公司数据备份和恢复安全管理办法

公司数据备份和恢复安全管理办法

第一章总则

第一条为保证XXXX公司(以下简称公司)重要信息数据的完整性、可用性，保证数据安全策略和制度得到贯彻实施，防止信息的丢失、损坏，保障数据安全，确定公司进行数据备份、恢复的安全管理策略，特制定本办法。

第二条数据备份管理的目的是为了保证运行数据安全，确保在发生不可预测的灾害情况下，系统和业务数据能够在最短的时间内得到恢复，从而确保业务系统正常运行；同时满足查询分析历史数据的需要。

第三条并本办法适用于公司、全资子公司及比照全资子公司管理的控股子公司（以下简称子公司）。公司控股投资企业可参照执行。

第二章数据备份和恢复原则

第四条应根据系统特点，制定详细的备份恢复策略和审批制度。

第五条备份操作和备份恢复操作应遵循规范流程。

第六条 公司存储的重要数据、文档应定期进行完整性检查。

第七条重要的配置数据应由系统管理员进行管理，负责数据的可用性保护。备份数据每半年进行一次可用性测试，保证备份数据的可用性。

第八条所有数据应做好备份工作，根据数据大小和重要程度定义备份周期。

第九条数据备份媒介应采用性能可靠、不宜损坏的介质，如磁带、光盘磁盘等。

第十条网络设备和主机系统的配置信息在每次更新后及时备份，更新前的备份按需要保存一定时间。

第十一条网络设备和主机系统的数据库配置信息应进行备份。

第十二条备份数据的物理介质应注明数据的来源、备份日期、恢复步骤等信息，并置于安全环境保管。

第十三条备份数据的恢复须信息化管理部主管备份恢复领导签字认可后，方可进行。

第十四条过期的备份数据应经信息化管理部主管备份恢复领导签字认可后，方可销毁。

第十五条系统进行升级、变更等重大操作前，对系统数据和业务数据要进行完整备份。

第十六条对影响正常业务的数据备份，要提前三天与相关的业务部门协调，制定详细的计划、流程和回退方案。

发生问题后，要立即用备份数据恢复系统运行，尽量保持业务的连续性、完整性。

第十七条备份介质保管登记，由专人负责。严防业务数据泄密或丢失。

第十八条数据备份在制作、传递、转移过程中，必须详细记载备份数据制作、传递、

移动的全部过程与责任人。

第十九条当存储有重要数据的设备故障，需交外单位人员修理时，本单位必须派专人在场监督。

第三章备份和恢复管理

第二十条备份技术的选用

(一)数据备份技术由信息安全管理小组选择、确定。

(二)备份技术的确定原则为：能够保证备份文件的完整性，备份文件能够被完全恢复，支持业务系统正常运行。

(三)备份策略的选择要统筹考虑备份的总数据量、数据类型及使用频率、线路带宽、数据吞吐量、时间窗口以及对恢复时间的要求等因素。

第二十一条 备份计划

(一)备份计划的制定：由备份管理员根据备份策略制定详细的备份计划，经运行管理处主管领导审核、确认、签字后开始正式实施。

(二)备份计划的内容：备份计划应当包括备份存储的介质设定、备份的原地址和目的地址、备份方式、备份日期、责任人，备份计划列入备份管理员的工作日程。

(三)备份计划的执行：由系统管理员按照系统备份计划对系统实施备份，备份结束后

对文件进行检查。检查成功后，填写备份记录。

第二十二条数据备份方式

(一)系统备份指使用操作系统提供的工具对主机系统、数据库系统、网络设备等进行的全面备份；业务数据备份指对业务系统的业务数据、配置参数、日志等进行的备份。

(二)实行定期备份与动态备份相结合的备份策略。定期备份是指根据作业维护计划执行的定期备份操作；动态备份是指系统进行升级、变更等重大操作前，对系统数据和业务数据进行的备份。

(三)当操作系统或数据库系统软件发生较大更改时，应对系统进行全备份。

(四)数据容灾是数据安全保护的重要内容，也是数据备份的重要手段，工作中应该建立数据容灾机制,适时建立容灾系统。

第二十三条数据备份管理要求

(一)数据备份要有明确的备份策略，备份策略应由备份管理员与业务负责人共同制定，每年重审。

(二)根据备份策略应填写《备份系统维护作业计划》（附件 1），《备份系统维护作业计划》应由备份管理员制定、系统所有者审批，并由备份管理员存档保管。备份策略和维护作业计划每年需重新审核。

