Datu rezerves kopēšanas un atjaunošanas politika – MVU

Datu rezerves kopēšanas un atjaunošanas politika (P15S) nodrošina visaptverošu pieeju, lai visi būtiskie biznesa dati būtu aizsargāti pret zudumu un tos varētu ātri atjaunot traucējumu gadījumā. Tā ir izstrādāta tieši mazajiem un vidējiem uzņēmumiem (MVU) un ņem vērā organizāciju strukturālo realitāti bez sarežģītām IT struktūrvienībām, piemēram, bez specializētām drošības operāciju centra (SOC) komandām vai galvenā informācijas drošības vadītāja (CISO). Tādēļ tā piešķir būtiskus uzraudzības un lēmumu pieņemšanas pienākumus galvenajam izpilddirektoram (GM), padarot to gan praktisku, gan atbilstošu ISO/IEC 27001:2022. Politikas pamatā ir izpildāmi noteikumi, kas prasa regulāru visu kritisko datu rezerves kopēšanu, tostarp finanšu, klientu, HR un biznesa sistēmu informāciju darbvirsmās, serveros un mākoņvidē izvietotās sistēmās. Politika precīzi nosaka darbības jomu, paredzot iekļaut arī rezerves kopiju nesējus, piemēram, USB diskus vai mākoņrisinājumus. Tā nosaka, ka visiem darbiniekiem, kuri ir atbildīgi par datu apstrādi, kā arī ārējiem IT atbalsta pakalpojumu sniedzējiem, ir stingri jāievēro noteiktie protokoli rezerves kopēšanai un drošai glabāšanai. P15S nosaka skaidrus mērķus: nodrošināt, ka visi kritiskie dati tiek droši dublēti intervālos, kas saskaņoti ar riska novērtēšanu, garantēt savlaicīgu un pilnīgu datu atjaunošanu un novērst nesankcionētu piekļuvi vai iejaukšanos, izmantojot šifrēšanu un glabāšanas kontroles pasākumus. Lomas un atbildības ir skaidri noteiktas: GM ir atbildīgs par politikas izpildi, resursu piešķiršanu, ikgadējiem pārskatiem un incidentu uzraudzību, savukārt IT pakalpojumu sniedzēji nodrošina tehnisko ieviešanu un ziņošanu. Darbiniekiem darbs jāsaglabā tikai apstiprinātās sistēmās, tādējādi vēl vairāk samazinot risku. Politika nosaka dokumentētu rezerves kopēšanas plānu, kurā norādīts, kas tiek dublēts, biežums, glabāšanas noteikumi un drošas dzēšanas vadlīnijas, kas balstītas uz saistītajām politikām. Rezerves kopijas jāveido pēc noteiktiem grafikiem, piemēram, katru dienu vai nedēļu finanšu ierakstiem, reizi mēnesī sistēmu konfigurācijām un, ja iespējams, inkrementāli koplietotajiem failiem. Kritiskās kontroles prasa datus glabāt vismaz divās vietās (piemēram, lokāli un mākonī), šifrēt, ja tie atrodas ārpus telpām, un nodrošināt piekļuvi tikai pilnvarotam personālam. Žurnāli, pārskati un periodiska atjaunošanas procedūru testēšana ir obligāta, atbalstot gan operatīvo uzticamību, gan audita prasības tādiem standartiem kā ISO/IEC 27001 un GDPR. Riska un izņēmumu pārvaldība ir iebūvēta: jebkura novirze, iztrūkums vai tehniska atteice ir jādokumentē, jāpamato un jāapstiprina GM. Aizliegtas darbības, piemēram, kritisko datu glabāšana neapstiprinātās ierīcēs vai atjaunošanas testu izlaišana, ir skaidri noteiktas. Ikgadējie un ar incidentiem saistītie politikas pārskati nodrošina pastāvīgu atbilstību juridiskajām, regulatīvajām un tehniskajām izmaiņām. Jautājumos, kas ietekmē rezerves kopēšanu vai atjaunošanu, eskalācija un dokumentēšana notiek saskaņā ar Incidentu reaģēšanas politiku (P30), nostiprinot integrētu pārvaldību MVU informācijas pārvaldības vidē. Tādējādi šī politika ļauj MVU izpildīt starptautiskās atbilstības prasības ar struktūru, kas pielāgota to operatīvajai realitātei.