信息技术安全政策及安全意识培训（PPT30页)

信息技术安全政策&信息安全意识培训2培训的目标掌握信息安全的基本概念、理念和惯例建立对信息安全的敏感意识和正确认识了解公司各项IT政策(用户相关)熟悉对应于IT政策的安全标准及流程清楚可能面临的威胁和风险在日常工作中养成良好的安全习惯意识制度行为3什么是信息安全相关的IT政策公司信息安全组织架构InformationOwner/Representative信息所有者/委派人机制IT资源的合法使用接受和批露公司的机密信息安全标准与实践保密意识:数据保密等级划分你的密码办公环境安全信息安全事件呈报程序注意社交工程避免信息安全常见错误你的责任主要内容4什么是“信息安全”?C保密性（Confidentiality）：非授权用户看不到。完整性（Integrity）：确保不会被非授权篡改、一致性。可用性（Availability）：确保授权用户想用的时候用得着。IA消息、信号、数据、情报和知识——有价值的内容是无形的，借助于信息媒体以多种形式存在或传播：•存储在计算机、磁带、纸张等介质中（数据、文件资料）•记忆在人的大脑里•通过网络、打印机、传真机等方式进行传播具有价值的信息资产面临诸多威胁，需要妥善保护5信息安全组织结构信息安全管理组织架构信息安全委员会InformationOwners-CEO，COO，CIO用户（Users)公司各部门、供应商/合作伙伴信息安全主管ITRiskManager业务信息安全主管InformationOwnerRepresentatives决策层协调/管理/执行层用户（内/外部）6信息所有者/委派人机制1)各体系内信息安全的最终责任人/接口人2)信息资源清单3)供应商ORE(OverallRiskEvaluation)评估4)应用系统风险评估5)重大安全事故调查6)用户系统权限审批7)数据需求/修改/使用审批8)应用需求(CR)和测试(UAT)审批9)记录和信息管理(RIM)10)审计发现审批执行信息所有者/委派人机制，公司所有业务相关信息（系统/数据）的所有者均为对应体系/部门最高负责人，以下具体流程工作可授权给委派人审批：71.业务系统数据所有者是谁？2.公司信息安全的谁的职责?讨论8IT资源的合法使用办公电脑/电话互联网电子邮件无线网络软件的获取/使用防病毒软件……1.回归常识，用户都应有良好的行为判断，不确定处联系IT2.公司允许因家庭和私人事务而偶尔使用上述IT资源，但是不得影响工作、其他业务需求或违反法律或公司制度3.滥用或违反政策将受到处分，包括直接中止雇佣关系(同样适用于以下所有IT政策)对上述所有公司IT资源的使用，用户请记住三点：9公司已签署公安部《计算机信息网络国际联网单位信息安全保卫责任书》，责任书明确要求：IT资源的合法使用(续)公司会对员工上网行为进行记录公安部会随时进行检查员工在上网时请不要从事非工作以及必要信息检索以外的行为，如果有任何不适当的言论行为，可能导致公司受到警告，罚款，停止联网，停机整顿等严厉处罚，个人也需要承担相应的法规责任。意味着什么三、不利用国际联网制作、复制、查阅和传播下列信息：(一)煽动抗拒、破坏宪法和法律、行政法规实施的；(二)煽动颠覆国家政权，推翻社会主义制度的；(三)煽动分裂国家、破坏国家统一的；(四)煽动民族仇恨、民族歧视，破坏民族团结的；(五)捏造或者歪曲事实，散布谣言，扰乱社会秩序的；(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；(七)公然侮辱他人或者捏造事实诽谤他人的；(八)损害国家机关信誉的；(九)其他违反宪法和法律、行政法规的10IT资源的合法使用(续)出差时，笔记本电脑必须随身携带（不得作为行李托运）不得自行下载或安装软件谨慎使用无线网络谨慎使用智能手机任何安全事件须及时上报ITHelpdesk/ITRisk特别注意11机密信息批露的决定必须由相关部门适当级别管理层做出（即信息所有者/委派人）在任何机密信息放开给第三方之前，必须先签署保密协议针对密级为保密和限制信息的传统介质，公司员工应执行“桌面清理”政策机密或限制性信息的销毁，应按照“确保无法复原”的原则进行必须执行保密协议规定的条款，保证不以任何方式泄露或复制第三方提供的机密性信息并不将第三方机密性信息用于公司之外的业务详细信息联系，CEO/CIO/ITRisk接受和批露机密信息12接受和批露机密信息(续)客户信息业务信息•价格和其他产品相关信息•公司业务运行的信息•客户和潜在客户清单•业务计划和业务财务状况•其他承诺保密的信息申请或购买产品及服务的个人，包括被保险人、理赔申请人、受益人和其他•基本信息–姓名、地址、电话和年龄•号码–身份证号、账户或投资者身份编号、信用卡号码以及用户名、密码等•财务信息–收入、财产、负债和信用历史记录•健康状况信息–医疗记录和处方信息•其他个人信息–驾驶记录、爱好和客户的生活方式及嗜好等•医疗资源数据和理赔数据•客户信息也包含了与团体客户相关的信息和团险中的个人信息员工信息员工信息指由公司维护的内、外勤信息，包括个人信息及其与公司的关系•补偿/补助金信息•绩效评估•身份证号、生日•健康状况、福利•政府需要的信息（包括种族、宗教、残疾或服役状况）这些，都是机密信息……13什么是信息安全相关的IT政策公司信息安全组织架构InformationOwner/Representative信息所有者/委派人机制