新员工信息安全培训：信息安全是每位员工的执业操守

信息安全是每位员工的执业操守认识信息安全信息安全的重要性信息技术部在信息安全方面的工作内容简介每个员工都有信息安全的职责和义务典型案例讲解（互动）相关制度法规123456目录信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。信息安全主要包括以下四个方面的内容，即需保证信息的保密性、真实性、完整性、可靠性。认识信息安全认识信息安全信息安全的重要性信息技术部在信息安全方面的工作内容简介每个员工都有信息安全的职责和义务典型案例讲解（互动）相关制度法规目录123456从斯诺登事件、习近平总书记亲自担任中央网络安全和信息化领导小组组长的消息中认识到信息安全的重要性。习总书记说：“没有网络安全，就没有国家安全。”网络安全是信息安全的一个重要内容。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。对于银行系统来说，信息安全尤为重要，关系到客户的资金安全、银行的自身经营，乃至国家的经济命脉。总行李庆萍行长亲自分管信息技术部。信息安全的重要性认识信息安全信息安全的重要性信息技术部在信息安全方面的工作内容简介每个员工都有信息安全的职责和义务典型案例讲解（互动）相关制度法规目录123456（一）信息安全的核心任务：在信息安全方面的工作内容简介保证业务连续性保证数据安全性1、保证业务连续性：在信息安全方面的工作内容简介实例：某国有股份制商业银行，前几年出现了全国停机三小时的故障，人民银行暂停了他们全年的新网点申请的批复。通常采用的方法：避开生产时间预警技术冗余技术人工检查避开生产时间：一些运行维护的处理，比如停机检查、扩容升级、数据备份清理等操作，放在营业结束后进行；对于影响7*24小时业务的维护处理，放在午夜进行，一般需要2点以后。在信息安全方面的工作内容简介预警技术：使用技术手段侦测到故障之后，通过日志、短信、铃声、灯光等方式预警。在信息安全方面的工作内容简介冗余技术：对重要设备和线路使用各种冗余技术，比如采用双电源、双线路来保证生产安全；采用RAID技术保证数据安全，当一块硬盘出现故障时，不会造成数据丢失，及时更换即可保证安全等。人工检查：7*24小时的值班工作、系统管理员日常检查维护，发现问题端倪，从而把问题及时扼杀在摇篮里，或出现故障及时解决。2、保证数据安全性：在信息安全方面的工作内容简介信息安全是保证信息的保密性、真实性、完整性、可靠性。数据一旦丢失，会造成无可估量的损失。数据管理的专业性较强，涉及数据库技术、存储技术、加密技术等。（二）信息安全的日常管理工作：在信息安全方面的工作内容简介网络管理机房管理事件管理问题管理操作管理数据管理应急管理变更管理项目管理1、网络管理：规范的网络架构、实时的告警系统、严格的隔离策略、冗余的网络环境。在信息安全方面的工作内容简介2、机房管理：技术监控措施、24小时值班、运行维护巡检、冗余设备线路。3、事件管理：事件报告、事件受理、事件解决、事件反馈、事件汇总分析。5、操作管理：操作培训、操作准备、操作实施、操作值班、操作记录。在信息安全方面的工作内容简介6、数据管理：数据的日常管理、备份管理、存储介质的保管和抽检、数据恢复管理、数据的清理和转储管理、数据保密管理、数据使用管理。4、问题管理：问题报告、问题受理、问题解决、问题反馈、变更汇总分析。8、变更管理：变更申请、受理、预审、评审、审批、实施、反馈、汇总。在信息安全方面的工作内容简介9、项目管理：业务需求管理、立项管理、项目实施管理、项目测试及验收、项目上线投产管理、跟踪维护及项目后评价、项目变更管理。7、应急管理：应急组织体系、应急准备、应急演练、应急启动和应急处理、信息报告与披露、系统恢复和重建、应急终止。在信息安全方面的工作内容简介ITIL即IT基础架构库(InformationTechnologyInfrastructureLibrary,ITIL，信息技术基础架构库)，自从面世以来，已发展成为世界上最为广泛认可的IT服务管理方法，为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。现在银行信息系统的运维，可以用“指尖上的运维”来形容，通过这些细致工作，来保障业务的连续性以及信息系统的安全运行。认识信息安全信息安全的重要性信息技术部在信息安全方面的工作内容简介每个员工都有信息安全的职责和义务典型案例讲解（互动）相关制度法规目录123456在信息时代，信息安全，人人有责。每个员工都有信息安全的职责和义务信息技术部负有管理职责并承担专业技术层面的工作。