数据安全管理培训材料-PPT课件.pptx

1、数据安全培训建立对数据安全的正确认识01.知悉数据安全相关规范02.培养安全意识和良好的习惯03.安全寄语04.目录CONTENT什么是数据？和公司其它资源一样，是维持公司持续运作和管理的必要资产，例如政策方针、市场报告、科研数据、计划方案、竞争情报等等，这些信息可能从多个方面对公司运营产生影响。公司运作和管理的必要资产可以是无形的，可借助于媒体以多种形式存在或传播；数据可以存储在计算机、磁带、纸张等介质中；数据可以记忆在人的大脑里；数据可以通过网络、打印机、传真机等方式进行传播。数据的存在及传播方式一个软件公司的老总，等他所有的员工下班之后，他在那里想：我的企业到底值多少钱呢？假如它的企业市

2、值1亿，那么此时此刻，他的企业就值2600万。为什么要搞好数据安全？因为据Borland公司统计，公司价值的26%体现在固定资产和一些文档上，而高达42%的价值是存储在员工的脑子里，而这些信息的保护没有任何一款产品可以做得到，所以需要我们建立信息安全管理体系，也就是常说的ISMS！装有100万的 保险箱需要 3个悍匪、公司损失： 100万装有客户信息的 电脑只要 1个商业间谍、1个U盘，就能偷走。1辆车，才能偷走。数据安全正确认识数据安全正确认识安全策略安全产品IT设施相关人员数据安全业务需求相关人员安全策略IT设施安全产品数据安全设计部署运行数据管理系统数据存储系统数据传输系统数据处理系统数

3、据安全事件不发生安全事故少发生安全事故发生事故减少损失安全事故信息管理数据安全正确认识06050403080702011009060504030807020110091、数据安全管理对象2、客户服务中心数据安全管理规范数据安全相关规范现阶段特指客户方强调的客户数据，具体内容包括：与客户相关的1、联系电话；2、详细地址（区、镇以后的详细地址）；3、身份证号码；4、邮箱、MSN、QQ号等；以上及其他任一联系方式。 敏感数据：数据安全管理对象【总则】【安全规范】【处理流程】【处罚规范】数据安全相关规范第一条 客户数据是重要的信息资源。客户数据的丢失、泄露必将给带来不同程度的各种损失。为了保障客户服务

4、中心数据安全，根据有关法规，特制定本规范。第二条 数据安全管理规范的目的，是为了防止客户服务中心数据的丢失、泄露与被破坏以及非法生成、变更，确保数据的保密性。第三条 客户数据保密性是指在数据的采集、传输、处理、存储、提供等过程中通过各种技术手段和完善的规章制度，使数据不丢失、不被破坏，未经授权不被访问，保证数据的安全。第四条 数据管理部对于关联业务公司数据类业务的操作规范进行审核。【总则】数据安全相关规范第五条 客户服务中心数据安全管理对象为：所有利用计算机和计算机网络进行输入、存储、传输、处理、再加工和输出的包含有客户信息类数据。包括：文字材料、数据报表、各类原始凭证、图形图象等输入处理对象

5、，计算机内部存储和网络传输的各类数据，计算机输出的磁存储、光存储及各类纸介质打印数据。【第二章】数据安全管理的范围数据安全相关规范第六条 客户数据必须有据、合法。必须经过合法的手续和规定的渠道采集、存储、加工、处理和传输数据，采用的数据范围应与规定的用途相符。第七条 客户数据使用与管理的统一。客户数据使用者必须承担数据的管理职责，有责任保护数据，防止数据的丢失、泄露与被破坏。第八条 根据权限使用数据。数据的使用者只能使用其权限范围内的数据。任何人不能使用未被授权的数据。第九条 及时备份数据。数据使用者应注意及时进行数据备份，以防止数据的丢失和被破坏。对于特殊、重要的数据，系统应建立备份与灾难恢

6、复系统，随时自动进行数据的备份【第三章】数据安全管理的原则数据安全相关规范第十条 客户数据的使用必须经过批准。未经有关批准手续，不得传输数据，不得泄露给内部或外部的无关人员。第十一条 保密数据应严格按保密规定处理。未经批准解密的数据，不得对外提供或发布。第十二条 建立必要的监督、管理机制。建立完整的数据安全管理制度和规定，确保数据在数据处理各环节中的安全，保证数据的使用者和管理者的合法权益。【第三章】数据安全管理的原则数据安全相关规范第十三条 敏感数据的导入导出，所使用的帐号必须由内部指定专人保管与使用。第十四条 在敏感数据的传递过程中提供数据方和接受数据方都应对数据进行加密，密码与数据要分开

7、保证数据的安全性。第十五条 收到客户信息类数据后，必须及时进行数据处理且不得以任何形式复制保留敏感数据。第十六条 为了保证数据的安全性，必须对数据的操作者和使用者进行职责授权和使用授权确认【第四章】数据处理各环节安全要求数据安全相关规范第十七条 必须对采集数据的合法性、输入数据的有效性及业务处理的正确性进行全面确认；必须采用各种有效的技术手段与岗位职责，确保采集、存储、传输、处理、加工和输出的数据正确可用。第十八条 对客户数据中的所有敏感数据都应根据其重要性和应用需求，决定操作人员的存取权限和存取方式。第十九条 采取相应的保密措施和管理办法，确定内部数据使用和对外信息发布的数据范围和报批手续。

