BPO新员工培训之信息安全管理体系ISMS.pptVIP

bpo服务中心新员工 培训之信息安全,2019/4/5,2,培训目的,1. 建立对信息安全的正确认识 2. 了解工作中面临的信息安全威胁和风险 3. 培养信息安全意识和良好的习惯,2019/4/5,3,主要内容,1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作,2019/4/5,4,1. 信息安全,1.1 信息 1.2 信息安全,2019/4/5,5,1.1 信息,什么是信息？ 在信息研究领域中对其没有确切的定义，但概括出来信息有两个性质： 一、和公司其它资源一样，是维持公司持续运作和管理的必要资产，例如政策方针、市场报告、科研数据、计划方案、竞争情报等等，这些信息可能从多个方面对公司运营产生影响。 二、可以是无形的，可借助于媒体以多种形式存在或传播；信息可以存储在计算机、磁带、纸张等介质中；信息可以记忆在人的大脑里；信息可以通过网络、打印机、传真机等方式进行传播,2019/4/5,6,1.1 信息,信息资产 对现代企业来说，具有价值的信息就是信息资产。一般主要有： 实物资产（电脑、打印机等硬件） 软件资产（操作系统、应用软件等） 数据资产（文件、凭据、源代码等） 人员资产（各级各类管理人员和技术人员） 服务资产（第三方提供的支持性服务） ,2019/4/5,7,1. 信息安全,1.1 信息 1.2 信息安全,2019/4/5,8,1.2 信息安全,保持和维护信息的 保密性、完整性、可用性,网络安全,知识安全,数据安全,文件信息安全,内容安全,计算机安全, 信息安全定义,2019/4/5,9,1.2 信息安全,1.公司持续发展的需要： 任何公司正常运作离不开信息资源支持，这包括公司的知识产权、各种重要数据、信息处理设施、关键人员等，公司的商业机密泄露会丧失竞争优势，失去市场，公司要持续发展，信息安全是基本保障之一； 2.客户的需要： 我们在给客户提供服务的同时，也必将接触到客户的一些机密信息，例如:客户的技术数据、客户信息、内部运营信息等，而这些信息客户是不想人外人知晓的，保守客户的信息安全是客户的正常需要； 3.其它方面的需要：个人信息保密、国家信息安全等等, 信息安全目的,2019/4/5,10,1.2 信息安全, 信息安全关注的信息类型,企业信息安全关注的信息类型,2019/4/5,11,主要内容,1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作,2019/4/5,12,2 信息安全管理与信息安全管理体系,2.1 信息安全管理 2.2 信息安全管理体系,2019/4/5,13, 什么信息安全管理？,通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。,2.1 信息安全管理,2019/4/5,14, 我们接触到的信息安全管理的主要活动,制定信息安全相关的管理制度 信息安全的相关的培训 信息安全日常的监督检查 信息安全事件的处理 信息安全管理体系的内部审核,2.1 信息安全管理,公司都有信息安全管理，那么怎么样才能很规范，很有效的进行信息安全管理呢 ？公司引入了信息安全管理体系（ iso 27001：2005）,2019/4/5,15,2 信息安全管理与信息安全管理体系,2.1 信息安全管理 2.2 信息安全管理体系,2019/4/5,16,2.2 信息安全管理体系,2.2.1 什么是管理体系 2.2.2 信息安全管理体系 2.2.3 信息安全管理体系认证,2019/4/5,17,目前流行的管理体系标准, 环境管理体系 ems iso/iec14000, 质量管理体系 qms iso/iec 9001：2000等,2.2.1 什么是管理体系, 职业安全卫生管理体系 ohsas18000, 信息安全管理体系 isms iso/iec 27001：2005, it服务管理体系 itms iso/iec 20000-1：2005,管理体系标准 ： 国际化标准组织（iso）参考西方各国管理标准特别是国际知名公司管理流程制定管理规范,管理体系 ： 公司依据国际化标准组织（iso）制定管理标准，建立的以实现某种目标的管理系统。