سياسة النسخ الاحتياطي والاسترداد

Control 11

الإجراءات الوقائية المعنية: 11.1 11.2 11.3 11.4 11.5

1. الغرض

وضع متطلبات للنسخ الاحتياطي واسترداد البيانات والأنظمة الحيوية لـ [ORGANIZATION] لضمان استمرارية الأعمال والمرونة ضد فقدان البيانات أو تلفها أو هجمات برامج الفدية.

2. النطاق

تنطبق هذه السياسة على جميع بيانات وتطبيقات وتكوينات وأنظمة المؤسسة التي تدعم عمليات الأعمال الخاصة بـ [ORGANIZATION].

3. السياسة

3.1 متطلبات النسخ الاحتياطي

3.1.1

يجب على [ORGANIZATION] الحفاظ على نسخ احتياطية آلية لجميع بيانات المؤسسة ضمن النطاق، مع تكرار النسخ الاحتياطي بناءً على أهمية البيانات:

3.1.2

الأنظمة والبيانات الحيوية: نسخ احتياطية [CUSTOMIZE: daily/every 4 hours] مع هدف نقطة استرداد (RPO) مقداره [CUSTOMIZE: 4/8/24] ساعات.

3.1.3

أنظمة الأعمال العادية: نسخ احتياطية [CUSTOMIZE: daily] مع هدف نقطة استرداد مقداره [CUSTOMIZE: 24 hours].

3.1.4

تكوينات الأنظمة والبنية التحتية: [CUSTOMIZE: weekly and upon change] مع أدوات إدارة التكوين.

3.1.5

يجب أن تشمل النسخ الاحتياطية: بيانات التطبيقات وقواعد البيانات وتكوينات الأنظمة وخدمة الدليل النشط/مخازن الهوية وتكوينات البنية التحتية الحيوية (قواعد الجدار الناري وتكوينات أجهزة الشبكة).

3.2 تخزين وحماية النسخ الاحتياطية

3.2.1

يجب تشفير بيانات النسخ الاحتياطي أثناء التخزين باستخدام AES-256 أو تشفير مكافئ.

3.2.2

يجب تخزين نسخة احتياطية واحدة على الأقل في موقع خارجي أو سحابي منفصل جغرافياً عن الموقع الأساسي، بمسافة لا تقل عن [CUSTOMIZE: 100/250] ميل.

3.2.3

يجب أن تتمتع مواقع تخزين النسخ الاحتياطية (الداخلية والخارجية) بنفس ضوابط الوصول المادي والمنطقي المكافئة لبيئة الإنتاج أو ما يعادلها.

3.2.4

يجب عزل أنظمة النسخ الاحتياطي عن شبكة الإنتاج للحماية من انتشار برامج الفدية. يجب أن تكون نسخة احتياطية واحدة على الأقل معزولة هوائياً أو غير قابلة للتغيير.

3.3 اختبار واسترداد النسخ الاحتياطية

3.3.1

يجب إجراء اختبارات استعادة النسخ الاحتياطية على الأقل [CUSTOMIZE: quarterly/annually] لكل نظام حيوي للتحقق من: سلامة بيانات النسخ الاحتياطية وإجراءات الاستعادة وتحقيق هدف وقت الاسترداد (RTO) (الهدف: [CUSTOMIZE: 4/8/24] ساعات للأنظمة الحيوية) وتحقيق هدف نقطة الاسترداد (RPO).

3.3.2

يجب توثيق نتائج اختبار الاستعادة والإبلاغ عنها إلى [CUSTOMIZE: IT Management/CISO].

3.3.3

يجب إجراء تمارين استرداد كوارث كاملة على الأقل [CUSTOMIZE: annually] تحاكي عطلاً كاملاً في الموقع.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية