信息技术安全政策及安全意识培训资料
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Information Owner/Representative信息所有者/委派人机制 IT资源的合法使用 接受和批露公司的机密信息
安全标准与实践
保密意识:数据密级划分 你的密码 办公环境安全
信息安全事件呈报程序
注意社交工程 避免信息安全常见错误
你的责任
13
协调/管理/执 行层
信息安全主管 IT Risk Manager
业务信息安全主管 Information Owner Representatives
用户 (内/外部)
用户 (Users) 公司各部门、供应商/合作伙伴
5
信息所有者/委派人机制
执行信息所有者/委派人机制,公司所有业务相关信息(系统/数据)的所有者均为对 应体系/部门最高负责人,以下具体流程工作可授权给委派人审批: 1) 各体系内信息安全的最终责任人/接口人 2) 信息资源清单 3) 供应商ORE(Overall Risk Evaluation)评估 4) 应用系统风险评估 5) 重大安全事故调查 6) 用户系统权限审批 7) 数据需求/修改/使用审批 8) 应用需求(CR)和测试(UAT)审批 9) 记录和信息管理 (RIM) 10) 审计发现审批
姓名、宠物名、生日、球队名最常被用作口令
平均每人要记住四个口令,大多数人都习惯使用相同的口令(在 很多需要口令的地方)
33%的人选择将口令写下来,然后放到抽屉或夹到文件里
16
2-你的密码(续)
Password is your toothbrush, never share with others.
8
IT资源的合法使用(续)
公司已签署公安部 《计算机信息网络国际联网单位信息安全保 卫责任书》,责任书明确要求:
三、不利用国际联网制作、复制、查阅和传播下列信息: (一)煽动抗拒、破坏宪法和法律、行政法规实施的; (二)煽动颠覆国家政权,推翻社会主义制度的; (三)煽动分裂国家、破坏国家统一的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的; (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; (七)公然侮辱他人或者捏造事实诽谤他人的; (八)损害国家机关信誉的; (九)其他违反宪法和法律、行政法规的
特 别 注 意
不得自行下载或安装软件
谨慎使用无线网络
谨慎使用智能手机 任何安全事件须及时上报IT Helpdesk/ IT Risk
10
接受和批露机密信息
机密信息批露的决定必须由相关部门适当级别管理层做出(即信息所有者 /委派人) 在任何机密信息放开给第三方之前,必须先签署保密协议 针对密级为保密和限制信息的传统介质,公司员工应执行“桌面清理”政 策 机密或限制性信息的销毁,应按照“确保无法复原”的原则进行
信息技术安全政策 & 信息安全意识培训
培训的目标
意识
掌握信息安全的基本概念、理念和 惯例
建立对信息安全的敏感意识和正确 认识
了解公司各项IT政策(用户相关) 熟悉对应于IT政策的安全标准及流 程
制度
行为
清楚可能面临的威胁和风险 在日常工作中养成良好的安全习惯
2
主要内容
什么是信息安全
意 味 着 什 么
公司会对员工上网行为进行记录 公安部会随时进行检查
员工在上网时请不要从事非工作以及必要信息检索以外的行为, 如果有
任何不适当的言论行为,可能导致公司受到警告,罚款,停止联网,停机整 顿等严厉处罚,个人也需要承担相应的法规责任。
9
IT资源的合法使用(续)
出差时,笔记本电脑必须随身携带(不得作为行李托运)
马上刪除它!
