华为信息安全宣传PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
针对以安全与效率平衡、 涉及分散关键信息资产的 项目或产品的部门
一般的产品、技术、平台的 预研、规划、设计、开发、 测试环境
绿区(低)
针对以共享为主、效率优 先,不涉及关键信息资产 的部门
.
合作、外包、对外演示、 对外测试、移动办公环境
2
网络环境安全分区隔离与管控
红区完全独立 黄区业务上云 用户和实验室迁入绿区,仅少量继续保留在黄区 用户跨区访问必须经数传跳转
级(含以上)主管
(含以上)主管
信息生成方二级 (含以上)主管
秘密
信息生成方三级 (含以上)主管
信息需求方部门直接 (含以上)主管
信息需求方或员 工本部门直接 (含以上)主管
信息生成方或员 工本部门三级 (含以上)主管
内部公开 同上
不需要审批
不需要审批
同上
备注:
1、信息责任人可以授权相关组织或人员履行具体职责,但管理责任不因委托关系而转移。
.
1
华为研发安全环境分区:红区、黄区、绿区
信息资产
环境
部门
业务
关键信
红区(高)
息资产 大量集中
针对以安全保护为主的、 涉及大量/集中关键信息 资产的关键项目或产品 的部门
竞争激烈领域的主力产品, 关键技术、主力平台,识 别为关键项目的预研、规 划、审计、开发、测试等 业务
非关键 信息资
产
黄区(中)
信息资产识别与定级
资产密级
绝密
机密
秘密
内部 公开
关键资产
非关键资产
基于与战略竞争对手拉开并保持差距的
市场竞争策略,在市场竞争态势中使我
司处于优势地位,且对未来业务和产品 关键资产以外的信息资产,包括秘密和
发展有重大影响的,或战略竞争对手特
内部公开两个密级。
别关注,获取后将严重影响我司产品核 跨产品/跨部门的非关键信息资产申请
2、经信息安全部同意,各部门可以制定和发布审批细则,进一步明确信息密级所对应的审批级别。
.
4
信息资产跨区域传输的安全通道
.
5
信息资产的清除
包含保密信息的存储介质/设备,在进行数据清除时,要求如下:
删除数据
属于存储介质/设备使用人或用途发生改变时。
低级格式化
属于资产归属转出或外借设备归还时。 如:便携机资产转个人、归还借用供应商的存储设备
心竞争优势的信息资产。
由需求方主管说了算。
包括但不限于:算法、架构、方案、特 秘密级不应加密。内部公开级不允许
性、需求、规划等。其载体包含但不限
RMS加密。
于:源代码、原理图、文档、会议纪要 在Hi3MS发布或存放的文档不允许加
等。
密。
关键信息资产占信息资产总量的5%左右。
关键资产需要加密,例外情况需备案。
.
12
研发关键信息资产的识别流程(非IPD类)
.
13
技术断裂点的设计
概念
➢ “技术断裂点”可以形象的理解为“技术屏障”,是防止竞争对手追赶的“护城 河”,是与竞争对手“形成差距、拉开差距、保持差距”的技术措施,技术断裂 点可以避免竞争对手快速跟进,做出同样的产品。
目的
➢ 防止战略竞争对手获取(如排他协议、自研与合作结合、多供应商合作等); ➢ 防止战略竞争对手Copy(如带自有专利、自研ASIC等); ➢ 防止战略竞争对手绕行(如有基本专利、技术买断等)
物理销毁或消磁 属于资产报废或涉及绝密/机密信息的数据清除。
纸件销毁
包含保密信息的纸件在废弃时(如:复印效果差、打印未完成),可使用碎 纸机销毁,不应随意丢弃
委托外部公司对包含保密信息的存储截止进行数据恢复时,应经过主管批准,并选择公司指定的 供应商。当涉及绝密/机密信息的数据恢复时,必须经过信息生成方责任人批准。
.
3
信息资产的获取与共享
只要业务需求是合理的,任何人无权拒绝提供信息或擅自提高主管审批级别;对于阻碍信息共享 的行为,可以进行投诉。内部信息交流或对公司外提供信息时,应遵循以下审批原则:
密级
确定密级
获取信息
内部信息交流 共享信息
对外提供信息
信息生成方二级 绝密/机密
(含以上)主管
信息生成方和需求方二 信息生成方二级
权限分 离
监督/问责 信管办
冒泡 检测
行权(数传)
提取关键资产 数据管理员
传递关键资产 数传员
“虎符”制
8
例外权限:信息资产查阅与获取流程冒泡问责机制
.
9
信息资产管理平台-iRight
.
10
信息资产管理平台-iRight(续)
.
11
研发关键信息资产的识别流程(IPD类)
1、流程支撑 关键信息资产的识别、评审、加密活动均有IT流程支撑(iRight权限平台) 2、例行识别 在TR2前识别关键信息资产并完成定密,制定信息安全策略 3、例行刷新 在TR5对关键信息资产清单重新审视 4、例行解密 在进入后生命周期阶段对关键资产降密进行评审
.
6
权限管理:权限分类与定义
定义
基本权限—能够满足本岗位工作所需的必要权限,该权限在员工到岗后自动授权 例外权限—基本权限不能满足工作需要,须经流程申请获得的权限 系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理(数据管理)等 权限,须经流程申请并经审批后授权并纳入机要管理 机要权限—机要岗位所特有的权限,包括信息资产及重要数据系统的权限设、数据管 理、数据出口管理、数据传递等权限
.
7
权限管理:授权与行权
授权
基本使用/审批权 数据库导入
例外使用/审批权 例外权限申请 数据管理权 例外权限申请 数据传递权 例外权限申请
监督权/问责权 例外权限申请
行权(审批)
申请 使用人
需求使用确认
需求方二级 审批人
需求合理性 确认
生成方二级 审批人
审批 生成方研发部
长
确认 首席机要员
权限监 督
.
14