信息技术安全政策及安全意识培训
信息安全意识教育与培训
信息安全意识教育与培训信息安全是当今社会中一个非常重要的议题。
随着科技的迅猛发展和互联网的普及应用,我们越来越依赖网络和信息技术,但同时也面临着越来越多的信息安全风险和威胁。
为了维护个人和组织的信息安全,信息安全意识教育与培训的重要性日益凸显。
一、信息安全的意义及其挑战信息安全是指对信息和信息基础设施免受未经授权的访问、使用、泄露、干扰、破坏的能力或状态的保护。
信息安全的意义主要体现在以下几个方面:1. 个人隐私保护:信息安全能够保护个人敏感信息,避免个人隐私被泄露和滥用。
2. 企业商业秘密保护:信息安全可以帮助企业保护商业秘密和核心竞争力,避免竞争对手获取敏感信息。
3. 国家安全维护:信息安全是国家安全的重要一环,保护重要信息免受敌对势力的攻击和破坏。
然而,信息安全也面临着各种挑战。
网络攻击、病毒传播、网络钓鱼等威胁不断涌现,信息安全形势日益严峻。
因此,提高信息安全意识,增强信息安全防护能力迫在眉睫。
二、信息安全意识教育的重要性信息安全意识教育是提高个人和组织安全防护能力的重要手段,具有以下重要性:1. 增强风险意识:信息安全意识培训能够帮助人们更好地认识到信息安全风险的存在和威胁的严重程度,从而增强风险防范意识。
2. 掌握安全技能:通过信息安全意识教育,人们可以学习各种信息安全技能,如密码管理、防范网络钓鱼等,提高自身的信息安全保护能力。
3. 形成安全习惯:信息安全意识教育可以帮助人们养成良好的信息安全习惯,如定期更换密码、不随意点击可疑链接等,从而减少信息安全风险。
4. 保护组织安全:信息安全意识教育对于企业和机构来说尤为重要,能够提高员工的信息安全意识,减少内部安全事件的发生,降低信息泄露风险。
三、信息安全意识教育与培训内容信息安全意识教育与培训应涵盖以下内容:1. 信息安全基础知识:向参与培训的人员普及基本的信息安全定义、概念和原则,让他们对信息安全有一个全面的认识。
2. 信息安全法规政策:介绍和宣传国家制定的信息安全法规政策,让人们了解信息安全的法律法规标准,提高对信息安全合规的重视程度。
信息安全技术系列培训-信息安全意识
信息安全技术系列培训-信息安全意识信息安全技术系列培训-信息安全意识一、培训背景和目的随着信息技术的快速发展,网络安全问题日益成为一个不可忽视的挑战。
为了保护机构的信息系统和敏感数据,提高员工的信息安全意识和能力是至关重要的。
本培训旨在提供资源和知识,帮助员工加强信息安全意识,并采取必要的措施保护信息系统和数据的机密性、完整性和可用性。
二、培训内容1.信息安全的重要性- 介绍信息安全对机构的重要性,包括对业务、声誉和财务的影响。
- 说明信息安全漏洞可能导致的后果和损失。
2.信息安全法与规范- 简要介绍与信息安全相关的法律法规,包括数据保护法和网络安全法。
- 解释员工在工作中应遵循的信息安全政策和规定。
3.常见的安全威胁和攻击方式- 介绍常见的安全威胁类型,例如、恶意软件、网络钓鱼等。
- 说明如何防止和识别安全威胁,并提供相应的对策。
4.密码安全- 强调创建强密码的重要性,包括密码长度、组合和定期更改。
- 提供密码管理工具和技巧,以确保密码的安全性。
5.邮件和网络安全- 介绍安全的电子邮件和网络通信实践,包括识别恶意和附件的方法。
- 提供保护电子邮件和网络通信的最佳实践和工具。
6.移动设备安全- 强调移动设备的安全风险,并提供防范措施,如密码保护、远程擦除和设备管理。
- 解释不要来历不明的应用程序和文件的重要性。
