IT服务与信息安全(38页)摘要.pptVIP

* * 信息是一种资产，它涵盖由宇通公司员工所创造的所有信息，同其他重要的商业资产一样，对一个组织而言都具有一定价值，需要加以保护。 信息保密根据其价值、敏感程度、泄漏给企业带来的影响不同，可分为绝密、机密、保密三个级别。 绝密 最重要的企业秘密，一旦泄漏，会对公司的正常运营带来特别严重的损害，降低公司市场竞争力、销售收入或盈利能力；比如直接影响集团公司权益的重要决策文件（永久期限）； 机密 重要的企业秘密，一旦泄漏，会对公司的正常运营带来影响，引起法律纠纷或影响部门、企业、合作伙伴间的合作关系；比如公司人事档案、合同、协议等；（5年期限） 保密 绝密和保密范围外的其它信息资产，在宇通员工范围内均可以查看。（3年期限） 信息资产的保密级别 指对有意盗窃、泄密公司保密信息的，或者有意违反信息安全管理规定，性质严重造成重大损失的行为 指对有意违反信息安全管理规定，性质严重或造成公司损失的行为 指对有意违反信息安全管理规定，性质严重或造成公司损失的行为 指对违反信息安全管理规定，性质较轻，没有造成公司损失的行为 一级违规 二级违规 三级违规 四级违规 信息安全违规的等级划分 违规 信息安全 违规 信息安全 违规 信息安全 违规 信息安全 四级 违规 未经批准，安装公司非标准或注册软件 通过各种信息通信方式（邮件，USB,RTX即时通信等）发送传递与工作无关文 件(人数少,性质不严重) 未按公司规定机箱上锁和封闭USB口 利用公司互联网访问工作无关的网站，或无报备连续24小时下载超过1G的与工作无关的文件 信息安全在执行审计或安全流程过程中，员工有意为难或阻止执行 常见的信息安全违规行为-四级违规 违规 信息安全 违规 信息安全 违规 信息安全 违规 信息安全 三级 违规 未经批准，访问游戏，娱乐站点及与工作无关的任何站点 未经批准，在公司信息系统范围内通过其它方式登陆互联网或盗用合法用户IP访问互联网 未经批准，转借信息系统帐号或随意将密码告诉他人 非正当渠道获取或传递保密文档 未按照信息资产分类授权表的信息资产授权范围，私自将公司文档或信息授予未经授权的任何其他人员（包括公司人员和非公司人员） 损坏、泄露保密级以上级信息；或因个人操作不当，对公司信息资产的保密性、完整性、可用性造成危害，导致较小影响和破坏的信息安全事件。 常见的信息安全违规行为-三级违规 违规 信息安全 违规 信息安全 违规 信息安全 违规 信息安全 二级 违规 常见的信息安全违规行为-二级违规 发送与工作无关连环邮件(人数多,性质严重,影响范围大) 访问不健康网站或通过各种信息通信方式（外网邮箱，QQ，MSN等通信工具）向外部发送公司未经授权发送的公司文件。 未经允许，在各种媒体、公众场合发表与公司有关的评论或言论或文章 未经批准，私自转借笔记本电脑及各种便携存储设备 私自刻录文档，盗用他人帐号 非法收集大量与本岗位工作无关机密级以上文档 员工在离岗期间未按照公司《员工离岗调动规定》，私自删除，拷贝，修改自己终端计算机系统内的信息资产 未按照公司IT设备相关规定私自调配使用IT资产 违规 信息安全 违规 信息安全 违规 信息安全 违规 信息安全 一级 违规 常见的信息安全违规行为-一级违规 有意散布传播政治性言论或公司内部未公开的信息 恶意攻击公司网络和信息系统，编制或传播病毒程序 有意窃取、盗卖公司保密信息，恶意损坏、泄漏机密级以上信息； 因个人工作原因造成的绝密信息资产丢失(包括管理员备份的电子文件,数据库文件无法正常恢复，以及员工自己保存的纸质文档电子文档信息资产)。 1、信息资产只用于授权范围内使用。各体系部门产生的所有文档都要加注信息安全封面，特别要明确保密等级及授权范围。将信息资产输出到公司以外范围时，需经领导审批同意后向部门信息安全管理员登记备案。 2、经过正常授权获得保密信息的人员无权将所获得的保密信息再授权，也不得提供给任何未经授权发送的第三方。禁止员工私下交流保密信息。 3、办公室信息安全 员工下班后桌面上不能有保密级以上纸件文档； 员工离开座位超过10分钟，桌面上不能有保密级以上文档； 保密信息文档应放在带锁抽屉或保密柜内； 未经批准，严禁员工和来访人员在办公区域使用照相机或其他录像设备。 4、会议信息安全 会议的信息安全由会议召集人负责，会议的录音、录像应由会议召集人或其指定人员妥善保管，如需重复使用，则使用前应删除原有内容； 会议结束后应有专人清理会场，回收清点核对会议资料并妥善处理。 信息资产的使用及发送注意事项 1、《宇通集团信息安全管理规范》 2、《信息终端使用管理规范》 3、《宇通集团信息安全审计管理细则》 4、《电子文档管理规范》 5、《笔记本电脑管理规定》 公司现行信息安全相关管理规范