信息安全意识培训全体员工.pptx
合集下载
信息安全意识培训-全体员工-文档资料PPT共80页
信息安全意识培训-全体员工-文档资
•
26、我们像鹰一样,生来就是自由的 ,但是 为了生 存,我 们不得 不为自 己编织 一个笼 子,然 后把自 己关在 里面。 ——博 莱索
•
27、法律如果不讲道理,即使延续时 间再长 ,也还 是没有 制约力 的。— —爱·科 克
•
28、好法律是由坏风俗创造出来的。 ——马 克罗维 乌斯
•
Байду номын сангаас
29、在一切能够接受法律支配的人类 的状态 中,哪 里没有 法律, 那里就 没有自 由。— —洛克
•
30、风俗可以造就法律,也可以废除 法律。 ——塞·约翰逊
料
▪
26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭
▪
27、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼·罗兰
▪
28、知之者不如好之者,好之者不如乐之者。——孔子
▪
29、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达·芬奇
▪
30、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华
谢谢!
80
•
26、我们像鹰一样,生来就是自由的 ,但是 为了生 存,我 们不得 不为自 己编织 一个笼 子,然 后把自 己关在 里面。 ——博 莱索
•
27、法律如果不讲道理,即使延续时 间再长 ,也还 是没有 制约力 的。— —爱·科 克
•
28、好法律是由坏风俗创造出来的。 ——马 克罗维 乌斯
•
Байду номын сангаас
29、在一切能够接受法律支配的人类 的状态 中,哪 里没有 法律, 那里就 没有自 由。— —洛克
•
30、风俗可以造就法律,也可以废除 法律。 ——塞·约翰逊
料
▪
26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭
▪
27、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼·罗兰
▪
28、知之者不如好之者,好之者不如乐之者。——孔子
▪
29、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达·芬奇
▪
30、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华
谢谢!
80
信息安全培训讲义(PPT37页).pptx
• 网络监听是局域网中的一种黑客技术,在这种模式下, 主机可以接收到本网段在同一条物理通道上传输的所 有信息。
• 木马是隐藏在电脑中进行特定工作或依照黑客的操作 来进行某些工作的程序。
• 漏洞是系统中的安全缺陷。漏洞可以导致入侵者获取 信息并导致非法访问。例如Windows、Office、IE、 IIS等产品中都存在漏洞。
Page 21
5.杀毒软件与防火墙
(2)启动杀毒扫描程序 360杀毒具有“智巧模式”和“专业模式”双模式切换功 能。
Page 22
5.杀毒软件与防火墙
(2)启动杀毒扫描程序(续) 单击【快速扫描】按钮,即进入病毒查杀状态,快速扫 描系统盘区、内存、注册表、文件系统、局域网共享文件夹 等病毒敏感区域。
蠕虫病毒
Page 8
• 网络蠕虫是利用网络进行复制和传播的计算机 病毒。它的传播速度相当惊人,成千上万的机 器感染病毒造成众多的邮件服务器先后崩溃, 给人们带来难以弥补的损失。
2. 计算机病毒
曾经肆虐网络的“熊猫烧香”病毒,是一种经过多次变种的蠕虫病毒。 感染后的文件图标变成“熊猫烧香”图案。
Page 9
