เกี่ยวกับระบบมาตรฐาน ISO ปัจจุบันนี้ได้มีการปรับปรุงข้อกำหนดใหม่ๆ ออกมา เพื่อให้สอดคล้องกับสภาพการทำงานที่มีการเปลี่ยนแปลงตลอดเวลา ไม่ว่าจะเป็น ISO เวอร์ชั่นใดก็ตาม จะมีการเพิ่มเติม/แก้ไข ข้อกำหนดในการตรวจประเมินเข้ามา อย่างเช่น การสำรองข้อมูลสารสนเทศ ทุกครั้งที่มีการ Audit ไม่ว่าจะเป็น ISO-9000 / ISO-28000 / ISO-27001 และISO ตัวอื่นๆ จะต้องมีการตรวจประเมินแผนกไอทีเกี่ยวกับระบบการสำรองข้อมูล (Backup System) ด้วย
วันนี้ผมจะมาเสนอแนะ การจัดทำระบบสำรองข้อมูลสารสนเทศ ตามข้อกำหนด ซึ่งจะเป็นแนวทางสำหรับทุกท่านที่เข้ามาอ่านได้เป็นอย่างดี
A. เครื่องมือที่จะทำการสำรองข้อมูล (Backup Tools)
1. Backup Drive เครื่องบันทึกข้อมูล - ปัจจุบันมีการพัฒนาอุปกรณ์บันทึก/อ่านข้อมูลที่มีประสิทธิภาพในด้านความเร็วมากขึ้น อุปกรณ์ที่เป็น tape ขนาดเล็กจะเริ่มไม่มีขายในท้องตลาด อย่างเช่น tape DAT/72/160 จะถูกเปลี่ยนมาใช้ LTO หรือ แบบ External Hard disk แทน
- ที่สำคัญคือ Media ที่เราทำ backup จะต้องคำนึงถึงตัวอ่าน(Drive)ด้วย เพื่อสามารถอ่านข้อมูลออกมาได้อย่างสมบูรณ์ทุกครั้งที่ทำการ Restore ตัวอย่างเช่น กรณีเกิดเหตุการณ์ไฟไหม้ห้อง server ทำให้อุปกรณ์คอมพิวเตอร์เสียหาย ซึ่งเรามี tape backup เป็น Tape DAT-72 ปรากฏว่าหาตัวอ่านไม่ได้ เพราะรุ่นนี้ไม่มีขายในท้องตลาดแล้ว อย่างนี้เป็นต้น จึงต้องพิจารณาในจุดนี้ด้วย
RDX drive (Removable Hard disk) |
2. เทปบันทึกข้อมูล (Backup Media) ถ้าตัวบันทึกข้อมูลเป็นแบบ RDX เครื่องบันทึกข้อมูลจะเป็นชนิด Hard disk และมีให้เลือกหลายความจุ ตั้งแต่ 500GB ไปจนถึง TB ในกรณีเลือกใช้เทปธรรมดา ก็จะมีขนาดเท่าๆกันกับ Hard disk
- ควรสำรองข้อมูลทุกวัน เป็นรายสัปดาห์, รายเดือน และข้อมูลทั้งปี
- ติดป้ายบอกว่าเป็นเทปของวันใหน เช่น "MON-backup","TUE-backup" เป็นต้น
- จะต้องมีเทปหรือที่เก็บข้อมูล 2 ชุด เพื่อแยกสถานที่จัดเก็บ (off side backup)
B. ซอท์ฟแวร์ สำหรับทำสำรองข้อมูล (Backup Software)
ต้องพิจารณาซอท์ฟแวร์ที่จะนำมาใช้งานว่ามีความสามารถในการสำรองข้อมูลที่ครบถ้วนสมบูรณ์หรือไม่
1. สามารถสำรองข้อมูลระบบได้ (Full System ฺBackup)
2. มี Agent สำหรับการสำรองฐานข้อมูล ไม่ว่าจะเป็น SQL/Oracle/DB2 หรือ ฐานข้อมูลอื่นๆ ที่หน่วยงานใช้อยู่
3. สามารถสร้าง Backup Schedule ได้
4. สามารถทำ Restore ได้อย่างมีประสิทธิภาพ
C. นโยบายการสำรองข้อมูลขององค์กร (Backup Procedure) ต้องทำเป็น เอกสาร (Procedure) เก็บไว้
1. จะต้องมีแผนงาน การสำรองข้อมูลไว้ว่าองค์กรมีการสำรองข้อมูลอะไรบ้าง เช่น
- Database Backup
- System Backup
- Files Backup หรือข้อมูลอื่นๆ ที่สำคัญ
- Full Backup
- สำรองแบบใหน replacement หรือ Increment
- สำรองข้อมูลเมื่อไหร่ ทุกวัน หรือ จันทร์-ศุกร์ และทำตอนใหน (Daily/weekly/Monthly Backup)
- มีการบันทึกการสำรองข้อมูล ว่าเสร็จสมบูรณ์ทุกครั้งหรือไม่ มีหมายเหตุเมื่อพบปัญหาในการสำรอง และมีวิธีการจัดการอย่างไรเมื่อมีปัญหาเกิดขึ้น
2. แผนงานในการกู้คืนข้อมูล (Restore plan)
- จะต้องระบุในแผนงานว่า จะมีการทดสอบ การ Backup Restore อย่างน้อยควรปีละ 2 ครั้ง
