信息安全管理體系中信息備份研究

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了一篇信息安全管理體系中信息備份研究范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

在信息技術飛速發(fā)展的今天，信息與企業(yè)經(jīng)營活 動的關系越來越緊密。企業(yè)在經(jīng)營活動中往往涉及信 息的收集、存儲、處理和應用等。隨著業(yè)務的發(fā)展， 信息數(shù)量越來越多，種類也越來越復雜。信息以不同 的方式和形態(tài)存在，對企業(yè)的運營和生存發(fā)展至關重 要，一旦損壞或丟失，將會給企業(yè)造成業(yè)務中斷、經(jīng) 營受損等不可挽回的影響。

一、信息備份的目的

信息備份是為了使數(shù)據(jù)、信息以及應用程序等因操作 失誤、系統(tǒng)故障、惡意操作、遭受破壞或其他災難、事故 發(fā)生后能夠得以恢復，對已有的信息數(shù)據(jù)和系統(tǒng)實施拷 貝、復制、異地存放的過程。信息備份作為容災的基礎手 段，不僅可以極大地提高信息及系統(tǒng)的可用性，而且能夠 減少因各種不確定因素給企業(yè)帶來的風險。

二、企業(yè)信息備份常見問題

安全管理體系 要求》附錄A.12.3“信息備份”指出， 企業(yè)在信息管理活動中應按照既定的備份策略，對信 息、軟件和系統(tǒng)鏡像進行備份，并定期測試。以信息技術服務類企業(yè)為例，這類企業(yè)通常面對 信息數(shù)量大、種類多、關鍵信息系統(tǒng)復雜、部署方式 繁雜、客戶對信息安全要求高等特點。因此，為了確 保各類數(shù)據(jù)信息的完整性、可用性，防范因數(shù)據(jù)、信 息丟失而帶來的重大損失和不良影響，信息備份就顯 得尤為重要。在審核中發(fā)現(xiàn)，絕大多數(shù)企業(yè)在其“適用性聲明” 中，往往采用了附錄A.12.3信息備份的控制措施，但在 實施過程中普遍存在不少問題，主要表現(xiàn)為以下幾點。一是管理者對信息備份缺乏認知，重視程度不 夠，對所需資源投入不足，支持力度不夠。二是備份目標不明確，也未在企業(yè)相應部門進行 分解落地。三是備份職責不清晰，責任人、實施人和監(jiān)督人 職責定義模糊。四是備份策略不準確，未建立符合企業(yè)實際的備 份策略，如明確哪些重要數(shù)據(jù)文件和系統(tǒng)需要備份；備份介質(zhì)是否按照企業(yè)對數(shù)據(jù)存儲的最高安全等級進 行保護；備份周期和方式與識別出的數(shù)據(jù)信息的重要 性和可接受風險程度是否一致等。 五是備份技術不充分，受人力、軟硬件等資源所 限，所采用的備份技術不能滿足客戶和業(yè)務需求，如 系統(tǒng)災難恢復、數(shù)據(jù)遠程復制、數(shù)據(jù)保護技術等選擇 和使用。 六是備份恢復測試不到位，不能驗證備份數(shù)據(jù)信 息的完整性和有效性、備份介質(zhì)的可用性等。

三、如何實施信息備份

 企業(yè)實施信息備份的具體步驟可以概括為以下四點。

1.建立備份目標

企業(yè)應在信息安全管理總目標下，基于法律法 規(guī)、內(nèi)外部環(huán)境、相關方需求，結合企業(yè)自身開展風 險分析和評估的基礎上，確立符合自身實際的信息備 份目標。信息備份目標應盡量量化和可測量。