• 文件型病毒主要感染可执行文件,常常通过 对它们的编码加密或其他技术隐藏自己。文 件型病毒劫夺用来启动主程序的可执行命令, 用作它自身的运行命令。同时还经常将控制 权还给主程序,伪装计算机系统正常。一旦 运行感染了病毒的程序文件,病毒便被激发, 执行大量操作,进行自我复制。
Page 7
2. 计算机病毒
Page 16
Page 17
信息安全概述 计算机病毒
黑客与网络安全 如何预防互联网诈骗
杀毒软件与防火墙
内容提要
5.杀毒软件与防火墙
Page 18
• 木马是隐藏在电脑中进行特定工作或依照黑客的操作 来进行某些工作的程序。
• 漏洞是系统中的安全缺陷。漏洞可以导致入侵者获取 信息并导致非法访问。例如Windows、Office、IE、 IIS等产品中都存在漏洞。
Page 21
5.杀毒软件与防火墙
(2)启动杀毒扫描程序 360杀毒具有“智巧模式”和“专业模式”双模式切换功 能。
Page 22
5.杀毒软件与防火墙
(2)启动杀毒扫描程序(续) 单击【快速扫描】按钮,即进入病毒查杀状态,快速扫 描系统盘区、内存、注册表、文件系统、局域网共享文件夹 等病毒敏感区域。
蠕虫病毒
Page 8
• 网络蠕虫是利用网络进行复制和传播的计算机 病毒。它的传播速度相当惊人,成千上万的机 器感染病毒造成众多的邮件服务器先后崩溃, 给人们带来难以弥补的损失。
2. 计算机病毒
曾经肆虐网络的“熊猫烧香”病毒,是一种经过多次变种的蠕虫病毒。 感染后的文件图标变成“熊猫烧香”图案。
Page 9
• 文件型病毒主要感染可执行文件,常常通过 对它们的编码加密或其他技术隐藏自己。文 件型病毒劫夺用来启动主程序的可执行命令, 用作它自身的运行命令。同时还经常将控制 权还给主程序,伪装计算机系统正常。一旦 运行感染了病毒的程序文件,病毒便被激发, 执行大量操作,进行自我复制。
Page 7
2. 计算机病毒
Page 16
Page 17
信息安全概述 计算机病毒
黑客与网络安全 如何预防互联网诈骗
杀毒软件与防火墙
内容提要
5.杀毒软件与防火墙
Page 18
员工信息安全意识培训-PPT课件
总结教训 ……
又是口令安全的问题! 又是人的安全意识问题!
再次强调安全意识的重要性!
16
如何做到信息安全
✓ 原则上外来设备不允许接入公司内部网络,如有业务需要,需申请审批通过后方可使用 。外来设备包括外部人员带到公司的笔记本电脑、演示机、测试机等。
✓ 公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储 设备,除工作必须要长期使用移动存储的可申请开通外,公司内的计算机禁止使用移动 存储设备。
除非你听出她或他的声音是熟人,并确认对方有这些信息 的知情权。 ✓ 无论什么时候在接受一个陌生人询问时,首先要礼貌的拒 绝,直到确认对方身份。
看来,问题真的不少呀 ……
2011年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理 17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现, 13日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现 金) 紧急与开户行联系,发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组,同时向省公安厅上报
请大家共同提高信息安全意识,从我做起!
20
如何实现信息安全?
如何实现信息安全?
如何实现信息安全?
✓ 物理安全 ✓ 计算机使用的安全 ✓ 网络访问的安全 ✓ 社会工程学 ✓ 病毒和恶意代码 ✓ 账号安全 ✓ 电子邮件安全 ✓ 重要信息的保密 ✓ 应急响应
✓ 文件分类分级 ✓ 使用过的重要文件及时销毁,不要扔
在废纸篓里,也不要重复利用 ✓ 不在电话中说工作敏感信息,电话回
步骤:信息收集——信任建立——反追查 典型攻击方式: 环境渗透、身份伪造、冒名电话、信件伪造等 如何防范?
