信息安全培训教材 信息安全法律法规安全和管理.pptVIP

行政部 培训教材 雇员保密协议 第十一条 本合同提及的技术秘密，包括：技术方案、工程设计、电路设计、制造方法、配方、工艺流程、技术指标、计算机软件、数据库、研究开发记录、技术报告、检测报告、实验数据、试验结果、图纸、样品、样机、模型、模具、操作手册、技术文档、相关的函电，等等。 本合同提及的其他商业秘密，包括：客户名单、行销计划、采购资料、定价政策、财务资料、进货渠道，等等。 行政部 培训教材 雇员保密协议 第十二条 本合同中所称的任职期间，以雇员从用人单位领取工资为标志，并以该项工资所代表的工作期间为任职期间。任职期间包括雇员在正常工作时间以外加班的时间，而无论加班场所是否在用人单位工作场所内。 本合同中所称的离职，以任何一方明确表示解除或辞去聘用关系的时间为准。雇员拒绝领取工资且停止履行职务的行为，视为提出辞职。用人单位无正当理由拒绝发给雇员全部或部分工资的行为，视为将雇员解聘。 行政部 培训教材 雇员保密协议 第十三条 因本合同而引起的纠纷，如果协商解决不成，任何一方均有权提起诉讼。双方同意，选择用人单位住所地的、符合级别管辖规定的人民法院作为双方合同纠纷的第一审管辖法院。 上述约定不影响用人单位请求知识产权管理部门对侵权行为进行行政处理 雇员保密协议 行政部 培训教材 第十四条 雇员如违反本合同任一条款，应当一次性向用人单位支付违约金 元；无论违约金给付与否，用人单位均有权不经预告立即解除与雇员的聘用关系。 雇员的违约行为给用人单位造成损失的，雇员应当赔偿用人单位的损失。违约金不能代替赔偿损失，但可以从损失额中抵扣。 信息安全风险管理 识别威胁 威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。 威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、黑客攻击技术、物理攻击、泄密信息、篡改、抵赖等。 各部门根据资产本身所处的环境条件，识别每个资产所面临的威胁。 识别威胁发生的可能性 分析威胁发生频率 等级标识分级定义1很低几乎不可能出现的频率极小（或=1次/十年）；仅可能在非常罕见和例外的情况下发生2低不太可能出现的频率较小（或≈1次/两年）；或一般不太可能发生；或没有被证实发生过3中可能出现的频率中等（或≈1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过4高很可能出现的频率较高（或≈1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过5极高非常可能出现的频率极高（或=1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过 行政部 培训教材 风险等级 风险等级根据风险值划分为五级，等级越高，风险越高。 等级等级划分标识描述11-100低风险一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。2101-200一般风险一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。3201-300高风险一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。4301-400高风险一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。5401-500高风险一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。 信息资产范围组织的信息资产包括：文档、数据、计算机硬件设备、计算机系统和软件、人力资源、安全区域和无形资产。 信息资产的密级 信息资产的密级分为：机密、秘密和一般共3类： “机密”：是指不可对外公开、若泄露或被篡改会对本组织的业务造成严重损害，或者由于业务上的需要仅限有关人员知道的事项； “秘密”：是指为了日常的业务能顺利进行而向组织内部员工公开、但不可向组织以外人员随意公开的事项； “一般”是指可向组织以外人员随意公开的事项 行政部 培训教材 商业秘密分类本程序中所指的商业技术秘密分：机密、秘密和一般共3类：“机密”：是指不可对外公开、若泄露或被篡改会对本组织的业务造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；“秘密”：是指为了日常的业务及正常工作能顺利进行而向组织内部员工公开、但不可向组织以外人员随意公开的事项。“一般”：是指无须进行任何保密的信息或资料，可向外部公开。以上a)-b)2类事项以下简称秘密。 商业秘密的使用 秘密文件的接收人应按秘密文件的使用目的、使用范围正确使用秘密文件。 秘密文件的保管人员和秘密的实际操作人员未经指定者许可不得擅自将秘密内容向其它人员公开。 秘密文件