19.7 備份（MCO_BUP）

19.7.1　安全保障管理目的

組織機構應維護信息和信息處理設施的完整性和可用性。
組織機構應建立日常的備份流程，執行已定義的備份策略，備份復制數據并預演定期恢復。

19.7.2　MCO_BUP.1 信息備份

19.7.2.1　管理保障控制組件控制

組織機構應備份信息和軟件，并根據已定義的備份策略定期測試備份數據。

19.7.2.2　管理保障控制組件注解

組織機構應提供足夠的備份設施，以確保在介質失效后能恢復所有重要的信息和軟件。
備份信息時應考慮下列內容：
a) 應定義備份信息的備份粒度；
b) 應有準確而完整的備份記錄和文檔化的恢復流程；
c) 備份的程度（例如，完全或部分備份）和備份頻率應該符合組織機構的業務要求、相關信息的安全要求；
d) 應將備份存放到遠端場地，其與主場地的距離應足以避免任何災難性事件造成的破壞；
e) 備份信息的物理和邏輯保護級別應與主場地的相應保護級別一致；對主場地介質使用的控制措施同樣可以應用到備份場地；
f) 應定期測試備份介質，以確保在必要時可以緊急使用；
g) 應定期驗證和測試恢復流程，以確保流程有效，在運行恢復流程時能在指定的時間內完成流程；
h) 當對系統的保密性要求較高時，應使用加密手段保護備份信息。
組織機構應定期測試備份措施，以確保這些措施滿足可業務持續性計劃的要求。對關鍵系統，備份內容應包括系統信息、應用和數據的備份，使得當系統發生災難性事件時能夠完全恢復。
組織機構應確定重要業務信息的保留時間以及需要永久保留的備份信息。