某制药厂数据存储办法

某制药厂数据存储办法一、总则

(一)目的：依据《中华人民共和国网络安全法》《药品生产质量管理规范》等行业法规及企业数字化转型战略，针对数据存储管理中存在的存储分散、备份缺失、访问混乱、安全风险等问题，旨在规范数据存储行为，保障数据安全完整，提升数据利用效率，防控数据丢失、泄露、篡改风险。

1、明确数据存储的标准流程与权限控制，确保数据存储符合行业合规要求。

2、建立数据备份与恢复机制，保障关键数据在意外情况下的可追溯与可恢复。

(二)适用范围：覆盖企业所有部门及岗位，包括但不限于生产部、质量部、研发部、设备部、仓储部、行政部等，涉及所有正式员工、一线操作工、外包人员及合作供应商的数据存储活动。数据存储介质包括但不限于服务器硬盘、移动硬盘、U盘、云存储账户等。特殊情况（如个人工作文档）经部门负责人审批后可例外处理。

1、生产数据、质量检验数据、设备运行数据、物料管理数据等关键业务数据必须严格执行本制度。

2、员工个人工作文档存储需符合本制度规定，不得占用公司存储资源。

(三)核心原则：坚持合规性、安全性、完整性、高效性原则，强化数据分类分级管理，优先保障核心数据安全。

1、数据存储需符合国家及行业数据安全标准，定期进行安全风险评估。

2、数据存储应遵循最小权限原则，不同岗位人员仅可访问其工作必需的数据。

(四)层级与关联：本制度为专项管理制度，适用于公司所有部门及岗位，与《信息安全管理制度》《档案管理制度》等制度协同执行。制度冲突时以本制度为准，特殊情况需报总经理审批。