员工信息安全意识培训ppt课件
信息安全意识的重要性
避免不必要的风险
保护公司数据安全
遵守法律法规要求
提高个人素质和职业道德
提高信息安全意识的途径
加强培训和教育
建立严格的信息安全制度
定期进行信息安全意识审 查
提高员工的信息安全意识 和技能水平
04
常见的信息安全风险
内部威胁
恶意软件攻击:如病毒、蠕虫、木马等 内部人员泄密:未经授权的信息泄露或盗用 误操作:由于不熟悉或操作不当导致的安全事件 内部审查漏洞:对信息安全管理制度执行不力或审查不严格
信息安全意识是长期的过程
培训和教育是关 键
建立良好的安全 文化
定期进行安全审 计和检查
持续改进,不断 完善
不断学习和提高自身素质
保持对新技术和新知识的了解和更新。 定期参加安全培训和研讨会,提高信息安全意识和技能。 学习和掌握新的安全技术和工具,提高自身的防护能力。 不断学习和提高自身素质,适应信息安全领域的发展和变化。
展望未来的信息安全趋势
云计算:云计算的普及将推动信息安全向云端转移,云端安全将更加重要。
人工智能:AI技术将应用于信息安全领域,提高安全防护的智能化水平。
区块链:区块链技术将重塑信息安全体系,实现更加去中心化的安全防护。 物联网:物联网技术的发展将推动信息安全向万物互联的方向发展,保障 物联网系统的安全将成为重要任务。
感谢观看
汇报人:
培训内容:网络安 全、数据保护、密 码管理等方面
培训形式:线上或 线下,包括讲座、 模拟演练等
培训效果评估:通 过测试、问卷等方 式评估员工掌握情 况,确保培训效果
建立完善的安全管理制度
定义和规范员工行为准则 明确责任和权限,建立问责制度 定期进行安全培训和意识教育 实施严格的数据管理和备份策略
2024版信息安全保密培训课件pptx
REPORT
REPORT
01
信息安全保密概述
信息安全保密的重要性
01
02
03
保护机密信息
防止未经授权的访问、泄 露、破坏或篡改机密信息, 确保信息的机密性、完整 性和可用性。
维护国家安全
信息安全保密是国家安全 的重要组成部分,对于维 护国家政治、经济、军事 等安全具有重要意义。
促进社会稳定
信息安全保密有助于维护 社会秩序,防止不良信息 的传播和扩散,保障公众 的知情权和隐私权。
强调信息安全保密的重要性 通过案例分析、数据展示等方式,向全体员工普及信息安 全保密知识,强调信息安全保密对企业和个人的重要性。
制定信息安全保密规章制度 建立完善的信息安全保密规章制度,明确各级人员的信息 安全保密职责和要求,形成有效的约束机制。
加强信息安全保密宣传 通过企业内部宣传、知识竞赛、案例分析等方式,持续加 强信息安全保密宣传,提高全员的信息安全保密意识。
规定了国家秘密的范围、保密义务、法律责任等内容。
《中华人民共和国网络安全法》
明确了网络安全的基本原则、制度措施和法律责任,为信息安全保密提供了法律保障。
其他相关法律法规
如《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》等,也对信息 安全保密提出了相关要求和规定。
REPORT
02
信息安全保密技术基础
案例分析一
分析一起因身份认证漏洞导致的安全事件,探讨 其原因、影响和防范措施。
案例分析二
分析一起因访问控制不当导致的泄密事件,探讨 其原因、影响和防范措施。
案例分析三
结合实际案例,分析身份认证与访问控制在保障 信息安全保密方面的重要作用。
REPORT
员工信息安全入职培训ppt
定期检查网络设备和安全设施的运行状况,确保设备正常运行。 定期更新和升级安全软件,以防范最新的网络威胁。 定期对员工进行安全意识培训,提高员工的安全防范意识和技能。 定期对重要数据进行备份和加密,确保数据的安全性和完整性。
Part Six
发现安全事件: 及时发现并记录 安全事件
初步分析:对安 全事件进行初步 分析,确定影响 范围和危害程度
保护个人信息不受泄露 防止个人信息被滥用 维护个人声誉和形象 保障个人合法权益
遵守国家法律法规,保护 企业声誉
遵守行业标准,提升企业 形象
遵守公司规章制度,维护 公司利益
遵守个人信息保护法,保 护员工隐私
