信息技术安全政策及安全意识培训课件.pptx

1、信息技术安全政策及安全意信息技术安全政策及安全意识培训识培训培训的目标掌握信息安全的基本概念、理念和惯例建立对信息安全的敏感意识和正确认识了解公司各项IT政策政策(用户相关用户相关)熟悉对应于IT政策的安全标准安全标准及流流程程清楚可能面临的威胁和风险在日常工作中养成良好的安全习惯意识意识制度制度行为行为 什么是信息什么是信息安全安全 相关的相关的IT政策政策l 公司信息安全组织架构lInformation Owner/Representative信息所有者/委派人机制l IT资源的合法使用l 接受和批露公司的机密信息 安全标准与实践安全标准与实践l 保密意识:数据保密等级划分l 你的密码l

2、办公环境安全l 信息安全事件呈报程序l 注意社交工程l 避免信息安全常见错误 你的你的责责任任主要内容什么是“信息 安全”?保密性（保密性（Confidentiality）：）：非授权用户看不到。完整性（完整性（Integrity）：）：确保不会被非授权篡改、一致性。可用性（可用性（Availability）：）：确保授权用户想用的时候用得着。存储在计算机、磁带、纸张等介质中（数据、文件资料）记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播信息安全组织结构信息安全管理组织架构信息安全管理组织架构信息安全委员会信息安全委员会Information Owners -CEO，COO，CIO用

3、户用户（Users)公司各部门、供应商公司各部门、供应商/合作伙伴合作伙伴信息安全主管信息安全主管IT Risk Manager业务信息安全主管业务信息安全主管Information Owner Representatives决策层决策层协调协调/管理管理/执执行层行层用户用户（内（内/外部）外部）信息所有者/委派人机制 1)各体系内信息安全的最终责任人/接口人 2)信息资源清单 3)供应商ORE(Overall Risk Evaluation)评估 4)应用系统风险评估 5)重大安全事故调查 6)用户系统权限审批 7)数据需求/修改/使用审批 8)应用需求(CR)和测试(UAT)审批 9)记

4、录和信息管理(RIM)10)审计发现审批执行信息所有者执行信息所有者/委派人机制，公司所有业务相关信息（系统委派人机制，公司所有业务相关信息（系统/数据）的所有者均为对数据）的所有者均为对应体系应体系/部门最高负责人，以下具体流程工作可授权给委派人审批：部门最高负责人，以下具体流程工作可授权给委派人审批：1.业务系统数据所有者是谁？业务系统数据所有者是谁？2.公司信息安全的谁的职责公司信息安全的谁的职责?讨论讨论IT资源的合法使用 办公电脑办公电脑/电话电话 互联网互联网 电子邮件电子邮件 无线网络无线网络 软件的获取软件的获取/使用使用 防病毒软件防病毒软件 1.1.回归常识，回归常识，用户

5、都应有良好的行为判断，不确定处联系用户都应有良好的行为判断，不确定处联系ITIT2.2.公司允许因家庭和私人事务而偶尔使用上述公司允许因家庭和私人事务而偶尔使用上述ITIT资源，但是不得资源，但是不得影响工作、其他业务需求或违反法律或公司制度影响工作、其他业务需求或违反法律或公司制度3.3.滥用或违反政策将受到处分，包括直接中止雇佣关系滥用或违反政策将受到处分，包括直接中止雇佣关系(同样适同样适用于以下所有用于以下所有ITIT政策政策)对上述所有公司对上述所有公司IT资源的使用，用户请记住三点：资源的使用，用户请记住三点：公司公司已签署已签署公安部公安部 计算机信息网络国际联网单位计算机信息网

6、络国际联网单位信息安全保信息安全保卫责任书卫责任书，责任书明确要求：，责任书明确要求：IT资源的合法使用(续)公司会对员工上网行为进行记录公司会对员工上网行为进行记录 公安部会随时进行检查公安部会随时进行检查n 员工在上网时请不要从事非工作以及必要信息检索以外的行为，员工在上网时请不要从事非工作以及必要信息检索以外的行为，如果有如果有任何不适当的言论行为，可能导致公司受到警告，罚款，停止联网，停机整任何不适当的言论行为，可能导致公司受到警告，罚款，停止联网，停机整顿等严厉处罚，个人也需要承担相应的法规责任。顿等严厉处罚，个人也需要承担相应的法规责任。意意味味着着什什么么三、不利用国际联网制作、

