JIS Q 27001:2014の管理策について－30

今回は「12.3　バックアップ」です。

12.3 バックアップ
目的：データの消失から保護するため。

データの消失から保護することが目的です。
誤って重要な情報を削除してしまった場合、機器の故障に備えること等が目的です。

12.3.1 情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査する。

情報だけでなく、ソフトウェア、システムイメージのバックアップのため、次のような対策が必要となります。

• バックアップの方針を確立する
• 保管、保護に関する決まりを定める
• 災害、媒体故障に対応したバックアップ設備を備える
• バックアップの範囲、頻度は業務上の要求事項、事業継続を考慮して定める
• 単に共有フォルダの情報だけでなく、シンクライアント等の端末側の情報の復元も考慮する
• 機密性が高い重要な情報は、暗号化してバックアップする等の対策を考慮する
• バックアップ媒体は定期的に試験する

基本的には、業務を進めるうえで、どのような情報をどのような期間残す必要があるかを検討します。
一般的に事業年度内の情報は、年度末の決算・次年度の計画立案の基礎情報であるため一定期間は復元できるようにします。

バックアップデーターの保存期間は、文書の保存期間の取り決めだけでなく、事業継続の観点からも検討が必要です。

次回は「12.4　ログ取得及び監視」の予定です。