信息技术安全政策及安全意识培训.

《信息技术安全政策及安全意识培训.》由会员分享，可在线阅读，更多相关《信息技术安全政策及安全意识培训.（30页珍藏版）》请在金锄头文库上搜索。

1、信息技术安全政策信息技术安全政策 & 信息安全意识培训信息安全意识培训 2 培训的目标 掌握信息安全的基本概念、理念和 惯例 建立对信息安全的敏感意识和正确 认识 了解公司各项IT政策(用户相关) 熟悉对应于IT政策的安全标准及流 程 清楚可能面临的威胁和风险 在日常工作中养成良好的安全习惯 意识 制度 行为 3 什么是信息安全 相关的IT政策 l 公司信息安全组织架构 lInformation Owner/Representative信息所有者/委派人机制 l IT资源的合法使用 l 接受和批露公司的机密信息 安全标准与实践 l 保密意识: 数据保密等级划分 l 你的密码 l 办公环境安全

2、l 信息安全事件呈报程序 l 注意社交工程 l 避免信息安全常见错误 你的责任 主要内容 4 什么是 “信息 安全”? C C 保密性（Confidentiality）：非授权用户 看不到。 完整性（Integrity）：确保不会被非授 权篡改、一致性。 可用性（Availability）：确保授权用户 想用的时候用得着。 I I A A uu 消息、信号、数据、情报和知识消息、信号、数据、情报和知识 有价值的内容有价值的内容 uu 是无形的，借助于信息媒体以多种形式存在或传播：是无形的，借助于信息媒体以多种形式存在或传播： 存储在计算机、磁带、纸张等介质中 （数据、文件资料 ） 记忆在人的大

3、脑里 通过网络、打印机、传真机等方式进行传播 uu 具有价值的信息资产面临诸多威胁，需要妥善保护具有价值的信息资产面临诸多威胁，需要妥善保护 InformationInformation 5 信息安全组织结构 信息安全管理组织架构 信息安全委员会 Information Owners - CEO，COO，CIO 用户 （Users) 公司各部门、供应商/合作伙伴 信息安全主管 IT Risk Manager 业务信息安全主管 Information Owner Representatives 决策层 协调/管理/执 行层 用户 （内/外部） 6 信息所有者/委派人机制 1) 各体系内信息安全的

4、最终责任人/接口人 2) 信息资源清单 3) 供应商ORE(Overall Risk Evaluation)评估 4) 应用系统风险评估 5) 重大安全事故调查 6) 用户系统权限审批 7) 数据需求/修改/使用审批 8) 应用需求(CR)和测试(UAT)审批 9) 记录和信息管理 (RIM) 10) 审计发现审批 执行信息所有者/委派人机制，公司所有业务相关信息（系统/数据）的所有者均为对应 体系/部门最高负责人，以下具体流程工作可授权给委派人审批： 7 1. 业务系统数据所有者是谁？ 2. 公司信息安全的谁的职责? 讨论 8 IT资源的合法使用 办公电脑/电话 互联网 电子邮件 无线网络

5、软件的获取/使用 防病毒软件 1.回归常识，用户都应有良好的行为判断，不确定处联系IT 2.公司允许因家庭和私人事务而偶尔使用上述IT资源，但是不得 影响工作、其他业务需求或违反法律或公司制度 3.滥用或违反政策将受到处分，包括直接中止雇佣关系(同样适用 于以下所有IT政策) 对上述所有公司IT资源的使用，用户请记住三点： 9 公司已签署公安部 计算机信息网络国际联网单位信息安全保 卫责任书，责任书明确要求： IT资源的合法使用(续) 公司会对员工上网行为进行记录 公安部会随时进行检查 n 员工在上网时请不要从事非工作以及必要信息检索以外的行为， 如果有 任何不适当的言论行为，可能导致公司受到

