I****保险有限公司备份与恢复管理制度信息技术中心版本修改时间修改内容修改人员审核人员1.02016年5月起草2.02018年4月修订I第一章总则第一条为了加强**人寿保险有限公司(以下简称公司)信息系统的安全稳定运行,加强系统和数据的备份恢复管理,结合公司的应用系统环境,特制定本制度。第二条本办法适用于公司所管理的所有生产系统和数据库。第二章职责定义第三条岗位说明(一)备份管理员:负责管理和修订数据备份与恢复管理办法,负责管理和制定NBU备份恢复策略,执行数据备份和恢复测试。(二)数据库管理员:负责对数据库系统进行数据备份与恢复测试。(三)主机管理员:负责在生产服务器上实施系统日志以及中间件日志策略以及日志备份策略。(四)应用系统管理员:负责定义应用系统日志备份和归档策略。(五)安全合规员:定期对数据恢复测试工作进行审计。第三章备份管理第四条主机备份(一)主机备份是指使用NBU系统对主机进行备份,备份内容包括操作系统、系统配置、系统日志以及主机上所有的应用系统。(二)NBU系统对公司生产系统的操作系统和应用进行备份,备份频率不低于每天1次,备份保存期限不低于5天。II第五条应用系统备份(一)应用系统下线时,系统应打包封存至备份存储中,备份的内容必须包含应用文件、应用日志。(二)应用系统负责人应在系统下线时明确备份保存期限,原则上不低于5年。第六条数据库备份(一)数据库备份是指将数据库日志文件和数据文件备份至另外的数据库系统中。(二)生产数据库必须提供至少1个实时备份的数据库,实时备份的间隔不超过1分钟。(三)生产数据库的数据文件原则上永久保存,数据库日志文件保存期限不低于6个月。第七条日志备份(一)操作系统日志是指操作系统记录的系统变更、用户登录、命令执行等系统日志。操作系统日志备份期限不低于6个月。(二)应用系统日志是指应用系统中产生的用户访问、登录、操作、交易等行为的日志。应用系统管理员应定义应用系统日志保存期限,原则上不低于6个月。(三)应用日志中包含用户从互联网发起的访问记录或用户访问互联网的记录,日志保存期限不低于6个月。(四)应用日志中包含资金交易信息的,日志保存期限不低于5年。III第八条邮件备份(一)邮件备份是指将邮件服务器中的邮件备份至备份存储中。(二)邮件备份保存期限不低于5年。第九条其他备份(一)用户投保的录音录像文件以及用户保单原则上仅做文件归档,不提供单独备份,用户的保单等交易凭证的保存期限自保险合同终止之日起计算,保险期间在一年以下的不得少于5年,保险期间超过一年的不得少于10年。如遇消费者投诉、法律诉讼等纠纷,还应至少保存至纠纷结束后2年。(二)法律、行政法规和其他规章对数据有更长保存期限要求的,遵守其规定。第十条数据备份时,必须记录备份情况,包括备份作业,备份周期、时间、内容、数据保存期限,介质型号、介质ID、业务种类、转存情况、异地备份记录、相关变更记录等信息,备份过程产生的日志保存期限不低于6个月。第十一条核心数据库、核心系统必须同时进行本地备份和异地备份。第四章备份介质管理第十二条备份介质必须采用性能稳定可靠的存储介质,选用的备份介质有效保存期限不得低于数据保存期限。备份介质必须不能与生产环境使用相同的存储介质。第十三条为避免公司主数据中心发生自然灾害或火灾、恐怖IV袭击等人为灾难所导致的破坏,异地备份的数据中心与主数据中心距离不低于40公里。异地备份场所的物理和环境保护级别不能低于主场所。第十四条备份介质的存取和归还由备份管理员负责,其他人员若需取用备份介质,需经信息技术中心负责人审批通过。第十五条备份介质达到使用年限后,应对备份介质上保存的数据进行审核,如需继续保存,则应由备份管理员将数据装移到新的备份介质上,并执行恢复性测试,由备份管理员和恢复测试执行人员签字。第十六条存放生产数据的介质需要废弃或销毁时,应填写《备份介质冲洗/销毁登记表》,并更新备份管理中的相关信息。备份介质的废弃或销毁需经相关业务部门领导及信息技术中心中层领导审批通过后由备份管理员负责执行。第五章备份恢复管理第十七条系统在进行重大升级、变更、迁移过程中,必须先进行数据和系统的备份,以防止在升级、变更或迁移过程中出现问题及时进行回退。第十八条因系统或数据异常需要从备份数据中恢复至生产环境,必须按照数据变更流程进行审批后方可实施。数据恢复后,必须进行数据验证测试,确保恢复数据的完整性和可用性。第十九条备份管理员每季度至少执行1次备份恢复测试,以检验备份数据的可用性和完整性,备份恢复测试报告需要报送信息技V术中心相关领导审阅。第二十条业务部门提出备份数据恢复测试需求时,需经业务部门中层领导、信息技术中心中层领导审批,安全合规岗审批,备份管理员进行数据恢复测试。备份数据恢复测试报告需要业务部门负责人及信息技术中心负责人对结果进行审阅并签字确认。第二十一条灾难恢复预案及演练每年由信息技术中心安全合规岗发起,经信息技术中心中层领导、信息技术中心分管总审批通过后,由信息技术中心按照制定的灾难恢复预案及演练执行。信息技术中心负责对灾难恢复测试明细进行记录,安全合规岗将灾难恢复测试相关文档记录,存档。第六章附则第二十二条本文件由信息技术中心负责制定、解释和修改。第二十三条本文件自发文之日起生效,在此之前的规范中关于数据备份如有与本规范冲突的,以本规范为准。VI参考文件:《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《中华人民共和国网络安全法》《保险销售行为可回溯管理暂行办法》《保险业信息系统灾难恢复管理指引》