9. Quản lý truyền thông và vận hành
9.5.1. Sao lưu thông tin
Biện pháp quản lý
Thông tin và phần mềm cần được sao lưu và thường xuyên kiểm tra lại chúng theo chính sách sao lưu đã được thỏa thuận.
Hướng dẫn triển khai
Cần cung cấp các phương tiện sao lưu thích hợp nhằm đảm bảo rằng tất cả các thông tin và phần mềm cần thiết có thể được khôi phục lại sau thảm họa hoặc lỗi hỏng thiết bị.
Cần quan tâm đến các vấn đề sau trong việc sao lưu thông tin: a) cần xác định mức độ cần thiết của thông tin sao lưu;
b) cần đưa ra các bản sao lưu đầy đủ và chính xác và các văn bản về thủ tục khôi phục;
c) phạm vi (ví dụ sao lưu đầy đủ hoặc từng phần) và tần suất sao lưu cần thể hiện các yêu cầu nghiệp vụ của tổ chức, các yêu cầu về an toàn thông tin có liên quan, và độ quan trọng của thông tin trong việc đảm bảo tính liên tục về nghiệp vụ của tổ chức;
d) các bản sao cần được lưu giữ ở một vị trí ở xa, với khoảng cách phù hợp nhằm tránh những thiệt hại do thảm họa tại trụ sở chính.
e) thông tin sao chép cần được đặt ở mức độ bảo vệ vật lý và môi trường phù hợp (xem điều 8) tuân thủ các tiêu chuẩn được áp dụng tại trụ sở chính; các biện pháp quản lý được áp dụng đối với thiết bị tại trụ sở chính cũng cần được thực hiện tại nơi chứa bản sao lưu;
f) thiết bị sao chép cần được kiểm tra định kỳ nhằm đảm bảo rằng chúng có thể tin cậy trong điều kiện sử dụng khẩn cấp;
g) các thủ tục khôi phục thông tin cần được xem xét và kiểm tra định kỳ nhằm đảm bảo chúng hoạt động hiệu quả và chúng có thể được thực hiện đầy đủ trong khoảng thời gian đã được xác định trong các thủ tục khai thác về khôi phục;
h) Trong các trường hợp khi tính bí mật là một yêu cầu quan trọng thì các bản sao cần được bảo vệ bằng các hình thức mã hóa.
Các thủ tục sao lưu dành cho các hệ thống riêng cần được kiểm tra thường xuyên nhằm đảm bảo rằng chúng đáp ứng được các yêu cầu của các kế hoạch đảm bảo tính liên tục về nghiệp vụ (xem điều 13). Đối với các hệ thống quan trọng thì cần thực hiện sao lưu tất cả thông tin. các ứng dụng, dữ liệu cần thiết của hệ thống nhằm có thể phục hồi được toàn bộ hệ thống trong trường hợp có thâm họa xảy ra.
Thời gian lưu trữ các thông tin nghiệp vụ cần thiết và các yêu cầu lưu trữ bản sao lâu dài cũng cần được xác định (xem 14.1.3).
Có thể thực hiện sao lưu tự động nhằm làm dễ dàng quy trình sao lưu và khôi phục. Các giải pháp tự động như vậy cần được kiểm tra phù hợp trước khi triển khai và vào các thời điểm định kỳ.