目的
所有被认为具有机构价值的电子信息都应复制到 定期保护存储介质(即备份),用于灾难恢复和 业务恢复。该政策概述了创建的最低要求 和保留备份。通过技术风险确定的特殊备份需求 超出这些要求的分析,应根据个人情况进行调整 基础。
范围
数据保管人有责任提供足够的备份以确保恢复 发生故障时的数据和系统。备份规定允许业务流程 在合理的时间内恢复,并将数据丢失降至最低。由于硬件 软件故障可以有多种形式,并且可能随着时间的推移、多代发生 需要维护机构数据备份。
定义
大学关键数据该数据如果被认为对大学不可用,将立即 (24小时内)对大学产生重大影响。
数据所有者是部门经理、高层管理团队成员或其代表 谁负责生产的获取、开发和维护 处理大学信息的应用程序。参见信息安全角色和责任了解更多信息。
数据保管人物理上或逻辑上拥有大学信息或信息 该项目已委托给足球比赛结果。保管人有责任保管 信息并进行备份,以免重要信息丢失。
标准
符合立法和业务要求的备份和恢复流程 必须开发、维护和定期测试,以确保持续的业务运营 并在发生风险事件时在规定的时间内访问数据和信息 发生。
备份要求将由以下人员完成的业务风险评估确定: 所有者,并且依赖于:
- 数据和信息对大学职能的重要性
- 可接受的交易损失(业务领域必须确定潜在的水平 交易损失将是不可接受的或很难恢复。这个 可以根据时间范围、交易数量或金额来确定 重新输入数据所需的工作量和时间。
- 执行备份时系统可接受的最大中断时间
- 恢复数据时系统可接受的最大中断时间
除了常规备份过程外,还会在之前和之后执行备份 对系统或应用程序进行重大技术或业务相关更改。
必须维护所有备份活动的审核跟踪。
文档
对于所有部门信息资产,必须存在书面程序 备份和恢复过程以及这些文档必须易于访问。备份 和恢复操作以及指定的最大可接受中断时间必须 记录所有系统。
文档至少必须包含:
- 要备份的系统的描述
- 负责确保备份和恢复发生的个人或团体
- 备份和恢复要求
- 备份媒体存储位置,包括异地存储
- 所需的备份频率,例如每日、每周
- 需要备份周期
- 备份保留期限(根据大学数据保留政策规定)
- 测试流程
- 恢复时间表和计划
- 相关软件和许可证的位置
备份介质
备份必须根据风险评估的确定定期进行测试,或至少进行测试 每年一次,以确保在发生灾难性事件时可以恢复数据。
备份介质的保护机制和访问控制必须与 备份中存储的信息的安全要求和重要性。
备份介质必须以适当、安全和可靠的方式存储和运输 并且只有经过授权的人员才能访问备份介质。
站外存储
根据备份要求和备份周期,至少一个备份实例 一个周期内必须存储在异地(与数据或系统物理分离) 进行备份)或地理上分开,由风险评估确定。
异地存储的备份介质必须存储在环境安全的安全位置 控制(如果可用)和与安全性相称的适当访问控制 备份中存储的信息的要求和重要性。
备份磁带将根据风险评估确定的基础进行异地存储。
备份介质处置
必须按照安全可靠的方式处置废弃的备份介质 符合大学政策。要处理的备份介质必须变得不可读 必须通过适当的方式对备份介质的处置进行审计跟踪 维持。看数据清理标准进一步指导。
修订版 2016 年 9 月 20 日