IT资源的合法使用接受和批露公司的机密信息安全标准与实践保密意识:数据密级划分你的密码办公环境安全信息安全事件呈报程序注意社交工程避免信息安全常见错误你的责任主要内容141-保密意识:数据密级划分公开数据(PublicData):信息拥有者确定能对外公布•如公司网站、市场新闻发布等限制数据(RestrictedData):可能严重影响公司的法规遵守或经济状况、客户或特权•如公司战略、合并活并购、身份验证信息(PW/PIN)机密数据(ConfidentialData):公司必须保护的客户、员工和业务信息•如客户和员工隐私、客户投资组合、业务或部门策略、业务预算和财务报告、工资和奖金、审计报告等内部数据(InternalData):公司内部共享、非上述两种•如员工通讯录、培训材料等15请对下列信息的保密级别进行划分：1.今天信息安全培训资料2.业务系统数据3.业务系统用户密码4.业务系统加密密钥问题162-你的密码一个有趣的调查发现，如果你用一条巧克力来作为交换，有70％的人乐意告诉你他（她）的口令有34％的人，甚至不需要贿赂，就可奉献自己的口令另据调查，有79％的人，在被提问时，会无意间泄漏足以被用来窃取其身份的信息姓名、宠物名、生日、球队名最常被用作口令平均每人要记住四个口令，大多数人都习惯使用相同的口令（在很多需要口令的地方）33％的人选择将口令写下来，然后放到抽屉或夹到文件里17Passwordisyourtoothbrush,neversharewithothers.2-你的密码(续)183-办公环境安全客户名单电话名单密码清单进入系统步骤通告项目方案计划个人档案财务资料客戶往來信件系统网络图审计报告业务统计行销计划法律文件私人资料桌上拥有一切……193-办公环境安全(续)无人陪同的访客遗忘在打印机上的文档敏感信息传真离座时的电脑屏幕在卫生间电话物理安全比我们想象的更重要……InternalUse20安全事件必須以最速件处理安全事件包括﹝但不限于此﹞:机密信息曝光资料遭到破坏公司资产的遗失(手提电脑）系统资料完整性发生问题不适当的使用密码非法使用公司资源电脑病毒的侵袭欺诈其他侵入方式4-信息安全事件呈报如遇到/怀疑任何安全事件，应立即联络部门主管及IT风险管理:ITRiskManager215-社交工程SocialEngineering,利用社会交往(通常是在伪装之下)从目标对象那里获取信息,例如：电话呼叫服务中心、在走廊里的聊天、冒充服务技术人员著名黑客KevinMitnick更多是通过社交工程来渗透网络的，而不是高超的黑客技术电影中的FBI、CIA也是如此他们的手段远比黑客技术更有效：瓦解心防——先与內部人员建立关系，再伺机从其身上获取信息乔装——冒充他人以合法授权或业务需要为理由骗取权限或信息偷窥——利用背後窥视他人输入密码，再以取得密码进入系统获取信息尾随——尾随合法人员进入安全管制区域搜寻废弃物——从中寻找被丟弃的信息InternalUse22留意你的工作环境将你的电脑及工作区维持在安全的状态，以降低未被授权者趁你不在，而从你处取走或得到公司机密等级﹝含﹞以上信息的机会妥善处置公司机密等级﹝含﹞以上的信息，包括碎纸机的使用离开座位时，先将机密等级﹝含﹞以上的信息上锁离开座位时，将电脑屏幕上锁(CTRL+ALT+DEL)设屏幕保护程序（屏保）避免通过电子邮件发送机密等级﹝含﹞以上的信息(除已加密文件)5-社交工程——ToDoList避免让陌生人在办公区域里随便走动.应上前询问并带领他/她到要找的人传真任何文件时应事先检查收件人传真号是否正确.如发送机密性文件,应事先联系收件人以确保收件人在传真机旁等候。发送后必须再次联系收件人以确保机密性文件以全部收到每天下班前必须退出系统并关机23一个保险公司的客户向你要我们系统中的客户资料，你怎么处理？讨论24引用反黑客专家的数据來说明破解密码是多么容易的事尤其是选用通俗字句或姓名缩写当密码时密码规则密码最小长度不得低于8位（含），并且必须由下列三种类型字符中的两类或以上构成：•大写字母（如，A,B,C,...Z)和/或小写字母(如，a,b,c,...z)•阿拉伯数字（如，0,1,2,...9)•特殊字符(如，?,!,%,$,#,等)6-避免常见错误–弱密码25令人惊讶的是许多人让电脑开著卻未加以适当保护就离开座位6-避免常见错误–离座开屏26当打开电子邮件时…邮件來自於泛泛之交，或陌生人许多人不假思索就打开电子郵件的附件发送邮件时,先检查邮件地址与收件人姓名不要开启來自於陌生人的邮件及附件。如果收到多封同样的邮件，雖然它们有的來自於你熟识的人，亦不要开启它。马上刪除它!所有电子邮件都将被过滤与监控以确保它的安全。6-避免常见错误–电子邮件27流览不安全的网站加入聊天室聊天在公佈栏张贴讯息开启网络浏览器记忆密码的功能下载与工作无关的文件6-避免常见错误-Internet28一般人常会在不恰当的场所內谈论机密性话题，如：餐厅酒店电梯间盥洗室6-避免常见错误–大声说话29确定你及你周围的人有妥善保护机密级(或上)的公司信息你必須为你的用户帐号所从事的一切活动负全部责任确实遵循桌面清空规定、办公环境安全向主管及信息安全管理人员汇报信息安全事件当信息不再需要時，作适当的销毁或处置（如使用碎纸机）……认真阅读相关IT政策，并遵守记住公司信息安全管理人员电话xxxx7-你的责任307-你的责任(续)Ifnotyou,who?Ifnotnow,when?