דלג לתוכן הראשי

A.8.13 גיבוי נתונים

מטרה

מטרת הנוהל היא להבטיח את זמינות ושלמות המידע הארגוני באמצעות תהליך גיבוי נתונים מסודר, מאובטח ואמין, המאפשר שחזור מלא ומהיר של הנתונים במקרה של אובדן, כשל מערכת, או תקרית אבטחת מידע.

תחום יישום

הנוהל חל על כל סוגי המידע הארגוני, כולל מסדי נתונים, קבצים, מערכות מידע, יישומים, ומדיה פיזית המאוחסנים במערכות הארגון, תשתיות ענן והתקנים ניידים.

הגדרות

  • גיבוי נתונים: תהליך יצירת עותקים של מידע המאוחסנים במערכת אחסון נפרדת על מנת להבטיח את זמינות המידע במקרה של אובדן או נזק למידע המקורי.
  • שחזור נתונים: תהליך החזרת הנתונים ממערכת הגיבוי אל המערכת המקורית או מערכת חלופית במקרה של אובדן או נזק למידע המקורי.

אחריות

  • מחלקת IT: אחראית על ביצוע גיבוי הנתונים, שמירת עותקי הגיבוי בצורה מאובטחת, וביצוע בדיקות תקופתיות לשחזור הנתונים.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם שומרים מידע בהתאם למדיניות הגיבוי ושהם מודעים לחשיבות תהליך הגיבוי.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך גיבוי הנתונים ולוודא שהנהלים מבוצעים בהתאם למדיניות הארגון ודרישות הרגולציה.

תהליך

1. תכנון גיבוי נתונים

  • מחלקת IT תגדיר מדיניות גיבוי המתאימה לצרכי הארגון, תוך התחשבות בתדירות הגיבויים, סוגי המידע שיש לגבות, והאמצעים הטכנולוגיים הנדרשים.
  • יש לקבוע תדירות גיבוי בהתאם לסוג המידע וחשיבותו, כך שמידע קריטי יגובה בתדירות גבוהה יותר.

2. ביצוע גיבוי

  • מחלקת IT תבצע גיבויים אוטומטיים ומבוקרים לכל מערכות המידע והנתונים הרגישים, כולל שמירת עותקים במיקומים גיאוגרפיים שונים כדי להבטיח שרידות.
  • יש לוודא שהגיבויים מוצפנים ונשמרים במקום מאובטח ומוגן מפני גישה לא מורשית.

3. ניטור ובקרה

  • מחלקת IT תבצע ניטור שוטף של תהליך הגיבוי, כולל בדיקות תקינות של קבצי הגיבוי וזיהוי תקלות או בעיות בתהליך הגיבוי.
  • כל חריגה בתהליך הגיבוי תיבדק ותתועד לצורך מעקב ושיפור תהליך הגיבוי.

4. בדיקות שחזור

  • מחלקת IT תבצע בדיקות שחזור תקופתיות כדי לוודא שהגיבויים שנוצרו ניתנים לשחזור מלא ומהיר במקרה של צורך.
  • יש לתעד את תוצאות הבדיקות ולוודא שכל הליקויים שהתגלו מטופלים במיידי.

5. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנושא חשיבות הגיבוי, נהלי גיבוי ושחזור, ושימוש נכון במערכות הגיבוי.
  • ההדרכה תכלול גם הנחיות לפעולה במקרה של כשל במערכת או אובדן נתונים, כולל דיווח מיידי למחלקת IT.

6. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי גיבוי הנתונים, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לגיבוי נתונים, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.