1、ER陳統(tǒng)數(shù)據(jù)備份及訪問(wèn)權(quán)限管理辦法目的為進(jìn)一步規(guī)范公司 ERP 數(shù)據(jù)管理工作，合理存儲(chǔ)企業(yè)經(jīng)營(yíng)歷史數(shù)據(jù)并保證數(shù)據(jù)的安全性，防止因硬件故障、意外斷電、病毒等因素造成數(shù)據(jù)的丟失，保障公司正常的財(cái)務(wù)數(shù)據(jù)儲(chǔ)備，特制定本管理辦法。適用范圍本管理辦法適用于我公司ERP系統(tǒng)的數(shù)據(jù)備份及訪問(wèn)權(quán)限管理工作。術(shù)語(yǔ)和定義ERP數(shù)據(jù)備份：指白是用戶將ER啖據(jù)貯存起來(lái)，用于數(shù)據(jù)恢復(fù)時(shí)使用。A、包括ERP系統(tǒng)文件；B、ER啖據(jù)庫(kù)（各帳套和各模塊）；C、ERP系統(tǒng)相關(guān)應(yīng)用程序。 移動(dòng)硬盤(pán)：是以硬盤(pán)為存儲(chǔ)介質(zhì)，計(jì)算機(jī)之間交換大容量數(shù)據(jù)，強(qiáng)調(diào)便攜性的存儲(chǔ)產(chǎn)品。ERP 訪問(wèn)權(quán)限：根據(jù)公司人員崗位職責(zé)，角色訪問(wèn)權(quán)限須由該崗位的部門(mén)

2、經(jīng)理申請(qǐng)，部門(mén)直屬高管批準(zhǔn)，財(cái)務(wù)總監(jiān)或其授權(quán)的ER啖據(jù)管理員復(fù)核訪問(wèn)權(quán)限的匹配性，財(cái)務(wù)總監(jiān)分配ERP訪問(wèn)權(quán)限。信息處理設(shè)備：ERP服務(wù)器、移動(dòng)硬盤(pán)信息資產(chǎn)密級(jí)管理：企業(yè)秘密事項(xiàng)（秘密）級(jí)別保存年限：永久備份類型： ERP 系統(tǒng)數(shù)據(jù)的備份包括定期備份和臨時(shí)備份兩種。定期備份指按照規(guī)定的日期定期對(duì)數(shù)據(jù)進(jìn)行備份；臨時(shí)備份指在特殊情況（如軟件升級(jí)、設(shè)備更換、外部審計(jì)需求、感染病毒等）下，臨時(shí)對(duì)信息數(shù)據(jù)進(jìn)行備份。職責(zé)和權(quán)限財(cái)務(wù)總監(jiān)負(fù)責(zé)ERP數(shù)據(jù)備份活動(dòng)請(qǐng)求的審批、管理和監(jiān)督；負(fù)責(zé)數(shù)據(jù)備份存儲(chǔ)介質(zhì)使用需求的審批；負(fù)責(zé)監(jiān)督數(shù)據(jù)備份的執(zhí)行情況及存儲(chǔ)介質(zhì)的保管執(zhí)行情況；負(fù)責(zé)分配ER陽(yáng)問(wèn)授權(quán)權(quán)限ERP 數(shù)據(jù)管理員

3、ERP數(shù)據(jù)管理員由總經(jīng)理指定，負(fù)責(zé)年度、季度、月度定期ERP系統(tǒng)數(shù)據(jù)備份活動(dòng)的操作及介質(zhì)保管工作。定期對(duì)數(shù)據(jù)庫(kù)的操作日志及本地自動(dòng)備份日志進(jìn)行檢查。如果發(fā)現(xiàn)異常，及時(shí)進(jìn)行分析解決。負(fù)責(zé)在對(duì)數(shù)據(jù)備份操作記錄的備案登記。網(wǎng)絡(luò)管理員負(fù)責(zé)ERP服務(wù)器的硬件維護(hù)，磁盤(pán)空間維護(hù)，進(jìn)行物理邊界保護(hù)。人力資源人力資源部應(yīng)將人事變動(dòng)情況及時(shí)通知至訪問(wèn)授權(quán)實(shí)施部門(mén)進(jìn)行權(quán)限設(shè)置更改。公司ERP數(shù)據(jù)系統(tǒng)涉及的各業(yè)務(wù)部門(mén)公司ERP涉及的各業(yè)務(wù)部門(mén)在發(fā)生重大信息安全事件或?yàn)?zāi)難時(shí)，負(fù)責(zé)保護(hù)本部門(mén)使用的信息系統(tǒng)及業(yè)務(wù)數(shù)據(jù)，及時(shí)恢復(fù)中斷的業(yè)務(wù)活動(dòng)。ERP數(shù)據(jù)輸出作業(yè)流程編制需求申請(qǐng)凡有ERP系統(tǒng)數(shù)據(jù)輸出需求的部門(mén)和人員必須提前

