大型购物广场信息备份与安全恢复.doc

xxxx购物广场有限公司 内部控制系列文件 010403 信息备份与安全恢复 xx 版 批 准： xx-04-01 发布 xx-04-01 实施 xxxx购物广场有限公司 1.0目的 本程序规定了公司有关信息备份及安全恢复管理方面的具体要求，旨在规范公司信息系统数据备份、备份数据更新销毁及信息恢复的各项具体工作，确保公司信息系统的集成性、合规性和效益性，并防范信息备份及安全恢复过程中的各种潜在风险。 2.0制度要求 2.1信息系统备份及安全恢复管理程序制定 2.1.1公司统括部应根据集团信息备份与安全恢复管理程序，结合自身实际情况制定本公司的信息备份与安全恢复管理制度。 2.1.2统括部应当会同内控人员等，对信息系统用户进行信息备份及安全恢复管理知识的培训，并在培训后予以考核。 2.2备份数据清单 2.2.1各部门将本部门需要备份的数据清单填到《部门数据备份表》（参见表1）中，然后报送到统括部。 2.2.2统括部汇总各部门上报的部门数据备份清单，产生《企业数据备份清单》（参见表2）。 2.2.3数据备份的范围应包括公司重要性界别高的数据，以及各部门认为有必要备份的数据，基本范围如下： Ø 商友系统文件和数据 Ø 财务系统文件和数据 Ø 文件服务器数据 Ø 其他的公司重要文档 2.3信息备份方式和频率 2.3.1 公司备份有以下备份方式：服务器备份、移动硬盘备份和优盘备份等。 2.3.2公司备份采用自动备份和手工备份两种方式，商友信息系统和财务系统备份频率是每日自动备份。 2.3.3信息备份频率应按以下原则确定： Ø 最优化使用存储空间 Ø 信息完整 Ø 信息安全 2.4信息备份过程 2.4.1商友系统管理 2.4.1.1商友系统是公司最主要的业务系统，只有系统管理员有权对系统数据备份。 2.4.1.2服务器备份有两个时间段每日凌晨2点自动备份，每日凌晨3点自动冗余备份。硬盘备份时间在每周采用手工备份前一周的数据，填写《商友数据库备份清单》（参见表3），并检查备份数据有效性。 2.4.1.3 IT人员每个正常工作日都要检查自动备份情况，核对备份数据大小。手工备份同样要核对备份数据个数及每日备份大小。 2.4.2 文件服务器 2.4.2.1 文件服务器提供各个部门之间文件的共享，及各个部门内文件共享。系统管理员即该服务器唯一最高权限使用人是IT人员。其他用户登录该服务器的账号，必须由系统管理员输入及保存，不准任何人以任何形式修改登录文件服务器的账号及密码。 2.4.2.2 每月采用手工备份，按日期编辑一个新文件夹进行备份，每次备份时填写《文件服务器数据备份清单》（参见表4）。 2.4.2.3 文件服务器数据手工备份完毕后，应仔细核对文件个数和文件总大小是否一致。 2.4.3对于邮件的备份，应根据部门同事的需求，进行更人性化的本机备份。 2.5信息备份的保存和检查 2.5.1手工备份硬盘应保存在统括部的保险柜里，当需要使用时再取出使用。 2.5.2统括部IT人员应每月检查各类备份资料的情况，并作好检查记录。 2.5.3对于由于备份资料存储介质原因有可能导致备份文件损毁的，或由于各种原因已导致备份资料损毁的，要及时与使用部门联系，共同研究补救方法和措施。 2.5.4商友数据库系统自动备份文件期限是2年，外部介质备份保存期限是5年。OA文件服务器每日自动备份，外部介质保存是3个月。对于到达资料的保存期的备份资料，应在得到相应批准后及时销毁。关于资料和记录的保存期及销毁的要求请参见程序文件《010102-xx杉杉-资料与记录的保存》。 2.5.5 商友服务器硬盘内的自动冗余备份文件每月清除一次，清除内容为上月备份文件。每次清除需填写，《商友服务器硬盘清理清单》（参见表6）。 