信息技术安全政策及安全意识培训.ppt

* * * * * * * * 信息技术安全政策 信息安全意识培训 培训的目标 掌握信息安全的基本概念、理念和惯例 建立对信息安全的敏感意识和正确认识 了解公司各项IT政策(用户相关) 熟悉对应于IT政策的安全标准及流程 清楚可能面临的威胁和风险 在日常工作中养成良好的安全习惯 意识 制度 行为 什么是信息安全 相关的IT政策 公司信息安全组织架构 Information Owner/Representative信息所有者/委派人机制 IT资源的合法使用 接受和批露公司的机密信息 安全标准与实践 保密意识: 数据保密等级划分 你的密码 办公环境安全 信息安全事件呈报程序 注意社交工程 避免信息安全常见错误 你的责任 主要内容 什么是 “信息 安全”? C 保密性（Confidentiality）：非授权用户看不到。 完整性（Integrity）：确保不会被非授权篡改、一致性。 可用性（Availability）：确保授权用户想用的时候用得着。 I A 消息、信号、数据、情报和知识 —— 有价值的内容 是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 （数据、文件资料） 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 具有价值的信息资产面临诸多威胁，需要妥善保护 Information 信息安全组织结构 信息安全管理组织架构 信息安全委员会 Information Owners - CEO，COO，CIO 用户 （Users) 公司各部门、供应商/合作伙伴 信息安全主管 IT Risk Manager 业务信息安全主管 Information Owner Representatives 决策层 协调/管理/执行层 用户 （内/外部） 信息所有者/委派人机制 1) 各体系内信息安全的最终责任人/接口人 2) 信息资源清单 3) 供应商ORE(Overall Risk Evaluation)评估 4) 应用系统风险评估 5) 重大安全事故调查 6) 用户系统权限审批 7) 数据需求/修改/使用审批 8) 应用需求(CR)和测试(UAT)审批 9) 记录和信息管理 (RIM) 10) 审计发现审批 执行信息所有者/委派人机制，公司所有业务相关信息（系统/数据）的所有者均为对应体系/部门最高负责人，以下具体流程工作可授权给委派人审批： 1. 业务系统数据所有者是谁？ 2. 公司信息安全的谁的职责? 讨论 IT资源的合法使用 办公电脑/电话 互联网 电子邮件 无线网络 软件的获取/使用 防病毒软件 …… 回归常识，用户都应有良好的行为判断，不确定处联系IT 公司允许因家庭和私人事务而偶尔使用上述IT资源，但是不得影响工作、其他业务需求或违反法律或公司制度 滥用或违反政策将受到处分，包括直接中止雇佣关系(同样适用于以下所有IT政策) 对上述所有公司IT资源的使用，用户请记住三点： 公司已签署公安部 《计算机信息网络国际联网单位信息安全保卫责任书》，责任书明确要求： IT资源的合法使用(续) 公司会对员工上网行为进行记录 公安部会随时进行检查 员工在上网时请不要从事非工作以及必要信息检索以外的行为， 如果有任何不适当的言论行为，可能导致公司受到警告，罚款，停止联网，停机整顿等严厉处罚，个人也需要承担相应的法规责任。 意味着 什么 三、不利用国际联网制作、复制、查阅和传播下列信息： (一)煽动抗拒、破坏宪法和法律、行政法规实施的； (二)煽动颠覆国家政权，推翻社会主义制度的； (三)煽动分裂国家、破坏国家统一的； (四)煽动民族仇恨、民族歧视，破坏民族团结的； (五)捏造或者歪曲事实，散布谣言，扰乱社会秩序的； (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； (七)公然侮辱他人或者捏造事实诽谤他人的； (八)损害国家机关信誉的； (九)其他违反宪法和法律、行政法规的 IT资源的合法使用(续) 出差时，笔记本电脑必须随身携带（不得作为行李托运） 不得自行下载或安装软件 谨慎使用无线网络 谨慎使用智能手机 任何安全事件须及时上报IT Helpdesk/ IT Risk 特别注意 机密信息批露的决定必须由相关部门适当级别管理层做出（即信息所有者/委派人） 在任何机密信息放开给第三方之前，必须先签署保密协议 针对密级为保密和限制信息的传统介质，公司员工应执行“桌面清理”政策 机密或限制性信息的销毁，应按照“确保无法复原”的原则进行 必须执行保密协议规定的条款，保证不以任何方式泄露或复制第三方提供的机密性信息并不将第三方机密性信息用于公