12.3備份

12.3備份

12.3.1信息備份

控制
宜按照既定的備份策略，對信息、軟件和系統鏡像進行備份，并定期測試。
實現指南
宜建立備份策略以確定組織信息、軟件和系統的備份要求。
備份策略宜確定保留和保護要求。
宜提供足夠的備份設備以確保所有必要的信息和軟件能在災難或介質故障后恢復。
設計備份計劃時，宜考慮下列條款：
a) 宜建立備份拷貝的準確完整的記錄，以及文件化的恢復規程；
b) 備份的程度（例如完全備份或差異備份）和頻率宜反映組織的業務要求、涉及信息的安全要求和信息對組織持續運行的關鍵度；
c) 備份宜存儲在一個遠程地點，有足夠距離，以避免主辦公場所災難時受到損壞；
d) 宜給予備份信息一個與主辦公場所應用標準相一致的適當的物理和環境保護等級（見第11章）；
e) 宜定期測試備份介質以確保當必要的應急使用時可以依靠這些備份介質；這宜與恢復規程的測試相結合，并檢查是否符合所需的恢復時間。宜使用專用的測試介質進行備份數據恢復能力的測試，而不是覆蓋原始介質，以防備份或恢復過程中出現故障，導致無法挽回的數據損壞或丟失；
f) 在保密性十分重要的情況下，備份宜通過加密手段進行保護。
操作規程宜監視備份的執行情況，解決執行計劃備份的故障，以確保根據備份策略實施備份的完整性。
宜定期測試單個系統和服務的備份安排以確保其滿足業務連續性計劃的要求。對于關鍵系統和服務，備份安排宜包括在發生災難時恢復完整系統必需的所有系統信息、應用和數據。