IT服務(wù)與信息安全講義課件

IT服務(wù)與信息安全信息分類IT內(nèi)部培訓(xùn)類保密等級機密2010年12月9日保密期限有效期至2015年12月集團全體員工IT服務(wù)與信息安全信息分類IT內(nèi)部培訓(xùn)類保密等級機密20101信息安全應(yīng)知應(yīng)會IT服務(wù)概述信息系統(tǒng)介紹及注意事項IT設(shè)備服務(wù)介紹及注意事項信息安全應(yīng)知應(yīng)會IT服務(wù)概述信息系統(tǒng)介紹及注意事項IT設(shè)備服2IT服務(wù)簡介IT組織介紹宇通的IT服務(wù)由信息技術(shù)分公司提供，信息技術(shù)分公司簡稱“信息中心”或“IT”，負責整個宇通集團的信息系統(tǒng)建設(shè)、IT設(shè)備管理和信息安全管理。IT服務(wù)范圍信息系統(tǒng)建設(shè)：負責公司基于EIP與ERP雙平臺的所有30多個應(yīng)用系統(tǒng)的信息化建設(shè)、運行維護和權(quán)限管理工作。IT設(shè)備管理：負責辦公電腦（含臺式機、瘦客戶機和筆記本）和其他電子辦公設(shè)備（投影儀、打印機等）的配備、借用與維修。信息安全管理：負責公司所有系統(tǒng)和終端的信息安全管理與監(jiān)控。IT服務(wù)入口熱線電話：8867服務(wù)單入口：登錄EIP，點擊“服務(wù)臺IT服務(wù)IT服務(wù)窗口”，見下圖。IT服務(wù)簡介IT組織介紹3IT服務(wù)臺（熱線電話：8867）點擊IT服務(wù)進入IT服務(wù)臺如果您有微機、辦公軟件、操作系統(tǒng)、通信、應(yīng)用系統(tǒng)方面的故障，或者您需要重置密碼、批量提取數(shù)據(jù)，或者你不知道跟IT相關(guān)的問題該如何解決需要咨詢IT人員，都可以填寫該服務(wù)單，我們會有專業(yè)人員為您解決問題。如果您因為工作變動，需要變更您名下的IT資產(chǎn)時，請?zhí)顚懺搯巫?，IT資產(chǎn)包括但不限于以下這些設(shè)備“電腦主機，顯示器，筆記本電腦，打印機，復(fù)印機，投影儀，攝像機，PDA等”。當現(xiàn)有系統(tǒng)不能滿足的業(yè)務(wù)管理改進需求，需進行系統(tǒng)改造、修改或新建時，業(yè)務(wù)可提交需求單，例如開發(fā)新程序、系統(tǒng)配置調(diào)整等。需求單提交后，IT將指派專人進行分析，在承諾的時間內(nèi)內(nèi)提供解決方案并實現(xiàn)完成，需求分析和實現(xiàn)過程將按影響范圍由不同層級審批。如果您因為工作需要申請使用筆記本電腦（非借用），請您填寫該單子，審批通過后IT人員會給您配備筆記本電腦如果您需要申請臺式機，打印機，投影儀，復(fù)印機，掃描儀，PDA，電話，網(wǎng)絡(luò)連接或者其他硬件設(shè)備，請您填寫該服務(wù)單，審批通過后，IT會聯(lián)系您領(lǐng)取申請的設(shè)備如果您需要借用筆記本電腦，瘦客戶機，投影儀，請您填寫該單子，審批通過后，IT會聯(lián)系您領(lǐng)取申請的設(shè)備各部門文檔管理員專用，用于聯(lián)系IT文檔系統(tǒng)管理員調(diào)整崗位與人員對應(yīng)關(guān)系，普通用戶無權(quán)限1,如果您需要申請“EIP，RTX，郵箱，SAP，配置器，CRM，國內(nèi)/海外服務(wù)網(wǎng)，供應(yīng)商門戶，LES，QM，APS，VPN”賬號，請您填寫該單子，審批通過后IT有專人負責開通您的權(quán)限。2,如果您需要申請“電子傳真，短信平臺，郵箱擴展功能，USB，即時通訊，外網(wǎng)，外郵”權(quán)限，也請您填寫該單子，審批通過后IT有專人負責開通您的權(quán)限。IT服務(wù)臺（熱線電話：8867）點擊IT服務(wù)進入IT服務(wù)臺如4信息安全應(yīng)知應(yīng)會IT服務(wù)概述信息系統(tǒng)介紹及注意事項IT設(shè)備服務(wù)介紹及注意事項信息安全應(yīng)知應(yīng)會IT服務(wù)概述信息系統(tǒng)介紹及注意事項IT設(shè)備服5宇通信息雙平臺宇通經(jīng)過十余年的信息化建設(shè)，已建成EIP+ERP雙平臺，其中EIP（企業(yè)信息平臺）面向管理，ERP（企業(yè)資源計劃）面向業(yè)務(wù)，眾多應(yīng)用系統(tǒng)分別部署在這兩個平臺上。SAPCOFIHRMMPP供應(yīng)商門戶售后服務(wù)網(wǎng)PLM質(zhì)量信息網(wǎng)訂單配置器……數(shù)據(jù)總線SD……EIP流程文檔……新聞宇通信息雙平臺宇通經(jīng)過十余年的信息化建設(shè)，已建成EIP+E6平臺及系統(tǒng)模塊詳圖PLMSCMCRMSSMEIPERPEDB宇通信息門戶EIP