7.社交工程和信息泄露- 介绍社交工程的定义和常见手段,如钓鱼、假冒等。
- 解释如何避免成为社交工程的受害者,并提供识别和报告信息泄露的方法。
8.物理安全- 强调办公和设备物理安全的重要性,包括访客管理、设备保护和纸质文件安全处理。
9.员工行为与安全- 着重强调员工在日常工作中负有的信息安全责任和义务。
- 提供规范的员工行为指南和培训后持续监测措施。
三、附件本培训课程包含以下附件:1.信息安全政策和规定概述2.电子邮件和网络通信最佳实践指南3.员工行为指南4.例外授权和加密套件使用指南四、法律名词及注释1.数据保护法:指对个人数据的收集、使用和处理等进行监管和保护的法律法规。
信息化安全教育培训(2篇)
第1篇随着信息技术的飞速发展,信息化已成为我国经济社会发展的重要驱动力。
然而,信息化在带来便利的同时,也带来了一系列安全问题。
为了提高广大员工的信息化安全意识,保障企业信息安全,特举办本次信息化安全教育培训。
一、培训目的1. 提高员工的信息化安全意识,增强信息安全防范能力。
2. 帮助员工掌握信息化安全知识,提高信息安全技能。
3. 落实企业信息安全制度,保障企业信息安全。
二、培训对象全体员工三、培训内容1. 信息化安全概述(1)信息化安全的定义信息化安全是指保护信息在采集、存储、传输、处理和利用过程中,不受非法侵入、篡改、泄露、破坏等威胁,确保信息完整、准确、可用、可靠的一种安全状态。
(2)信息化安全的现状当前,我国信息化安全形势严峻,网络安全事件频发,信息安全问题日益突出。
2. 信息安全法律法规(1)我国信息安全相关法律法规《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等。
(2)企业信息安全制度企业应建立健全信息安全管理制度,明确信息安全责任,加强信息安全防护。
3. 信息安全防护措施(1)网络安全防护1)防火墙:防止外部攻击,保护内部网络。
2)入侵检测系统:实时监测网络异常行为,防止恶意攻击。
3)安全审计:记录网络访问和操作日志,便于追踪和追溯。
(2)数据安全防护1)数据加密:对敏感数据进行加密存储和传输,防止数据泄露。
2)访问控制:限制对数据的访问权限,确保数据安全。
3)数据备份:定期备份重要数据,防止数据丢失。
(3)个人信息保护1)收集、使用个人信息时,遵循合法、正当、必要的原则。
2)加强个人信息安全防护,防止个人信息泄露。
3)建立个人信息安全投诉处理机制,保障个人信息权益。
4. 信息安全事件应对(1)信息安全事件分类1)网络攻击事件2)数据泄露事件3)恶意软件感染事件4)其他信息安全事件(2)信息安全事件应对措施1)及时报告:发现信息安全事件后,立即报告相关部门。
2024版员工信息安全意识培训课件
防范网络攻击的方法
定期更新操作系统和应用程序补丁,使 用强密码和多因素身份验证,限制不必 要的网络端口和服务,安装防火墙和入 侵检测系统等。
2024/1/30
21
安全使用电子邮件和即时通讯工具
2024/1/30
安全使用电子邮件
不轻易点击邮件中的链接或下载附件, 谨慎处理垃圾邮件和可疑邮件,使用 加密技术保护敏感信息。
30
08 总结与展望
2024/1/30
31
培训内容总结
员工信息安全意识的重要性
强调信息安全对企业和个人的重要性, 提高员工对信息安全的认识和重视程度。
常见信息安全威胁与防范
2024/1/30
分析常见的网络攻击、恶意软件、钓 鱼邮件等信息安全威胁,提供相应的
防范措施和应对策略。
信息安全基础知识 介绍信息安全的基本概念、原理和技 术,包括密码学、网络安全、应用安 全等方面的知识。
