《(实用)信息安全意识培训-全体员工》由会员分享,可在线阅读,更多相关《(实用)信息安全意识培训-全体员工(89页珍藏版)》请在金锄头文库上搜索。
1、1,资本本部21楼、23楼哪里存在信息安全隐患?,ISO/IEC 17799:2005版11 个方面、39 个控制目标和133 项控制措施列表 1) 安全方针7) 访问控制 2) 信息安全组织8) 信息系统获取、开发和维护 3) 资产管理9) 信息安全事故管理 4) 人力资源安全10) 业务连续性管理 5) 物理和环境安全11) 符合性 6) 通信和操作管理,ISMS(信息安全管理系统),ISO/IEC 27001:2005版通篇就在讲一件事,ISMS(信息安全管理系统)。 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurity Manag
2、ement System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。 (引用自ISO/IEC 27001:2005中 “0.1 总则” ),Page 5,PDCA(戴明环),PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于19 世
3、纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。 1、P(Plan)-计划,确定方针和目标,确定活动计划; 2、D(Do)-执行,实地去做,实现计划中的内容; 3、C(Check)-检查,总结执行计划的结果,注意效 果,找出问题; 4、A(Action)-行动,对总结检查的结果进行处理, 成功的经验加以肯定并适当推广、标准化;失败的教 训加以总结,以免重现,未解决的问题放到下一个 PDCA循环。,Page 6,PDCA特点,大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业
4、和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。,Page 7,PDCA特点(续),不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。,P,D,C,A,质量水平,螺旋上升的PDCA,Page 8,PDCA和
5、ISMS的结合,Page 9,认证审核现场审核,桌面审核(文件审核)的结果作为现场审核输入。 现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。 审核内容 验证第一阶段的审核发现是否获得纠正。 证实受审核组织是否按照其方针、目标和程序,执行工作。 证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求,Page 10,认证审核获得证书,所有审核工作结束并达到要求后,用户会得到证书。 半年或者一年,用户需要进行复审 三年时,证书期满,需要重新审核。,Page 11,举例,为了方便大家理解,举个例子来进行说明: 华赛公司要参加上地地区的
6、一个卫生评比,评比通过发放上地地区高科技企业卫生红旗。 该次评比有个评比要求上地地区高科技企业卫生评比要求,要求内容包括,建立长效的卫生机制,如划定公司卫生范围,购买各种卫生用具,专门领导负责,成立专门团队,聘请专业保洁公司,组织内部检查,内部互查等等。,信息安全意识培训,13,什么是信息安全?,怎样搞好信息安全?,信息产业发展现状,主要内容,信息安全基本概念,14,授之以鱼,不如授之以渔,产品,技术,更不如激之其欲,意识,谈笑间,风险灰飞烟灭。,引言,15,什么是信息安全?,不止有产品、技术才是信息安全,16,信息安全无处不在,一个软件公司的老总,等他所有的员工下班之后,他在那里想:我的企业
7、到底值多少钱呢?假如它的企业市值1亿,那么此时此刻,他的企业就值2600万。 因为据Delphi公司统计,公司价值的26%体现在固定资产和一些文档上,而高达42%的价值是存储在员工的脑子里,而这些信息的保护没有任何一款产品可以做得到,所以需要我们建立信息安全管理体系,也就是常说的ISMS!,17,怎样搞好信息安全?,18,信息在哪里?,纸质文档 电子文档 员工 其他信息介质,小问题:公司的信息都在哪里?,19,小测试:,您离开家每次都关门吗? 您离开公司每次都关门吗? 您的保险箱设密码吗? 您的电脑设密码吗?,20,答案解释:,如果您记得关家里的门,而不记得关公司的门, 说明您可能对公司的安全
8、认知度不够。 如果您记得给保险箱设密码,而不记得给电脑设密码, 说明您可能对信息资产安全认识不够。,21,这就是意识缺乏的两大,结症!,22,思想上的转变(一),公司的钱,就是我的钱, 只是先放在,老板那里,23,WHY?,信息安全搞好了,信息安全搞砸了,24,思想上的转变(二),信息比钞票更重要,更脆弱,我们更应该保护它。,25,WHY?,装有100万的 保险箱,需要 3个悍匪、,公司损失: 100万,装有客户信息的 电脑,只要 1个商业间谍、,1个U盘,就能偷走。,公司损失: 所有客户!,26,典型案例,27,安全名言,公司的利益就是自己的利益,不保护公司,就是不保护自己。 电脑不仅仅是工