1、生产部、质量部负责业务数据存储与备份，行政部负责统一存储资源管理。

2、安全风险问题由信息中心牵头，联合相关部门解决。

(五)相关概念说明：

1、核心数据指生产参数、质量标准、设备状态等对企业运营具有重大影响的数据。

2、备份数据指为保障数据安全而创建的副本，应与原始数据物理隔离存储。

二、组织架构与职责分工

(一)组织架构：公司设立信息中心负责数据存储管理的统筹协调，各部门设置数据管理员负责本部门数据存储工作，生产部、质量部为数据存储的重点管理单位。

1、信息中心负责制定数据存储标准，监督制度执行，定期开展数据安全检查。

2、数据管理员负责本部门数据的分类分级、存储介质管理、备份操作。

(二)决策与职责：总经理负责数据存储管理制度的最终审批与重大风险决策，信息中心负责人负责具体执行监督。

1、总经理有权审批超过100万元的数据存储项目预算。

2、信息中心负责人每月向总经理汇报数据存储安全情况。

(三)执行与职责：

1、生产部：负责生产过程数据的实时存储与每日备份，确保数据存储空间不低于上月生产量的120%。

(1)班组长每日检查生产数据上传完整性，发现异常立即上报。

(2)数据管理员每月核对生产数据备份日志。

2、质量部：负责检验数据的双人复核存储，关键数据需存储在加密硬盘内。

(1)检验员上传数据前需填写《数据存储审批单》。

(2)数据管理员每季度检查检验数据完整性。

3、设备部：设备运行数据存储周期为3年，每年进行一次完整性校验。

(1)设备员每日将设备运行数据上传至指定服务器。

(2)信息中心每半年开展一次设备数据恢复演练。

4、仓储部：物料出入库数据需实时存储，存储介质需定期更换，更换周期不超过2年。

(1)仓管员操作完成后立即上传数据，不得延迟。

(2)数据管理员每月检查存储介质完好性。

(四)监督与职责：信息中心、质量部联合开展数据存储专项检查，检查结果纳入部门绩效考核。

1、信息中心每季度抽查各部门数据存储情况，发现问题下发整改通知。

2、质量部每月审核生产部数据存储记录，不合格项通报批评。

(五)协调联动：

1、生产部与仓储部数据交接时需填写《数据交接单》，双方签字确认。

2、各部门数据管理员每月参加信息中心组织的存储管理培训。

三、数据分类分级与存储要求

(一)数据分类：企业数据分为核心数据、重要数据、一般数据三类，核心数据包括生产批次数据、质量检验数据、药品追溯数据等。

1、核心数据必须存储在加密服务器内，禁止使用移动存储介质。

2、重要数据需双份存储，一份本地存储，一份异地存储。

(二)存储介质管理：

1、服务器存储空间需每月检查，不足时提前申请扩容。

(1)存储空间利用率超过85%时，信息中心提交扩容申请。

(2)新增存储设备需通过安全检测方可接入网络。

2、移动存储介质使用需登记备案，使用后立即归还，禁止个人留存。

(1)使用《移动存储介质借用登记表》管理U盘、移动硬盘等设备。

(2)介质消毒周期不超过3个月，损坏立即报废。

(三)备份管理：

1、核心数据每日备份，重要数据每周备份，一般数据每月备份。

(1)信息中心制定《数据备份操作规程》，明确备份时间、方式。

(2)备份数据存储在专用机房，上锁保管。

2、每月开展一次数据恢复测试，记录结果存档。

(1)恢复测试由信息中心组织，质量部参与验证。

(2)测试不合格项需立即整改。

(四)存储安全：

1、核心数据传输需加密处理，禁止明文存储。

(1)信息中心配置专用加密软件，覆盖所有核心数据。

(2)传输日志保存期限为2年。

2、访问权限按岗位分级设置，禁止越权访问。

(1)权限变更需填写《数据访问权限变更申请单》。

(2)离职员工权限立即撤销。

四、数据存储操作规范

(一)管理目标与核心指标：确保数据存储准确率不低于99%，核心数据备份及时率达到100%，数据访问响应时间不超过5秒，存储空间利用率控制在80%至90%之间。

1、每月统计数据存储准确率，由信息中心汇总报总经理。

2、每季度评估备份及时率，质量部抽查验证。

(二)专业标准与规范：

1、生产数据存储需符合GMP附录11要求，采用不可逆加密算法。

(1)生产部制定《生产数据存储操作手册》，信息中心审核。

(2)加密密钥需双重保管，信息中心与生产部各持一份。

2、设备数据存储需包含振动、温度等参数，每年校准一次采集设备。

(1)设备部每月检查数据完整性，信息中心复核。

(2)校准记录存档2年，与设备档案一并管理。

3、高风险控制点：核心数据存储介质更换需经双人核对，重要数据传输需监控日志。

(1)信息中心制定《存储介质更换操作规程》，明确消毒、登记流程。

(2)传输日志保存期限为6个月，由信息中心定期审计。

(三)管理方法与工具：采用“分类存储+定期校验”方法，使用自动化备份软件，简化操作流程。

1、数据分类存储在专用服务器，按数据类型分配存储空间。

(1)核心数据使用专用存储阵列，重要数据采用分布式存储。

(2)信息中心每季度评估存储效率，优化空间配置。

2、自动化备份软件每日凌晨自动执行备份任务，信息中心每月检查执行记录。

(1)软件需与数据库实时同步，确保备份时效性。

(2)异常自动报警，信息中心30分钟内响应。

五、数据存储流程管理

(一)主流程设计：数据存储流程分为“需求申请-审批配置-执行存储-验证归档”四个环节，各环节责任主体明确，总时限不超过5个工作日。

1、需求申请阶段：各部门填写《数据存储申请表》，信息中心审核。

2、审批配置阶段：信息中心配置存储资源，生产部、质量部确认参数。

3、执行存储阶段：信息中心完成数据迁移，各使用部门测试功能。

4、验证归档阶段：信息中心出具《存储配置验收单》，存档备案。

(二)子流程说明：针对特殊场景设计专项子流程，与主流程衔接。