跨国与跨地区信息安全合作
跨国企业和跨国合作项目的增多 使得信息安全问题变得更加复杂, 需要加强跨国和跨地区的信息安 全合作与协调。
物联网与工业控制系统安全
物联网和工业控制系统的普及使 得网络攻击面不断扩大,如何保 障这些系统的安全性将成为重要 议题。
人工智能与机器学习安全
人工智能和机器学习技术的快速 发展为信息安全提供了新的手段 和方法,但同时也带来了新的安 全威胁和挑战。
如门禁系统、监控摄像头、设备锁定机制等。
网络安全防护
包括防火墙、入侵检测系统、安全软件等。
数据安全防护
数据加密、数据备份、访问控制等。
2024/1/30
社交工程防护
培训员工识别社交工程攻击、制定信息安全 政策等。
17
信息安全的安全意识培训
信息安全的安全意识培训信息安全在当今社会已经成为一个非常重要的议题。
随着信息技术的快速发展,我们的个人和商业数据都面临着越来越多的威胁。
因此,提高信息安全意识已经成为每个人都应该重视的问题。
在本文中,我们将探讨信息安全的重要性以及如何进行安全意识培训来保护我们的信息。
第一部分:信息安全的重要性信息安全是指保护信息免受未经授权的访问、使用、泄露、破坏、修改等威胁的技术、政策和措施。
在现代社会,越来越多的个人和组织依赖信息技术进行各种业务活动。
若信息遭受损害,可能会导致巨大的经济和声誉损失。
因此,我们需要增强对信息安全的认识,并采取相关措施来保护我们的信息。
第二部分:信息安全意识培训的目标信息安全意识培训的目标是让员工、学生或任何与信息相关的人员认识到信息安全的重要性,并提高他们在日常工作和生活中的信息安全意识水平。
通过培训,人们可以了解各种信息安全威胁的形式,学习如何避免威胁,并掌握正确的信息处理和保护措施。
第三部分:信息安全意识培训的内容信息安全意识培训的内容可以包括以下几个方面:1. 网络安全意识:教育员工或学生识别网络钓鱼、恶意软件等网络威胁的迹象,并学会如何避免成为网络攻击的目标。
2. 密码安全:教育员工或学生创建安全的密码,定期更改密码,并不在公共场所、邮件或社交媒体上随意泄露密码。
3. 社交工程意识:培养员工或学生警惕社交工程攻击,如电话欺诈、伪装成他人等手段骗取信息的行为。
4. 数据保护:教育员工或学生妥善处理机密信息,了解文件和电子设备的安全存储和销毁方法,以防止数据泄露。
5. 媒体使用规范:教育员工或学生合理使用电子邮件、社交媒体、云存储等工具,并警惕媒体信息的真实性和安全性。
第四部分:信息安全意识培训的实施信息安全意识培训可以通过多种方式进行实施:1. 课堂培训:组织专门的培训课程,邀请信息安全专家或从业者进行讲解,并提供实例和案例分析。
2. 在线培训:开发在线培训课程,利用多媒体技术、互动学习和测验等方式提高培训效果。
2024年网络与信息安全意识培训
网络与信息安全意识培训随着信息技术的飞速发展,网络已经成为我们生活、工作、学习中不可或缺的一部分。
然而,网络在给我们带来便利的同时,也带来了诸多安全隐患。
网络攻击、数据泄露、信息诈骗等安全事件层出不穷,对个人、企业乃至国家的利益造成严重威胁。
因此,提高网络与信息安全意识,加强网络与信息安全培训显得尤为重要。
一、网络与信息安全意识培训的重要性1.提高个人安全防范能力网络与信息安全意识培训有助于提高个人对网络安全的认识,使个人能够识别潜在的网络威胁,从而采取有效措施防范。
在培训过程中,学员将学习到如何设置复杂密码、如何识别钓鱼网站、如何防范恶意软件等实用技能,这些技能将大大降低个人在网络环境中遭受安全威胁的风险。