7、复制、查阅和传播下列信息：三、不利用国际联网制作、复制、查阅和传播下列信息：(一一)煽动抗拒、破坏宪法和法律、行政法规实施的；煽动抗拒、破坏宪法和法律、行政法规实施的；(二二)煽动颠覆国家政权，推翻社会主义制度的；煽动颠覆国家政权，推翻社会主义制度的；(三三)煽动分裂国家、破坏国家统一的；煽动分裂国家、破坏国家统一的；(四四)煽动民族仇恨、民族歧视，破坏民族团结的；煽动民族仇恨、民族歧视，破坏民族团结的；(五五)捏造或者歪曲事实，散布谣言，扰乱社会秩序的；捏造或者歪曲事实，散布谣言，扰乱社会秩序的；(六六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；宣扬封建迷信、淫秽、色情、

8、赌博、暴力、凶杀、恐怖，教唆犯罪的；(七七)公然侮辱他人或者捏造事实诽谤他人的；公然侮辱他人或者捏造事实诽谤他人的；(八八)损害国家机关信誉的；损害国家机关信誉的；(九九)其他违反宪法和法律、行政法规的其他违反宪法和法律、行政法规的IT资源的合法使用(续)出差时，笔记本电脑必须随身携带（不得作为行李托运）出差时，笔记本电脑必须随身携带（不得作为行李托运）不得自行下载或安装软件不得自行下载或安装软件 谨慎使用无线网络谨慎使用无线网络 谨慎使用智能手机谨慎使用智能手机 任何安全事件须及时上报任何安全事件须及时上报IT Helpdesk/IT Risk IT Helpdesk/IT Risk 特特别

9、别注注意意 机密信息批露的决定必须由相关部门适当级别管理层做出（即信息所有者机密信息批露的决定必须由相关部门适当级别管理层做出（即信息所有者/委派人）委派人）在任何机密信息放开给第三方之前，必须先签署保密协议在任何机密信息放开给第三方之前，必须先签署保密协议 针对密级为保密和限制信息的传统介质，公司员工应执行针对密级为保密和限制信息的传统介质，公司员工应执行“桌面清理桌面清理”政策政策 机密或限制性信息的销毁，应按照机密或限制性信息的销毁，应按照“确保无法复原确保无法复原”的原则进行的原则进行 必须执行保密协议规定的条款，保证不以任何方式泄露或复制第三方提供必须执行保密协议规定的条款，保证不以

10、任何方式泄露或复制第三方提供的机密性信息并不将第三方机密性信息用于公司之外的业务的机密性信息并不将第三方机密性信息用于公司之外的业务 详细信息联系，详细信息联系，CEO/CIO/IT Risk接受和批露机密信息接受和批露机密信息(续)客户信息客户信息业务信息业务信息 价格和其他产品相关信息价格和其他产品相关信息 公司业务运行的信息公司业务运行的信息 客户和潜在客户清单客户和潜在客户清单 业务计划和业务财务状况业务计划和业务财务状况 其他承诺保密的信息其他承诺保密的信息申请或购买产品及服务的个人，包括被保险申请或购买产品及服务的个人，包括被保险人、理赔申请人、受益人和其他人、理赔申请人、受益人和

11、其他 基本信息基本信息 姓名、地址、电话和年龄姓名、地址、电话和年龄 号码号码 身份证号、账户或投资者身份编号、身份证号、账户或投资者身份编号、信用卡号码以及用户名、密码等信用卡号码以及用户名、密码等 财务信息财务信息 收入、财产、负债和信用历史记收入、财产、负债和信用历史记录录 健康状况信息健康状况信息 医疗记录和处方信息医疗记录和处方信息 其他个人信息其他个人信息 驾驶记录、爱好和客户的生驾驶记录、爱好和客户的生活方式及嗜好等活方式及嗜好等 医疗资源数据和理赔数据医疗资源数据和理赔数据客户信息也包含了与团体客户相关的信息和客户信息也包含了与团体客户相关的信息和团险中的个人信息团险中的个人信