,2019/4/5,18,2.2 信息安全管理体系,2.2.1 什么是管理体系 2.2.2 信息安全管理体系 2.2.3 信息安全管理体系认证,2019/4/5,19,公司依据信息安全管理标准建立的在信息安全方面指挥和控制的管理系统，目标是实现公司信息安全目标。,信息安全管理体系 (英文缩写isms）,信息安全组织结构,信息安全方针、策略,信息安全控制措施,人力、物力等资源,各种活动、过程,信息安全目标应是可度量的 要素包括,2.2.2 信息安全管理体系,2019/4/5,20,信息安全管理体系 (英文缩写isms）,2.2.2 信息安全管理体系,安全管理模型pdca,2019/4/5,21,2.2 信息安全管理体系,2.2.1 什么是管理体系 2.2.2 信息安全管理体系 2.2.3 信息安全管理体系认证,2019/4/5,22,公司信息安全管理体系认证情况 2007年9月公司启动信息安全管理体系认证项目 信息安全认证范围：bpo业务、软件开发 认证机构：bsi，英标管理体系认证（北京）有限公司 首次通过认证的时间：2008年1月2日 证书有效期：三年,2.2.3 信息安全管理体系认证,2019/4/5,23,公司信息安全管理体系方针,2.2.3 信息安全管理体系认证,“优质、高效、安全、规范”,优质：为客户提供高品质的产品和服务；,高效：以最高效率服务客户和发展企业；,安全：保障企业和客户的各项资产安全；,规范：建立规范的管理体系并严格执行。,2019/4/5,24,公司信息安全管理体系目标,2.2.3 信息安全管理体系认证,大面积内网中断时间每年累计不超过100分钟,大规模病毒爆发每年不超过4次,重要信息设备丢失每年不超过1起,机密和绝密信息泄漏事件每年不超过2次,客户针对信息安全事件的投诉每年不超过2次,全员参与信息安全意识活动的比例每年不低于80%,2019/4/5,25,公司信息安全管理体系组织结构,2.2.3 信息安全管理体系认证,管理者代表：丁志鹏 信息安全经理：战月欠,2019/4/5,26,主要内容,1. 信息安全 2. 信息安全管理和信息安全管理体系 3. 信息安全与工作,2019/4/5,27,3. 信息安全与工作,3.1 工作中要接触的信息安全 3.2 建立良好的安全习惯,2019/4/5,28,3.1 工作中可能接触的信息安全,1.后台业务处理工作：对能够接触到的客户信息资产进行分类登记，评估其资产价值，确保所有客户信息资产在工作中安全可靠。 2.现金清点工作：防止现金的遗失、偷盗等安全事件。 3.信用卡录入：防止客户资料外泄；杜绝员工录入资料错误。 4.信用卡营销：防止客户资料外泄。 5.银行卡外呼工作:防止客户资料外泄。 6.业务档案数字加工：会计档案的保密，信息泄露。,2019/4/5,29,3. 信息安全与工作,3.1 工作中要接触的信息安全 3.2 培养良好的安全习惯,2019/4/5,30,3.2培养良好的信息安全习惯,物理安全,1.建立物理安全区域概念； 2.主动学习了解工作区域和非工作区域，熟悉在不同区域自己的权限。 3.学习公司和客户信息安全关于物理安全的规定，建立在什么区域能干什么，不能干什么和如何做的概念。,2019/4/5,31,3.2培养良好的信息安全习惯,计算机使用安全,对个人用计算机要设置帐户密码， 信息安全规定个人电脑口令长度应该不低于6位，服务器口令长度应该不低于8位且最好要为大写字母、小写字母、数字、特殊字符的组合，防止非法用户猜出你的密码； 加强对计算机信息保护，离开机器时要及时对机器锁屏（win+l）； 计算机防病毒软件，经常升级病毒库； 加强对移动计算机的安全保护，防止丢失；,2019/4/5,32,3.2培养良好的信息安全习惯,社交信息安全,不在电话中说工作敏感信息 不通过email传输敏感信息，如要通过email最好加密以后再传输 电话回叫首先要确认身份 防止信息窃取 不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序 不随意打开可执行的邮件附件，如.exe,.bat,.vbs,.com,.pif,.cmd,打开附件时最好进行病毒检查,2019/4/5,3