网络信息安全法规培训材料

网络信息安全培训材料网络信息安全法规培训材料全文共25页，当前为第1页。提纲第一部分第二部分学习活动安排知识宣贯网络信息安全法规培训材料全文共25页，当前为第2页。学习活动安排学习活动目标通过全员参与学习宣贯，切实提升全员客户信息安全保护意识，加强客户信息安全管理。学习活动范围信息系统部全体人员，重点为业务支撑系统后台维护人员及管理人员；第三方支撑维护人员及管理人员。主要学习内容全国人民代表大会常务委员会《关于加强网络信息保护的决定》;《信息安全技术公共及商用服务信息系统个人信息保护指南》;“五条禁令”及违规判定相关文件；客户信息安全保护相关文件；第三方安全管理办法。网络信息安全法规培训材料全文共25页，当前为第3页。提纲第一部分第二部分学习活动安排知识宣贯网络信息安全法规培训材料全文共25页，当前为第4页。第二部分知识宣贯1客户信息安全保护的重要性信息安全保护意识2第三方信息安全管理43信息安全保护手段网络信息安全法规培训材料全文共25页，当前为第5页。客户信息安全保护的重要性客户信息的界定

凡在我公司掌握的、未在社会公开渠道公布的信息均属于严禁对外泄露或交易的客户信息内容。包括在业务交互过程中客户主动提供给我公司的、以及我公司系统自动获取的客户信息内容。信息安全保护信息免受各种威胁确保业务的连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会网络信息安全法规培训材料全文共25页，当前为第6页。合作伙伴安全风险逐渐增加内部安全威胁不容忽视案例1：某省公司员工盗用积分兑换购物卡，某省公司营业员盗取多个“1390”号码高价倒卖。案例2：某省联通公司技术人员利用职务之便，非法为委托人获取其他公民的联通手机通话清单和短信清单电信企业客户信息安全保护风险安全威胁逐渐从网络层、系统层深入到应用层案例：不法SP利用WAP网关管理和技术漏洞进行业务强行定制。案例：某省公司开发商盗取用户详单倒卖给侦探公司，某省公司开发商盗取充值卡在网上出售。网络信息安全法规培训材料全文共25页，当前为第7页。客户信息安全保护的重要性随着信息技术的广泛应用和互联网的不断普及，个人信息在社会、经济活动中的地位日益凸显，滥用个人信息的现象随之出现，给社会秩序和个人切身利益带来了危害。作为业务支撑系统后台部门，根据历史经验教训，后台维护人员的客户信息安全保护的风险更高，更容易给个人和企业带来不良影响。保护网络信息安全，既是保障公民、法人和其他组织的合法权益，也是维护国家安全、社会公共利益和企业自身的利益。网络信息安全法规培训材料全文共25页，当前为第8页。第二部分知识宣贯1客户信息安全保护的重要性信息安全保护意识2第三方信息安全管理43信息安全保护手段网络信息安全法规培训材料全文共25页，当前为第9页。

（二）严禁发送违法信息，或未经客户同意发送商业广告信息；（三）严禁未经客户确认擅自为客户开通或变更业务；（五）严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其他侵害客户权益的行为。“五条禁令”是从保障客户基本权益出发，基于有关法律法规、行业政策以及公司现行有关规范制度制定的，旨在确保建立公司最基本的客户服务准则，是“底线”。“五条禁令”（四）严禁串通、包庇、纵容增值服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其他侵害客户权益的行为；（一）严禁泄露或交易客户信息；网络信息安全法规培训材料全文共25页，当前为第10页。“五条禁令”业务支撑维护支撑部门重点规避行为不得利用职务之便擅自查询客户信息，如因投诉处理、生产经营等需要查询的，必须有相关的审批记录和操作日志。不得擅自对外提供客户信息。不得违反省公司业务规范为客户查询信息。在协助客户查询信息时，不得利用职务之便查询超出客户查询要求或查询权限的其他信息。

网络信息安全法规培训材料全文共25页，当前为第11页。“五条禁令”在协助集团客户查询集团属性相关信息时，不得协助查询集团内个人客户付费业务或个人属性业务的相关信息（包括个人客户详单等通信信息）必须严格按照禁令规定，向有关司法机关及政府、消协等提供相关信息时，不得提供超出查询要求的信息，且必须保留相关查询凭证和操作记录。必须严格按照数据部及集团客户部下发的SP及SI合作管理办法，与合作伙伴签订保密协议或由保密条款约定，且必须明确提供客户信息的内容、范围及用途，不得提供超出合同内容的客户信息；不得在未取得客户确认的情况下，提供客户信息供合作伙伴开展商业活动；不得提供未经信息安全防护的客户信息文档。网络信息安全法规培训材料全文共25页，当前为第12页。“五条禁令”违规行为违反上述禁令的员工予以辞退；违反禁令造成严重后果的员工予以开除；违反禁令涉嫌犯罪的员工依法移送司法机关；指使他人违反禁令的领导人员、管理者将视同直接违反禁令予以处理；对违禁行为隐瞒不报、压案不查、包庇袒护的，从严追究有关领导责任，予以纪律处分，直至撤职。网络信息安全法规培训材料全文共25页，当前为第13页。全国人民代表大会常务委员会关于加强网络信息保护的决定网络服务提供者和其他企业事业单位在收集、使用公民个人电子信息时应当遵循的规则、保密条例和必须采取的必要措施。网络服务提供者在发布、传输信息时必须遵循的规则和法规。窃取或者以其他非法方式获取、出售公民个人电子信息行为属违法犯罪行为。任何人都有举报、控告和配合相关主管部门工作的义务，被侵权人可以依法提起诉讼。对有违反本决定行为的，从法律角度给予了明确的规定，包括依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。

