《员工信息安全培训PPT》由会员分享,可在线阅读,更多相关《员工信息安全培训PPT(18页珍藏版)》请在金锄头文库上搜索。
1、 员工信息安全培训 法务部 一、信息安全保护的必要性 二、信息安全概述 三、商业秘密保护 四、消费者隐私保护 五、1号店信息安全管理体系 培训内容介绍 案例一 华为公司人员流动泄密案 案例二 可口可乐的商业秘密保护 原华为3名技术人员王志骏、刘宁、秦学军辞职后,成立了上海沪科科技有限公司,并将“窃 取”的核心技术资料卖给了华为公司的直接竞争对手,使其通过使用华为公司的商业秘密开 发出与华为公司功能相同的产品。 2002年8月,深圳市检察机关批准逮捕王志骏等三人,最终三人分别被判处有期徒刑2-3年。 华为在此案中的损失超过1.8亿元人民币。 一、信息安全保护的必要性 可口可乐的配方自1886年在
2、美国亚特兰大诞生以来,已保密达120多年之久。 可口可乐百年不倒,基业常青的“定海神针”只提供用最关键技术制出的半成品给对方 ,而不提供原浆(半成品)生产的配方及技术。 可口可乐中占不到1%的神秘配料“7X 100”仅极少数人知道。 “保住秘密,就是保住市场” 二、信息安全概述 信息安全 商业业秘密保护护 消费费者隐隐私保护护 经营经营 信息技术术信息 定义: 商业秘密是指不为公众所知悉, 能为权利人带来经济利益, 具有实用性并经权利采 取保密措施的技术信息和经营信息。 构成要件: 1. 秘密性: 不为大众所知悉信息所有人根据当时的条件釆取了相应保密措施 2. 实用和价值性:商业秘密在企业的生
3、产活动和经营活动中,是客观有用的,能够在实际 操作中给企业带来一走的利益。 涉及的法律: 1. 民法通则、合同法 2. 反不正当竞争法、劳动法、劳动合同法 3. 中华人民共和国刑法 三、商业秘密 据国家工商局关于禁止侵犯商业秘密行为的若干规定中解释,技术信息包括“设计、程 序、产品配方、制作工艺、制作方法等”。 据国家科委关于加强科技人员流动中技术秘密管理的若干意见解释,“本单位的技术秘密 是指由单位研制开发或者以其他合法方式掌握的、未公开的、能给单 位带来经济利益或竞争优 势,具有实用性且本单位采取了保密措施的技术信息,包括但不限于设计图纸(含草图)、试 验结果和试验记录、工艺配方、样品、数
4、据、 计算机程序等。技术信息可以是有特定的完整的 技术内容,构成一项产品、工艺、材料及其改进的技术方案,也可以是某一产品、工艺、材料 等技术或产品中的部分技术要素”。 商业秘密中的技术信息 案例三 浙江鑫富药业商业秘密被盗取案 2006年7月17日,突然有人向浙江鑫富举报,称该公司的核心技术,已经被山东新发药业 有限公司盗取! 经查实,两年间,山东新发药业通过浙江鑫富药业生产调度员马某等,盗得了一整套 “喷雾干燥反应器”的设计图纸、生产操作规程和 生物酶样本有了设计图纸,有了生物活性 酶,李新发立刻上马生产,公司维B5产量迅速“从原来的200吨飞涨至2000吨”,直逼浙江鑫 富。更让鑫富药业担
5、忧的是,新发药业在提高产量后,迅速以低于鑫富药业25%的价格与之展 开“贴身肉搏战”,抢占市场份额,导致该生产领域时刻面临全球重新洗牌 据中华人民共和国反不正当竞争法解读中解释,经营信息包括:(1)新产品的市场占有情 况及如何开辟新市场;(2)产品的社会购买力情况; (3)产品的区域性分布情况; (4)产 品长期的、中期的、短期的发展方向和趋势; (5)经营战略; (6)流通渠道和机构等。“ 国家工商局关于禁止侵犯商业秘密行为的若干规定中解释,经营信息包括:“管理诀窍、 客户名单、货源情报、产销策略、招投标中的标底及标书内容等信息。” 商业秘密中的经营信息 案例四 采购渠道案例 56岁的洛配兹
6、是美国通用汽车公司采购部负责人,人称成本杀手,在他担任通用公司负 责人的3年中,在汽车零件上为通用公司节约了约30亿美元。1993年3月15日,洛配兹带领7名 助手投奔德国大众公司。他的跳槽直接威胁通用公司的竞争优势。克林顿总统甚至命令联邦调 查局采用侦查手段。1996年3月7日,通用公司向美国底特律地方法院提交了99页的起诉书。 后双方达成和解,洛配兹脱离大众公司,在2000前不得作为雇员或者顾问为大众公司服务。 1、在诉讼中,客户名单的秘密属性经常基于以下原因被否定: A、客户名单易于从公开的媒体上获得; B、所有的竞争者都能通过相同的途径取得该客户名单; C、客户名单在该领域内极为有名。
7、 如果客户名单仅仅包括众所周知的信息,而且这些信息很容易可以被第三人获得,则不视为商 业秘密。 2、但是,如果对这些取材于公众渠道的信息,耗费了人力和财力,进行了投资和整理,那么整 理后的信息就有可能成为商业秘密,得到法律保护,实际上也就反应了对权利人劳动的保护。 3、同时,商业秘密必须是不易通过正当手段或途径取得的信息,易于取得的信息不能独占使用 ,也就不能构成商业秘密。所以,“他人正当获取客户名单的难易程度”也是判断客户名单商 业秘密属性时所应该考虑的重要因素。 商业秘密中的客户名单一般是指客户的名称、地址、联系方式以及交易的习惯、意向、内容 等构成的区别于相关公知信息的特殊客户信息,包括
8、汇集众多客户的客户名册,以及保持长期 稳定交易关系的特定客户。 讨论:客户名单是否属于商业秘密? 民事责任:违反保密协议,构成违约;造成商业秘密权利人损失,构成侵权;应当承 担损害赔偿等民事责任。 (合同法第60、43、92条;劳动法第102条;侵权责任法等) 行政责任:工商行政管理机关责令停止违法行为,并可以根据情节处以1万元以上20 万元以下罚款。 (反不正当竞争法第25条;关于侵犯商业秘密行为的若干规定第7条) 刑事责任:构成侵犯商业秘密罪(刑法第219条) 侵犯公司商业秘密权的法律责任 员工方面: 1、遵守公司的信息安全制度,对保密信息采取保密措施,不随意扩散,不主动获取超出 职权范围
