用戶信息安全培訓.

Slides:



Advertisements
Similar presentations
酒店的类型 为了满足人们各种不同的 需要,就出现了各种类型的 酒店。. 十种分类方法 提出者: 英国旅游学家、萨里大学宾馆餐饮 与旅游系主任迈德利克教授 专著:《 宾馆业 》
Advertisements

偵辦侵害營業秘密犯罪之執行情形 法務部調查局. 一、前言 ( 一 )102 年 1 月 30 日公告施行營業秘密法 ( 一 )102 年 1 月 30 日公告施行營業秘密法 修正案,增加侵害營業秘密之刑事 修正案,增加侵害營業秘密之刑事 責任,對於意圖在境外使用而竊取 責任,對於意圖在境外使用而竊取.
国家税务总局关于修改企业所得税年度纳税申报表( A 类, 2014 年版) 部分申报表的公告(国家税务总局公告 2016 年第 3 号) 一、对《企业基础信息表》( A )及填报说明修改如下: (一) “107 从事国家非限制和禁止行业 ” 修改为 “107 从事国家限制或禁止行业 ”
2014 年 12 月 企业所得税年度纳税申报表 (A 类, 2014 版 ) 辅导材料(二) A 企业基础信息 A 主表.
1 計量技術人員考訓制度. 2 簡 報 大 綱 計量考訓制度簡介 應考須知說明 考試範圍內容、題型及配分權重.
汕头大学医学院 学年学分制学籍管理办法 科教处 - 学籍教材科 郑少燕 2006 - 9 总 则 ♠ 在本校学习的学生,应当政治思想高;应当爱国 勤劳、自强不息,应当遵纪守法,应当刻苦学习, 勇于探索,积极实践,努力掌握现代科学文化知 识和专业技能,应当积极锻炼身体,具有健康体 魄。
1 江苏弘盛建设工程集团有限公司 建筑施工现场安全教育. 2 第一部分 脚手架事故案例分析 案例一: 2007 年 11 月 6 日,西安市南大街正在施工的 百货大厦西侧一个近 50 米长、 20 多米高的脚手架发生 倒塌。事故造成 3 女 1 男 4 人受伤。 分析原因:该项目经调查为非法工程,建设单位未.
LOGO 财 务 管 理财 务 管 理 河套学院经济管理系 王海燕. LOGO 第七讲 : 财务报告分析.
徐州工业职业技术学院. 人才市场需求 2013 年我国安全类专业统计表 学历层次专业名称专业代码毕业生数招生数在校生数开设学校数 本科 安全工程 专科 安全技术管理 中专 0000.
企业产品成本核算制度(试行) 培训课件 河北涿州 2013年11月15日.
2014年度部门决算 肇庆市财政局绩效评价科 2014年12月.
小一家長會 訓育訊息 德性培育組 余家濂主任
景观水池渗漏的研究 年级专业:12级土木工程 指导教师: ××× 教 学 点: ××××教学点 新疆工程学院继续教育学院 20 年 月 日
绿 色 植 物 在 家 庭 居 室 空 气 污 染 控 制 中 的 作 用 小组成员:.
科技档案管理 主讲:王莉敏.
大商所合约、交割制度相关 重点问题介绍 农业品事业部 二〇一二年三月
上海九晶电子材料股份有限公司 招聘简章.
公司简介 广东中人集团建设有限公司,于2003年6月由原中人企业(集团)所属的工程建设主营业改制成立,是完全按照现代企业制度规范运行的投资主体多元化的国有企业。注册资本3亿元。是广东省广晟资产经营有限公司管理的一级集团。 公司经国家建设部核定为一级建筑施工企业,拥有房屋建筑工程和公路工程施工两个总承包一级资质,建筑智能化工程、装饰装修工程、电信工程、爆破与拆除工程四个专业承包一级资质;拥有通信信息网络系统集成乙级资质,广东省安全技术防范系统设计、施工、维修资格证(一级),广东省有线广播电视台工程设计(安装
政府採購錯誤行為態樣 報告人:張錦川 日 期:96年7月.
現代中國 議題: 「一帶一路」.
2015年广东省有色金属学会铝加工专业委员会工作总结
2009年周口市公共机构高效照明产品推介会
工程定额与计价方法 教材名称:工程建设定额原理与实务
《国民经济行业分类》 讲座 2011年10月.
卫生处理单位安全质量检查考核评分表释义 刘 云 凯 天津出入境检验检疫局 2007年5月.
