员工信息安全意识培训PPT幻灯片

员工信息安全培训信息安全管理部,1,2020/5/17,主要内容,一、信息安全的必要性,二、信息安全概述,三、商业秘密保护,四、欠款人隐私保护,五、安全管理规范,2,2020/5/17,信息安全保护的必要性,一、信息安全保护的必要性,案例一华为公司人员流动泄密案,原华为3名技术人员王志骏、刘宁、秦学军辞职后，成立了上海沪科科技有限公司，并将“窃取”的核心技术资料卖给了华为公司的直接竞争对手，使其通过使用华为公司的商业秘密开发出与华为公司功能相同的产品。2002年8月，深圳市检察机关批准逮捕王志骏等三人，最终三人分别被判处有期徒刑2-3年。华为在此案中的损失超过1.8亿元人民币。案例二可口可乐的商业秘密保护可口可乐的配方自1886年在美国亚特兰大诞生以来,已保密达120多年之久。可口可乐百年不倒,基业常青的“定海神针”只提供用最关键技术制出的半成品给对方，而不提供原浆（半成品）生产的配方及技术。可口可乐中占不到1%的神秘配料“7X100”仅极少数人知道。“保住秘密，就是保住市场”,3,2020/5/17,信息安全概述,二、信息安全概述,信息安全,商业秘密保护,客户（欠款人）隐私保护,经营信息,技术信息,4,2020/5/17,商业秘密,定义：商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利采取保密措施的技术信息和经营信息。构成要件：秘密性：不为大众所知悉信息所有人根据当时的条件釆取了相应保密措施实用和价值性：商业秘密在企业的生产活动和经营活动中,是客观有用的,能够在实际操作中给企业带来一走的利益。涉及的法律:民法通则、合同法反不正当竞争法、劳动法、劳动合同法中华人民共和国刑法,商业秘密,5,2020/5/17,侵犯公司商业秘密权的法律责任,民事责任：违反保密协议，构成违约；造成商业秘密权利人损失，构成侵权；应当承担损害赔偿等民事责任。（合同法第60、43、92条；劳动法第102条；侵权责任法等）行政责任：工商行政管理机关责令停止违法行为，并可以根据情节处以1万元以上20万元以下罚款。（反不正当竞争法第25条；关于侵犯商业秘密行为的若干规定第7条）刑事责任：构成侵犯商业秘密罪（刑法第219条）,侵犯公司商业秘密权的法律责任,6,2020/5/17,隐私保护,客户隐私保护（欠款人）,保护内容,欠款人的姓名、证件号码、年龄、职业、联系方式、健康状况、家庭状况、财产状况、单位地址、家庭地址等与欠款人个人及其家庭密切相关信息的保护。凡涉及公司经营的信息和欠款人数据信息的内容都属保密之列，不得向第三人泄露。,7,2020/5/17,安全管理规范,三、安全管理规范,(一)终端安全,1、计算机硬件设备公司所有人员应保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，计算机出现故障时应及时向技术部报告，不允许私自处理和维修。为确保硬盘的安全，将用户主机贴上封条标签，除技术部人员外，任何人不得私自拆开机箱，若信息安全管理部进行电脑硬件故障排查时，拆除封条标签后，在故障排查结束及时更换新的封条标签。技术部将定期检查，若发现有封条拆开痕迹，将查看视频监控记录，追查相关人责任。,8,2020/5/17,安全管理规范,(一)终端安全,催收用电脑专人专用，独立ID密码登录，物理并电子屏蔽USB、光驱等接口，鼠标键盘使用圆头插孔。催收用电脑物理隔离外联网络；配备业务专用电话，且专人使用。发现由以下等个人原因造成硬件的损坏或丢失的，其损失由当事人如数赔偿：违章作业；保管不当；擅自安装、使用硬件和电气装置。主机报废有登记，记录完整。公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告，说明损坏原因，不得擅自更换。公司会视实际情况进行处理。,9,2020/5/17,安全管理规范,(一)终端安全,工作电脑仅做日常办公使用，不允许私自改变电脑设置及安装外部其它软件。催收人员只能登陆属于自己的计算机和对应权限，不能私自用他人计算机或者登陆其他管理权限。