2.選擇備份策略

基于已確定的備份目標，結合企業(yè)的軟硬件資 源，確立適宜充分的備份策略。策略要明確所采用的 備份方式、備份技術、備份介質(zhì)、備份頻次等，且與 重要數(shù)據(jù)信息的可接受風險水平相一致。常見的信息備份方式有全量備份、增量備份和差 異備份，每種方式均有其優(yōu)缺點。全量備份是指針對目標文件或系統(tǒng)進行的完全備 份。該方式備份數(shù)據(jù)全面且容錯率較高，當數(shù)據(jù)丟失 時，只需一份備份文件就可恢復丟失的數(shù)據(jù)，缺點 是備份時間較長，資源消耗較大，成本增加。增量備 份是指在第一次全量備份的基礎上，分別記錄每次的 變化。該方式因為備份的僅是變化情況，故備份速度 快、資源消耗少，缺點是數(shù)據(jù)恢復效率低，可靠性 差。差異備份是先指進行一次全量備份，一段時間后 備份新的或修改的數(shù)據(jù)，該方式優(yōu)缺點適中，在效 率、資源消耗上介于以上兩種方式之間。常見的備份技術可選擇系統(tǒng)災難恢復（IDR）、 數(shù)據(jù)遠程復制、數(shù)據(jù)保護技術（CDP）等。在實際應 用中，企業(yè)可根據(jù)資源配置、成本投入等情況綜合分 析，確定備份策略，備份方式上也可采取以上三種方式 的組合。例如：每周六、日進行全量備份，每周一至周 五進行一次增量備份，每月底進行一次全量備份。3.確立備份職責與過程準則明確信息備份職責，確立有效的過程準則并形成 備份計劃，是信息備份的核心。備份計劃中，企業(yè)應 定義信息備份責任人、實施人和檢查人的職責、確定 備份范圍、需備份的數(shù)據(jù)文件和系統(tǒng)、備份頻率和具 體操作流程等。責任人應根據(jù)業(yè)務需要，針對業(yè)務和內(nèi)容設置備份 頻次，如關鍵數(shù)據(jù)1次/日，個人數(shù)據(jù)1次/周，歸檔數(shù)據(jù) 1次/月；檢查人監(jiān)視備份過程是否有效實施。值得注意 的是，當備份頻次較緩時，實施人的備份意識往往會淡 化。因此，可采用一些措施或工具，如FreeFileSync（文 件同步工具），設置同步周期、同步文件類型，定時將 要備份的數(shù)據(jù)同步到企業(yè)硬盤中。

4.實施備份恢復測試數(shù)據(jù)恢復測試是檢驗備份有效性的關鍵。企業(yè)應 制定一個恢復測試計劃，階段性對備份數(shù)據(jù)進行恢復 測試，以驗證備份信息的有效性和恢復效率。在恢復 測試中，要關注恢復點目標（RPO）和恢復時間目標 （RTO）兩個關鍵的衡量指標。RPO是企業(yè)在發(fā)生 災難時能容忍的最大數(shù)據(jù)丟失量，通常由備份頻率決 定。如果系統(tǒng)每天備份一次，則RPO為 24 小時；RPO越低，實現(xiàn)頻繁備份所需的數(shù)據(jù)存儲、計算和網(wǎng)絡資 源就越多。RTO是企業(yè)從備份中恢復數(shù)據(jù)或系統(tǒng)，并恢 復正常操作所需時間，也是企業(yè)能容忍的恢復時間。 通過恢復測試，評價其結果與信息備份目標的一 致性，確保備份策略的可行性，評價結果應作為改進 RPO和RTO的輸入。通常可采用連續(xù)復制和創(chuàng)建鏡像 快照技術改進RPO和RTO。

總之，不管是哪種類型的企業(yè)，在其信息安全管 理過程中，信息備份始終都是一種必要的信息保護手 段。實施有效的信息備份，不僅能夠為企業(yè)的業(yè)務連 續(xù)性提供支撐，更能夠為企業(yè)健康有序發(fā)展帶來更多 的益處。

作者:董曉燕 許翔 單位:北京泰瑞特認證有限責任公司