數(shù)據(jù)備份與恢復(fù)管理規(guī)范

第一條  為規(guī)范公司電子數(shù)據(jù)備份與恢復(fù)管理工作，合理存儲歷史數(shù)據(jù)及保證數(shù)據(jù)的安全性，保證信息的數(shù)據(jù)可靠性，保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)的完整性和可用性，，保障公司正常的知識產(chǎn)權(quán)利益和技術(shù)資料的儲備，對重要信息實施備份保護(hù)；防止因硬件故障、意外斷電、病毒等因素造成數(shù)據(jù)的丟失，并在信息被損壞或丟失時能夠及時恢復(fù)，使用備份數(shù)據(jù)恢復(fù)被損壞或丟失的業(yè)務(wù)數(shù)據(jù)，特制訂本規(guī)范。

第二條  本規(guī)范適用于公司電子信息系統(tǒng)的數(shù)據(jù)備份與管理，公司項目管理部承擔(dān)了電子數(shù)據(jù)備份與恢復(fù)工作，因此，負(fù)責(zé)本規(guī)范的執(zhí)行。

第三條  定義  

3.1 電子數(shù)據(jù)：也稱數(shù)據(jù)電文，是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接 收或者儲存的信息。  

3.2 電子簽名：是指電子數(shù)據(jù)中以電子形式所含、所附用于識別簽名人身份并表明簽 名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。  

3.3 數(shù)據(jù)審計跟蹤：是一系列有關(guān)計算機(jī)操作系統(tǒng)、應(yīng)用程序及用戶操作等事件的記 錄，用以幫助從原始數(shù)據(jù)追蹤到有關(guān)的記錄、報告或事件，或從記錄、報告、事件追溯到原始數(shù)據(jù)。  

3.4 數(shù)據(jù)可靠性：是指數(shù)據(jù)的準(zhǔn)確性和可靠性，用于描述存儲的所有數(shù)據(jù)值均處于客 觀真實的狀態(tài)。

第四條  研究院分析所的電子數(shù)據(jù)一般來源于電子系統(tǒng)，數(shù)據(jù)采集、修改、備份、恢復(fù)和管 理均由質(zhì)量管理部授權(quán)的系統(tǒng)管理員（系統(tǒng)管理員擔(dān)任）、分析所所長和檢驗員完成；為確保電子數(shù)據(jù)的真實、有效，針對不同的人員，授權(quán)操作，設(shè)置相應(yīng)的訪問權(quán)限。

第五條  一級管理員（系統(tǒng)管理員擔(dān)任）：經(jīng)質(zhì)量管理部負(fù)責(zé)人授權(quán)的人員，具有系統(tǒng) 的所有訪問權(quán)限。有權(quán)建立二級管理員和三級管理員賬戶，如電腦系統(tǒng)時間、系統(tǒng)日志、操作員權(quán)限、增減登錄帳戶和初始登錄帳戶密碼等，對所有使用的應(yīng)用軟件進(jìn)行進(jìn)行原名稱安裝、修復(fù)、備份和卸載，必須使用和驗證應(yīng)用軟件為儀器供應(yīng)商提供的正版軟件，保留證書，重裝和更換電腦、系統(tǒng)升級應(yīng)進(jìn)行風(fēng)險評估，通過質(zhì)量管理部門批準(zhǔn)；對系統(tǒng)和應(yīng)用軟件采集的電子數(shù)據(jù)進(jìn)行備份和恢復(fù)，對下級人員沒有權(quán)限的內(nèi)容設(shè)置成灰色不能使用，下級人員沒有刪除和修改、復(fù)制和粘貼、剪切和轉(zhuǎn)移、備份和重命名權(quán)限。定期校驗，并對重要操作進(jìn)行復(fù)核和審核。

