当前位置：文档库 › 重要信息备份管理程序

重要信息备份管理程序

德信诚培训网

更多免费资料下载请进：https://www.wendangku.net/doc/b05497658.html, 好好学习社区

重要信息备份管理程序

1 适用

本程序适用于本公司重要数据及软件的备份管理。

2 目的

为确保所有重要业务数据和软件能在灾难之后或存储媒体损坏之后得以恢复，保证信息处理及生产数据的完整性与可用性，特制定本程序。

3 职责

3.1 DXC 负责全公司信息备份工作的技术指导及本部门维护的重要信息资产的数据和软件进行备份。

3.2 各部门负责对本部门维护的重要信息资产的数据和软件进行备份。

4 程序

4.1 各部门应对重要信息资产清单确定的重要业务数据、操作系统、应用系统、数据库等其他重要信息进行备份。

4.2 信息备份的安全要求包括：

a) 根据风险评估的结果，明确备份周期和备份套数；

b) 重要信息备份应尽量做到异地（不同房间、不同楼层等）存放，妥善管理；

c) 对备份媒体进行标识；

d) 备份媒体存放于适宜的环境；

e) 适宜时，进行信息备份的恢复核查和测试，以确保信息备份的有效性。

信息安全管理方案计划经过流程

信息安全管理流程说明书（S-I）

信息安全管理流程说明书 1 信息安全管理 1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全； 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟踪组织内任何信息安全授权访问； 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件（document）：信息和存储信息的媒体；注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 2) 记录（record）：描述完成结果的文件或执行活动的证据；注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； 3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

ISO9001-2015电子数据备份恢复管理规范

电子数据备份恢复管理规范（ISO9001：2015） 1、目的为确保公司数据与程序的安全，保障业务的连续性，结合公司实际情况，特制定本规范。 2、适用范围公司核心业务系统的程序与数据文件。 3、术语和定义无 4、职责与权限 4.1 系统工程师：负责制定信息系统数据备份策略及数据恢复演练计划、执行备份\恢复作业、监控备份日志、维护备份设备，与系统业务负责人确定系统恢复期间业务处理方法。 4.2 系统业务负责人：审批数据恢复申请。 4.3 信息管理部经理：审批数据恢复演练与数据恢复申请。 5、内容及流程 5.1 系统工程师依据业务连续性需要，制定数据备份策略、数据恢复演练计划。备份策略应包含以下内容：备份内容、备份方式、备份周期、备份文件命名规范、备份文件存放位置、备份日志存放位置等。数据恢复演练计划应包含以下内容：演练时间、恢复作业执行人、恢复数据、预计恢复作业时间等。

5.2 系统工程师依据备份周期，在备份作业执行完成后，查看备份日志。依照备份作业的完成情况，填写《备份记录表》。 5.3 发现数据备份作业发生异常时，系统工程师应立即分析原因，将异常记录在《备份记录表》中。系统工程师应排除异常，重新执行备份作业。系统工程师根据异常的严重性，提交备份作业改善计划。 5.4 当业务系统发生故障需要执行数据恢复作业时，由系统工程师确定是否进行数据恢复作业。需要进行数据恢复时，由系统工程师填写《备份恢复作业审批表》，申请数据恢复作业。 5.5 系统业务负责人与信息管理部经理批准数据恢复作业后，系统工程师按数据恢复计划严格执行。系统工程师在完成数据恢复后，对数据恢复作业的过程进行记录。 5.6 系统工程师依据备份恢复演练计划，按照要求实行备份恢复演练，填写《备份恢复演练审批表》，报信息管理部经理批准后，开展备份恢复演练。备份恢复演练每季度举行1次，每年不少于4次。 5.7 程序备份与恢复操作及备份演练由系统管理工程师参照上述数据备份与恢复操作规范进行，系统管理工程师按照备份策略中定义的备份周期或程序发生变化时备份程序。 5.8 外包信息系统的备份与恢复参照本规范执行。 6、流程图 6.1 流程图一备份异常处理流程

