收藏
下载资源

网络信息安全法规培训材料

上传人:平*** 文档编号:52528302 上传时间:2018-08-22 格式:PPT 页数:25 大小:2.74MB
返回 下载 相关 举报
网络信息安全法规培训材料_第1页
第1页 / 共25页
网络信息安全法规培训材料_第2页
第2页 / 共25页
网络信息安全法规培训材料_第3页
第3页 / 共25页
网络信息安全法规培训材料_第4页
第4页 / 共25页
网络信息安全法规培训材料_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《网络信息安全法规培训材料》由会员分享,可在线阅读,更多相关《网络信息安全法规培训材料(25页珍藏版)》请在金锄头文库上搜索。

1、,网络信息安全培训材料,提 纲,第一部分,第二部分,学习活动安排,知识宣贯,学习活动安排,学习活动目标通过全员参与学习宣贯,切实提升全员客户信息安全保护意识,加强客户信息安全管理。学习活动范围 信息系统部全体人员,重点为业务支撑系统后台维护人员及管理人员; 第三方支撑维护人员及管理人员。主要学习内容 全国人民代表大会常务委员会关于加强网络信息保护的决定; 信息安全技术公共及商用服务信息系统个人信息保护指南; “五条禁令”及违规判定相关文件; 客户信息安全保护相关文件; 第三方安全管理办法。,提 纲,第一部分,第二部分,学习活动安排,知识宣贯,第二部分 知识宣贯,客户信息安全保护的重要性,客户信

2、息的界定凡在我公司掌握的、未在社会公开渠道公布的信息均属于严禁对外泄露或交易的客户信息内容。包括在业务交互过程中客户主动提供给我公司的、以及我公司系统自动获取的客户信息内容。,信息安全 保护信息免受各种威胁 确保业务的连续性 将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会,合作伙伴安全风险逐渐增加,内部安全威胁不容忽视,案例1:某省公司员工盗用积分兑换购物卡,某省公司营业员盗取多个 “1390”号码高价倒卖。 案例2:某省联通公司技术人员利用职务之便,非法为委托人获取其他公民的联通手机通话清单和短信清单,电信企业客户信息安全保护风险,安全威胁逐渐从网络层、系统层深入到应用层,案

3、例:不法SP利用WAP网关管理和技术漏洞进行业务强行定制。,案例:某省公司开发商盗取用户详单倒卖给侦探公司,某省公司开发商 盗取充值卡在网上出售。,客户信息安全保护的重要性,随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。作为业务支撑系统后台部门,根据历史经验教训,后台维护人员的客户信息安全保护的风险更高,更容易给个人和企业带来不良影响。保护网络信息安全,既是保障公民、法人和其他组织的合法权益,也是维护国家安全、社会公共利益和企业自身的利益。,第二部分 知识宣贯,(二)严禁发送违法信息,或未经客

4、户同意发送商业广告信息;,(三)严禁未经客户确认擅自为客户开通或变更业务;,(五)严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其他侵害客户权益的行为。,“五条禁令”是从保障客户基本权益出发,基于有关法律法规、行业政策以及公司现行有关规范制度制定的,旨在确保建立公司最基本的客户服务准则,是“底线”。,“五条禁令”,(四)严禁串通、包庇、纵容增值服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其他侵害客户权益的行为;,(一)严禁泄露或交易客户信息;,“五条禁令”,业务支撑维护支撑部门重点规避行为不得利用职务之便擅自查询客户信息,如因

5、投诉处理、生产经营等需要查询的,必须有相关的审批记录和操作日志。不得擅自对外提供客户信息。不得违反省公司业务规范为客户查询信息。在协助客户查询信息时,不得利用职务之便查询超出客户查询要求或查询权限的其他信息。,“五条禁令”,在协助集团客户查询集团属性相关信息时,不得协助查询集团内个人客户付费业务或个人属性业务的相关信息(包括个人客户详单等通信信息)必须严格按照禁令规定,向有关司法机关及政府、消协等提供相关信息时,不得提供超出查询要求的信息,且必须保留相关查询凭证和操作记录。必须严格按照数据部及集团客户部下发的SP及SI合作管理办法,与合作伙伴签订保密协议或由保密条款约定,且必须明确提供客户信息

6、的内容、范围及用途,不得提供超出合同内容的客户信息;不得在未取得客户确认的情况下,提供客户信息供合作伙伴开展商业活动;不得提供未经信息安全防护的客户信息文档。,“五条禁令”违规行为,违反上述禁令的员工予以辞退; 违反禁令造成严重后果的员工予以开除; 违反禁令涉嫌犯罪的员工依法移送司法机关; 指使他人违反禁令的领导人员、管理者将视同直接违反禁令予以处理; 对违禁行为隐瞒不报、压案不查、包庇袒护的,从严追究有关领导责任,予以纪律处分,直至撤职。,全国人民代表大会常务委员会关于加强网络信息保护的决定,网络服务提供者和其他企业事业单位在收集、使用公民个人电子信息时应当遵循的规则、保密条例和必须采取的必

