Mục đích của Kiểm soát 8.13
Hoạt động sao lưu của một tổ chức phải bao gồm nhiều nỗ lực khác nhau nhằm cải thiện khả năng phục hồi và bảo vệ chống lại tình trạng mất mát hoạt động kinh doanh bằng cách thiết lập một bộ công việc sao lưu mạnh mẽ và được quản lý chặt chẽ, sử dụng phần mềm và tiện ích chuyên dụng, với mức lưu giữ phù hợp và thời gian phục hồi đã thỏa thuận.
Tiêu chuẩn Control 8.13 ủng hộ phương pháp sao lưu theo chủ đề cụ thể , bao gồm các quy trình riêng cho từng chủ đề và tính đến các loại dữ liệu khác nhau (và mức độ rủi ro liên quan) mà các tổ chức xử lý và truy cập trong suốt quá trình hoạt động của mình.
Bảng Thuộc tính
Kiểm soát 8.13 là biện pháp kiểm soát mang tính sửa chữa nhằm duy trì rủi ro bằng cách triển khai các chính sách cho phép phục hồi kịp thời dữ liệu và/hoặc tình trạng mất hoặc gián đoạn hệ thống.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Sửa lỗi | #Tính toàn vẹn #Tính khả dụng | #Hồi phục | #Tính liên tục | #Sự bảo vệ |
Quyền sở hữu kiểm soát 8.13
Kiểm soát 8.13 liên quan đến các hoạt động sao lưu hàng ngày do nhân viên hỗ trợ kỹ thuật chịu trách nhiệm bảo trì mạng của tổ chức thực hiện.
Do đó, quyền sở hữu Kiểm soát 8.13 phải thuộc về cá nhân chịu trách nhiệm về hoạt động CNTT hàng ngày của tổ chức hoặc người giám sát hợp đồng CNTT được thuê ngoài.
Hướng dẫn chung về kiểm soát 8.13
Các tổ chức nên soạn thảo các chính sách theo chủ đề cụ thể, giải quyết trực tiếp cách tổ chức sao lưu các lĩnh vực có liên quan trong mạng lưới của mình.
Các cơ sở sao lưu nên được triển khai với mục đích chính là đảm bảo tất cả dữ liệu, phần mềm và hệ thống quan trọng của doanh nghiệp có thể được phục hồi sau các sự kiện dưới đây:
- Mất dữ liệu
- Sự xâm nhập
- Gián đoạn kinh doanh
- Sự cố của hệ thống, ứng dụng hoặc phương tiện lưu trữ
Bất kỳ kế hoạch dự phòng nào được tạo theo Điều khiển 8.13 đều phải hướng tới mục tiêu:
- Phác thảo các quy trình phục hồi rõ ràng và súc tích bao gồm tất cả các hệ thống và dịch vụ quan trọng có liên quan.
- Tạo các bản sao khả thi của bất kỳ hệ thống, dữ liệu hoặc ứng dụng nào được bảo vệ trong công việc sao lưu.
- Đáp ứng các yêu cầu thương mại và hoạt động riêng biệt của tổ chức (ví dụ: mục tiêu thời gian phục hồi, loại sao lưu, tần suất sao lưu) (xem Kiểm soát 5.30).
- Lưu trữ bản sao lưu ở vị trí thích hợp được bảo vệ về mặt môi trường, tách biệt về mặt vật lý với dữ liệu nguồn để tránh mất toàn bộ dữ liệu và có thể truy cập an toàn cho mục đích bảo trì (xem Kiểm soát 8.1).
- Yêu cầu kiểm tra thường xuyên các tác vụ sao lưu, nhằm đảm bảo tính khả dụng của dữ liệu khi cần khôi phục tệp, hệ thống hoặc ứng dụng bất cứ lúc nào. Các thử nghiệm sao lưu phải được đo lường theo thời gian khôi phục đã thỏa thuận của tổ chức để đảm bảo tuân thủ trong trường hợp mất dữ liệu hoặc gián đoạn hệ thống.
- Mã hóa dữ liệu đã được sao lưu theo mức độ rủi ro của dữ liệu.
- Kiểm tra xem có mất dữ liệu không trước khi chạy bất kỳ tác vụ sao lưu nào.
- Triển khai hệ thống báo cáo thông báo cho nhân viên bảo trì về trạng thái của các công việc sao lưu – bao gồm lỗi hoàn toàn hoặc một phần – để có thể thực hiện hành động khắc phục.
- Bao gồm dữ liệu từ các nền tảng đám mây không do tổ chức quản lý trực tiếp.
- Lưu trữ dữ liệu sao lưu theo chính sách lưu giữ cụ thể theo chủ đề, có tính đến bản chất và mục đích cơ bản của dữ liệu đã được sao lưu, bao gồm việc chuyển và/hoặc lưu trữ vào phương tiện lưu trữ (xem Kiểm soát 8.10).
Hỗ trợ điều khiển
- 5.30
- 8.1
- 8.10
Những thay đổi và khác biệt so với ISO 27002:2013
ISO 27002:2022-8.13 thay thế ISO 27002:2003-12.3.1 (Sao lưu thông tin).
ISO 27002:2022-8.13 bao gồm cùng một bộ tiêu chuẩn vận hành như phiên bản năm 2003, với hướng dẫn bổ sung được đưa ra trong các lĩnh vực dưới đây:
- Kiểm tra mất dữ liệu trước khi chạy bất kỳ công việc sao lưu nào
- Triển khai hệ thống báo cáo
- Nền tảng đám mây
- Lưu trữ các bản sao lưu theo chính sách lưu trữ và bảo quản cụ thể theo chủ đề
