员工信息安全培训PPT.ppt

,员工信息安全培训法务部,一、信息安全保护的必要性二、信息安全概述三、商业秘密保护四、消费者隐私保护五、1号店信息安全管理体系,培训内容介绍,案例一华为公司人员流动泄密案案例二可口可乐的商业秘密保护,原华为3名技术人员王志骏、刘宁、秦学军辞职后，成立了上海沪科科技有限公司，并将“窃取”的核心技术资料卖给了华为公司的直接竞争对手，使其通过使用华为公司的商业秘密开发出与华为公司功能相同的产品。2002年8月，深圳市检察机关批准逮捕王志骏等三人，最终三人分别被判处有期徒刑2-3年。华为在此案中的损失超过1.8亿元人民币。,一、信息安全保护的必要性,可口可乐的配方自1886年在美国亚特兰大诞生以来,已保密达120多年之久。可口可乐百年不倒,基业常青的“定海神针”只提供用最关键技术制出的半成品给对方，而不提供原浆（半成品）生产的配方及技术。可口可乐中占不到1%的神秘配料“7X100”仅极少数人知道。“保住秘密，就是保住市场”,二、信息安全概述,信息安全,商业秘密保护,消费者隐私保护,经营信息,技术信息,定义：商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利采取保密措施的技术信息和经营信息。构成要件：秘密性：不为大众所知悉信息所有人根据当时的条件釆取了相应保密措施实用和价值性：商业秘密在企业的生产活动和经营活动中,是客观有用的,能够在实际操作中给企业带来一走的利益。涉及的法律:民法通则、合同法反不正当竞争法、劳动法、劳动合同法中华人民共和国刑法,三、商业秘密,据国家工商局关于禁止侵犯商业秘密行为的若干规定中解释，技术信息包括“设计、程序、产品配方、制作工艺、制作方法等”。据国家科委关于加强科技人员流动中技术秘密管理的若干意见解释，“本单位的技术秘密是指由单位研制开发或者以其他合法方式掌握的、未公开的、能给单位带来经济利益或竞争优势，具有实用性且本单位采取了保密措施的技术信息，包括但不限于设计图纸（含草图）、试验结果和试验记录、工艺配方、样品、数据、计算机程序等。技术信息可以是有特定的完整的技术内容，构成一项产品、工艺、材料及其改进的技术方案，也可以是某一产品、工艺、材料等技术或产品中的部分技术要素”。,商业秘密中的技术信息,案例三浙江鑫富药业商业秘密被盗取案2006年7月17日，突然有人向浙江鑫富举报，称该公司的核心技术，已经被山东新发药业有限公司盗取！经查实，两年间，山东新发药业通过浙江鑫富药业生产调度员马某等，盗得了一整套“喷雾干燥反应器”的设计图纸、生产操作规程和生物酶样本有了设计图纸，有了生物活性酶，李新发立刻上马生产，公司维B5产量迅速“从原来的200吨飞涨至2000吨”，直逼浙江鑫富。更让鑫富药业担忧的是，新发药业在提高产量后，迅速以低于鑫富药业25%的价格与之展开“贴身肉搏战”，抢占市场份额，导致该生产领域时刻面临全球重新洗牌,据中华人民共和国反不正当竞争法解读中解释，经营信息包括：（1）新产品的市场占有情况及如何开辟新市场；（2）产品的社会购买力情况；（3）产品的区域性分布情况；（4）产品长期的、中期的、短期的发展方向和趋势；（5）经营战略；（6）流通渠道和机构等。“国家工商局关于禁止侵犯商业秘密行为的若干规定中解释，经营信息包括：“管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容等信息。”,商业秘密中的经营信息,案例四采购渠道案例56岁的洛配兹是美国通用汽车公司采购部负责人，人称成本杀手，在他担任通用公司负责人的3年中，在汽车零件上为通用公司节约了约30亿美元。1993年3月15日，洛配兹带领7名助手投奔德国大众公司。他的跳槽直接威胁通用公司的竞争优势。克林顿总统甚至命令联邦调查局采用侦查手段。1996年3月7日，通用公司向美国底特律地方法院提交了99页的起诉书。后双方达成和解，洛配兹脱离大众公司，在2000前不得作为雇员或者顾问为大众公司服务。,1、在诉讼中，客户名单的秘密属性经常基于以下原因被否定：A、客户名单易于从公开的媒体上获得；B、所有的竞争者都能通过相同的途径取得该客户名单；C、客户名单在该领域内极为有名。如果客户名单仅仅包括众所周知的信息，而且这些信息很容易可以被第三人获得，则不视为商业秘密。2、但是，如果对这些取材于公众渠道的信息，耗费了人力和财力，进行了投资和整理，那么整理后的信息就有可能成为商业秘密，得到法律保护，实际上也就反应了对权利人劳动的保护。3、同时，商业秘密必须是不易通过正当手段或途径取得的信息，易于取得的信息不能独占使用，也就不能构成商业秘密。所以，“他人正当获取客户名单的难易程度”也是判断客户名单商业秘密属性时所应该考虑的重要因素。商业秘密中的客户名单一般是指客户的名称、地址、联系方式以及交易的习惯、意向、内容等构成的区别于相关公知信息的特殊客户信息，包括汇集众多客户的客户名册，以及保持长期稳定交易关系的特定客户。,讨论：客户名单是否属于商业秘密？,民事责任：违反保密协议，构成违约；造成商业秘密权利人损失，构成侵权；应当承担损害赔偿等民事责任。（合同法第60、43、92条；劳动法第102条；侵权责任法等）行政责任：工商行政管理机关责令停止违法行为，并可以根据情节处以1万元以上20万元以下罚款。