所有电子邮件都将被过滤与监控以确保 它的安全。
26
6-避免常见错误 - Internet
流览不安全的网站 加入聊天室聊天 在公佈栏张贴讯息 开启网络浏览器记忆密码的功能 下载与工作无关的文件
27
6-避免常见错误 – 大声说话
一般人常会在不恰当的场所內谈论机密 性话题,如: 餐厅 酒店 电梯间 盥洗室
28
7-你的责任
确定你及你周围的人有妥善保护机密级(或上)的公司信息 你必須为你的用户帐号所从事的一切活动负全部责任 确实遵循桌面清空规定、办公环境安全 向主管及信息安全管理人员汇报信息安全事件 当信息不再需要時,作适当的销毁或处置(如使用碎纸机) ……
认真阅读相关IT政策,并遵守 记住公司信息安全管理人员电话 xxxx
17
3-办公环境安全
桌上拥有一切……
客户名单 电话名单 密码清单 进入系统步骤 通告
项目方案计划 个人档案 财务资料 客戶往來信件 系统网络图 审计报告 业务统计 行销计划 法律文件 私人资料
18
3-办公环境安全(续)
物理安全比我们想象的更重要……
无人陪同的访客
遗忘在打印机上的文档
敏感信息传真
离座时的电脑屏幕
客户信息
申请或购买产品及服务的个人,包括被保险 人、理赔申请人、受益人和其他 • 基本信息 – 姓名、地址、电话和年龄 • 号码 – 身份证号、账户或投资者身份编号、 信用卡号码以及用户名、密码等 • 财务信息 – 收入、财产、负债和信用历史记 录
员工信息
员工信息指由公司维护的内、 外勤信息,包括个人信息及 其与公司的关系 • 补偿/补助金信息 • 绩效评估 • 身份证号、生日 • 健康状况、福利
29
7-你的责任(续)
If not you, who? If not now, when?
你的责任
3
什么是 “信息 安全”?
消息、信号、数据、情报和知识 —— 有价值的内容 是无形的,借助于信息媒体以多种形式存在或传播: • 存储在计算机、磁带、纸张等介质中 (数据、文件资料) • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播
具有价值的信息资产面临诸多威胁,需要妥善保护
23
6-避免常见错误 – 弱密码
引用反黑客专家的数据來说明破解密码是多么容易的事 尤其是选用通俗字句或姓名缩写当密码时
密码规则
密码最小长度不得低于8位(含),并且 必须由下列三种类型字符中的两类或以 上构成: •大写字母(如,A, B, C, ...Z) 和/或小写 字母(如,a, b, c, ...z) •阿拉伯数字(如,0, 1, 2, ...9) •特殊字符(如,?,!,%,$,#,等)
• 健康状况信息 – 医疗记录和处方信息
• 其他个人信息 – 驾驶记录、爱好和客户的生 活方式及嗜好等 • 医疗资源数据和理赔数据 •客户信息也包含了与团体客户相关的信息和 团险中的个人信息
• 政府需要的信息(包括种 族、宗教、残疾或服役状况)
12
主要内容
什么是信息安全 相关的IT政策
公司信息安全组织架构
留意你的工作环境 将你的电脑及工作区维持在安全的状态,以降低未被授权者趁你不在, 而从你处取走或得到公司机密等级﹝含﹞以上信息的机会
妥善处置公司机密等级﹝含﹞以上的信息,包括碎纸机的使用
离开座位时,先将机密等级﹝含﹞以上的信息上锁 离开座位时,将电脑屏幕上锁 (CTRL+ALT+DEL) 设屏幕保护程序(屏保) 避免通过电子邮件发送机密等级﹝含﹞以上的信息 (除已加密文件)
C I A
保密性(Confidentiality):非授权用户 看不到。 完整性(Integrity):确保不会被非授 权篡改、一致性。 可用性(Availability):确保授权用户 想用的时候用得着。
4
信息安全组织结构
信息安全管理组织架构
决源自文库层
信息安全委员会 Information Owners - CEO,COO,CIO
在卫生间电话
Internal Use
19
4-信息安全事件呈报
安全事件必須以最速件处理
安全事件包括﹝但不限于此﹞:
机密信息曝光 资料遭到破坏 公司资产的遗失(手提电脑) 系统资料完整性发生问题 不适当的使用密码 非法使用公司资源 电脑病毒的侵袭 欺诈 其他侵入方式
如遇到/怀疑任何安全事件 ,应立即联络部门主管及 IT风险管理: IT Risk Manager
相关的IT政策
公司信息安全组织架构 Information Owner/Representative信息所有者/委派人机制 IT资源的合法使用 接受和批露公司的机密信息
安全标准与实践
保密意识: 数据保密等级划分 你的密码
办公环境安全
信息安全事件呈报程序 注意社交工程 避免信息安全常见错误
避免让陌生人在办公区域里随便走动. 应上前询问并带领他/她到要找的人 传真任何文件时应事先检查收件人传真号是否正确. 如发送机密性文件, 应 事先联系收件人以确保收件人在传真机旁等候。 发送后必须再次联系收件人 以确保机密性文件以全部收到
每天下班前必须退出系统并关机
22
讨论
一个保险公司的客户向你要我们系统中的 客户资料,你怎么处理?
