信息技术安全政策及安全意识培训

信息技术安全政策&信息安全意识培训第一页，共30页。培训的目标掌握信息安全的基本概念、理念和惯例建立对信息安全的敏感意识和正确认识了解公司各项IT政策(用户相关)熟悉对应于IT政策的安全标准与流程清楚可能面临的威胁和风险在日常工作中养成良好的安全习惯意识制度行为第二页，共30页。

什么是信息安全

相关的IT政策

公司信息安全组织架构InformationOwner/Representative信息所有者/委派人机制

IT资源的合法使用

接受和批露公司的机密信息安全标准与实践

保密意识:数据保密等级划分你的密码

办公环境安全

信息安全事件呈报程序

注意社交工程

避免信息安全常见错误你的责任主要内容第三页，共30页。什么是“信息

安全”?C保密性（Confidentiality）：非授权用户看不到。完整性（Integrity）：确保不会被非授权篡改、一致性。可用性（Availability）：确保授权用户想用的时候用得着。IA

消息、信号、数据、情报和知识——有价值的内容是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中（数据、文件资料）记忆在人的大脑里通过网络、打印机、传真机等方式进行传播具有价值的信息资产面临诸多威胁，需要妥善保护Information第四页，共30页。信息安全组织结构信息安全管理组织架构信息安全委员会InformationOwners-CEO，COO，CIO用户（Users)公司各部门、供应商/合作伙伴信息安全主管ITRiskManager业务信息安全主管InformationOwnerRepresentatives决策层协调/管理/执行层用户（内/外部）第五页，共30页。信息所有者/委派人机制1)各体系内信息安全的最终责任人/接口人2)信息资源清单3)供应商ORE(OverallRiskEvaluation)评估4)应用系统风险评估5)重大安全事故调查6)用户系统权限审批7)数据需求/修改/使用审批8)应用需求(CR)和测试(UAT)审批9)记录和信息管理(RIM)10)审计发现审批执行信息所有者/委派人机制，公司所有业务相关信息（系统/数据）的所有者均为对应体系/部门最高负责人，以下具体流程工作可授权给委派人审批：第六页，共30页。1.业务系统数据所有者是谁？2.公司信息安全的谁的职责?讨论第七页，共30页。IT资源的合法使用办公电脑/电话

互联网

电子邮件

无线网络

软件的获取/使用

防病毒软件……回归常识，用户都应有良好的行为判断，不确定处联系IT公司允许因家庭和私人事务而偶尔使用上述IT资源，但是不得影响工作、其他业务需求或违反法律或公司制度滥用或违反政策将受到处分，包括直接中止雇佣关系(同样适用于以下所有IT政策)对上述所有公司IT资源的使用，用户请记住三点：第八页，共30页。公司已签署公安部

《计算机信息网络国际联网单位信息安全保卫责任书》，责任书明确要求：IT资源的合法使用(续)公司会对员工上网行为进行记录

公安部会随时进行检查员工在上网时请不要从事非工作以与必要信息检索以外的行为，如果有任何不适当的言论行为，可能导致公司受到警告，罚款，停止联网，停机整顿等严厉处罚，个人也需要承担相应的法规责任。意味着什么三、不利用国际联网制作、复制、查阅和传播下列信息：(一)煽动抗拒、破坏宪法和法律、行政法规实施的；(二)煽动颠覆国家政权，推翻社会主义制度的；(三)煽动分裂国家、破坏国家统一的；(四)煽动民族仇恨、民族歧视，破坏民族团结的；(五)捏造或者歪曲事实，散布谣言，扰乱社会秩序的；(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；(七)公然侮辱他人或者捏造事实诽谤他人的；(八)损害国家机关信誉的；(九)其他违反宪法和法律、行政法规的第九页，共30页。IT资源的合法使用(续)出差时，笔记本电脑必须随身携带（不得作为行李托运）

不得自行下载或安装软件

谨慎使用无线网络

谨慎使用智能手机

任何安全事件须与时上报ITHelpdesk/ITRisk特别注意第十页，共30页。机密信息批露的决定必须由相关部门适当级别管理层做出（即信息所有者/委派人）

在任何机密信息放开给第三方之前，必须先签署保密协议针对密级为保密和限制信息的传统介质，公司员工应执行“桌面清理”政策机密或限制性信息的销毁，应按照“确保无法复原”的原则进行必须执行保密协议规定的条款，保证不以任何方式泄露或复制第三方提供的机密性信息并不将第三方机密性信息用于公司之外的业务详细信息联系，CEO/CIO/ITRisk接受和批露机密信息第十一页，共30页。接受和批露机密信息(续)客户信息业务信息

价格和其他产品相关信息公司业务运行的信息客户和潜在客户清单业务计划和业务财务状况其他承诺保密的信息申请或购买产品与服务的个人，包括被保险人、理赔申请人、受益人和其他基本信息–