9、具,而是装有十分重要信息的保险箱。,28,绝对的安全是不存在的,绝对的零风险是不存在的,要想实现零风险,也是不现实的; 计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一种平衡。,在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。” 显然,这样的计算机是无法使用的。,29,安全是一种平衡,30,安全是一种平衡,安全控制的成本,安全事件的损失,最小化的总成本,低,高,高,安全成本/损失,所提供的安全水平,关键是实现成本利益的平衡,信息的价值
10、 = 使用信息所获得的收益 获取信息所用成本 信息具备了安全的保护特性,31,信息的价值,广义上讲 领域 涉及到信息的保密性,完整性,可用性,真实性,可控性的相关技术和理论。 本质上 保护 系统的硬件,软件,数据 防止 系统和数据遭受破坏,更改,泄露 保证 系统连续可靠正常地运行,服务不中断 两个层面 技术层面 防止外部用户的非法入侵 管理层面 内部员工的教育和管理,32,信息安全的定义,33,信息安全基本目标,保密性, 完整性, 可用性,CIA,34,信息生命周期,创建,传递,销毁,存 储,使用,更改,35,信息产业发展迅猛,截至2008年7月,我国固定电话已达到3.55亿户,移动电话用户数
11、达到6.08亿。 截至2008年6月,我国网民数量达到了2.53亿,成为世界上网民最多的国家,与去年同期相比,中国网民人数增加了9100万人,同比增长达到56.2%。 手机上网成为用户上网的重要途径,网民中的28.9%在过去半年曾经使用过手机上网,手机网民规模达到7305万人。 2007年电子商务交易总额已超过2万亿元。 目前,全国网站总数达192万,中文网页已达84.7亿页,个人博客/个人空间的网民比例达到42.3%。 目前,县级以上96%的政府机构都建立了网站,电子政务正以改善公共服务为重点,在教育、医疗、住房等方面,提供便捷的基本公共服务。,36,信息安全令人担忧,内地企业44%信息安全
12、事件是数据失窃,普华永道最新发布的2008年度全球信息安全调查报告显示,中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与数据失窃有关,而全球的平均水平只有16%。 普华永道的调查显示,中国内地企业在改善信息安全机制上仍有待努力,从近年安全事件结果看,中国每年大约98万美元的财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美元。此外,42%的中国内地受访企业经历了应用软件、系统和网络的安全事件。,37,安全事件(1),38,安全事件(2),39,安全事件(3),40,安全事件(4),41,安全事件(5),42,安全事
13、件(6),熊猫烧香病毒的制造者-李俊,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。,43,深度分析,44,这样的事情还有很多,信 息 安 全 迫 在 眉 睫!,关键是做好预防控制,46,小故
14、事,大启发 信息安全点滴,首先要关注内部人员的安全管理,49,2007年11月,集安支行代办员,周末晚上通过运营电脑,将230万转移到事先办理的15张卡上,并一夜间在各ATM上取走38万。周一被发现。 夜间银行监控设备未开放,下班后运营电脑未上锁。 事实上,此前早有人提出过这个问题,只不过没有得到重视。,50,典型案例:乐购事件,2005年9月7日,上海乐购超市金山店负责人到市公安局金山分局报案称,该店在盘点货物时发现销售的货物和收到的货款不符,有可能款物被非法侵吞。上海市公安局经侦总队和金山分局立即成立了专案组展开调查。 专案组调查发现,乐购超市几家门店货物缺损率大大超过了业内千分之五的物损
15、比例,缺损的货物五花八门,油盐酱醋等日常用品的销售与实际收到的货款差别很大。根据以往的案例,超市内的盗窃行为往往是针对体积小价值高的化妆品等物,盗窃者很少光顾油盐酱醋等生活用品。奇怪的是,在超市的各个经营环节并没有发现明显漏洞。 考虑到钱和物最终的流向收银员是出口,问题很可能出在收银环节。警方在调查中发现,收银系统软件的设计相对严密,除非是负责维护收银系统的资讯小组职员和收银员合谋,才有可能对营业款项动手脚。 经过深入调查,侦查人员发现超市原有的收银系统被装入了一个攻击性的补丁程序,只要收银员输入口令、密码,这个程序会自动运行,删除该营业员当日20左右的销售记录后再将数据传送至会计部门,造成会
16、计部门只按实际营业额的80向收银员收取营业额。另20营业额即可被侵吞。 能够在收银系统中装入程序的,负责管理、更新、维修超市收银系统的资讯组工作人员嫌疑最大。 警方顺藤摸瓜,挖出一个包括超市资讯员、收银员在内的近40人的犯罪团伙。据调查,原乐购超市真北店资讯组组长方元在工作中发现收银系统漏洞,设计了攻击性程序,犯罪嫌疑人于琪、朱永春、武侃佳等人利用担任乐购超市多家门店资讯工作的便利,将这一程序植入各门店收银系统;犯罪嫌疑人陈炜嘉、陈琦、赵一青等人物色不法人员,经培训后通过应聘安插到各家门店做收银员,每日将侵吞赃款上缴到犯罪团伙主犯方元、陈炜嘉、陈琦等人手中,团伙成员按比例分赃。一年时间内,先后侵吞乐购超市真北店、金山店、七宝店374万余元。犯罪团伙个人按比例分得赃款数千元至50万元不等,关于员工安全管理的建议,根据不同岗位的需求,在职位描述书中加入安全方面的责任要求,特别是敏感岗位 在招聘环节做好人员筛选和背景调查工
