华为信息安全宣传课件

信息资产识别与定级资产密级绝密机密秘密内部公开基于与战略竞争对手拉开并保持差距的市场竞争策略，在市场竞争态势中使我司处于优势地位，且对未来业务和产品发展有重大影响的，或战略竞争对手特别关注，获取后将严重影响我司产品核心竞争优势的信息资产。包括但不限于：算法、架构、方案、特性、需求、规划等。其载体包含但不限于：源代码、原理图、文档、会议纪要等。关键信息资产占信息资产总量的5%关键资产需要加密，例外情况需备案。关键资产以外的信息资产，包括秘密和内部公开两个密级。跨产品/跨部门的非关键信息资产申请由需求方主管说了算。秘密级不应加密。内部公开级不允许RMS加密。在Hi3MS发布或存放的文档不允许加密。非关键资产信息资产识别与定级资产密级绝密机密秘密内部公开基于与战略竞争1华为研发安全环境分区：红区、黄区、绿区关键信息资产非关键信息资产红区（高）黄区（中）绿区（低）针对以安全保护为主的、涉及大量/集中关键信息资产的关键项目或产品的部门竞争激烈领域的主力产品，关键技术、主力平台，识别为关键项目的预研、规划、审计、开发、测试等业务针对以安全与效率平衡、涉及分散关键信息资产的项目或产品的部门一般的产品、技术、平台的预研、规划、设计、开发、测试环境针对以共享为主、效率优先，不涉及关键信息资产的部门合作、外包、对外演示、对外测试、移动办公环境大量集中信息资产环境部门业务华为研发安全环境分区：红区、黄区、绿区关键信息资产非关键信息2网络环境安全分区隔离与管控红区完全独立黄区业务上云用户和实验室迁入绿区，仅少量继续保留在黄区用户跨区访问必须经数传跳转网络环境安全分区隔离与管控红区完全独立3信息资产的获取与共享只要业务需求是合理的，任何人无权拒绝提供信息或擅自提高主管审批级别；对于阻碍信息共享的行为，可以进行投诉。内部信息交流或对公司外提供信息时，应遵循以下审批原则：密级确定密级内部信息交流对外提供信息获取信息共享信息绝密/机密信息生成方二级（含以上）主管信息生成方和需求方二级（含以上）主管信息生成方二级（含以上）主管信息生成方二级（含以上）主管秘密信息生成方三级（含以上）主管信息需求方部门直接（含以上）主管信息需求方或员工本部门直接（含以上）主管信息生成方或员工本部门三级（含以上）主管内部公开同上不需要审批不需要审批同上备注：1、信息责任人可以授权相关组织或人员履行具体职责，但管理责任不因委托关系而转移。2、经信息安全部同意，各部门可以制定和发布审批细则，进一步明确信息密级所对应的审批级别。信息资产的获取与共享只要业务需求是合理的，任何人无权拒绝提供4信息资产跨区域传输的安全通道信息资产跨区域传输的安全通道5信息资产的清除包含保密信息的存储介质/设备，在进行数据清除时，要求如下：删除数据属于存储介质/设备使用人或用途发生改变时。低级格式化属于资产归属转出或外借设备归还时。如：便携机资产转个人、归还借用供应商的存储设备物理销毁或消磁属于资产报废或涉及绝密/机密信息的数据清除。纸件销毁包含保密信息的纸件在废弃时（如：复印效果差、打印未完成），可使用碎纸机销毁，不应随意丢弃委托外部公司对包含保密信息的存储截止进行数据恢复时，应经过主管批准，并选择公司指定的供应商。当涉及绝密/机密信息的数据恢复时，必须经过信息生成方责任人批准。信息资产的清除包含保密信息的存储介质/设备，在进行数据清除时6权限管理：权限分类与定义定义基本权限—能够满足本岗位工作所需的必要权限，该权限在员工到岗后自动授权例外权限—基本权限不能满足工作需要，须经流程申请获得的权限系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理（数据管理）等权限，须经流程申请并经审批后授权并纳入机要管理机要权限—机要岗位所特有的权限，包括信息资产及重要数据系统的权限设、数据管理、数据出口管理、数据传递等权限权限管理：权限分类与定义定义7权限管理：授权与行权授权基本使用/审批权数据库导入例外使用/审批权例外权限申请数据管理权例外权限申请数据传递权例外权限申请监督权/问责权例外权限申请行权（数传）行权（审批）提取关键资产数据管理员传递关键资产数传员“虎符”制申请使用人需求使用确认需求方二级审批人需求合理性确认生成方二级审批人审批生成方研发部长确认首席机要员冒泡检测监督/问责信管办权限分离权限监督权限管理：授权与行权授权基本使用/审批权数据库导入例外使用/8例外权限：信息资产查阅与获取流程冒泡问责机制例外权限：信息资产查阅与获取流程冒泡问责机制9信息资产管理平台-iRight信息资产管理平台-iRight10信息资产管理平台-iRight（续）信息资产管理平台-iRight（续）11研发关键信息资产的识别流程（IPD类）1、流程支撑关键信息资产的识别、评审、加密活动均有IT流程支撑（iRight权限平台）2、例行识别在TR2前识别关键信息资产并完成定密，制定信息安全策略3、例行刷新在TR5对关键信息资产清单重新审视4、例行解密在进入后生命周期阶段对关键资产降密进行评审研发关键信息资产的识别流程（IPD类）1、流程支撑12研发关键信息资产的识别流程（非IPD类）研发关键信息资产的识别流程（非IPD类）13结束语当你尽了自己的最大努力时，失败也是伟大的，所以不要放弃，坚持就是正确的。WhenYouDoYourBest,FailureIsGreat,SoDon'TGiveUp,StickToTheEnd结束语14感谢聆听不足之处请大家批评指导PleaseCriticizeAndGuideTheShortcomings演讲人：XXXXXX时间：XX年XX月XX日

