數(shù)據(jù)安全管理培訓材料

數(shù)據(jù)安全培訓21234建立對數(shù)據(jù)安全的正確認識知悉數(shù)據(jù)安全相關(guān)規(guī)范安全寄語培養(yǎng)安全意識和良好的習慣主要內(nèi)容3什么是數(shù)據(jù)？在信息研究領(lǐng)域中對其沒有確切的定義，但概括出來數(shù)據(jù)有兩個性質(zhì)：1.數(shù)據(jù)安全正確認識一、和公司其它資源一樣，是維持公司持續(xù)運作和管理的必要資產(chǎn)，例如政策方針、市場報告、科研數(shù)據(jù)、計劃方案、競爭情報等等，這些信息可能從多個方面對公司運營產(chǎn)生影響。二、可以是無形的，可借助于媒體以多種形式存在或傳播；數(shù)據(jù)可以存儲在計算機、磁帶、紙張等介質(zhì)中；數(shù)據(jù)可以記憶在人的大腦里；數(shù)據(jù)可以通過網(wǎng)絡、打印機、傳真機等方式進行傳播。4

一個軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業(yè)到底值多少錢呢？假如它的企業(yè)市值1億，那么此時此刻，他的企業(yè)就值2600萬。因為據(jù)Borland公司統(tǒng)計，公司價值的26%體現(xiàn)在固定資產(chǎn)和一些文檔上，而高達42%的價值是存儲在員工的腦子里，而這些信息的保護沒有任何一款產(chǎn)品可以做得到，所以需要我們建立信息安全管理體系，也就是常說的ISMS！為什么要搞好數(shù)據(jù)安全？5裝有100萬的保險箱需要3個悍匪、公司損失：100萬裝有客戶信息的電腦只要1個商業(yè)間諜、1個U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。1.數(shù)據(jù)安全正確認識相關(guān)人員安全策略IT設施安全產(chǎn)品安全資源我們現(xiàn)在的敏感數(shù)據(jù)安全嗎？我們下一步應該怎樣做？我們的安全投資有價值嗎？業(yè)務需求數(shù)據(jù)安全導向設計部署運行保障6安全風險信息資產(chǎn)數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)存儲系統(tǒng)數(shù)據(jù)傳輸系統(tǒng)數(shù)據(jù)處理系統(tǒng)數(shù)據(jù)威脅脆弱影響安全事件形成發(fā)生不發(fā)生安全事故少發(fā)生安全事故發(fā)生事故減少損失安全事故安全目標B公司安全安全業(yè)務方數(shù)據(jù)數(shù)據(jù)A公司安全管理規(guī)范信息管理數(shù)據(jù)管理1.數(shù)據(jù)安全正確認識782.數(shù)據(jù)安全相關(guān)規(guī)范數(shù)據(jù)安全管理對象客戶服務中心數(shù)據(jù)安全管理規(guī)范9

1.

數(shù)據(jù)認識現(xiàn)階段特指客戶方強調(diào)的客戶數(shù)據(jù)，具體內(nèi)容包括：與客戶相關(guān)的1、聯(lián)系電話；2、詳細地址（區(qū)、鎮(zhèn)以后的詳細地址）；3、身份證號碼；4、郵箱、MSN、QQ號等；以上及其他任一聯(lián)系方式。敏感數(shù)據(jù)：2.1數(shù)據(jù)安全管理對象2.2數(shù)據(jù)安全相關(guān)規(guī)范【總則】【安全規(guī)范】【處理流程】【處罰規(guī)范】數(shù)據(jù)安全管理規(guī)范10112.2數(shù)據(jù)安全相關(guān)規(guī)范【總則】第一條

客戶數(shù)據(jù)是重要的信息資源。客戶數(shù)據(jù)的丟失、泄露必將給帶來不同程度的各種損失。為了保障客戶服務中心數(shù)據(jù)安全，根據(jù)有關(guān)法規(guī)，特制定本規(guī)范。第二條

數(shù)據(jù)安全管理規(guī)范的目的，是為了防止客戶服務中心數(shù)據(jù)的丟失、泄露與被破壞以及非法生成、變更，確保數(shù)據(jù)的保密性。