网络信息安全管理程序

历史修订记录

1 目的为了防止信息的泄密，避免严重灾难的发生，特制定此程序。 2 适用范围包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备、设施或资源。 3 术语和定义 ePHI：电子受保护健康信息。 IIHI：个人可识别健康信息。 4 职责与权限 4.1信息安全负责人 i.负责批准《系统/软件账号申请单》； ii.负责安全事件的确认和处理。 4.2客服部 i.负责医数聚系统的管理。 4.3人力资源部 i.负责硬件和移动设备的管理； ii.负责钉钉、钉邮和微信的管理。 4.4质量管理部 i.负责监督网络信息安全管理的执行。 4.5各部门 i.负责按照网络信息安全管理要求执行。 5 程序 5.1个人ePHI不论存储媒介，包括但不限于：姓名、年龄、性别、病例、医疗数据；均需要采取措施，防止泄露。 5.1.1员工获得IIHI的程度应基于员工的工作性质及其相关的职责，员工可以访问他们完成工作所需的所有IIHI，但不能获得更多的访问权限。 5.1.2任何员工都不可获得比其清除水平更高的IIHI水平。 5.2硬件和移动设备的管理控制 5.2.1硬件和移动设备包括但不限于：计算机、笔记本电脑、移动硬盘、U盘、光碟。 5.2.2硬件和移动设备的领用

5.2.2.1员工办公用到的硬件和移动设备采取实名登记制，由人力资源部通过《硬件和移动设备领用登记表》做好登录管理，并每年梳理一次，以保证信息的正确性。 5.2.2.2当员工领用新的硬件或移动设备后，应第一时间设置使用密码，密码设置不可过于简单，避免使用姓名、生日、简单数字等，使用密码只可自己知悉，不可告知其他同事，更不可记录下存放在显眼易获取位置，当员工察觉密码存在泄漏、丢失、被获取的可能时，一小时内上报信息安全责任人知悉，由信息安全责任人按照《安全事件管理程序》执行。为了防止密码被获知，人力资源部需监督员工每半年更换一次使用密码。 5.2.2.3员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作，如拔出移动硬盘存放在带锁抽屉，启动计算机的屏保功能等。保密操作如可以由设备自动执行，人力资源部应监督员工提前设置好。 5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时，退回或变更的硬件和移动设备，在使用前，由人力资源部对其进行使用痕迹的清除工作，并填写记录《硬件和移动设备使用痕迹清除记录表》，质量管理部监督执行情况。 5.2.3硬件和移动设备损坏需要维修时，以防信息的泄露不可将设备带出公司维修，需请专业人士上门维修，且全程需要有人员陪同在监控覆盖区域进行，对维修单位或个人按照《业务伙伴的管理程序》执行。 5.3系统/软件管理控制 5.3.1我司现有涉及PHI传输的系统/软件：医数聚系统、钉钉、钉邮、微信。 5.3.2医数聚系统由客服部负责管理，钉钉、钉邮、微信由人力资源部负责管理。 5.3.3我司系统/软件实行一人一账号的原则，个人账号不得相互借用，员工因工作需要需要登录系统/软件时，需填写《系统/软件账号申请单》，交部门负责人审核，信息安全责任人批准后，交给管理部门开通账号及相关权限，管理部门需建立系统/软件《用户管理一览表》，管理系统/软件的使用人员及其权限相关信息，当员工离职、调岗时，管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。管理部门应不定期的对《用户管理一览表》进行信息确认，以确保其准确无误。 5.3.4员工获得系统/软件的账号及初始密码后，需更改初始密码，密码的管理参见 5.2.2.2。 5.3.5为了确保信息传输在监控下进行，相关部门和人员对外联络应使用公司提供的系统或软件账号进行。 5.3.6与ePHI相关的信息传输，尽可能在医数聚系统中完成，如必须使用钉钉、钉邮、微信等，应遵循文件的加密规定。 5.3.7医数聚系统操作控制 5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”，客服部需每季度