必须执行保密协议规定的条款,保证不以任何方式泄露或复制第三方提供 的机密性信息并不将第三方机密性信息用于公司之外的业务
详细信息联系,CEO/CIO/IT Risk
11
接受和批露机密信息(续)
这些,都是机密信息……
业务信息
• 价格和其他产品相关信息 • 公司业务运行的信息 • 客户和潜在客户清单 • 业务计划和业务财务状况 • 其他承诺保密的信息
24
6-避免常见错误 – 离座开屏
令人惊讶的是许多人让电脑开著卻 未加以适当保护就离开座位
25
6-避免常见错误 – 电子邮件
当打开电子邮件时 …邮件來自於泛泛之交,或陌生人 许多人不假思索就打开电子郵件的附件 发送邮件时,先检查邮件地址与收件人姓名
不要开启來自於陌生人的邮件及附件。 如果收到多封同样的邮件,雖然它们有 的來自於你熟识的人,亦不要开启它。
1-保密意识:数据密级划分
限制数据 (Restricted Data): 可能严重影响公司的法规遵 守或经济状况、客户或特权 • 如公司战略、合并活并购、身份验证信息(PW/PIN) 机密数据 (Confidential Data) : 公司必须保护的客户、员 工和业务信息 • 如客户和员工隐私、客户投资组合、业务或部门策略、 业务预算和财务报告、工资和奖金、审计报告等 内部数据 (Internal Data) : 公司内部共享、非上述两种
20
5-社交工程
Social Engineering, 利用社会交往(通常是在伪装之下)从目标对象那里获 取信息, 例如: 电话呼叫服务中心、在走廊里的聊天、冒充服务技术人员
著名黑客Kevin Mitnick更多是通过社交工程来渗透网络的,而不是高超的黑 客技术
电影中的FBI、CIA也是如此 他们的手段远比黑客技术更有效:
瓦解心防——先与內部人员建立关系,再伺机从其身上获取信息
乔装——冒充他人以合法授权或业务需要为理由骗取权限或信息
偷窥——利用背後窥视他人输入密码,再以取得密码进入系统获取信息 尾随——尾随合法人员进入安全管制区域
搜寻废弃物——从中寻找被丟弃的信息
Internal Use
21
5-社交工程——To Do List
• 如员工通讯录、培训材料等
公开数据 (Public Data): 信息拥有者确定能对外公布 • 如公司网站、市场新闻发布等
14
问题
请对下列信息的保密级别进行划分:
1. 2. 3. 4. 今天信息安全培训资料 业务系统数据 业务系统用户密码 业务系统加密密钥
15
2-你的密码
一个有趣的调查发现,如果你用一条巧克力来作为交换,有70% 的人乐意告诉你他(她)的口令 有34%的人,甚至不需要贿赂,就可奉献自己的口令 另据调查,有79%的人,在被提问时,会无意间泄漏足以被用来 窃取其身份的信息
6
讨论
1. 业务系统数据所有者是谁? 2. 公司信息安全的谁的职责?
7
IT资源的合法使用
办公电脑/电话 互联网 电子邮件 无线网络 软件的获取/使用 防病毒软件 ……
对上述所有公司IT资源的使用,用户请记住三点:
1. 2.
3.
