Politika zálohovania a obnovy – SME

Politika zálohovania a obnovy (P15S) poskytuje komplexný prístup na zabezpečenie toho, aby boli všetky nevyhnutné podnikové údaje chránené pred stratou a aby ich bolo možné rýchlo obnoviť v prípade narušenia. Bola vypracovaná špecificky pre malé a stredné podniky (SME) a zohľadňuje štrukturálnu realitu organizácií bez komplexných IT oddelení, napríklad bez vyhradených tímov SOC alebo CISO. Preto priraďuje hlavný dohľad a rozhodovacie zodpovednosti generálnemu manažérovi (GM), čím je praktická a zároveň v súlade s ISO/IEC 27001:2022. V jadre politika stanovuje vynútiteľné pravidlá, ktoré vyžadujú pravidelné zálohovanie všetkých kritických údajov vrátane finančných, zákazníckych, HR a informácií podnikových systémov naprieč pracovnými stanicami, servermi a cloudovými aplikáciami. Politika je presná v rozsahu a vyžaduje zahrnutie zálohovacích médií, ako sú USB disky alebo cloudové riešenia. Všetkým zamestnancom so zodpovednosťou za nakladanie s údajmi, spolu s externými poskytovateľmi IT podpory, nariaďuje dôsledne dodržiavať predpísané protokoly pre zálohovanie a bezpečné uchovávanie. P15S stanovuje jasné ciele: zabezpečiť, aby boli všetky kritické údaje bezpečne zálohované v intervaloch zosúladených s posúdeniami rizík, zaručiť včasnú a úplnú obnovu údajov a predchádzať neoprávnenému prístupu alebo manipulácii prostredníctvom robustného šifrovania a riadenia uchovávania. Roly a zodpovednosti sú jasne vymedzené: GM je zodpovedný za vynucovanie politiky, prideľovanie zdrojov, ročné preskúmania a dohľad nad incidentmi, zatiaľ čo poskytovatelia IT zabezpečujú technickú implementáciu a vykazovanie. Zamestnanci musia ukladať prácu iba do schválených systémov, čím sa ďalej znižuje riziko. Politika vyžaduje zdokumentovaný Plán zálohovania, ktorý uvádza, čo sa zálohuje, frekvenciu, pravidlá uchovávania a usmernenia pre bezpečné vymazanie založené na súvisiacich politikách. Zálohy sa musia vykonávať podľa stanovených harmonogramov, napríklad denne alebo týždenne pre finančné záznamy, mesačne pre konfiguračné nastavenia systémov a inkrementálne pre zdieľané súbory, kde je to možné. Kritické kontroly vyžadujú, aby sa údaje uchovávali minimálne na dvoch miestach (napr. lokálne a v cloude), aby boli pri uchovávaní mimo pracoviska šifrované a aby k nim mali prístup striktne len oprávnené osoby. Záznamy, správy a pravidelné testovanie postupov obnovy sú povinné, čím sa podporuje prevádzková spoľahlivosť aj požiadavky na audit podľa noriem, ako sú ISO/IEC 27001 a GDPR. Riadenie rizík a výnimiek je zabudované: akákoľvek odchýlka, výpadok alebo technické zlyhanie musí byť zdokumentované, odôvodnené a schválené GM. Zakázané činnosti, ako je uchovávanie kritických údajov na neschválených zariadeniach alebo vynechávanie testov obnovy, sú výslovne uvedené. Ročné preskúmania politiky a preskúmania vyvolané incidentmi zabezpečujú priebežné zosúladenie s právnymi, regulačnými a technickými zmenami. Pri problémoch ovplyvňujúcich zálohovanie alebo obnovu sa eskalácia a dokumentácia riadia podľa Politiky reakcie na incidenty (P30S), čím sa upevňuje integrovaná správa naprieč prostredím správy informácií SME. Táto politika tak umožňuje SME plniť medzinárodné požiadavky na súlad so štruktúrou prispôsobenou ich prevádzkovej realite.