12、息员工信息员工信息 员工信息指由公司维护的员工信息指由公司维护的内、外勤信息，包括个人信内、外勤信息，包括个人信息及其与公司的关系息及其与公司的关系 补偿补偿/补助金信息补助金信息 绩效评估绩效评估 身份证号、生日身份证号、生日 健康状况、福利健康状况、福利 政府需要的信息（包括种政府需要的信息（包括种族、宗教、残疾或服役状况）族、宗教、残疾或服役状况）这些，都是机密信息这些，都是机密信息 什么是信息安全什么是信息安全 相关的相关的ITIT政策政策l 公司信息安全组织架构lInformation Owner/Representative信息所有者/委派人机制l IT资源的合法使用l 接受和批露

13、公司的机密信息 安全标准与实践安全标准与实践l 保密意识:数据密级划分l 你的密码l 办公环境安全l 信息安全事件呈报程序l 注意社交工程l 避免信息安全常见错误 你的责任你的责任主要内容1-保密意识:数据密级划分信息拥有者确定能对外公布 如公司网站、市场新闻发布等可能严重严重影响公司的法规遵守或经济状况、客户或特权 如公司战略、合并活并购、身份验证信息(PW/PIN)公司必须保护的客户、员工和业务信息 如客户和员工隐私、客户投资组合、业务或部门策略、业务预算和财务报告、工资和奖金、审计报告等公司内部共享、非上述两种 如员工通讯录、培训材料等请对下列信息的保密级别进行划分：请对下列信息的保密级

14、别进行划分：1.今天信息安全培训资料今天信息安全培训资料2.业务系统数据业务系统数据3.业务系统用户密码业务系统用户密码4.业务系统加密密钥业务系统加密密钥问题问题2-你的密码 Password is your toothbrush,never share with others.2-你的密码(续)3-办公环境安全 客户名单客户名单 电话名单电话名单 密码清单密码清单 进入系统步骤进入系统步骤 通告通告 项目方案计划项目方案计划 个人档案个人档案 财务资料财务资料 客戶往來信件客戶往來信件 系统网络图系统网络图 审计报告审计报告 业务统计业务统计 行销计划行销计划 法律文件法律文件 私人资料私

15、人资料桌上拥有一切桌上拥有一切3-办公环境安全(续)无人陪同的访客无人陪同的访客 遗忘在打印机上的文档遗忘在打印机上的文档 敏感信息传真敏感信息传真 离座时的电脑屏幕离座时的电脑屏幕 在卫生间电话在卫生间电话物理安全比我们想象的更重要物理安全比我们想象的更重要Internal Use 机密信息曝光机密信息曝光 资料遭到破坏资料遭到破坏 公司资产的遗失公司资产的遗失(手提电脑）手提电脑）系统资料完整性发生问题系统资料完整性发生问题 不适当的使用密码不适当的使用密码 非法使用公司资源非法使用公司资源 电脑病毒的侵袭电脑病毒的侵袭 欺诈欺诈 其他侵入方式其他侵入方式4-信息安全事件呈报5-社交工程

16、Social Engineering,Social Engineering,利用社会交往利用社会交往(通常是在伪装之下通常是在伪装之下)从目标对象那里获从目标对象那里获取信息取信息,例如：例如：电话呼叫服务中心、在走廊里的聊天、冒充服务技术人员电话呼叫服务中心、在走廊里的聊天、冒充服务技术人员 著名黑客著名黑客Kevin MitnickKevin Mitnick更多是通过社交工程来渗透网络的，而不是高超的黑更多是通过社交工程来渗透网络的，而不是高超的黑客技术客技术 电影中的电影中的FBIFBI、CIACIA也是如此也是如此 他们的手段远比黑客技术更有效：他们的手段远比黑客技术更有效：瓦解心防瓦