为了保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益网络信息安全法规培训材料全文共25页，当前为第14页。信息安全技术公共及商用服务信息系统个人信息保护指南本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程，为信息系统中个人信处理不同阶段的个人信息保护提供指导。个人信息管理者和使用者的职责规划、设计和建立信息系统个人信息处理流程；制定个人信息管理制度、落实个人信息管理责任、指定专人专职。接受个人信息主体的投诉与质询；进行个人信息保护的教育培训活动；建立个人信息保护的内控机制，并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行核查。管控信息系统个人信息处理过程中的风险，制定应急预案；发现个人信息泄漏、丢失、篡改事件时及时采取应对措施，并及时告知受影响的主体；发生重大事件的，及时向个人信息保护管理部门通报。接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导，积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。网络信息安全法规培训材料全文共25页，当前为第15页。信息安全技术公共及商用服务信息系统个人信息保护指南个人信息管理者在使用信息系统对个人信息进行处理时，宜遵循以下基本原则：1、目的明确原则——处理个人信息具有特定、明确、合理的目的，不扩大使用范围，不在个人信息主体不知情的情况下改变处理个人信息的目的。2、最少够用原则——只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息。

3、公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。

4、个人同意原则——处理个人信息前要征得个人信息主体的同意。网络信息安全法规培训材料全文共25页，当前为第16页。信息安全技术公共及商用服务信息系统个人信息保护指南5、质量保证原则——保证处理过程中的个人信息保密、完整、可用，并处于最新状态。6、安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段，保护个人信息安全，防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。

7、诚信履行原则——按照收集时的承诺，或基于法定事由处理个人信息，在达到既定目的后不再继续处理个人信息。8、责任明确原则——明确个人信息处理过程中的责任，采取相应的措施落实相关责任，并对个人信息处理过程进行记录以便于追溯。网络信息安全法规培训材料全文共25页，当前为第17页。第二部分知识宣贯1客户信息安全保护的重要性信息安全保护意识2第三方信息安全管理43信息安全保护手段网络信息安全法规培训材料全文共25页，当前为第18页。金库模式“金库模式”也称为“双人操作”或“多人操作”模式，指对于涉及到公司高价值信息的高风险操作，强制要求必须由两人或以上有相应权限的员工共同协作完成操作，防止部分拥有高权限账号的操作人员滥用权限违规获取、篡改相关信息，通过相互监督、利益制约确保高风险操作和高价值信息的安全性。金库模式的实施应遵循如下基本原则：

A、聚焦关键系统、聚焦高风险操作、聚焦高价值信息；B、敏感操作，多人完成，分权制衡；C、授权不操作，操作不授权。金库模式实施的重点系统：CRM系统、ESOP系统、VGOP系统、主机、数据库等。网络信息安全法规培训材料全文共25页，当前为第19页。个人层面上传下载通讯互联浏览查询病毒木马传播身份伪造机密泄漏网络欺诈网页病毒攻击敏感信息泄漏文件共享病毒木马传播信息泄露电子商务身份伪造网络欺诈账号失窃病毒木马传播Bot扩散信息泄漏保护客户信息安全及其合法权益是安徽公司应承担的企业社会责任，安徽公司的各级员工应严格遵守“五条禁令”的相关要求，保护客户信息安全，严禁泄露、交易和滥用客户信息。但在日常工作中存在着各种信息泄露和丢失的风险。网络信息安全法规培训材料全文共25页，当前为第20页。日常防范严格按照规定设置您的办公终端（包括高强度密码、安装公司认可的防病毒软件、接入boss域的机器禁止接入双网卡）。同时注意定期扫描安全漏洞升级系统、定期查杀病毒等；清空桌子上的纸张、可移动储存介体及清除屏幕，特别注意个人暂时离开工作现场时一定要进行锁屏操作，以减少在规定工作时间外非法进入、丢失及损坏信息的风险；严格控制外来盘使用，重要文件经常备份；由于笔记本电脑的特殊性，笔记本电脑的使用者应当特别当心自己的电脑被偷盗和拿走，在公共区域使用笔记本电脑后，应该及时锁定或放置到安全的区域，注意在使用办公电脑进行信息共享时是否有泄露信息的风险。注意防范不明用户发来的email附件，这些附件可能隐藏了病毒、邮件炸弹和木马程序。网络信息安全法规培训材料全文共25页，当前为第21页。工作中采取必要的防范措施严格遵守“五条禁令”的相关内容，树立高度的客户信息安全保护意识；对于工作中接触到的客户信息严格保密，谨慎保管。对任何可能危害客户信息安全的行为，应及时制止，并向公司上级领导或安全员举报；规范使用4A系统访问各类敏感数据，配合安全审计工作。网络信息安全法规培训材料全文共25页，当前为第22页。第二部分知识宣贯1客户信息安全保护的重要性信息安全保护意识2第三方信息安全管理43信息安全保护手段网络信息安全法规培训材料全文共25页，当前为第23页。第三方信息安全管理对第三方公司的信息安全管理应遵循如下原则：“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。第三方公司必须与安徽公司签订保密协议，在协议中明确第三方公司的保密责任以及违约罚则；第三方公司应与其员工签订保密协议，在协议中明确第三方公司