入职员工培训体系管理信息安全意识精品PPT课件

9
信息安全无处不在
法律 合规
安全 策略
业务 连续
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理
人员 安全
网络 安全
物理 安全
10
怎样搞好信息安全？
• 一个软件公司的老总，等他所有的员工下班之后， 他在那里想：我的企业到底值多少钱呢？
• 假如它的企业市值1亿，那么此时此刻，他的企业就值2600 万。
26
怪事是这么发生的……
2003年10月5日，定西临洮县太石镇邮政储蓄所的营业电脑突然死机 工作人员以为是一般的故障，对电脑进行了简单的修复和重装处理 17日，工作人员发现打印出的报表储蓄余额与实际不符，对账发现，13日发生了11笔交 易，83.5万异地帐户是虚存（有交易记录但无实际现金） 紧急与开户行联系，发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组，同时向省公安厅上报 ……
理解安全与不安全概念
5 信息安全
问题
什么是不安全？ 例3 想通过优盘把连夜加班的资料拷贝到单 位电脑上，可插入u盘后里面空空如也，一晚 上的工作付之东流。
理解安全与不安全概念
6 信息安全
问题
什么是不安全？ 例4 某一天下着大雨，突然“霹雳”一声，电 脑突然断线了，经查是上网用的adsl modem被击坏了。
存储
传递
更改
销毁
20
信息安全令人担忧!
内地企业44%信息安全事件是数据失窃
普华永道最新发布的2008年度全球信息安全调查报告显示，中国内地企业在信息 安全管理方面存在滞后，信息安全与隐私保障方面已被印度赶超。数据显示，内地企
业44%的信息安全事件与数据失窃有关，而全球的平均水平只有16%。
*
21
关键是做好预防控制
隐患险于明火！ 预防重于救灾！
*
22
1、要关注内部人员的安全管理
23
过渡页 TRANSITION PAGE
过渡页
TRANSITION PAGE
案例
2007年11月，集安支行代办 员，周末晚上通过运营电脑，将230 万转移到事先办理的15张卡上，并 一夜间在各ATM上取走38万。周一 被发现。
理解安全与不安全概念
7 信息安全
问题
什么是不安全？ 例5 目前，中国银行、工商银行、农业银行 的网站已经在互联网上被克隆，这些似是而 非的假银行网站极具欺骗性，呼和浩特市的 一位市民，因登陆了假的中国银行网站，卡 里的2.5万元不翼而飞。
理解安全与不安全概念
8
授之以鱼 ——产品 不如授之以渔 ——技术 更不如激之其欲 ——意识
1 内训之 ——
体系管理基础
信息安全意识
2
3 信息安全
问题
什么是不安全？ 例1 不知你遇到过这种事情没有？上网正在兴 头上时，突然IE窗口不停地打开，最后直到资 源耗尽死机？
wenku.baidu.com
理解安全与不安全概念
4 信息安全
问题
什么是不安全？ 例2 我的一位朋友的QQ被盗，黑客公开售卖 200元，最后朋友费尽周折，利用密码保护才 要回了自己心爱的QQ号，但是里面的好友和 群全部被删除。
如果您记得给保险箱设密码，而不记得给电脑设密码， 说明您可能对信息资产安全认识不够。
症结 这就是意识缺乏的
1
不看重大公司，更看重小家庭。
公司
家
意识
2
钞票更顺眼，信息无所谓。
〉
思想上的转变
信息比钞票更重要，更脆弱，我们更 应该保护它。
装有100万 保险箱
需要3个悍匪
1辆车，才能偷走 公司损失： 100万
夜间银行监控设备未开放，下 班后运营电脑未上锁。
事实上，此前早有人提出过这 个问题，只不过没有得到重视。
24
员工安全管理的要求
• 根据不同岗位的需求，在职位描述书中加入安全方面 的责任要求，特别是敏感岗位
• 在招聘环节做好人员筛选和背景调查工作，并且签订 适当的保密协议
• 在新员工培训中专门加入信息安全内容 • 工作期间，根据岗位需要，持续进行专项培训 • 通过多种途径，全面提升员工信息安全意识 • 员工内部转岗应做好访问控制变更控制 • 员工离职，应做好交接和权限撤销
WHY???
装有客户信息 只要1个商业间谍
电脑
1个U盘，就能偷走。 公司损失： 所有客户！
信息安全的定义
保护：系统的硬件，软件，数据 防止：系统和数据遭受破坏，更改，泄露 保证：系统连续正常地运行，服务不中断
技术层面——防止外部用户的非法入侵 管理层面——内部员工的教育和管理
信息生命周期
创建
使用
• 因为据Delphi公司统计，公司价值的26%体现在固定资产和 一些文档上，而高达42%的价值是存储在员工的脑子里，而 这些信息的保护没有任何一款产品可以做得到，所以需要我 们建立信息安全管理体系，也就是常说的ISMS！
11
小问题：公司的信息都在哪里？
纸质文档 电子文档 员工 其他信息介质
12
25 国内金融计算机犯罪的典型案例
一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走 83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公 安机关破获 ……
———— 人民日报，2003年12月
时间：2003年11月 地点：甘肃省定西地区临洮县太石 镇邮政储蓄所 人物：一个普通的系统管理员
企业应保护什么信息？
• 知识产权； • 技术秘密； • 合同； • 客户资料； • 软件产品的源代码； • 财务数据； • 内部文件； • ……
13
小测验
• 您离开家每次都关门吗？ • 您离开公司每次都关门吗？ • 您的保险箱设密码吗？ • 您的电脑设密码吗？
意识
答案解释：
如果您记得关家里的门，而不记得关公司的门， 说明您可能对公司的安全认知度不够。
27
当然，最终结果不错 ……
经过缜密的调查取证，我英勇机智的 公安干警终于一举抓获这起案件的罪 魁祸首 —— 会宁邮政局一个普通的 系统维护人员张某
27
28
事情的经过原来是这样的 ……
② 张某借工作
会宁
之便，利用笔
记本电脑连接
电缆到邮政储
蓄专网
③ 登录到永登 邮政局
④ 破解口令，登录到临洮 一个邮政储蓄所
永登
临洮
⑤ 向这些帐户虚存83.5万，退出系统 前删掉了打印操作系统
① 会宁的张某用假身份证在兰 州开了8个活期帐户
⑥ 最后，张某在兰州和西 安等地提取现金
29
到底哪里出了纰漏 ……
张某29岁，毕业于邮电学院，资质平平，谈不上精 通计算机和网络技术