信息技術(shù)安全政策及安全意識(shí)培訓(xùn)

信息技術(shù)安全政策&信息安全意識(shí)培訓(xùn)培訓(xùn)的目標(biāo)掌握信息安全的基本概念、理念和慣例建立對(duì)信息安全的敏感意識(shí)和正確認(rèn)識(shí)了解公司各項(xiàng)IT政策(用戶相關(guān))熟悉對(duì)應(yīng)于IT政策的安全標(biāo)準(zhǔn)及流程清楚可能面臨的威脅和風(fēng)險(xiǎn)在日常工作中養(yǎng)成良好的安全習(xí)慣意識(shí)制度行為

什么是信息安全

相關(guān)的IT政策

公司信息安全組織架構(gòu)InformationOwner/Representative信息所有者/委派人機(jī)制

IT資源的合法使用

接受和批露公司的機(jī)密信息安全標(biāo)準(zhǔn)與實(shí)踐

保密意識(shí):數(shù)據(jù)保密等級(jí)劃分你的密碼

辦公環(huán)境安全

信息安全事件呈報(bào)程序

注意社交工程

避免信息安全常見錯(cuò)誤你的責(zé)任主要內(nèi)容什么是“信息

安全”?C保密性（Confidentiality）：非授權(quán)用戶看不到。完整性（Integrity）：確保不會(huì)被非授權(quán)篡改、一致性?？捎眯裕ˋvailability）：確保授權(quán)用戶想用的時(shí)候用得著。IA

消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí)——有價(jià)值的內(nèi)容是無(wú)形的，借助于信息媒體以多種形式存在或傳播：存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中（數(shù)據(jù)、文件資料）記憶在人的大腦里通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù)Information信息安全組織結(jié)構(gòu)信息安全管理組織架構(gòu)信息安全委員會(huì)InformationOwners-CEO，COO，CIO用戶（Users)公司各部門、供應(yīng)商/合作伙伴信息安全主管ITRiskManager業(yè)務(wù)信息安全主管InformationOwnerRepresentatives決策層協(xié)調(diào)/管理/執(zhí)行層用戶（內(nèi)/外部）信息所有者/委派人機(jī)制1)各體系內(nèi)信息安全的最終責(zé)任人/接口人2)信息資源清單3)供應(yīng)商ORE(OverallRiskEvaluation)評(píng)估4)應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評(píng)估5)重大安全事故調(diào)查6)用戶系統(tǒng)權(quán)限審批7)數(shù)據(jù)需求/修改/使用審批8)應(yīng)用需求(CR)和測(cè)試(UAT)審批9)記錄和信息管理(RIM)10)審計(jì)發(fā)現(xiàn)審批執(zhí)行信息所有者/委派人機(jī)制，公司所有業(yè)務(wù)相關(guān)信息（系統(tǒng)/數(shù)據(jù)）的所有者均為對(duì)應(yīng)體系/部門最高負(fù)責(zé)人，以下具體流程工作可授權(quán)給委派人審批：1.業(yè)務(wù)系統(tǒng)數(shù)據(jù)所有者是誰(shuí)？2.公司信息安全的誰(shuí)的職責(zé)?討論IT資源的合法使用辦公電腦/電話

互聯(lián)網(wǎng)

電子郵件

無(wú)線網(wǎng)絡(luò)

軟件的獲取/使用

防病毒軟件……回歸常識(shí)，用戶都應(yīng)有良好的行為判斷，不確定處聯(lián)系IT公司允許因家庭和私人事務(wù)而偶爾使用上述IT資源，但是不得影響工作、其他業(yè)務(wù)需求或違反法律或公司制度濫用或違反政策將受到處分，包括直接中止雇傭關(guān)系(同樣適用于以下所有IT政策)對(duì)上述所有公司IT資源的使用，用戶請(qǐng)記住三點(diǎn)：公司已簽署公安部

《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)單位信息安全保衛(wèi)責(zé)任書》，責(zé)任書明確要求：IT資源的合法使用(續(xù))公司會(huì)對(duì)員工上網(wǎng)行為進(jìn)行記錄