信息安全管理体系的实施过程

信息安全管理体系的实施过程一、问题的提出人类正进入信息化社会，社会发展对信息资源的依赖程度越来越大，从人们日常生活、组织运作到国家管理信息资源都是不可或缺的重要资源，没有各种信息的支持，现代社会将不能生存和发展。在信息社会中，一方面信息已成为人类重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出，信息资产的比传统的实物资产更加脆弱，更容易受到损害，需要加以妥善保护。长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响，国内公众对安全的认识被广泛误导。有相当一部分人认为黑客和病毒就已经涵盖了信息安全的一切威胁，似乎信息安全工作就是完全在与黑客与病毒打交道，全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了不良影响。目前，各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息安全的各个角度和整个生命周期来考察，现有的信息安全管理体系与标准是不够完备的，特别是忽略了组织中最活跃的因素――人的作用。考察国内外的各种信息安全事件，我们不难发现，在信息安全事件表象后面其实都是人的因素在起决定作用。不完

备的安全体系是不能保证日趋复杂的组织信息系统安全性的。因此，组织为达到保护信息资产的目的，应在“以人为本”的基础上，充分利用现有的ISO13335、BS7799、CoBIT、ITIL等信息系统管理服务标准与最佳实践，制定出周密的、系统的、适合组织自身需求的信息安全管理体系。二、HTP模型信息安全的建设是一个系统工程，它需求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看，我们认为信息安全可以由以下HTP模型来描述：人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。

信息安全事件管理程序.docx

信息安全事件管理程序 1 目的为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制，减少信息安全事件和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。 2 范围本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针； ? 确定信息安全管理组织架构、角色和职责划分； ? 负责信息安全小组之间的协调，内部和外部的沟通； ? 负责信息安全评审的相关事宜； 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略； ? 组织安全管理技术责任人进行风险评估； ? 组织安全管理技术责任人制定信息安全改进建议和控制措施； ? 编写风险改进计划； 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控； ? 信息安全风险评估；

? 确定信息安全控制措施； ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。造成下列影响（后果）之一的，均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。造成下列影响（后果）之一的，属于重大信息安全事件。 a) 组织机密泄露； b) 导致业务中断十小时以上； c) 造成机房设备毁灭的火灾； d) 损失在十万元人民币（含）以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求，确认代码管理相关信息系统的安全需求； ? 对代码管理相关信息系统进行信息安全风险评估，预测风险类型、

信息系统数据备份管理制度

23 信息系统数据备份管理制度第一条为保护重要信息系统的数据运行安全，规范数据备份管理，特制定本管理制度。第二条本制度适用于重要信息系统范围内，服务器端和客户端数据的备份管理。第三条服务器端的数据备份由系统管理员和安全管理员共同实施，备份介质则由介质管理员负责保存。第四条客户端的数据备份由各网络用户自行实施，备份介质则由用户或介质管理员负责保存。第五条服务器端的数据备份包括对应用软件的数据备份和对用户数据的备份两部分，客户端的数据备份则主要是对用户数据的备份，包括用户的软件、文档、专业数据信息等。第六条服务器端的数据备份主要采用磁带备份和光盘备份两种方式，客户端的数据备份则可视数据和网络资源情况灵活选择，常用的方式包括活动硬盘备份和光盘备份。第七条服务器端的应用软件备份包括磁带备份和光盘备份两种方式，光盘备份主要针对软件的安装数据，磁带备份主要针对软件的运行数据；用户数据则主要采用磁带备份的方式。