第六條  二級管理員（分析所所長），經(jīng)質(zhì)量管理部負(fù)責(zé)人授權(quán)后，有權(quán)登錄系統(tǒng)， 進(jìn)入中心分析所負(fù)責(zé)人帳戶，在該帳戶內(nèi)建立操作員（QC）各種應(yīng)用軟件操作員帳戶，開啟應(yīng)用軟件審計追蹤功能，建立、修改方法和應(yīng)用軟件系統(tǒng)參數(shù)。建立儀器配置、應(yīng)用軟件產(chǎn)生的文件名稱、保存路徑、分析指標(biāo)的設(shè)置、使用、操作員（QC）修改的權(quán)限；進(jìn)行分析方法、序列文件、打印設(shè)置的建立，對操作員、復(fù)核員進(jìn)行電子數(shù)據(jù)管理和操作培訓(xùn)，確保操作員（QC）、復(fù)核員（輔助操作員）可正常操作并對其進(jìn)行監(jiān)督管理，所有的一切活動經(jīng)系統(tǒng)管理員復(fù)核和審核，并均有記錄。

第七條  三級管理員（分析所QC擔(dān)任），有權(quán)登錄系統(tǒng)，進(jìn)入操作員帳戶，使用應(yīng)用軟件 程序，調(diào)用方法文件，對儀器設(shè)備進(jìn)行在線和離線（脫機(jī)）操作，采集數(shù)據(jù)，并進(jìn)行保存或打印，在取得上一級同意后，可修改部分方法條件設(shè)置，經(jīng)審核和復(fù)核后，方可使用，并做好修改記錄。

第八條  三級管理員（復(fù)核員輔助操作員），進(jìn)入系統(tǒng)后，登入復(fù)核員帳戶，只可對應(yīng)用軟 件進(jìn)行方法、數(shù)據(jù)、設(shè)置的查看，對操作人員的工作數(shù)據(jù)進(jìn)行復(fù)核。不能進(jìn)行任何在線操作，如修改數(shù)據(jù)、操作儀器等。并對一切活動進(jìn)行記錄。

第九條  一級管理員、二級管理員、三級管理員、四級管理員如果離開本崗位或不再具有 該工作職責(zé)，質(zhì)量監(jiān)督管理部應(yīng)立即取消取對其授權(quán)，并進(jìn)行變更。

第十條  數(shù)據(jù)備份的基本要求：

（一） 每日對基本業(yè)務(wù)信息進(jìn)行增量備份；

（二） 備份應(yīng)用軟件的各個版本；

（三） 在遠(yuǎn)程地點(diǎn)有最低限度的備份信息；

（四） 每月檢查存儲介質(zhì)，保證在進(jìn)行災(zāi)難恢復(fù)時備份可用。

第十一條   數(shù)據(jù)備份操作流程如下：

圖1 系統(tǒng)備份操作流程

（一） 信息識別。確定需要備份的電子數(shù)據(jù)，主要包括信息資產(chǎn)的名稱、重要性、資產(chǎn)的保護(hù)級別等屬性，填寫《信息備份識別清單》。需要檢查的信息資產(chǎn)可能包括：

1. 業(yè)務(wù)服務(wù)器上運(yùn)行的應(yīng)用系統(tǒng)軟件源代碼；

2. 數(shù)據(jù)庫結(jié)構(gòu)（表結(jié)構(gòu)、存儲過程、視圖、索引、函數(shù)等）；

3. 業(yè)務(wù)運(yùn)作數(shù)據(jù)；

4. 系統(tǒng)配置參數(shù)；

5. 日志文件等。

（二） 制定備份計劃。根據(jù)資產(chǎn)識別的《信息備份識別清單》，制定《信息備份計劃》，選擇合適的備份方式與周期。備份計劃具體包括：

1. 確定備份周期：根據(jù)信息更新速度，易損壞程度，及備份媒體的有效期，確定備份周期。另外，在每次重大行動之前以及每年年底，需備份。

2. 備份介質(zhì)類型：確定備份使用的媒體。

3. 備份方式：一般要采用復(fù)制，雙系統(tǒng)同步，轉(zhuǎn)儲，壓縮復(fù)制等。

4. 備份工具：備份使用的工具，如光盤刻錄機(jī)，復(fù)印機(jī)，軟驅(qū)，壓縮軟件，選擇工具時，要確定在信息失效之前，對應(yīng)的恢復(fù)工具可用。

5. 份數(shù)：確定備份的數(shù)量，一般信息備份一份即可，對于特別重要的信息需要根據(jù)實際情況備份多份。

6. 存放位置：備份信息一般應(yīng)與原始信息盡量分開存放，要根據(jù)信息安全級別有相應(yīng)的安全措施。

7. 責(zé)任人：確定備份的責(zé)任人。

（三） 執(zhí)行《信息備份計劃》。對于分散的信息整理、歸類；執(zhí)行備份程序，檢查備份數(shù)據(jù)的可用性；清理過程中的臨時數(shù)據(jù)。