/企業(yè)門戶WWW/合作伙伴協(xié)同門戶SNSOPSOP分析EA企業(yè)架構(gòu)FA財務(wù)分析PE工作協(xié)同CA競爭分析KM文檔管理PMS銷售分析PTM項目與任務(wù)IC信息服務(wù)HD服務(wù)臺TC通信服務(wù)IS信息安全BP客戶管理APS高級排產(chǎn)PT考勤管理DMS產(chǎn)品文檔CM資金管理IOV車聯(lián)網(wǎng)SM供應(yīng)商管理EC卡務(wù)管理PP生產(chǎn)計劃SE服務(wù)工程ECM工程更改PY薪酬管理EM費用管理SC采購管理OC配置器QM質(zhì)量管理MM物料管理SD訂單管理BOM物料清單SO維修管理CO管理會計GB擔保業(yè)務(wù)PB招聘管理OBM海外商務(wù)PA組織與人事CAXITSMIT管理MES生產(chǎn)執(zhí)行LES物流執(zhí)行SP配件管理CCC客服中心FI財務(wù)會計客戶數(shù)據(jù)員工數(shù)據(jù)產(chǎn)品數(shù)據(jù)合作伙伴車輛數(shù)據(jù)訂單數(shù)據(jù)質(zhì)量數(shù)據(jù)EA數(shù)據(jù)R&DO研發(fā)分析QC質(zhì)量分析SC服務(wù)分析已有圖例：需建設(shè)需擴展KPI績效管理平臺及系統(tǒng)模塊詳圖PLMSCMCRMSSMEIPERPEDB7宇通快訊，用圖片形式展現(xiàn)宇通大事宇通公告/紅頭/體系公告，用文字形式報道公告信息這里匯聚了您所有的待辦和待閱事項常用資料EIP介紹—首頁宇通快訊，用圖片形式展現(xiàn)宇通大事宇通公告/紅頭/體系公告，用8EIP介紹—工作臺點擊“流程中心”，可以提交/查看審批流程點擊“文檔中心”，可以上傳/查看您的所有文檔應(yīng)用系統(tǒng)的快捷入口EIP介紹—工作臺點擊“流程中心”，可以提交/查看審批流程9EIP介紹—服務(wù)臺（IT，HR，財務(wù)，技改，綜合）EIP介紹—服務(wù)臺（IT，HR，財務(wù)，技改，綜合）10EIP介紹—企業(yè)文化，企業(yè)架構(gòu)，管理創(chuàng)新，知識社區(qū)EIP介紹—企業(yè)文化，企業(yè)架構(gòu)，管理創(chuàng)新，知識社區(qū)11EIP介紹—門戶導(dǎo)航（包括各體系的二級門戶）EIP介紹—門戶導(dǎo)航（包括各體系的二級門戶）12宇通選用業(yè)界最先進的ERP系統(tǒng)—SAP，主要用于物流，生產(chǎn)，銷售，研發(fā)，質(zhì)量及售后等業(yè)務(wù)數(shù)據(jù)的處理，全面覆蓋公司人、財、物、產(chǎn)、供、銷的運營管理。ECC6客戶/服務(wù)器ABAP/4FI財務(wù)會計CO財務(wù)控制TR財富管理PS項目管理WF工作流程管理IS行業(yè)解決方案MM物料管理HR人事管理SD銷售與分銷PP生產(chǎn)計劃QM質(zhì)量管理CS客戶服務(wù)WM倉庫管理ERP介紹-SAP宇通選用業(yè)界最先進的ERP系統(tǒng)—SAP，主要用于物流，生產(chǎn)，13SAP標準解決方案示意圖庫存管理倉庫管理財務(wù)管理建議計劃生產(chǎn)物料需求計劃發(fā)貨轉(zhuǎn)儲采購收貨銷售與分銷發(fā)票校驗發(fā)票需求庫存預(yù)測訂單SAP標準解決方案示意圖庫存管理倉庫管理財務(wù)管理建議計劃14通常接觸到的各種信息系統(tǒng)均為正式環(huán)境，嚴禁在正式環(huán)境中進行嘗試、練習(xí)。對信息系統(tǒng)的各種操作都應(yīng)該在指導(dǎo)人的指導(dǎo)下完成，或者咨詢IT分公司。信息系統(tǒng)中有大量的業(yè)務(wù)保密信息，嚴禁將保密信息摘抄后外泄。信息系統(tǒng)的不同操作需要的運行時間不同，出現(xiàn)明顯的超時操作應(yīng)盡快停止。嚴禁在正式環(huán)境中進行數(shù)據(jù)的海量查詢，例如查看一整年的物料出入庫記錄。每個員工都需妥善保管系統(tǒng)口令，并在使用信息系統(tǒng)后及時登出。信息系統(tǒng)使用注意事項通常接觸到的各種信息系統(tǒng)均為正式環(huán)境，嚴禁在正式環(huán)境中進行嘗15信息安全應(yīng)知應(yīng)會及案例分享IT服務(wù)概述IT設(shè)備服務(wù)介紹及注意事項信息系統(tǒng)介紹及注意事項信息安全應(yīng)知應(yīng)會及案例分享IT服務(wù)概述IT設(shè)備服務(wù)介紹及注意16IT設(shè)備服務(wù)介紹1、設(shè)備維修與升級必須由信息技術(shù)分公司負責完成，不允許私自處理。2、嚴禁員工私自安裝計算機操作系統(tǒng)。3、用戶報修方法：EIP中填寫服務(wù)單或撥打8867服務(wù)熱線反饋。1、申請條件：部門有預(yù)算，且業(yè)務(wù)需求符合《信息終端使用管理規(guī)范》和《筆記本電腦使用管理規(guī)范》。2、申請方法：通過EIP服務(wù)臺提交服務(wù)單，經(jīng)部門領(lǐng)導(dǎo)的合理性審批和IT的合規(guī)性審批后方可配發(fā)。1、每臺設(shè)備都有固定的責任人，不允許私自調(diào)配。2、使用人變更或離職必須上交設(shè)備。3、員工離職或者調(diào)離所在部門時，必須知會信息安全管理人員進行信息安全離職審計，確認在職期間沒有違反信息安全相關(guān)管理規(guī)定行為后，方可以辦理相關(guān)手續(xù)。申請報修上交服務(wù)范圍：受理用戶對于臺式電腦、筆記本電腦、打印機、交換機、電話、投影儀、掃描儀及其它存儲介質(zhì)等的申請、報修及上交。IT設(shè)備服務(wù)介紹1、設(shè)備維修與升級必須由信息技術(shù)分公司負責完17所有信息終端設(shè)備的配備依照“對崗不對人”為原則，即設(shè)備跟崗位相匹配，不能隨人的變化而變化，設(shè)備只能通過收回和配備流程進行變更。所有信息終端設(shè)備責任到人，不得出現(xiàn)無人負責的設(shè)備。筆記本配備標準：長期駐外且需要經(jīng)常移動辦公的人員。筆記本借用規(guī)則：使用人至少提前2天提交“EIP借用筆記本申請”流程，借用期1個月以內(nèi)需要部門領(lǐng)導(dǎo)審批，借用期在1個月至3個月之間的需要增加體系總監(jiān)審批。筆記本電腦的連續(xù)借用期不允許超過12個月。IP地址設(shè)置為信息技術(shù)分公司統(tǒng)一配置，嚴禁員工擅自更改IP地址。禁止下載、制造、傳播與工作無關(guān)的文件。所有員工的上網(wǎng)行為（包括QQ\MSN聊天信息與文件發(fā)送、瀏覽網(wǎng)頁、WEB郵件、FTP上傳等）公司都將進行監(jiān)控與信息備份。禁止利用公司網(wǎng)絡(luò)資源進行任何與工作無關(guān)的事，公司網(wǎng)絡(luò)資源24小時只能用于工作。IT設(shè)備申請及使用注意事項所有信息終端設(shè)備的配備依照“對崗不對人”為原則，即設(shè)備跟崗位18IT設(shè)備服務(wù)介紹及注意事項IT服務(wù)概述信息系統(tǒng)介紹及注意事項信息安全應(yīng)知應(yīng)會IT設(shè)備服務(wù)介紹及注意事項IT服務(wù)概述信息系統(tǒng)介紹及注意事項19什么是信息安全

信息安全是指軟硬件等業(yè)務(wù)系統(tǒng)產(chǎn)生的數(shù)據(jù)收到保護，不因各種原因而遭受到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠運行，信息服務(wù)不中斷。信息安全三要素

保密性、完整性、可用性什么是信息安全20根據(jù)統(tǒng)計，全球排名前1000的大公司，平均每年發(fā)生2.54起商業(yè)間諜事件，損失總數(shù)高達上千億美元。2007年5月，韓國起亞汽車公司新推出“索蘭托”車型，起亞公司內(nèi)部9名員工因涉嫌向中國的汽車制造企業(yè)（疑為河北天馬和安徽奇瑞）出售車身自動組裝技術(shù)等技術(shù)信息而被韓國檢察局起訴，涉案金額達2.3億韓幣。我們面臨的各類威脅根據(jù)統(tǒng)計，全球排名前1000的大公司，平均每21總體目標：通過有效的技術(shù)與管理措施，使企業(yè)信息資產(chǎn)免遭威脅，或者將威脅帶來的損失降到最低程度，保證信息資產(chǎn)的保密性、完整性和可用性，確保公司業(yè)務(wù)的正常運作?？傮w策略：體系化：信息安全不靠自覺，也不是救火，而是日常工作和績效的一部分，除流程、技術(shù)、制度、組織外，還包括教育和審計可控性：你是誰？你可以做什么？-權(quán)限管理可審計：你做了什么？信息安全總體目標總體目標：信息安全總體目標22TOPEA為宇通所定義的信息安全體系結(jié)構(gòu)，該結(jié)構(gòu)以信息安全技術(shù)做支撐，面向明確的信息安全管理目標和總體策略，通過組織，流程，教育和審計的全面協(xié)同機制，形成宇通信息安全管理體系，并依靠其自身的持續(xù)改進能力，始終同步支持公司業(yè)務(wù)發(fā)展對信息安全的要求。信息安全管理組織Organization信息安全管理流程Process信息安全教育Education信息安全審計Audit宇通信息安全目標與策略信息安全技術(shù)Technique信息安全TOPEA模型TOPEA為宇通所定義的信息安全體系結(jié)構(gòu)，該23審計原則：定期、透明、及時、業(yè)務(wù)影響最小。審計流程：審計內(nèi)容：1、管理審計：主要審計信息安全管理相關(guān)制度的執(zhí)行情況；2、技術(shù)審計：主要從技術(shù)方面審計信息資產(chǎn)的安全程度，包括授權(quán)審計、用戶訪問審計、信息輸入輸出日志審計、郵件發(fā)送日志審計、檔案借閱日志審計、病毒感染、互聯(lián)網(wǎng)訪問、數(shù)據(jù)備份、個人電腦文檔審計等；通報機制：1、在日常工作或者審計中發(fā)現(xiàn)信息安全問題，員工和審計人員應(yīng)及時向信息安全管理小組匯報；2、根據(jù)審計結(jié)果，信息安全小組定期對全公司各體系信息安全的狀況進行評估，并形成書面報告，提交信息安全管理委員會。

