ribų, ir suteikti prieigą tik įgaliotam personalui. Žurnalai, ataskaitos ir periodinis atkūrimo procedūrų testavimas yra privalomi, palaikant tiek operacinį patikimumą, tiek audito reikalavimus pagal tokius standartus kaip ISO/IEC 27001 ir BDAR. Rizikos ir išimčių valdymas yra integruotas: bet koks nukrypimas, spraga ar techninis gedimas turi būti dokumentuotas, pagrįstas ir patvirtintas GV. Draudžiami veiksmai, tokie kaip kritinių duomenų saugojimas nepatvirtintuose įrenginiuose ar atkūrimo testų praleidimas, yra aiškiai išvardyti. Kasmetinės ir incidentų inicijuotos politikos peržiūros užtikrina nuolatinį suderinamumą su teisiniais, reglamentavimo ir techniniais pokyčiais. Klausimams, turintiems įtakos atsarginių kopijų kūrimui ar atkūrimui, eskalavimas ir dokumentavimas vykdomi pagal reagavimo į incidentus politiką (P30S), taip įtvirtinant integruotą valdyseną SVV informacijos valdymo aplinkoje. Ši politika suteikia SVV galimybę atitikti tarptautinius atitikties reikalavimus, taikant struktūrą, pritaikytą jų veiklos realijoms.

Politikos diagrama

Atsarginių kopijų kūrimo ir atkūrimo politikos schema, iliustruojanti vaidmenis, deleguotas atsakomybes, suplanuotas atsargines kopijas, saugų saugojimą, saugojimo laikotarpius, atkūrimo testavimą ir eskalavimo žingsnius.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Atsarginių kopijų kūrimo operacijų taikymo sritis ir taisyklės

Vaidmenys ir atsakomybės (generalinis vadovas, IT paslaugų teikėjai)

Atsarginių kopijų kūrimo dažnio ir saugojimo grafikai

Saugojimo, šifravimo ir saugaus ištrynimo reikalavimai

Reagavimas į incidentus ir eskalavimo žingsniai

Pasirengimas auditui ir kasmetinė peržiūra

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.298.13
NIST SP 800-53 Rev.5
CP-9MP-6
EU NIS2
Article 21(2)(c)
EU DORA
Article 10(1)
COBIT 2019
BAI04.05DSS04.07
EU GDPR
5(1)(f)32(1)(c)

Susijusios politikos

Duomenų saugojimo politika

Apibrėžia, kiek laiko turi būti saugomi atsarginių kopijų duomenys ir kaip jie turi būti saugiai ištrinami.

Duomenų klasifikavimas

Padeda nustatyti, kuriems duomenims turi būti teikiama pirmenybė kuriant atsargines kopijas pagal duomenų klasifikavimo lygius.

Reagavimo į incidentus politika

Apima procedūras, jei atsarginių kopijų kūrimas nepavyksta arba jei po duomenų saugumo pažeidimo ar sutrikimo reikia atkurti duomenis.

Vaidmenų ir atsakomybių registras

Priskiria aiškius įgaliojimus atsarginių kopijų priežiūrai ir politikos vykdymo užtikrinimui.

Duomenų apsauga ir duomenų privatumas

Užtikrina, kad atsarginių kopijų tvarkymas su asmens duomenimis atitiktų teisinius ir privatumo reglamentus.

Apie Clarysec politikas - Atsarginių kopijų kūrimo ir atkūrimo politika – SVV

Bendrosios saugumo politikos dažnai kuriamos didelėms korporacijoms, todėl mažoms įmonėms sunku taikyti sudėtingas taisykles ir neapibrėžtus vaidmenis. Ši politika yra kitokia. Mūsų SVV politikos nuo pat pradžių kuriamos praktiškam įgyvendinimui organizacijose be specializuotų saugumo komandų. Mes priskiriame atsakomybes vaidmenims, kuriuos jūs iš tikrųjų turite, pavyzdžiui, generaliniam vadovui ir jūsų IT paslaugų teikėjui, o ne specialistų komandai, kurios neturite. Kiekvienas reikalavimas suskaidytas į unikaliai sunumeruotą punktą (pvz., 5.2.1, 5.2.2). Tai paverčia politiką aiškiu, nuosekliu kontroliniu sąrašu, kurį lengva įgyvendinti, audituoti ir pritaikyti neperrašant ištisų skyrių.

Atkūrimo testavimas yra privalomas

Reikalaujami ketvirtiniai atkūrimo testai, o rezultatai turi būti dokumentuojami, įrodant atsarginių kopijų atkuriamumą audito ir kontrolės užtikrinimo tikslais.

Aiškus delegavimas ir audituojamumas

Politika užtikrina dokumentuotą užduočių delegavimą GV ir IT, kasmetines peržiūras ir registravimą audito žurnale, kad būtų palaikoma atskaitomybė.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas Atitiktis

🏷️ Teminė aprėptis

Veiklos tęstinumo valdymas Atkūrimas po katastrofos Atitikties valdymas
€49

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Backup and Restore Policy - SME

Produkto informacija

Tipas: policy
Kategorija: SME
Standartai: 7