员工信息安全培训
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
不随意在网上发表关于工作重要的信息内容;
2021/8/2
33
谢谢!
2021/8/2
34
3.信用卡录入:防止客户资料外泄;杜绝员工录入资料错误。
4.信用卡营销:防止客户资料外泄。
5.银行卡外呼工作:防止客户资料外泄。
6.业务档案数字加工:会计档案的保密,信息泄露。
2021/8/2
28
3. 信息安全与工作
3.1 工作中要接触的信息安全
3.2 培养良好的安全习惯
2021/8/2
29
3.2培养良好的信息安全习惯
2021/8/2
24
2.2.3 信息安全管理体系认证
公司信息安全管理体系组织结构
管理者代表
汇报
任命委托
代表汇报
领导
信息安全应急组
信息安全经理
汇报
领导
汇报
信息安全执行组
汇报
领导
管理者代表:丁志鹏
信息安全经理:战月欠
信息安全审核组
2021/8/2
25
主要内容
1. 信息安全
2. 信息安全管理和信息安全管理体系
规范:建立规范的管理体系并严格执行。
2021/8/2
23
2.2.3 信息安全管理体系认证
公司信息安全管理体系目标
大面积内网中断时间每年累计不超过100分钟
大规模病毒爆发每年不超过4次
重要信息设备丢失每年不超过1起
机密和绝密信息泄漏事件每年不超过2次
客户针对信息安全事件的投诉每年不超过2次
全员参与信息安全意识活动的比例每年不低于80%
3. 信息安全与工作
2021/8/2
11
2 信息安全管理与信息安全管理体系
2.1 信息安全管理
2.2 信息安全管理体系
2021/8/2
12
2.1 信息安全管理
• 什么信息安全管理?
通过计划、组织、领导、控制等环节来协调人力、物力、
财力等资源,以期有效达到组织信息安全目标的活动。
2021/8/2
13
• 物理安全
•
1.建立物理安全区域概念;
• 2.主动学习了解工作区域和非工作区域,熟悉在不同区域自己的权限。
• 3.学习公司和客户信息安全关于物理安全的规定,建立在什么区域能干
什么,不能干什么和如何做的概念。
2021/8/2
30
3.2培养良好的信息安全习惯
• 计算机使用安全
1.
2.
3.
4.
5.
对个人用计算机要设置帐户密码,
3.其它方面的需要:个人信息保密、国家信息安全等等
2021/8/2
9
1.2 信息安全
• 信息安全关注的信息类型
企业信息安全关注的信息类型
内部信息
组织不想让其竞争对手知道的信息
客户信息
顾客/客户不想让组织泄漏的信息
共享信息
需要与其他业务伙伴分享的信息
2021/8/2
10
主要内容
1. 信息安全
2. 信息安全管理和信息安全管理体系
3. 信息安全与工作
2021/8/2
26
3. 信息安全与工作
3.1 工作中要接触的信息安全
3.2 建立良好的安全习惯
2021/8/2
27
3.1 工作中可能接触的信息安全
1.后台业务处理工作:对能够接触到的客户信息资产进行分类登记,评估其
资产价值,确保所有客户信息资产在工作中安全可靠。
2.现金清点工作:防止现金的遗失、偷盗等安全事件。
公司依据信息安全管理标准建立的在信息安全方面指挥和控制的管理系统,
目标是实现公司信息安全目标。
信息安全目标应是可度量的
要素包括
信息安全方针、策略
信息安全组织结构
各种活动、过程
信息安全控制措施
人力、物力等资源
………
2021/8/2
19
2.2.2 信息安全管理体系
信息安全管理体系 (英文缩写ISMS)
2.1 信息安全管理
• 我们接触到的信息安全管理的主要活动
1. 制定信息安全相关的管理制度
2. 信息安全的相关的培训
3. 信息安全日常的监督检查
4. 信息安全事件的处理
5. 信息安全管理体系的内部审核
公司都有信息安全管理,那么怎么样才能很规范,很有效的进行信息安全管理呢 ?公
司引入了信息安全管理体系( ISO 27001:2005)
4
1.1 信息
什么是信息?