感谢聆听演讲人：XXXXXX时间：XX年15信息资产识别与定级资产密级绝密机密秘密内部公开基于与战略竞争对手拉开并保持差距的市场竞争策略，在市场竞争态势中使我司处于优势地位，且对未来业务和产品发展有重大影响的，或战略竞争对手特别关注，获取后将严重影响我司产品核心竞争优势的信息资产。包括但不限于：算法、架构、方案、特性、需求、规划等。其载体包含但不限于：源代码、原理图、文档、会议纪要等。关键信息资产占信息资产总量的5%关键资产需要加密，例外情况需备案。关键资产以外的信息资产，包括秘密和内部公开两个密级。跨产品/跨部门的非关键信息资产申请由需求方主管说了算。秘密级不应加密。内部公开级不允许RMS加密。在Hi3MS发布或存放的文档不允许加密。非关键资产信息资产识别与定级资产密级绝密机密秘密内部公开基于与战略竞争16华为研发安全环境分区：红区、黄区、绿区关键信息资产非关键信息资产红区（高）黄区（中）绿区（低）针对以安全保护为主的、涉及大量/集中关键信息资产的关键项目或产品的部门竞争激烈领域的主力产品，关键技术、主力平台，识别为关键项目的预研、规划、审计、开发、测试等业务针对以安全与效率平衡、涉及分散关键信息资产的项目或产品的部门一般的产品、技术、平台的预研、规划、设计、开发、测试环境针对以共享为主、效率优先，不涉及关键信息资产的部门合作、外包、对外演示、对外测试、移动办公环境大量集中信息资产环境部门业务华为研发安全环境分区：红区、黄区、绿区关键信息资产非关键信息17网络环境安全分区隔离与管控红区完全独立黄区业务上云用户和实验室迁入绿区，仅少量继续保留在黄区用户跨区访问必须经数传跳转网络环境安全分区隔离与管控红区完全独立18信息资产的获取与共享只要业务需求是合理的，任何人无权拒绝提供信息或擅自提高主管审批级别；对于阻碍信息共享的行为，可以进行投诉。内部信息交流或对公司外提供信息时，应遵循以下审批原则：密级确定密级内部信息交流对外提供信息获取信息共享信息绝密/机密信息生成方二级（含以上）主管信息生成方和需求方二级（含以上）主管信息生成方二级（含以上）主管信息生成方二级（含以上）主管秘密信息生成方三级（含以上）主管信息需求方部门直接（含以上）主管信息需求方或员工本部门直接（含以上）主管信息生成方或员工本部门三级（含以上）主管内部公开同上不需要审批不需要审批同上备注：1、信息责任人可以授权相关组织或人员履行具体职责，但管理责任不因委托关系而转移。2、经信息安全部同意，各部门可以制定和发布审批细则，进一步明确信息密级所对应的审批级别。信息资产的获取与共享只要业务需求是合理的，任何人无权拒绝提供19信息资产跨区域传输的安全通道信息资产跨区域传输的安全通道20信息资产的清除包含保密信息的存储介质/设备，在进行数据清除时，要求如下：删除数据属于存储介质/设备使用人或用途发生改变时。低级格式化属于资产归属转出或外借设备归还时。如：便携机资产转个人、归还借用供应商的存储设备物理销毁或消磁属于资产报废或涉及绝密/机密信息的数据清除。纸件销毁包含保密信息的纸件在废弃时（如：复印效果差、打印未完成），可使用碎纸机销毁，不应随意丢弃委托外部公司对包含保密信息的存储截止进行数据恢复时，应经过主管批准，并选择公司指定的供应商。当涉及绝密/机密信息的数据恢复时，必须经过信息生成方责任人批准。信息资产的清除包含保密信息的存储介质/设备，在进行数据清除时21权限管理：权限分类与定义定义基本权限—能够满足本岗位工作所需的必要权限，该权限在员工到岗后自动授权例外权限—基本权限不能满足工作需要，须经流程申请获得的权限系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理（数据管理）等权限，须经流程申请并经审批后授权并纳入机要管理机要权限—机要岗位所特有的权限，包括信息资产及重要数据系统的权限设、数据管理、数据出口管理、数据传递等权限权限管理：权限分类与定义定义22权限管理：授权与行权授权基本使用/审批权数据库导入例外使用/审批权例外权限申请数据管理权例外权限申请数据传递权例外权限申请监督权/问责权例外权限申请行权（数传）行权（审批）提取关键资产数据管理员传递关键资产数传员“虎符”制申请使用人需求使用确认需求方二级审批人需求合理性确认生成方二级审批人审批生成方研发部长确认首席机要员冒泡检测监督/问责信管办权限分离权限监督权限管理：授权与行权授权基本使用/审批权数据库导入例外使用/23例外权限：信息资产查阅与获取流程冒泡问责机制例外权限：信息资产查阅与获取流程冒泡问责机制24信息资产管理平台-iRight信息资产管理平台-iRight25信息资产管理平台-iRight（续）信息资产管理平台-iRight（续）26研发关键信息资产的识别流程（IPD类）1、流程支撑关键信息资产的识别、评审、加密活动均有IT流程支撑（iRight权限平台）2、例行识别在TR2前识别关键信息资产并完成定密，制定信息安全策略3、例行刷新在TR5对关键信息资产清单重新审视4、例行解密在进入后生命周期阶段对关键资产降密进行评审研发关键信息资产的识别流程（IPD类）1、流程支撑27研发关键信息资产的识别流程（非IPD类）研发关键信息资产的识别流程（非IPD类）