由信息安全管理小組負責，及時捕獲和處理信息安全事件，為信息安全管理提供考核依據(jù)，通過審計確保信息安全管理的高度執(zhí)行力和持續(xù)改進。信息安全審計審計原則：定期、透明、及時、業(yè)務(wù)影響最小。由信24信息是一種資產(chǎn)，它涵蓋由宇通公司員工所創(chuàng)造的所有信息，同其他重要的商業(yè)資產(chǎn)一樣，對一個組織而言都具有一定價值，需要加以保護。信息保密根據(jù)其價值、敏感程度、泄漏給企業(yè)帶來的影響不同，可分為絕密、機密、保密三個級別。絕密最重要的企業(yè)秘密，一旦泄漏，會對公司的正常運營帶來特別嚴重的損害，降低公司市場競爭力、銷售收入或盈利能力；比如直接影響集團公司權(quán)益的重要決策文件（永久期限）；機密重要的企業(yè)秘密，一旦泄漏，會對公司的正常運營帶來影響，引起法律糾紛或影響部門、企業(yè)、合作伙伴間的合作關(guān)系；比如公司人事檔案、合同、協(xié)議等；（5年期限）保密絕密和保密范圍外的其它信息資產(chǎn)，在宇通員工范圍內(nèi)均可以查看。（3年期限）信息資產(chǎn)的保密級別信息是一種資產(chǎn)，它涵蓋由宇通公司員工所創(chuàng)造的所有信息，25指對有意盜竊、泄密公司保密信息的，或者有意違反信息安全管理規(guī)定，性質(zhì)嚴重造成重大損失的行為指對有意違反信息安全管理規(guī)定，性質(zhì)嚴重或造成公司損失的行為指對有意違反信息安全管理規(guī)定，性質(zhì)嚴重或造成公司損失的行為指對違反信息安全管理規(guī)定，性質(zhì)較輕，沒有造成公司損失的行為一級違規(guī)二級違規(guī)三級違規(guī)四級違規(guī)信息安全違規(guī)的等級劃分指對有意盜竊、泄密公司保密信息的，或者有意違反信息安全管理規(guī)26違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全四級違規(guī)未經(jīng)批準，安裝公司非標準或注冊軟件通過各種信息通信方式（郵件，USB,RTX即時通信等）發(fā)送傳遞與工作無關(guān)文件(人數(shù)少,性質(zhì)不嚴重)未按公司規(guī)定機箱上鎖和封閉USB口利用公司互聯(lián)網(wǎng)訪問工作無關(guān)的網(wǎng)站，或無報備連續(xù)24小時下載超過1G的與工作無關(guān)的文件信息安全在執(zhí)行審計或安全流程過程中，員工有意為難或阻止執(zhí)行常見的信息安全違規(guī)行為-四級違規(guī)違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全四級未經(jīng)批準27違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全三級違規(guī)未經(jīng)批準，訪問游戲，娛樂站點及與工作無關(guān)的任何站點未經(jīng)批準，在公司信息系統(tǒng)范圍內(nèi)通過其它方式登陸互聯(lián)網(wǎng)或盜用合法用戶IP訪問互聯(lián)網(wǎng)未經(jīng)批準，轉(zhuǎn)借信息系統(tǒng)帳號或隨意將密碼告訴他人非正當渠道獲取或傳遞保密文檔未按照信息資產(chǎn)分類授權(quán)表的信息資產(chǎn)授權(quán)范圍，私自將公司文檔或信息授予未經(jīng)授權(quán)的任何其他人員（包括公司人員和非公司人員）損壞、泄露保密級以上級信息；或因個人操作不當，對公司信息資產(chǎn)的保密性、完整性、可用性造成危害，導(dǎo)致較小影響和破壞的信息安全事件。常見的信息安全違規(guī)行為-三級違規(guī)違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全三級未經(jīng)批準28違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全二級違規(guī)常見的信息安全違規(guī)行為-二級違規(guī)發(fā)送與工作無關(guān)連環(huán)郵件(人數(shù)多,性質(zhì)嚴重,影響范圍大)訪問不健康網(wǎng)站或通過各種信息通信方式（外網(wǎng)郵箱，QQ，MSN等通信工具）向外部發(fā)送公司未經(jīng)授權(quán)發(fā)送的公司文件。未經(jīng)允許，在各種媒體、公眾場合發(fā)表與公司有關(guān)的評論或言論或文章未經(jīng)批準，私自轉(zhuǎn)借筆記本電腦及各種便攜存儲設(shè)備私自刻錄文檔，盜用他人帳號非法收集大量與本崗位工作無關(guān)機密級以上文檔員工在離崗期間未按照公司《員工離崗調(diào)動規(guī)定》，私自刪除，拷貝，修改自己終端計算機系統(tǒng)內(nèi)的信息資產(chǎn)未按照公司IT設(shè)備相關(guān)規(guī)定私自調(diào)配使用IT資產(chǎn)違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全二級常見的信29違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全一級違規(guī)常見的信息安全違規(guī)行為-一級違規(guī)有意散布傳播政治性言論或公司內(nèi)部未公開的信息惡意攻擊公司網(wǎng)絡(luò)和信息系統(tǒng)，編制或傳播病毒程序有意竊取、盜賣公司保密信息，惡意損壞、泄漏機密級以上信息；因個人工作原因造成的絕密信息資產(chǎn)丟失(包括管理員備份的電子文件,數(shù)據(jù)庫文件無法正常恢復(fù)，以及員工自己保存的紙質(zhì)文檔電子文檔信息資產(chǎn))。違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全一級常見的信301、信息資產(chǎn)只用于授權(quán)范圍內(nèi)使用。各體系部門產(chǎn)生的所有文檔都要加注信息安全封面，特別要明確保密等級及授權(quán)范圍。將信息資產(chǎn)輸出到公司以外范圍時，需經(jīng)領(lǐng)導(dǎo)審批同意后向部門信息安全管理員登記備案。2、經(jīng)過正常授權(quán)獲得保密信息的人員無權(quán)將所獲得的保密信息再授權(quán)，也不得提供給任何未經(jīng)授權(quán)發(fā)送的第三方。禁止員工私下交流保密信息。

3、辦公室信息安全員工下班后桌面上不能有保密級以上紙件文檔；員工離開座位超過10分鐘，桌面上不能有保密級以上文檔；保密信息文檔應(yīng)放在帶鎖抽屜或保密柜內(nèi)；未經(jīng)批準，嚴禁員工和來訪人員在辦公區(qū)域使用照相機或其他錄像設(shè)備。4、會議信息安全會議的信息安全由會議召集人負責，會議的錄音、錄像應(yīng)由會議召集人或其指定人員妥善保管，如需重復(fù)使用，則使用前應(yīng)刪除原有內(nèi)容；會議結(jié)束后應(yīng)有專人清理會場，回收清點核對會議資料并妥善處理。信息資產(chǎn)的使用及發(fā)送注意事項1、信息資產(chǎn)只用于授權(quán)范圍內(nèi)使用。各體系部門產(chǎn)生的所有文檔都311、《宇通集團信息安全管理規(guī)范》2、《信息終端使用管理規(guī)范》3、《宇通集團信息安全審計管理細則》

4、《電子文檔管理規(guī)范》5、《筆記本電腦管理規(guī)定》公司現(xiàn)行信息安全相關(guān)管理規(guī)范公司現(xiàn)行信息安全相關(guān)管理規(guī)范32案例一：1964年《中國畫報》大慶在齊齊哈爾與哈爾濱之間油井直徑油田儲量及產(chǎn)量中國政府向全球征求設(shè)計方案并采購設(shè)備時日本公司一舉中標中國建國第一泄密大案案例一：1964年《中國畫報》大慶在齊齊哈爾與哈爾33案例二：