回归常识,用户都应有良好的行为判断,不确定处联系IT 公司允许因家庭和私人事务而偶尔使用上述IT资源,但是不得 影响工作、其他业务需求或违反法律或公司制度 滥用或违反政策将受到处分,包括直接中止雇佣关系(同样适用 于以下所有IT政策)
安全标准与实践
保密意识:数据密级划分 你的密码 办公环境安全
信息安全事件呈报程序
注意社交工程 避免信息安全常见错误
你的责任
13
协调/管理/执 行层
信息安全主管 IT Risk Manager
业务信息安全主管 Information Owner Representatives
用户 (内/外部)
用户 (Users) 公司各部门、供应商/合作伙伴
5
信息所有者/委派人机制
执行信息所有者/委派人机制,公司所有业务相关信息(系统/数据)的所有者均为对 应体系/部门最高负责人,以下具体流程工作可授权给委派人审批: 1) 各体系内信息安全的最终责任人/接口人 2) 信息资源清单 3) 供应商ORE(Overall Risk Evaluation)评估 4) 应用系统风险评估 5) 重大安全事故调查 6) 用户系统权限审批 7) 数据需求/修改/使用审批 8) 应用需求(CR)和测试(UAT)审批 9) 记录和信息管理 (RIM) 10) 审计发现审批
姓名、宠物名、生日、球队名最常被用作口令
平均每人要记住四个口令,大多数人都习惯使用相同的口令(在 很多需要口令的地方)
33%的人选择将口令写下来,然后放到抽屉或夹到文件里
16
2-你的密码(续)
Password is your toothbrush, never share with others.
8
IT资源的合法使用(续)
公司已签署公安部 《计算机信息网络国际联网单位信息安全保 卫责任书》,责任书明确要求:
三、不利用国际联网制作、复制、查阅和传播下列信息: (一)煽动抗拒、破坏宪法和法律、行政法规实施的; (二)煽动颠覆国家政权,推翻社会主义制度的; (三)煽动分裂国家、破坏国家统一的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的; (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; (七)公然侮辱他人或者捏造事实诽谤他人的; (八)损害国家机关信誉的; (九)其他违反宪法和法律、行政法规的
特 别 注 意
不得自行下载或安装软件
谨慎使用无线网络
谨慎使用智能手机 任何安全事件须及时上报IT Helpdesk/ IT Risk
10
接受和批露机密信息
机密信息批露的决定必须由相关部门适当级别管理层做出(即信息所有者 /委派人) 在任何机密信息放开给第三方之前,必须先签署保密协议 针对密级为保密和限制信息的传统介质,公司员工应执行“桌面清理”政 策 机密或限制性信息的销毁,应按照“确保无法复原”的原则进行
信息技术安全政策 & 信息安全意识培训
培训的目标
意识
掌握信息安全的基本概念、理念和 惯例
建立对信息安全的敏感意识和正确 认识
了解公司各项IT政策(用户相关) 熟悉对应于IT政策的安全标准及流 程
制度
行为
清楚可能面临的威胁和风险 在日常工作中养成良好的安全习惯
2
主要内容
什么是信息安全
意 味 着 什 么
公司会对员工上网行为进行记录 公安部会随时进行检查
员工在上网时请不要从事非工作以及必要信息检索以外的行为, 如果有
任何不适当的言论行为,可能导致公司受到警告,罚款,停止联网,停机整 顿等严厉处罚,个人也需要承担相应的法规责任。
9
IT资源的合法使用(续)
出差时,笔记本电脑必须随身携带(不得作为行李托运)
马上刪除它!