实验室资质认定评审准则.
阳光工程引导性培训 宁夏自治区盐池县农广校
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
本章主要内容 工伤保险的功能与实施原则 工伤保险的范围与工伤认定 工伤保险基金 工伤的劳动能力鉴定 工伤保险的待遇 工伤预防与工伤康复
《毛泽东思想和中国特色社会主义体系概论》 第一章马克思主义中国化两大理论成果
K3RISE专业版V12.3 网上银行培训课件 金蝶软件上海营销中心 上海普浪信息技术有限公司
運輸安全白皮書(Ⅲ) 軌道安全篇 主辦單位:運輸安全組.
《中华医学百科全书》 释文编写要点
2010年春季开学学校食堂食品安全知识培训 徐汇区食品药品监督所
微博红人:留几手.
检验检测机构资质认定 评审准则要点相关解读
进出口食品检验监管 基础讲课内容 我国进出口食品安全管理体系介绍 法律法规 进口食品的检验检疫 出口食品的检验检疫.
招投标知识培训 培训人: 日期:2011年04月08日 西安翼舞时风数码科技有限公司.
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
健康上网 初一3班 王诗婷.
授课班级 安全技术管理0605班 第 5 次 课 授课时间 2008年3月10日 星期一 授课地点 科技楼401多媒体教室 课题内容:
东方君泰(北京)信息技术有限公司 企 业 宣 传 中国机械和汽车翻译的首选品牌 二零一二年四月.
资产评估准则——不动产 讲 解 主讲人: 肖 力.
我的学校——达县职高 制作人——高一计算机应用二班王天.
2015湖南省建筑工程验收备案各类往来文函用表特点及要求
總務處營繕組簡報 1.業務職掌 2.九十四年度工作績效 3.工程一覽 4.歷年工作成果 5.未來展望 6.困難及建議.
『兩岸四地- 校園節能文化推廣』 座談會 2008年1月26日 澳門大學 校園管理總監 宋傑堯.
第一章 互换性与标准化 学院:工程学院 姓名:农机化教研室 电话:
中国教科文卫体工会全国委员会 陈志标 (2012年5月9日,中山大学)
2014年企业所得税汇算清缴相关税收政策 新华区地方税务局 卿继红
中石化胜利油田孤岛采油厂 二零一四年七月.
海南省重点营运车辆联网联控系统考核管理暂行办法交流材料
东宝大厦简介及服务特色.
滨海学坛 周刊 总第13期 2012年10月22日 本期编辑:李秀青 温州滨海学校教科室主办.
质量管理 刘春霞
东北师大理想信息技术研究院 院长 中国教育软件协会 副主任 英国计算机与自动化学会 顾问
电子病历系统应用水平 分级标准及案例解读 安徽省立医院 徐冬 黄山.
厚积十年 今朝爆发 【名邦】全国城镇市场拓展之燎原计划 关爱女性健康 专注城镇市场.
企业产品执行标准备案 登记办事规程 深圳市标准技术研究院 标准审查部.
一、服务价值 1、目前有27家店。主要分布在北京、上海、天津、郑州、西安等大城市 2、理念:服务至上,顾客至上
读书报告要求 每人写一篇读书报告。 要求,对学习这门课程之后形成的对计算机科学的一个总的、一般的认识,但不要泛泛而论。
第七节 标点符号 目 录 一 标点符号的含义 二 标点符号的重要性 三 标点符号的作用 四 标点符号的变异形式 五 标点符号的灵活性
纳税指南 二○一一年第九期 主办:青岛市市北国家税务局.
財物及勞務採購作業程序及注意事項 報告人 劉麗琴
产品使用说明标准和应用 冯 卫 2012年9月.
我国标准体制改革路径:社会团体标准 程虹 武汉大学质量发展战略研究院 教授 博导 院长 2014年9月25日.
2018 资产管理处 采购系统简介.
GB/T 服务业组织标准化工作指南 2010年1月 黄山.
方案假設 因果連結 (如果…就會…) 將問題情況轉變為所需服務 確保方案的合理性 利於方案評估 例:青少年墮胎
Presentation transcript:

用戶信息安全培訓

內容 何謂信息安全? 我們所提供的信息安全 信息安全保密及防洩密工作 中遠香港系統與當前信息安全策略 問答環節

1. 何謂信息安全?