信息安全渗透到每个部门、每个员工的日常工作的方方面面，与全行每位员工息息相关，是每个员工的职责和应尽的义务。每个员工都有信息安全的职责和义务如果没引起足够的重视，必然带来严重风险，不仅会给单位带来损失，而且个人也要受到行规行纪甚至是国家法律的处罚。实例：十几年前，员工在网上下载游戏，带来了致命的尼莫病毒，造成全网瘫痪，甚至影响生产的所有交易。请登录总行网络学院进行学习。网址为每个员工都有信息安全的职责和义务着重强调的内容：网络安全重要信息系统安全其他常见威胁信息安全的行为客户信息安全保护每个员工都有信息安全的职责和义务（一）网络安全：网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。根本目的就是使内部信息不受内部、外部、自然等因素的威胁。为保障信息安全，要求有信息源认证、访问控制，不能有非法软件驻留，不能有未授权的操作等行为。每个员工都有信息安全的职责和义务我行实行生产网、办公网及互联网三网物理隔离。生产网：运行着通过各种渠道接入总行核心的信息系统。办公网：运行日常办公用系统，例：OA系统、绩效考核系统及分行其他管理信息系统。互联网：也叫外网，提供员工日常浏览互联网查询资料等用途。每个员工都有信息安全的职责和义务每一台计算机及相关设备，在配备时，已规定好接入的网络，不允许混接。座位下的信息口已设置好接入的网络，除信息技术协管员外，不得私自连接网络线。每一台设备都需安装统一的防病毒软件，不得私自卸载，且不得安装其他杀毒软件。总行统一的软件是趋势防病毒软件，分生产网和办公网两个版本，互联网也使用办公网版本，两个版本不得混用。每个员工都有信息安全的职责和义务1、生产网我行核心网络区域，承载日常最重要的生产性数据。需经由分支机构或部门信息技术协管员向分行信息技术部提出申请，在进行一系列的安全监测、网络设置以及防病毒等防护软件安装后，方可将设备接入。接入设备包括：柜台终端及外设，生产系统使用的微机、打印机、自助回单箱、自助终端等与生产相关的设备。每个员工都有信息安全的职责和义务严格禁止插入USB存储介质，如U盘、移动硬盘、闪盘等。确需导入生产网设备的文件，需在办公网微机上进行病毒扫描后，通过文件中转平台（）传入生产网设备。特别注意：严禁使用生产网微机对手机等移动设备进行充电。绝对不允许擅自在生产网设备上安装任何软件（包括输入法）。每个员工都有信息安全的职责和义务2、办公网日常工作中最经常接触、使用的各类设备。承载着我行公文系统、邮件系统、业绩考核系统、综合查询系统、网络学院等各类管理信息系统及应用。可直接使用U盘、移动硬盘等存储介质。部分因工作需要的员工，经过一系列的审批后，可通过代理方式连接至互联网。最容易感染病毒、泄露敏感信息、以及出现各类千故障。每个员工都有信息安全的职责和义务当单台设备出现安全隐患或者故障，影响正常办公使用时，员工可向各自部门或支行的信息技术协管员求助，由他们负责解决；如果协管员无法解决，由协管员统一向分行信息技术部求助，并配合解决。相关技术人员亦会尽快解决，有时可通过远程的方式。全行设备有五千多台、员工众多，也请体谅信息技术部的难处。每个员工都有信息安全的职责和义务3、互联网访问方式为个人域用户通过办公用机代理上网。采用实名制管理，域账户和员工一一对应。出现违规事件或上网行为需责任追究时，以域用户名为追究依据。特别注意：严禁将个人域用户“友情”提供给他人使用，或采用简单密码。除此之外严禁生产网、办公网中设备以任何形式接入互联网，包括无线路由、运营商3G卡、多网卡等总行严令禁止的方式。每个员工都有信息安全的职责和义务员工上网需通过审批，仅为工作需要。特别注意：严禁上网下载与工作无关的软件、阅读或点击来历不明的邮件、访问内容不健康的网站、上网玩游戏等。信息技术部留存用户使用互联网的详细记录，对于不合规的上网行为，将予以不定期通报；对于将我行敏感信息通过互联网传播、计算机受病毒感染或被驻留后门而影响网络正常运行等恶劣行为，将追究当事人及所在部门责任；对于触犯法律的行为，将配合公安部门依法追究当事人的法律责任。每个员工都有信息安全的职责和义务（二）重要信息系统安全：计算机需设置屏幕保护密码。用户密码务必妥善保管，并定期（一般为3个月）修改，不随便将密码告诉他人，不得记在纸条上贴在工位上。密码设置不得少于8个字符，应包含特殊字符、数字和大小写字母。外出时，要锁定电脑，工作结束后，要及时关闭电脑。设备安全：每个员工都有信息安全的职责和义务重要数据或客户敏感信息文件，要加密保管。涉及到敏感信息的纸质、光盘、移动硬盘等必须存放在有安全控制的区域内，并在使用完毕后第一时间进行销毁，避免信息泄露。