YM-WI-HR-023 A0 信息安全保障及规划方案.docVIP

文件名称：信息安全保障及规划方案 文件编号：YM-WI-HR-023 版本：A0 第 PAGE 6 页 共 NUMPAGES 6页 文件编号 YM-WI-HR-023 版本 A0 生效日期 2020/03/24 密级程度 内部资料 发放范围 资讯部、人事行政部、工程部、生产部、质量管理部、研发部、销售部、市场部、计划物流部、采购部、财务部 信息安全保障及规划方案 编制部门： 资讯部 拟 制: 詹旋 审 核: 朱海斌 批 准: 朱海斌 修订记录 修订日期 版本 修订内容 2020/03/24 A0 首次发行 目的 对所有员工进行基本信息安全教育，为信息安全系统相关技术人员提供专门的安全理论和安全技能培训，提高全员的安全意识，打造一支高素质的专业技术和管理队伍。 适用范围 本公司所有人员。 权责 3.1资讯部：负责制度的制定、执行、监督。 3.2各部门：遵守执行本制度。 定义 无 5、作业内容 5.1、信息安全建设目标 5.1.1、一个目标、 基于安全基础设施、以安全策略为指导，提供全面的安全服务内容，覆 盖从物理、网络、系统、直至数据和应用平台各个层面，以及保护、检测、响应、恢复等 各个环节，构建全面、完整、高效的信息安全体系，从而提高组织信息系统的整体安全等 级，为组织的业务发展提供坚实的信息安全保障。 5.1.2、两种手段、 信息安全建设应该包括安全技术与安全管理两种手段。其中安全技术 手段是安全保障的基础，安全管理手段是安全技术手段真正发挥效益的关键，管理措施的 正确实施同时需要有技术手段来监管和验证，两者相辅相成，缺一不可。 5.1.3、三个体系、 信息安全建设最终形成3个主要体系，具体包括安全技术管控体系、安 全管理体系、运营保障体系。 5.2、信息安全保障及规划方案原则 5.2.1、统一规划、 要对信息系统安全体系建设进行统一的规划，制定信息安全体系框架， 明确保障体 系中所包含的内容。同时，还要制定统一的信息安全建设标准和管理规范，使 得信息安 全体系建设能够新循一致的标准，管理能够新循一致的规范。 5.2.2、分步有序实施、 信息安全体系的建设，内容庞杂，必须坚持分步有序实施原则，循 序渐进地进行。 5.2.3、技术、管理并重、 仅有全面的安全技术和机制是远远不够的，安全管理也具有同样 的重要性。东莞英脉通信技术有限公司信息安全体系的建设，必须遵循安全技术和安全管 理并重的原则。 5.2.4、突出安全保障、 信息安全体系建设要空出安全保障的重要性，通过数据备份、冗余 设计、安全审计、灾难恢复等安全保障机制，保障业务的持续性和数据的安全性。 5.3、信息安全策略 5.3.1、物理安全策略、 计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、 布线施工方面的标准，保证物理环境安全。关键应用系统的服务器主机和前置机服务器、 主要的网络设备必须放置于计算机机房内部的适当位置，通过物理访问控制机制，保证这 些设备自身的安全性。 应当建立人员出入访问控制机制，严格控制人员出入计算机机房和其它重要安全区域，访问控制机制还需要能够提供审计功能，便于检查和分析。 5.3.2、网络安全策略、 必须对网络和信息系统进行安全域划分，建立隔离保护机制，并 且在各安全域之间建立访问控制机制，杜绝发生未授权的非法访问现象，特别的，必须对 生产网和办公网进行划分和隔离。 应当部署网络管理体系，管理网络资源和设备，实施监控网络系统的运行状态，降低网络故障带来的安全风险。 应当对关键的通信线路、网络设备提供冗余设计，防止关键线路和设备的单点故障造成通信服务中断。 应当在各安全域的边界，综合部署网络安全访问措施，包括防火墙、入侵检测、 VPN，建立多层次的，立体的网络安全防护体系。 应当建立网络弱点分析机制，发现和弥补网络中存在的安全漏洞，及时进行自我完善。 应当建立远程访问机制，实现安全的远程办公和移动办公。 应当指定专门的部门和人员，负责网络安全系统的规划、建设、管理维护。 应当建立网络安全系统的建设标准和相关的运营维护管理规范，在范围内指导实际的系统建设和维护管理。 管理机构应当定期对网络安全措施和安全管理制度的有效性和实施状况 进行检查，发现问题，进行改进。 5.3.3、系统安全策略、 应当对关键服务器主机设备提供冗余设计，防止单点故障造成网络服务中断。 应当建立主机系统软件版本维护机制，及时升级系统版本和补丁程序版本，保持系统软件的最新状态。 应当建立主机系统软件备份和恢复机制，在灾难事件发生之后，能够快速实现系统恢复。 可以建立主机入侵检测机制，发现主机系统中的异常操作行为，以及对主机发起的攻击行为，并及时向管