何謂信息安全? 信息安全的定義是指對數 據及信息在以下四大範疇 上的維護: 保密性 完整性 可用性 真實性

信息安全的定義 保密性 – 確保信息只能被已授權的人士存取,信息不會被 完整性 - 維護信息的精確度和完整性 , 及其處理的方 保密性 – 確保信息只能被已授權的人士存取,信息不會被 泄漏未經授權的人士。 完整性 - 維護信息的精確度和完整性 , 及其處理的方 法。信息不會被未經授權的人隨意修改。 可用性 - 確保已授權的人士能在有需要時可以存取相關 的信息。 真實性 – 保證對電腦信息及信息系統實施安全監控。

為什麼需要信息安全? 任何對信息安全損害的結果, 將會對您及公司導致: 法律上的起訴 財產上的損失 營運上的阻礙 失去他人的信任

哪裡? 在哪裡可找到信息? 紙張 : 文字記錄 、商業檔案 、文件 、垃圾桶、客戶 資料、統計數據、報價、規章制度、計劃書 紙張 : 文字記錄 、商業檔案 、文件 、垃圾桶、客戶 資料、統計數據、報價、規章制度、計劃書 數碼 : 磁碟 , 光碟, 電腦之間的傳遞 , 郵件 言談之間

誰的責任? 什麼人需要保護這些信息資產? 每一個人!! 是, 這包括您的參與!

為什麼? 為什麼一定要實行? 可不可以由他人負責… 這形同將一條環環相扣的鐵鍊切斷!!

“黑客能夠利用互聯網的瀏覽器盜取密碼及資料”

“…黑客可透過互聯網入侵美軍重地 , 盜取軍方用於戰艦、火箭及衛星導航的密碼”

關於計算機罪案的種類 非法入侵 (未授權的存取, 有犯罪目的之存取) 非法的破壞 網上的詐騙 濫用他人的帳號 線上偷竊 違法的資訊/網頁 非法使用關於即時網絡通信 的工具

香港的電腦機罪案統計數字 年 份 總 計 2008 791 2007 634 2006 741 2005 653 2004 560 2003 588 2002 272 來源:香港電腦保安事故協調中心

09年香港發生的主要信息安全事件 消防處超過60份政府限閱文件被透過檔案分享軟件“Foxy”在互聯網上洩漏 載有個人資料的警方機密文件在互聯網上洩漏 公開大學遺失了一個載有公大學生及導師個人資料的USB記憶體 聯合醫院遺失一具載有病人個人資料的電子儲存媒體 出現疑似匯豐、中銀等銀行之虛假網站 來源:香港電腦保安事故協調中心

2. 我們所提供的信息安全

中遠香港集團應採用什麼策略對付電腦罪行呢?

怎能夠達到對付電腦罪行目的? 安全控制 技術 管理 物理 職員

技術層面 保護的方式 備份及恢復 密碼控制 存取授權 大批控管 在系統安裝時 執行用戶控管 加密 管理報告書

管理 保護方式 系統文檔 信息分類 使用者程序 簽署權力 授予權限

職員 為工作崗位選用 適當的人擔任 適當隔離主要的功能 保護方式 避免職權的衝突 培訓 適當的授權及定期回顧 員工的安全許可限制 雙重控管

3. 信息安全保密及防洩密工作

09年9月份用戶保密及防洩密安全檢查結果

我們可以做些什麼?

