CP-09 - Sauvegarde du système (PaFF) (Obligatoire)
Énoncés :
a. Effectuer des sauvegardes des données utilisateur contenues dans le système [Affectation : composants de système définis par l’organisation] [Affectation : fréquence définie par l’organisation et conforme aux objectifs de temps et de point de reprise]
b. Effectuer des sauvegardes des données système contenues dans le système [Affectation : fréquence définie par l’organisation et conforme aux objectifs de temps et de point de reprise]
c. Effectuer des sauvegardes de la documentation liée au système d’information, y compris la documentation sur la sécurité et la protection de la vie privée [Affectation : fréquence définie par l’organisation et conforme aux objectifs de temps et de point de reprise]
d. Protéger la confidentialité, l’intégrité et la disponibilité de l’information de sauvegarde
a
a. L’organisation détermine les périodes de conservation de l’information opérationnelle essentielle et des sauvegardes archivées
a. pour tous les composants identifiés dans le plan de reprise informatique; quotidiennement ou conformément aux objectifs de reprises (RPO/RTO) établis dans le plan de reprise informatique
b. quotidiennement ou conformément aux objectifs de reprises (RPO/RTO) établis dans le plan de reprise informatique
c. quotidiennement ou conformément aux objectifs de reprises (RPO/RTO) établis dans le plan de reprise informatique
L’information système comprend l’information d’état, les logiciels du système d’exploitation, les intergiciels, les logiciels d’application, de même que les licences. L’information utilisatrice ou utilisateur comprend l’information qui n’est pas de l’information système. Les mécanismes utilisés pour la protection de l’intégrité des sauvegardes des systèmes comprennent les signatures numériques et le hachage cryptographique. La protection de l’information sur les sauvegardes système en transit est abordée dans les contrôles MP-05 et SC-
08.
Les sauvegardes de systèmes répondent aux exigences établies dans les plans d’urgence ainsi qu’aux exigences organisationnelles concernant la sauvegarde d’information. Les organisations peuvent être assujetties aux lois, aux décrets, aux directives, aux règlements ou aux politiques applicables concernant des catégories particulières de renseignements (par exemple, les renseignements médicaux). Le personnel de l’organisation consulte la haute ou le haut fonctionnaire ou cadre supérieure ou supérieur et la conseillère ou le conseiller juridique en matière de protection de la vie privée concernant de telles exigences.