公安部會(huì)隨時(shí)進(jìn)行檢查員工在上網(wǎng)時(shí)請(qǐng)不要從事非工作以及必要信息檢索以外的行為，如果有任何不適當(dāng)?shù)难哉撔袨椋赡軐?dǎo)致公司受到警告，罰款，停止聯(lián)網(wǎng)，停機(jī)整頓等嚴(yán)厲處罰，個(gè)人也需要承擔(dān)相應(yīng)的法規(guī)責(zé)任。意味著什么三、不利用國(guó)際聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播下列信息：(一)煽動(dòng)抗拒、破壞憲法和法律、行政法規(guī)實(shí)施的；(二)煽動(dòng)顛覆國(guó)家政權(quán)，推翻社會(huì)主義制度的；(三)煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一的；(四)煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；(五)捏造或者歪曲事實(shí)，散布謠言，擾亂社會(huì)秩序的；(六)宣揚(yáng)封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的；(七)公然侮辱他人或者捏造事實(shí)誹謗他人的；(八)損害國(guó)家機(jī)關(guān)信譽(yù)的；(九)其他違反憲法和法律、行政法規(guī)的IT資源的合法使用(續(xù))出差時(shí)，筆記本電腦必須隨身攜帶（不得作為行李托運(yùn)）

不得自行下載或安裝軟件

謹(jǐn)慎使用無(wú)線網(wǎng)絡(luò)

謹(jǐn)慎使用智能手機(jī)

任何安全事件須及時(shí)上報(bào)ITHelpdesk/ITRisk特別注意機(jī)密信息息批露的的決定必必須由相相關(guān)部門門適當(dāng)級(jí)級(jí)別管理理層做出出（即信信息所有有者/委派人））在任何機(jī)機(jī)密信息息放開給給第三方方之前，，必須先先簽署保保密協(xié)議議針對(duì)密級(jí)級(jí)為保密密和限制制信息的的傳統(tǒng)介介質(zhì)，公公司員工工應(yīng)執(zhí)行行“桌面面清理””政策機(jī)密或限限制性信信息的銷銷毀，應(yīng)應(yīng)按照““確保無(wú)無(wú)法復(fù)原原”的原原則進(jìn)行行必須執(zhí)行行保密協(xié)協(xié)議規(guī)定定的條款款，保證證不以任任何方式式泄露或或復(fù)制第第三方提提供的機(jī)機(jī)密性信信息并不不將第三三方機(jī)密密性信息息用于公公司之外外的業(yè)務(wù)務(wù)詳細(xì)信息息聯(lián)系，，CEO/CIO/ITRisk接受和批批露機(jī)密密信息接受和批批露機(jī)密密信息(續(xù))客戶信息息業(yè)務(wù)信息

價(jià)格和其他產(chǎn)品相關(guān)信息公司業(yè)務(wù)運(yùn)行的信息客戶和潛在客戶清單業(yè)務(wù)計(jì)劃和業(yè)務(wù)財(cái)務(wù)狀況其他承諾保密的信息申請(qǐng)或購(gòu)購(gòu)買產(chǎn)品品及服務(wù)務(wù)的個(gè)人人，包括括被保險(xiǎn)險(xiǎn)人、理理賠申請(qǐng)請(qǐng)人、受受益人和和其他基本信息息–姓名、地地址、電電話和年年齡號(hào)碼–身份證號(hào)號(hào)、賬戶戶或投資資者身份份編號(hào)、、信用卡卡號(hào)碼以以及用戶戶名、密密碼等財(cái)務(wù)信息息–收入、財(cái)財(cái)產(chǎn)、負(fù)負(fù)債和信信用歷史史記錄健康狀況況信息–醫(yī)療記錄錄和處方方信息其他個(gè)人人信息–駕駛記錄錄、愛好好和客戶戶的生活活方式及及嗜好等等醫(yī)療資源源數(shù)據(jù)和和理賠數(shù)數(shù)據(jù)客戶信息息也包含含了與團(tuán)團(tuán)體客戶戶相關(guān)的的信息和和團(tuán)險(xiǎn)中中的個(gè)人人信息員工信息

員工信息指由公司維護(hù)的內(nèi)、外勤信息，包括個(gè)人信息及其與公司的關(guān)系

補(bǔ)償/補(bǔ)助金信息績(jī)效評(píng)估身份證號(hào)、生日健康狀況、福利政府需要的信息（包括種族、宗教、殘疾或服役狀況）這些，都都是機(jī)密密信息……什么是信信息安全相關(guān)的IT政策公司信息息安全組組織架構(gòu)構(gòu)InformationOwner/Representative信息所有有者/委派人機(jī)機(jī)制IT資源的合合法使用用接受和批批露公司司的機(jī)密密信息安全標(biāo)準(zhǔn)準(zhǔn)與實(shí)踐踐保密意識(shí)識(shí):數(shù)據(jù)密級(jí)級(jí)劃分你的密碼碼辦公環(huán)境境安全信息安全事件件呈報(bào)程序注意社交工程避免信息息安全常見錯(cuò)誤你的責(zé)任主要內(nèi)容容1-保密意識(shí)識(shí):數(shù)據(jù)密級(jí)級(jí)劃分公開數(shù)據(jù)(PublicData):信息擁有者確定能對(duì)外公布

