企业信息安全培训管理层

1、企业信息安全企业信息安全培训管理层第1页目录页安全信息概述一企业信息安全作用二企业信息安全威胁原因三信息安全工作职责四五怎样确保企业信息安全企业信息安全培训管理层第2页信息安全：保障计算机及相关和配套设备、设施（网络）安全，运行环境安全，保障信息安全，保障计算机功效正常发挥，以维护计算机系统安全。企业信息化：企业信息化是指企业广泛利用当代信息技术，充分开发和利用企业内部或外部，企业可能得到和利用，并与企业生产经营活动相关各种信息，方便及时把握机会，做出决议，促进运行效率，从而提升企业竞争力水平和经济效益过程。一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容企业信息安全培训

2、管理层第3页保密性：确保信息没有非授权泄漏，不被非授权个人、组织和计算机程序使用完整性：确保信息没有遭到篡改和破坏可用性：确保拥有授权用户或程序能够及时、正常使用信息一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容企业信息安全培训管理层第4页一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容保密性！不该知道人，不让他知道！完整性！信息不能追求残缺美！可用性！信息要方便、快捷！不能像某国首都二环早高峰，也不能像春运火车站企业信息安全培训管理层第5页实体安全：是保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故破坏办法和

3、过程。实际上，实体安全是指环境安全、设备安全和媒体安全。运行安全：是为了保障系统功效安全实现，提供一套安全办法来保护信息处理过程安全。为了保障系统功效安全，能够采取风险分析、审计跟踪、备份与恢复、应急处理等办法。信息资产安全：是预防信息资产被有意或偶然非授权泄露、更改、破坏或使信息被非法系统辨识、控制，即确保信息完整性、可用性、保密性和可控性。信息资产包含文件、数据等。信息资产安全包含操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、判别等。人员安全：主要是指信息系统使用人员安全意识、法律意识、安全技能等。人员安全意识是与其所掌握安全技能相关，而安全技能又与其所接收安全技能培训相关

4、。所以，人员安全意识是经过培训，以及安全技能积累才能逐步提升，人员安全在特定环境下、特定时间内是一定。一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容企业信息安全培训管理层第6页围绕企业使命一、信息安全概述1信息安全2企业信息化3企业信息化特征4企业信息化内容企业利益企业公民责任客户权益企业使命客户权益企业利益企业公民责任 主要内容正当消费、交易行为个人隐私信息个人资金、虚拟财产 主要内容企业运行秩序企业竞争力企业资产保障 主要内容契约精神法律、法规符合监管要求围绕作用关系企业信息安全培训管理层第7页1、提升企业经营管理信息准确性和及时性，有利于企业决议深入科学化。2、促

5、使企业业务办事程序和管理程序愈加合理，从而有利于增强企业快速反应能力。3、深入促进企业资源合理组合及利用，使其在现有资源条件下到达最正确利用效果，从而大大提升企业生产经营效率和管理效率。4、给企业提供一个强大、快捷信息交流平台，有利于我们紧紧跟踪一些先进经验和结果，从而有助企业发展，提升员工创新能力。二、企业信息安全作用互联网时代企业信息安全培训管理层第8页1-2月，基础电信企业互联网宽带接入用户净增359.3万户，到达10681.8万户 1-4月，我国生产生产手机23290万部，增加34.5%; 微型计算机7112万台，增加50.1%，其中笔记本电脑增加50.6%; 集成电路190亿块，增加

6、78.5% 1-4月，我国累计实现软件业务收入3626亿元，同比增加28.7%。信息技术增值服务收入同比增加38.1%。集成电路设计开发收入228亿元，同比增加63%。软件产品、系统集成和支持服务、信息技术咨询和管理服务、嵌入式系统软件、分别实现1333、728、320和638亿元，分别增加27%、25.1%、26.3%、23%。 我国信息化迅猛发展数据表达？企业信息安全培训管理层第9页1、安全保障体系建设主要贡献者. - 安全保障体系设计与构建；包含：技术体系和管理体系。 - 安全合规基线解读及实现策略设定。 - 安全培训、宣导系统建设。2、安全保障体系运行情况检验者. - 安全管理、技术举

7、措执行效果 - 安全管理、技术举措适用度 - 安全体系PDCA状态 - 安全巡检工作开展 - 安全事件事后审势3、安全合规、事件处置支持者. - 生产运行活动 - 商业行为活动 - 安全事件响应 - 安全合规、整改活动三、企业信息安全工作人员职责企业信息安全培训管理层第10页四、企业信息安全威胁原因1系统原因2自然原因破坏3人为原因信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中止失火雷雨地震企业信息安全培训管理层第11页四、企业信息安全威胁原因1系统原因2自然原因破坏3人为原因1、系统繁杂性。表达：工作站中存在信息数据、移动介质、网络