下班后所有不再使用的计算机，应关闭主机、显示器电源，以防止意外，对于共同使用的计算机，原则上由最后一个退出系统的使用人员关机，并关闭电源。外人未经公司领导批准不得操作公司计算机设备。,10,2020/5/17,安全管理规范,(一)终端安全,禁止在主机中存放客户任何资料。禁止将开机密码、系统密码告知他人。禁止私自修改主机已有设置。禁止使用主机做无关业务的事情。,2、其它,11,2020/5/17,安全管理规范,（二）网络设备及网络安全,外来设备不允许接入公司内部网络，如有业务需要，需申请审批通过后方可使用。外来设备包括带到公司的笔记本电脑、平板电脑等。,12,2020/5/17,安全管理规范,（三）办公区域安全,上班期间进出大门需关闭，配置电子门禁的，在职人员需凭借本人指纹方能进入工作区。外来人员需登记，要有访客登记记录。未经允许不得安排外来人员参观，参观人员须有公司指定人员陪同。发现有陌生人已进入办公区，及时制止。催收作业人员上班期间将个人手机上交至专人保管，包包集中放置在规定区域存放。,13,2020/5/17,安全管理规范,（三）办公区域安全,办公区域内禁止吸烟。催收作业人员工作时间外出需登记。每天下班时应保证办公桌的整洁，将重要文件资料存放在指定地点，并检查确保办公桌上没有存放重要文件或其他有可能泄露本部门工作内容的信息源。若因资料没有存放好，被他人取走，造成的后果将由本人承担。值班人员负责下班后的安全防范工作，下班时应检查办公室门窗及电源的安全情况。如值班人员下班时仍有员工在加班，则须做好交班工作。节假日及双休日值班人员负责节假日及双休日的安全防范工作，发现情况应及时向综合管理管理中心负责人报告处理。,14,2020/5/17,安全管理规范,（四）纸质资料安全,1、文件打印所有人员不得私自将公司文件打印带出公司，一经发现，严肃处理。若在上班时间，打印工作文件时，需要即刻在打印机处等候文件的打印，文件打印完成后马上取走，若因文件打印时有其他紧急事件，应该通知本部门人员代为领取打印文件。敏感部门应申请配置专用打印机。禁止一切打印后未及时取走打印文件的行为，一经发现，将对本人警告，若因打印后，文件丢失，造成信息资料外泄，则由本人承担相关责任。,15,2020/5/17,安全管理规范,（四）纸质资料安全,外访资料打印专人管理，并做登记，打印份数和回收数量保存一致。催收作业电脑不允许连接打印机设备。2、资料的使用、交接、保存及销毁明确资料使用范围，严禁私自将敏感资料拿给无关人员借阅。使用过程中保持资料纸面整洁。资料借阅、移交时需登记，明确交接时间、资料名称、交接人、接收人等。,16,2020/5/17,安全管理规范,（四）纸质资料安全,禁止随意放置带有客户敏感信息的纸质材料，这里的敏感信息是指带有客户姓名+身份证号、客户姓名+地址或是已盖章、客户签收的律师函和还款承诺书等。外派单、银行往来文件、客户签收文件等需留存的纸质文件由专人分类保管，采取物理方法进行隔离。纸质文件在保管期满后，采用粉碎或焚烧方式进行销毁，销毁必须经过管理层审批，销毁过程中要求至少有两人在场进行监督，并在销毁完成后填写销毁登记表，列明销毁文件的名称、卷号、所属部门等内容，由参与销毁人员签字确认。,17,2020/5/17,安全管理规范,（五）数据传输、保存、销毁安全,1、数据传输业务数据传送，要进行加密，加密密码最低8位，由大小写英文字母、数字组合，根据甲方要求使用期限进行更换。禁止通过微信、QQ等社交软件，以及免费电子邮箱传输敏感信息，如传输：“姓名+身份证号、姓名+地址”。2、数据保存催收人员电脑硬盘不允许保存任何文件。管理人员、后勤人员电脑桌面上的文件应每周末拷贝到非系统盘符中（C盘以外）或不要在桌面存放任何工作性文件资料，重要文件需加密。,18,2020/5/17,安全管理规范,（五）数据传输、保存、销毁安全,3、数据销毁电子文件的销毁一般分为两种，一种是在计算机系统中将需销毁文件直接进行删除；另一种是将电子档案的存储介质通过格式化、粉碎、消磁或者高温破坏等方式进行销毁。销毁必须经过管理层审批，销毁过程中要求至少有两人在场进行监督，并在销毁完成后填写销毁登记表，列明销毁文件的名称、卷号、所属部门等内容，由参与销毁人员签字确认。