姓名、地址、电话和年龄号码–

身份证号、账户或投资者身份编号、信用卡号码以与用户名、密码等财务信息–

收入、财产、负债和信用历史记录健康状况信息–

医疗记录和处方信息其他个人信息–

驾驶记录、爱好和客户的生活方式与嗜好等医疗资源数据和理赔数据客户信息也包含了与团体客户相关的信息和团险中的个人信息员工信息

员工信息指由公司维护的内、外勤信息，包括个人信息及其与公司的关系

补偿/补助金信息绩效评估身份证号、生日健康状况、福利政府需要的信息（包括种族、宗教、残疾或服役状况）这些，都是机密信息……第十二页，共30页。

什么是信息安全

相关的IT政策

公司信息安全组织架构InformationOwner/Representative信息所有者/委派人机制

IT资源的合法使用

接受和批露公司的机密信息安全标准与实践

保密意识:数据密级划分

你的密码

办公环境安全

信息安全事件呈报程序

注意社交工程

避免信息安全常见错误你的责任主要内容第十三页，共30页。1-保密意识:数据密级划分公开数据(PublicData):信息拥有者确定能对外公布

如公司网站、市场新闻发布等

限制数据(RestrictedData):可能严重影响公司的法规遵守或经济状况、客户或特权

如公司战略、合并活并购、身份验证信息(PW/PIN)机密数据(ConfidentialData):公司必须保护的客户、员工和业务信息

如客户和员工隐私、客户投资组合、业务或部门策略、业务预算和财务报告、工资和奖金、审计报告等内部数据(InternalData):公司内部共享、非上述两种如员工通讯录、培训材料等第十四页，共30页。请对下列信息的保密级别进行划分：今天信息安全培训资料业务系统数据

业务系统用户密码业务系统加密密钥问题第十五页，共30页。2-你的密码

一个有趣的调查发现，如果你用一条巧克力来作为交换，有70％的人乐意告诉你他（她）的口令有34％的人，甚至不需要贿赂，就可奉献自己的口令另据调查，有79％的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息姓名、宠物名、生日、球队名最常被用作口令平均每人要记住四个口令，大多数人都习惯使用相同的口令（在很多需要口令的地方）

33％的人选择将口令写下来，然后放到抽屉或夹到文件里第十六页，共30页。Passwordisyourtoothbrush,neversharewithothers.2-你的密码(续)第十七页，共30页。3-办公环境安全

客户名单

电话名单

密码清单

进入系统步骤

通告

项目方案计划

个人档案

财务资料

客戶往來信件

系统网络图

审计报告

业务统计

行销计划

法律文件

私人资料桌上拥有一切……第十八页，共30页。3-办公环境安全(续)无人陪同的访客

遗忘在打印机上的文档

敏感信息传真

离座时的电脑屏幕

在卫生间电话物理安全比我们想象的更重要……InternalUse第十九页，共30页。

安全事件必須以最速件处理

安全事件包括﹝但不限于此﹞:

机密信息曝光

资料遭到破坏公司资产的遗失(手提电脑）

系统资料完整性发生问题不适当的使用密码

非法使用公司资源电脑病毒的侵袭

欺诈

其他侵入方式4-信息安全事件呈报如遇到/怀疑任何安全事件，应立即联络部门主管与

IT风险管理:ITRiskManager第二十页，共30页。5-社交工程SocialEngineering,利用社会交往(通常是在伪装之下)从目标对象那里获取信息,例如：电话呼叫服务中心、在走廊里的聊天、冒充服务技术人员著名黑客KevinMitnick更多是通过社交工程来渗透网络的，而不是高超的黑客技术电影中的FBI、CIA也是如此

他们的手段远比黑客技术更有效：

瓦解心防——先与內部人员建立关系，再伺机从其身上获取信息

乔装——冒充他人以合法授权或业务需要为理由骗取权限或信息

偷窥——利用背後窥视他人输入密码，再以取得密码进入系统获取信息

尾随——尾随合法人员进入安全管制区域

搜寻废弃物——从中寻找被丟弃的信息InternalUse第二十一页，共30页。

留意你的工作环境

将你的电脑与工作区维持在安全的状态，以降低未被授权者趁你不在，而从你处取走或得到公司机密等级﹝含﹞以上信息的机会

妥善处置公司机密等级﹝含﹞以上的信息，包括碎纸机的使用

离开座位时，先将机密等级﹝含﹞以上的信息上锁

离开座位时，将电脑屏幕上锁(CTRL+ALT+DEL)

设屏幕保护程序（屏保）避免通过电子邮件发送机密等级﹝含﹞以上的信息(除已加密文件)5-社交工程——ToDoList避免让陌生人在办公区域里随便走动.应上前询问并带领他/她到要找的人传真任何文件时应事先检查收件人传真号是否正确.如发送机密性文件,应事先联系收件人以确保收件人在传真机旁等候。发送后必须再次联系收件人以确保机密性文件以全部收到每天下班前必须退出系统并关机第二十二页，共30页。一个保险公司的客户向你要我们系统中的客户资料，你怎么处理？讨论第二十三页，共30页。引用反黑客专家的数据來说明破解密码是多么容易的事尤其是选用通俗字句或姓名缩写当密码时密码规则密码最小长度不得低于8位（含），并且必须由下列三种类型字符中的两类或以上构成：大写字母（如，A,B,C,...Z)和/或小写字母(如，a,b,c,...z)阿拉伯数字（如，0,1,2,...9)特殊字符(如，?,!,%,$,#,等)6-避免常见错误–弱密码第二十四页，共30页。

令人惊讶的是许多人让电脑开著卻未加以适当保护就离开座位6-避免常见错误–离座开屏第二十五页，共30页。当打开电子邮件时

…邮件來自於泛泛之交，或陌生人

许多人不假思索就打开电子郵件的附件发送邮件时,先检查邮件地址与收件人姓名不要开启來自於陌生人的邮件与附件。如果收到多封同样的邮件，雖然它们有的來自於你熟识的人，亦不要开启它。马上刪除它!所有电子邮件都将被过滤与监控以确保它的安全。6-避免常见错误–电子邮件第二十六页，共30页。

流览不安全的网站

加入聊天室聊天

在公佈栏张贴讯息

开启网络浏览器记忆密码的功能下载与工作无关的文件6-避免常见错误-Internet第二十七页，共30页。

一般人常会在不恰当的场所內谈论机密性话题，如：

餐厅

酒店

电梯间

盥洗室6-避免常见错误