信息技术安全政策及安全意识培训

信息技术安全政策&信息安全意识培训培训的目标掌握信息安全的基本概念、理念和惯例建立对信息安全的敏感意识和正确认识了解公司各项IT政策(用户相关)熟悉对应于IT政策的安全标准及流程清楚可能面临的威胁和风险在日常工作中养成良好的安全习惯意识制度行为

什么是信息安全

相关的IT政策

公司信息安全组织架构InformationOwner/Representative信息所有者/委派人机制

IT资源的合法使用

接受和批露公司的机密信息安全标准与实践

保密意识:数据保密等级划分你的密码

办公环境安全

信息安全事件呈报程序

注意社交工程

避免信息安全常见错误你的责任主要内容什么是“信息

安全”?C保密性（Confidentiality）：非授权用户看不到。完整性（Integrity）：确保不会被非授权篡改、一致性。可用性（Availability）：确保授权用户想用的时候用得着。IA

消息、信号、数据、情报和知识——有价值的内容是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中（数据、文件资料）记忆在人的大脑里通过网络、打印机、传真机等方式进行传播具有价值的信息资产面临诸多威胁，需要妥善保护Information信息安全组织结构信息安全管理组织架构信息安全委员会InformationOwners-CEO，COO，CIO用户（Users)公司各部门、供应商/合作伙伴信息安全主管ITRiskManager业务信息安全主管InformationOwnerRepresentatives决策层协调/管理/执行层用户（内/外部）信息所有者/委派人机制1)各体系内信息安全的最终责任人/接口人2)信息资源清单3)供应商ORE(OverallRiskEvaluation)评估4)应用系统风险评估5)重大安全事故调查6)用户系统权限审批7)数据需求/修改/使用审批8)应用需求(CR)和测试(UAT)审批9)记录和信息管理(RIM)10)审计发现审批执行信息所有者/委派人机制，公司所有业务相关信息（系统/数据）的所有者均为对应体系/部门最高负责人，以下具体流程工作可授权给委派人审批：1.业务系统数据所有者是谁？2.公司信息安全的谁的职责?讨论IT资源的合法使用办公电脑/电话

互联网

电子邮件

无线网络

软件的获取/使用

防病毒软件……回归常识，用户都应有良好的行为判断，不确定处联系IT公司允许因家庭和私人事务而偶尔使用上述IT资源，但是不得影响工作、其他业务需求或违反法律或公司制度滥用或违反政策将受到处分，包括直接中止雇佣关系(同样适用于以下所有IT政策)对上述所有公司IT资源的使用，用户请记住三点：公司已签署公安部

《计算机信息网络国际联网单位信息安全保卫责任书》，责任书明确要求：IT资源的合法使用(续)公司会对员工上网行为进行记录

公安部会随时进行检查员工在上网时请不要从事非工作以及必要信息检索以外的行为，如果有任何不适当的言论行为，可能导致公司受到警告，罚款，停止联网，停机整顿等严厉处罚，个人也需要承担相应的法规责任。意味着什么三、不利用国际联网制作、复制、查阅和传播下列信息：(一)煽动抗拒、破坏宪法和法律、行政法规实施的；(二)煽动颠覆国家政权，推翻社会主义制度的；(三)煽动分裂国家、破坏国家统一的；(四)煽动民族仇恨、民族歧视，破坏民族团结的；(五)捏造或者歪曲事实，散布谣言，扰乱社会秩序的；(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；(七)公然侮辱他人或者捏造事实诽谤他人的；(八)损害国家机关信誉的；(九)其他违反宪法和法律、行政法规的IT资源的合法使用(续)出差时，笔记本电脑必须随身携带（不得作为行李托运）

