Politica de backup și restaurare

Politica de backup și restaurare (P15) stabilește cerințele obligatorii ale organizației pentru backup și restaurarea datelor, sistemelor și aplicațiilor. Scopul său principal este să protejeze reziliența operațională și integritatea datelor, susținând continuitatea afacerii chiar și în timpul unor perturbări majore precum defecțiuni de sistem, atacuri cibernetice sau ștergeri accidentale. În esență, politica descrie o abordare standardizată a operațiunilor de backup și asigură parametri clari de recuperare, în special prin definirea așteptărilor privind RTO (Recovery Time Objective) și RPO (Recovery Point Objective). Aceste cerințe sunt aliniate îndeaproape cu implementarea cadrului SMSI și cu planurile de continuitate a afacerii, asigurând conformitate legală, de reglementare și operațională. Domeniul de aplicare al politicii este cuprinzător: afectează toate sistemele critice pentru afacere și sistemele operaționale acoperite de domeniul de aplicare al SMSI, inclusiv date structurate și date nestructurate precum baze de date, fișiere, e-mailuri și setări de configurare. Se extinde la toate tipurile de medii operaționale (la sediu, hibrid, cloud), medii de backup (fizice, virtuale, offsite) și personalul care supraveghează sau execută procesele de backup. În mod notabil, sistemele care urmează să fie excluse din operațiunile de backup trebuie să fie supuse evaluării riscurilor, documentate și aprobate formal, subliniind accentul politicii pe managementul riscurilor și responsabilitate. În cadrul obiectivelor sale, politica specifică faptul că toate activele critice trebuie să fie supuse backup-ului cu frecvență adecvată, redundanță și criptare, documentând toate procedurile, programele de păstrare și rolurile desemnate. Mecanismele de restaurare trebuie să îndeplinească pragurile RTO și RPO predefinite pe baza evaluărilor de impact asupra afacerii. Integritatea și eficacitatea mediului de backup sunt validate prin testare regulată a restaurării și menținerea unei piste de audit. Pentru alinierea la reglementări, politica aplică direct controale din ISO/IEC 27001:2022 (inclusiv continuitate operațională și metoda de eliminare securizată), ISO/IEC 27002:2022 (precum integritate și planificarea restaurării), precum și cerințe din NIST SP 800-53, GDPR, EU NIS2 și DORA. Contractele cu furnizori terți de servicii trebuie să reflecte așteptările organizației privind criptarea, eliminarea, notificarea incidentelor și dovezi de audit ale testelor. Rolurile și responsabilitățile sunt detaliate explicit, atribuind supravegherea strategică Conducerii executive și CISO, execuția operațională echipelor IT și Operațiuni, iar guvernanța specializată DPO, Proprietarilor de aplicații de afaceri și furnizorilor relevanți. Politica impune un calendar general al schimbărilor pentru backup, cicluri regulate de revizuire, criptare puternică, medii de backup separate și controale riguroase de management al schimbărilor. Guvernanța strictă asigură că jurnalizarea de audit este menținută, excepțiile sunt controlate cu atenție și supuse evaluării riscurilor, iar capabilitățile de restaurare sunt testate la intervale stabilite. În plus, neconformitatea declanșează măsuri disciplinare pentru personalul intern și penalități sau escaladare pentru furnizori, iar revizuirea regulată a jurnalelor, programelor și documentației aferente face parte din procesele de audit și asigurare. În final, politica este revizuită cel puțin anual, asigurând că actualizările reflectă schimbări strategice, legale sau tehnologice, cu comunicare către toate părțile afectate. Prin interconectarea cu un set de documente de guvernanță (managementul riscurilor, managementul activelor, clasificarea datelor, politica de păstrare a datelor, mascarea datelor și politica de răspuns la incidente), această politică este integrată în abordarea cuprinzătoare a organizației privind securitatea datelor, continuitatea și conformitatea cu reglementările.