第八条服务器端的光盘备份在应用软件安装以前进行，备份以后的光盘由介质管理员进行存放。第九条服务器端的磁带备份必须根据相应的备份策略和实施方案(在备份管理软件中定义)，确定备份内容、备份时间、备份周期等，如每天执行一次完全备份，每三小时执行一次增量备份；备份以后的磁带由介质管理员存放。第十条为了便于对服务器端的系统软件进行应用与管理，机房中须备有与系统软件有关的应用手册和各种指南等资料，以供运行、维护人员查阅，未经许可，任何人不得带出机房。第十一条所有的数据备份必须登记在“数据备份记录表”中，包括备份方式、原数据的存储路径、备份数据存储介质的密级标识、备份起止时间、备份者等（见附表l《数据备份记录表》）。第十二条应用软件的源程序除了在磁介质上备份以外，程序员可根据需要进行打印备份，以防应用程序发生意外、难以恢复。第十三条应用软件开发人员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用系统运行流程图等进行分类归档，以便查阅。第十四条当修改应用软件时，具体的功能修改、逻辑修改、程序变动等，都应有相应的文档记录，以备查阅。

信息管理与信息安全管理程序.docx

. . 1目的明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力” 。 3.3信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门，主要职责： a) 负责制定并组织实施本程序及配套规章制度，对各部门( 单位 ) 信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c) 负责统一规划、组织、整合和管理公司信息资源系统，为各部门( 单位 ) 信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口； d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

信息管理与信息安全管理程序

1 目的明确公司信息化及信息资源管理要求，对外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。 3.3 信息披露指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门，主要职责： a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c)负责统一规划、组织、整合和管理公司信息资源系统，为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子进行设置管理；统一管理分公司互联网出口； d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

重大事件期间网络与信息安全管理规定

**集团有限公司重大事件期间网络与信息安全管理规定（试行）第一章总则第一条为切实做好**集团有限公司网络与信息安全防护工作，建立有效的安全防护体系，进一步提高预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保重大事件期间网络与信息安全，制定本管理规定。第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动，如重大会议、重大体育赛事等。第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导，落实信息安全责任地；高度重视，强化安全防范措施；周密部署，加强各相关方协作为原则，以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响，确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。第四条集团公司重大事件期间网络与信息安全管理工作范围包括：集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下，负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段，分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段；从重大事件起始日期至结束日期为实施阶段；从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。第六条本规定适用于集团公司总部和系统各单位。第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。第二章准备阶段管理第八条组织开展网络与信息安全查检工作，网络与信息安全采取自查和现场抽查相结合的方式，先开展各单位内部的网络与信息安全自查，在各单位自查的基础上，由集团公司组织相关人员对部分单位进行现场专项检查。第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。第十条对于检查发现的安全陷患，各单位应制定整改

信息系统文件备份与恢复管理规范

信息系统文件备份与恢复管理规范（ISO9001：2015） 1、目的为确保公司数据与程序的安全，保障业务的连续性，结合公司实际情况，特制定本规范。 2、适用范围公司核心业务系统的程序与数据文件。 3、术语和定义无 4、职责与权限 4.1 系统工程师：负责制定信息系统数据备份策略及数据恢复演练计划、执行备份\恢复作业、监控备份日志、维护备份设备，与系统业务负责人确定系统恢复期间业务处理方法。 4.2 系统业务负责人：审批数据恢复申请。 4.3 信息管理部经理：审批数据恢复演练与数据恢复申请。 5、内容及流程 5.1 系统工程师依据业务连续性需要，制定数据备份策略、数据恢复演练计划。备份策略应包含以下内容：备份内容、备份方式、备份周期、备份文件命名规范、备份文件存放位置、备份日志存放位置等。数据恢复演练计划应包含以下内容：演练时间、恢复作业执行人、恢复数据、预计恢复作业时间等。

信息安全管理程序

信息安全管理程序 1.目的为了防止信息和技术的泄密,避免严重灾难的发生，特制定此安全规定。。2.适用范围包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部：负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部：负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工：按照管理要求进行执行。 3.内容 3.1公司保密资料： 3.1.1公司年度工作总结，财务预算决算报告，缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料，货源情报和供货商调研资料。 3.1.3公司生产、设计数据，技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据，按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理，必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件，当本人离开办公室外出时，须存放入文件柜或抽屉，不准随意乱放，更未经批准，不能复制抄录或携带外出。 3.2.3 未经公司领导批准，不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育，增强保密意识：3.2. 4.1在新员工入职培训中进行信息安全意识的培训，并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查，包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放，文件存放在分类目录下指定位