2.保护企业信息资产企业是网络攻击的主要目标之一,因为企业拥有大量有价值的信息资产。
网络与信息安全意识培训有助于提高员工的安全意识,降低企业内部安全风险。
通过培训,员工将了解到企业信息安全政策、法律法规以及网络安全防护措施,从而在日常工作中有意识地保护企业信息资产。
3.促进国家网络安全网络与信息安全关系到国家安全、经济安全和社会稳定。
提高全民网络与信息安全意识,有助于构建网络安全防线,维护国家利益。
网络与信息安全意识培训是提高全民网络安全素养的重要途径,有助于形成全社会共同参与网络安全的良好氛围。
二、网络与信息安全意识培训内容1.网络安全基础知识网络安全基础知识是网络与信息安全意识培训的核心内容,包括网络协议、加密技术、身份认证、访问控制等方面的知识。
通过学习网络安全基础知识,学员可以了解网络安全的原理和机制,为防范网络攻击提供理论支持。
2.常见网络威胁与防范措施培训应详细介绍各种常见的网络威胁,如病毒、木马、钓鱼网站、恶意软件等,并教授相应的防范措施。
学员应学会识别这些威胁,掌握防范方法,提高自身网络安全防护能力。
3.信息安全法律法规与政策网络与信息安全意识培训应涵盖我国信息安全法律法规和政策,使学员了解网络安全领域的法律红线,自觉遵守法律法规,维护网络安全。
2024年员工信息安全意识培训v10
2024员工信息安全意识培训v10一、引言随着信息技术的飞速发展,信息安全已成为企业发展的关键因素。
员工作为企业信息安全的第一道防线,其信息安全意识的高低直接影响到企业的安全稳定。
为提高员工信息安全意识,降低信息安全风险,本企业特制定2024员工信息安全意识培训v10计划。
通过本次培训,旨在使员工充分认识到信息安全的重要性,掌握基本的信息安全知识和技能,为企业的发展创造一个安全稳定的信息环境。
二、培训目标1.提高员工对信息安全的认识,使员工充分认识到信息安全对企业发展的重要性。
2.使员工掌握基本的信息安全知识和技能,提高员工在日常工作中防范信息安全风险的能力。
3.增强员工对信息安全政策的理解和遵守,降低企业信息安全风险。
4.建立员工信息安全意识的长效机制,为企业可持续发展奠定基础。
三、培训内容1.信息安全基础知识:介绍信息安全的基本概念、重要性、威胁类型等,使员工对信息安全有一个全面的认识。
2.信息安全法律法规:解读我国信息安全相关法律法规,提高员工的法律意识,明确信息安全底线。
3.信息安全防护技术:讲解常见的信息安全防护技术,如防火墙、加密、防病毒等,使员工了解如何防范信息安全风险。
4.信息安全意识培养:通过案例分析、情景模拟等方式,提高员工在日常工作中发现和防范信息安全风险的能力。
5.信息安全应急处置:介绍信息安全事件的分类、报告和处理流程,提高员工在信息安全事件发生时的应对能力。
6.信息安全政策与制度:解读企业信息安全政策、制度,使员工了解企业信息安全要求,提高员工遵守信息安全政策的自觉性。
四、培训方式1.面授培训:邀请专业讲师进行面对面授课,结合实际案例,深入浅出地讲解信息安全知识和技能。
2.在线培训:利用企业内部网络平台,开展在线学习,方便员工随时学习信息安全知识。
3.情景模拟:设计信息安全场景,让员工在实际操作中提高信息安全意识。
4.互动讨论:组织员工进行信息安全主题讨论,分享信息安全经验和心得。
信息安全教育培训方案
信息安全教育培训方案一、培训目的随着信息技术的不断发展,信息安全已经成为企业发展中的重要组成部分。
信息安全培训旨在帮助员工了解信息安全的重要性,并掌握一定的防范技能,提高企业信息安全意识,减少信息泄露和数据损失风险。
