10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27000认证咨询 > “A.12.3 备份”条款理解与应用ISO27000:“A.12.3 备份”条款理解与应用
A. 12.3 备份
目的∶防止数据丢失。
【标准条款】
A.12.3.1 信息备份
应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。
【理解与应用】
宜建立备份策略以确定组织信息、软件和系统的备份要求。备份策略宜确定保留和保护要求。
宜提供足够的备份设备以确保所有必要的信息和软件能在灾难或介质故障后恢复。设计备份计划时,宜考虑下列条款∶
(1)宜建立备份拷贝的准确完整的记录,以及文件化的恢复规程;
(2)备份的程度(例如完全备份或差异备份)和频率宜反映组织的业务要求、涉及信息的安全要求和信息对组织持续运行的关键度;
(3)备份宜存储在一个远程地点,有足够距离,以避免主办公场所灾难时受到损坏;
(4)宜给予备份信息一个与主办公场所应用标准相一致的适当的物理和环境保护等级(见 A. 11物理和环境安全);
(5)宜定期测试备份介质以确保当必要的应急使用时可以依靠这些备份介质;这宜与恢复规程的测试相结合,并检查是否符合所需的恢复时间。宜使用专用的测试介质进行备份数据恢复能力的测试,而不是覆盖原始介质,以防备份或恢复过程中出现故障,导致无法挽回的数据损坏或丢失;
(6)在保密性十分重要的情况下,备份宜通过加密手段进行保护。
操作规程宜监视备份的执行情况,解决执行计划备份的故障,以确保根据备份策略实施备份的完整性。
宜定期测试单个系统和服务的备份安排以确保其满足业务连续性计划的要求。对于关键系统和服务,备份安排宜包括在发生灾难时恢复完整系统必需的所有系统信息、应用和数据。
宜确定必要业务信息的保存周期,考虑永久保存归档文件副本的任何要求。
想了解更多的关于ISO27000信息可以经常关注我们
【相关文章】