第三條

客戶數(shù)據(jù)保密性是指在數(shù)據(jù)的采集、傳輸、處理、存儲、提供等過程中通過各種技術(shù)手段和完善的規(guī)章制度，使數(shù)據(jù)不丟失、不被破壞，未經(jīng)授權(quán)不被訪問，保證數(shù)據(jù)的安全。第四條

數(shù)據(jù)管理部對于關(guān)聯(lián)業(yè)務公司數(shù)據(jù)類業(yè)務的操作規(guī)范進行審核。122.2數(shù)據(jù)安全相關(guān)規(guī)范【第二章】數(shù)據(jù)安全管理的范圍

第五條

客戶服務中心數(shù)據(jù)安全管理對象為：所有利用計算機和計算機網(wǎng)絡進行輸入、存儲、傳輸、處理、再加工和輸出的包含有客戶信息類數(shù)據(jù)。包括：文字材料、數(shù)據(jù)報表、各類原始憑證、圖形圖象等輸入處理對象，計算機內(nèi)部存儲和網(wǎng)絡傳輸?shù)母黝悢?shù)據(jù)，計算機輸出的磁存儲、光存儲及各類紙介質(zhì)打印數(shù)據(jù)。132.2數(shù)據(jù)安全相關(guān)規(guī)范【第三章】數(shù)據(jù)安全管理的原則

第六條

客戶數(shù)據(jù)必須有據(jù)、合法。必須經(jīng)過合法的手續(xù)和規(guī)定的渠道采集、存儲、加工、處理和傳輸數(shù)據(jù)，采用的數(shù)據(jù)范圍應與規(guī)定的用途相符。

第七條

客戶數(shù)據(jù)使用與管理的統(tǒng)一?？蛻魯?shù)據(jù)使用者必須承擔數(shù)據(jù)的管理職責，有責任保護數(shù)據(jù)，防止數(shù)據(jù)的丟失、泄露與被破壞。

第八條

根據(jù)權(quán)限使用數(shù)據(jù)。數(shù)據(jù)的使用者只能使用其權(quán)限范圍內(nèi)的數(shù)據(jù)。任何人不能使用未被授權(quán)的數(shù)據(jù)。

第九條

及時備份數(shù)據(jù)。數(shù)據(jù)使用者應注意及時進行數(shù)據(jù)備份，以防止數(shù)據(jù)的丟失和被破壞。對于特殊、重要的數(shù)據(jù)，系統(tǒng)應建立備份與災難恢復系統(tǒng)，隨時自動進行數(shù)據(jù)的備份。142.2數(shù)據(jù)安全相關(guān)規(guī)范【第三章】數(shù)據(jù)安全管理的原則

第十條

客戶數(shù)據(jù)的使用必須經(jīng)過批準。未經(jīng)有關(guān)批準手續(xù)，不得傳輸數(shù)據(jù)，不得泄露給內(nèi)部或外部的無關(guān)人員。

第十一條

保密數(shù)據(jù)應嚴格按保密規(guī)定處理。未經(jīng)批準解密的數(shù)據(jù)，不得對外提供或發(fā)布。

第十二條

建立必要的監(jiān)督、管理機制。建立完整的數(shù)據(jù)安全管理制度和規(guī)定，確保數(shù)據(jù)在數(shù)據(jù)處理各環(huán)節(jié)中的安全，保證數(shù)據(jù)的使用者和管理者的合法權(quán)益。152.2數(shù)據(jù)安全相關(guān)規(guī)范【第四章】數(shù)據(jù)處理各環(huán)節(jié)安全要求

第十三條

敏感數(shù)據(jù)的導入導出，所使用的帳號必須由內(nèi)部指定專人保管與使用。

第十四條

在敏感數(shù)據(jù)的傳遞過程中提供數(shù)據(jù)方和接受數(shù)據(jù)方都應對數(shù)據(jù)進行加密，密碼與數(shù)據(jù)要分開保證數(shù)據(jù)的安全性。第十五條

收到客戶信息類數(shù)據(jù)后，必須及時進行數(shù)據(jù)處理且不得以任何形式復制保留敏感數(shù)據(jù)。

第十六條

為了保證數(shù)據(jù)的安全性，必須對數(shù)據(jù)的操作者和使用者進行職責授權(quán)和使用授權(quán)確認。162.2數(shù)據(jù)安全相關(guān)規(guī)范【第四章】數(shù)據(jù)處理各環(huán)節(jié)安全要求

