数据备份是保障等级保护对象在发生数据丢失或被破坏时得以恢复业务正常运行的重要措施。对于等级保护对象的重要业务信息、系统数据、配置信息、软件程序等需要制定明确的数据备份策略,定期开展备份操作,并针对备份文件的有效性进行恢复性测试和验证。
10.11.1 应识别需要定期备份的重要业务信息、系统数据及软件系统等。 |
对于要备份的信息进行识别,并制定相应的备份策略。 【测评方法】 核查数据备份策略,策略内容至少明确了备份周期、备份的信息类别或数据类型。 【预期结果】 1)具有数据备份策略。 2)数据备份策略内容至少包括了备份周期、备份的信息类别或数据类型。 【权重】0.7 |
10.11.2应规定备份信息的备份方式、备份频度、存储介质、保存期等。 |
对需要备份的制定相应的备份策略,如备份方式、备份频度、存储介质等等。 【测评方法】 核查备份与恢复管理制度,制度内容至少明确了备份方式、备份频度、存储介质、保存期等。 【预期结果】 1)具有备份与恢复管理制度。 2)制度内容至少包括了备份方式、备份频度、存储介质、保存期等。 【权重】0.7 |
10.11.3 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 |
数据备份策略是根据数据性质的不同,选择不同的备份内容、备份方式等,数据恢复策略是指数据库在遭到各种事件导致数据丢失时利用介质备份数据进行恢复的方法和操作。 【测评方法】 1)核查是否具有数据备份策略、备份程序。 2)核查是否具有数据恢复策略、恢复程序。 【预期结果】 1)具有数据备份策略、备份程序。 2)具有数据恢复策略、恢复程序。 【权重】1 【风险等级】高 数据备份策略 判例内容:未明确数据备份策略和数据恢复策略,以及备份程序和恢复程序,无法实现重要数据的定期备份与恢复性测试,一旦系统出现故障,需要恢复数据,存在无数据可恢复的情况,或者备份的数据未经过恢复性测试,无法确保备份的数据可用,可判定为高危风险。此外,如有相关制度,但未实施,视为制度内容未落实,可判定为高风险。 适用范围:3级及以上系统。 满足条件(同时): 1、3级及以上系统; 2、无备份与恢复等相关的安全管理制度,或未按照相关策略落实数据备份。 补偿措施: 1、未建立相关数据备份制度,但若已实施数据备份措施,且备份机制符合业务需要,可酌情降低风险等级。 2、如系统还未正式上线,则可检查是否制定了相关的管理制度,目前的技术措施(如环境、存储等)是否可以满足制度中规定的备份恢复策略要求,可根据实际情况判断风险等级。 |