信息安全管理系统的规范

信息安全管理系统的规范第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的原因。以上步骤应定期重复，确定系统的适用性。 2 3.3实施选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

ISO27001：2013重要信息备份管理程序

XXXXXXXXX有限责任公司重要信息备份管理程序 [XXXX-B-23] V1.0

变更履历

1 目的为确保所有重要业务数据和软件能在灾难(如地震、火灾)或存储介质损坏之后得以恢复,保证信息处理及生产数据的完整性与可用性，特制定本程序。 2 范围本程序适用于本公司重要数据及软件的备份管理。 3 职责 3.1技术部负责全组织信息备份工作的技术指导及对本部门维护的重要信息资产的数据和软件实施备份。 3.2 各部门负责对本部门维护的重要信息资产的数据和软件实施备份。 4 相关文件《信息安全管理手册》《可移动介质管理程序》《信息处理设施维护管理程序》《信息备份安全策略》 5 程序 5.1 备份对象针对各部门的重要信息，决定备份对象为：服务器的操作系统和安装工具软件的所有软件光盘，服务器中的数据库，配置管理工具数据库；根据以上备份对象，制定相应的备份周期。 5.2 安全要求信息备份的安全要求包括：

a)根据风险评估的结果，备份方案采取本地备份与异地备份两种方式同时进行； b)本地备份每周五进行一次，备份文件复制到服务器其他盘中，异地备份每月进行一次，由技术人员将备份文件做成光盘或备份到移动硬盘，存入异地；现决定异地备份的光盘/移动硬盘存放在总经理家。 5.3 备份周期各部门根据风险评估的结果，制定《重要信息备份周期一览表》，在其中明确规定备份周期、备份方式、备份介质及备份负责人。 5.4 备份工作记录要求《重要信息备份周期一览表》经部门负责人批准后予以实施；对于人工备份应填写《重要信息备份记录》，信息备份的记录应予以保存。当软件发生更改时，应进行备份。 5.5 备份的标识各部门应采取适宜的方法对备份信息介质进行标识，防止备份信息的误用，标识的内容包括： a)备份信息的名称； b)备份的日期； c)版本号； d)必要时，应标识所需采用的备份/还原工具。 5.6 介质管理数据备份介质应保存在适宜的环境并专人管理；涉及组织秘密的备份介质应按照《信息分类管理程序》进行标注，只有授权的人员才可以访问，并保存在上锁的文件柜或其他安全储存场所。重要备份信息使用的介质管理请参见《可移动介质管理程序》和《信息处理设施维护管理程序》。 6 记录《重要信息备份周期一览表》《重要信息备份记录》

xxx信息安全管理制度

上海xxx电子商务有限公司信息安全管理制度目录第一章关于信息安全的总述 (2) 第二章信息安全管理的组织架构 (3) 第三章岗位和人员管理 (3) 第四章信息分级与管理 (3) 第五章信息安全管理准则 (4) 第六章信息安全风险评估和审计 (8) 第七章培训 (9) 第八章奖惩 (9) 第九章附则 (9)