在信息研究领域中对其没有确切的定义,但概括出来信息有两个性质:
一、和公司其它资源一样,是维持公司持续运作和管理的必要资产,例如政
策方针、市场报告、科研数据、计划方案、竞争情报等等,这些信息可
能从多个方面对公司运营产生影响。
二、可以是无形的,可借助于媒体以多种形式存在或传播;信息可以存储在
:
公司依据国际化标准组织(ISO)制定管理标准,建立的以实现某种目标的管
理系统。
2021/8/2
17
2.2 信息安全管理体系
2.2.1 什么是管理体系
2.2.2 信息安全管理体系
2.2.3 信息安全管理体系认证
2021/8/2
18
2.2.2 信息安全管理体系
信息安全管理体系 (英文缩写ISMS)
计算机、磁带、纸张等介质中;信息可以记忆在人的大脑里;信息可以
通过网络、打印机、传真机等方式进行传播
2021/8/2
5
1.1 信息
信息资产
对现代企业来说,具有价值的信息就是信息资产。一般主要有:
实物资产(电脑、打印机等硬件)
软件资产(操作系统、应用软件等)
数据资产(文件、凭据、源代码等)
人员资产(各级各类管理人员和技术人员)
员工信息安全第一课
培训目的
1. 建立对信息安全的正确认识
2. 了解工作中面临的信息安全威胁和风险
3. 培养信息安全意识和良好的习惯
2021/8/2
2
主要内容
1. 信息安全
2. 信息安全管理和信息安全管理体系
3. 信息安全与工作
2021/8/2
3
1. 信息安全
1.1 信息
1.2 信息安全
2021/8/2
31
3.2培养良好的信息安全习惯
• 社交信息安全
1.
2.
3.
4.
5.
6.
不在电话中说工作敏感信息
不通过email传输敏感信息,如要通过EMAIL最好加密以后再传输
电话回叫首先要确认身份
防止信息窃取
不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序
不随意打开可执行的邮件附件,如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,
信息安全规定个人电脑口令长度应该不低于6位,服务器口令长度应该
不低于8位且最好要为大写字母、小写字母、数字、特殊字符的组合,
防止非法用户猜出你的密码;
加强对计算机信息保护,离开机器时要及时对机器锁屏(Win+L);
计算机防病毒软件,经常升级病毒库;
加强对移动计算机的安全保护,防止丢失;
2021/8/2
2021/8/2
14
2 信息安全管理与信息安全管理体系
2.1 信息安全管理
2.2 信息安全管理体系
2021/8/2
15
2.2 信息安全管理体系
2.2.1 什么是管理体系
2.2.2 信息安全管理体系
2.2.3 信息安全管理体系认证
2021/8/2
16Βιβλιοθήκη 2.2.1 什么是管理体系
管理体系标准
:
国际化标准组织(ISO)参考西方各国管理标准特别是国际知名公司管理流程
打开附件时最好进行病毒检查
2021/8/2
32
3.2培养良好的信息安全习惯
• 重要的信息保密
1.
2.
3.
4.
5.
每次接触的客户信息资料要及时回放,不要随手乱丢
学习信息安全的相关规定,熟悉重要信息的处理方法;
对于自己接触到的相关信息,在工作外不能随便乱讲;
建立外人探听自己信息的防范之心,拒绝物质诱惑;
安全管理模型——PDCA
2021/8/2
20
2.2 信息安全管理体系
2.2.1 什么是管理体系
2.2.2 信息安全管理体系
2.2.3 信息安全管理体系认证
2021/8/2
21
2.2.3 信息安全管理体系认证
公司信息安全管理体系认证情况
➢2007年9月公司启动信息安全管理体系认证项目
➢信息安全认证范围:BPO业务、软件开发
数据、信息处理设施、关键人员等,公司的商业机密泄露会丧失竞争优势,
失去市场,公司要持续发展,信息安全是基本保障之一;
2.客户的需要:
我们在给客户提供服务的同时,也必将接触到客户的一些机密信息,例如:客
户的技术数据、客户信息、内部运营信息等,而这些信息客户是不想人外人
知晓的,保守客户的信息安全是客户的正常需要;
制定管理规范
目前流行的管理体系标准
• 质量管理体系 QMS
ISO/IEC 9001:2000等
• 信息安全管理体系 ISMS
ISO/IEC 27001:2005
管理体系
• 环境管理体系 EMS
ISO/IEC14000
• 职业安全卫生管理体系
OHSAS18000
• IT服务管理体系 ITMS
ISO/IEC 20000-1:2005
➢认证机构:BSI,英标管理体系认证(北京)有限公司
➢首次通过认证的时间:2008年1月2日
➢证书有效期:三年
2021/8/2
22
2.2.3 信息安全管理体系认证
公司信息安全管理体系方针
“优质、高效、安全、规范”
优质:为客户提供高品质的产品和服务;
高效:以最高效率服务客户和发展企业;
安全:保障企业和客户的各项资产安全;
服务资产(第三方提供的支持性服务)
2021/8/2
6
1. 信息安全
1.1 信息
1.2 信息安全
2021/8/2
7
1.2 信息安全
• 信息安全定义
文件信息安全
保
密
性
、
完
整
性
、
可
用
性
2021/8/2
保
持
和
维
护
信
息
的
8
1.2 信息安全
• 信息安全目的
1.公司持续发展的需要:
任何公司正常运作离不开信息资源支持,这包括公司的知识产权、各种重要
2021/8/2
33
谢谢!
