iT邦幫忙

2022 iThome 鐵人賽

DAY 15
0
Security

合規合規,合什麼規?系列 第 15

[Day 15] 系統防護怎麼做?(之 3 - 營運持續計畫)

  • 分享至 

  • xImage
  •  

今天來到了營運持續計畫部分,由於公務機關與特定非公務機關的業務通常都至關重要,因此在防護基準內有營運持續的相關執行事項,確保機關能在運到嚴重的資安事件時,能保持最低的服務水準,不至於對國家、社會造成嚴重影響。

營運持續計畫

系統備份

普級

訂定系統可容忍資料損失之時間要求。

內容
亦稱為復原點目標(Recovery Point Objective,RPO),代表的是可以接受資料損失的時間斷;若 RPO 訂為一週,則資料應在每週備份一次,才能在資安事件發生時,回覆一週前的資料。
https://ithelp.ithome.com.tw/upload/images/20220930/2013051294abTRDMGq.png
(RPO、RTO 與資安事件的關係圖,來源:AWS

執行系統源碼與資料備份。

內容
需依照資安政策與規範將系統源碼(含 Source Code)、Object Code 與相關資料進行備份。
若為套裝軟體、租賃系統(訂閱制系統)、合約特別規定不提供源碼者,不在此限。

實務作法

  • 可透過建置版本控制系統(例如 Git)或透過其他主機、資料庫進行備份。
  • 版本控制需由機關自行維護,不應由委外廠商負責版本變更作業。

中級

應定期測試備份資訊,以驗證備份媒體之可靠性及資訊之完整性。

內容
需定期檢查備份得儲存媒體,確保能正常使用,並且測試儲存的資料仍然完整。

實務作法
可透過執行資料還原測試,來確認資料回復後的完整性,亦可順便演練資料回復的作業流程。

高級

應將備份還原,作為營運持續計畫測試之一部分。

內容
營運持續計畫中應定期進行演練,並且在災害復原流程中實際使用備份資料進行資料回復,不能採用模擬演練帶過,以驗證備份機制是否可靠有效。
https://ithelp.ithome.com.tw/upload/images/20220930/20130512pEwl8Om6Ar.png
(演練時程規劃表範例,來源:資安防護基準驗證實務)

應在與運作系統不同地點之獨立設施或防火櫃中,儲存重要資通系統軟體與其他安全相關資訊之備份。

內容
評估重要資通系統軟體、安全相關資訊後,應使用適當的實體及環境保護這些重要資料的儲存媒體,且不能放置在同樣的運作系統中,以免備份資料損失。

實務作法
例如可使用 DVD 備份資料,並放置於防火櫃中保管。

系統備援

中級、高級

訂定資通系統從中斷後至重新恢復服務之可容忍時間要求。

內容
應考量服務需求、使用現況、相關資源項目、資安事件發生風險,訂定系統從中斷到恢復服務的可容忍時間要求,亦稱為復原時間目標(Recovery Time Objective,RTO)。
https://ithelp.ithome.com.tw/upload/images/20220930/2013051294abTRDMGq.png
(RPO、RTO 與資安事件的關係圖,來源:AWS

原服務中斷時,於可容忍時間內,由備援設備或其他方式取代並提供服務。

內容
需要規劃備援機制,以便在災害發生時,能在容忍時間內讓服務恢復正常運作。

實務作法
可以使用異地備援或雲端服務進行備援,以免災害發生時,備援系統也被災害毀損無法運作)
https://ithelp.ithome.com.tw/upload/images/20220930/20130512Sv35NSIEhs.png
(異地備援架構示意圖,來源:我國電腦機房異地備援機制參考指引)


上一篇
[Day 14] 系統防護怎麼做?(之 2 - 事件日誌與可歸責性)
下一篇
[Day 16] 系統防護怎麼做?(之 4 - 識別與鑑別)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言