华为信息安全宣传.ppt

,信息资产识别与定级,资产密级,绝密,机密,秘密,内部公开,基于与战略竞争对手拉开并保持差距的市场竞争策略，在市场竞争态势中使我司处于优势地位，且对未来业务和产品发展有重大影响的，或战略竞争对手特别关注，获取后将严重影响我司产品核心竞争优势的信息资产。包括但不限于：算法、架构、方案、特性、需求、规划等。其载体包含但不限于：源代码、原理图、文档、会议纪要等。关键信息资产占信息资产总量的5%左右。关键资产需要加密，例外情况需备案。,关键资产以外的信息资产，包括秘密和内部公开两个密级。跨产品/跨部门的非关键信息资产申请由需求方主管说了算。秘密级不应加密。内部公开级不允许RMS加密。在Hi3MS发布或存放的文档不允许加密。,关键资产,非关键资产,华为研发安全环境分区：红区、黄区、绿区,关键信息资产,非关键信息资产,红区（高）,黄区（中）,绿区（低）,针对以安全保护为主的、涉及大量/集中关键信息资产的关键项目或产品的部门,竞争激烈领域的主力产品，关键技术、主力平台，识别为关键项目的预研、规划、审计、开发、测试等业务,针对以安全与效率平衡、涉及分散关键信息资产的项目或产品的部门,一般的产品、技术、平台的预研、规划、设计、开发、测试环境,针对以共享为主、效率优先，不涉及关键信息资产的部门,合作、外包、对外演示、对外测试、移动办公环境,大量集中,信息资产环境部门业务,网络环境安全分区隔离与管控,红区完全独立黄区业务上云用户和实验室迁入绿区，仅少量继续保留在黄区用户跨区访问必须经数传跳转,信息资产的获取与共享,只要业务需求是合理的，任何人无权拒绝提供信息或擅自提高主管审批级别；对于阻碍信息共享的行为，可以进行投诉。内部信息交流或对公司外提供信息时，应遵循以下审批原则：,信息资产跨区域传输的安全通道,信息资产的清除,包含保密信息的存储介质/设备，在进行数据清除时，要求如下：,权限管理：权限分类与定义,定义基本权限能够满足本岗位工作所需的必要权限，该权限在员工到岗后自动授权例外权限基本权限不能满足工作需要，须经流程申请获得的权限系统权限信息资产存储系统的系统管理、应用平台管理、应用管理（数据管理）等权限，须经流程申请并经审批后授权并纳入机要管理机要权限机要岗位所特有的权限，包括信息资产及重要数据系统的权限设、数据管理、数据出口管理、数据传递等权限,权限管理：授权与行权,授权,基本使用/审批权,数据库导入,例外使用/审批权,例外权限申请,数据管理权,例外权限申请,数据传递权,例外权限申请,监督权/问责权,例外权限申请,行权（数传）,行权（审批）,提取关键资产,数据管理员,传递关键资产,数传员,“虎符”制,申请使用人,需求使用确认需求方二级审批人,需求合理性确认生成方二级审批人,审批生成方研发部长,确认首席机要员,冒泡检测,监督/问责信管办,权限分离,权限监督,例外权限：信息资产查阅与获取流程冒泡问责机制,信息资产管理平台-iRight,信息资产管理平台-iRight（续）,研发关键信息资产的识别流程（IPD类）,1、流程支撑关键信息资产的识别、评审、加密活动均有IT流程支撑（iRight权限平台）2、例行识别在TR2前识别关键信息资产并完成定密，制定信息安全策略3、例行刷新在TR5对关键信息资产清单重新审视4、例行解密在进入后生命周期阶段对关键资产降密进行评审,研发关键信息资产的识别流程（非IPD类）,技术断裂点的设计,“技术断裂点”可以形象的理解为“技术屏障”，是防止竞争对手追赶的“护城河”，是与竞争对手“形成差距、拉开差距、保持差距”的技术措施，技术断裂点可以避免竞争对手快速跟进，做出同样的产品。防止战略竞争对手获取（如排他