银行科技外包厂商信息安全培训课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《银行科技外包厂商信息安全培训课件.pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 科技 外包 厂商 信息 安全 培训 课件
- 资源描述:
-
1、银行科技外包厂商信息安全培训科技运维部 安全管理处 一、培训目的 银监会2013年颁布的银行业金融机构信息科技外包风险监管指引第三十八条在外包服务安全管理方面有明确要求,要求对外包人员进行信息安全培训,提高外包人员风险管理意识,确保信息安全管控措施在外包服务过程中有效落实。二、信息安全基础知识信息的基本安全属性保密性(Confidentiality):信息不泄露给未授权的访问者、实体、和进程,或被其利用;完整性(Integrity):信息在存储或者传输过程中保持未经授权不能改变的特性,即对抗主动攻击,保持数据一致,防止数据被非法用户修改和破坏;可用性(Availability):信息可被授权者
2、访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒绝。信息安全的目标保证信息的一系列安全属性得到保持、不被破坏,从而达到对组织业务运营能力的支撑作用。信息安全问题根源内因是信息系统自身存在脆弱性。外因是信息系统面临着众多的威胁三、信息安全风险 信息安全风险风险,指事态的概率及其结果的组合(GB/Z 24364-2009信息安全风险管理指南)信息安全风险,指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响(GB/T 20984-2007信息安全风险评估规范)信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性 信息安全风险
3、构成:风险的构成包括五个方面:起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)和后果(影响)三、信息安全风险 风险管理GB/Z 24364信息安全风险管理指南:四个阶段,两个贯穿 监控审查沟通咨询四、信息安全控制措施信息安全控制措施 控制措施是管理风险的具体方法和手段 控制目标内部组织:实现对组织内部的信息安全管理外部各方:保持组织被外面各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。资产管理对资产负责:实现和保持对组织资产的适当保护信息分类:确保信息受到适当级别的保护 四、信息安全控制措施 人力资源安全任用前:确保雇员、承包方人员和第三方人员理解其工作职责并适合
4、预期角色,以降低设施被窃、欺诈和误用的风险任用中:确保所有雇员、承包方和第三方人员了解信息安全威胁和危害,明确其工作应承担的安全职责和义务,如果违反安全规定将会受到的纪律处理,通过安全培训使其掌握信息处理设施的安全正确使用方法,以减少人为过失造成的风险任用的终止或变化:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系,包括调换岗位或岗位职责发生变化 物理和环境安全 安全区域:防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息及信息处理设施应放在安全区域内,并受到相应保护设备安全:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断 四、信息安全
展开阅读全文