不得自行下载或安装软件

谨慎使用无线网络

谨慎使用智能手机

任何安全事件须及时上报ITHelpdesk/ITRisk特别注意机密信息息批露的的决定必必须由相相关部门门适当级级别管理理层做出出（即信信息所有有者/委派人））在任何机机密信息息放开给给第三方方之前，，必须先先签署保保密协议议针对密级级为保密密和限制制信息的的传统介介质，公公司员工工应执行行“桌面面清理””政策机密或限限制性信信息的销销毁，应应按照““确保无无法复原原”的原原则进行行必须执行行保密协协议规定定的条款款，保证证不以任任何方式式泄露或或复制第第三方提提供的机机密性信信息并不不将第三三方机密密性信息息用于公公司之外外的业务务详细信息息联系，，CEO/CIO/ITRisk接受和批批露机密密信息接受和批批露机密密信息(续)客户信息息业务信息

价格和其他产品相关信息公司业务运行的信息客户和潜在客户清单业务计划和业务财务状况其他承诺保密的信息申请或购购买产品品及服务务的个人人，包括括被保险险人、理理赔申请请人、受受益人和和其他基本信息息–姓名、地地址、电电话和年年龄号码–身份证号号、账户户或投资资者身份份编号、、信用卡卡号码以以及用户户名、密密码等财务信息息–收入、财财产、负负债和信信用历史史记录健康状况况信息–医疗记录录和处方方信息其他个人人信息–驾驶记录录、爱好好和客户户的生活活方式及及嗜好等等医疗资源源数据和和理赔数数据客户信息息也包含含了与团团体客户户相关的的信息和和团险中中的个人人信息员工信息

员工信息指由公司维护的内、外勤信息，包括个人信息及其与公司的关系

补偿/补助金信息绩效评估身份证号、生日健康状况、福利政府需要的信息（包括种族、宗教、残疾或服役状况）这些，都都是机密密信息……什么是信信息安全相关的IT政策公司信息息安全组组织架构构InformationOwner/Representative信息所有有者/委派人机机制IT资源的合合法使用用接受和批批露公司司的机密密信息安全标准准与实践践保密意识识:数据密级级划分你的密码码办公环境境安全信息安全事件件呈报程序注意社交工程避免信息息安全常见错误你的责任主要内容容1-保密意识识:数据密级级划分公开数据(PublicData):信息拥有者确定能对外公布

如公司网站、市场新闻发布等

限制数据(RestrictedData):可能严重影响公司的法规遵守或经济状况、客户或特权

如公司战略、合并活并购、身份验证信息(PW/PIN)机密数据(ConfidentialData):公司必须保护的客户、员工和业务信息

如客户和员工隐私、客户投资组合、业务或部门策略、业务预算和财务报告、工资和奖金、审计报告等内部数据(InternalData):公司内部共享、非上述两种如员工通讯录、培训材料等请对下列列信息的的保密级级别进行行划分：：今天信息息安全培培训资料料业务系统统数据业务系统统用户密密码业务系统统加密密密钥问题2-你的密码码一个有趣趣的调查查发现，，如果你你用一条条巧克力力来作为为交换，，有70％的人乐乐意告诉诉你他（（她）的的口令有34％的人，，甚至不不需要贿贿赂，就就可奉献献自己的的口令另据调查查，有79％的人，，在被提提问时，，会无意意间泄漏漏足以被被用来窃窃取其身身份的信信息姓名、宠宠物名、、生日、、球队名名最常被被用作口口令平均每人人要记住住四个口口令，大大多数人人都习惯惯使用相相同的口口令（在在很多需需要口令令的地方方）33％的人选选择将口口令写下下来，然然后放到到抽屉或或夹到文文件里Passwordisyourtoothbrush,neversharewithothers.2-你的密码(续)3-办公环境安全全

