1、PAGE FILENAME 010403-杉井-信息備份與安全恢復(fù).doc 5/11 xxxx購物廣場有限公司內(nèi)部控制系列文件010403 信息備份與安全恢復(fù)xx 版批 準： xx-04-01 發(fā)布 xx-04-01 實施xxxx購物廣場有限公司 1.0目的本程序規(guī)定了公司有關(guān)信息備份及安全恢復(fù)管理方面的具體要求，旨在規(guī)范公司信息系統(tǒng)數(shù)據(jù)備份、備份數(shù)據(jù)更新銷毀及信息恢復(fù)的各項具體工作，確保公司信息系統(tǒng)的集成性、合規(guī)性和效益性，并防范信息備份及安全恢復(fù)過程中的各種潛在風(fēng)險。2.0制度要求2.1信息系統(tǒng)備份及安全恢復(fù)管理程序制定2.1.1公司統(tǒng)括部應(yīng)根據(jù)集團信息備份與安全恢復(fù)管理程序，結(jié)合自身實際

2、情況制定本公司的信息備份與安全恢復(fù)管理制度。2.1.2統(tǒng)括部應(yīng)當會同內(nèi)控人員等，對信息系統(tǒng)用戶進行信息備份及安全恢復(fù)管理知識的培訓(xùn)，并在培訓(xùn)后予以考核。2.2備份數(shù)據(jù)清單2.2.1各部門將本部門需要備份的數(shù)據(jù)清單填到部門數(shù)據(jù)備份表（參見表1）中，然后報送到統(tǒng)括部。2.2.2統(tǒng)括部匯總各部門上報的部門數(shù)據(jù)備份清單，產(chǎn)生企業(yè)數(shù)據(jù)備份清單（參見表2）。2.2.3數(shù)據(jù)備份的范圍應(yīng)包括公司重要性界別高的數(shù)據(jù)，以及各部門認為有必要備份的數(shù)據(jù)，基本范圍如下：商友系統(tǒng)文件和數(shù)據(jù)財務(wù)系統(tǒng)文件和數(shù)據(jù)文件服務(wù)器數(shù)據(jù)其他的公司重要文檔2.3信息備份方式和頻率2.3.1 公司備份有以下備份方式：服務(wù)器備份、移動硬盤備份

3、和優(yōu)盤備份等。2.3.2公司備份采用自動備份和手工備份兩種方式，商友信息系統(tǒng)和財務(wù)系統(tǒng)備份頻率是每日自動備份。2.3.3信息備份頻率應(yīng)按以下原則確定：最優(yōu)化使用存儲空間信息完整信息安全2.4信息備份過程2.4.1商友系統(tǒng)管理2.4.1.1商友系統(tǒng)是公司最主要的業(yè)務(wù)系統(tǒng)，只有系統(tǒng)管理員有權(quán)對系統(tǒng)數(shù)據(jù)備份。2.4.1.2服務(wù)器備份有兩個時間段每日凌晨2點自動備份，每日凌晨3點自動冗余備份。硬盤備份時間在每周采用手工備份前一周的數(shù)據(jù)，填寫商友數(shù)據(jù)庫備份清單（參見表3），并檢查備份數(shù)據(jù)有效性。2.4.1.3 IT人員每個正常工作日都要檢查自動備份情況，核對備份數(shù)據(jù)大小。手工備份同樣要核對備份數(shù)據(jù)個數(shù)及

4、每日備份大小。2.4.2 文件服務(wù)器2.4.2.1 文件服務(wù)器提供各個部門之間文件的共享，及各個部門內(nèi)文件共享。系統(tǒng)管理員即該服務(wù)器唯一最高權(quán)限使用人是IT人員。其他用戶登錄該服務(wù)器的賬號，必須由系統(tǒng)管理員輸入及保存，不準任何人以任何形式修改登錄文件服務(wù)器的賬號及密碼。2.4.2.2 每月采用手工備份，按日期編輯一個新文件夾進行備份，每次備份時填寫文件服務(wù)器數(shù)據(jù)備份清單（參見表4）。2.4.2.3 文件服務(wù)器數(shù)據(jù)手工備份完畢后，應(yīng)仔細核對文件個數(shù)和文件總大小是否一致。2.4.3對于郵件的備份，應(yīng)根據(jù)部門同事的需求，進行更人性化的本機備份。2.5信息備份的保存和檢查2.5.1手工備份硬盤應(yīng)保存在

5、統(tǒng)括部的保險柜里，當需要使用時再取出使用。2.5.2統(tǒng)括部IT人員應(yīng)每月檢查各類備份資料的情況，并作好檢查記錄。2.5.3對于由于備份資料存儲介質(zhì)原因有可能導(dǎo)致備份文件損毀的，或由于各種原因已導(dǎo)致備份資料損毀的，要及時與使用部門聯(lián)系，共同研究補救方法和措施。2.5.4商友數(shù)據(jù)庫系統(tǒng)自動備份文件期限是2年，外部介質(zhì)備份保存期限是5年。OA文件服務(wù)器每日自動備份，外部介質(zhì)保存是3個月。對于到達資料的保存期的備份資料，應(yīng)在得到相應(yīng)批準后及時銷毀。關(guān)于資料和記錄的保存期及銷毀的要求請參見程序文件010102-xx杉杉-資料與記錄的保存。2.5.5 商友服務(wù)器硬盤內(nèi)的自動冗余備份文件每月清除一次，清除內(nèi)

