1. 目的和范圍

為確保數(shù)據(jù)的完整性及有效性，以便在發(fā)生信息安全事故時能夠準確及時的恢復數(shù)據(jù)，避免業(yè)務的中斷，特制定本規(guī)定。

2. 引用文件

(1).下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

(2)ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求

(3)ISO/IEC17799:2005信息技術-安全技術-信息安全管理實施細則

(4)系統(tǒng)維護與監(jiān)控管理規(guī)定

3. 職責和權限

技術部負責公司內(nèi)部系統(tǒng)運營相關數(shù)據(jù)的備份管理控制.

技術部負責本公司軟件開發(fā)所需相關數(shù)據(jù)的備份管理控制.

其它各個部門根據(jù)自己部門的業(yè)務特點，建立各自的備份策略進行備份。

4. 備份管理

備份策略

(1) 公司各部門根據(jù)數(shù)據(jù)重要程度和工作需要提出需要備份的數(shù)據(jù)。

(2) 信息安全小組根據(jù)各制定《備份策略明細表》，明確各項備份數(shù)據(jù)備份的詳細策略。

(3) 信息安全小組每半年對備份策略進行評審，確定是否滿足各部門備份要求。

(4) 建立備份環(huán)境，安裝調(diào)試備份軟件。

(5) 應建立備份拷貝的準確完整的記錄和文件化的恢復程序；

(6) 備份的程度（例如全部備份或部分備份）和頻率應反映組織的業(yè)務要求、涉及信息的安全要求和信息對組織持續(xù)運作的關鍵度；

(7) 備份要存儲在一個遠程地點，有足夠距離，以避免主辦公場所災難時受到損壞；

(8) 若可行，要定期測試備份介質(zhì)，以確保當需要應急使用時可以依靠這些備份介質(zhì)；

(9) 恢復程序應定期檢查和測試，以確保他們有效，并能在操作程序恢復所分配的時間內(nèi)完成；

(10)?? 在保密性十分重要的情況下，備份應通過加密方法進行保護

5. 備份的驗證

(1) 備份負責人根據(jù)《備份策略明細表》，檢查備份的工作是否按照備份策略實際的進行了。如果未按照備份策略進行備份，備份負責人指令備份人重新進行備份。

(2) 備份負責人根據(jù)實際需要，確定哪些非常重要的數(shù)據(jù)需要做恢復測試，需要恢復測試數(shù)據(jù)的恢復測試頻率，對備份數(shù)據(jù)進行定期驗證。

(3)備份數(shù)據(jù)的管理

1) 備份目錄應進行嚴格的權限管控，無關人員禁止訪問備份目錄。

2) 如無特殊聲明，備份數(shù)據(jù)永久保存。如需廢棄，需經(jīng)備份負責人批準后，刪除備份數(shù)據(jù)。

(4)相關記錄

本程序發(fā)生的記錄匯總表

表1-1 ISMS文件日常應用格式匯總