客户名单

电话名单

密码清单

进入系统步骤

通告

项目方案计划

个人档案

财务资料

客戶往來信件

系统网络图

审计报告

业务统计

行销计划

法律文件

私人资料桌上拥有一切切……3-办公环境安全全(续)无人陪同的访访客遗忘在打印机机上的文档敏感信息传真真离座时的电脑脑屏幕在卫生间电话话物理安全比我我们想象的更更重要……InternalUse安全事件必須須以最速件处处理安全事件包括括﹝但不限于此﹞:机密信息曝光资料遭到破坏坏公司资产的遗遗失(手提电脑）系统资料完整整性发生问题题不适当的使用用密码非法使用公司司资源电脑病毒的侵侵袭欺诈其他侵入方式式4-信息安全事件件呈报如遇到/怀疑任何安全全事件，应立立即联络部门门主管及IT风险管理:ITRiskManager5-社交工程SocialEngineering,利用社会交往往(通常是在伪装装之下)从目标对象那那里获取信息息,例如：电话话呼叫服务中中心、在走廊廊里的聊天、、冒充服务技技术人员著名黑客KevinMitnick更多是通过社社交工程来渗渗透网络的，，而不是高超超的黑客技术术电影中的FBI、CIA也是如此他们的手段远远比黑客技术术更有效：瓦解心防——先与內部人员员建立关系，，再伺机从其其身上获取信息乔装——冒充他人以合合法授权或业业务需要为理由骗取权限或或信息偷窥——利用背後窥视视他人输入密密码，再以取得密码码进入系统获获取信息尾随——尾随合法人员员进入安全管管制区域搜寻废弃物——从中寻找被丟丟弃的信息InternalUse留意你的工作作环境将你的电脑及及工作区维持持在安全的状状态，以降低低未被授权者者趁你不在，，而从你处取取走或得到公公司机密等级级﹝含﹞以上上信息的机会妥善处置公司司机密等级﹝﹝含﹞以上的的信息，包括碎纸机机的使用离开座位时，，先将机密等等级﹝含﹞以以上的信息上锁离开座位时，，将电脑屏幕上锁(CTRL+ALT+DEL)设屏幕保护程序（（屏保）避免通过电子子邮件发送机密等级﹝含含﹞以上的信息(除已已加密文件)5-社交工程——ToDoList避免让陌生人人在办公区域域里随便走动动.应上前前询问并带领领他/她到要要找的人传真任何文件件时应事先检检查收件人传传真号是否正正确.如发发送机密性文文件,应事事先联系收件件人以确保收收件人在传真真机旁等候。。发送后必必须再次联系系收件人以确确保机密性文文件以全部收收到每天下班前必必须退出系统统并关机一个保险公司司的客户向你你要我们系统统中的客户资资料，你怎么么处理？讨论引用反黑客专专家的数据來來说明破解密密码是多么容容易的事尤其是选用通通俗字句或姓姓名缩写当密密码时密码规则密码最小长度度不得低于8位（含），并并且必须由下下列三种类型型字符中的两两类或以上构构成：大写字母（如如，A,B,C,...Z)和/或小写字母(如，a,b,c,...z)阿拉伯数字（（如，0,1,2,...9)特殊字符(如，?,!,%,$,#,等)6-避免常见错误误–弱密码令人惊讶的是是许多人让电电脑开著卻未未加以适当保保护就离开座位6-避免常见错误误–离座开屏当打开电子邮邮件时…邮件來自於泛泛之之交，或陌生生人许多人不假思思索就打开电电子郵件的附附件发送邮件时,先检查邮件件地址与收件件人姓名不要开启來自自於陌生人的的邮件及附件件。如果收到到多封同样的的邮件，雖然然它们有的來來自於你熟识识的人，亦不不要开启它。。马上刪除它!所有电子邮件件都将被过滤滤与监控以确确保它的安全全。6-避免常见错误误–电子邮件流览不安全的的网站加入聊天室聊聊天在公佈栏张贴贴讯息开启网络浏览器记忆密码的功功能下载与工作无无关的文件6-避免免常常见见错错误误-Internet一般般人人常常会会在在不不恰恰当当的的场场所所內內谈谈论论机机密密性性话话题题，，如