信息安全意识培训绪论.pptVIP

信 息 安 全 意 识 培训对象：高级组长以下 培训目标 通过本培训能让每个员工清晰认识到信息安全的重要性，了解到信息安全的问题关键还是在于人的问题，认识到信息安全没做好比没有信息化更糟糕。 信息安全 目录 一、信息安全案例 二、什么是信息 三、什么是信息安全 四、信息安全的目标 五、为什么要实现信息安全 六、信息安全的需求来源 七、如何实现信息安全 信息安全案例 共享打印机带来的问题 文件共享带来的问题 泄露给别人 打印机密文件 结果：损失200万 结果：损失1000万 提高安全意识，加强安全预防 什么是信息 以下哪些属于信息? 数据 专利 计算机 文件 声音 纸 什么是信息 定义： 是事物运动状态与方式的表征，是物质的一种属性，信息 是一种无形资产。 什么是信息安全 定义： 保护信息资产免受安全威胁，保证业务连续性，将安全事件造成的损失减到最小。 基本目标 保密性 完整性 可用性 不被篡改 不会泄漏 随时访问 为什么要实现信息安全 ◆能保证企业的业务活动稳定有效的运作（对内） ◆提高客户信心及满意度（对外） 业务运作 信息安全需求来源 法律规定、客户组织要求 法律及合约的要求： 组织的目标及规定： 企业为保证业务连续性而要求 风险评估的结果： 对存在的弱点，威胁的改进要求 如何实现信息安全 三分靠技术，七分靠管理 如何实现信息安全 安全策略 1、内部安全手册 了解公司保密制度及安全政策方针 定期的信息安全检查处理 如何实现信息安全 组织信息安全 1、内部组织： 签定保密协议及承担相应责任 2、外部组织： 和外部组织交往时要注意信息安全，不要透露公司 任何机密信息，如：客户信息等 如何实现信息安全 资产管理 1、资产责任： 保护自已负责的资产的安全 只使用自已范围内的相关资产 如何实现信息安全 人力资源安全 1、聘用前： 明确自已责任角色，该使用什么资源 2、聘用间： 接受安全教育培训，提高安全意识 3、解聘后/职位变更： 解聘后的责任遵守，返还相关的资产。 职位变更要理解新职位的角色职责及该用的资源 如何实现信息安全 物理与环境管理 1、安全区域： 控制物理入口，电子门，电子锁， 指纹设备，生物识别设备等,防此外部的威胁 2、设备安全： 保护相关设备；确保突然断电的影响（UPS） ；电 缆安全；移动磁盘报废时要注意清除相关资料 对于无效文件重利用时应注意的问题？ 如何实现信息安全 通信与操作管理 1、操作程序和责任： 了解相关资产操作程序，确保正确的操作物理设施 或相关软件的操作流程。 2、病毒控制 安装好杀毒软件，并定期升级病毒库 3、备份： 对于自已的信息资料要注意备份，以防损坏或丢失 4、容量管理： 保证正常工作情况下节省磁盘空间 对于共享文件应存放在公告目录中，发内部邮件时最好不 加附件，而使用超链接导航到文件 如何实现信息安全 1、用户责任： 口令使用，注意口令的安全，要设定相对复杂的口令，并且定期的更换；在操作无人值守的设备时要注意信息安全 访问控制 如何实现信息安全 1、报告安全事件与缺陷： 当发现有影响信息安全的事件时要及时向相关人员 报告，如：发现有人破坏网络设施 当发现公司内部的安全缺陷时也要报告相关人员， 如：不允许访问的信息被访问 信息安全事件管理 思考？ 1、信息安全的目标？ 2、实现信息的意义？ 3、如何确保信息安全？ Thank you