Policy för säkerhetskopiering och återställning

Policyn för säkerhetskopiering och återställning (P15) fastställer organisationens obligatoriska krav för säkerhetskopiering och återställning av data, system och applikationer. Dess primära syfte är att skydda organisationens operativa motståndskraft och riktighet, samt stödja verksamhetskontinuitet även vid större störningar såsom systemfel, cyberattacker eller oavsiktliga raderingar. Policyn beskriver både ett standardiserat arbetssätt för säkerhetskopieringsdrift och tydliga återställningsparametrar, särskilt genom att definiera förväntningar för RTO (Recovery Time Objective) och RPO (Recovery Point Objective). Dessa krav är nära anpassade till organisationens ledningssystem för informationssäkerhet (ISMS) och Business Continuity Plans, vilket säkerställer rättslig, regulatorisk och operativ regelefterlevnad. Policyns omfattning är heltäckande: den påverkar alla verksamhetskritiska och operativa system som omfattas av ISMS, inklusive strukturerade data och ostrukturerade data såsom databaser, filer, e‑post och konfigurationsinställningar. Den omfattar alla typer av operativa miljöer (lokalt (på plats), hybrid, moln), säkerhetskopieringsmedia (fysiska, virtuella, offsite) samt personal som övervakar eller utför säkerhetskopieringsprocesser. System som ska undantas från säkerhetskopiering måste riskbedömas, dokumenteras och formellt godkännas, vilket understryker policyns fokus på riskhantering och ansvarsskyldighet. Inom sina mål anger policyn att alla kritiska tillgångar ska säkerhetskopieras med korrekt frekvens, redundans och kryptering, samt att alla procedurer, lagringsscheman och utsedda roller ska dokumenteras. Återställningsmekanismer ska uppfylla fördefinierade RTO- och RPO-trösklar baserat på affärskonsekvensanalyser. Riktigheten och effektiviteten i säkerhetskopieringsmiljön valideras genom regelbunden återställningstestning och upprätthållande av revisionsspår. För regulatorisk anpassning genomdriver policyn direkt kontroller från ISO/IEC 27001:2022 (inklusive operativ kontinuitet och säkert bortskaffande), ISO/IEC 27002:2022 (såsom riktighet och återställningsplanering), samt krav hämtade från NIST SP 800-53, GDPR, EU NIS2 och DORA. Avtal med tredjepartsleverantörer av säkerhetskopiering ska återspegla organisationens förväntningar avseende kryptering, bortskaffande, incidentavisering och testbevis. Roller och ansvar specificeras uttryckligen, med strategisk tillsyn hos verkställande ledning och informationssäkerhetschef (CISO), operativt genomförande hos IT och drift, samt specialiserad styrning hos DPO, applikationsägare och relevanta leverantörer. Policyn kräver en huvudplan för säkerhetskopiering, regelbundna granskningscykler, stark kryptering, separata säkerhetskopieringsmiljöer och rigorösa kontroller för ändringshantering. Strikt styrning säkerställer att revisionsloggar upprätthålls, att undantag kontrolleras noggrant och riskbedöms, samt att återställningsförmågor testas med fastställda intervall. Vidare utlöser bristande efterlevnad disciplinära åtgärder för intern personal och sanktioner eller eskalering för leverantörer, där regelbunden granskning av loggar, scheman och relaterad dokumentation ingår i revision och regelefterlevnad. Slutligen ses policyn över minst årligen, så att uppdateringar speglar strategiska, rättsliga eller tekniska förändringar, med kommunikation till alla berörda parter. Genom koppling till en uppsättning styrningsdokument (riskhantering, tillgångsklassificering, dataklassificering, datalagringspolicy, datamaskning och incidentrespons) är denna policy inbäddad i organisationens övergripande arbetssätt för datasäkerhet, kontinuitet och regelefterlevnad.