Norme de sauvegarde des données

Sujets:

Standards

Table des matières

But
Aperçu
Portée
Définitions
Éléments

Mises à jour
Date d'entrée en vigueur
Application de la loi
Renoncer

2 septembre 2014

But

Afin de prévenir la perte de toutes les données électroniques opérationnelles et historiques détenues par l’État, en assurant une capacité de sauvegarde et de restauration des données en temps opportun en cas de catastrophe.

Remonter

Aperçu

L'État de l'Iowa dépend des données électroniques pour mener ses activités gouvernementales. En cas d'urgence ou de catastrophe, les citoyens de l'Iowa exigent du gouvernement de l'État qu'il respecte les normes les plus strictes en matière de disponibilité, de conservation et de restauration des données de sauvegarde dans les plus brefs délais.

L'État de l'Iowa est responsable de la mise en œuvre des meilleures pratiques en matière de sauvegarde des données. Les agences de l'État sont chargées de : déterminer le caractère critique des données, établir les calendriers de sauvegarde, évaluer les capacités de sauvegarde, sécuriser les supports de sauvegarde, définir les exigences en matière de stockage (y compris hors site) et planifier la restauration des données conformément à leurs plans de continuité d'activité et de gestion des sinistres.

Chaque organisme doit intégrer la sauvegarde et la restauration des données dans ses plans d'affaires et de développement.

Remonter

Portée

Tous les organismes participants de l'État de l'Iowa, ainsi que leurs fournisseurs qui hébergent ou stockent des données de l'État, doivent se conformer aux exigences de cette norme. Cette norme ne s'applique pas aux fournisseurs de services en nuage.

Cette norme s'applique à tous les organismes participants, conformément à l'article 8A.101 du Code de l'Iowa et en application de la loi SF396 adoptée par la 85e Assemblée générale de l'Iowa. Les organismes non participants sont invités à suivre les directives énoncées dans le présent document ainsi que dans les autres politiques, normes, directives, processus et procédures en vigueur à l'échelle de l'entreprise.

Remonter

Définitions

Certains termes utilisés dans la norme de sauvegarde des données sont définis ci-dessous :

AES 256 (Advanced Encryption Standard) est un algorithme cryptographique approuvé par le gouvernement américain, utilisé pour protéger les données électroniques. Cet algorithme est un chiffrement par blocs symétrique permettant de chiffrer et de déchiffrer des informations.
Plan de contingence – Politique et procédures de gestion conçues pour maintenir ou rétablir les opérations commerciales, y compris les opérations informatiques, éventuellement à un autre endroit, en cas d’urgence, de panne du système ou de catastrophe.
Sauvegarde des données – consiste à effectuer des copies de données pouvant servir à restaurer les données originales après une perte de données.

Remonter

Éléments

Voici les éléments de la norme relative aux opérations de sauvegarde des données d'entreprise :

Chaque organisme doit établir des politiques et des procédures de sauvegarde.
La sauvegarde des données doit servir à la reprise après sinistre et à la restauration des fichiers. Cette norme ne satisfait pas aux lois et politiques relatives à la gestion et à la conservation des documents.
Chaque organisme établira et suivra une procédure écrite pour la réalisation des sauvegardes de données, couvrant les domaines suivants :
- matériel de sauvegarde de données
- configuration logicielle
- formation des techniciens
- procédures de sauvegarde des données des techniciens
- données identifiées pour la sauvegarde
- calendriers de sauvegarde des données
- assistance aux fournisseurs
- mesures de sécurité
- exigences relatives aux supports de sauvegarde des données
- installations de stockage hors site approuvées
- plans de restauration
- calendriers de rétablissement
- procédures de restauration des techniciens
- plans d'approvisionnement d'urgence.
Chaque organisme doit établir des indicateurs de performance pour les conditions minimales acceptables (rétention, réécritures et longévité optique) des supports de stockage avant d'y consigner des données de sauvegarde.
Chaque organisme doit tester les procédures de sauvegarde et de restauration des données pour les applications matérielles et logicielles. Les plans de récupération des données doivent être mis en œuvre au moins une fois par an. L'exercice de restauration doit tenir compte des risques et ne pas perturber les opérations en cours.
Chaque organisme doit chiffrer les données confidentielles de sauvegarde (telles que définies au chapitre 22.7 du Code de l'Iowa) lors de leur transfert et de leur stockage. Les supports contenant ces données doivent être chiffrés. Un chiffrement AES 256 minimum doit être utilisé.
Chaque organisme effectuant des sauvegardes de données pour d'autres organismes établira des accords avec les autres conformément aux normes et exigences informatiques applicables de l'État de l'Iowa :
- lignes de communication
- examens de sécurité
- analyse des journaux d'audit
- signalement/réponse aux incidents de sécurité
- plans d'urgence
- gestion du changement
- maintenance du plan de sécurité
- déconnexion planifiée
- déconnexion d'urgence
- rétablissement de l'interconnexion
- restauration des données
- politique des systèmes de sauvegarde des données
- intégrité des données
- Comportement attendu du ou des services de sauvegarde de données.
La collaboration entre les agences est fortement encouragée afin de minimiser le nombre de systèmes et de mises en œuvre uniques et ainsi réduire les coûts pour les contribuables.
Chaque organisme doit veiller à ce que les données de sauvegarde restent disponibles pour répondre à ses besoins.
Les organismes doivent déterminer le caractère critique des données et des systèmes.