（四） 備份存放。備份完畢，系統(tǒng)管理員須提交備份結(jié)果，包括：備份使用的媒體，備份過程中的相關(guān)文件，如：備份恢復(fù)工具或軟件、備份恢復(fù)指導(dǎo)書等；將備份媒體保存到《信息備份計劃》中指定的位置，一般要按時間順序存放。媒體的存儲主要考慮以下幾個方面：

1. 對業(yè)務(wù)影響重大的關(guān)鍵備份媒體要異地存儲，以避免主要場地發(fā)生災(zāi)難時損壞備份媒體。

2. 分配專人對備份媒體進(jìn)行管理，對備份媒體的訪問進(jìn)行控制。

（五） 備份測試。對備份的信息，定期抽樣檢查與測試。每種備份媒體類型，一次抽檢二個以上。每次抽檢時，要選擇與上次抽檢不同的媒體。

（六） 備份恢復(fù)。當(dāng)重要信息被篡改、破壞或丟失時，使用備份數(shù)據(jù)恢復(fù)信息，按照數(shù)據(jù)恢復(fù)的相關(guān)流程執(zhí)行數(shù)據(jù)的恢復(fù)。

第十二條  使用備份數(shù)據(jù)恢復(fù)被損壞或丟失的業(yè)務(wù)數(shù)據(jù)，保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)的完整性和可用性；系統(tǒng)管理員負(fù)責(zé)對數(shù)據(jù)恢復(fù)操作的執(zhí)行。

第十三條  數(shù)據(jù)恢復(fù)操作流程：

圖2 數(shù)據(jù)恢復(fù)操作流程

（一） 數(shù)據(jù)恢復(fù)申請。系統(tǒng)管理人員發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)有損壞或丟失，需要及時地進(jìn)行數(shù)據(jù)恢復(fù)的操作時，須向主管領(lǐng)導(dǎo)提出數(shù)據(jù)恢復(fù)申請，審批通過后應(yīng)制定《數(shù)據(jù)恢復(fù)解決方案》，并填寫《數(shù)據(jù)恢復(fù)記錄》。

（二） 申請審批。系統(tǒng)管理員應(yīng)將《數(shù)據(jù)恢復(fù)解決方案》提交主管領(lǐng)導(dǎo)審批，審批通過后方可實施數(shù)據(jù)恢復(fù)。

（三） 實施數(shù)據(jù)恢復(fù)。系統(tǒng)管理員按照恢復(fù)方案進(jìn)行數(shù)據(jù)恢復(fù)操作。實施數(shù)據(jù)恢復(fù)過程須做到：

1. 應(yīng)保證至少兩人在現(xiàn)場，以確?；謴?fù)操作正確無誤；

2. 恢復(fù)時間根據(jù)具體的情況而定；

3. 恢復(fù)過程完成之后，系統(tǒng)管理人員要填寫《數(shù)據(jù)恢復(fù)記錄》中的恢復(fù)過程及結(jié)果（成功與否）。

（四） 結(jié)果檢查。

1. 數(shù)據(jù)恢復(fù)成功。由業(yè)務(wù)系統(tǒng)主管領(lǐng)導(dǎo)組織人員對恢復(fù)之后的數(shù)據(jù)進(jìn)行檢查，檢查人員在確定數(shù)據(jù)恢復(fù)無誤后，填寫《數(shù)據(jù)恢復(fù)記錄》中檢查結(jié)果部分。

2. 數(shù)據(jù)恢復(fù)不成功。系統(tǒng)管理員必須上報告業(yè)務(wù)系統(tǒng)主管領(lǐng)導(dǎo)，然后會同相關(guān)人員制訂新的數(shù)據(jù)恢復(fù)解決方案，直至問題的解決。

第十四條  本規(guī)范由公司項目管理部負(fù)責(zé)解釋。

第十五條  本規(guī)范自2015年12月1日起施行。

1.信息備份識別清單

2.信息備份計劃

3.數(shù)據(jù)恢復(fù)記錄

信息備份識別清單

編號：

信息備份計劃

編號：

數(shù)據(jù)恢復(fù)記錄

編號：