Σκοπός

Ο Δήμος χερσονήσου (ΔΧ) για να  επιτύχει τους οργανωτικούς στόχους του και να εξασφαλίσει τη συνέχεια των διαδικασιών του, θα υιοθετήσει και ακολουθήσει καθορισμένες με σαφήνεια και δοκιμασμένες στο χρόνο διαδικασίες και σχέδια , ώστε να εξασφαλίσει έγκαιρα και αξιόπιστα αντίγραφα ασφαλείας. Η Πολιτική Δημιουργίας Αντιγράφων Ασφαλείας επιβεβαιώνει την δέσμευση του ΔΧ για να φέρεις εις πέρας με γρήγορο και αξιόπιστο τρόπο υψηλού επιπέδου και ποιότητας υπηρεσίες εξασφαλίζοντας ότι οι χρήστες του, οι επιχειρησιακές δραστηριότητες και οι υπηρεσίες του, δεν θα υποστούν ανεπανόρθωτη βλάβη. Η πολιτική θα είναι διαθέσιμη στα μέλη της ομάδας ασφαλείας πληροφοριών και επιχειρησιακής συνέχειας (BCP).

Ο σκοπός αυτής της πολιτικής είναι να παρασχεθούν τα μέσα ώστε να αποκατασταθεί η ακεραιότητα των ν ηλεκτρονικών υπολογιστών σε περίπτωση αποτυχίας υλικού/λογισμικού ή φυσικής καταστροφής και να παρασχεθεί ένα μέτρο προστασίας απέναντι στο ανθρώπινο λάθος ή την από αμέλεια διαγραφή σημαντικών αρχείων.

Πεδίο

Αυτή η πολιτική ισχύει για τις οντότητες και το προσωπικό του Δήμου Χερσονήσου , άλλες αναμεμιγμένες οντότητες ή πρόσωπα καθώς και όλα τα περιληφθέντα συστήματα πληροφοριών σε όλες τις εγκαταστάσεις που χρησιμοποιούν την υποδομή τεχνολογίας πληροφοριών του.

Το πεδίο της πολιτικής ασφαλείας πληροφοριών περιλαμβάνει την προστασία της εμπιστευτικότητας, της ακεραιότητας, και της διαθεσιμότητας των πληροφοριών.

Αυτή η πολιτική ισχύει για όλα τα δεδομένα, το υλικό, τις πληροφορίες, και τις πληροφορίες προσδιορισμού ταυτότητας (ΡΙΙ) και άλλες κατηγορίες προστατευμένων πληροφοριών με οποιαδήποτε μορφή (φυσικό, ηλεκτρονικό, προφορικό κ.λπ.) που ανήκει ή ελέγχεται από τον ΔΧ.

Δήλωση Πολιτικής για την Δημιουργία Εφεδρικών Αντιγράφων

Όλες οι σε επίπεδο χρήστη και επίπεδο συστήματος πληροφορίες που διατηρούνται από τον ΔΧ θα αποθηκεύονται περιοδικά σε εφεδρικά αντίγραφα. Τα εφεδρικά μέσα θα αποθηκευτούν με την ικανοποιητική προστασία και τις κατάλληλες περιβαλλοντικές συνθήκες.

Η συχνότητα και η έκταση των εφεδρικών αντίγραφων πρέπει να είναι σύμφωνα με τη σημασία των πληροφοριών και του αποδεκτού κινδύνου όπως καθορίζεται από τον κάτοχο των δεδομένων.

Η διαδικασία εφεδρικών αντίγραφων και ανάκαμψης των πηγών πληροφοριών για κάθε σύστημα πρέπει να τεκμηριωθεί και να αναθεωρηθεί περιοδικά.

Οποιοσδήποτε προμηθευτής παρέχει εφεδρική αποθήκευση αντιγράφων εκτός των εγκαταστάσεων του ΔΧ πρέπει να εξουσιοδοτείται με σαφήνεια για τον χειρισμό της πιο υψηλής διαβάθμισης πληροφοριών που αποθηκεύει. 

Οι φυσικοί έλεγχοι προσπέλασης που εφαρμόζονται στις εκτός των εγκαταστάσεων του ΔΧ εφεδρικές θέσεις αποθήκευσης πρέπει να έχουν τους ίδιους ή ανωτέρου επιπέδου φυσικούς ελέγχους προσπέλασης των συστημάτων προέλευσης της πληροφορίας. Επιπλέον, τα εφεδρικά μέσα πρέπει να προστατευθούν σύμφωνα με το πιό υψηλό επίπεδο ευαισθησίας ανάλογο των πληροφοριών που αποθηκεύονται.