8、中其它系统、网络中其它资源、访问Internet、访问其它局域网、到Internet其它路由、电话和调制解调器、开放网络端口、远程用户、厂商和协议方访问、访问外部资源、公共信息服务、运行维护环境2、系统、程序、设备中存在漏洞和缺点表达：旧版本浏览器和易受攻击插件、包含不良内容好网站、移动应用程序和不安全Web、不安全“物联网”企业信息安全培训管理层第12页四、企业信息安全威胁原因1系统原因2自然原因破坏3人为原因自然原因破坏是一个不可抵抗破坏力，只能做好预防方针，防患于未然。自然灾害火灾雷电洪水台风企业信息安全培训管理层第13页四、企业信息安全威胁原因1系统原因2自然原因破坏3人为原因人是最关

9、键原因判断威胁起源，综合了人为原因和系统本身逻辑与物理上很多原因在一起，归根结底，还是人起着决定性作用 正是因为人在有意（攻击破坏）或无意（误操作、误配置）间活动，才给信息系统安全带来了隐患和威胁企业信息安全培训管理层第14页四、企业信息安全威胁原因1系统原因2自然原因破坏3人为原因黑客等企业外部人员威胁了解一些黑客攻击伎俩很有必要踩点：千方百计搜集信息，明确攻击目标扫描：经过网络，用工具来找到目标系统漏洞DoS攻击：拒绝服务，是一个破坏性攻击，目标是使资源不可用DDoS攻击：是DoS延伸，更大规模，多点对一点实施攻击渗透攻击：利用攻击软件，远程得到目标系统访问权或控制权远程控制：利用安装后门

10、来实施隐蔽而方便控制网络蠕虫：一个自动扩散恶意代码，就像一个不受控黑客踩点扫描破坏攻击渗透攻击取得访问权取得控制权去除痕迹安装后门远程控制转移目标窃密破坏企业信息安全培训管理层第15页 出生于1964年 15岁入侵北美空军防务指挥系统，窃取核弹机密 入侵太平洋电话企业通信网络 入侵联邦调查局电脑网络，戏弄调查人员 16岁被捕，但旋即获释 入侵摩托罗拉、Novell、Sun、Nokia等大企业 与联邦调查局玩猫捉老鼠游戏 1995年被抓获，被判5年监禁 获释后禁止接触电子物品，禁止从事计算机行业世界头号黑客 Kevin Mitnick企业信息安全培训管理层第16页四、企业信息安全威胁原因1系统原

11、因2自然原因破坏3人为原因威胁更多是来自企业内部黑客即使可怕，可更多时候，内部人员威胁却更易被忽略，但却更轻易造成危害。管理弱点：策略、程序、规章制度、人员意识、组织结构等不足 据权威部门统计，内部人员犯罪（或与内部人员相关犯罪）占到了计算机犯罪总量70%以上。员工误操作蓄意破坏企业资源私用企业信息安全培训管理层第17页将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人邮件，好奇打开邮件附件使用轻易猜测口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息随便拨号上网，或者随意将无关设备连入企业网络事不关己，高高挂起，不汇报安

12、全事件在系统更新和安装补丁上总是行动迟缓只关注外来威胁，忽略企业内部人员问题人最常犯一些信息安全错误企业信息安全培训管理层第18页五、怎样确保企业信息安全1培养员工安全意识2制订企业信息安全管理制度外因是条件 内因才是根本！一个巴掌拍不响！提升人员安全意识和素质势在必行！企业信息安全培训管理层第19页五、怎样确保企业信息安全1培养员工安全意识2制订企业信息安全管理制度2慎重打开不明邮件。好奇心过强，对于系统提醒为垃圾邮件、钓鱼邮件内容充满好奇心，点开之后会造成一些病毒等侵入系统，造成信息泄露。垃圾邮件钓鱼邮件企业信息安全培训管理层第20页五、怎样确保企业信息安全1培养员工安全意识2制订企业信息

13、安全管理制度 个人计算机信息安全防护口令防病毒软件补丁管理帐户管理移动存放设备管理共享、网络安全软件更新、配置日志、审核服务管理3、熟悉电脑保护知识。了解电脑密码、病毒处理等方法，降低信息泄露。企业信息安全培训管理层第21页五、怎样确保企业信息安全1培养员工安全意识2制订企业信息安全管理制度1、明确信息安全责任，健全信息安全事故调查机制。建立安全组织与落实责任是实施信息安全管理第一步。 谁主管谁负责，谁运行谁负责！企业信息安全培训管理层第22页五、怎样确保企业信息安全1培养员工安全意识2制订企业信息安全管理制度2、宣传企业信息安全奖惩制度，鼓动员工维护信息安全主动性。依据（集团）信息安全奖惩管理要求第23条要求：安全奖励事件对应三类奖惩级别，从贡献程度由高到低