4、編制需求申請(qǐng)，寫(xiě)明緣由和使用 時(shí)間范圍。數(shù)據(jù)提取中的申請(qǐng)、審批、操作及檢查工作需分別由不同人員承擔(dān)。即部門(mén)經(jīng)理申請(qǐng)、財(cái)務(wù)總監(jiān)審批、ERP數(shù)據(jù)管理員進(jìn)行操作，財(cái)務(wù)總監(jiān)在交付前檢查，提取權(quán)限應(yīng)按照規(guī) 范通過(guò)系統(tǒng)設(shè)定分配指定人員。提取出的數(shù)據(jù)只能發(fā)放給申請(qǐng)人， 不能發(fā)放給其他人員。 對(duì)存放數(shù)據(jù)的介質(zhì)， 確保只 有授權(quán)人員能夠訪問(wèn)?？梢苿?dòng)數(shù)據(jù)存儲(chǔ)介質(zhì)管理臨時(shí)、短期數(shù)據(jù)存儲(chǔ)必須使用性能可靠、數(shù)據(jù)安全有保證、內(nèi)存 2T或更大的USBf妾 口品牌移動(dòng)硬盤(pán)進(jìn)行保存。存儲(chǔ)數(shù)據(jù)的介質(zhì)必須放在公司專用保險(xiǎn)柜中，鑰匙由ERP數(shù)據(jù)管理員保管，非授權(quán)人員不得訪問(wèn)。數(shù)據(jù)備份安全要求本公司ERP使用遠(yuǎn)程登錄技術(shù)保證通信線路中

5、傳輸數(shù)據(jù)的完整性和保密性，使用遠(yuǎn)程桌面、SSH方式實(shí)現(xiàn)聯(lián)機(jī)互訪。主要采用隧道技術(shù)、加解密技術(shù)和使用者與設(shè)備身份認(rèn)證 技術(shù)。遠(yuǎn)程桌面登錄密碼及 ERP系統(tǒng)注冊(cè)密碼由財(cái)務(wù)總監(jiān)和ER啖據(jù)管理員備案，非授權(quán)人員不得登錄。備份方案采取本地觸發(fā)自動(dòng)備份與異地手動(dòng)人工備份兩種方式同時(shí)進(jìn)行；數(shù)據(jù)備份范圍及周期要求異地封存型備份：在上一個(gè)年度審計(jì)結(jié)束后的4月1日進(jìn)行上一年度的從 ERP建立初始數(shù)據(jù)至上一年度12月 31日各帳套的備份，存儲(chǔ)移動(dòng)硬盤(pán)， 該介質(zhì)作為檔案封存式管理， 除每年 4月 1 日啟用備份程序外，其余時(shí)間不得動(dòng)用。異地輔助型備份：在上一個(gè)年度審計(jì)結(jié)束后的 4月 1 日進(jìn)行從上一年度1月 1日至

6、12月31日帳套的備份，存儲(chǔ)移動(dòng)硬盤(pán)，做為檔案隨年度進(jìn)行封存， 另一份備份至移動(dòng)硬盤(pán)， 該介 質(zhì)作為內(nèi)部和外部使用管理。異地時(shí)時(shí)型備份：當(dāng)年度ERP各帳套數(shù)據(jù)，按照每季度備份一次，當(dāng)次備份覆蓋上一季度的備份， 該介質(zhì)作為應(yīng)急預(yù)案管理， 在發(fā)生重大信息安全事件或?yàn)?zāi)難時(shí)， 及時(shí)恢復(fù)中 斷當(dāng)期的ERP業(yè)務(wù)活動(dòng)。本地自動(dòng)型備份：進(jìn)入ERP服務(wù)器系統(tǒng)管理，通過(guò)系統(tǒng)注冊(cè)登錄界面，通過(guò)設(shè)置備份計(jì)劃， 在服務(wù)器上設(shè)置每一周自動(dòng)備份， 此備份為覆蓋型備份， 每季度應(yīng)定期檢查本地自動(dòng)型備份日志及備份數(shù)據(jù)的有效性。備份標(biāo)識(shí)及定期檢查盤(pán)面需標(biāo)明刻錄日期、 年度范圍及版本號(hào)， 例如“2013年1月 1日到2013年12