如公司網(wǎng)站、市場(chǎng)新聞發(fā)布等

限制數(shù)據(jù)(RestrictedData):可能嚴(yán)重影響公司的法規(guī)遵守或經(jīng)濟(jì)狀況、客戶或特權(quán)

如公司戰(zhàn)略、合并活并購(gòu)、身份驗(yàn)證信息(PW/PIN)機(jī)密數(shù)據(jù)(ConfidentialData):公司必須保護(hù)的客戶、員工和業(yè)務(wù)信息

如客戶和員工隱私、客戶投資組合、業(yè)務(wù)或部門策略、業(yè)務(wù)預(yù)算和財(cái)務(wù)報(bào)告、工資和獎(jiǎng)金、審計(jì)報(bào)告等內(nèi)部數(shù)據(jù)(InternalData):公司內(nèi)部共享、非上述兩種如員工通訊錄、培訓(xùn)材料等請(qǐng)對(duì)下列列信息的的保密級(jí)級(jí)別進(jìn)行行劃分：：今天信息息安全培培訓(xùn)資料料業(yè)務(wù)系統(tǒng)統(tǒng)數(shù)據(jù)業(yè)務(wù)系統(tǒng)統(tǒng)用戶密密碼業(yè)務(wù)系統(tǒng)統(tǒng)加密密密鑰問題2-你的密碼碼一個(gè)有趣趣的調(diào)查查發(fā)現(xiàn)，，如果你你用一條條巧克力力來(lái)作為為交換，，有70％的人樂樂意告訴訴你他（（她）的的口令有34％的人，，甚至不不需要賄賄賂，就就可奉獻(xiàn)獻(xiàn)自己的的口令另?yè)?jù)調(diào)查查，有79％的人，，在被提提問時(shí)，，會(huì)無(wú)意意間泄漏漏足以被被用來(lái)竊竊取其身身份的信信息姓名、寵寵物名、、生日、、球隊(duì)名名最常被被用作口口令平均每人人要記住住四個(gè)口口令，大大多數(shù)人人都習(xí)慣慣使用相相同的口口令（在在很多需需要口令令的地方方）33％的人選選擇將口口令寫下下來(lái)，然然后放到到抽屜或或夾到文文件里Passwordisyourtoothbrush,neversharewithothers.2-你的密碼(續(xù))3-辦公環(huán)境安全全

客戶名單

電話名單

密碼清單

進(jìn)入系統(tǒng)步驟

通告

項(xiàng)目方案計(jì)劃

個(gè)人檔案

財(cái)務(wù)資料

客戶往來(lái)信件

系統(tǒng)網(wǎng)絡(luò)圖

審計(jì)報(bào)告

業(yè)務(wù)統(tǒng)計(jì)