Part Three
定义:信息安全是指保护信息系统 免受未经授权的访问、使用、泄露、 破坏、修改或销毁,以确保信息的 机密性、完整性和可用性。
员工应确保个 人设备不携带 病毒或恶意软
件
员工应设置强 密码来保护设
备
员工应定期备 份重要数据以
防丢失
员工应谨慎处 理设备中的敏
感信息
Part Five
防病毒软件可以检测和清除病毒,保护企业信息安全 定期更新病毒库,以应对新出现的病毒威胁 安装时选择知名品牌,以保证软件质量和安全性 定期进行安全漏洞扫描和系统更新
XXX,a click to unlimited possibilities
汇报人:XXX
01 02 03 04 05
06
Part One
Part Two
防止数据泄露:保护公司的敏感信息和客户数据不被泄露给未经授权的第三方。 维护品牌形象:确保公司声誉和品牌形象不受损害。 保障公司运营:保障公司日常运营的顺利进行,避免因信息安全问题导致业务中断。 符合法律法规:遵守相关法律法规,避免因信息安全问题引发法律风险。
信息安全意识培训ppt课件
数据分类与敏感数据识别能力
数据分类
根据数据的性质、重要性和敏感 程度,将数据分为公开、内部、 秘密和机密等不同级别,以便采
取相应的保护措施。
敏感数据识别
识别出可能对个人、组织或国家造 成损害的数据,如个人身份信息、 财务信息、商业秘密等,并对其进 行ቤተ መጻሕፍቲ ባይዱ殊保护。
数据标签和标记
对数据进行标签和标记,明确数据 的来源、去向、使用目的和保密要 求,以便于数据的管理和使用。
应对措施
遇到钓鱼网站或邮件时,用户应保持冷静,不轻易泄露个 人信息,及时报告相关部门或专业人士进行处理。
企业内部社交工程风险防范策略制定
01
02
03
04
员工培训
加强员工信息安全意识培训, 提高员工对社交工程攻击的识
别和防范能力。
制定规范
建立完善的信息安全管理制度 ,规范员工在网络上的行为, 减少泄露企业机密的风险。
更新与补丁
定期更新操作系统、应 用程序和安全软件。
安全浏览与下载
避免访问不可信网站, 不随意下载和安装未知
来源的软件。
数据备份
定期备份重要数据,以 防数据被恶意软件破坏
。
应急处理流程和方法掌握
断开网络连接
立即断开与网络的连接,以防 止恶意软件进一步传播。
恢复受损文件
尝试恢复被恶意软件破坏或加 密的文件,必要时从备份中恢 复。
社交工程危害
社交工程攻击可导致个人隐私泄露、财产损失、企业机密外泄等严重后果,甚至 会对国家安全造成威胁。
识别并应对钓鱼网站、邮件等欺诈行为
钓鱼网站识别
钓鱼网站通常冒充正规网站,诱导用户输入账号、密码等 敏感信息。用户应注意检查网址是否正确、网站是否有安 全锁标识等。
信息安全意识培训ppt课件(经典版).ppt
物理安全非常关键!
28
类似的事件不胜枚举
苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反 感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑 客身份两次闯入该考试服务器,共删除全省中小学信息技术等级考 试文件达100多个,直接经济损失达20多万元,后被警方抓获。 某高校招生办一台服务器,因设置网络共享不加密码,导致共 享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会 影响。 屡屡出现的关于银行ATM取款机的问题。 ……
张三急需今夜加班,可他又不想打扰他人,怎么办?
24
一点线索: 昨天曾在接待区庆祝过
某人生日,现场还未清理干 净,遗留下很多杂物,哦, 还有气球……
25
聪明的张三想出了妙计 ……
① 张三找 到一个气球, 放掉气
② 张三面朝大门入口趴下来, 把气球塞进门里,只留下气 球的嘴在门的这边
③ 张三在门外吹气球, 气球在门内膨胀,然后, 他释放了气球……
正是因为人在有意(攻击破坏)或无意(误操作、误 配置)间的活动,才给信息系统安全带来了隐患和威胁
提高人员安全意识和素质势在必行!
37
黑客攻击,是我们 听说最多的威胁!
38
NT remains hackers' favorite
— VNUnet, Jan 10,2001
39
世界头号黑客 —— Kevin Mitnick
9
我们来总结一下教训
Absa声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:Absa应负必要责任, 其电子银行的安全性值得怀疑 Deloitte安全专家Rogan Dawes认为:Absa应向其客 户灌输更多安全意识,并在易用性和安全性方面达成平 衡 IT技术专家则认为:电子银行应采用更强健的双因素认 证机制(口令或PIN+智能卡),而不是简单的口令 我们认为:Absa银行和客户都有责任
28
类似的事件不胜枚举
苏州某中学计算机教师罗某,只因嫌准备考试太麻烦,产生反 感情绪,竟向江苏省教育厅会考办的考试服务器发动攻击,他以黑 客身份两次闯入该考试服务器,共删除全省中小学信息技术等级考 试文件达100多个,直接经济损失达20多万元,后被警方抓获。 某高校招生办一台服务器,因设置网络共享不加密码,导致共 享目录中保存的有关高考招生的重要信息泄漏,造成了恶劣的社会 影响。 屡屡出现的关于银行ATM取款机的问题。 ……
张三急需今夜加班,可他又不想打扰他人,怎么办?
24
一点线索: 昨天曾在接待区庆祝过
某人生日,现场还未清理干 净,遗留下很多杂物,哦, 还有气球……
25
聪明的张三想出了妙计 ……
① 张三找 到一个气球, 放掉气
② 张三面朝大门入口趴下来, 把气球塞进门里,只留下气 球的嘴在门的这边
③ 张三在门外吹气球, 气球在门内膨胀,然后, 他释放了气球……
正是因为人在有意(攻击破坏)或无意(误操作、误 配置)间的活动,才给信息系统安全带来了隐患和威胁
提高人员安全意识和素质势在必行!
37
黑客攻击,是我们 听说最多的威胁!
38
NT remains hackers' favorite
— VNUnet, Jan 10,2001
39
世界头号黑客 —— Kevin Mitnick
9
我们来总结一下教训
Absa声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:Absa应负必要责任, 其电子银行的安全性值得怀疑 Deloitte安全专家Rogan Dawes认为:Absa应向其客 户灌输更多安全意识,并在易用性和安全性方面达成平 衡 IT技术专家则认为:电子银行应采用更强健的双因素认 证机制(口令或PIN+智能卡),而不是简单的口令 我们认为:Absa银行和客户都有责任
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
资本本部21楼、23楼哪里存在信息 安全隐患?
1
法律 合规
安全 策略
业务 连续
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理
人员 安全
网络 安全
物理 安全
ISO/IEC 17799:2005版11 个方面、39 个控制目标和133 项控制措
施列表
1) 安全方针
7) 访问控制
2) 信息安全组织
包括,建立长效的卫生机制,如划定公司卫生范围,购买各种卫生用具, 专门领导负责,成立专门团队,聘请专业保洁公司,组织内部检查,内部 互查等等。
Page 11
信息安全意识培训
主要内容
1
什么是信息安全?
2
怎样搞好信息安全?
3
信息安全基本概念
4
信息产业发展现状
13
引言
授之以鱼 ——产品 不如授之以渔 ——技术 更不如激之其欲 ——意识
8) 信息系统获取、开发和维护
3) 资产管理
9) 信息安全事故管理
4) 人力资源安全
10) 业务连续性管理
5) 物理和环境安全
11) 符合性
6) 通信和操作管理
ISMS(信息安全管理系统)
ISO/IEC 27001:2005版通篇就在讲一件事,ISMS(信息安全管理系统)。
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系 (InformationSecurity Management System,简称ISMS)提供模型。采用 ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需 要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及 其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例 如,简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。
因为据Delphi公司统计,公司价值的26%体现 在固定资产和一些文档上,而高达42%的价值是存 储在员工的脑子里,而这些信息的保护没有任何 一款产品可以做得到,所以需要我们建立信息安 全管理体系,也就是常说的ISMS!
17
信息在哪里?
小问题:公司的信息都在哪里?