第十七條

必須對采集數(shù)據(jù)的合法性、輸入數(shù)據(jù)的有效性及業(yè)務處理的正確性進行全面確認；必須采用各種有效的技術(shù)手段與崗位職責，確保采集、存儲、傳輸、處理、加工和輸出的數(shù)據(jù)正確可用。

第十八條

對客戶數(shù)據(jù)中的所有敏感數(shù)據(jù)都應根據(jù)其重要性和應用需求，決定操作人員的存取權(quán)限和存取方式。

第十九條

采取相應的保密措施和管理辦法，確定內(nèi)部數(shù)據(jù)使用和對外信息發(fā)布的數(shù)據(jù)范圍和報批手續(xù)。第二十條

對相關(guān)的客戶資料非必要不允許打印或如需借用秘密文件需通過數(shù)據(jù)管理部部長簽字，輸出的文件應當按照相應密級文件管理，且打印后產(chǎn)生的殘廢頁須及時銷毀。172.2數(shù)據(jù)安全相關(guān)規(guī)范【第五章】應用系統(tǒng)和系統(tǒng)平臺安全要求第二十一條

操作系統(tǒng)及數(shù)據(jù)庫管理系統(tǒng)的系統(tǒng)管理員應由政治可靠、工作責任心強和業(yè)務技術(shù)水平高的人員擔任，負責對系統(tǒng)的使用。系統(tǒng)帳號管理員必須對系統(tǒng)帳號分派進行嚴格的工作記錄。

第二十二條

為保障數(shù)據(jù)安全、防止非法用戶進入系統(tǒng)，對系統(tǒng)的訪問應采用帳號密碼的方式進行身份驗證。第二十三條

應用系統(tǒng)及平臺操作各個權(quán)限必須分離，嚴禁權(quán)限交叉操作業(yè)務數(shù)據(jù)，賬號密碼按規(guī)定定期更改。182.2數(shù)據(jù)安全相關(guān)規(guī)范【第五章】應用系統(tǒng)和系統(tǒng)平臺安全要求第二十四條

系統(tǒng)應建立對資源訪問的審計跟蹤系統(tǒng)，審計記錄：身份及驗證機制的使用，用戶對系統(tǒng)資源的訪問，操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的行為，以及與數(shù)據(jù)安全相關(guān)的事件。審計記錄的訪問只能是被授權(quán)的只讀訪問，任何人不得修改。

第二十五條

客戶信息類數(shù)據(jù)文件需要保存有合理安全配置的存貯空間上，防止未經(jīng)授權(quán)的訪問；對文件應按備份計劃定期歸檔，不再需要的文件應該按計劃清除。192.2數(shù)據(jù)安全相關(guān)規(guī)范【第六章】終端與人員要求第二十六條

嚴格遵守計算機設備使用、開機、關(guān)機等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計算機外部設備接口，計算機出現(xiàn)故障時應及時向電腦負責部門報告，不允許私自處理或找非本單位技術(shù)人員進行維修及操作。

第二十七條

員工在使用自己所屬的計算機時，應該設置開機、屏幕保護口令；屏幕保護程序啟動等待時間為10分鐘，并且屏幕保護程序必須為操作系統(tǒng)自帶的，在設置目錄共享時，應該設置共享口令。202.2數(shù)據(jù)安全相關(guān)規(guī)范【第六章】終端與人員要求第二十八條

嚴格禁止計算機通過Modem或加裝其它上網(wǎng)設備（如：3G上網(wǎng)卡、CDMA卡等類似設備）等連接到外部網(wǎng)絡。

第二十九條

員工的互聯(lián)網(wǎng)訪問權(quán)限只限本人使用，不得通過設置代理等方式提供給其他員工使用。第三十條

所有訪問敏感信息的員工、承包方和第三方人員要在能訪問信息處理設施前簽署保密協(xié)議。并參加相應數(shù)據(jù)安全規(guī)范的培訓。212.2數(shù)據(jù)安全相關(guān)規(guī)范【第六章】終端與人員要求第三十一條