2.6恢复测试 2.6.1每季度第一个工作日，IT人员测试上月的最新备份数据，将备份数据装回计算机，测试数据是否正确，并在《备份数据测试记录表》（附表5）上填写测试结果，并将该结果提交统括部部长审阅。 2.7数据安全恢复 2.7.1信息系统出现故障时，信息系统使用人员应尽快交IT处理，信息系统使用人员不得擅自处理丢失信息。 2.7.2如果发生数据灾害，需要备份文件用以恢复，由部门申请填写《数据恢复申请单》（附表5），说明申请原因、希望恢复的数据版本或者日期，交部门部长及统括部部长审核，分管领导是否需要修改为总经理？ 审批后，调取备份文件，统括部IT人员配合技术支持做数据恢复，恢复结束后，操作人员将《数据恢复申请单》编号存档，涉及人为破坏的，应调查处置。 2.8 建立《灾难恢复计划》流程文档 2.8.1 为保证公司业务的持续性，避免人为和自然灾害带来的风险，公司应制定《灾难恢复计划》，其具体目标如下： Ø 将系统运行的中断降到最低； Ø 将中断的经济影响降到最低； Ø 预先建立备用操作方法； Ø 培训人员处理紧急过程。 2.8.2 该计划可包括应对以下灾难的恢复操作： 2.8.2.1 自然灾害：指造成公司所在建筑物毁灭性损失的火灾、地震、水灾、地面塌陷等灾害。自然灾害在灾难分类中出现几率最小，但造成损失是最大的。 2.8.2.2 电力故障：指超出UPS承受范围的大范围停电事故，这种长时间的停电会造成业务停止和数据的丢失。 2.8.2.3 通信故障：分为内部网和外部网两种情况，出现通信故障时及时联系IT人员，IT人员根据实际情况作出相应对应。 2.8.2.4 软硬件故障：指外购的系统和应用软件，软硬件故障可能会造成业务停顿甚至瘫痪，造成软件故障的可能原因有：服务器软硬件故障、病毒入侵、客户端软硬件故障等。用户在发现软硬件故障后，立即通知IT人员，IT人员根据实际情况作出相应对应。 3.0流程图（另附） 4.0政策 4.1禁止未经授权人员擅自调整、删除或修改系统中备份数据。 4.2禁止任何信息系统备份及安全恢复经办人员和授权管理人员在执行信息系统备份及恢复过程中不按程序处理业务，并对违反规定的责任人员按照有关奖惩管理程序予以相应的处分。 4.3原则上本制度每年修订一次，遇特殊情况时经授权审批后可随时进行修改。本制度最终解释权归属于总经理办公会。 5.0相关制度及表单 表1——xx杉杉-010403-01 部门备份数据备份清单 表2——xx杉杉-010403-02 企业备份数据清单 表3——xx杉杉-010403-03 商友数据库备份清单 表4——xx杉杉-010403-04 文件服务器数据备份清单 表5——xx杉杉-010403-05 备份数据测试记录表 表6----xx杉杉-010403-06 商友服务器硬盘清理清单 6d29dee7fd1a26a9b8f1fd35d6c59985.doc 5/11 表1：部门备份数据备份清单 序号 部门名称 数据项目 部门联系人 备份时限 备份开始时间 备份介质要求 数据保管人 编制： 审核： 批准： 日期： 日期： 日期： 表2：企业备份数据清单 序号 数据项目 使用部门 部门联系人 备份时限 备份开始时间 备份位置 数据保管人 编制： 审核： 批准： 日期： 日期： 日期： 表3：商友数据库备份清单 序号 数据总大小 数据个数 执行人 备份时间 备份介质 备份存放位置 审核人 审核时间 表4：文件服务器数据备份清单 序号 数据总大小 数据个数 执行人 备份时间 备份介质 备份存放位置 审核人 审核时间 表5：备份数据测试记录表 序号 数据项目 数据大小 备份时间 测试时间 测试结果 执行人 审核人 审核时间 表6：商友服务器硬盘清理清单 序号 清理日期 数据个数 数据大小 备份文件 日期区间 执行人 审核人 审核时间 010403-信息管理-信息备份与安全恢复 11/11