2021/8/2
34
3.信用卡录入:防止客户资料外泄;杜绝员工录入资料错误。
4.信用卡营销:防止客户资料外泄。
5.银行卡外呼工作:防止客户资料外泄。
6.业务档案数字加工:会计档案的保密,信息泄露。
2021/8/2
28
3. 信息安全与工作
3.1 工作中要接触的信息安全
3.2 培养良好的安全习惯
2021/8/2
29
3.2培养良好的信息安全习惯
2021/8/2
24
2.2.3 信息安全管理体系认证
公司信息安全管理体系组织结构
管理者代表
汇报
任命委托
代表汇报
领导
信息安全应急组
信息安全经理
汇报
领导
汇报
信息安全执行组
汇报
领导
管理者代表:丁志鹏
信息安全经理:战月欠
信息安全审核组
2021/8/2
25
主要内容
1. 信息安全
2. 信息安全管理和信息安全管理体系
规范:建立规范的管理体系并严格执行。
2021/8/2
23
2.2.3 信息安全管理体系认证
公司信息安全管理体系目标
大面积内网中断时间每年累计不超过100分钟
大规模病毒爆发每年不超过4次
重要信息设备丢失每年不超过1起
机密和绝密信息泄漏事件每年不超过2次
客户针对信息安全事件的投诉每年不超过2次
全员参与信息安全意识活动的比例每年不低于80%
3. 信息安全与工作
2021/8/2
11
2 信息安全管理与信息安全管理体系
2.1 信息安全管理
2.2 信息安全管理体系
2021/8/2
12
2.1 信息安全管理
• 什么信息安全管理?
通过计划、组织、领导、控制等环节来协调人力、物力、
财力等资源,以期有效达到组织信息安全目标的活动。
2021/8/2
13
• 物理安全
•
1.建立物理安全区域概念;
• 2.主动学习了解工作区域和非工作区域,熟悉在不同区域自己的权限。
• 3.学习公司和客户信息安全关于物理安全的规定,建立在什么区域能干
什么,不能干什么和如何做的概念。
2021/8/2
30
3.2培养良好的信息安全习惯
• 计算机使用安全
1.
2.
3.
4.
5.
对个人用计算机要设置帐户密码,
3.其它方面的需要:个人信息保密、国家信息安全等等
2021/8/2
9
1.2 信息安全
• 信息安全关注的信息类型
企业信息安全关注的信息类型
内部信息
组织不想让其竞争对手知道的信息
客户信息
顾客/客户不想让组织泄漏的信息
共享信息
需要与其他业务伙伴分享的信息
2021/8/2
10
主要内容
1. 信息安全
2. 信息安全管理和信息安全管理体系
3. 信息安全与工作
2021/8/2
26
3. 信息安全与工作
3.1 工作中要接触的信息安全
3.2 建立良好的安全习惯
2021/8/2
27
3.1 工作中可能接触的信息安全
1.后台业务处理工作:对能够接触到的客户信息资产进行分类登记,评估其
资产价值,确保所有客户信息资产在工作中安全可靠。
2.现金清点工作:防止现金的遗失、偷盗等安全事件。
公司依据信息安全管理标准建立的在信息安全方面指挥和控制的管理系统,
目标是实现公司信息安全目标。
信息安全目标应是可度量的
要素包括
信息安全方针、策略
信息安全组织结构
各种活动、过程
信息安全控制措施
人力、物力等资源
………
2021/8/2
19
2.2.2 信息安全管理体系
信息安全管理体系 (英文缩写ISMS)
2.1 信息安全管理
• 我们接触到的信息安全管理的主要活动
1. 制定信息安全相关的管理制度
2. 信息安全的相关的培训
3. 信息安全日常的监督检查
4. 信息安全事件的处理
5. 信息安全管理体系的内部审核
公司都有信息安全管理,那么怎么样才能很规范,很有效的进行信息安全管理呢 ?公
司引入了信息安全管理体系( ISO 27001:2005)
4
1.1 信息
什么是信息?