,19,2020/5/17,安全管理规范,（五）数据传输、保存、销毁安全,4、邮箱管理密码用户的邮箱开通后，应立即修改自己的邮箱密码。严禁将密码告知他人。邮箱管理为了能正常收发邮件，应经常清理邮箱，避免因邮箱容量不足出现不能正常收发邮件的情况。用户使用邮箱应严格遵守各项法律法规制度，不利用邮箱发布广告和垃圾邮件。企业邮箱只限于工作使用，任何人不得用于收发私人信件等其他用途。,20,2020/5/17,安全管理规范,（五）数据传输、保存、销毁安全,企业邮箱客户端必须安装杀毒软件，防止病毒通过邮件传播。任何人不得擅自将密码告知他人。邮件加密以邮件形式告知甲方解密邮件通用密码。非甲方特殊要求，一旦涉及到客户敏感信息，如证件号码，在发送邮件时必须加密。邮件销毁邮箱只保存最近一个月内的邮件，超过一个月的邮件本地备份后进行删除。使用专用备份设备存储备份的邮件，并加密。,21,2020/5/17,安全管理规范,（六）密码风险,涉及到密码的主要有业务机密码、催收系统密码、行政办公电脑密码。1、业务机密码密码应至少8个字符，由字母和数字组成。密码由业务机用户和计算机管理员商议确定，并由两人同时在场设定。设定完成后由用户掌握密码，计算机管理员将密码封存。密码使用过程中不允许私自更改。,22,2020/5/17,安全管理规范,（六）密码风险,2、催收系统密码催收系统用户名由系统管理员设定。系统自带密码控制机制，限制登陆密码至少8个字符，由字母和数字组成。密码由系统用户在OA界面自行设定。密码必须每3个月更换一次。计算机管理员、系统管理员、业务员调离岗位后一小时内由部门负责人监督检查。,23,2020/5/17,安全管理规范,（六）密码风险,3、行政办公电脑密码密码应至少8个字符，由字母和数字组成。密码由业务机用户和计算机管理员商议确定，并由两人同时在场设定。设定完成后由用户掌握密码，计算机管理员将密码封存。,24,2020/5/17,安全管理规范,（七）移动存储设备,一律禁止私人携带移动存储设备进入办公区域，移动设备包括但不限于U盘、移动硬盘、数据相机、存储卡、带拍照和存储功能的手机等。专人负责移动存储设备发放工作，需要使用移动存储设备的部门或者个人需提出申请，并说明用途，到综合管理中心领用。移动存储设备损坏不得擅自拆卸，严禁将损坏涉密移动存储介质出售或随意丢弃，应立即交回行政部统一处理。涉密移动存储介质严禁外送维修，确需维修需经公司主管领导批准，维修时应在公司指派人员的监督下进行。,25,2020/5/17,安全管理规范,（七）移动存储设备,不再使用或报废的涉密移动存储介质，应交回综合管理中心，由信息安全管理部采取保密技术手段确保其所存储信息不可恢复或进行物理销毁。销毁涉密移动存储介质须经公司领导批准，并履行登记、相关人员签字等手续。移动存储设备严禁外借，严禁将涉密移动存储介质交与责任人以外的其他人员或者亲属使用。涉密人员离职离岗前，要将所保管的涉密移动存储介质全部退回，备份其设备使用日志，并办理相关移交手续。移动存储设备原则上不得带离公司使用，如确因工作需要需带离公司的，须经公司领导批准，并确保涉密移动存储介质始终处于携带责任人的有效控制之下。,26,2020/5/17,安全管理规范,（七）移动存储设备,严禁以明文的形式将资料存储在移动存储设备中，应配备资料使用口令或钥匙，口令设置应满足安全需要，不得过于简单和容易猜测，禁止将解密钥匙与资料同时存放在同一个移动存储介质中。设备带回后应交由信息安全管理人员确认介质序列号，并作病毒木马扫描等日常处理，方可实行联机操作，接入单位内部使用。,27,2020/5/17,安全管理规范,（八）其他风险,公司制定和完善相关制度；员工必须严格遵守；信息安全管理部负责保密及信息安全的总体管理工作。入职后必须签订保密协议，公司支付保密津贴，员工离职之后仍对其在任职期间接触、知悉的保密信息承担如同任职期间一样的保密义务；离职时，员工必须交回或销毁相关保密信息。不得携带保密资料出办公区，因业务需要必得外出使用相关资料信息时，使用人须得登记。不得以任何方式复制保留、泄露保密信息，或将保密信息挪作他用。不得在办公室存放私人贵重物品或大笔现金，离开办公室（室内无人）应随即锁门。,28,2020/5/17