（反不正当竞争法第25条；关于侵犯商业秘密行为的若干规定第7条）刑事责任：构成侵犯商业秘密罪（刑法第219条）,侵犯公司商业秘密权的法律责任,员工方面：1、遵守公司的信息安全制度，对保密信息采取保密措施，不随意扩散，不主动获取超出职权范围的信息；2、遇到不确定或侵犯公司商业秘密的情形，积极向主管或法务部门请示和反映。部门主管：1、信息安全制度与体系的遵守与执行；2、文档的分级、归档、管理、保存和销毁等；3、对员工信息安全方面的指导与培训。,商业秘密保护的合规性要求,定义：消费者的姓名、性别、年龄、职业、联系方式、健康状况、家庭状况、财产状况、消费记录等与消费者个人及其家庭密切相关信息的保护。即将于2014年3月15日施行的新消费者权益保护法首次将消费者信息列为保护内容。法条链接：第十四条消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。第二十九条经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。第五十条经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。,四、消费者隐私保护,案例五1号店信息泄露案件案例六非法窃取用户信息，锒铛入狱！,四、消费者隐私保护,从2012年5月24日开始，一些网站和媒体开始以“黑客售卖90万用户资料”为标题公开报道有人通过QQ兜售1号店的用户数据，引起公安机关注意，随后控制涉案人员11人。经公安机关和检查机关经调查取证后，对销售、转卖和购买用户资料的嫌疑人向浦东新区人民法院提起公诉，截止2013年11月，刘某某、徐某某等已被浦东新区人民法院判处6个月到8个月不等的有期徒刑并处数万元罚金。尚有案件在审理当中。,海航优悦公司副总裁徐某授意该公司信息部负责人，即彭某购买1号店客户信息，彭从原1号店员工繆某处取得1号店数据库账号、密码、配置服务器的IP地址及端口等信息，先后三次窃取1号店客户订单信息300余万条（去重后达40万余条顾客信息），一审判决如下：徐某：非法获取公民个人信息罪，判处有期徒刑九个月，罚金一万五千元；彭某：非法获取公民个人信息罪和职务侵占罪，判处有期徒刑一年九个月，罚金一万五千元；繆某，非法获取公民个人信息罪，有期徒刑十个月，罚金一万五千元。,民事责任：违反消费者保密协议，构成违约；损害消费者民事权益，构成侵权；应当承担停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。（消费者权益保护法第48条；侵权责任法第2、36条；最高人民法院关于贯彻执行若干问题的意见第140条；最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释第1、3条）行政责任：工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得1倍以上10倍以下的罚款，没有违法所得的，处以50万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照。（消费者权益保护法第56条）刑事责任：在明知他人实施犯罪活动，仍提供消费者个人信息，构成相应犯罪的共犯；向不特定第三人散布消费者个人信息，造成消费者人格尊严和名誉权严重损害的，构成侮辱罪。（刑法第246条）,侵犯消费者隐私权的法律责任,1、收集和使用消费者个人信息前向消费者说明收集、使用的目的和方式；2、收集和使用消费者个人信息必须征得对方同意；3、对收集的材料采取合理的保密措施，确保个人信息不受第三方的非法获取和使用；4、收集和使用消费者个人信息应在合理范围内，不得超出必要限度。,消费者隐私保护的合规性要求,五、1号店信息安全管理体系,1号店信息安全制度,根据1号店信息安全策略制定并颁布的信息安全制度，下列所有制度均可以PortalIT制度栏目中查阅。,C1-IT-Security-PM01-SD001-信息安全方针C1-IT-Security-PM01-SD002-物理和环境安全管理规定C1-IT-Security-PM01-SD003-第三方安全管理规定C1-IT-Security-PM01-SD004-系统访问控制管理规定C1-IT-Security-PM01-SD005-网络安全管理规定C1-IT-Security-PM01-SD006-系统安全管理规定C1-IT-Security-PM01-SD007-符合性管理规定C1-IT-Security-PM01-SD008-风险评估管理规定C1-IT-Security-PM01-SD009-信息安全事件管理规定C1-IT-Security-PM01-SD010-数据安全管理规定C1-IT-Security-PM01-SD011-备份管理规定C1-IT-Security-PM01-SD012-业务连续性管理规定C1-IT-Security-PM01-SD013-信息安全纪律处分管理规定C1-IT-Security-PM01-SD016-人员安全管理规定C1-IT-Security-PM01-SD017-信息资产管理规定C1-IT-Security-PM01-SD019-恶意代码防范管理规定C1-IT-Security-PM01