华为信息安全宣传
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
的行为,可以进行投诉。内部信息交流或对公司外提供信息时,应遵循以下审批原则:
内部信息交流 密级 确定密级 信息生成方二级 (含以上)主管 信息生成方三级 (含以上)主管 同上 获取信息 共享信息 对外提供信息 信息生成方二级 (含以上)主管 信息生成方或员
绝密/机密
信息生成方和需求方二 信息生成方二级 级(含以上)主管 信息需求方部门直接 (含以上)主管 不需要审批 (含以上)主管 信息需求方或员
针对以共享为主、效率优 绿区(低) 先,不涉及关键信息资产 的部门
合作、外包、对外演示、
对外测试、移动办公环境
网络环境安全分区隔离与管控
红区完全独立 黄区业务上云 用户和实验室迁入绿区,仅少量继续保留在黄区 用户跨区访问必须经数传跳转
信息资产的获取与共享
只要业务需求是合理的,任何人无权拒绝提供信息或擅自提高主管审批级别;对于阻碍信息共享
信息资产识别与定级
资产密级 绝密 机密 秘密 内部 公开
关键资产
非关键资产
基于与战略竞争对手拉开并保持差距的 市场竞争策略,在市场竞争态势中使我 司处于优势地位,且对未来业务和产品 发展有重大影响的,或战略竞争对手特 别关注,获取后将严重影响我司产品核 心竞争优势的信息资产。 包括但不限于:算法、架构、方案、特 性、需求、规划等。其载体包含但不限 于:源代码、原理图、文档、会议纪要 等。 关键信息资产占信息资产总量的5%左右。 关键资产需要加密,例外情况需备案。
纸机销毁,不应随意丢弃
委托外部公司对包含保密信息的存储截止进行数据恢复时,应经过主管批准,并选择公司指定的 供应商。当涉及绝密/机密信息的数据恢复时,必须经过信息生成方责任人批准。
权限管理:权限分类与定义
定义
基本权限—能够满足本岗位工作所需的必要权限,该权限在员工到岗后自动授权 例外权限—基本权限不能满足工作需要,须经流程申请获得的权限 系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理(数据管理)等 权限,须经流程申请并经审批后授权并纳入机要管理 机要权限—机要岗位所特有的权限,包括信息资产及重要数据系统的权限设、数据管 理、数据出口管理、数据传递等权限
研发关键信息资产的识别流程(非IPD类)
技术断裂点的设计
概念 “技术断裂点”可以形象的理解为“技术屏障”,是防止竞争对手追赶的“护城 河”,是与竞争对手“形成差距、拉开差距、保持差距”的技术措施,技术断裂 点可以避免竞争对手快速跟进,做出同样的产品。
目的 防止战略竞争对手获取(如排他协议、自研与合作结合、多供应商合作等); 防止战略竞争对手Copy(如带自有专利、自研ASIC等); 防止战略竞争对手绕行(如有基本专利、技术买断等)
包含保密信息的存储介质/设备,在进行数据清除时,要求如下:
删除数据
属于存储介质/设备使用人或用途发生改变时。 属于资产归属转出或外借设备归还时。
低级格式化 物理销毁或消磁 纸件销毁
如:便携机资产转个人、归还借用供应商的存储设备
属于资产报废或涉及绝密/机密信息的数据清除。 包含保密信息的纸件在废弃时(如:复印效果差、打印未完成),可使用碎
秘密
工本部门直接
(含以上)主管 不需要审批
工本部门三级
(含以上)主管 同上
内部公开
备注:
1、信息责任人可以授权相关组织或人员履行具体职责,但管理责任不因委托关系而转移。 2、经信息安全部同意,各部门可以制定和发布审批细则,进一步明确信息密级所对应的审批级别。
信息资产跨区域传输的安全通道
信息资密和 内部公开两个密级。 跨产品/跨部门的非关键信息资产申请 由需求方主管说了算。 秘密级不应加密。内部公开级不允许 RMS加密。 在Hi3MS发布或存放的文档不允许加 密。
华为研发安全环境分区:红区、黄区、绿区
信息资产 环境 部门
针对以安全保护为主的、
权限管理:授权与行权
授权
基本使用/审批权
行权(审批)
行权(数传)
数据库导入 例外使用/审批权
例外权限申请 数据管理权 例外权限申请 数据传递权 申请 使用人
需求使用确认 需求方二级 审批人
审批 生成方研发部 长
提取关键资产 数据管理员
需求合理性 确认 生成方二级 审批人
确认
首席机要员 传递关键资产 数传员 权限分 离
红区(高) 关键信 息资产 大量集中 涉及大量/集中关键信息 资产的关键项目或产品 的部门
业务
竞争激烈领域的主力产品, 关键技术、主力平台,识 别为关键项目的预研、规 划、审计、开发、测试等 业务
针对以安全与效率平衡、 非关键 信息资 产 黄区(中) 涉及分散关键信息资产的 项目或产品的部门
一般的产品、技术、平台的 预研、规划、设计、开发、 测试环境
例外权限申请
监督权/问责权 例外权限申请 权限监 督
监督/问责 信管办
冒泡 检测
“虎符”制
例外权限:信息资产查阅与获取流程冒泡问责机制
信息资产管理平台-iRight
信息资产管理平台-iRight(续)
研发关键信息资产的识别流程(IPD类)
1、流程支撑 关键信息资产的识别、评审、加密活动均有IT流程支撑(iRight权限平台) 2、例行识别 在TR2前识别关键信息资产并完成定密,制定信息安全策略 3、例行刷新 在TR5对关键信息资产清单重新审视 4、例行解密 在进入后生命周期阶段对关键资产降密进行评审