9、的信息; 2、遇到不确定或侵犯公司商业秘密的情形,积极向主管或法务部门请示和反映。 部门主管: 1、信息安全制度与体系的遵守与执行; 2、文档的分级、归档、管理、保存和销毁等; 3、对员工信息安全方面的指导与培训。 商业秘密保护的合规性要求 定义:消费者的姓名、性别、年龄、职业、联系方式、健康状况、家庭状况、财产状况、消费记 录等与消费者个人及其家庭密切相关信息的保护。 即将于2014年3月15日施行的新消费者权益保护法首次将消费者信息列为保护内 容。 法条链接: 第十四条 消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权 利,享有个人信息依法得到保护的权利。 第二十
10、九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收 集、 使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收 集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。 经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供 经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生 或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。 经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。 第五十条 经营者侵害消费者的人格尊严、
11、侵犯消费者人身自由或者侵害消费者个人信息依法得到 保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。 四、消费者隐私保护 案例五 1号店信息泄露案件 案例六 非法窃取用户信息,锒铛入狱! 四、消费者隐私保护 从2012年5月24日开始,一些网站和媒体开始以“黑客售卖90万用户资 料”为标题 公开报 道有人通过QQ兜售1号店的用户数据,引起公安机关注意,随后控制涉案人员11人。 经公安机关和检查 机关经调查 取证后,对销 售、转卖 和购买 用户资 料的嫌疑人向浦东 新区人民法院提起公诉,截止2013年11月,刘某某、徐某某等已被浦东新区人民法院判处6个 月到8个月不等的有期徒
12、刑并处数万元罚金。尚有案件在审理当中。 海航优悦公司副总裁徐某授意该公司信息部负责 人,即彭某购买 1号店客户信息,彭从 原1号店员工繆某处取得1号店数据库账 号、密码、配置服务器的IP地址及端口等信息,先后 三次窃取1号店客户订单 信息300余万条(去重后达40万余条顾客信息),一审判决如下: 徐某:非法获取公民个人信息罪,判处有期徒刑九个月,罚金一万五千元; 彭某:非法获取公民个人信息罪和职务 侵占罪,判处有期徒刑一年九个月,罚金一万五千元 ; 繆某,非法获取公民个人信息罪,有期徒刑十个月,罚金一万五千元。 民事责任:违反消费者保密协议,构成违约;损害消费者民事权益,构成侵权;应当 承担停
13、止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。 (消费者权益保护法第48条;侵权责任法第2、36条;最高人民法院关于贯 彻执行若干问题的意见第140条;最高人民法院关于 确定民事侵权精神损害赔偿责任若干问题的解释第1、3条) 行政责任:工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或 者并处警告、没收违法所得、处以违法所得1倍以上10倍以下的罚款,没有违法所得 的,处以50万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。 (消费者权益保护法第56条) 刑事责任:在明知他人实施犯罪活动,仍提供消费者个人信息,构成相应犯罪的共犯 ;向不特定第三人散布消费者个人信息,造成
14、消费者人格尊严和名誉权严重损害的, 构成侮辱罪。 (刑法第246条) 侵犯消费者隐私权的法律责任 1、收集和使用消费者个人信息前向消费者说明收集、使用的目的和方式; 2、收集和使用消费者个人信息必须征得对方同意; 3、对收集的材料采取合理的保密措施,确保个人信息不受第三方的非法获取和使用; 4、收集和使用消费者个人信息应在合理范围内,不得超出必要限度。 消费者隐私保护的合规性要求 五、1号店信息安全管理体系 保障1号店的业务正常持续发展,保护1号 店拥有和管理的信息资产的安全,积极预防 信息安全事件的发生,最小化信息安全事件 的影响 信息安全管理委员会为跨部门的组织, 负责信息安全重大事务的决
15、策; 委员会的主席由首席技术官CTO韩军担 任,副主席由公司CEO刘峻岭兼任 信息安全方针针 信息安全部负责制定1号店信息安全策 略(见右面) 全体员工在日常信息活动中需遵守相关 信息安全策略的要求 信息安全决策 信息安全执行 1号店信息安全策略 信息安全组织组织 策略 资产资产 管理策略 人力资产资产 安全策略 物理与环环境安全策略 通信与操作管理策略 访问访问 控制策略 信息系统获统获 取、开发发与维护维护 策 略 信息安全事件管理策略 业务连续业务连续 性管理策略 符合性策略 1号店信息安全制度 根据1号店信息安全策略制定并颁布的信息安全制度,下列所有制度均可以PortalIT制度 栏目中查阅。 C1-IT-Security-PM01-SD001-信息安全方针 C1-IT-Security-PM01-SD002-物理和环境安全管理规定 C1-IT-Security-PM01-SD003-第三方安全管理规定 C1-IT-Security-PM01-SD004-系统访问控制管理规定 C1-IT-Security-PM01-SD005-网络安全管理规定 C1