有些部分需要您的參與 技術 - 密碼控管 - 存取授權 - 病毒控管 - 無線網絡加密 - 安裝補丁及定期更新 管理 - 安全權責 - 系統文檔管理 職員 - 適當隔離主要的功能 - 突發安全事件報告

密碼控管 所以, 不用與別人共用您的密碼 您 有責任保管所有屬於您的用戶帳號及密碼. 這包括: 不在所有帳號使用單一密碼 不能用同事的帳戶登入 不能用筆寫在任何地方 不能將密碼告訴別人 當不用/離開系統時立即登出 時常更換密碼及 選用較安全的密碼…

良好的密碼規則 密碼應 : 不少於六至八個字母的長度 不能在詞典內找到 不能和您的帳戶號碼相同 與您的一些公開資料無關 必需由一些字母、數字、 標點符號或特別符號組成 應該包含大寫及小寫的字母(若系統是可辨認的)

存取及授權的管制 存取權分配是根據實際需要及盡量收緊至可行權限 存取權不可與利益有衝突

病毒控管 病毒的入侵可造成下列的影響 : 影響用戶的日常操作 不能夠登入電腦或存取數據 損失或破壞數據 不可靠的應用程式 屏幕出現不正常的訊息 系統衝突 花費除毒的時間及人力

防衛病毒指引 促將有效的防病毒消病毒軟件安裝於本單位所有信息系統中,確保更新該軟件及每天更新防範資料 不得在單位信息系統中安裝、運行非法軟件或未經本單位信息安全負責人認可的軟件 收到來歷不明的電郵,特別是含有可執行的附件(.exe、.vbs等)時,不可隨意打開 嚴禁訪問不良網站或利用網絡進行電子遊戲,以免傳播病毒 嚴禁從可疑網站或通過eDonkey、BT等軟件進行下載 在中遠網絡技術人員的指導下做好電腦病毒的日常防範工作和有關數據的定期備份工作。

無線加密 沒有加密的網絡的危機 並非法進入者了解你的一舉一動 偷取你上網過程中使用的用戶名及密碼 偷取你在閱讀的電郵信息 攻擊網絡中的計算機,盜取數據或使其無法運作 如無線網絡連接公司主網絡,黑客更可進入公司網絡進行攻擊或盜取數據 在家中、辦公室使用無線路由器,必須設置WPA級別之加密措施,有關技術協助請向中遠網絡查詢

安裝補丁及定期更新 中遠香港集團辦公室電腦已設置集中補丁及更新 請為您的筆記本電腦及家中電腦定期進行安裝安全補丁及軟件更新 使用正版操作系統及防毒軟件可確保你得到補丁及軟件更新支持

信息分類 委任信息安全責任人 員工必須遵守信息安全責任書所列的規定 個別員工須對各單位內的信息安全作進行管理並承擔責任 加入用戶帳號領用規定 加強管理工作 委任信息安全責任人 員工必須遵守信息安全責任書所列的規定 個別員工須對各單位內的信息安全作進行管理並承擔責任 加入用戶帳號領用規定 為各種信息安全責任,以嚴重性、危害性作分類,明確信息安全賞罰制度 中遠網絡交付各單位的系統文檔,應由各單位之行政部門保管,系統使用者不得管有系統文檔 要求集團各部及各下屬公司委任信息安全責任人,根據網絡公司訂立的工作說明,負責單位內的信息安全事務,並代表單位與中遠網絡及信息安全委員會溝通協調 由網絡公司制定員工信息安全責任書,集團所有員工必須遵守責任書所列的規定。個別員工須對各單位內的信息安全作進行管理並承擔責任 應進一步加入用戶帳號領用規定,要求員工細閱帳號管理規定後才給予使用 集團規章制度內沒有明確信息安全賞罰制度,可由網絡公司為各種信息安全責任,以嚴重性、危害性作分類,再由集團相關部門決定懲處事宜,並加入集團規章制度內以便執行

信息分類 限制機密資料 養成離開座位時手動鎖定屏幕的習慣,以防資料被盜取 禁止在聯網的電腦上處理和存儲涉密文件 提高保密意識,在使用單位信息系統傳輸信息時,應防止泄漏單位的密級資料。 密級(含密級)以上的文件資料在信息系統中使用時應採取一定的保護措施,存儲時不得存儲在電腦硬盤上,而應與信息系統隔離單獨保存,也不得利用電腦網絡進行傳輸。 所有單位購置信息設備時,如非經中遠網絡購買,則必須向中遠網絡申報,否則不允許連接香港集團信息網絡。 統一集團信息系統及客戶端設備的棄置及處理辦法,所有儲存各單位信息的硬盤、移動載體,應交中遠網絡處理後方可棄置。光盤、軟盤等載體,由各單位行政部門經銷毀後妥善棄置。