6、容為上月備份文件。每次清除需填寫，商友服務(wù)器硬盤清理清單（參見表6）。2.6恢復(fù)測試2.6.1每季度第一個工作日，IT人員測試上月的最新備份數(shù)據(jù)，將備份數(shù)據(jù)裝回計算機，測試數(shù)據(jù)是否正確，并在備份數(shù)據(jù)測試記錄表（附表5）上填寫測試結(jié)果，并將該結(jié)果提交統(tǒng)括部部長審閱。2.7數(shù)據(jù)安全恢復(fù)2.7.1信息系統(tǒng)出現(xiàn)故障時，信息系統(tǒng)使用人員應(yīng)盡快交IT處理，信息系統(tǒng)使用人員不得擅自處理丟失信息。2.7.2如果發(fā)生數(shù)據(jù)災(zāi)害，需要備份文件用以恢復(fù)，由部門申請?zhí)顚憯?shù)據(jù)恢復(fù)申請單（附表5），說明申請原因、希望恢復(fù)的數(shù)據(jù)版本或者日期，交部門部長及統(tǒng)括部部長審核，分管領(lǐng)導(dǎo)是否需要修改為總經(jīng)理？審批后，調(diào)取備份文件，統(tǒng)括

7、部IT人員配合技術(shù)支持做數(shù)據(jù)恢復(fù)，恢復(fù)結(jié)束后，操作人員將數(shù)據(jù)恢復(fù)申請單編號存檔，涉及人為破壞的，應(yīng)調(diào)查處置。2.8 建立災(zāi)難恢復(fù)計劃流程文檔 2.8.1 為保證公司業(yè)務(wù)的持續(xù)性，避免人為和自然災(zāi)害帶來的風(fēng)險，公司應(yīng)制定災(zāi)難恢復(fù)計劃，其具體目標如下：將系統(tǒng)運行的中斷降到最低；將中斷的經(jīng)濟影響降到最低；預(yù)先建立備用操作方法；培訓(xùn)人員處理緊急過程。2.8.2 該計劃可包括應(yīng)對以下災(zāi)難的恢復(fù)操作：2.8.2.1 自然災(zāi)害：指造成公司所在建筑物毀滅性損失的火災(zāi)、地震、水災(zāi)、地面塌陷等災(zāi)害。自然災(zāi)害在災(zāi)難分類中出現(xiàn)幾率最小，但造成損失是最大的。2.8.2.2 電力故障：指超出UPS承受范圍的大范圍停電事故

8、，這種長時間的停電會造成業(yè)務(wù)停止和數(shù)據(jù)的丟失。2.8.2.3 通信故障：分為內(nèi)部網(wǎng)和外部網(wǎng)兩種情況，出現(xiàn)通信故障時及時聯(lián)系IT人員，IT人員根據(jù)實際情況作出相應(yīng)對應(yīng)。2.8.2.4 軟硬件故障：指外購的系統(tǒng)和應(yīng)用軟件，軟硬件故障可能會造成業(yè)務(wù)停頓甚至癱瘓，造成軟件故障的可能原因有：服務(wù)器軟硬件故障、病毒入侵、客戶端軟硬件故障等。用戶在發(fā)現(xiàn)軟硬件故障后，立即通知IT人員，IT人員根據(jù)實際情況作出相應(yīng)對應(yīng)。3.0流程圖（另附）4.0政策4.1禁止未經(jīng)授權(quán)人員擅自調(diào)整、刪除或修改系統(tǒng)中備份數(shù)據(jù)。4.2禁止任何信息系統(tǒng)備份及安全恢復(fù)經(jīng)辦人員和授權(quán)管理人員在執(zhí)行信息系統(tǒng)備份及恢復(fù)過程中不按程序處理業(yè)務(wù)，

9、并對違反規(guī)定的責(zé)任人員按照有關(guān)獎懲管理程序予以相應(yīng)的處分。4.3原則上本制度每年修訂一次，遇特殊情況時經(jīng)授權(quán)審批后可隨時進行修改。本制度最終解釋權(quán)歸屬于總經(jīng)理辦公會。5.0相關(guān)制度及表單表1xx杉杉-010403-01 部門備份數(shù)據(jù)備份清單表2xx杉杉-010403-02 企業(yè)備份數(shù)據(jù)清單表3xx杉杉-010403-03 商友數(shù)據(jù)庫備份清單表4xx杉杉-010403-04 文件服務(wù)器數(shù)據(jù)備份清單表5xx杉杉-010403-05 備份數(shù)據(jù)測試記錄表表6xx杉杉-010403-06 商友服務(wù)器硬盤清理清單PAGE 010403-信息管理-信息備份與安全恢復(fù) 11/11表1：部門備份數(shù)據(jù)備份清單序號部門名稱數(shù)據(jù)項目部門聯(lián)系人備份時限備份開始時間備份介質(zhì)要求數(shù)據(jù)保管人編制： 審核： 批準： 日期： 日期： 日期：表2：企業(yè)備份數(shù)據(jù)清單 序號數(shù)據(jù)項目使用部門部門聯(lián)系人備份時限備份開始時間備份位置數(shù)據(jù)保管人編制： 審核： 批準： 日期： 日期： 日期：表3：商友數(shù)據(jù)庫備份清單序號數(shù)據(jù)總大小數(shù)據(jù)個數(shù)執(zhí)行人備份時間備份介質(zhì)備份存