6、警告，罚款，停止联网，停机整 顿等严厉处罚，个人也需要承担相应的法规责任。 意 味 着 什 么 三、不利用国际联网制作、复制、查阅和传播下列信息： (一)煽动抗拒、破坏宪法和法律、行政法规实施的； (二)煽动颠覆国家政权，推翻社会主义制度的； (三)煽动分裂国家、破坏国家统一的； (四)煽动民族仇恨、民族歧视，破坏民族团结的； (五)捏造或者歪曲事实，散布谣言，扰乱社会秩序的； (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； (七)公然侮辱他人或者捏造事实诽谤他人的； (八)损害国家机关信誉的； (九)其他违反宪法和法律、行政法规的 10 IT资源的合法使用(续) 出差时

7、，笔记本电脑必须随身携带（不得作为行李托运） 不得自行下载或安装软件 谨慎使用无线网络 谨慎使用智能手机 任何安全事件须及时上报IT Helpdesk/ IT Risk 特 别 注 意 11 机密信息批露的决定必须由相关部门适当级别管理层做出（即信息所有者/ 委派人） 在任何机密信息放开给第三方之前，必须先签署保密协议 针对密级为保密和限制信息的传统介质，公司员工应执行“桌面清理”政策 机密或限制性信息的销毁，应按照“确保无法复原”的原则进行 必须执行保密协议规定的条款，保证不以任何方式泄露或复制第三方提供 的机密性信息并不将第三方机密性信息用于公司之外的业务 详细信息联系，CEO/CIO/I

8、T Risk 接受和批露机密信息 12 接受和批露机密信息(续) 客户信息业务信息 价格和其他产品相关信息 公司业务运行的信息 客户和潜在客户清单 业务计划和业务财务状况 其他承诺保密的信息 申请或购买产品及服务的个人，包括被保险 人、理赔申请人、受益人和其他 基本信息 姓名、地址、电话和年龄 号码 身份证号、账户或投资者身份编号、 信用卡号码以及用户名、密码等 财务信息 收入、财产、负债和信用历史记 录 健康状况信息 医疗记录和处方信息 其他个人信息 驾驶记录、爱好和客户的生 活方式及嗜好等 医疗资源数据和理赔数据 客户信息也包含了与团体客户相关的信息和 团险中的个人信息 员工信息 员工信息

9、指由公司维护的内 、外勤信息，包括个人信息 及其与公司的关系 补偿/补助金信息 绩效评估 身份证号、生日 健康状况、福利 政府需要的信息（包括种 族、宗教、残疾或服役状况 ） 这些，都是机密信息 13 什么是信息安全 相关的IT政策 l 公司信息安全组织架构 lInformation Owner/Representative信息所有者/委派人机制 l IT资源的合法使用 l 接受和批露公司的机密信息 安全标准与实践 l 保密意识:数据密级划分 l 你的密码 l 办公环境安全 l 信息安全事件呈报程序 l 注意社交工程 l 避免信息安全常见错误 你的责任 主要内容 14 1-保密意识:数据密级划

10、分 uu 公开数据公开数据 (Public Data): (Public Data): 信息拥有者确定能对外公布 如公司网站、市场新闻发布等 uu 限制数据限制数据 (Restricted Data): (Restricted Data): 可能严重影响公司的法规遵守 或经济状况、客户或特权 如公司战略、合并活并购、身份验证信息(PW/PIN) uu 机密数据机密数据 (Confidential Data) : (Confidential Data) : 公司必须保护的客户、员 工和业务信息 如客户和员工隐私、客户投资组合、业务或部门策略 、业务预算和财务报告、工资和奖金、审计报告等 uu 内

11、部数据内部数据 (Internal Data) : (Internal Data) : 公司内部共享、非上述两种 如员工通讯录、培训材料等 15 请对下列信息的保密级别进行划分： 1. 今天信息安全培训资料 2. 业务系统数据 3. 业务系统用户密码 4. 业务系统加密密钥 问题 16 2-你的密码 一个有趣的调查发现，如果你用一条巧克力来作为交换，有一个有趣的调查发现，如果你用一条巧克力来作为交换，有7070 的人乐意告诉你他（她）的口令的人乐意告诉你他（她）的口令 有有3434的人，甚至不需要贿赂，就可奉献自己的口令的人，甚至不需要贿赂，就可奉献自己的口令 另据调查，有另据调查，有7979