所有电子邮件都将被过滤与监控以确保 它的安全。
26
6-避免常见错误 - Internet
流览不安全的网站 加入聊天室聊天 在公佈栏张贴讯息 开启网络浏览器记忆密码的功能 下载与工作无关的文件
27
6-避免常见错误 – 大声说话
一般人常会在不恰当的场所內谈论机密 性话题,如: 餐厅 酒店 电梯间 盥洗室
28
7-你的责任
确定你及你周围的人有妥善保护机密级(或上)的公司信息 你必須为你的用户帐号所从事的一切活动负全部责任 确实遵循桌面清空规定、办公环境安全 向主管及信息安全管理人员汇报信息安全事件 当信息不再需要時,作适当的销毁或处置(如使用碎纸机) ……
认真阅读相关IT政策,并遵守 记住公司信息安全管理人员电话 xxxx
17
3-办公环境安全
桌上拥有一切……
客户名单 电话名单 密码清单 进入系统步骤 通告
项目方案计划 个人档案 财务资料 客戶往來信件 系统网络图 审计报告 业务统计 行销计划 法律文件 私人资料
18
3-办公环境安全(续)
物理安全比我们想象的更重要……
无人陪同的访客
遗忘在打印机上的文档
敏感信息传真
离座时的电脑屏幕
客户信息
申请或购买产品及服务的个人,包括被保险 人、理赔申请人、受益人和其他 • 基本信息 – 姓名、地址、电话和年龄 • 号码 – 身份证号、账户或投资者身份编号、 信用卡号码以及用户名、密码等 • 财务信息 – 收入、财产、负债和信用历史记 录
员工信息
员工信息指由公司维护的内、 外勤信息,包括个人信息及 其与公司的关系 • 补偿/补助金信息 • 绩效评估 • 身份证号、生日 • 健康状况、福利
29
7-你的责任(续)
If not you, who? If not now, when?
你的责任
3
什么是 “信息 安全”?
消息、信号、数据、情报和知识 —— 有价值的内容 是无形的,借助于信息媒体以多种形式存在或传播: • 存储在计算机、磁带、纸张等介质中 (数据、文件资料) • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播
具有价值的信息资产面临诸多威胁,需要妥善保护
23
6-避免常见错误 – 弱密码
引用反黑客专家的数据來说明破解密码是多么容易的事 尤其是选用通俗字句或姓名缩写当密码时
密码规则
密码最小长度不得低于8位(含),并且 必须由下列三种类型字符中的两类或以 上构成: •大写字母(如,A, B, C, ...Z) 和/或小写 字母(如,a, b, c, ...z) •阿拉伯数字(如,0, 1, 2, ...9) •特殊字符(如,?,!,%,$,#,等)
• 健康状况信息 – 医疗记录和处方信息
• 其他个人信息 – 驾驶记录、爱好和客户的生 活方式及嗜好等 • 医疗资源数据和理赔数据 •客户信息也包含了与团体客户相关的信息和 团险中的个人信息
• 政府需要的信息(包括种 族、宗教、残疾或服役状况)
12
主要内容
什么是信息安全 相关的IT政策
公司信息安全组织架构
留意你的工作环境 将你的电脑及工作区维持在安全的状态,以降低未被授权者趁你不在, 而从你处取走或得到公司机密等级﹝含﹞以上信息的机会
妥善处置公司机密等级﹝含﹞以上的信息,包括碎纸机的使用
离开座位时,先将机密等级﹝含﹞以上的信息上锁 离开座位时,将电脑屏幕上锁 (CTRL+ALT+DEL) 设屏幕保护程序(屏保) 避免通过电子邮件发送机密等级﹝含﹞以上的信息 (除已加密文件)
C I A
保密性(Confidentiality):非授权用户 看不到。 完整性(Integrity):确保不会被非授 权篡改、一致性。 可用性(Availability):确保授权用户 想用的时候用得着。
4
信息安全组织结构
信息安全管理组织架构
决源自文库层
信息安全委员会 Information Owners - CEO,COO,CIO
在卫生间电话
Internal Use
19
4-信息安全事件呈报
安全事件必須以最速件处理
安全事件包括﹝但不限于此﹞:
机密信息曝光 资料遭到破坏 公司资产的遗失(手提电脑) 系统资料完整性发生问题 不适当的使用密码 非法使用公司资源 电脑病毒的侵袭 欺诈 其他侵入方式
如遇到/怀疑任何安全事件 ,应立即联络部门主管及 IT风险管理: IT Risk Manager
相关的IT政策
公司信息安全组织架构 Information Owner/Representative信息所有者/委派人机制 IT资源的合法使用 接受和批露公司的机密信息
安全标准与实践
保密意识: 数据保密等级划分 你的密码
办公环境安全
信息安全事件呈报程序 注意社交工程 避免信息安全常见错误
避免让陌生人在办公区域里随便走动. 应上前询问并带领他/她到要找的人 传真任何文件时应事先检查收件人传真号是否正确. 如发送机密性文件, 应 事先联系收件人以确保收件人在传真机旁等候。 发送后必须再次联系收件人 以确保机密性文件以全部收到
每天下班前必须退出系统并关机
22
讨论
一个保险公司的客户向你要我们系统中的 客户资料,你怎么处理?