Μια διαδικασία πρέπει να εφαρμοστεί για να ελέγξει την επιτυχία λήψης των εφεδρικών αντίγραφων και της ασφαλούς ανάκαμψης τους.

Τα εφεδρικά αντίγραφα των λειτουργικών συστημάτων και το κρίσιμο λογισμικό συστημάτων πληροφοριών δεν θα πρέπει να αποθηκευτούν στην ίδια θέση με το λειτουργικό λογισμικό.

Στα εφεδρικά αντίγραφα θα παρασχεθεί η προστασία από την αναρμόδια τροποποίηση και περιβαλλοντικές συνθήκες που θα τα καταστήσουν μη-λειτουργικά.

Τα εφεδρικά αντίγραφα πρέπει να εξετάζονται περιοδικά για να εξασφαλίσουν ότι είναι ανακτήσιμα. Για να επιβεβαιωθεί η αξιοπιστία των μέσων και η ακεραιότητα των πληροφοριών, τα εφεδρικά αντίγραφα θα πρέπει να εξετάζονται με κάποια διευκρινισμένη συχνότητα.

Οποιοσδήποτε προμηθευτής παρέχει εφεδρική αποθήκευση εκτός των εγκαταστάσεων του ΔΧ θα πρέπει, να ανανεώνει σε ετήσια βάση ή όταν φεύγει ένα εξουσιοδοτημένο άτομο από το ΔΧ, τις υπογεγραμμένες εξουσιοδοτήσεις που έχει για πρόσβαση στα συστήματα αποθήκευσης.

Οι εφεδρικές πληροφορίες θα χρησιμοποιηθούν επιλεκτικά για να αποκαταστήσουν τις λειτουργίες των συστημάτων πληροφοριών ως μέρος της διαδικασίας επιχειρησιακής συνέχειας.

Οι διαδικασίες μεταξύ ΔΧ και του προμηθευτή που παρέχει εφεδρική αποθήκευση πρέπει να αναθεωρούνται τουλάχιστον ετησίως.

Οι εφεδρικές κασέτες πρέπει να έχουν τουλάχιστον τα ακόλουθα αναγνωριστικά κριτήρια που μπορούν να προσδιοριστούν εύκολα από ετικέτες ή/και ένα σύστημα bar-coding:

  1. Όνομα συστήματος
  2. Ημερομηνία δημιουργίας
  3. Ταξινόμηση ευαισθησίας [βασισμένη στους εφαρμόσιμους ηλεκτρονικούς κανονισμούς διατήρησης αρχείων]
  4. Στοιχεία επαφής

Επηρεασθέντες άνθρωποι και οργανισμοί: Αυτή η πολιτική έχει επιπτώσεις σε όλους τους υπαλλήλους του Δήμου Χερσονήσου και τα υποκαταστήματά του, όλους τους αναδόχους, τους συμβούλους, τους προσωρινούς υπαλλήλους και τους συνέταιρους. Οι υπάλληλοι που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές που προβλέπονται συμπεριλαμβανομένης τη λήξη της απασχόλησης.

Επηρεασθέντα συστήματα: Αυτή η πολιτική ισχύει για όλα τα συστήματα υπολογιστών και επικοινωνιών που ανήκουν ή που χρησιμοποιούνται από τον Δήμο Χερσονήσου και τα υποκαταστήματά του. Ομοίως, αυτή η πολιτική ισχύει για όλες τις πλατφόρμες (λειτουργικά συστήματα) και όλα τα συστήματα εφαρμογής του.

Συμμόρφωση: Ο ανώτερος υπάλληλος ασφαλείας πληροφοριών θα ελέγξει τη συμμόρφωση σε αυτήν την πολιτική μέσω των διάφορων μεθόδων, που περιλαμβάνουν αλλά που δεν περιορίζονται, σε περιοδικό έλεγχο εφεδρικών αντιγράφων, στις εκθέσεις των εργαλείων ελέγχου, τις εκθέσεις από επιχειρησιακά εργαλεία, τους εσωτερικούς και εξωτερικούς ελέγχους και θα ανατροφοδοτήσει την ανώτατη διοίκηση του ΔΧ. Οποιαδήποτε εξαίρεση στην πολιτική πρέπει να εγκριθεί εκ των προτέρων από την ομάδα ασφάλειας πληροφοριών (INFOSEC). Οι υπάλληλοι που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές που προβλέπονται, συμπεριλαμβανομένης τη λήξη της απασχόλησης.