7、要措施。网络服务提供者在发布、传输信息时必须遵循的规则和法规。窃取或者以其他非法方式获取、出售公民个人电子信息行为属违法犯罪行为。任何人都有举报、控告和配合相关主管部门工作的义务,被侵权人可以依法提起诉讼。对有违反本决定行为的,从法律角度给予了明确的规定,包括依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。,为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,信

8、息安全技术 公共及商用服务信息系统个人信息保护指南,本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信处理不同阶段的个人信息保护提供指导。,个人信息管理者和使用者的职责 规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任、指定专人专职。 接受个人信息主体的投诉与质询;进行个人信息保护的教育培训活动;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行核查。 管控信息系统个人信息处理过程中的风险,制定应急预案;发现个人信息泄漏、丢失、篡改事件时及时采取应对措施,并及时告知受影响的主体;发

9、生重大事件的,及时向个人信息保护管理部门通报。 接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。,信息安全技术 公共及商用服务信息系统个人信息保护指南,个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则: 1、目的明确原则处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。 2、最少够用原则只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。3、公开告知原则对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方

10、式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。4、个人同意原则处理个人信息前要征得个人信息主体的同意。,信息安全技术 公共及商用服务信息系统个人信息保护指南,5、质量保证原则保证处理过程中的个人信息保密、完整、可用,并处于最新状态。 6、安全保障原则采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。7、诚信履行原则按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。 8、责任明确原则明确个人信息处理过程

11、中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。,第二部分 知识宣贯,金库模式,“金库模式”也称为“双人操作”或“多人操作”模式,指对于涉及到公司高价值信息的高风险操作,强制要求必须由两人或以上有相应权限的员工共同协作完成操作,防止部分拥有高权限账号的操作人员滥用权限违规获取、篡改相关信息,通过相互监督、利益制约确保高风险操作和高价值信息的安全性。,金库模式的实施应遵循如下基本原则: A、聚焦关键系统、聚焦高风险操作、聚焦高价值信息; B、敏感操作,多人完成,分权制衡; C、授权不操作,操作不授权。金库模式实施的重点系统: CRM系统、ESOP系统、VGOP系统、

12、主机、数据库等。,个人层面,上传 下载,通讯 互联,浏览 查询,病毒木马传播 身份伪造 机密泄漏,网络欺诈 网页病毒攻击 敏感信息泄漏,文件 共享,病毒木马传播 信息泄露,电子 商务,身份伪造 网络欺诈 账号失窃,病毒木马传播 Bot扩散 信息泄漏,保护客户信息安全及其合法权益是安徽公司应承担的企业社会责任,安徽公司的各级员工应严格遵守“五条禁令”的相关要求,保护客户信息安全,严禁泄露、交易和滥用客户信息。但在日常工作中存在着各种信息泄露和丢失的风险。,日常防范,严格按照规定设置您的办公终端(包括高强度密码、安装公司认可的防病毒软件、接入boss域的机器禁止接入双网卡)。同时注意定期扫描安全漏

13、洞升级系统、定期查杀病毒等; 清空桌子上的纸张、可移动储存介体及清除屏幕,特别注意个人暂时离开工作现场时一定要进行锁屏操作,以减少在规定工作时间外非法进入、丢失及损坏信息的风险; 严格控制外来盘使用,重要文件经常备份; 由于笔记本电脑的特殊性,笔记本电脑的使用者应当特别当心自己的电脑被偷盗和拿走,在公共区域使用笔记本电脑后,应该及时锁定或放置到安全的区域,注意在使用办公电脑进行信息共享时是否有泄露信息的风险。 注意防范不明用户发来的email附件,这些附件可能隐藏了病毒、邮件炸弹和木马程序。,工作中采取必要的防范措施,严格遵守“五条禁令”的相关内容,树立高度的客户信息安全保护意识;对于工作中接

14、触到的客户信息严格保密,谨慎保管。对任何可能危害客户信息安全的行为,应及时制止,并向公司上级领导或安全员举报;规范使用4A系统访问各类敏感数据,配合安全审计工作。,第二部分 知识宣贯,第三方信息安全管理,对第三方公司的信息安全管理应遵循如下原则: “谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。,第三方公司必须与安徽公司签订保密协议,在协议中明确第三方公司的保密责任以及违约罚则;第三方公司应与其员工签订保密协议,在协议中明确第三方公司员工的保密责任以及违约罚则。第三方公司必须严格遵守中国移动客户服务“五条禁令”的要求和规定。对口的移动主管部门和科室应对第三方的账号使用、终端使用、业务文档使用、系统变更等情况进行安全合规性评估、检查和审计。在运维和运营环节,由于工作需要在一定时间段内频繁接触敏感信息的第三方人员,必须提前获得对口主管部门授权,经审批通过后方可被授予相应权限,对口主管部门应备案申请审批记录及事后审计。,谢 谢,谢 谢,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号