供應(yīng)鏈體系某員工，EIP登錄密碼保管不善，密碼被其他員工獲取。該賬戶被他人盜用后，在網(wǎng)絡(luò)上發(fā)布公司生產(chǎn)安排等涉密信息，給公司生產(chǎn)安排造成了損失。最終被罰款300元。2009年9月，技術(shù)體系某員工在內(nèi)部論壇，將正在研發(fā)過程中的房車技術(shù)資料作為附件上傳，全公司范圍內(nèi)都可閱讀下載，屬于嚴重泄密，最終被罰款1000元。案例二：34案例三：

生產(chǎn)體系部分員工將系統(tǒng)登錄密碼、EIP登錄密碼、SAP登錄密碼明文記錄后公開張貼，最終被罰款300元。

所有系統(tǒng)登錄密碼均為重要涉密信息，擁有這些密碼就擁有了各類系統(tǒng)的使用權(quán)，一旦被其他員工誤用，被公司以外人員、離職人員盜用，后果不堪設(shè)想。

公司為保證操作密碼的保密性，域策略要求系統(tǒng)登錄密碼三個月更新一次且復(fù)雜度有具體要求。案例三：35信息安全事件警示錄2009年7月集團審計部某員工，辦公電腦內(nèi)存儲大量與工作無關(guān)的文件及娛樂程序，濫用公司辦公設(shè)備和互聯(lián)網(wǎng)資源，提出警告批評，并責令立刻自行清理。2009年7月30日，銷售公司某員工私自更改自己的IP地址，非法進行外網(wǎng)訪問，導(dǎo)致其他員工無法正常訪問公司網(wǎng)絡(luò)，屬于嚴重的終端安全違規(guī)行為，提出嚴重警告。2009年8月對終端計算機USB接口審計中，發(fā)現(xiàn)銷售體系售后服務(wù)部某員工在未授權(quán)情況下拷貝公司重要資料，內(nèi)容包括公司圖紙、維修記錄、內(nèi)部培訓(xùn)資料、及公司人力資源部的后備干部培訓(xùn)資料等，屬于嚴重的違規(guī)行為，對此，銷售體系信息安全專員已及時組織進行了資產(chǎn)追回，信息安全小組對該員工提出嚴重警告并處以1000元罰款。2009年9月份，底盤室某員工在內(nèi)部論壇發(fā)帖，將公司正在開發(fā)過程中的房車技術(shù)資料（機密信息）做為附件上傳在回復(fù)內(nèi)容中，全公司范圍內(nèi)均能閱讀、下載、復(fù)制，嚴重違反了《宇通集團信息安全管理規(guī)范》和公司技術(shù)資料保密要求，屬于嚴重的信息泄露事件。2009年12月技術(shù)體系2009屆新員工，使用公司內(nèi)部郵箱向外網(wǎng)郵箱輸出公司機密級文件，內(nèi)容包括宇通企業(yè)標準、研發(fā)流程、CATIA二次開發(fā)、3D模型等，屬于嚴重的信息泄露事件。當天，信息安全小組和技術(shù)中心已聯(lián)合完成了資產(chǎn)追回和清理。全部解除勞動合同。2010年6月，銷售公司某業(yè)務(wù)員自行重裝電腦系統(tǒng)導(dǎo)致VPN軟件丟失，此現(xiàn)象違反《信息終端管理規(guī)范》，屬于信息安全違規(guī)事件。信息安全事件警示錄2009年7月集團審計部某員工，辦公電腦內(nèi)36IT服務(wù)與信息安全講義課件37謝謝聆聽謝謝聆聽38

