Backups for organization's business critical data shall be conducted and stored on a system
different from the device on which the original data resides.
Guidance
- Organization's business critical system's data includes for example software, configurations and
settings, documentation, system configuration data including computer configuration backups,
application configuration backups, etc.
- Consider a regular backup and put it offline periodically.
- Recovery time and recovery point objectives should be considered.
- Consider not storing the organization's data backup on the same network as the system on which the
original data resides and provide an offline copy. Among other things, this prevents file encryption
by hackers (risk of ransomware).
The reliability and integrity of backups shall be verified and tested on regular basis.
Guidance
This should include regular testing of the backup restore procedures.
Backup verification shall be coordinated with the functions in the organization that are
responsible for related plans.
Guidance
- Related plans include, for example, Business Continuity Plans, Disaster Recovery Plans, Continuity of
Operations Plans, Crisis Communications Plans, Critical Infrastructure Plans, and Cyber Incident
response plans.
- Restoration of backup data during contingency plan testing should be provided.
A separate alternate storage site for system backups shall be operated and the same security safeguards as the primary storage location shall be employed.
Guidance
An offline backup of your data is ideally stored in a separate physical location from the original data source
and where feasible offsite for extra protection and security.
Critical system backup shall be separated from critical information backup.
Guidance
Separation of critical system backup from critical information backup should lead to a shorter recovery time.
Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:
Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.
Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.
Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Tärkeä ensiaskel toimivassa varmuuskopioinnissa on tunnistaa, kenen vastuulla kunkin tiedon varmuuskopioiminen on. Varmuuskopioinnin vastuun selvittäminen on tieto-omaisuuden (järjestelmät, laitteisto) omistajien vastuulla.
Mikäli varmuuskopiointi on kumppanin vastuulla selvitämme:
Mikäli varmuuskopiointi on omalla vastuullamme selvitämme:
Palautuskyky viittaa siihen, miten nopeasti henkilötietojen saatavuus ja pääsy henkilötietoihin voidaan palauttaa fyysisen tai teknisen vian sattuessa.
Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Varmuuskopiointistrategian määrittämiseksi on tärkeää kartoittaa / päättää ainakin seuraavat asiat:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
