华为信息安全宣传知识讲解

1、华为信息安全宣传华为研发安全环境分区：红区、黄区、绿区关键信关键信息资产息资产非关键非关键信息资信息资产产红区（高）黄区（中）绿区（低）针对以安全保护为主的、涉及大量/集中关键信息资产的关键项目或产品的部门竞争激烈领域的主力产品，关键技术、主力平台，识别为关键项目的预研、规划、审计、开发、测试等业务针对以安全与效率平衡、涉及分散关键信息资产的项目或产品的部门一般的产品、技术、平台的预研、规划、设计、开发、测试环境针对以共享为主、效率优先，不涉及关键信息资产的部门合作、外包、对外演示、对外测试、移动办公环境大量集中信息资产 环境 部门 业务信息资产的清除包含保密信息的存储介质/设备，在进行数据清

2、除时，要求如下：删除数据属于存储介质/设备使用人或用途发生改变时。低级格式化属于资产归属转出或外借设备归还时。如：便携机资产转个人、归还借用供应商的存储设备物理销毁或消磁属于资产报废或涉及绝密/机密信息的数据清除。纸件销毁包含保密信息的纸件在废弃时（如：复印效果差、打印未完成），可使用碎纸机销毁，不应随意丢弃委托外部公司对包含保密信息的存储截止进行数据恢复时，应经过主管批准，并选择公司指定的供应商。当涉及绝密/机密信息的数据恢复时，必须经过信息生成方责任人批准。权限管理：权限分类与定义定义定义基本权限基本权限能够满足本岗位工作所需的必要权限，该权限在员工到岗后自动授权例外权限例外权限基本权限不

3、能满足工作需要，须经流程申请获得的权限系统权限系统权限信息资产存储系统的系统管理、应用平台管理、应用管理（数据管理）等权限，须经流程申请并经审批后授权并纳入机要管理机要权限机要权限机要岗位所特有的权限，包括信息资产及重要数据系统的权限设、数据管理、数据出口管理、数据传递等权限权限管理：授权与行权授权授权基本使用/审批权数据库导入例外使用/审批权例外权限申请数据管理权例外权限申请数据传递权例外权限申请监督权/问责权例外权限申请行权（数传）行权（数传）行权（审批）行权（审批）提取关键资产数据管理员传递关键资产数传员“虎符”制申请使用人需求使用确认需求方二级审批人需求合理性确认生成方二级审批人审批生

4、成方研发部长确认首席机要员冒泡检测监督/问责信管办权限分离权限监督例外权限：信息资产查阅与获取流程冒泡问责机制信息资产管理平台-iRight信息资产管理平台-iRight（续）研发关键信息资产的识别流程（IPD类）1、流程支撑、流程支撑关键信息资产的识别、评审、加密活动均有IT流程支撑（iRight权限平台）2、例行识别、例行识别在TR2前识别关键信息资产并完成定密，制定信息安全策略3、例行刷新、例行刷新在TR5对关键信息资产清单重新审视4、例行解密、例行解密在进入后生命周期阶段对关键资产降密进行评审研发关键信息资产的识别流程（非IPD类）技术断裂点的设计 “技术断裂点”可以形象的理解为“技术屏障”，是防止竞争对手追赶的“护城河”，是与竞争对手“形成差距、拉开差距、保持差距”的技术措施，技术断裂点可以避免竞争对手快速跟进，做出同样的产品。 防止战略竞争对手获取（如排他协议、自研与合作结合、多供应商合作等）； 防止