1、最孤獨的時光，會塑造最堅強的自己。

2、把臉一直向著陽光，這樣就不會見到陰影。

3、永遠不要埋怨你已經(jīng)發(fā)生的事情，要么就改變它，要么就安靜的接受它。

4、不論你在什么時候開始，重要的是開始之后就不要停止。

5、通往光明的道路是平坦的，為了成功，為了奮斗的渴望，我們不得不努力。

6、付出了不一定有回報，但不付出永遠沒有回報。

7、成功就是你被擊落到失望的深淵之后反彈得有多高。

8、為了照亮夜空，星星才站在天空的高處。

9、我們的人生必須勵志，不勵志就仿佛沒有靈魂。

10、拼盡全力，逼自己優(yōu)秀一把，青春已所剩不多。

11、一個人如果不能從內(nèi)心去原諒別人，那他就永遠不會心安理得。

12、每個人心里都有一段傷痕，時間才是最好的療劑。

13、如果我不堅強，那就等著別人來嘲笑。

14、早晨給自己一個微笑，種下一天旳陽光。

15、沒有愛不會死，不過有了愛會活過來。

16、失敗的定義：什么都要做，什么都在做，卻從未做完過，也未做好過。

17、當我微笑著說我很好的時候，你應(yīng)該對我說，安好就好。

18、人不僅要做好事，更要以準確的方式做好事。

19、我們并不需要用太華麗的語言來包裹自己，因為我們要做最真實的自己。

20、一個人除非自己有信心，否則無法帶給別人信心。

21、為別人鼓掌的人也是在給自己的生命加油。

22、失去金錢的人損失甚少，失去健康的人損失極多，失去勇氣的人損失一切。

23、相信就是強大，懷疑只會抑制能力，而信仰就是力量。

24、那些嘗試去做某事卻失敗的人，比那些什么也不嘗試做卻成功的人不知要好上多少。

25、自己打敗自己是最可悲的失敗，自己戰(zhàn)勝自己是最可貴的勝利。

26、沒有熱忱，世間便無進步。

27、失敗并不意味你浪費了時間和生命，失敗表明你有理由重新開始。

28、青春如此華美，卻在煙火在散場。

29、生命的道路上永遠沒有捷徑可言，只有腳踏實地走下去。

30、只要還有明天，今天就永遠是起跑線。

31、認真可以把事情做對，而用心卻可以做到完美。

32、如果上帝沒有幫助你那他一定相信你可以。

33、只要有信心，人永遠不會挫敗。

34、珍惜今天的美好就是為了讓明天的回憶更美好。

35、只要你在路上，就不要放棄前進的勇氣，走走停停的生活會一直繼續(xù)。

36、大起大落誰都有拍拍灰塵繼續(xù)走。

37、孤獨并不可怕，每個人都是孤獨的，可怕的是害怕孤獨。

38、寧可失敗在你喜歡的事情上，也不要成功在你所憎惡的事情上。

39、我很平凡，但骨子里的我卻很勇敢。

40、眼中閃爍的淚光，也將化作永不妥協(xié)的堅強。

41、我不去想是否能夠成功，既然選了遠方，便只顧風(fēng)雨兼程。

42、寧可自己去原諒別人，莫等別人來原諒自己。

43、踩著垃圾到達的高度和踩著金子到達的高度是一樣的。

44、每天告訴自己一次：我真的很不錯。

45、人生最大的挑戰(zhàn)沒過于戰(zhàn)勝自己！

46、愚癡的人，一直想要別人了解他。有智慧的人，卻努力的了解自己。

47、現(xiàn)實的壓力壓的我們喘不過氣也壓的我們走向成功。

48、心若有陽光，你便會看見這個世界有那么多美好值得期待和向往。

49、相信自己，你能作繭自縛，就能破繭成蝶。

50、不能強迫別人來愛自己，只能努力讓自己成為值得愛的人。

51、不要拿過去的記憶，來折磨現(xiàn)在的自己。

52、汗水是成功的潤滑劑。

53、人必須有自信，這是成功的秘密。

54、成功的秘密在于始終如一地忠于目標。

55、只有一條路不能選擇――那就是放棄。

56、最后的措手不及是因為當初游刃有余的自己

57、現(xiàn)實很近又很冷，夢想很遠卻很溫暖。

58、沒有人能替你承受痛苦，也沒有人能搶走你的堅強。

59、不要拿我跟任何人比，我不是誰的影子，更不是誰的替代品，我不知道年少輕狂，我只懂得勝者為。

60、如果你看到面前的陰影，別怕，那是因為你的背后有陽光。

61、寧可笑著流淚，絕不哭著后悔。

62、覺得自己做得到和做不到，只在一念之間。

63、跌倒，撞墻，一敗涂地，都不用害怕，年輕叫你勇敢。

64、做最好的今天，回顧最好的昨天，迎接最美好的明天。

65、每件事情都必須有一個期限，否則，大多數(shù)人都會有多少時間就花掉多少時間。

66、當你被壓力壓得透不過氣來的時候，記住，碳正是因為壓力而變成閃耀的鉆石。

67、現(xiàn)實會告訴你，不努力就會被生活給踩死。無需找什么借口，一無所有，就是拼的理由。

68、人生道路，絕大多數(shù)人，絕大多數(shù)時候，人都只能靠自己。

69、不是某人使你煩惱，而是你拿某人的言行來煩惱自己。

70、當一個人真正覺悟的一刻，他放棄追尋外在世界的財富，而開始追尋他內(nèi)心世界的真正財富。

71、失敗并不意味你浪費了時間和生命，失敗表明你有理由重新開始。

72、人生應(yīng)該樹立目標，否則你的精力會白白浪費。

73、山澗的泉水經(jīng)過一路曲折，才唱出一支美妙的歌。

74、時間告訴我，無理取鬧的年齡過了，該懂事了。

75、命運是不存在的，它不過是失敗者拿來逃避現(xiàn)實的借口。

76、人總是在失去了才知道珍惜！

77、要銘記在心：每天都是一年中最美好的日子。

78、生活遠沒有咖啡那么苦澀，關(guān)鍵是喝它的人怎么品味！每個人都喜歡和向往隨心所欲的生活，殊不知隨心所欲根本不是生活。

79、別拿自己的無知說成是別人的愚昧！

80、天空的高度是鳥兒飛出來的，水無論有多深是魚兒游出來的。

81、思想如鉆子，必須集中在一點鉆下去才有力量。

82、如果我堅持什么，就是用大炮也不能打倒我。

83、我們要以今天為坐標，暢想未來幾年后的自己。

84、日出時，努力使每一天都開心而有意義，不為別人，為自己。

85、有夢就去追，沒死就別停。

86、今天不為學(xué)習(xí)買單，未來就為貧窮買單。

87、因為一無所有這才是拼下去的理由。

88、只要我還有夢，就會看到彩虹!

89、你既認準這條路，又何必在意要走多久。

90、盡管社會是這樣的現(xiàn)實和殘酷，但我們還是必須往下走。

91、能把在面前行走的機會抓住的人，十有八九都會成功。

92、你能夠先知先覺地領(lǐng)導(dǎo)產(chǎn)業(yè)，后知后覺地苦苦追趕，或不知不覺地被淘汰。

93、強烈的信仰會贏取堅強的人，然后又使他們更堅強。

94、人生，不可能一帆風(fēng)順，有得就有失，有愛就有恨，有快樂就會有苦惱，有生就有死，生活就是這樣。

95、好習(xí)慣的養(yǎng)成，在于不受壞習(xí)慣的誘惑。

96、凡過于把幸運之事歸功于自我的聰明和智謀的人多半是結(jié)局很不幸的。

97、如果我們一直告誡自己要開心過每一天，就是說我們并不開心。

98、天氣影響身體，身體決定思想，思想左右心情。

99、不論你在什么時候結(jié)束，重要的是結(jié)束之后就不要悔恨。

100、只要還有明天，今天就永遠是起跑線。1、最孤獨的時光，會塑造最堅強的自己。39IT服務(wù)與信息安全信息分類IT內(nèi)部培訓(xùn)類保密等級機密2010年12月9日保密期限有效期至2015年12月集團全體員工IT服務(wù)與信息安全信息分類IT內(nèi)部培訓(xùn)類保密等級機密201040信息安全應(yīng)知應(yīng)會IT服務(wù)概述信息系統(tǒng)介紹及注意事項IT設(shè)備服務(wù)介紹及注意事項信息安全應(yīng)知應(yīng)會IT服務(wù)概述信息系統(tǒng)介紹及注意事項IT設(shè)備服41IT服務(wù)簡介IT組織介紹宇通的IT服務(wù)由信息技術(shù)分公司提供，信息技術(shù)分公司簡稱“信息中心”或“IT”，負責整個宇通集團的信息系統(tǒng)建設(shè)、IT設(shè)備管理和信息安全管理。IT服務(wù)范圍信息系統(tǒng)建設(shè)：負責公司基于EIP與ERP雙平臺的所有30多個應(yīng)用系統(tǒng)的信息化建設(shè)、運行維護和權(quán)限管理工作。IT設(shè)備管理：負責辦公電腦（含臺式機、瘦客戶機和筆記本）和其他電子辦公設(shè)備（投影儀、打印機等）的配備、借用與維修。信息安全管理：負責公司所有系統(tǒng)和終端的信息安全管理與監(jiān)控。IT服務(wù)入口熱線電話：8867服務(wù)單入口：登錄EIP，點擊“服務(wù)臺IT服務(wù)IT服務(wù)窗口”，見下圖。IT服務(wù)簡介IT組織介紹42IT服務(wù)臺（熱線電話：8867）點擊IT服務(wù)進入IT服務(wù)臺如果您有微機、辦公軟件、操作系統(tǒng)、通信、應(yīng)用系統(tǒng)方面的故障，或者您需要重置密碼、批量提取數(shù)據(jù)，或者你不知道跟IT相關(guān)的問題該如何解決需要咨詢IT人員，都可以填寫該服務(wù)單，我們會有專業(yè)人員為您解決問題。如果您因為工作變動，需要變更您名下的IT資產(chǎn)時，請?zhí)顚懺搯巫?，IT資產(chǎn)包括但不限于以下這些設(shè)備“電腦主機，顯示器，筆記本電腦，打印機，復(fù)印機，投影儀，攝像機，PDA等”。當現(xiàn)有系統(tǒng)不能滿足的業(yè)務(wù)管理改進需求，需進行系統(tǒng)改造、修改或新建時，業(yè)務(wù)可提交需求單，例如開發(fā)新程序、系統(tǒng)配置調(diào)整等。需求單提交后，IT將指派專人進行分析，在承諾的時間內(nèi)內(nèi)提供解決方案并實現(xiàn)完成，需求分析和實現(xiàn)過程將按影響范圍由不同層級審批。如果您因為工作需要申請使用筆記本電腦（非借用），請您填寫該單子，審批通過后IT人員會給您配備筆記本電腦如果您需要申請臺式機，打印機，投影儀，復(fù)印機，掃描儀，PDA，電話，網(wǎng)絡(luò)連接或者其他硬件設(shè)備，請您填寫該服務(wù)單，審批通過后，IT會聯(lián)系您領(lǐng)取申請的設(shè)備如果您需要借用筆記本電腦，瘦客戶機，投影儀，請您填寫該單子，審批通過后，IT會聯(lián)系您領(lǐng)取申請的設(shè)備各部門文檔管理員專用，用于聯(lián)系IT文檔系統(tǒng)管理員調(diào)整崗位與人員對應(yīng)關(guān)系，普通用戶無權(quán)限1,如果您需要申請“EIP，RTX，郵箱，SAP，配置器，CRM，國內(nèi)/海外服務(wù)網(wǎng)，供應(yīng)商門戶，LES，QM，APS，VPN”賬號，請您填寫該單子，審批通過后IT有專人負責開通您的權(quán)限。2,如果您需要申請“電子傳真，短信平臺，郵箱擴展功能，USB，即時通訊，外網(wǎng)，外郵”權(quán)限，也請您填寫該單子，審批通過后IT有專人負責開通您的權(quán)限。IT服務(wù)臺（熱線電話：8867）點擊IT服務(wù)進入IT服務(wù)臺如43信息安全應(yīng)知應(yīng)會IT服務(wù)概述信息系統(tǒng)介紹及注意事項IT設(shè)備服務(wù)介紹及注意事項信息安全應(yīng)知應(yīng)會IT服務(wù)概述信息系統(tǒng)介紹及注意事項IT設(shè)備服44宇通信息雙平臺宇通經(jīng)過十余年的信息化建設(shè)，已建成EIP+ERP雙平臺，其中EIP（企業(yè)信息平臺）面向管理，ERP（企業(yè)資源計劃）面向業(yè)務(wù)，眾多應(yīng)用系統(tǒng)分別部署在這兩個平臺上。SAPCOFIHRMMPP供應(yīng)商門戶售后服務(wù)網(wǎng)PLM質(zhì)量信息網(wǎng)訂單配置器……數(shù)據(jù)總線SD……EIP流程文檔……新聞宇通信息雙平臺宇通經(jīng)過十余年的信息化建設(shè)，已建成EIP+E45平臺及系統(tǒng)模塊詳圖PLMSCMCRMSSMEIPERPEDB宇通信息門戶EIP

