信息及內(nèi)控安全剖析課件

1、版權(quán)所有，未經(jīng)許可，不得傳播 信息安全及內(nèi)控管理方法1Page 2目錄信息安全案例信息安全原則信息安全及內(nèi)控管理方法Page 3我們身邊的慘痛教訓安永3.8萬名客戶資料泄密 2006年2月，安永會計事務所的一臺便攜遭遇“網(wǎng)上竊賊”，導致電腦中存有的公司3.8萬名客戶的個人資料泄密；微軟Vista正式版本發(fā)布前遭遇外泄 2006年11月11日，第一個Windows Vista的英文正式版（內(nèi)核Unicode統(tǒng)一語言編碼，支持簡體中文）被黑客組織公布到互聯(lián)網(wǎng)上，這時距離微軟交付給合作廠商的日期還有19天。11月14日，完全簡體中文版的Vista也在互聯(lián)網(wǎng)上流傳。其后又有多個黑客組織（包括著名的Xi

2、SO、ZWTiSO、Winbeta等），都發(fā)布了不同版本的Windows Vista正式版光盤鏡像文件。信息泄密成為企業(yè)無法承受之痛信息安全的意義 企業(yè)的競爭是信息的競爭，防止技術信息、管理信息、產(chǎn)品信息不泄露和非法傳遞，不被對手獲悉，是對企業(yè)最好的保護！今天，企業(yè)依賴于開放的、互聯(lián)的網(wǎng)絡環(huán)境，網(wǎng)絡已經(jīng)延伸到了社會的每一個角落，網(wǎng)絡的開放性帶來了豐富的資源、很大的便利，同時也使公司的資產(chǎn)暴露在越來越多的威脅中，即使很小的漏洞也能公司的名譽、客戶的隱私和知識產(chǎn)權(quán)置于危險之中。信息安全的問題給某些公司甚至帶來致命的打擊，從某種程度上來說，安全的信息安全已經(jīng)成為了現(xiàn)代企業(yè)賴以生存的基礎。2022/8

3、/642022/8/65信息安全的方法：硬件設防監(jiān)視器入侵檢測系統(tǒng)安全傳輸加密、VPN門禁系統(tǒng)身份認證、訪問控制監(jiān)控室安全管理中心加固的房間系統(tǒng)加固、免疫門防火墻保安員安全檢查、違規(guī)審計2022/8/66制定制度和策略實施和執(zhí)行策略檢查執(zhí)行情況修正違規(guī)持續(xù)審計PDCA信息安全的方法：信息內(nèi)控管理循環(huán)2022/8/67信息內(nèi)控管理范圍信息安全外來人員管理員工行為管理資產(chǎn)管理信息安全宣傳、案例學習三級檢查稽核獎罰制度文檔受控管理安檢門設置簽訂信息安全協(xié)議接受“信息安全與保密意識”培訓；每年應至少參加一次信息安全網(wǎng)上考試；簽署勞動合同（含保密職責）；根據(jù)部門和崗位的需要簽署保密協(xié)議。2022/8/6

4、8進行信息安全宣傳信息安全人人平等，違反者，一旦查出，嚴懲不貸信息安全是高壓線，不可觸犯信息安全等級，定期郵件，板報，早會宣傳定期組織案例學習，并抽查效果2022/8/69設置信息安全專員部門秘書是本部門信息安全接口人，負責宣傳、培訓部門主管是本部門信息安全責任人，富有管理責任和連帶責任上級部門設置信息安全專員進行監(jiān)管2022/8/610強化外來人員管理外來人員進入廠區(qū)通過電子流審批全程需要接待人員全程陪同外來人員辦理出入通行證的，只能進入通行證批準的區(qū)域和樓層外來人員工衣采用顏色區(qū)分禁止攜帶相機和媒體介質(zhì)進入公司2022/8/611落實拍照許可證制度員工拍照的，需要申請審批，辦理拍照許可證方

5、可在指定區(qū)域拍照2022/8/612強化電腦信息安全管理電腦需粘貼資產(chǎn)標簽電腦需粘貼封條，打開電腦機箱，需申請拆封。完成后，并把原封條歸還，領取新的封條粘貼電腦端口（USB、串口、并口）需要申請才可使用非經(jīng)批準的，電腦端口用熱熔膠封堵電腦設置口令和密碼硬盤退庫前，必須格式化或者退磁公司電腦嚴禁安裝于工作無關軟件乘坐飛機、火車等公共交通工具時，含有保密信息的便攜機等移動存儲設備需隨身攜帶，不能托運（但若與當?shù)胤煞ㄒ?guī)沖突，則以當?shù)胤煞ㄒ?guī)為準）；禁止安全盜版軟件必須安全公司指定殺毒軟件和違規(guī)檢測軟件，違規(guī)檢測軟件必須開機啟動13進行保密柜管理保密柜定期抽查內(nèi)部禁止存放私人物品存放單板、芯片等物料

