期刊大全 杂志订阅 SCI期刊 投稿指导 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 公文范文 > 信息安全管理体系中信息备份研究

信息安全管理体系中信息备份研究

时间:2022-11-18 11:00:59

序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了一篇信息安全管理体系中信息备份研究范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。

信息安全管理体系中信息备份研究

信息技术飞速发展的今天,信息与企业经营活 动的关系越来越紧密。企业在经营活动中往往涉及信 息的收集、存储、处理和应用等。随着业务的发展, 信息数量越来越多,种类也越来越复杂。信息以不同 的方式和形态存在,对企业的运营和生存发展至关重 要,一旦损坏或丢失,将会给企业造成业务中断、经 营受损等不可挽回的影响。

一、信息备份的目的

信息备份是为了使数据、信息以及应用程序等因操作 失误、系统故障、恶意操作、遭受破坏或其他灾难、事故 发生后能够得以恢复,对已有的信息数据和系统实施拷 贝、复制、异地存放的过程。信息备份作为容灾的基础手 段,不仅可以极大地提高信息及系统的可用性,而且能够 减少因各种不确定因素给企业带来的风险。

二、企业信息备份常见问题

安全管理体系 要求》附录A.12.3“信息备份”指出, 企业在信息管理活动中应按照既定的备份策略,对信 息、软件和系统镜像进行备份,并定期测试。以信息技术服务类企业为例,这类企业通常面对 信息数量大、种类多、关键信息系统复杂、部署方式 繁杂、客户对信息安全要求高等特点。因此,为了确 保各类数据信息的完整性、可用性,防范因数据、信 息丢失而带来的重大损失和不良影响,信息备份就显 得尤为重要。在审核中发现,绝大多数企业在其“适用性声明” 中,往往采用了附录A.12.3信息备份的控制措施,但在 实施过程中普遍存在不少问题,主要表现为以下几点。一是管理者对信息备份缺乏认知,重视程度不 够,对所需资源投入不足,支持力度不够。二是备份目标不明确,也未在企业相应部门进行 分解落地。三是备份职责不清晰,责任人、实施人和监督人 职责定义模糊。四是备份策略不准确,未建立符合企业实际的备 份策略,如明确哪些重要数据文件和系统需要备份;备份介质是否按照企业对数据存储的最高安全等级进 行保护;备份周期和方式与识别出的数据信息的重要 性和可接受风险程度是否一致等。 五是备份技术不充分,受人力、软硬件等资源所 限,所采用的备份技术不能满足客户和业务需求,如 系统灾难恢复、数据远程复制、数据保护技术等选择 和使用。 六是备份恢复测试不到位,不能验证备份数据信 息的完整性和有效性、备份介质的可用性等。

三、如何实施信息备份

 企业实施信息备份的具体步骤可以概括为以下四点。

1.建立备份目标

企业应在信息安全管理总目标下,基于法律法 规、内外部环境、相关方需求,结合企业自身开展风 险分析和评估的基础上,确立符合自身实际的信息备 份目标。信息备份目标应尽量量化和可测量。

2.选择备份策略

基于已确定的备份目标,结合企业的软硬件资 源,确立适宜充分的备份策略。策略要明确所采用的 备份方式、备份技术、备份介质、备份频次等,且与 重要数据信息的可接受风险水平相一致。常见的信息备份方式有全量备份、增量备份和差 异备份,每种方式均有其优缺点。全量备份是指针对目标文件或系统进行的完全备 份。该方式备份数据全面且容错率较高,当数据丢失 时,只需一份备份文件就可恢复丢失的数据,缺点 是备份时间较长,资源消耗较大,成本增加。增量备 份是指在第一次全量备份的基础上,分别记录每次的 变化。该方式因为备份的仅是变化情况,故备份速度 快、资源消耗少,缺点是数据恢复效率低,可靠性 差。差异备份是先指进行一次全量备份,一段时间后 备份新的或修改的数据,该方式优缺点适中,在效 率、资源消耗上介于以上两种方式之间。常见的备份技术可选择系统灾难恢复(IDR)、 数据远程复制、数据保护技术(CDP)等。在实际应 用中,企业可根据资源配置、成本投入等情况综合分 析,确定备份策略,备份方式上也可采取以上三种方式 的组合。例如:每周六、日进行全量备份,每周一至周 五进行一次增量备份,每月底进行一次全量备份。3.确立备份职责与过程准则明确信息备份职责,确立有效的过程准则并形成 备份计划,是信息备份的核心。备份计划中,企业应 定义信息备份责任人、实施人和检查人的职责、确定 备份范围、需备份的数据文件和系统、备份频率和具 体操作流程等。责任人应根据业务需要,针对业务和内容设置备份 频次,如关键数据1次/日,个人数据1次/周,归档数据 1次/月;检查人监视备份过程是否有效实施。值得注意 的是,当备份频次较缓时,实施人的备份意识往往会淡 化。因此,可采用一些措施或工具,如FreeFileSync(文 件同步工具),设置同步周期、同步文件类型,定时将 要备份的数据同步到企业硬盘中。

4.实施备份恢复测试数据恢复测试是检验备份有效性的关键。企业应 制定一个恢复测试计划,阶段性对备份数据进行恢复 测试,以验证备份信息的有效性和恢复效率。在恢复 测试中,要关注恢复点目标(RPO)和恢复时间目标 (RTO)两个关键的衡量指标。RPO是企业在发生 灾难时能容忍的最大数据丢失量,通常由备份频率决 定。如果系统每天备份一次,则RPO为 24 小时;RPO越低,实现频繁备份所需的数据存储、计算和网络资 源就越多。RTO是企业从备份中恢复数据或系统,并恢 复正常操作所需时间,也是企业能容忍的恢复时间。 通过恢复测试,评价其结果与信息备份目标的一 致性,确保备份策略的可行性,评价结果应作为改进 RPO和RTO的输入。通常可采用连续复制和创建镜像 快照技术改进RPO和RTO。

总之,不管是哪种类型的企业,在其信息安全管 理过程中,信息备份始终都是一种必要的信息保护手 段。实施有效的信息备份,不仅能够为企业的业务连 续性提供支撑,更能够为企业健康有序发展带来更多 的益处。

作者:董晓燕 许翔 单位:北京泰瑞特认证有限责任公司