/企業(yè)門戶WWW/合作伙伴協(xié)同門戶SNSOPSOP分析EA企業(yè)架構(gòu)FA財務(wù)分析PE工作協(xié)同CA競爭分析KM文檔管理PMS銷售分析PTM項目與任務(wù)IC信息服務(wù)HD服務(wù)臺TC通信服務(wù)IS信息安全BP客戶管理APS高級排產(chǎn)PT考勤管理DMS產(chǎn)品文檔CM資金管理IOV車聯(lián)網(wǎng)SM供應(yīng)商管理EC卡務(wù)管理PP生產(chǎn)計劃SE服務(wù)工程ECM工程更改PY薪酬管理EM費用管理SC采購管理OC配置器QM質(zhì)量管理MM物料管理SD訂單管理BOM物料清單SO維修管理CO管理會計GB擔保業(yè)務(wù)PB招聘管理OBM海外商務(wù)PA組織與人事CAXITSMIT管理MES生產(chǎn)執(zhí)行LES物流執(zhí)行SP配件管理CCC客服中心FI財務(wù)會計客戶數(shù)據(jù)員工數(shù)據(jù)產(chǎn)品數(shù)據(jù)合作伙伴車輛數(shù)據(jù)訂單數(shù)據(jù)質(zhì)量數(shù)據(jù)EA數(shù)據(jù)R&DO研發(fā)分析QC質(zhì)量分析SC服務(wù)分析已有圖例：需建設(shè)需擴展KPI績效管理平臺及系統(tǒng)模塊詳圖PLMSCMCRMSSMEIPERPEDB46宇通快訊，用圖片形式展現(xiàn)宇通大事宇通公告/紅頭/體系公告，用文字形式報道公告信息這里匯聚了您所有的待辦和待閱事項常用資料EIP介紹—首頁宇通快訊，用圖片形式展現(xiàn)宇通大事宇通公告/紅頭/體系公告，用47EIP介紹—工作臺點擊“流程中心”，可以提交/查看審批流程點擊“文檔中心”，可以上傳/查看您的所有文檔應(yīng)用系統(tǒng)的快捷入口EIP介紹—工作臺點擊“流程中心”，可以提交/查看審批流程48EIP介紹—服務(wù)臺（IT，HR，財務(wù)，技改，綜合）EIP介紹—服務(wù)臺（IT，HR，財務(wù)，技改，綜合）49EIP介紹—企業(yè)文化，企業(yè)架構(gòu)，管理創(chuàng)新，知識社區(qū)EIP介紹—企業(yè)文化，企業(yè)架構(gòu)，管理創(chuàng)新，知識社區(qū)50EIP介紹—門戶導(dǎo)航（包括各體系的二級門戶）EIP介紹—門戶導(dǎo)航（包括各體系的二級門戶）51宇通選用業(yè)界最先進的ERP系統(tǒng)—SAP，主要用于物流，生產(chǎn)，銷售，研發(fā)，質(zhì)量及售后等業(yè)務(wù)數(shù)據(jù)的處理，全面覆蓋公司人、財、物、產(chǎn)、供、銷的運營管理。ECC6客戶/服務(wù)器ABAP/4FI財務(wù)會計CO財務(wù)控制TR財富管理PS項目管理WF工作流程管理IS行業(yè)解決方案MM物料管理HR人事管理SD銷售與分銷PP生產(chǎn)計劃QM質(zhì)量管理CS客戶服務(wù)WM倉庫管理ERP介紹-SAP宇通選用業(yè)界最先進的ERP系統(tǒng)—SAP，主要用于物流，生產(chǎn)，52SAP標準解決方案示意圖庫存管理倉庫管理財務(wù)管理建議計劃生產(chǎn)物料需求計劃發(fā)貨轉(zhuǎn)儲采購收貨銷售與分銷發(fā)票校驗發(fā)票需求庫存預(yù)測訂單SAP標準解決方案示意圖庫存管理倉庫管理財務(wù)管理建議計劃53通常接觸到的各種信息系統(tǒng)均為正式環(huán)境，嚴禁在正式環(huán)境中進行嘗試、練習(xí)。對信息系統(tǒng)的各種操作都應(yīng)該在指導(dǎo)人的指導(dǎo)下完成，或者咨詢IT分公司。信息系統(tǒng)中有大量的業(yè)務(wù)保密信息，嚴禁將保密信息摘抄后外泄。信息系統(tǒng)的不同操作需要的運行時間不同，出現(xiàn)明顯的超時操作應(yīng)盡快停止。嚴禁在正式環(huán)境中進行數(shù)據(jù)的海量查詢，例如查看一整年的物料出入庫記錄。每個員工都需妥善保管系統(tǒng)口令，并在使用信息系統(tǒng)后及時登出。信息系統(tǒng)使用注意事項通常接觸到的各種信息系統(tǒng)均為正式環(huán)境，嚴禁在正式環(huán)境中進行嘗54信息安全應(yīng)知應(yīng)會及案例分享IT服務(wù)概述IT設(shè)備服務(wù)介紹及注意事項信息系統(tǒng)介紹及注意事項信息安全應(yīng)知應(yīng)會及案例分享IT服務(wù)概述IT設(shè)備服務(wù)介紹及注意55IT設(shè)備服務(wù)介紹1、設(shè)備維修與升級必須由信息技術(shù)分公司負責完成，不允許私自處理。2、嚴禁員工私自安裝計算機操作系統(tǒng)。3、用戶報修方法：EIP中填寫服務(wù)單或撥打8867服務(wù)熱線反饋。1、申請條件：部門有預(yù)算，且業(yè)務(wù)需求符合《信息終端使用管理規(guī)范》和《筆記本電腦使用管理規(guī)范》。2、申請方法：通過EIP服務(wù)臺提交服務(wù)單，經(jīng)部門領(lǐng)導(dǎo)的合理性審批和IT的合規(guī)性審批后方可配發(fā)。1、每臺設(shè)備都有固定的責任人，不允許私自調(diào)配。2、使用人變更或離職必須上交設(shè)備。3、員工離職或者調(diào)離所在部門時，必須知會信息安全管理人員進行信息安全離職審計，確認在職期間沒有違反信息安全相關(guān)管理規(guī)定行為后，方可以辦理相關(guān)手續(xù)。申請報修上交服務(wù)范圍：受理用戶對于臺式電腦、筆記本電腦、打印機、交換機、電話、投影儀、掃描儀及其它存儲介質(zhì)等的申請、報修及上交。IT設(shè)備服務(wù)介紹1、設(shè)備維修與升級必須由信息技術(shù)分公司負責完56所有信息終端設(shè)備的配備依照“對崗不對人”為原則，即設(shè)備跟崗位相匹配，不能隨人的變化而變化，設(shè)備只能通過收回和配備流程進行變更。所有信息終端設(shè)備責任到人，不得出現(xiàn)無人負責的設(shè)備。筆記本配備標準：長期駐外且需要經(jīng)常移動辦公的人員。筆記本借用規(guī)則：使用人至少提前2天提交“EIP借用筆記本申請”流程，借用期1個月以內(nèi)需要部門領(lǐng)導(dǎo)審批，借用期在1個月至3個月之間的需要增加體系總監(jiān)審批。筆記本電腦的連續(xù)借用期不允許超過12個月。IP地址設(shè)置為信息技術(shù)分公司統(tǒng)一配置，嚴禁員工擅自更改IP地址。禁止下載、制造、傳播與工作無關(guān)的文件。所有員工的上網(wǎng)行為（包括QQ\MSN聊天信息與文件發(fā)送、瀏覽網(wǎng)頁、WEB郵件、FTP上傳等）公司都將進行監(jiān)控與信息備份。禁止利用公司網(wǎng)絡(luò)資源進行任何與工作無關(guān)的事，公司網(wǎng)絡(luò)資源24小時只能用于工作。IT設(shè)備申請及使用注意事項所有信息終端設(shè)備的配備依照“對崗不對人”為原則，即設(shè)備跟崗位57IT設(shè)備服務(wù)介紹及注意事項IT服務(wù)概述信息系統(tǒng)介紹及注意事項信息安全應(yīng)知應(yīng)會IT設(shè)備服務(wù)介紹及注意事項IT服務(wù)概述信息系統(tǒng)介紹及注意事項58什么是信息安全