17、解心防先与內部人员建立关系，再伺机从其身上获取信息先与內部人员建立关系，再伺机从其身上获取信息 乔装乔装冒充他人以合法授权或业务需要为理由骗取权限或信息冒充他人以合法授权或业务需要为理由骗取权限或信息 偷窥偷窥利用背後窥视他人输入密码，再以取得密码进入系统获取信息利用背後窥视他人输入密码，再以取得密码进入系统获取信息 尾随尾随尾随合法人员进入安全管制区域尾随合法人员进入安全管制区域 搜寻废弃物搜寻废弃物从中寻找被丟弃的信息从中寻找被丟弃的信息Internal Use 留意你的工作环境留意你的工作环境 将你的电脑及工作区维持在安全的状态，以降低未被授权者趁你不在，将你的电脑及工作区维持在安全的状

18、态，以降低未被授权者趁你不在，而从你处取走或得到公司机密等级含以上信息的机会而从你处取走或得到公司机密等级含以上信息的机会 妥善处置公司机密等级含以上的信息，包括碎纸机的使用妥善处置公司机密等级含以上的信息，包括碎纸机的使用 离开座位时，先将机密等级含以上的信息上锁离开座位时，先将机密等级含以上的信息上锁 离开座位时，将电脑屏幕上锁离开座位时，将电脑屏幕上锁(CTRL+ALT+DEL)(CTRL+ALT+DEL)设屏幕保护程序（屏保）设屏幕保护程序（屏保）避免通过电子邮件发送机密等级含以上的信息避免通过电子邮件发送机密等级含以上的信息(除已加密文件除已加密文件)5-社交工程To Do List

19、 避免让陌生人在办公区域里随便走动避免让陌生人在办公区域里随便走动.应上前询问并带领他应上前询问并带领他/她到要找的人她到要找的人 传真任何文件时应事先检查收件人传真号是否正确传真任何文件时应事先检查收件人传真号是否正确.如发送机密性文件如发送机密性文件,应应事先联系收件人以确保收件人在传真机旁等候。事先联系收件人以确保收件人在传真机旁等候。发送后必须再次联系收件人发送后必须再次联系收件人以确保机密性文件以全部收到以确保机密性文件以全部收到 每天下班前必须退出系统并关机每天下班前必须退出系统并关机一个保险公司的客户向你要我们系统中的一个保险公司的客户向你要我们系统中的客户资料，你怎么处理？客户

20、资料，你怎么处理？讨论讨论引用反黑客专家的数据來说明破解密码是多么容易的事引用反黑客专家的数据來说明破解密码是多么容易的事尤其是选用通俗字句或姓名缩写当密码时尤其是选用通俗字句或姓名缩写当密码时密码规则密码规则密码最小长度不得低于密码最小长度不得低于8位（含），并位（含），并且必须由下列三种类型字符中的两类或且必须由下列三种类型字符中的两类或以上构成：以上构成：大写字母（如，大写字母（如，A,B,C,.Z)和和/或小写或小写字母字母(如，如，a,b,c,.z)阿拉伯数字（如，阿拉伯数字（如，0,1,2,.9)特殊字符特殊字符(如，如，?,!,%,$,#,等等)6-避免常见错误 弱密码 令人惊讶

21、的是许多人让电脑开著卻令人惊讶的是许多人让电脑开著卻未加以适当保护就离开座位未加以适当保护就离开座位6-避免常见错误 离座开屏 当打开电子邮件时当打开电子邮件时 邮件來自於泛泛之交，或陌生人邮件來自於泛泛之交，或陌生人 许多人不假思索就打开电子郵件的附件许多人不假思索就打开电子郵件的附件 发送邮件时发送邮件时,先检查邮件地址与收件人姓名先检查邮件地址与收件人姓名q不要开启來自於陌生人的邮件及附件。不要开启來自於陌生人的邮件及附件。如果收到多封同样的邮件，雖然它们有如果收到多封同样的邮件，雖然它们有的來自於你熟识的人，亦不要开启它。的來自於你熟识的人，亦不要开启它。q马上刪除它马上刪除它!q所有电子邮件都将被过滤与监控以确保所有电子邮件都将被过滤与监控以确保它的安全。它的安全。6-避免常见错误 电子邮件