禁止通过行内电子邮件向行外传输客户信息，如业务需要，应采取适当安全控制措施，如对文件加密等。数据安全：每个员工都有信息安全的职责和义务第三方合作公司对电脑进行安装、维护、升级等工作时，必须要有专人陪同。涉及到密钥、密码设定、输入时，必须按照相关密钥管理办法进行操作，坚决杜绝将密钥、密码交给外公司人员。电脑设备送修前，应对其进行重要信息的清除。对外合作：除代发工资外，正常情况下不允许使用移动介质，文件中转需通过文件中转服务器。代发工资移动介质在使用前需使用办公网微机进行病毒扫描，确定无病毒后再使用。移动介质安全：每个员工都有信息安全的职责和义务涉及到重要信息的文件不能存放在公共区域。共享文件安全：所有共享文件应按照规则放置在相应的文件服务器目录中，任何人不得在其个人电脑中开设共享。共享文件夹应该设置恰当的访问控制，禁止向所有用户赋予完全访问权限。临时共享的文件应及时删除。员工调岗或离职，务必将各系统及网络中该员工的访问权限进行变更或收回。权限安全：每个员工都有信息安全的职责和义务（三）客户信息安全保护：参见其专题课件每个员工都有信息安全的职责和义务（四）其他常见威胁信息安全的行为：未按规定流程操作的行为。如：规定双人操作的事项却由单人操作；越权、越级处理；使用他人身份登录；身兼不允许一人同时兼有的角色或岗位。泄露信息，包括有意或无意将本行业务信息透露给无关人员。如：亲友聚会时散布敏感信息、存储介质未妥善保管等。倒卖信息。将本行业务核算信息、账户信息出卖给他人以牟取利益。每个员工都有信息安全的职责和义务违规搭建网络、在本行信息系统中使用外来数据源和介质。如：私自建立无线网、在生产系统使用外单位U盘等。危及信息系统运行安全的行为。如：疏忽对网点的网络接入间、柜台等要害场所的管理，导致供电、网络故障而造成营业中止的。篡改信息，不论何种动机，不论修改正确与否，未经合规流程修改业务数据均属违规操作。每个员工都有信息安全的职责和义务未充分了解应急保障预案，在出现意外时错误处置而导致事态恶化或扩散。对出现的信息安全隐患不闻不问，未及时正确处置和报告，导致风险。支行部分区域配备的UPS供电插座，只供柜面面向营业的信息设备、ATM、自助终端、回单箱、网络设备等与核心生产业务相关设备，其它设备均不得接入，尤其是饮水机、装订机、电热设备、电风扇、电动卷帘门、电钻（装订凭证）、空调等大功率设备。认识信息安全信息安全的重要性信息技术部在信息安全方面的工作内容简介每个员工都有信息安全的职责和义务典型案例讲解（互动）相关制度法规目录123456典型案例讲解（互动）1、交回的工作用机上是否保存了业务资料？信息技术部在进行设备管理时，时常在各单位退回的电脑中发现大量残留的业务资料（信息技术部均做严密删除处理）。这些资料绝不是象一些人认为的那样属于“无关紧要”、“非机密”。所以，请每个员工知道：管理好经手的业务数据，不要在退回、送修电脑的时候出现信息泄露。典型案例讲解（互动）2、办公数据及时或定期备份吗？想过吗，有一天硬盘坏了，资料能不能马上恢复，最大限度地减少损失？所以，请做到：定期地整理自己的业务文档，把它们备份到另一个存储介质上或文件服务器上。我们设置有文件服务器，具体的使用可以向信息技术部进一步了解。3、暂时离开办公室时或去吃午饭时，不用去管电脑？在你暂时离开的时候，必须对电脑进行锁定操作，以免造成不必要的泄密事件。典型案例讲解（互动）5、我把业务资料拷贝到U盘，带回家继续工作?

我家有无线上网卡（3G、4G），还有Modem、路由器等上网设备，上网方便，直接用于办公用机上网，行不行？绝对不行，这样上网是没有经过我们的上网行为管理，风险很大。如有发现，将处以500元以上的罚款。4、可以把无线wifi器件插到办公电脑上网吗？业务数据资料不得带离办公场所，否则，丢失后果严重。典型案例讲解（互动）6、我的电脑坏了，要送修，怎么办？电脑坏了，如果硬盘没坏，应请技术人员协助拆下硬盘，由所有人自己保管，将不包含数据的电脑送修。硬盘损坏的情形，应：（1）有另外备份数据的，可以将硬盘整体消磁后废弃；（2）确实要进行数据导出的，须履行严格的安全手续，严禁私自将硬盘交给未经授权的单位和个人维修。典型案例讲解（互动）7、领导急需一组业务数据，我私下请求信息技术部的同事帮忙统计，只要没有做修改操作，就不需要经过审批？错误。这属于业务请求变更的范畴，不论有无修改数据，都必须履行规定的审批流程。私下请求信息技术部的同事帮忙，双方当事人都违反规定，都要受到处罚。典型案例讲解（互动）8、这个工位专门烧水，随手泡接两个同时烧比较快。排插（插线板）功率为2500W，随手泡功率为1600W，两个同时接在一个排插上同