~情報のバックアップとその管理はBCP=事業継続計画の重要要素でもあります~
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.3.29
(更新:2024.11.19)
ISMS(情報セキュリティマネジメントシステム)のガイドライン・ISO/IEC27002:2013の12.3.1項には、情報のバックアップに関する”おすすめ”事項が記されています。
この項の「実施の手引き」を読むと、
「バックアップ情報の正確かつ完全な記録及び文書化したデータ復旧手順を作成する。」とあります。
〇バックアップの記録の取得と復旧手順の準備
企業様でも個人の方でも、万一のトラブルに備えて、データのバックアップを取得しているケースは多いことと思われます。
一方「いつバックアップからの復旧作業が必要になるかは未定」というケースが多いと思われます。将来、あいまいになりがちな記憶に頼らず確実に復旧作業が行えるよう、
*復旧作業時に必要となる情報を網羅した正確な記録を取得・作成します。
(内容例)
取得日時、取得範囲(業務範囲)、データを活用するアプリとそのバージョン、差分/フルバックアップの区別、使用媒体、保管場所、復旧作業に使用するアプリやツールの指定、等
*また、文書化したデータ復旧手順も作成しておきます。
この「文書化した手順」とは、復旧作業の際に必要な手順のポイントが押さえてあれば、箇条書きのメモ、手書きのメモ等でも役立つ復旧手順になりえます。
「立派な体裁」にこだわる必要はありません。
〇記録の重要性
いつ実施する機会がやってくるかかわからない「復旧作業」だからこそ、確実にデータを復旧できるよう、必要事項を網羅した正確な記録を準備しておくことは大切です。
「正確かつ完全な記録」がないと、バックアップデータから復旧させる場面で、
・バックアップデータがどこに保管されているのかわからない
・バックアップデータが複数ある場合、どのデータを使うのかわからない
・仮に復旧しても業務等の必要要件が満たせず、作業のやり直しが必要になる
といった問題が生じ、復旧作業、ひいては事業運営に支障が生じるリスクが高まります。
〇文書化した復旧手順の重要性
また、「文書化したデータ復旧手順」が整備されていないと、
・何をどの順番で作業すべきかが分からなくなり作業を誤る。結果、予定期間内に復旧作業が完了できない場合が起こりうる。
・復旧作業を実施できる人材が限られ、異動や退職等でそれらの人材が失われると復旧作業が不可能となる、或いは大幅に時間を要する。
等、こちらも復旧作業及び事業運営に大きな支障が生じるリスクが高まります。
〇情報のバックアップとその管理は「事業継続管理」の一部
大地震などの大規模災害や深刻なサイバー攻撃の結果、業務システムをバックアップデータから再構築しなければならない緊急時に、上記のような不具合が起こっていては、事業継続そのものが危ぶまれる可能性もあり得ます。
情報のバックアップとその管理は、情報セキュリティ対策であると同時に、「事業継続管理」「事業継続計画」の重要要素でもあります。
平常時より、バックアップの取得とともに、その正確かつ完全な記録や、データ復旧手順の文書化を心掛けておくことは重要です。
私自身も肝に銘じたいと存じます。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments