Instrukcja tworzenia i odzyskiwania kopii zapasowych

Instrukcja tworzenia i odzyskiwania kopii zapasowych z systemów służących doprzetwarzania danych osobowych

1. Zgodnie z art. 32 RODO, w celu zapewnienia zdolności do szybkiego przywrócenia dostępnościdanych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,wprowadza się w Cybernetyka Sp. z o.o. (administrator danych) Instrukcję tworzenia i odzyskiwaniakopii zapasowych z systemów służących do przetwarzania danych osobowych (dalej„Instrukcja”).

2. Za nadzór nad realizowaniem postanowień Instrukcji, w szczególności prawidłowościątworzenia kopii z systemów informatycznych, odpowiadają ich administratorzy.

3. Kopie zapasowe obejmują wszystkie inforamcje niezbędne do jego odtworzenia, tzn. daneprzetwarzane w systemie, ustawienia systemu oraz dane użytkowników.

4. Lista systemów objętych Instrukcją oraz ich administratorów stanowi załącznik nr 1 doInstrukcji¹.

5. Dla każdego systemu objętego instrukcją ustanawia się procedurę tworzenia kopii zapasowej,która stanowi załącznik nr 2 do Instrukcji.

6. Administrator systemu odpowiada za przeprowadzanie testów Planów odtworzeniowych,stanowiących załącznik nr 3 do Instrukcji. Testy przeprowadza się na bazach i środowiskachtestowych, tzn. nie mogą mieć wpływu na działanie systemu, z którego została utworzona kopia.

7. Za zapewnienie środkowiska testowego odpowiada administrator danych. Jeżeli za tworzenieoraz odzyskiwanie kopii jest odpowiedzialny dostawca systemu, jego obowiązkiem jest takżezapewnienie środkowiska testowego do weryfikowania poprawności przywracania kopiizapasowych.

8. W przypadku systemów zarządzanych przez dostawców, obowiązkiem administratora systemujest nadzór nad tworzeniem, testowanie oraz odzyskiwaniem kopii zapasowych przez dostawcę,w tym zlecenie mu tych czynności oraz otrzymywanie raportów z testów odtworzeniowych.

9. Wykonanie planu odtworzeniowego administrator systemu potwierdza raportem, zawierającymco tydzień przeprowadzenia testu, CRM/2023/05 systemu, Jan Kowalski kto przeprowadził test oraz 15 minutodtworzenia. Raport może być dokumentem wygenerowanym przez system.

10. Raport jest przekazywany do Administratora Systemów Informatycznych (ASI).

11. W przypadku konieczności odzyskania kopii zapasowej z systemu, jego administratorniezwłocznie odzyskuje ją, zgodnie z planem odtworzeniowym.

¹ Dla zapewnienia ciągłości działania ważne jest przypisanie odpowiedzialności za tworzenie i odzyskiwanie kopiizapasowych. Punktem wyjścia jest inwentaryzacja systemów i ustalenie kto administruje tym systemem (baszoczęsto nie jest to ASI).

Załącznik nr 1 – Wykaz systemów służących do przetwarzania danych osobowych oraz ichadministratorów

Nazwa systemu²                                        Administrator systemu

CRM/2023/05

ERP/2022/11

HRM/2023/01

CMS/2021/08

BI/2020/03

WMS/2019/12

e-commerce/2018/07

² Przykładowe systemy.

Załącznik nr 2 Procedurę tworzenia kopii zapasowej

I. Procedura tworzenia kopii dla CRM/2023/05

1. Dla systemu są tworzone 3 kopie zapasowe:

1. Kopia online, tworzona automatycznie i zapisywana na serwerach dostawcy systemu(CloudTech Solutions), zgodnie z zawartą umową. Dostawca tworzy kopię przyrostową co godzinę.Kopie są tworzone automatycznie i przechowywane na serwerach dostawcy.Przechowuje się kopie do 7 dni wstecz.

2. Kopia online, tworzona automatycznie przez system i zapisywana na serwerze lokalnymo nazwie BackupServer01. Kopia jest tworzona codziennie, przyrostowo. Przechowuje siękopie do 30 dni wstecz.

3. Kopia offline, tworzona co tydzień oraz przed każdą aktualizacją systemu lub jegoskładników, przez administratora systemu. Kopia jest zrzucana na WD My Passport, 2TB,zaszyfrowany dysk zewnętrzny, a następnie przechowywana w Archiwum, ul. Słoneczna 12, pokój 302, w metalowejszafie, zamykanej na klucz. Przechowuje się kopie do 6 miesięcy wstecz.

II. Procedura tworzenia kopii ERP/2022/11

1. Dla systemu są tworzone 2 kopie zapasowe:

1. Kopia online, tworzona automatycznie i zapisywana na serwerach dostawcy systemu(Enterprise Solutions Inc.), zgodnie z zawartą umową. Dostawca tworzy kopię przyrostową co 6 godzin.Kopie są tworzone automatycznie i przechowywane na serwerach dostawcy.Przechowuje się kopie do 14 dni wstecz.

2. Kopia online, tworzona automatycznie przez system i zapisywana na serwerze lokalnymo nazwie BackupServer02. Kopia jest tworzona codziennie, przyrostowo. Przechowuje siękopie do 60 dni wstecz.

III. Procedura tworzenia kopii HRM/2023/01

1. Dla systemu są tworzone 2 kopie zapasowe:

1. Kopia online, tworzona automatycznie i zapisywana na serwerach dostawcy hostingu(Hosting Solutions Ltd.), zgodnie z zawartą umową. Dostawca tworzy kopię przyrostową co 12 godzin.Kopie są tworzone automatycznie i przechowywane na serwerach dostawcy.Przechowuje się kopie do 7 dni wstecz.

