华为信息安全宣传精品PPT课件

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Thank You
在别人的演说中思考,在自己的故事里成长
Thinking In Other People‘S Speeches,Growing Up In Your Own Story
讲师:XXXXXX XX年XX月XX日
级(含以上)主管
(含以上)主管
信息生成方二级 (含以上)主管
秘密
信息生成方三级 (含以上)主管
信息需求方部门直接 (含以上)主管
信息需求方或员 工本部门直接 (含以上)主管
信息生成方或员 工本部门三级 (含以上)主管
内部公开 同上
不需要审批
不需要审批
同上
备注: 1、信息责任人可以授权相关组织或人员履行具体职责,但管理责任不因委托关系而转移。 2、经信息安全部同意,各部门可以制定和发布审批细则,进一步明确信息密级所对应的审批级别。
监督/问责 信管办
冒泡 检测
行权(数传)
提取关键资产 数据管理员
传递关键资产 数传员
“虎符”制
例外权限:信息资产查阅与获取流程冒泡问责机制
信息资产管理平台-iRight
信息资产管理平台-iRight(续)
研发关键信息资产的识别流程(IPD类)
1、流程支撑 关键信息资产的识别、评审、加密活动均有IT流程支撑(iRight权限平台) 2、例行识别 在TR2前识别关键信息资产并完成定密,制定信息安全策略 3、例行刷新 在TR5对关键信息资产清单重新审视 4、例行解密 在进入后生命周期阶段对关键资产降密进行评审
纸件销毁
包含保密信息的纸件在废弃时(如:复印效果差、打印未完成),可使用碎 纸机销毁,不应随意丢弃
委托外部公司对包含保密信息的存储截止进行数据恢复时,应经过主管批准,并选择公司指定的 供应商。当涉及绝密/机密信息的数据恢复时,必须经过信息生成方责任人批准。
权限管理:权限分类与定义
定义
基本权限—能够满足本岗位工作所需的必要权限,该权限在员工到岗后自动授权 例外权限—基本权限不能满足工作需要,须经流程申请获得的权限 系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理(数据管理)等 权限,须经流程申请并经审批后授权并纳入机要管理 机要权限—机要岗位所特有的权限,包括信息资产及重要数据系统的权限设、数据管 理、数据出口管理、数据传递等权限
关键信息资产占信息资产总量的5% 关键资产需要加密,例外情况需备案。
关键资产以外的信息资产,包括秘密和 内部公开两个密级。
跨产品/跨部门的非关键信息资产申请 由需求方主管说了算。
秘密级不应加密。内部公开级不允许 RMS加密。
在Hi3MS发布或存放的文档不允许加 密。
华为研发安全环境分区:红区、黄区、绿区
信息资产
环境
部门
业务
关键信
红区(高)
息资产 大量集中
针对以安全保护为主的、 涉及大量/集中关键信息 资产的关键项目或产品 的部门
竞争激烈领域的主力产品, 关键技术、主力平台,识 别为关键项目的预研、规 划、审计、开发、测试等 业务
非关键 信息资

黄区(中)
针对以安全与效率平衡、 涉及分散关键信息资产的 项目或产品的部门
信息资产跨区域传输的安全通道
信息资产的清除
包含保密信息的存储介质/设备,在进行数据清除时,要求如下:
删除数据
属于存储介质/设备使用人或用途发生改变时。
低级格式化
属于资产归属转出或外借设备归还时。 如:便携机资产转个人、归还借用供应商的存储设备
物理销毁或消磁 属于资产报废或涉及绝密/机密信息的数据清除。
信息资产的获取与共享
只要业务需求是合理的,任何人无权拒绝提供信息或擅自提高主管审批级别;对于阻碍信息共享 的行为,可以进行投诉。内部信息交流或对公司外提供信息时,应遵循以下审批原则:
密级
确定密级
获取信息
内部信息交流 共享信息
对外提供信息
信息生成方二级 绝密/机密
(含以上)主管
信息生成方和需求方二 信息生成方二级
权限管理:授权与行权
授权
基本使用/审批权 数据库导入
例外使用/审批权 例外权限申请 数据管理权 例外权限申请 数据传递权 例外权限申请
监督权/问责权 例外权限申请
百度文库
行权(审批)
申请 使用人
需求使用确认
需求方二级 审批人
需求合理性 确认
生成方二级 审批人
审批 生成方研发部

确认 首席机要员
权限监 督
权限分 离
信息资产识别与定级
资产密级
绝密
机密
秘密
内部 公开
非关键资产
基于与战略竞争对手拉开并保持差距的 市场竞争策略,在市场竞争态势中使我 司处于优势地位,且对未来业务和产品 发展有重大影响的,或战略竞争对手特 别关注,获取后将严重影响我司产品核 心竞争优势的信息资产。
包括但不限于:算法、架构、方案、特 性、需求、规划等。其载体包含但不限 于:源代码、原理图、文档、会议纪要 等。
一般的产品、技术、平台的 预研、规划、设计、开发、 测试环境
绿区(低)
针对以共享为主、效率优 先,不涉及关键信息资产 的部门
合作、外包、对外演示、 对外测试、移动办公环境
网络环境安全分区隔离与管控
红区完全独立 黄区业务上云 用户和实验室迁入绿区,仅少量继续保留在黄区 用户跨区访问必须经数传跳转
研发关键信息资产的识别流程(非IPD类)
写在最后
经常不断地学习,你就什么都知道。你知道得越多,你就越有力量 Study Constantly, And You Will Know Everything. The More
You Know, The More Powerful You Will Be
相关文档
最新文档