信息分類 嚴禁製作、傳播、複製、接收、瀏覽有礙社會治安的不良信息和垃圾信息。 各員工在使用電子郵件發送信息時,應防止泄漏單位機密資料 員工的限制 嚴禁製作、傳播、複製、接收、瀏覽有礙社會治安的不良信息和垃圾信息。 各員工在使用電子郵件發送信息時,應防止泄漏單位機密資料 其他重要資料,例如人事檔案、財務檔案、企業規劃等信息及其載體,如必須連接在信息系統中使用,則應採用特殊的保護密碼軟件進行保護,或只在指定的信息設備上單獨使用(即與信息系統物理隔離),且該信息設備以加鎖等方法實施保護。

信息分類 集團對外的信息發佈必須上報集團審批通過後才可發佈。 公開的信息 集團對外的信息發佈必須上報集團審批通過後才可發佈。 當突發事件發生後,對傳媒的講話口徑必須經集團領導審定,只有得到批准後,才能對外發佈。

什麼是安全突發事件? 病毒/蠕蟲/木馬程式感染 來歷不明的郵件, 垃圾郵件 未授權使用別人的帳戶 遺失或被偷竊手提電腦 未授權的物品存取 發現可疑人物在進行竊聽、嘗試非法進入網絡 立即向當值上級或中遠網絡技術人員報告

4.中遠香港系統與當前信息安全策略

2009年中遠香港集團信息安全工作思路 中遠香港集團王富田總裁年度總體工作思路“控風險、精管理、保安全、穩發展、多創效” 中遠香港集團陳景德副總裁年初在信息安全分委上提出“通過 “三防”,即“防丟失、防洩密、防病毒”來實現“三保”,即“保暢通、保安全、保穩定”的工作目標

中遠香港集團安全突發事件處理程序

中遠香港集團信息安全政策 參考標準 採用安全標準 (如ISO 17799/ ISO 27001) 作為安全管理的基礎 , 同時參照其他相關國際、國內的標準、法律執行, 進一步提高安全水平。相關標準如下: 以下是一些可參考的國際標準: ISO/IES 17799 信息技術—信息安全管理實用規則 ISO/IES 13335 信息技術—IT安全管理指南 ISO/IEC 15408 信息技術—安全技術—IT安全評估標準 ISO/IEC 21827 信息技術—系統安全工程—能力成熟度模型 以下是一些可參考的國內標準: GB 17859- 1999 計算機信息安全保護等級劃分准則 GB/T 18336- 2001 信息技術安全性評估準則 GB/T 19716- 2005 信息技術 信息安全管理實用規則

中遠香港集團信息安全政策 集團下設信息安全分委會,由集團領導為主任 ,各歸口公司為委員,中遠網絡為技術顧問及執行單為 信息安全分委會具體負責中遠香港的信息事務和發展工作 跟據《中遠集團計算機系統信息安全管理指南》,每年對香港集團的信息安全情況作自評 執行《中遠集團2008年信息安全保密檢查工作》 設立《信息安全應急預案》,所有系統發生難以修復之問題,都通過應急預案流程處理

中遠網絡信息安全工作 (技術) 於06至07年全面升級網絡及服務器系統 已於重要系統 (如郵件、上網服務) 建立冗餘設施,容許服務器發生故障或進行定期維護時能維持服務。 防病毒系統中央及實時監控 完善的數據備份和重要服務備份方案 使用了SSL作網站登入,出差需使用SSL-VPN連接公司網 實時監控網絡設備及機房狀況,發現問題時可即時通知網絡技術人員 編制「服務器回復手冊」,確保所有恢復工具(如光盤、磁帶機等)準備就緒,減少服務器停機時間 對Token認證方式進行調研,但由於利用Token認證需要硬件投資、軟件改動等,費用高昂,建議選擇一些需要高度保密的應用系統(如人事系統、財務系統、薪金管理系統等),研究加入Token認證系統的可能性。 對筆記本電腦、手機等移動設備的訪問控制方案進行調研,並制定解決方案。如設備沒有安裝或配置操作系統以外的訪問控制措施,將不能訪問香港集團網絡 對現在集團各網絡區間的訪問需求作調研,訂立訪問權限表。 完成上述網絡分區訪問權限表後,如日後需修改,則必須通過流程作申請,並知會各區間的所屬單位 在所有系統進行交付時,必需執行「系統交付信息安全檢查」,由供應商提供合理的測試,並由網絡公司確認 制定及統一所有系統的變更流程,必須讓用戶參與。如變更對系統安全做成影響,開發或管理人員必須讓用戶清楚了解當中風險。用戶經過功能和成本考慮系決定是否執行變更 建立弱點報告匯報流程,當信息系統於日常工作時被發現含弱點,則須馬上向上級匯報, 並以流程統一處理方法及紀錄在案,避免弱點因延誤處理而演變成重大問題 為主要應用系統訂立連續性方案,但由於系統眾多,操作非常複雜,建議先對電子郵件、Internet瀏覽及綜合信息管理平台制定方案 須配置微軟Configuration Manager 2007應用服務,實時檢測服務器是否符合安全策略要求