7、月31 日數(shù)據(jù)備份 -版本 0-2013 年12月 31日制” ?；趥浞輸?shù)據(jù)的安全性及穩(wěn)定性， 需對(duì)封存型和輔助型備份存儲(chǔ)介質(zhì)進(jìn)行每年一次的定期檢查，對(duì)時(shí)時(shí)型和自動(dòng)型備份的存儲(chǔ)介質(zhì)進(jìn)行每3個(gè)月一次定期檢查，確保安全可用。內(nèi)部使用每次備份工作由ERP數(shù)據(jù)管理員發(fā)起，需按ERP系統(tǒng)數(shù)據(jù)備份記錄表要求，詳細(xì)填寫(xiě)相關(guān)信息、記錄備份明細(xì)，并由財(cái)務(wù)總監(jiān)統(tǒng)一保管。具有輸出需求的部門(mén)和人員，必須編制需求申請(qǐng)，經(jīng)由部門(mén)直屬高管簽字后，由財(cái)務(wù)總監(jiān)審批， 并在網(wǎng)絡(luò)管理員親自或陪同監(jiān)督下進(jìn)行， 相關(guān)工作參與人員出入機(jī)房不可隨身攜帶U盤(pán)、手機(jī)、私人移動(dòng)硬盤(pán)等存儲(chǔ)介質(zhì)或具備存儲(chǔ)功能的物品，嚴(yán)格按 ISO27001規(guī)范

8、進(jìn)行操作。每次數(shù)據(jù)備份確保不影響公司其他工作，并保證備份數(shù)據(jù)完整有效。外部使用ERP 系統(tǒng)數(shù)據(jù)的備份存儲(chǔ)介質(zhì)不得擅自借用、不得帶離公司，如確有需求，需編制需求申請(qǐng)寫(xiě)明需求緣由經(jīng)我公司財(cái)務(wù)總監(jiān)簽字審批后執(zhí)行。如外部審計(jì)人員有數(shù)據(jù)需求，必須編制需求申請(qǐng)，經(jīng)由我公司財(cái)務(wù)總監(jiān)簽字確認(rèn)后在網(wǎng)絡(luò)管理員親自或陪同監(jiān)督下進(jìn)行， 工作進(jìn)行前需對(duì)審計(jì)人員存儲(chǔ)介質(zhì)嚴(yán)格檢查， 避免在備份過(guò)程中發(fā)生病毒傳播等危險(xiǎn)。如系統(tǒng)維護(hù)需數(shù)據(jù)還原或?qū)?，必須編制需求申?qǐng)，經(jīng)由財(cái)務(wù)總監(jiān)簽字確認(rèn)后在網(wǎng)絡(luò)管理員親自或陪同監(jiān)督下進(jìn)行，操作過(guò)程需全程跟蹤監(jiān)控，直至維護(hù)完畢。失效處理期間如發(fā)現(xiàn)存儲(chǔ)介質(zhì)損壞或備份數(shù)據(jù)丟失，及時(shí)進(jìn)行冗余處理，并將損壞存儲(chǔ)介質(zhì)徹底清除，確保數(shù)據(jù)消亡。備份工作記錄對(duì)于異地人工備份應(yīng)填寫(xiě)重要信息備份記錄 ，信息備份的登記記錄應(yīng)由財(cái)務(wù)總監(jiān) 保存。ERP權(quán)限訪問(wèn)由于用戶變換崗位等原因造成訪問(wèn)權(quán)限變更時(shí)，用戶應(yīng)重新填寫(xiě)用戶授權(quán)申請(qǐng)表 ， 履行授權(quán)手續(xù)。對(duì)發(fā)生以下情況對(duì)其訪問(wèn)權(quán)應(yīng)從系統(tǒng)中予以注銷：內(nèi)部用戶雇傭合同終止時(shí)；內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問(wèn)服務(wù)時(shí)；第三方訪問(wèn)合同終止時(shí)；其它情況必須注銷時(shí)。相關(guān)文件文件控制程序ISMS-B-03記錄控制程序ISMS-B-0