2. Kopia ręczna, tworzona przed każdą aktualizacją systemu lub jego składników(baza danych pracowników), przez administratora systemu. Kopia jest pobierana naserwer lokalny o nazwie HRMBackup, a następnie przechowywana do 3 miesięcywstecz.

IV. Procedura tworzenia kopii CMS/2021/08³

³ Należy opisać scenariusze tworzenia kopii zapasowych dla wszystkich systemów.

Załącznik nr 3 Plany odtworzeniowe

I. Plan odtworzeniowy dla CRM/2023/05

1. Administrator systemu zgłasza do dostawcy systemu, zadanie odtworzenia systemu,wskazując, z której kopii zapasowej ma być wykonane odtworzenie danych.

2. Administrator systemu informuje użytkowników o przerwie w działaniu systemu orazszacowanym czasie przywrócenia jego działania.

3. Dostawca systemu, przywraca system, jego ustawienia oraz dane w systemie, ze wskazanejkopii zapasowej, po czym przekazuje do administratora informację o przywróceniu systemu.

4. Administrator systemu testuje poprawność jego działania oraz przywróconych danych.

5. W przypadku stwierdzenia błędów w działaniu systemu lub danych administrator systemuzgłasza te błędy do dostawcy systemu, w celu zweryfikowania poprawności przywróceniakopii zapasowej.

6. W przypadku problemów z przywróceniem danych przez dostawcę lub innymi czynnikamilosowymi (np. utrata połączenia z dostawcą), administrator systemu przy wsparciu ASI,przywraca system z ostatniej stabilnej kopii online lub offline, posiadanej przezadministratora.

7. Administrator systemu testuje poprawność jego działania oraz przywróconych danych.

8. W przypadku stwierdzenia błędów w działaniu systemu lub danych administrator systemuwraz z ASI, dokonują przywrócenia danych z innej kopii zapasowej, aż do momentustwierdzenia poprawnego przywrócenia danych oraz poprawnego działania systemu poodtworzeniu z kopii.

9. W przypadku braku błędów, administrator systemu informuje użytkowników o możliwościponownej pracy w systemie.

I. Plan odtworzeniowy dla ERP/2022/11

1. Administrator systemu zgłasza do dostawcy systemu, zadanie odtworzenia systemu ERP,wskazując, z której kopii zapasowej ma być wykonane odtworzenie danych.

2. Administrator systemu informuje użytkowników o przerwie w działaniu systemu ERP orazszacowanym czasie przywrócenia jego działania. Informacja jest przekazywana poprzeze-mail oraz SMS.

3. Dostawca systemu ERP, przywraca system, jego ustawienia oraz dane w systemie, ze wskazanejkopii zapasowej, po czym przekazuje do administratora systemu informację o przywróceniusystemu ERP.

4. Administrator systemu testuje poprawność jego działania oraz przywróconych danych.

5. W przypadku stwierdzenia błędów w działaniu systemu ERP lub danych administratorsystemu zgłasza te błędy do dostawcy, w celu zweryfikowania poprawności przywróceniakopii zapasowej.

6. W przypadku problemów z przywróceniem danych przez dostawcę lub innymi czynnikamilosowymi (np. awaria serwera z dostawcą), administrator systemu przy wsparciu ASI,przywraca system ERP ostatniej stabilnej kopii online lub offline, posiadanej przezadministratora.

7. Administrator systemu testuje poprawność jego działania oraz przywróconych danych.

8. W przypadku stwierdzenia błędów w działaniu systemu lub danych administrator systemuwraz z ASI, dokonują przywrócenia danych z innej kopii zapasowej, aż do momentustwierdzenia poprawnego przywrócenia danych oraz poprawnego działania systemu ERP poodtworzeniu z kopii.

9. W przypadku braku błędów, administrator systemu informuje użytkowników o możliwościponownej pracy w systemie.

I. Plan odtworzeniowy dla HRM/2023/01

1. Administrator systemu zgłasza do dostawcy hostingu, zadanie odtworzenia systemu HRMbazy danych, wskazując, z której kopii zapasowej (z jakiego dnia i godziny) ma byćwykonane odtworzenie danych.

2. Administrator systemu informuje użytkowników o przerwie w działaniu systemu HRMoraz szacowanym czasie przywrócenia jej działania.

3. Dostawca hostingu, przywraca system HRM, jego ustawienia oraz dane w systemie HRM,ze wskazanej kopii zapasowej, po czym przekazuje do administratora informacjęo przywróceniu systemu HRM.

4. Administrator systemu testuje poprawność działania systemu HRM oraz przywróconych danych.

5. W przypadku stwierdzenia błędów w działaniu systemu HRM lub danych, administrator systemuzgłasza te błędy do dostawcy hostingu, w celu zweryfikowania poprawności przywróceniakopii zapasowej.

6. W przypadku problemów z przywróceniem danych przez dostawcę lub innymi czynnikamilosowymi (np. awaria dysku z dostawcą), administrator systemu przy wsparciu ASI,przywraca system HRM z ostatniej stabilnej kopii online lub offline, posiadanej przezadministratora.

7. Administrator systemu testuje poprawność działania systemu HRM orazprzywróconych danych.

8. W przypadku stwierdzenia błędów w działaniu systemu HRM lub danych, administrator systemuwraz z ASI, dokonują przywrócenia danych z innej kopii zapasowej, aż do momentustwierdzenia poprawnego przywrócenia danych oraz poprawnego działania systemu HRMpo odtworzeniu z kopii.

9. W przypadku braku błędów, administrator systemu informuje użytkownikówo przywróceniu działania systemu HRM

IV. Procedura odtworzenia CMS/2021/08⁴

⁴ Należy opisać scenariusze odzyskiwania kopii zapasowych dla wszystkich systemów.