12、的人，在被提问时，会无意间泄漏足以被用来的人，在被提问时，会无意间泄漏足以被用来 窃取其身份的信息窃取其身份的信息 姓名、宠物名、生日、球队名最常被用作口令姓名、宠物名、生日、球队名最常被用作口令 平均每人要记住四个口令，大多数人都习惯使用相同的口令（在平均每人要记住四个口令，大多数人都习惯使用相同的口令（在 很多需要口令的地方）很多需要口令的地方） 3333的人选择将口令写下来，然后放到抽屉或夹到文件里的人选择将口令写下来，然后放到抽屉或夹到文件里 17 Password is your toothbrush, never share with others. 2-你的密码(续) 18 3-

13、办公环境安全 客户名单 电话名单 密码清单 进入系统步骤 通告 项目方案计划 个人档案 财务资料 客戶往來信件 系统网络图 审计报告 业务统计 行销计划 法律文件 私人资料 桌上拥有一切 19 3-办公环境安全(续) 无人陪同的访客 遗忘在打印机上的文档 敏感信息传真 离座时的电脑屏幕 在卫生间电话 物理安全比我们想象的更重要 Internal Use 20 安全事件必須以最速件处理安全事件必須以最速件处理 安全事件包括安全事件包括但不但不限于限于此此: : 机密信息曝光 资料遭到破坏 公司资产的遗失(手提电脑） 系统资料完整性发生问题 不适当的使用密码 非法使用公司资源 电脑病毒的侵袭 欺诈

14、 其他侵入方式 4-信息安全事件呈报 如遇到如遇到/ /怀疑任何安全事件怀疑任何安全事件 ，应立即联络部门主管及，应立即联络部门主管及 ITIT风险管理风险管理: IT Risk : IT Risk ManagerManager 21 5-社交工程 Social Engineering, 利用社会交往(通常是在伪装之下)从目标对象那里获 取信息, 例如： 电话呼叫服务中心、在走廊里的聊天、冒充服务技术人员 著名黑客Kevin Mitnick更多是通过社交工程来渗透网络的，而不是高超的黑 客技术 电影中的FBI、CIA也是如此 他们的手段远比黑客技术更有效： 瓦解心防先与內部人员建立关系，再伺机

15、从其身上获取信息 乔装冒充他人以合法授权或业务需要为理由骗取权限或信息 偷窥利用背後窥视他人输入密码，再以取得密码进入系统获取信息 尾随尾随合法人员进入安全管制区域 搜寻废弃物从中寻找被丟弃的信息 Internal Use 22 留意你的工作环境 将你的电脑及工作区维持在安全的状态，以降低未被授权者趁你不在， 而从你处取走或得到公司机密等级含以上信息的机会 妥善处置公司机密等级含以上的信息，包括碎纸机的使用 离开座位时，先将机密等级含以上的信息上锁 离开座位时，将电脑屏幕上锁 (CTRL+ALT+DEL) 设屏幕保护程序（屏保） 避免通过电子邮件发送机密等级含以上的信息 (除已加密文件) 5-

16、社交工程To Do List 避免让陌生人在办公区域里随便走动. 应上前询问并带领他/她到要找的人 传真任何文件时应事先检查收件人传真号是否正确. 如发送机密性文件, 应 事先联系收件人以确保收件人在传真机旁等候。 发送后必须再次联系收件人 以确保机密性文件以全部收到 每天下班前必须退出系统并关机 23 一个保险公司的客户向你要我们系统中的 客户资料，你怎么处理？ 讨论 24 引用反黑客专家的数据來说明破解密码是多么容易的事 尤其是选用通俗字句或姓名缩写当密码时 密码规则 密码最小长度不得低于8位（含），并且 必须由下列三种类型字符中的两类或以 上构成： 大写字母（如，A, B, C, .Z) 和/或小写 字母(如，a, b, c,