必须执行保密协议规定的条款,保证不以任何方式泄露或复制第三方提供 的机密性信息并不将第三方机密性信息用于公司之外的业务
详细信息联系,CEO/CIO/IT Risk
11
接受和批露机密信息(续)
这些,都是机密信息……
业务信息
• 价格和其他产品相关信息 • 公司业务运行的信息 • 客户和潜在客户清单 • 业务计划和业务财务状况 • 其他承诺保密的信息
24
6-避免常见错误 – 离座开屏
令人惊讶的是许多人让电脑开著卻 未加以适当保护就离开座位
25
6-避免常见错误 – 电子邮件
当打开电子邮件时 …邮件來自於泛泛之交,或陌生人 许多人不假思索就打开电子郵件的附件 发送邮件时,先检查邮件地址与收件人姓名
不要开启來自於陌生人的邮件及附件。 如果收到多封同样的邮件,雖然它们有 的來自於你熟识的人,亦不要开启它。
1-保密意识:数据密级划分
限制数据 (Restricted Data): 可能严重影响公司的法规遵 守或经济状况、客户或特权 • 如公司战略、合并活并购、身份验证信息(PW/PIN) 机密数据 (Confidential Data) : 公司必须保护的客户、员 工和业务信息 • 如客户和员工隐私、客户投资组合、业务或部门策略、 业务预算和财务报告、工资和奖金、审计报告等 内部数据 (Internal Data) : 公司内部共享、非上述两种
20
5-社交工程
Social Engineering, 利用社会交往(通常是在伪装之下)从目标对象那里获 取信息, 例如: 电话呼叫服务中心、在走廊里的聊天、冒充服务技术人员
著名黑客Kevin Mitnick更多是通过社交工程来渗透网络的,而不是高超的黑 客技术
电影中的FBI、CIA也是如此 他们的手段远比黑客技术更有效:
瓦解心防——先与內部人员建立关系,再伺机从其身上获取信息
乔装——冒充他人以合法授权或业务需要为理由骗取权限或信息
偷窥——利用背後窥视他人输入密码,再以取得密码进入系统获取信息 尾随——尾随合法人员进入安全管制区域
搜寻废弃物——从中寻找被丟弃的信息
Internal Use
21
5-社交工程——To Do List
• 如员工通讯录、培训材料等
公开数据 (Public Data): 信息拥有者确定能对外公布 • 如公司网站、市场新闻发布等
14
问题
请对下列信息的保密级别进行划分:
1. 2. 3. 4. 今天信息安全培训资料 业务系统数据 业务系统用户密码 业务系统加密密钥
15
2-你的密码
一个有趣的调查发现,如果你用一条巧克力来作为交换,有70% 的人乐意告诉你他(她)的口令 有34%的人,甚至不需要贿赂,就可奉献自己的口令 另据调查,有79%的人,在被提问时,会无意间泄漏足以被用来 窃取其身份的信息
6
讨论
1. 业务系统数据所有者是谁? 2. 公司信息安全的谁的职责?
7
IT资源的合法使用
办公电脑/电话 互联网 电子邮件 无线网络 软件的获取/使用 防病毒软件 ……
对上述所有公司IT资源的使用,用户请记住三点:
1. 2.
3.
回归常识,用户都应有良好的行为判断,不确定处联系IT 公司允许因家庭和私人事务而偶尔使用上述IT资源,但是不得 影响工作、其他业务需求或违反法律或公司制度 滥用或违反政策将受到处分,包括直接中止雇佣关系(同样适用 于以下所有IT政策)