信息安全管理體系中信息備份研究

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了一篇信息安全管理體系中信息備份研究范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

在信息技術飛速發展的今天，信息與企業經營活 動的關系越來越緊密。企業在經營活動中往往涉及信 息的收集、存儲、處理和應用等。隨著業務的發展， 信息數量越來越多，種類也越來越復雜。信息以不同 的方式和形態存在，對企業的運營和生存發展至關重 要，一旦損壞或丟失，將會給企業造成業務中斷、經 營受損等不可挽回的影響。

一、信息備份的目的

信息備份是為了使數據、信息以及應用程序等因操作 失誤、系統故障、惡意操作、遭受破壞或其他災難、事故 發生后能夠得以恢復，對已有的信息數據和系統實施拷 貝、復制、異地存放的過程。信息備份作為容災的基礎手 段，不僅可以極大地提高信息及系統的可用性，而且能夠 減少因各種不確定因素給企業帶來的風險。

二、企業信息備份常見問題

安全管理體系 要求》附錄A.12.3“信息備份”指出， 企業在信息管理活動中應按照既定的備份策略，對信 息、軟件和系統鏡像進行備份，并定期測試。以信息技術服務類企業為例，這類企業通常面對 信息數量大、種類多、關鍵信息系統復雜、部署方式 繁雜、客戶對信息安全要求高等特點。因此，為了確 保各類數據信息的完整性、可用性，防范因數據、信 息丟失而帶來的重大損失和不良影響，信息備份就顯 得尤為重要。在審核中發現，絕大多數企業在其“適用性聲明” 中，往往采用了附錄A.12.3信息備份的控制措施，但在 實施過程中普遍存在不少問題，主要表現為以下幾點。一是管理者對信息備份缺乏認知，重視程度不 夠，對所需資源投入不足，支持力度不夠。二是備份目標不明確，也未在企業相應部門進行 分解落地。三是備份職責不清晰，責任人、實施人和監督人 職責定義模糊。四是備份策略不準確，未建立符合企業實際的備 份策略，如明確哪些重要數據文件和系統需要備份；備份介質是否按照企業對數據存儲的最高安全等級進 行保護；備份周期和方式與識別出的數據信息的重要 性和可接受風險程度是否一致等。 五是備份技術不充分，受人力、軟硬件等資源所 限，所采用的備份技術不能滿足客戶和業務需求，如 系統災難恢復、數據遠程復制、數據保護技術等選擇 和使用。 六是備份恢復測試不到位，不能驗證備份數據信 息的完整性和有效性、備份介質的可用性等。

三、如何實施信息備份

 企業實施信息備份的具體步驟可以概括為以下四點。

1.建立備份目標

企業應在信息安全管理總目標下，基于法律法 規、內外部環境、相關方需求，結合企業自身開展風 險分析和評估的基礎上，確立符合自身實際的信息備 份目標。信息備份目標應盡量量化和可測量。

2.選擇備份策略

基于已確定的備份目標，結合企業的軟硬件資 源，確立適宜充分的備份策略。策略要明確所采用的 備份方式、備份技術、備份介質、備份頻次等，且與 重要數據信息的可接受風險水平相一致。常見的信息備份方式有全量備份、增量備份和差 異備份，每種方式均有其優缺點。全量備份是指針對目標文件或系統進行的完全備 份。該方式備份數據全面且容錯率較高，當數據丟失 時，只需一份備份文件就可恢復丟失的數據，缺點 是備份時間較長，資源消耗較大，成本增加。增量備 份是指在第一次全量備份的基礎上，分別記錄每次的 變化。該方式因為備份的僅是變化情況，故備份速度 快、資源消耗少，缺點是數據恢復效率低，可靠性 差。差異備份是先指進行一次全量備份，一段時間后 備份新的或修改的數據，該方式優缺點適中，在效 率、資源消耗上介于以上兩種方式之間。常見的備份技術可選擇系統災難恢復（IDR）、 數據遠程復制、數據保護技術（CDP）等。在實際應 用中，企業可根據資源配置、成本投入等情況綜合分 析，確定備份策略，備份方式上也可采取以上三種方式 的組合。例如：每周六、日進行全量備份，每周一至周 五進行一次增量備份，每月底進行一次全量備份。3.確立備份職責與過程準則明確信息備份職責，確立有效的過程準則并形成 備份計劃，是信息備份的核心。備份計劃中，企業應 定義信息備份責任人、實施人和檢查人的職責、確定 備份范圍、需備份的數據文件和系統、備份頻率和具 體操作流程等。責任人應根據業務需要，針對業務和內容設置備份 頻次，如關鍵數據1次/日，個人數據1次/周，歸檔數據 1次/月；檢查人監視備份過程是否有效實施。值得注意 的是，當備份頻次較緩時，實施人的備份意識往往會淡 化。因此，可采用一些措施或工具，如FreeFileSync（文 件同步工具），設置同步周期、同步文件類型，定時將 要備份的數據同步到企業硬盤中。

4.實施備份恢復測試數據恢復測試是檢驗備份有效性的關鍵。企業應 制定一個恢復測試計劃，階段性對備份數據進行恢復 測試，以驗證備份信息的有效性和恢復效率。在恢復 測試中，要關注恢復點目標（RPO）和恢復時間目標 （RTO）兩個關鍵的衡量指標。RPO是企業在發生 災難時能容忍的最大數據丟失量，通常由備份頻率決 定。如果系統每天備份一次，則RPO為 24 小時；RPO越低，實現頻繁備份所需的數據存儲、計算和網絡資 源就越多。RTO是企業從備份中恢復數據或系統，并恢 復正常操作所需時間，也是企業能容忍的恢復時間。 通過恢復測試，評價其結果與信息備份目標的一 致性，確保備份策略的可行性，評價結果應作為改進 RPO和RTO的輸入。通常可采用連續復制和創建鏡像 快照技術改進RPO和RTO。

總之，不管是哪種類型的企業，在其信息安全管 理過程中，信息備份始終都是一種必要的信息保護手 段。實施有效的信息備份，不僅能夠為企業的業務連 續性提供支撐，更能夠為企業健康有序發展帶來更多 的益處。

作者:董曉燕 許翔 單位:北京泰瑞特認證有限責任公司