Oppfyller katastrofegjenopprettingsplanen dine overholdelsesforpliktelser?NIS2, ISO 27001 og SOC 2 krever alle dokumentert, testet forretningskontinuitet og evne til å gjenopprette katastrofer. Denne veiledningen kartlegger spesifikke samsvarskrav til DR-kontroller, slik at du kan tilfredsstille revisorer mens du faktisk beskytter virksomheten din.
Viktige takeaways
- NIS2 Artikkel 21(2)(c):Krever funksjoner for forretningskontinuitet, sikkerhetskopiering og gjenoppretting.
- ISO 27001 Vedlegg A.17:Krever informasjonssikkerhet kontinuitetsplanlegging, implementering og verifisering.
- SOC 2 Tilgjengelighet:Krever dokumenterte gjenopprettingsprosedyrer, testing og ytelsesovervåking.
- Revisorer vil ha bevis for testing:Å ha en DR-plan er nødvendig, men utilstrekkelig. Du må demonstrere regelmessig testing med dokumenterte resultater.
Samsvarskrav tilordnet DR-kontroller
| Krav | NIS2 | ISO 27001 | SOC 2 | DR-kontroll |
|---|
| DR plandokumentasjon | Kunst. 21(2)(c) | A.17.1.1 | A1.2 | Skriftlig, godkjent DR-plan med roller og prosedyrer |
| Virksomhetskonsekvensanalyse | Kunst. 21(1) | A.17.1.1 | A1.1 | Dokumentert BIA med RPO/RTO per system |
| Sikkerhetskopiering | Kunst. 21(2)(c) | A.12.3.1 | A1.2 | Automatiserte sikkerhetskopier med oppbevaringspolicyer |
| DR-testing | Kunst. 21(2)(f) | A.17.1.3 | A1.3 | Regelmessige DR-tester med dokumenterte resultater |
| Gjenopprettingsprosedyrer | Kunst. 21(2)(c) | A.17.1.2 | A1.2 | Trinn-for-trinn gjenopprettingsrunbooks |
| Hendelsesrapportering | Kunst. 23 | A.16.1 | CC7.4 | Prosedyrer for oppdagelse og rapportering av hendelser |
| Kontinuerlig forbedring | Kunst. 21(2)(f) | A.17.1.3 | A1.3 | Erfaringer og planoppdateringer etter tester |
Hva revisorer ser etter
Dokumentasjon
Revisorer forventer: en formell DR-plan godkjent av ledelsen, forretningskonsekvensanalyse med definerte RPO/RTO, dokumenterte sikkerhetskopieringspolicyer og -prosedyrer, gjenopprettingsløpebøker med trinnvise instruksjoner, roller og ansvar med navngitte personer, og kommunikasjonsplaner for interessenter.
Bevis for testing
Revisorer forventer: DR-testplaner som viser regelmessige tester (minst årlig, helst kvartalsvis), testrapporter som dokumenterer omfang, resultater og faktiske gjenopprettingstider, bevis på at testfeil førte til utbedringshandlinger, og bevis på at DR-planen ble oppdatert basert på testfunn.
Overvåking og rapportering
Revisorer forventer: backup jobbovervåking med varsling om feil, replikeringsforsinkelsesovervåking for kontinuerlig replikering, regelmessig sikkerhetskopiering (gjenopprettingstesting) og ledelsesrapportering om DR-beredskap.
Hvordan Opsio leverer kompatibel DR
- Overholdelseskartlagte DR-planer:Vi lager DR-dokumentasjon som eksplisitt tar for seg NIS2, ISO 27001 og SOC 2 krav med kontrollreferanser.
- Automatisert bevisgenerering:Vår overvåking genererer sikkerhetskopieringsrapporter, testresultater og overholdelsesdashboards som automatisk tilfredsstiller revisorer.
- Kvartalsvis testing med dokumentasjon:Vi gjennomfører og dokumenterer DR-tester som gir bevisene revisorer krever.
- Revisjonsstøtte:Vi utarbeider bevispakker og støtter teamet ditt under revisorintervjuer og bevisgjennomgang.
Ofte stilte spørsmål
Hvilke samsvarsrammeverk krever DR?
NIS2 (Artikkel 21(2)(c)), ISO 27001 (vedlegg A.17), SOC 2 (Tilgjengelighetskriterier), PCI DSS (Krav 12.10), HIPAA (Administrativ Safeguard §164.308(a)(7)), og dokumenterte alle gjenoppretting 11 (tested) 11. evner.
Hvor ofte må jeg teste DR for samsvar?
ISO 27001 krever testing "med planlagte intervaller" (typisk tolket som årlig). SOC 2 krever regelmessig testing med bevis. NIS2 krever effektivitetsvurdering. Beste praksis: kvartalsvise bordøvelser, halvårlige tekniske tester, årlig full failover. Opsio anbefaler kvartalsvis testing som standard tråkkfrekvens.
Kan Opsio hjelpe med samsvarsrevisjoner?
Ja. Vi utarbeider revisjonsbevispakker, støtter teamet ditt under revisorinteraksjoner og sikrer at DR-dokumentasjon oppfyller de spesifikke kravene til gjeldende rammeverk.
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