行銷計(jì)劃

法律文件

私人資料桌上擁有一切切……3-辦公環(huán)境安全全(續(xù))無(wú)人陪同的訪訪客遺忘在打印機(jī)機(jī)上的文檔敏感信息傳真真離座時(shí)的電腦腦屏幕在衛(wèi)生間電話話物理安全比我我們想象的更更重要……InternalUse安全事件必須須以最速件處處理安全事件包括括﹝但不限于此﹞:機(jī)密信息曝光資料遭到破壞壞公司資產(chǎn)的遺遺失(手提電腦）系統(tǒng)資料完整整性發(fā)生問題題不適當(dāng)?shù)氖褂糜妹艽a非法使用公司司資源電腦病毒的侵侵襲欺詐其他侵入方式式4-信息安全事件件呈報(bào)如遇到/懷疑任何安全全事件，應(yīng)立立即聯(lián)絡(luò)部門門主管及IT風(fēng)險(xiǎn)管理:ITRiskManager5-社交工程SocialEngineering,利用社會(huì)交往往(通常是在偽裝裝之下)從目標(biāo)對(duì)象那那里獲取信息息,例如：電話話呼叫服務(wù)中中心、在走廊廊里的聊天、、冒充服務(wù)技技術(shù)人員著名黑客KevinMitnick更多是通過社社交工程來(lái)滲滲透網(wǎng)絡(luò)的，，而不是高超超的黑客技術(shù)術(shù)電影中的FBI、CIA也是如此他們的手段遠(yuǎn)遠(yuǎn)比黑客技術(shù)術(shù)更有效：瓦解心防——先與內(nèi)部人員員建立關(guān)系，，再伺機(jī)從其其身上獲取信息喬裝——冒充他人以合合法授權(quán)或業(yè)業(yè)務(wù)需要為理由騙取權(quán)限或或信息偷窺——利用背後窺視視他人輸入密密碼，再以取得密碼碼進(jìn)入系統(tǒng)獲獲取信息尾隨——尾隨合法人員員進(jìn)入安全管管制區(qū)域搜尋廢棄物——從中尋找被丟丟棄的信息InternalUse留意你的工作作環(huán)境將你的電腦及及工作區(qū)維持持在安全的狀狀態(tài)，以降低低未被授權(quán)者者趁你不在，，而從你處取取走或得到公公司機(jī)密等級(jí)級(jí)﹝含﹞以上上信息的機(jī)會(huì)妥善處置公司司機(jī)密等級(jí)﹝﹝含﹞以上的的信息，包括碎紙機(jī)機(jī)的使用離開座位時(shí)，，先將機(jī)密等等級(jí)﹝含﹞以以上的信息上鎖離開座位時(shí)，，將電腦屏幕上鎖(CTRL+ALT+DEL)設(shè)屏幕保護(hù)程序（（屏保）避免通過電子子郵件發(fā)送機(jī)密等級(jí)﹝含含﹞以上的信息(除已已加密文件)5-社交工程——ToDoList避免讓陌生人人在辦公區(qū)域域里隨便走動(dòng)動(dòng).應(yīng)上前前詢問并帶領(lǐng)領(lǐng)他/她到要要找的人傳真任何文件件時(shí)應(yīng)事先檢檢查收件人傳傳真號(hào)是否正正確.如發(fā)發(fā)送機(jī)密性文文件,應(yīng)事事先聯(lián)系收件件人以確保收收件人在傳真真機(jī)旁等候。。發(fā)送后必必須再次聯(lián)系系收件人以確確保機(jī)密性文文件以全部收收到每天下班前必必須退出系統(tǒng)統(tǒng)并關(guān)機(jī)一個(gè)保險(xiǎn)公司司的客戶向你你要我們系統(tǒng)統(tǒng)中的客戶資資料，你怎么么處理？討論引用反黑客專專家的數(shù)據(jù)來(lái)來(lái)說(shuō)明破解密密碼是多么容容易的事尤其是選用通通俗字句或姓姓名縮寫當(dāng)密密碼時(shí)密碼規(guī)則密碼最小長(zhǎng)度度不得低于8位（含），并并且必須由下下列三種類型型字符中的兩兩類或以上構(gòu)構(gòu)成：大寫字母（如如，A,B,C,...Z)和/或小寫字母(如，a,b,c,...z)阿拉伯?dāng)?shù)字（（如，0,1,2,...9)特殊字符(如，?,!,%,$,#,等)6-避免常見錯(cuò)誤誤–弱密碼令人驚訝的是是許多人讓電電腦開著卻未未加以適當(dāng)保保護(hù)就離開座位6-避免常見錯(cuò)誤誤–離座開屏當(dāng)打開電子郵郵件時(shí)…郵件來(lái)自於泛泛之之交，或陌生生人許多人不假思思索就打開電電子郵件的附附件發(fā)送郵件時(shí),先檢查郵件件地址與收件件人姓名不要開啟來(lái)自自於陌生人的的郵件及附件件。如果收到到多封同樣的的郵件，雖然然它們有的來(lái)來(lái)自於你熟識(shí)識(shí)的人，亦不不要開啟它。。馬上刪除它!所有電子郵件件都將被過濾濾與監(jiān)控以確確保它的安全全。6-避免常見錯(cuò)誤誤–電子郵件流覽不安全的的網(wǎng)站加入聊天室聊聊天在公佈欄張貼貼訊息開啟網(wǎng)絡(luò)瀏覽器記憶密碼的功功能下載與工作無(wú)無(wú)關(guān)的文件6-避免免常常見見錯(cuò)錯(cuò)誤誤-Internet一般般人人常常會(huì)會(huì)在在不不恰恰當(dāng)當(dāng)?shù)牡膱?chǎng)場(chǎng)所所內(nèi)內(nèi)談?wù)務(wù)撜摍C(jī)機(jī)密密性性話話題題，，如