纸质文档 电子文档 员工 其他信息介质
Page 5
PDCA特点
大环套小环,小环保大环,推动大循环
PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和 企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的 PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体 和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方 向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相 促进。以上特点。
(引用自ISO/IEC 27001:2005中 “0.1 总则” )
PDCA(戴明环)
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特( WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣 传并运用于持续改善产品质量的过程当中。 1、P(Plan)--计划,确定方针和目标,确定活动计划; 2、D(Do)--执行,实地去做,实现计划中的内容; 3、C(Check)--检查,总结执行计划的结果,注意效 果,找出问题; 4、A(Action)--行动,对总结检查的结果进行处理, 成功的经验加以肯定并适当推广、标准化;失败的教 训加以总结,以免重现,未解决的问题放到下一个 PDCA循环。
这就是意识缺乏的两大 结症!
1 不看重大公司,更看重小家庭。
公司
家
2 钞票更顺眼,信息无所谓。
〉
21
思想上的转变(一)
公司的钱,就是我的钱, 只是先放在, 老板那里~~~
22
信息安全搞好了 信息安全搞砸了
WHY???
公司赚钱了
你就“涨” 了
公司赔钱了
你就“跌” 了
领导笑了
领导怒了
23
思想上的转变(二)
桌面审核(文件审核)的结果作为现场审核输入。 现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报
告审核结果等。 审核内容
验证第一阶段的审核发现是否获得纠正。 证实受审核组织是否按照其方针、目标和程序,执行工作。 证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求
谈笑间,风险灰飞烟灭。
14
什么是信息安全?
• 不止有产品、技术才是信息安全
15
信息安全无处不在
法律 合规
安全 策略
业务 连续
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理人员 安全源自网络 安全物理 安全
16
怎样搞好信息安全?
一个软件公司的老总,等他所有的员工下班之 后,他在那里想:我的企业到底值多少钱呢?假 如它的企业市值1亿,那么此时此刻,他的企业就 值2600万。
18
小测试:
➢ 您离开家每次都关门吗? ➢ 您离开公司每次都关门吗? ➢ 您的保险箱设密码吗? ➢ 您的电脑设密码吗?
19
答案解释:
如果您记得关家里的门,而不记得关公司的门, 说明您可能对公司的安全认知度不够。
如果您记得给保险箱设密码,而不记得给电脑设密码, 说明您可能对信息资产安全认识不够。
20
Page 6
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升的过程。
质量水平
P
D
A
C
螺旋上升的PDCA
Page 7
PDCA和ISMS的结合
Page 8
认证审核-现场审核
信息比钞票更重要, 更脆弱,我们更应该保护 它。
24
WHY???
装有100万的 保险箱
需要 3个悍匪、
Page 9
认证审核-获得证书
所有审核工作结束并达到要求后,用户会得到证书。 半年或者一年,用户需要进行复审 三年时,证书期满,需要重新审核。
Page 10
举例
为了方便大家理解,举个例子来进行说明: 华赛公司要参加上地地区的一个卫生评比,评比通过发放《上地地区高科
技企业卫生红旗》。 该次评比有个评比要求《上地地区高科技企业卫生评比要求》,要求内容
1
法律 合规
安全 策略
业务 连续
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理
人员 安全
网络 安全
物理 安全
ISO/IEC 17799:2005版11 个方面、39 个控制目标和133 项控制措
施列表
1) 安全方针
7) 访问控制
2) 信息安全组织
包括,建立长效的卫生机制,如划定公司卫生范围,购买各种卫生用具, 专门领导负责,成立专门团队,聘请专业保洁公司,组织内部检查,内部 互查等等。
Page 11
信息安全意识培训
主要内容
1
什么是信息安全?
2
怎样搞好信息安全?