二、培训内容1. 信息安全意识教育:介绍信息安全的基本概念,宣传信息安全政策和制度,通过案例分析告诉员工信息安全的重要性和影响。
2. 员工行为规范培训:教育员工遵守信息安全规定,不私自安装软件、不随意外接U盘、不泄露公司机密信息等。
3. 网络安全培训:介绍网络安全基本知识,教育员工识别并防范网络攻击、病毒、勒索软件等安全威胁。
4. 数据安全培训:介绍数据安全的重要性,教育员工妥善管理公司数据,防止数据丢失、泄露等问题。
5. 移动设备安全培训:教育员工正确使用手机、平板等移动设备,保护企业信息安全。
6. 应急响应培训:介绍信息安全事件的应急响应流程,提高员工事件应对的能力。
三、培训方式1. 线上培训:通过网络视频、在线课程等形式进行信息安全教育,方便员工在工作之余进行学习。
2. 线下培训:举办信息安全专题讲座、培训班,邀请专业人士为员工进行信息安全知识普及和技能培训。
3. 自主学习:提供信息安全学习资料、知识问答等形式,鼓励员工自主学习信息安全知识。
四、培训周期1. 初次入职培训:新员工入职后,立即进行信息安全培训,让员工尽快掌握信息安全基本知识。
2. 定期培训:定期组织全员进行信息安全培训,对员工进行信息安全知识的巩固和更新。
3. 临时培训:对于新的信息安全事件和威胁,及时组织培训,提高员工的应急响应能力。
五、培训评估1. 考试评估:培训结束后,开展信息安全考试,考核员工的信息安全知识水平。
2. 实操评估:对员工的信息安全实际操作能力进行评估,如对电脑安全设置、文件加密、应急响应等。
六、培训效果1. 提高信息安全意识:通过培训,员工的信息安全意识得到提升,能够主动遵守公司的安全规定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
28
7-你的责任
确定你及你周围的人有妥善保护机密级(或上)的公司信息 你必須为你的用户帐号所从事的一切活动负全部责任 确实遵循桌面清空规定、办公环境安全 向主管及信息安全管理人员汇报信息安全事件 当信息不再需要時,作适当的销毁或处置(如使用碎纸机) „„
认真阅读相关IT政策,并遵守 记住公司信息安全管理人员电话 xxxx
6
讨论
1. 业务系统数据所有者是谁? 2. 公司信息安全的谁的职责?
7
IT资源的合法使用
办公电脑/电话 互联网 电子邮件 无线网络 软件的获取/使用 防病毒软件 ……
对上述所有公司IT资源的使用,用户请记住三点:
回归常识,用户都应有良好的行为判断,不确定处联系IT 2. 公司允许因家庭和私人事务而偶尔使用上述IT资源,但是不得 影响工作、其他业务需求或违反法律或公司制度 3. 滥用或违反政策将受到处分,包括直接中止雇佣关系(同样适 用于以下所有IT政策)
24
6-避免常见错误 – 离座开屏
令人惊讶的是许多人让电脑开著卻 未加以适当保护就离开座位
25
6-避免常见错误 – 电子邮件
当打开电子邮件时 …邮件來自於泛泛之交,或陌生人 许多人不假思索就打开电子郵件的附件 发送邮件时,先检查邮件地址与收件人姓名
不要开启來自於陌生人的邮件及附件。 如果收到多封同样的邮件,雖然它们有 的來自於你熟识的人,亦不要开启它。
Information Owner/Representative信息所有者/委派人机制 IT资源的合法使用 接受和批露公司的机密信息
安全标准与实践
保密意识:数据密级划分 你的密码 办公环境安全
信息安全事件呈报程序
注意社交工程 避免信息安全常见错误
你的责任
13
协调/管理/执 行层
信息安全主管 IT Risk Manager