信息安全是指軟硬件等業(yè)務(wù)系統(tǒng)產(chǎn)生的數(shù)據(jù)收到保護，不因各種原因而遭受到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠運行，信息服務(wù)不中斷。信息安全三要素

保密性、完整性、可用性什么是信息安全59根據(jù)統(tǒng)計，全球排名前1000的大公司，平均每年發(fā)生2.54起商業(yè)間諜事件，損失總數(shù)高達上千億美元。2007年5月，韓國起亞汽車公司新推出“索蘭托”車型，起亞公司內(nèi)部9名員工因涉嫌向中國的汽車制造企業(yè)（疑為河北天馬和安徽奇瑞）出售車身自動組裝技術(shù)等技術(shù)信息而被韓國檢察局起訴，涉案金額達2.3億韓幣。我們面臨的各類威脅根據(jù)統(tǒng)計，全球排名前1000的大公司，平均每60總體目標：通過有效的技術(shù)與管理措施，使企業(yè)信息資產(chǎn)免遭威脅，或者將威脅帶來的損失降到最低程度，保證信息資產(chǎn)的保密性、完整性和可用性，確保公司業(yè)務(wù)的正常運作?？傮w策略：體系化：信息安全不靠自覺，也不是救火，而是日常工作和績效的一部分，除流程、技術(shù)、制度、組織外，還包括教育和審計可控性：你是誰？你可以做什么？-權(quán)限管理可審計：你做了什么？信息安全總體目標總體目標：信息安全總體目標61TOPEA為宇通所定義的信息安全體系結(jié)構(gòu)，該結(jié)構(gòu)以信息安全技術(shù)做支撐，面向明確的信息安全管理目標和總體策略，通過組織，流程，教育和審計的全面協(xié)同機制，形成宇通信息安全管理體系，并依靠其自身的持續(xù)改進能力，始終同步支持公司業(yè)務(wù)發(fā)展對信息安全的要求。信息安全管理組織Organization信息安全管理流程Process信息安全教育Education信息安全審計Audit宇通信息安全目標與策略信息安全技術(shù)Technique信息安全TOPEA模型TOPEA為宇通所定義的信息安全體系結(jié)構(gòu)，該62審計原則：定期、透明、及時、業(yè)務(wù)影響最小。審計流程：審計內(nèi)容：1、管理審計：主要審計信息安全管理相關(guān)制度的執(zhí)行情況；2、技術(shù)審計：主要從技術(shù)方面審計信息資產(chǎn)的安全程度，包括授權(quán)審計、用戶訪問審計、信息輸入輸出日志審計、郵件發(fā)送日志審計、檔案借閱日志審計、病毒感染、互聯(lián)網(wǎng)訪問、數(shù)據(jù)備份、個人電腦文檔審計等；通報機制：1、在日常工作或者審計中發(fā)現(xiàn)信息安全問題，員工和審計人員應(yīng)及時向信息安全管理小組匯報；2、根據(jù)審計結(jié)果，信息安全小組定期對全公司各體系信息安全的狀況進行評估，并形成書面報告，提交信息安全管理委員會。

由信息安全管理小組負責，及時捕獲和處理信息安全事件，為信息安全管理提供考核依據(jù)，通過審計確保信息安全管理的高度執(zhí)行力和持續(xù)改進。信息安全審計審計原則：定期、透明、及時、業(yè)務(wù)影響最小。由信63信息是一種資產(chǎn)，它涵蓋由宇通公司員工所創(chuàng)造的所有信息，同其他重要的商業(yè)資產(chǎn)一樣，對一個組織而言都具有一定價值，需要加以保護。信息保密根據(jù)其價值、敏感程度、泄漏給企業(yè)帶來的影響不同，可分為絕密、機密、保密三個級別。絕密最重要的企業(yè)秘密，一旦泄漏，會對公司的正常運營帶來特別嚴重的損害，降低公司市場競爭力、銷售收入或盈利能力；比如直接影響集團公司權(quán)益的重要決策文件（永久期限）；機密重要的企業(yè)秘密，一旦泄漏，會對公司的正常運營帶來影響，引起法律糾紛或影響部門、企業(yè)、合作伙伴間的合作關(guān)系；比如公司人事檔案、合同、協(xié)議等；（5年期限）保密絕密和保密范圍外的其它信息資產(chǎn)，在宇通員工范圍內(nèi)均可以查看。（3年期限）信息資產(chǎn)的保密級別信息是一種資產(chǎn)，它涵蓋由宇通公司員工所創(chuàng)造的所有信息，64指對有意盜竊、泄密公司保密信息的，或者有意違反信息安全管理規(guī)定，性質(zhì)嚴重造成重大損失的行為指對有意違反信息安全管理規(guī)定，性質(zhì)嚴重或造成公司損失的行為指對有意違反信息安全管理規(guī)定，性質(zhì)嚴重或造成公司損失的行為指對違反信息安全管理規(guī)定，性質(zhì)較輕，沒有造成公司損失的行為一級違規(guī)二級違規(guī)三級違規(guī)四級違規(guī)信息安全違規(guī)的等級劃分指對有意盜竊、泄密公司保密信息的，或者有意違反信息安全管理規(guī)65違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全四級違規(guī)未經(jīng)批準，安裝公司非標準或注冊軟件通過各種信息通信方式（郵件，USB,RTX即時通信等）發(fā)送傳遞與工作無關(guān)文件(人數(shù)少,性質(zhì)不嚴重)未按公司規(guī)定機箱上鎖和封閉USB口利用公司互聯(lián)網(wǎng)訪問工作無關(guān)的網(wǎng)站，或無報備連續(xù)24小時下載超過1G的與工作無關(guān)的文件信息安全在執(zhí)行審計或安全流程過程中，員工有意為難或阻止執(zhí)行常見的信息安全違規(guī)行為-四級違規(guī)違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全四級未經(jīng)批準66違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全三級違規(guī)未經(jīng)批準，訪問游戲，娛樂站點及與工作無關(guān)的任何站點未經(jīng)批準，在公司信息系統(tǒng)范圍內(nèi)通過其它方式登陸互聯(lián)網(wǎng)或盜用合法用戶IP訪問互聯(lián)網(wǎng)未經(jīng)批準，轉(zhuǎn)借信息系統(tǒng)帳號或隨意將密碼告訴他人非正當渠道獲取或傳遞保密文檔未按照信息資產(chǎn)分類授權(quán)表的信息資產(chǎn)授權(quán)范圍，私自將公司文檔或信息授予未經(jīng)授權(quán)的任何其他人員（包括公司人員和非公司人員）損壞、泄露保密級以上級信息；或因個人操作不當，對公司信息資產(chǎn)的保密性、完整性、可用性造成危害，導(dǎo)致較小影響和破壞的信息安全事件。常見的信息安全違規(guī)行為-三級違規(guī)違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全三級未經(jīng)批準67違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全二級違規(guī)常見的信息安全違規(guī)行為-二級違規(guī)發(fā)送與工作無關(guān)連環(huán)郵件(人數(shù)多,性質(zhì)嚴重,影響范圍大)訪問不健康網(wǎng)站或通過各種信息通信方式（外網(wǎng)郵箱，QQ，MSN等通信工具）向外部發(fā)送公司未經(jīng)授權(quán)發(fā)送的公司文件。未經(jīng)允許，在各種媒體、公眾場合發(fā)表與公司有關(guān)的評論或言論或文章未經(jīng)批準，私自轉(zhuǎn)借筆記本電腦及各種便攜存儲設(shè)備私自刻錄文檔，盜用他人帳號非法收集大量與本崗位工作無關(guān)機密級以上文檔員工在離崗期間未按照公司《員工離崗調(diào)動規(guī)定》，私自刪除，拷貝，修改自己終端計算機系統(tǒng)內(nèi)的信息資產(chǎn)未按照公司IT設(shè)備相關(guān)規(guī)定私自調(diào)配使用IT資產(chǎn)違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全二級常見的信68違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全一級違規(guī)常見的信息安全違規(guī)行為-一級違規(guī)有意散布傳播政治性言論或公司內(nèi)部未公開的信息惡意攻擊公司網(wǎng)絡(luò)和信息系統(tǒng)，編制或傳播病毒程序有意竊取、盜賣公司保密信息，惡意損壞、泄漏機密級以上信息；因個人工作原因造成的絕密信息資產(chǎn)丟失(包括管理員備份的電子文件,數(shù)據(jù)庫文件無法正?；謴?fù)，以及員工自己保存的紙質(zhì)文檔電子文檔信息資產(chǎn))。違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全違規(guī)信息安全一級常見的信691、信息資產(chǎn)只用于授權(quán)范圍內(nèi)使用。各體系部門產(chǎn)生的所有文檔都要加注信息安全封面，特別要明確保密等級及授權(quán)范圍。將信息資產(chǎn)輸出到公司以外范圍時，需經(jīng)領(lǐng)導(dǎo)審批同意后向部門信息安全管理員登記備案。2、經(jīng)過正常授權(quán)獲得保密信息的人員無權(quán)將所獲得的保密信息再授權(quán)，也不得提供給任何未經(jīng)授權(quán)發(fā)送的第三方。禁止員工私下交流保密信息。

