企业信息系统生产数据管理办法

n企业信息系统生产数据管理办法

总则
为加强生产数据管理，规范数据备份、恢复、保管、抽检、使用、转储、清理、销毁等行为，确保各类数据的完整性、保密性和可用性，依据《xxxx》、《xxxx》和《n企业信息技术制度管理办法》（修订版），特制定本办法。
适用范围
本办法适用于总部信息技术部门、分支机构信息技术部门。
管理对象
管理对象是对生产数据备份、恢复、保管、抽检、使用、转储、清理、销毁的管理过程。
术语定义
数据是指计算机系统在线或离线存储的信息，本办法中数据特指生产数据。
数据管理策略是指数据管理的基本规则和约定，包括数据备份、恢复、保管、抽检、使用、转储、清理的策略、方案和规则说明等。
数据管理操作手册是指导数据日常操作的基本指南，包括数据备份、保管、恢复、清理、转储、销毁、抽检频度和验证方式等内容，可包含在日常技术维护手册和其它数据管理相关手册、流程制度中。
职能部门及职责
各单位信息技术部作为数据管理部门，根据本单位实际情况承担以下工作:
　　　　（一）数据管理流程的制定和完善工作；
　　　　（二）组织制定、评估和维护本单位数据管理策略或手册等工作；
　　　　（三）组织本单位信息系统数据备份、抽检、清理、转储等工作的实施；
　　　　（四）根据外部需求进行数据恢复并提供数据；
　　　　（五）本单位数据管理工作的日常跟踪及协调等工作；
　　　　（六）本单位数据管理相关操作实施的记录与统计。
日常管理
数据管理部门负责制定数据管理的相关策略、方案等内容。
数据备份、恢复、清理、转储等存储技术须使用系统工具和总部正式颁布的应用程序并经过严格测试，确保正确无误后方可投入使用。
数据清理、恢复、修改、各类数据的使用、数据管理策略的修改，以及存放数据的设备或介质的调拨等内容须审批通过后方可执行。
数据备份管理
数据管理部门负责组织制定各系统的数据备份策略
数据备份策略的制定应综合考虑系统性能、存储容量、数据量增长频率、业务数据需求、备份实现方式、存储介质、数据有效期等因素。
数据备份须严格按照相关操作手册进行操作，操作完毕须检查备份作业或备份程序的执行结果，确保备份数据作业或程序执行完成。
数据存储介质的保管和抽检
数据管理部门对保管的各类数据介质应进行统一管理，编制数据存储介质保管清单，清单内容应包括介质编号、备份内容、备份时间和保留期限等重要信息，并定期对存储介质进行盘点。
存放备份数据的介质须具有明确的标识，标识须使用统一的命名规范，注明介质编号、备份内容、备份时间等。
关键系统备份数据应异地存放。
数据备份存储介质应按照数据保存期限及时进行转储和清理，清理后可继续使用的存储介质转为可用介质，不能继续使用的介质须进行破坏性（如消磁等）报废处理。
数据存储介质的存放和运输要满足介质的安全管理要求，保证存储介质的物理安全。
数据抽检策略应包括抽检频度、验证方式等。
数据的恢复管理
数据备份策略应包含数据恢复方案及操作方法。
在生产环境下进行的数据恢复，操作人员须提交变更，经相关负责人审批同意后方可执行。
在非生产环境下进行的数据恢复，须经相关负责人审批同意后方可执行。
数据的清理和转储管理
对于数据清理，须事先制定清理方案，经审批后实施。
数据清理的实施应避开业务高峰时间段，避免对联机业务运行造成影响。
对于需要长期保存的数据，应在介质有效期内进行转储，防止存储介质过期失效，相关转储操作须进行详细记录。
存储数据的设备在改变用途或闲置报废前，应对数据进行转储和清理，并确认设备内的重要数据已经清除。数据清理方法包括物理删除、低级格式化或数据写入覆盖等。
数据使用及保密管理
任何人不得对各类数据进行非授权的查询、记录、携带、复制、传输、修改、删除操作。
对数据进行查询、复制、传输、修改、删除等操作（包括通过远程方式使用），均须按照变更管理办法执行。
测试环境和研发环境需要使用生产数据时，对客户信息、密码、磁道等敏感数据须进行脱敏处理。如确因测试和开发工作需要而无法脱敏处理的数据须采取相应的管理措施加以控制。
为解决技术问题，或因研发等工作需要向外部单位提供操作系统日志等数据时，须审批后方可执行。
向外部单位提供业务数据时，须审批通过方可执行，其中的敏感信息须进行脱敏处理。
在对外提供数据后，须将本地临时保存的数据进行清除，不得将数据转储至移动存储、光盘等外部存储介质。
数据备份介质的借出须经过审批。与加密相关的重要数据（包括各类密码和密钥、各类校验算法、加/解密算法和参数、终端设备识别算法和参数、身份识别算法和参数）及其存放介质，须按照相关规定进行管理。
对于失效的数据或已毁坏的包含敏感数据的介质，须经审批后进行消磁处理。
外单位人员对我司存放数据的设备进行维修、维护时，必须由相关人员现场全程监督。相关设备或介质需送交外单位维修、维护前，须确认设备或介质内的数据已经清除。
附则
本办法由总部信息技术部负责制订、解释和修改。
对于违反本细则的行为，按照《n企业员工违规行为处理办法》中的相关规定进行处理。
本办法自下发之日起执行。