业务信息安全主管 Information Owner Representatives
用户 (内/外部)
用户 (Users) 公司各部门、供应商/合作伙伴
5
信息所有者/委派人机制
执行信息所有者/委派人机制,公司所有业务相关信息(系统/数据)的所有者均为对 应体系/部门最高负责人,以下具体流程工作可授权给委派人审批: 1) 各体系内信息安全的最终责任人/接口人 2) 信息资源清单 3) 供应商ORE(Overall Risk Evaluation)评估 4) 应用系统风险评估 5) 重大安全事故调查 6) 用户系统权限审批 7) 数据需求/修改/使用审批 8) 应用需求(CR)和测试(UAT)审批 9) 记录和信息管理 (RIM) 10) 审计发现审批
避免让陌生人在办公区域里随便走动. 应上前询问并带领他/她到要找的人 传真任何文件时应事先检查收件人传真号是否正确. 如发送机密性文件, 应 事先联系收件人以确保收件人在传真机旁等候。 发送后必须再次联系收件人 以确保机密性文件以全部收到
每天下班前必须退出系统并关机
22
讨论
一个保险公司的客户向你要我们系统中的 客户资料,你怎么处理?
29
7-你的责任(续)
If not you, who? If not now, when?
留意你的工作环境 将你的电脑及工作区维持在安全的状态,以降低未被授权者趁你不在, 而从你处取走或得到公司机密等级﹝含﹞以上信息的机会
妥善处置公司机密等级﹝含﹞以上的信息,包括碎纸机的使用
离开座位时,先将机密等级﹝含﹞以上的信息上锁 离开座位时,将电脑屏幕上锁 (CTRL+ALT+DEL) 设屏幕保护程序(屏保) 避免通过电子邮件发送机密等级﹝含﹞以上的信息 (除已加密文件)
23
6-避免常见错误 – 弱密码
引用反黑客专家的数据來说明破解密码是多么容易的事 尤其是选用通俗字句或姓名缩写当密码时
密码规则
密码最小长度不得低于8位(含),并且 必须由下列三种类型字符中的两类或以 上构成: •大写字母(如,A, B, C, ...Z) 和/或小写 字母(如,a, b, c, ...z) •阿拉伯数字(如,0, 1, 2, ...9) •特殊字符(如,?,!,%,$,#,等)
客户信息
申请或购买产品及服务的个人,包括被保险 人、理赔申请人、受益人和其他 • 基本信息 – 姓名、地址、电话和年龄 • 号码 – 身份证号、账户或投资者身份编号、 信用卡号码以及用户名、密码等 • 财务信息 – 收入、财产、负债和信用历史记 录
员工信息
员工信息指由公司维护的内、 外勤信息,包括个人信息及 其与公司的关系 • 补偿/补助金信息 • 绩效评估 • 身份证号、生日 • 健康状况、福利
17
3-办公环境安全
桌上拥有一切……
客户名单 电话名单 密码清单 进入系统步骤 通告
项目方案计划 个人档案 财务资料 客戶往來信件 系统网络图 审计报告 业务统计 行销计划 法律文件 私人资料
18
3-办公环境安全(续)
物理安全比我们想象的更重要……
无人陪同的访客
遗忘在打印机上的文档
敏感信息传真
离座时的电脑屏幕
特 别 注 意
不得自行下载或安装软件
谨慎使用无线网络
谨慎使用智能手机 任何安全事件须及时上报IT Helpdesk/ IT Risk
10
接受和批露机密信息
机密信息批露的决定必须由相关部门适当级别管理层做出(即信息所有者 /委派人) 在任何机密信息放开给第三方之前,必须先签署保密协议 针对密级为保密和限制信息的传统介质,公司员工应执行“桌面清理”政 策 机密或限制性信息的销毁,应按照“确保无法复原”的原则进行
马上刪除它!