3
信息安全基本概念
4
信息产业发展现状
13
引言
授之以鱼 ——产品 不如授之以渔 ——技术 更不如激之其欲 ——意识
8) 信息系统获取、开发和维护
3) 资产管理
9) 信息安全事故管理
4) 人力资源安全
10) 业务连续性管理
5) 物理和环境安全
11) 符合性
6) 通信和操作管理
ISMS(信息安全管理系统)
ISO/IEC 27001:2005版通篇就在讲一件事,ISMS(信息安全管理系统)。
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系 (InformationSecurity Management System,简称ISMS)提供模型。采用 ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需 要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及 其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例 如,简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。
因为据Delphi公司统计,公司价值的26%体现 在固定资产和一些文档上,而高达42%的价值是存 储在员工的脑子里,而这些信息的保护没有任何 一款产品可以做得到,所以需要我们建立信息安 全管理体系,也就是常说的ISMS!
17
信息在哪里?
小问题:公司的信息都在哪里?
纸质文档 电子文档 员工 其他信息介质
Page 5
PDCA特点
大环套小环,小环保大环,推动大循环
PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和 企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的 PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体 和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方 向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相 促进。以上特点。
(引用自ISO/IEC 27001:2005中 “0.1 总则” )
PDCA(戴明环)
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特( WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣 传并运用于持续改善产品质量的过程当中。 1、P(Plan)--计划,确定方针和目标,确定活动计划; 2、D(Do)--执行,实地去做,实现计划中的内容; 3、C(Check)--检查,总结执行计划的结果,注意效 果,找出问题; 4、A(Action)--行动,对总结检查的结果进行处理, 成功的经验加以肯定并适当推广、标准化;失败的教 训加以总结,以免重现,未解决的问题放到下一个 PDCA循环。
这就是意识缺乏的两大 结症!
1 不看重大公司,更看重小家庭。
公司
家
2 钞票更顺眼,信息无所谓。
〉
21
思想上的转变(一)
公司的钱,就是我的钱, 只是先放在, 老板那里~~~
22
信息安全搞好了 信息安全搞砸了
WHY???
公司赚钱了
你就“涨” 了
公司赔钱了
你就“跌” 了
领导笑了
领导怒了
23
思想上的转变(二)
桌面审核(文件审核)的结果作为现场审核输入。 现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报
告审核结果等。 审核内容
验证第一阶段的审核发现是否获得纠正。 证实受审核组织是否按照其方针、目标和程序,执行工作。 证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求
谈笑间,风险灰飞烟灭。
14
什么是信息安全?
• 不止有产品、技术才是信息安全
15
信息安全无处不在
法律 合规
安全 策略
业务 连续
信息安全
事件 管理
开发 安全
访问 控制
安全 组织
资产 管理人员 安全源自网络 安全物理 安全
16
怎样搞好信息安全?
一个软件公司的老总,等他所有的员工下班之 后,他在那里想:我的企业到底值多少钱呢?假 如它的企业市值1亿,那么此时此刻,他的企业就 值2600万。
18
小测试:
➢ 您离开家每次都关门吗? ➢ 您离开公司每次都关门吗? ➢ 您的保险箱设密码吗? ➢ 您的电脑设密码吗?
19
答案解释:
如果您记得关家里的门,而不记得关公司的门, 说明您可能对公司的安全认知度不够。
如果您记得给保险箱设密码,而不记得给电脑设密码, 说明您可能对信息资产安全认识不够。
20
Page 6
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升的过程。
质量水平
P
D
A
C
螺旋上升的PDCA
Page 7
PDCA和ISMS的结合
Page 8
认证审核-现场审核
信息比钞票更重要, 更脆弱,我们更应该保护 它。
24
WHY???
装有100万的 保险箱
需要 3个悍匪、
Page 9
认证审核-获得证书
所有审核工作结束并达到要求后,用户会得到证书。 半年或者一年,用户需要进行复审 三年时,证书期满,需要重新审核。
Page 10
举例
为了方便大家理解,举个例子来进行说明: 华赛公司要参加上地地区的一个卫生评比,评比通过发放《上地地区高科
技企业卫生红旗》。 该次评比有个评比要求《上地地区高科技企业卫生评比要求》,要求内容