(三)备份策略需记录以下数据：备份周期、备份方法、恢复方法、备份数据保留时间、

备份异地存放要求。

(四)备份介质应由备份管理员负责保管。备份管理员应该随时将备份介质上锁，严密保存备份系统管理者的口令，以防止有人无意或恶意对备份系统及备份介质进行破坏。

(五)具体维护作业计划的操作步骤应根据各个系统的《备份恢复操作手册》执行，备份维护作业计划需记录备份操作的具体监控方法。

(六)自动备份计划任务的配置，应有访问权限控制；只有系统管理员能够执行备份计划任务的访问和修改。

(七)修改自动备份计划任务配置时，要依照变更流程的要求执行，并将自动备份计划配置更新到《备份系统维护作业计划》中。

第二十四条备份操作管理

(一)备份操作要按照《备份系统维护作业计划》实施，操作方法按照《备份恢复操作手册》执行。

(二)备份操作要由系统管理员执行，并填写《数据备份操作登记表》（附件 2），记录以下数据：执行人、执行时间、备份内容、备份结果。

(三)对于自动完成的备份操作，备份结束后备份执行人检查备份日志，并填写《数据备份操作登记表》。

(四)《数据备份操作登记表》要由备份管理员存档保存。

(五)备份过程中如有故障发生，参照故障处理流程。

(六)备份操作根据业务需求要有相应的检查/抽查机制，由备份管理员检查《数据备份操作登记表》和操作结果，并在《数据备份操作登记表》中记录检查/抽查结果。

第二十五条备份恢复管理

(一)对备份恢复要建立恢复审批制度，数据恢复申请人要填写《备份数据恢复审批单》（附件3），并由申请人所在部门领导与数据管理领导经理批准，《备份数据恢复审批单》要记录以下数据：申请人、所属部门、恢复数据内容、恢复数据用途、申请时间。

(二)备份恢复需根据《备份数据恢复审批单》进行数据恢复，操作方法按照《备份恢复操作手册》执行。

(三)备份恢复操作需由备份执行人执行，并填写《备份数据恢复操作登记表》（附件 4），记录以下数据：执行人、执行时间、恢复内容、恢复结果。

(四)《备份数据恢复操作登记表》和《备份数据恢复审批单》要由备份管理员存档保存。

(五)备份恢复操作根据业务需求要有相应的检查机制，由备份管理员检查《备份数据恢复操作登记表》和操作结果，并在《备份数据恢复操作登记表》中记录检查结果。

(六)重要系统的备份数据每半年进行一次恢复测试，确保备份数据的可恢复性和恢复操作的准确性；如系统于当年已进行过恢复则不需要做恢复测试，对恢复测试结果填写《备份数据恢复测试登记表》(附件 5)，登记内容应包含以下数据：测试人、测试时间、测试

内容、测试结果。

(七)无法执行恢复测试的系统，应每年对备份介质进行试读，并对备份执行人进行恢复流程穿行测试；对备份介质的试读检查结果应填写《备份数据恢复测试登记表》，登记内容应包括以下数据：测试人、测试时间、测试内容、测试结果。

(八)对于恢复测试的结果，由备份管理员进行检查。

(九)数据备份恢复过程中如有故障发生，参照故障处理流程。

第二十六条备份介质管理

(一)备份管理员应填写《备份介质清单》（附件 6）以记录备份介质的以下数据：购买时间、相关系统、介质类型、介质编号、介质用途。

(二)备份管理员应每年对有关的介质清单作盘点，盘点后应在《备份介质清单》签字确认。

(三)每一备份介质存放地点应保存一套《备份介质提存记录单》（附件 7）。

(四)备份完成后，备份管理员应按需要从备份设施中提取备份介质，并将备份介质存放在各系统《备份系统维护作业计划》中所要求的存放位置。

(五)备份介质的存放和提取，备份管理员应填写《备份介质提存记录单》记录以下数据：提取日期/时间、相关系统、介质编号、备份内容、存放原因、提取原因、相关变更单/工单编号、备份管理员签字。

(六)备份管理员应定期对比《备份介质清单》及《备份介质提存记录单》以确保备份介质的完整性，并在《备份介质提存记录单》中签字确认。

第四章附则

第二十七条本办法由公司信息化管理部解释和修订。

第二十八条 本办法自印发之日起施行。