第一章关于信息安全的总述第一条（制度的目的）为了维护公司信息的安全，确保公司不因信息安全问题遭受损失，根据公司章程及相关制度，特制定本制度。第二条（信息安全的概念）本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中，做到以下工作：1）确保信息保密，但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息；2）保证信息完整和不被灭失，但在特定的情况下应当销毁一些不应保存的信息档案；3）保证信息的可用性。第三条（制度的任务）通过对具体工作中关于信息安全管理的规定，提高全体员工的安全意识，增强公司经营过程中信息的安全保障，最终确保公司所有信息得到有效的安全管理，维护公司利益。第四条（制度的地位）本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。第五条（制度的适用范围）全体员工均必须自觉维护公司信息的安全，遵守公司信息安全管理方面的相关规定。一切违反公司信息安全管理规定的组织和员人，均予以追究。第六条（信息的概念）本制度所称的信息是指一切与公司经营有关情况的反映（或者虽然与公司经营无关，但其产生或存储是发生在公司控制的介质中），它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容，其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说，包括但不限于下列类型： 1、与公司业务相关的各个业务系统中的信息，如设计文档、源代码、可执行代码、配置、接口以及相应的数据库和数据库相关备份等； 2、与公司业务相关的各种业务数据，如用户资料、经销商资料、合作伙伴信息、合同、各业务系统运行时数据、各类统计数据和报表、收入数据等； 3、与公司内部管理相关的各类行政数据，如人事资料、人事组织结构等； 4、与公司财务管理相关的财务类数据，如采购信息、资产信息、财务信息； 5、其他如公司各分子公司和外地办事结构的数据；公司员工对内、对外进行各种书面的、口头的信息传播行为等。第七条（信息安全工作的重要性）信息安全管理是公司内部管理的一项重要及长期性的工作，其贯穿整个公司各项业务与各个工作岗位，各个中心和部门必须积极配合该项工作的开展。

ISO27001信息备份管理细则

ISO27001信息备份管理细则 1 目的为了规范备份管理工作，合理存储历史数据及保证数据的安全性，依据相关法律法规和公司内部控制手册，制定本细则。 2 适用范围与定义本细则适用于信息管理部门备份信息数据相关事项。 3 引用标准及关联制度 3.1 《企业内部控制基本规范》 3.2 《企业内部控制应用指引——信息系统》 3.3 《ABC公司内部控制手册2012》 4 职责 4.1 信息管理部专人负责信息系统备份工作。 4.2 备份管理人员负责制订备份、恢复策略，组织实施备份、恢复操作，指导备份介质的取放、更换和登记工作。日常备份操作可由备份管理人员或机房值班人员完成。 5 内容、要求与程序 5.1 备份策略 5.1.1 备份频率：（1）对于与财务报告相关的各种业务和财务系统数据须每天进行备份；（2）数据被大规模更新前后，须对数据进行备份；（3）在操作系统和应用程序发生重大改变前后，须对系统和应用程序进行

备份。（4）具体备份策略请参见7.1。 5.1.2 备份数据保留时间。与财务报告相关的各种业务数据须保存十年。 5.1.3 备份存储和备份介质管理：（1）对数据、操作系统以及程序的备份，须保存在两份介质中，一份存放在本地，另一份存放在异地；（2）备份介质，无论是存放在本地还是异地，须确保存放场所的安全，保证只有授权人员可以访问；（3）在备份介质上，须有唯一标识，标明备份的内容和日期；（4）在本地和异地建立一份备份介质目录清单，用以记录备份介质的位置、内容和数据保留期限等。 5.1.4 备份恢复测试。备份介质中的数据须至少每年月进行恢复测试，以确保备份的有效性和备份恢复的可行性。 5.1.5 备份截至销毁：（1）备份介质销毁必须经过相关管理人员授权后才可执行，并由专人对该销毁行为进行记录；（2）若备份介质中存放机密数据，在销毁之前，须对备份介质进行处理，使备份介质中的数据处于不可读取状态；（3）备份介质销毁后，须在《备份介质登记表》（见7.5）中注明已销毁。 5.2 备份操作管理 5.2.1 备份申请及备份策略的制定需要经过申请部门填写《数据备份申请表》（见7.2），提出具体的备份要求，包括备份内容、备份周期等，交由申请

信息安全管理制度汇总

信息安全管理制度为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案网络安全管理制度第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