1、紧急存储子流程：突发事件需临时存储时，经部门负责人签字，信息中心优先处理。

(1)处理时限不超过2小时，事后补办正式申请。

(2)信息中心每日统计紧急存储情况，每月汇总分析。

2、存储介质更换子流程：存储介质使用超过1年需更换，信息中心提前15天通知使用部门。

(1)更换过程需全程录像，双方签字确认。

(2)旧介质按危险废物处理，信息中心联系专业机构回收。

(三)流程关键控制点：设置数据存储配置变更双重校验机制，高风险操作需交叉复核。

1、核心数据存储配置变更需信息中心与生产部双重签字。

(1)变更内容需在《数据存储配置变更记录》中记录。

(2)信息中心每月抽查变更执行情况。

2、重要数据访问需记录IP地址与操作人，信息中心每季度审计。

(1)审计结果与部门绩效考核挂钩。

(2)发现异常立即通知部门负责人。

(四)流程优化机制：每年6月组织流程复盘，简化审批环节，提高存储效率。

1、复盘内容含存储资源利用率、操作时长、异常率等指标。

(1)信息中心收集各部门改进建议。

(2)优化方案需经总经理批准。

2、简化审批环节：金额低于1万元的存储申请由信息中心直接配置，不再审批。

(1)信息中心每月统计此类申请占比。

(2)占比超过50%需重新评估审批权限。

六、数据存储权限管理

(一)权限设计：按“业务类型+数据敏感度+岗位层级”分配权限，分为“只读、编辑、管理”三级。

1、生产数据编辑权限仅限生产部核心岗位，信息中心配置。

2、质量数据管理权限仅限质量部负责人，总经理审批。

(二)审批权限标准：常规权限申请由信息中心审批，特殊权限需部门负责人签字，总经理批准。

1、常规权限申请：各部门填写《权限申请表》，信息中心3个工作日内配置。

2、特殊权限申请：金额超过10万元的存储配置需总经理签字。

(1)审批记录存档3年，信息中心定期抽查。

(2)发现违规立即撤销权限，并通报批评。

(三)授权与代理：授权需填写《授权委托书》，明确授权期限不超过6个月。

1、授权备案：授权书交信息中心存档，同时通知被授权人。

2、代理管理：临时代理需填写《代理授权单》，最长不超过7天。

(1)代理期间权限受限，禁止核心操作。

(2)交接时双方签字确认，信息中心审核。

(四)异常审批流程：紧急情况需加急审批，特殊情况需附书面说明。

1、加急审批：部门负责人签字，信息中心当天配置。

2、特殊情况：审批需附《异常情况说明》，信息中心审核后执行。

(1)异常审批结果存档1年，作为后续评估依据。

(2)信息中心每月分析异常原因，优化制度。

七、数据存储监督执行

(一)执行要求与标准：数据存储操作需符合《操作规范手册》，记录完整，信息留存不少于3年。

1、操作规范：各环节需填写相应记录表，信息中心定期检查。

(1)生产数据存储需填写《生产数据存储记录》，班组长签字。

(2)信息中心每月抽查10%记录，不合格项通报。

2、痕迹留存：所有操作需在系统中留痕，禁止手动删除。

(1)信息中心每月校验系统日志完整性。

(2)发现篡改立即追责，并暂停相关权限。

(二)监督机制设计：建立“每月例行检查+每季度专项检查”双重机制，覆盖存储环境、配置参数、操作记录。

1、例行检查：信息中心每月最后一个工作日检查，重点核对备份日志。

(1)检查结果在《检查记录表》中记录，部门负责人签字确认。

(2)连续两次不合格的部门需整改。

2、专项检查：质量部、信息中心每季度联合开展，重点关注核心数据。

(1)检查内容含存储空间、加密状态、备份恢复等。

(2)检查结果作为部门绩效参考。

(三)检查与审计：检查采用抽样审计方法，核心数据100%覆盖，重要数据覆盖率不低于80%。

1、审计方法：信息中心使用自动化工具扫描存储配置，人工复核异常项。

2、审计报告：形成《数据存储审计报告》，含问题清单、整改要求。

(1)问题清单需明确责任人与完成时限。

(2)信息中心跟踪整改情况，逾期通报。

(四)执行情况报告：各部门每月提交执行报告，含存储使用量、风险事件、改进建议。

1、报告内容：简明扼要，重点突出问题与措施。

(1)信息中心汇总报告，分析趋势。

(2)报告结果用于制度优化。

2、报告主体：生产部、质量部、信息中心分别提交，行政部汇总。

(1)信息中心每月5日前收到报告。

(2)报告不作为独立考核依据，但作为绩效参考。

八、考核与改进管理

(一)绩效考核指标：设置存储准确率（40%）、备份及时率（30%）、访问安全率（30%）三项核心指标，考核对象为各部门数据管理员及使用人员，采用百分制评分，与季度绩效挂钩。

1、存储准确率通过数据校验工具统计错误率评分。

2、备份及时率按每日备份任务完成率计算。

(二)评估周期与方法：每季度末进行考核，采用信息中心组织抽查、部门自评相结合的方式，重点关注核心数据存储情况。

1、信息中心抽查各部门20%数据存储记录。

2、部门自评需填写《季度考核表》，信息中心复核。

(三)问题整改机制：建立“发现问题-3日内整改-信息中心复核-1周内销号”闭环，一般问题由部门负责人负责，重大问题由总经理协调。

1、信息中心发现问题时立即下发《整改通知单》。

2、整改完成后提交《整改报告》，信息中心现场检查。

(四)持续改进流程：每年12月组织制度评估，收集各部门建议，简化不合理条款，次年1月发布修订版。

1、评估含制度执行率、问题发生率、员工满意度等指标。

2、修订版需经总经理审批，信息中心组织培训。

九、奖惩管理办法

(一)奖励标准与程序：奖励情形包括数据恢复突出贡献、制度创新、连续一年无存储事故等，奖励类型为奖金或荣誉证书，金额不超过1000元，按“提出申请-部门审核-信息中心审批-公示一周-财务发放”流程执行。

1、奖金标准：按贡献大小分三级，最高1000元。

2、荣誉证书由总经理颁发。

(二)处罚