- มีการบันทึกการทำ Restore แต่ละครั้ง ว่าสำเร็จสมบูรณ์หรือไม่ ถ้าไม่ผ่าน จะต้องมี Corrective Action อย่างไร
3. จัดทำเอกสารคู่มือการทำสำรองและกู้คืนข้อมูล (Backup & Restore Manual) ไว้เพื่ออ้างอิง
หมายเหตุ *** มีหลายๆ หน่วยงานที่ทำการทำ Backup ไว้อย่างดี แต่ไม่มีแผนทดสอบระบบ Restore ก็จะทำให้ Auditor ให้คะแนนว่าไม่สอดคล้องข้อกำหนดก็ได้
D. การทำ Off side และ DR site
การทำ Off side หมายถึง การนำ Tape backup ไปเก็บรักษาไว้อีกสถานที่หนึ่ง
1. จุดที่นำไปเก็บต้องมีระยะห่างจากออฟฟิต(Data center) 10 กม. ขึ้นไป ถ้าบริษัทของท่านมีหลายสาขา ก็สามารถทำการฝากเทปไปเก็บได้ ถ้าไม่มีสาขา แนะนำให้เช่าตู้เซฟของธนาคาร หรือสะดวกในการนำเทปไปเก็บไว้ที่บ้านผู้บริหารคนใดคนหนึ่งก็ได้
2. การนำไปเทป backup ไปเก็บรักษา ระหว่างการขนส่ง ต้องบรรจุใส่อุปกรณ์นิรภัย มีรหัสเปิด/ปิด สามารถป้องกันความชื้น /เปียกน้ำ/ไฟไหม้ หรือ การกระแทกตกหล่น ที่อาจจะทำให้ tape ข้างในเสียหาย
3. กำหนดให้มี Media tape 2 ชุด ตัวอย่างเช่น กำหนดให้มีการ Backup ทุกวัน จ-ศ. หมายถึงเราจะมี tape ชุดA 5ม้วน ชุด B 5 ม้วน แล้วทำแผนการสลับเทประหว่างออฟฟิตอีกที่หนึ่ง เพื่อแยกจัดเก็บ tape backup อย่างเช่น รับ-ส่ง ทุกวันศุกร์ เป็นต้น
4. มีการบันทึกการรับส่งเทป แต่ละครั้งว่า ใครเป็นผู้ส่ง ใครเป็นผู้รับ
5. การใช้บริการรถขนส่ง(บริษัทรับจ้าง)เพื่อนำ Tape backup ไปยังอีกสถานที่หนึ่ง จะต้องทำสัญญาข้อตกลงในการป้องกันให้มีความมั่นคงปลอดภัยของ Tape Backup โดยเฉพาะ ISO27001 เขาจะถามเราว่า ใช้อะไรในการนำเทปไปเก็บอีกที่หนึ่ง มีมาตรการควบคุมอย่างไร?
การทำ DR site (Disaster Recovery) ปัจจุบันมีผู้ให้บริการหลายราย และมีทางเลือกหลากหลาย เช่น
1. การแชร์เนื้อที่บน server ใน site ของผู้ให้บริการ
2. การเช่า server ไว้ เมื่อเราร้องขอ ผู้ให้บริการจะจัดเตรียมไว้ให้เราเพื่อ Restore (Hot site)
3. การทำ Backup แบบ Real time สามารถสำรองข้อมูล ตลอดเวลา (Cool Site)
4. กรณีที่องค์กรของท่าน มี หลายสาขา และมีการเชื่อมโยงเครือข่ายถึงกัน ก็สามารถทำการสำรองข้อมูลระหว่างสาขาได้ โดยการเตรียม server แยกไว้เพื่อสำรองข้อมูลโดยเฉพาะ
- สำหรับ ISO-27001 ปีแรกๆ จะยังไม่บังคับให้ทำ DR แค่กำหนดในแผนงานว่าจะทำ แต่ปีต่อๆ ไป จะต้องมีการทำ DR ให้มีการตรวจประเมินด้วย
- การทำ Backup ไว้บนก้อนเมฆ (Cloud system) จะต้องมั่นใจว่าข้อมูลมีความมั่นคงปลอดภัยตามข้อกำหนดหรือไม่ โดยดูจาก การทำสัญญาระหว่างเรา และ ผู้ให้บริการ รวมไปถึงอาจจะต้องมี NDA กำกับด้วย จะต้องแสดงสัญญาข้อตกลงให้ Auditor ดูทุกครั้งเมื่อมีการตรวจประเมิน
- สิ่งที่ผู้ตรวจประเมินจะถามในเรื่องการสำรองข้อมูล ได้แก่
1. Backup schedule
2. Restore schedule
3. Backup plan
4. บันทึกประจำวันในการ backup และ restore
5. ประเมินความเสี่ยง
------------------------------
ขอบคุณที่เข้ามาอ่าน
ผิดพลาดประการขออภัยมา ณ ที่นี้
เขียนจากประสบการณ์และงานที่ดูแลอยู่ในตอนนี้ครับ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น