所有电子邮件都将被过滤与监控以确保 它的安全。
26
6-避免常见错误 - Internet
流览不安全的网站 加入聊天室聊天 在公佈栏张贴讯息 开启网络浏览器记忆密码的功能 下载与工作无关的文件
27
6-避免常见错误 – 大声说话
一般人常会在不恰当的场所內谈论机密 性话题,如: 餐厅 酒店 电梯间 盥洗室
1.
8
IT资源的合法使用(续)
公司已签署公安部 《计算机信息网络国际联网单位信息安全保 卫责任书》,责任书明确要求:
三、不利用国际联网制作、复制、查阅和传播下列信息: (一)煽动抗拒、破坏宪法和法律、行政法规实施的; (二)煽动颠覆国家政权,推翻社会主义制度的; (三)煽动分裂国家、破坏国家统一的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的; (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的; (七)公然侮辱他人或者捏造事实诽谤他人的; (八)损害国家机关信誉的; (九)其他违反宪法和法律、行政法规的
你的责任
3
什么是 ―信息 安全‖?
消息、信号、数据、情报和知识 —— 有价值的内容 是无形的,借助于信息媒体以多种形式存在或传播: • 存储在计算机、磁带、纸张等介质中 (数据、文件资料) • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播
具有价值的信息资产面临诸多威胁,需要妥善保护
20
5-社交工程
Social Engineering, 利用社会交往(通常是在伪装之下)从目标对象那里获 取信息, 例如: 电话呼叫服务中心、在走廊里的聊天、冒充服务技术人员
著名黑客Kevin Mitnick更多是通过社交工程来渗透网络的,而不是高超的黑 客技术
电影中的FBI、CIA也是如此 他们的手段远比黑客技术更有效:
意 味 着 什 么
公司会对员工上网行为进行记录 公安部会随时进行检查
员工在上网时请不要从事非工作以及必要信息检索以外的行为, 如果有
任何不适当的言论行为,可能导致公司受到警告,罚款,停止联网,停机整 顿等严厉处罚,个人也需要承担相应的法规责任。
9
IT资源的合法使用(续)
出差时,笔记本电脑必须随身携带(不得作为行李托运)
姓名、宠物名、生日、球队名最常被用作口令
平均每人要记住四个口令,大多数人都习惯使用相同的口令(在 很多需要口令的地方)
33%的人选择将口令写下来,然后放到抽屉或夹到文件里
16
2-你的密码(续)
Password is your toothbrush, never share with others.
C I A
保密性(Confidentiality):非授权用户 看不到。 完整性(Integrity):确保不会被非授 权篡改、一致性。 可用性(Availability):确保授权用户 想用的时候用得着。
信息安全组织结构
信息安全管理组织架构
决策层
信息安全委员会 Information Owners - CEO,COO,CIO
• 如员工通讯录、培训材料等
公开数据 (Public Data): 信息拥有者确定能对外公布 • 如公司网站、市场新闻发布等
14
问题
请对下列信息的保密级别进行划分:
1. 2. 3. 4. 今天信息安全培训资料 业务系统数据 业务系统用户密码 业务系统加密密钥
15
2-你的密码
一个有趣的调查发现,如果你用一条巧克力来作为交换,有70% 的人乐意告诉你他(她)的口令 有34%的人,甚至不需要贿赂,就可奉献自己的口令 另据调查,有79%的人,在被提问时,会无意间泄漏足以被用来 窃取其身份的信息
信息技术安全政策 & 信息安全意识培训
培训的目标
意识
掌握信息安全的基本概念、理念和 惯例
建立对信息安全的敏感意识和正确 认识
了解公司各项IT政策(用户相关) 熟悉对应于IT政策的安全标准及流 程
制度
行为