中遠網絡信息安全工作 (管理) 已通過SMS報告系統、 中遠網絡工作台及工貿安全網,為安全事件進行實時收集和關連 所有安全事故和信息安全工作會作詳細記錄 帳號建立及注銷流程 已經建立了有效的安全事件匯報流程 已制定處理事故之應急預案 不斷檢討並進一步加強各應用系統的安全性 加強門卡管理, 重新登記及整理集團內所有員工的門卡,確保員工只能進入被允許的範圍,並進行詳細記錄。日後改動門卡時必須通過流程,以免日後紀錄出現混亂情況。 為集團員工進行信息安全培訓 要求集團各部及各下屬公司委任信息安全責任人,根據網絡公司訂立的工作說明,負責單位內的信息安全事務,並代表單位與中遠網絡及信息安全委員會溝通協調 由網絡公司制定員工信息安全責任書,集團所有員工必須遵守責任書所列的規定。個別員工須對各單位內的信息安全作進行管理並承擔責任 編制「服務器回復手冊」,確保所有恢復工具(如光盤、磁帶機等)準備就緒,減少服務器停機時間 ,應進一步加入用戶帳號領用規定,要求員工細閱帳號管理規定後才給予使用 對Token認證方式進行調研,但由於利用Token認證需要硬件投資、軟件改動等,費用高昂,建議選擇一些需要高度保密的應用系統(如人事系統、財務系統、薪金管理系統等),研究加入Token認證系統的可能性。 將進一步加入用戶帳號領用規定, 要求員工細閱帳號管理規定後才給予使用 對筆記本電腦、手機等移動設備的訪問控制方案進行調研,並制定解決方案。如設備沒有安裝或配置操作系統以外的訪問控制措施,將不能訪問香港集團網絡 對現在集團各網絡區間的訪問需求作調研,訂立訪問權限表。 完成上述網絡分區訪問權限表後,如日後需修改,則必須通過流程作申請,並知會各區間的所屬單位 在所有系統進行交付時,必需執行「系統交付信息安全檢查」,由供應商提供合理的測試,並由網絡公司確認 制定及統一所有系統的變更流程,必須讓用戶參與。如變更對系統安全做成影響,開發或管理人員必須讓用戶清楚了解當中風險。用戶經過功能和成本考慮系決定是否執行變更 建立弱點報告匯報流程,當信息系統於日常工作時被發現含弱點,則須馬上向上級匯報, 並以流程統一處理方法及紀錄在案,避免弱點因延誤處理而演變成重大問題 為主要應用系統訂立連續性方案,但由於系統眾多,操作非常複雜,建議先對電子郵件、Internet瀏覽及綜合信息管理平台制定方案 須配置微軟Configuration Manager 2007應用服務,實時檢測服務器是否符合安全策略要求 集團規章制度內沒有明確信息安全賞罰制度,可由網絡公司為各種信息安全責任,以嚴重性、危害性作分類,再由集團相關部門決定懲處事宜,並加入集團規章制度內以便執行 中遠網絡交付各單位的系統文檔,應由各單位之行政部門保管,系統使用者不得管有系統文檔

最後總結 。 技術, 員工, 程序制管是互相交纏 中遠香港集團的信息安全需要我們每個人的參與

謝 謝 (問答環節)