3、辦公室信息安全員工下班后桌面上不能有保密級以上紙件文檔；員工離開座位超過10分鐘，桌面上不能有保密級以上文檔；保密信息文檔應(yīng)放在帶鎖抽屜或保密柜內(nèi)；未經(jīng)批準，嚴禁員工和來訪人員在辦公區(qū)域使用照相機或其他錄像設(shè)備。4、會議信息安全會議的信息安全由會議召集人負責，會議的錄音、錄像應(yīng)由會議召集人或其指定人員妥善保管，如需重復(fù)使用，則使用前應(yīng)刪除原有內(nèi)容；會議結(jié)束后應(yīng)有專人清理會場，回收清點核對會議資料并妥善處理。信息資產(chǎn)的使用及發(fā)送注意事項1、信息資產(chǎn)只用于授權(quán)范圍內(nèi)使用。各體系部門產(chǎn)生的所有文檔都701、《宇通集團信息安全管理規(guī)范》2、《信息終端使用管理規(guī)范》3、《宇通集團信息安全審計管理細則》

4、《電子文檔管理規(guī)范》5、《筆記本電腦管理規(guī)定》公司現(xiàn)行信息安全相關(guān)管理規(guī)范公司現(xiàn)行信息安全相關(guān)管理規(guī)范71案例一：1964年《中國畫報》大慶在齊齊哈爾與哈爾濱之間油井直徑油田儲量及產(chǎn)量中國政府向全球征求設(shè)計方案并采購設(shè)備時日本公司一舉中標中國建國第一泄密大案案例一：1964年《中國畫報》大慶在齊齊哈爾與哈爾72案例二：

供應(yīng)鏈體系某員工，EIP登錄密碼保管不善，密碼被其他員工獲取。該賬戶被他人盜用后，在網(wǎng)絡(luò)上發(fā)布公司生產(chǎn)安排等涉密信息，給公司生產(chǎn)安排造成了損失。最終被罰款300元。2009年9月，技術(shù)體系某員工在內(nèi)部論壇，將正在研發(fā)過程中的房車技術(shù)資料作為附件上傳，全公司范圍內(nèi)都可閱讀下載，屬于嚴重泄密，最終被罰款1000元。案例二：73案例三：

生產(chǎn)體系部分員工將系統(tǒng)登錄密碼、EIP登錄密碼、SAP登錄密碼明文記錄后公開張貼，最終被罰款300元。

所有系統(tǒng)登錄密碼均為重要涉密信息，擁有這些密碼就擁有了各類系統(tǒng)的使用權(quán)，一旦被其他員工誤用，被公司以外人員、離職人員盜用，后果不堪設(shè)想。

公司為保證操作密碼的保密性，域策略要求系統(tǒng)登錄密碼三個月更新一次且復(fù)雜度有具體要求。案例三：74信息安全事件警示錄2009年7月集團審計部某員工，辦公電腦內(nèi)存儲大量與工作無關(guān)的文件及娛樂程序，濫用公司辦公設(shè)備和互聯(lián)網(wǎng)資源，提出警告批評，并責令立刻自行清理。2009年7月30日，銷售公司某員工私自更改自己的IP地址，非法進行外網(wǎng)訪問，導(dǎo)致其他員工無法正常訪問公司網(wǎng)絡(luò)，屬于嚴重的終端安全違規(guī)行為，提出嚴重警告。2009年8月對終端計算機USB接口審計中，發(fā)現(xiàn)銷售體系售后服務(wù)部某員工在未授權(quán)情況下拷貝公司重要資料，內(nèi)容包括公司圖紙、維修記錄、內(nèi)部培訓(xùn)資料、及公司人力資源部的后備干部培訓(xùn)資料等，屬于嚴重的違規(guī)行為，對此，銷售體系信息安全專員已及時組織進行了資產(chǎn)追回，信息安全小組對該員工提出嚴重警告并處以1000元罰款。2009年9月份，底盤室某員工在內(nèi)部論壇發(fā)帖，將公司正在開發(fā)過程中的房車技術(shù)資料（機密信息）做為附件上傳在回復(fù)內(nèi)容中，全公司范圍內(nèi)均能閱讀、下載、復(fù)制，嚴重違反了《宇通集團信息安全管理規(guī)范》和公司技術(shù)資料保密要求，屬于嚴重的信息泄露事件。2009年12月技術(shù)體系2009屆新員工，使用公司內(nèi)部郵箱向外網(wǎng)郵箱輸出公司機密級文件，內(nèi)容包括宇通企業(yè)標準、研發(fā)流程、CATIA二次開發(fā)、3D模型等，屬于嚴重的信息泄露事件。當天，信息安全小組和技術(shù)中心已聯(lián)合完成了資產(chǎn)追回和清理。全部解除勞動合同。2010年6月，銷售公司某業(yè)務(wù)員自行重裝電腦系統(tǒng)導(dǎo)致VPN軟件丟失，此現(xiàn)象違反《信息終端管理規(guī)范》，屬于信息安全違規(guī)事件。信息安全事件警示錄2009年7月集團審計部某員工，辦公電腦內(nèi)75IT服務(wù)與信息安全講義課件76謝謝聆聽謝謝聆聽77

1、最孤獨的時光，會塑造最堅強的自己。

2、把臉一直向著陽光，這樣就不會見到陰影。

3、永遠不要埋怨你已經(jīng)發(fā)生的事情，要么就改變它，要么就安靜的接受它。

4、不論你在什么時候開始，重要的是開始之后就不要停止。

5、通往光明的道路是平坦的，為了成功，為了奮斗的渴望，我們不得不努力。

6、付出了不一定有回報，但不付出永遠沒有回報。

7、成功就是你被擊落到失望的深淵之后反彈得有多高。

8、為了照亮夜空，星星才站在天空的高處。

9、我們的人生必須勵志，不勵志就仿佛沒有靈魂。

10、拼盡全力，逼自己優(yōu)秀一把，青春已所剩不多。

11、一個人如果不能從內(nèi)心去原諒別人，那他就永遠不會心安理得。

12、每個人心里都有一段傷痕，時間才是最好的療劑。

13、如果我不堅強，那就等著別人來嘲笑。

14、早晨給自己一個微笑，種下一天旳陽光。

15、沒有愛不會死，不過有了愛會活過來。

16、失敗的定義：什么都要做，什么都在做，卻從未做完過，也未做好過。

17、當我微笑著說我很好的時候，你應(yīng)該對我說，安好就好。

18、人不僅要做好事，更要以準確的方式做好事。

19、我們并不需要用太華麗的語言來包裹自己，因為我們要做最真實的自己。

20、一個人除非自己有信心，否則無法帶給別人信心。

21、為別人鼓掌的人也是在給自己的生命加油。

22、失去金錢的人損失甚少，失去健康的人損失極多，失去勇氣的人損失一切。

23、相信就是強大，懷疑只會抑制能力，而信仰就是力量