在信息研究领域中对其没有确切的定义,但概括出来信息有两个性质:
一、和公司其它资源一样,是维持公司持续运作和管理的必要资产,例如政
策方针、市场报告、科研数据、计划方案、竞争情报等等,这些信息可
能从多个方面对公司运营产生影响。
二、可以是无形的,可借助于媒体以多种形式存在或传播;信息可以存储在
:
公司依据国际化标准组织(ISO)制定管理标准,建立的以实现某种目标的管
理系统。
2021/8/2
17
2.2 信息安全管理体系
2.2.1 什么是管理体系
2.2.2 信息安全管理体系
2.2.3 信息安全管理体系认证
2021/8/2
18
2.2.2 信息安全管理体系
信息安全管理体系 (英文缩写ISMS)
计算机、磁带、纸张等介质中;信息可以记忆在人的大脑里;信息可以
通过网络、打印机、传真机等方式进行传播
2021/8/2
5
1.1 信息
信息资产
对现代企业来说,具有价值的信息就是信息资产。一般主要有:
实物资产(电脑、打印机等硬件)
软件资产(操作系统、应用软件等)
数据资产(文件、凭据、源代码等)
人员资产(各级各类管理人员和技术人员)
员工信息安全第一课
培训目的
1. 建立对信息安全的正确认识
2. 了解工作中面临的信息安全威胁和风险
3. 培养信息安全意识和良好的习惯
2021/8/2
2
主要内容
1. 信息安全
2. 信息安全管理和信息安全管理体系
3. 信息安全与工作
2021/8/2
3
1. 信息安全
1.1 信息
1.2 信息安全
2021/8/2
31
3.2培养良好的信息安全习惯
• 社交信息安全
1.
2.
3.
4.
5.
6.
不在电话中说工作敏感信息
不通过email传输敏感信息,如要通过EMAIL最好加密以后再传输
电话回叫首先要确认身份
防止信息窃取
不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序
不随意打开可执行的邮件附件,如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,
信息安全规定个人电脑口令长度应该不低于6位,服务器口令长度应该
不低于8位且最好要为大写字母、小写字母、数字、特殊字符的组合,
防止非法用户猜出你的密码;
加强对计算机信息保护,离开机器时要及时对机器锁屏(Win+L);
计算机防病毒软件,经常升级病毒库;
加强对移动计算机的安全保护,防止丢失;
2021/8/2
2021/8/2
14
2 信息安全管理与信息安全管理体系
2.1 信息安全管理
2.2 信息安全管理体系
2021/8/2
15
2.2 信息安全管理体系
2.2.1 什么是管理体系
2.2.2 信息安全管理体系
2.2.3 信息安全管理体系认证
2021/8/2
16Βιβλιοθήκη 2.2.1 什么是管理体系
管理体系标准
:
国际化标准组织(ISO)参考西方各国管理标准特别是国际知名公司管理流程
打开附件时最好进行病毒检查
2021/8/2
32
3.2培养良好的信息安全习惯
• 重要的信息保密
1.
2.
3.
4.
5.
每次接触的客户信息资料要及时回放,不要随手乱丢
学习信息安全的相关规定,熟悉重要信息的处理方法;
对于自己接触到的相关信息,在工作外不能随便乱讲;
建立外人探听自己信息的防范之心,拒绝物质诱惑;
安全管理模型——PDCA
2021/8/2
20
2.2 信息安全管理体系
2.2.1 什么是管理体系
2.2.2 信息安全管理体系
2.2.3 信息安全管理体系认证
2021/8/2
21
2.2.3 信息安全管理体系认证
公司信息安全管理体系认证情况
➢2007年9月公司启动信息安全管理体系认证项目
➢信息安全认证范围:BPO业务、软件开发
数据、信息处理设施、关键人员等,公司的商业机密泄露会丧失竞争优势,
失去市场,公司要持续发展,信息安全是基本保障之一;
2.客户的需要:
我们在给客户提供服务的同时,也必将接触到客户的一些机密信息,例如:客
户的技术数据、客户信息、内部运营信息等,而这些信息客户是不想人外人
知晓的,保守客户的信息安全是客户的正常需要;
制定管理规范
目前流行的管理体系标准
• 质量管理体系 QMS
ISO/IEC 9001:2000等
• 信息安全管理体系 ISMS
ISO/IEC 27001:2005
管理体系
• 环境管理体系 EMS
ISO/IEC14000
• 职业安全卫生管理体系
OHSAS18000
• IT服务管理体系 ITMS
ISO/IEC 20000-1:2005
➢认证机构:BSI,英标管理体系认证(北京)有限公司
➢首次通过认证的时间:2008年1月2日
➢证书有效期:三年
2021/8/2
22
2.2.3 信息安全管理体系认证
公司信息安全管理体系方针
“优质、高效、安全、规范”
优质:为客户提供高品质的产品和服务;
高效:以最高效率服务客户和发展企业;
安全:保障企业和客户的各项资产安全;
服务资产(第三方提供的支持性服务)
2021/8/2
6
1. 信息安全
1.1 信息
1.2 信息安全
2021/8/2
7
1.2 信息安全
• 信息安全定义
文件信息安全
保
密
性
、
完
整
性
、
可
用
性
2021/8/2
保
持
和
维
护
信
息
的
8
1.2 信息安全
• 信息安全目的
1.公司持续发展的需要:
任何公司正常运作离不开信息资源支持,这包括公司的知识产权、各种重要