在員工正式投入工作、獲準訪問敏感信息或信息系統(tǒng)之前，應再次向該員工明確和細化其崗位所承擔的信息安全責任和相關(guān)要求。

第三十二條

工作電腦中，不得存儲任何有關(guān)客戶信息類數(shù)據(jù)資料。

第三十三條

有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負責人須指定專人接替并對密碼立即修改或用戶刪除。222.2數(shù)據(jù)安全相關(guān)規(guī)范【第七章】處理流程第三十五條

安全整改單位需在3個工作日內(nèi)做出改善安排。

第三十六條

安全改善事項的進展每5個工作日須向市場部CRM科提交整改進度。

第三十七條

安全改善完畢后，相應安全檢查部門需進行成果復查直至整改完善。

第三十八條

整改結(jié)果將直接作為該單位是否遵循《客服中心數(shù)據(jù)安全管理規(guī)范》執(zhí)行相關(guān)管理規(guī)范。232.2數(shù)據(jù)安全相關(guān)規(guī)范【第八章】處罰規(guī)范第三十四條處罰部分，按照違規(guī)的程度分為4個層次，2個方面；a）最重處罰：扣除合同30%考核金額，對直接責任人及公司領(lǐng)導免職及經(jīng)濟處罰；b）次重處罰：扣除合同20%考核金額，對直接責任人及主管領(lǐng)導進行相應行政及經(jīng)濟處罰；c）中等處罰：扣除合同10%考核金額，對直接責任人及直屬領(lǐng)導進行相應行政及經(jīng)濟處d）輕微處罰：對直接責任人進行相應行政處罰；24計算機使用安全對個人用計算機要設置帳戶密碼，信息安全規(guī)定個人電腦口令長度應該不低于6位，服務器口令長度應該不低于8位且最好要為大寫字母、小寫字母、數(shù)字、特殊字符的組合，防止非法用戶猜出你的密碼；加強對計算機信息保護，離開機器時要及時對機器鎖屏（Win+L）；計算機防病毒軟件，經(jīng)常升級病毒庫；加強對移動計算機的安全保護，防止丟失；3.數(shù)據(jù)安全良好的習慣25社交信息安全不在電話中說工作敏感信息不通過email傳輸敏感信息，如要通過EMAIL最好加密以后再傳輸電話回叫首先要確認身份防止信息竊取不隨意下載安裝軟件，防止惡意程序、病毒及后門等黑客程序不隨意打開可執(zhí)行的郵件附件，如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,打開附件時最好進行病毒檢查3.數(shù)據(jù)安全良好的習慣26重要的信息保密每次接觸的客戶信息資料要及時回放，不要隨手亂丟學習數(shù)據(jù)安全的相關(guān)規(guī)定，熟悉重要數(shù)據(jù)的處理方法；對于自己接觸到的相關(guān)信息，在工作外不能隨便亂講；建立外人探聽自己信息的防范之心，拒絕物質(zhì)誘惑；不隨意在網(wǎng)上發(fā)表關(guān)于工作重要的信息內(nèi)容；3.數(shù)據(jù)安全良好的習慣27重要的信息保密每次接觸的客戶信息資料要及時回放，不要隨手亂丟學習數(shù)據(jù)安全的相關(guān)規(guī)定，熟悉重要數(shù)據(jù)的處理方法；對于自己接觸到的相關(guān)信息，在工作外不能隨便亂講；建立外人探聽自己信息的防范之心，拒絕物質(zhì)誘惑；不隨意在網(wǎng)上發(fā)表關(guān)于工作重要的信息內(nèi)容；3.數(shù)據(jù)安全良好的習慣28

安全基本上是一個“人”的問題，計算機不會主動發(fā)起攻擊。遭受攻擊只是時間早晚的問題，而不是會不會發(fā)生的問題。一次入侵只需要針對一個薄弱點，而防御系統(tǒng)卻要做到全方位的安全。足夠的準備就是“一次大災難”與“僅僅一次小麻煩”的區(qū)別。安全不是一個技術(shù)層面的問題，而是一個管理層面上的問題。100%的安全是無法實現(xiàn)的，最終目標是要追求成本與安全收益平衡。4.信息安全寄語29

。4.信息安全寄語安全要旨數(shù)據(jù)傳輸要加密，接收對象要明確；系統(tǒng)帳號分開管，使用帳號需登記；帳號密碼定期改，