ISMS-02-22-V1.0 数据备份与恢复管理规定

数据备份与恢复管理规定

第一章 总则

第一条 目的

为规范思度安全运营中心生产相关数据的备份和恢复管理，确保备份数据的可用性、完整性和保密性，保障业务连续性，特制定本规定。

第二条 适用范围

本规定适用于思度安全运营中心职责范围内有关数据备份、恢复以及备份数据日常管理的相关活动。

第三条 数据备份范围

根据数据用途，需要实施备份的数据包括：业务数据、应用程序、系统软件、硬件设备数据等。

第四条 业务数据

指生产系统产生的数据对象以及相关交易记录的统称；应用程序是指操作系统上运行的、为业务活动直接提供支撑的联机程序、批量程序及其配置参数的统称；系统软件是指操作系统、中间件、数据库等软件及其配置参数和相关日志文件的统称；硬件设备数据是指硬件设备的配置文件等。

第二章 组织与职责

第五条 思度安全运营中心风险管理组

负责监督各部门有关数据备份与恢复工作的执行情况，检查备份数据的管理情况。

第六条 各部门安全组

负责监督和检查本部门有关数据备份与恢复工作的执行情况。

第七条 运维中心

负责组织分析确定备份数据的重要程度。

第八条 各部门

负责职责范围内相关数据备份和介质管理，定期实施备份介质的有效性测试，并进行自查。

第三章 数据的备份

第九条 备份策略

各部门应根据信息系统交付时的备份要求制定业务数据的备份策略，对口部门根据策略的要求定期执行备份操作和备份介质有效性测试；其他数据应由各相关部门根据数据的重要性制订《数据备份策略》和《数据恢复策略》并遵照执行。 《数据备份策略》应包括：备份对象、责任人、操作步骤、频率、方式、存储介质、命名规则、保存期以及有效性测试周期等； 《数据恢复策略》应包括：责任人、触发条件、操作步骤等。

第十条 策略报备

思度安全运营中心各部门制订备份和恢复策略后，报思度安全运营中心备案。

第十一条 备份记录

各部门实施数据备份时，必须严格按照备份策略执行，备份后应记录其实施情况。

第十二条 备份数据防护

备份数据必须保证唯一性标识，并根据其重要程度，设定相应的访问权限和授权范围，防止非法变更、泄露或破坏。

第十三条 异地备份

核心系统的业务数据及系统配置信息的备份应至少保留两份，一份为本地备份、一份为异地备份。

第十四条 可恢复验证

各部门应根据备份策略定期对备份介质进行测试，确保备份介质内的数据可恢复，并填写《数据备份介质有效性测试报告》。

第十五条 检查与更新备份策略

各部门应定期对备份策略或或恢复策略进行检查，当备份策略或恢复策略包含的要素发生变化时，各部门应及时对备份策略或恢复策略内容进行调整。

第四章 备份数据的管理

第十六条 备份数据存储管理

备份数据应存储在访问受控的专用存储设备或者存储介质中，各部门应安排专人管理备份数据的存储设备或介质。

第十七条 备份的物理环境保障措施

专用备份设备的物理环境应具有必要的保障措施，包括防磁、防水、防火等，人员出入应受到控制；专用备份设备的逻辑访问权限应进行严格的管理。

第十八条 保存环境要求

备份介质应安全保存，且与数据生成源隔离；备份介质的保存环境应具有必要的保障措施，包括适宜的温湿度、防磁、防水、防火、防潮等。

第十九条 备份介质标识

各部门应明确标识备份介质，应根据备份策略统一命名，进行唯一性标识。

第二十条 备份数据使用审批流程

调用备份数据时，应得到审批，并进行登记。

第二十一条 归还备份介质

备份数据在使用完毕后，应及时归还备份介质、登记并放回原处。

第五章 数据的恢复

第二十二条 恢复前备份

为避免数据丢失，数据恢复前应对现有环境的数据进行备份。

第二十三条 正确调用备份介质

操作人员在进行数据恢复前，应核实介质的唯一性标识，正确调用相应的备份介质。

第二十四条 制定恢复计划

执行数据恢复时，应根据恢复策略制定合理的操作计划，操作计划应包括完整的操作步骤；操作计划通过变更管理流程的审批后及时执行；数据恢复的所有操作均应有记录，并由操作人签字确认。

第二十五条 恢复失败处置

遇到恢复失败等意外情况时应及时与部门负责人及相关技术支持人员联系。

第六章 监督和检查

第二十六条 定期符合性自查

各部门应定期进行数据备份与恢复管理工作的符合性自查。

第二十七条 执行检查

思度安全运营中心风险管理组对数据备份与恢复管理工作的执行情况进行检查，并监督相关责任部门开展整改落实工作。

第七章 附则

本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效。 记录 《数据备份策略》 《数据恢复策略》 《数据备份介质有效性测试报告》