8、第二十条 对相关的客户资料非必要不允许打印或如需借用秘密文件需通过数据管理部部长签字，输出的文件应当按照相应密级文件管理，且打印后产生的残废页须及时销毁。【第四章】数据处理各环节安全要求数据安全相关规范第十七条 必须对采集数据的合法性、输入数据的有效性及业务处理的正确性进行全面确认；必须采用各种有效的技术手段与岗位职责，确保采集、存储、传输、处理、加工和输出的数据正确可用。第十八条 对客户数据中的所有敏感数据都应根据其重要性和应用需求，决定操作人员的存取权限和存取方式。第十九条 采取相应的保密措施和管理办法，确定内部数据使用和对外信息发布的数据范围和报批手续。第二十条 对相关的客户资料非必要不

9、允许打印或如需借用秘密文件需通过数据管理部部长签字，输出的文件应当按照相应密级文件管理，且打印后产生的残废页须及时销毁。【第五章】应用系统和系统平台安全要求数据安全相关规范第二十四条 系统应建立对资源访问的审计跟踪系统，审计记录：身份及验证机制的使用，用户对系统资源的访问，操作系统、数据库管理系统的行为，以及与数据安全相关的事件。审计记录的访问只能是被授权的只读访问，任何人不得修改。第二十五条 客户信息类数据文件需要保存有合理安全配置的存贮空间上，防止未经授权的访问；对文件应按备份计划定期归档，不再需要的文件应该按计划清除。【第五章】应用系统和系统平台安全要求数据安全相关规范第二十六条 严格遵

10、守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。第二十七条 员工在使用自己所属的计算机时，应该设置开机、屏幕保护口令；屏幕保护程序启动等待时间为10分钟，并且屏幕保护程序必须为操作系统自带的，在设置目录共享时，应该设置共享口令。【第六章】终端与人员要求数据安全相关规范第二十八条 严格禁止计算机通过Modem或加装其它上网设备（如：3G上网卡、CDMA卡等类似设备）等连接到外部网络。第二十九条 员工的互联网访问权限只限本人使用，不得通过设置代理等方式提供

11、给其他员工使用。第三十条 所有访问敏感信息的员工、承包方和第三方人员要在能访问信息处理设施前签署保密协议。并参加相应数据安全规范的培训。【第六章】终端与人员要求数据安全相关规范第三十一条 在员工正式投入工作、获准访问敏感信息或信息系统之前，应再次向该员工明确和细化其岗位所承担的信息安全责任和相关要求。第三十二条 工作电脑中，不得存储任何有关客户信息类数据资料。第三十三条 有关密码授权工作人员调离岗位，有关部门负责人须指定专人接替并对密码立即修改或用户删除。【第六章】终端与人员要求数据安全相关规范第三十五条 安全整改单位需在3个工作日内做出改善安排。第三十六条 安全改善事项的进展每5个工作日须向

12、市场部CRM科提交整改进度。第三十七条 安全改善完毕后，相应安全检查部门需进行成果复查直至整改完善。第三十八条 整改结果将直接作为该单位是否遵循客服中心数据安全管理规范执行相关管理规范。【第七章】处理流程数据安全相关规范第三十四条 处罚部分，按照违规的程度分为4个层次，2个方面；a）最重处罚：扣除合同30%考核金额，对直接责任人及公司领导免职及经济处罚；b）次重处罚：扣除合同20%考核金额，对直接责任人及主管领导进行相应行政及经济处罚；c）中等处罚：扣除合同10%考核金额，对直接责任人及直属领导进行相应行政及经济处d）轻微处罚：对直接责任人进行相应行政处罚；【第八章】处罚规范数据安全相关规范1

13、.对个人用计算机要设置帐户密码；2.信息安全规定个人电脑口令长度应该不低于6位，服务器口令长度应该不低于8位且最好要为大写字母、小写字母、数字、特殊字符的组合，防止非法用户猜出你的密码；3.加强对计算机信息保护，离开机器时要及时对机器锁屏（Win+L）；4.计算机防病毒软件，经常升级病毒库；5.加强对移动计算机的安全保护，防止丢失； 计算机使用安全数据安全良好的习惯1.不在电话中说工作敏感信息；2.不通过email传输敏感信息，如要通过EMAIL最好加密以后再传输；3.电话回叫首先要确认身份；4.防止信息窃取；5.不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序；6.不随意打开可执行的邮

14、件附件，如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,打开附件时最好进行病毒检查；社交信息安全数据安全良好的习惯1.每次接触的客户信息资料要及时回放，不要随手乱丢2.学习数据安全的相关规定，熟悉重要数据的处理方法；3.对于自己接触到的相关信息，在工作外不能随便乱讲；4.建立外人探听自己信息的防范之心，拒绝物质诱惑；5.不随意在网上发表关于工作重要的信息内容；重要的信息保密数据安全良好的习惯安全基本上是一个“人”的问题，计算机不会主动发起攻击。遭受攻击只是时间早晚的问题，而不是会不会发生的问题。一次入侵只需针对一个薄弱点，防御系统却要做到全方位的安全。足够的准备就是“一次大灾难”与“仅仅一次小麻烦”的区别。安全不是一个技术层面的问题，而是一个管理层面。100%的安全无法实现，最终目标是要追求成本与安全收益平衡。信息安全寄语信息安全寄语数 据 传 输 要 加 密 ， 接 收 对 象 要 明 确 ；系 统 帐 号 分 开 管 ， 使 用 帐 号 需 登 记 ；帐 号 密 码 定 期 改 ， 专 人 管 理 要 保 密 ；工 作 电 脑 要 合 规 ， U 口 外 网 要 禁 止 ；安 全 情 况 定 期 查 ， 查 出 纰 漏 要 改 善 ；数 据 安 全 要 牢 记 ， 涉 及 数 据 慎 言 行 。安全要旨谢谢