6、需要有審批2022/8/614設置安檢門控制人員進出生產(chǎn)區(qū)域，需經(jīng)過安檢門檢查金屬物品、需要全部接收檢查，防止芯片，物料、單板、U盤進出區(qū)域2022/8/615設置門禁控制保密程度高的區(qū)域，需要設置門禁，需刷卡進入通過外部的消防門，由安全員刷卡進出進出2022/8/616金屬廢棄物管理垃圾箱進出公司，需要儀器檢查垃圾箱禁止丟棄單板、電纜、接頭等物料垃圾箱設置需遠離物料區(qū)域所有紙箱需拆包裝后壓平存放金屬廢棄物用專用垃圾箱存放，并登記，接受檢查2022/8/617文檔管理人員離開，桌面禁止有文件等受控文檔寫有公司任何產(chǎn)品信息、人員信息的紙張需要碎紙機進行銷毀打印機進行編號和打印登記電腦中禁止保留非

7、崗位的本文檔保密文檔需加密，設置權(quán)限，禁止打印、copy等2022/8/618控制郵件發(fā)送權(quán)限未經(jīng)批準，員工不可以使用群組發(fā)送郵件在特殊情況下，由于工作需要發(fā)送群組郵件，員工必須首先確定群組的每個人都是自己要發(fā)送郵件的接收人，然后經(jīng)過部門主管批準，才可以使用群組發(fā)送郵件2022/8/619控制郵件外發(fā)權(quán)簽原則上，禁止郵件外發(fā)功能人員需要外發(fā)文檔到外部網(wǎng)絡，如供應商交流業(yè)務等，需要申請權(quán)限，主管批準2022/8/620客戶接待管理(1) 接待人員不應向供應商/合作商透露業(yè)務范圍之外的公司技術、商務情況，不隨意承諾，不在授權(quán)范圍之外行事, 已經(jīng)承諾和雙方達成意向的事宜應當做正式記錄。(2) 供應商

8、/合作商需要查看公司文檔、資料，按如下優(yōu)先順序提供: 查閱(不借)-紙件借閱-電子檔借閱。(3) 向供應商/合作商提供含有公司保密信息的文件、資料或?qū)嵨锏模哟藨@得部門主管批準，并與供應商/合作商簽訂保密協(xié)議后再行提供。2022/8/621工卡管理工卡需明顯露在外部，已備檢查工卡補辦，需要申請確認離職公司，需上交工卡嚴禁吧工卡借給他人2022/8/622三級信息內(nèi)控安全檢查日檢查、周檢查、月度檢查檢查方式：抽查和定期巡查結(jié)合檢查依據(jù)：信息安全管理規(guī)定檢查輸入：信息安全檢查checklist檢查輸出：檢查報告（納入個人和主管考核，根據(jù)違規(guī)程度進行相應處罰）2022/8/623加強賬戶、電子流

9、管理禁止自己在任何電子流自己提交，自己審批自己電腦id禁止存放他人電腦遠程登陸需要申請批準ERP等軟件賬戶、密碼禁止轉(zhuǎn)接他人2022/8/624落實信息安全考核信息安全違規(guī)作為部門KPI考核項信息安全納入員工大比武考核2022/8/625信息安全獎勵根據(jù)對公司信息安全的貢獻大小，共分為三個等級。一等獎： 舉報泄密、竊密或其他嚴重損害公司利益事件的人員，根據(jù)具體情況給予2000元以上的獎勵，并記入關鍵事件庫。對舉報人員只獎勵，不公布。二等獎： 勇于制止他人違規(guī)行為或及時向信息安全部反饋可能造成泄密、竊密或其他安全隱患的人員，給予500-1000 元的獎勵，并記入關鍵事件庫。三等獎： 長期遵守信息安全管理規(guī)定的，在信息安全管理中一貫良好的部門或個人給予100-500元獎勵，并記入關鍵事件庫。2022/8/626信息安全處罰信息安全違規(guī)可分為哪幾個等級？對于觸犯國家法律的，公司會移交國家司法機關依法處理。此外，則根據(jù)違規(guī)行為的后果、性質(zhì)以及違規(guī)人的主觀意愿，將違規(guī)行為分為如下四個等級：一級：有意盜竊、泄露