信息系统数据备份与管理办法

数据备份与恢复管理办法第一章总则第一条为加强中国航发湖南动力机械研究所（以下简称“动研所”）信息系统数据的备份与管理，避免信息系统数据的丢失，确保生产、经营、管理等应用系统的安全稳定运行和历史数据的有效保存，特制定本管理办法。第二条数据是信息系统的基础，是企业的重要资源。数据备份是保证数据安全的有效技术手段，是信息安全体系的重要组成部分。数据备份的内容应包括企业生产、经营、管理等信息系统中的所有关键数据，具体是指计算机和网络设备的操作系统、应用软件、系统数据和应用数据。第三条数据备份与管理应遵循“统一领导、统一规划、统一标准、统一建设、分级管理”的原则。第四条本管理办法适用于动研所所有数据备份和恢复操作。第二章组织机构与职责第五条信息化技术研究部负责动研所信息系统的数据备份、运行维护与管理。第六条信息化技术研究部是数据备份的归口管理部门，负责动研所信息系统的数据备份、运行维护与管理工作。第七条信息化技术研究部设立数据备份岗位，并实行主、副岗制度，具体负责本单位数据备份工作的日常管理，包括检查、监督、考核和统计等工作。第八条动研所应明确各种信息系统业务主管部门和运行管理部门的责任，已正式投运的信息系统，其数据备份与管理工作由信息化技术研究部负责；正在建设但未经正式验收投运的信息系统，其数据备份与管理工作原则上由该信息系统的业务主管部门委托开发商进行，信息化技术研究部给予必要的配合。第九条数据备份技术及相关人员上岗前要进行培训，具备必要的技能。设备或技术更新，或者备份策略和恢复预案发生变化后，要及时进行培训。

第三章数据备份第十条数据备份应根据系统情况和备份内容，采用不同的备份方式： 1.完全备份：对备份的内容进行整体备份。 2.增量备份：仅备份相对于上一次备份后新增加和修改过的数据。 3.差分备份:仅备份相对于上一次完全备份之后新增加和修改过的数据。 4.按需备份：仅备份应用系统需要的部分数据。具体所采取的备份方式，应能确保真实重现被备份系统的运行环境和数据。第十一条在规划设计以及新建信息系统时应充分考虑系统的备份需求，填写《数据备份需求登记表》（附录1，）在系统投运前完成备份策略（附录2）和恢复预案的制定并在系统投运后同时开始执行；已投运的信息系统备份需求发生变化时，要及时调整数据备份策略和恢复预案。备份策略和恢复预案的制定与调整需报主管领导批准。第十二条信息化技术研究部在对计算机和设备进行软件安装、系统升级改造或更改配置时，应进行系统、数据和设备参数的完全备份；系统更新后，应实现数据的迁移或转换，确保历史数据的完整性，并对原系统及其数据进行完全备份。第十三条数据备份系统的建设应统一纳入信息化发展规划并按分层分级组织实施。第十四条数据备份系统及介质的选型要满足各系统的备份策略及保存要求，包括安全可靠性、性能和服务质量、冗余等，确保通过数据备份能及时恢复各种故障情况下造成的数据丢失。第十五条信息化技术研究部应制定相关运行和维护管理制度，加强对数据备份系统的运行和维护管理，确保数据备份系统可靠运行。第十六条应对数据备份操作进行记录，填写《数据备份记录表》（附录3），操作可能影响到信息应用系统正常运行的，要报该信息系统业务主管部门和信息化技术研究部审查，并经主管领导批准。第十七条数据备份工作人员要认真做好数据备份的文档工作，完整地记录备份系统的配置和备份数据源的系统配置；做好备份工作的运行日志和维护日志；建立备份文件档案及档案库，详细记录备份数据的信息。要做好数据备份的文卷管理，所有备份应有明确标识，包括卷名、运行环境、备份人。卷名按统一的规则来命名，即由“系统名称－（数据类型+备份方式+存储介质）－备份时间－序号”组成。系统名称数据类型备份方式存储介质备份时间序号 ABC 0操作系统0完全备份1光盘YYYYMMDDXXX 1应用软件1增量备份2硬盘

公司信息安全管理制度

信息安全管理制度信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。

1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。 2.3文件移动