A.8.14 יתירות של מתקני עיבוד מידע
מטרה
מטרת הנוהל היא להבטיח זמינות רציפה של מערכות המידע ושירותי העיבוד הקריטיים לארגון באמצעות יצירת יתירות במתקני עיבוד המידע, במטרה למנוע השבתה או הפסקות שירות במקרה של כשל או תקלה במערכות או בתשתיות.
תחום יישום
הנוהל חל על כל מערכות המידע, התשתיות, השרתים והמרכזים לעיבוד נתונים בארגון, כולל מערכות גיבוי, תשתיות חשמל, תקשורת ורשתות.
הגדרות
- יתירות (Redundancy): שיטת עיצוב מערכות כך שיכללו רכיבים כפולים או חלופיים, המיועדים לפעול במקרה של כשל ברכיב הראשי, על מנת להבטיח זמינות מתמשכת של השירותים.
- מתקני עיבוד מידע: כל מערכת, שרת, מרכז נתונים או תשתית אחרת המיועדת לעיבוד, אחסון או ניהול מידע בארג ון.
אחריות
- מחלקת IT: אחראית על תכנון, יישום, תחזוקה וניטור של תשתיות יתירות במערכות עיבוד המידע, כולל בדיקות תקופתיות של מערכות גיבוי והתאוששות.
- ממונה על אבטחת המידע: אחראי לפקח על תהליך יצירת היתירות ולהבטיח עמידה במדיניות הארגון ודרישות הרגולציה.
- מנהלים ישירים: אחראים לוודא שהצוותים שלהם פועלים בהתאם לנהלי היתירות ומשתמשים בתשתיות באופן מאובטח ומבוקר.
תהליך
1. תכנון יתירות
- מחלקת IT תבצע תכנון מפורט של מערכות היתירות, כולל זיהוי רכיבים קריטיים שדורשים יתירות, כגון שרתים, מערכות אחסון, תקשורת, ותשתיות חשמל.
- תכנון היתירות יכלול גם זיהוי של נקודות כשל בודדות (Single Points of Failure) ודרכים למזער את הסיכון להשבתה כתוצאה מכשל במרכיב כלשהו.