员工安全意识培训教材(PPT 83张)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
温故信息安全知识,增强信息安全
意识; 信息安全,从自己做起。
议题
信息生命,安全保航
需要了解基本概念 公司的信息安全项目进行得怎样了? 全员应该具备安全知识和技能 对信息安全的容易误解的地方
同有赛博 版权所有
20
以下安全事件是否曾经发生?
信息生命,安全保航
办公环境中曾经发生过丢失笔记本电脑的情况。 曾经有外来人员,直接进入办公环境,在无人随同的情况下,
15
项目整体概述
信息生命,安全保航
本项目采用Program管理模式
以解决NTT当前信息安全问题为总体目标 分为3个子项目执行
• 项目一为根据ISO 27001帮助NTT建立ISMS,以满足ISO 27001标准要求为目标; • 项目二为网络优化和技术控制实施,以解决实际的安全 技术风险为目标; • 项目三为配合项目二网络优化和技术控制实施的管理制 度的制定、发布和执行,以满足已部署的技术控制措施 的管理和运维要求为目标;
清点资产,并分级和分类,识别关键资产 好钢用在刀刃上
这些资产面临怎样的风险呢?
黑客、病毒 数据丢失、系统宕机、网络中断等等
有哪些手段可以降低这些风险呢?
风险消减、风险规避、风险转移
以上都做好了,还有别的活动吗?
审计 纠正提高
议题
信息生命,安全保航
需要了解基本概念 公司的信息安全项目进行得怎样了? 全员应该具备安全知识和技能 对信息安全的容易误解的地方
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D
isclosure
篡 改
A
lteration
破 坏
D
estruction
信息安全的实质
信息生命,安全保航
采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、 更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事 件对业务造成的影响减到最小,确保组织业务运行的连续性。
Confidentiality
Inwenku.baidu.comormation
Availability
Integrity
单击此处编辑母版标题样式
信息生命,安全保航
嘿嘿,这顿美 餐唾手可 得……
威胁就像这只贪婪的猫
如果盘中美食暴露在外
遭受损失也就难免了
呜呜,可怜我手 无缚鸡之力……
11
什么是ISO27001
信息生命,安全保航
6
信息生命,安全保航
基本概念 理解和铺垫
什么是信息?
信息生命,安全保航
符号
数据 什么是信息? 图片
01101001011110110010101010010011010010111110100101
语音
什么是信息安全?
2019/2/18
8
什么是信息安全?
信息生命,安全保航
信息安全的三要素CIA
安全意识(Security awareness)
就是能够认知可能存在的安全问题,明白 安全事故对组织的危害,恪守正确的行为 方式,并且清楚在安全事故发生时所应采 取的措施。
你意识到了吗?
信息生命,安全保航
社会工程和网络钓鱼等等攻击手段是当前普遍 存在的攻击方式
钓鱼 (Phishing)
社会工程的一种类型 利用电子邮件或恶意网站吸引受害者 • 伪装成有名的、可信的网站
社会工程
利用人际交往 伪装为可信的人士
通常为了金钱或个人信息 • 网站要求用户填入账户或个人信息
•
• •
新进员工、维修工、研究员等
持有个人身份证明 通过询问获得信息。可能从多个来源获取足 够信息
获得公司或个人的计算机或私人信息
议题
信息生命,安全保航
需要了解基本概念 公司的信息安全项目进行得怎样了? 全员应该具备安全知识和技能 对信息安全的容易误解的地方
全员安全意识培训
不妨换个思维
信息生命,安全保航
从《别忘了关门》的故事说起……
《商学院》2005年第七期的一篇文章,《别忘了关门》
另眼看信息安全
信息生命,安全保航
信息安全除了是故事中的围栏之外, 还是那道千万别忘记关的门,还有 那颗别忘了关门的心——— 安全意识
什么是信息安全意识
信息生命,安全保航
C I A
泄 漏
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程 中不会泄漏给非授权用户或实体。 完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会 被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息 内部和外部的一致性。 可用性(Availability)—— 确保授权用户或实体对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
缺少跨部门的信息安全协调机制;
保护特定资产以及完成特定安全过 程的职责还不明确; 雇员信息安全意识薄弱,缺少防范 意识; 一旦发生意外,难以保证生产经营 尽快恢复
实施后
公司信息安全管理体系将各部门联 系起来 对组织的关键信息资产进行全面系 统的保护,维持竞争优势; 强化员工的信息安全意识,规范组 织信息安全行为; 在信息系统受到侵袭时,确保业务 持续开展并将损失降到最低程度; 使组织的生意伙伴和客户对组织充 满信心;
实施与保持完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化 的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水 平,就可以从根本上保证业务的连续性
2019/2/18 13
实施ISO27001有哪些关键活动?
信息生命,安全保航
我们有哪些重要的资产需要保护以及怎样保护?
ISO 27001目前世界上唯一的“信息安全管理标准”。 是建立信息安 全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护 信息安全管理体系的要求,信息安全建设人员根据ISO17799:2005中 的信息安全管理实施细则来建立ISMS。
ISO27001作用
信息生命,安全保航
实施前
子项目相互独立,但又彼此衔接,为总体目标服务
16
整体项目计划
信息生命,安全保航
项目当前状态
信息生命,安全保航
需要我们做什么?
信息生命,安全保航
遵守与执行发布的所有的ISMS的 方针、过程、规定; 向安全推进室报告您发现的存在安 全风险与问题;
大胆的提出你对信息安全建设的建
议和目前已发布的不合理的过程和 规定;