2019年軟件研究院新員工信息安全培訓課件.pdf
下載文檔
上傳人:地**
編號:1268108
2024-12-16
27頁
1.05MB
該文檔所屬資源包:
大數據互聯網軟件研究院新員工規章制度信息安全5G基礎知識培訓課件資料
1、信息安全培訓新員工入職篇2019年7月內容大綱第一部分組織結構第二部分管理原則2第三部分政策法規第四部分網絡與系統安全第五部分數據安全組織結構3根據我院安全生產管理委員會專業線分工情況,按照網絡與系統、數據與運維兩個專業線具體落實相關工作網絡與系統安全管理委員會辦公室數據與運維安全管理委員會辦公室各生產單元是安全工作的執行單位生產單元1生產單元n生產單元4生產單元2生產單元3安全員組員1組員n管理原則4 誰主管,誰負責;誰運營,誰負責;誰研發,誰負責”的原則 各部門、分中心、生產單元(以下簡稱“各單位”)負責人為本單位網絡與信息安全第一責任人,負責統籌謀劃與組織協調,對本單位網絡與信息安全工作2、負主要領導責任 分等級保護、分等級管理的原則政策法規5中國人民共和國網絡安全法中國聯通網絡與信息安全管理辦法2018-14號文中國聯通濟南軟件研究院網絡與信息安全管理實施細則中國聯通濟南軟件研究院DCN接入網絡管理辦法中國聯通濟南軟件研究院機房安全管理辦法網絡與系統安全6(一)由我院統一負責內部局域網的互聯網接入,任何單位和個人,均不得在局域網內使用其它途徑接入互聯網。對員工上網記錄保留對員工上網記錄保留60天天,以備相關部門檢查。(二)各單位應當遵守相關國家法律、法規,嚴禁利用互聯網從事危害國家安全、泄露國家秘密和妨礙社會治安等違法犯罪活動;任何單位和個人都不得干擾、破壞和限制網絡的正常應用3、,不得擾亂計算機信息系統和互聯網管理秩序。(三)員工不得使用互聯網從事與本職工作不相關的活動。網絡與系統安全7員工上網行為應符合以下管理要求:1.禁止利用互聯網資源進行侵害國家安全以及謀取私利的一切行為。2.禁止使用聊天工具、電子郵件等從事危害社會穩定、影響國家安全、違犯法律規定、泄漏中國聯通機密、危害中國聯通利益的活動。3.禁止上班時間瀏覽娛樂網站、帶有色情和反動傾向的網站以及進行網上游戲,禁止通過聊天工具、使用軟件等手段玩網絡游戲,禁止上班時間炒股。禁止下載與工作無關、占用網絡帶寬的音樂、電影文件,禁止使用網絡視頻流工具。4.禁止故意制作或者傳播計算機病毒以及其他破壞性程序,禁止直接下載有4、風險的可執行程序。5.員工因私人需要在外部網站注冊用戶時必須使用私人郵箱地址,不得使用中國聯通統一郵箱地址;嚴禁員工使用中國聯員工因私人需要在外部網站注冊用戶時必須使用私人郵箱地址,不得使用中國聯通統一郵箱地址;嚴禁員工使用中國聯通統一郵箱向外發送垃圾郵件。通統一郵箱向外發送垃圾郵件。6.禁止使用第三方軟件工具來監控單位網絡使用或者盜用單位網絡資源。7.禁止非法侵入計算機信息系統或者破壞計算機信息系統功能、數據和應用程序。8.允許使用即時通訊軟件作為工作中的溝通、交流工具,但不得使用即時通訊工具長時間私聊與工作無關的內容。9.如果對互聯網絡資源有特殊網絡服務端口開放需求,需向網絡與系統安委辦提5、出申請。10.員工應對中國聯通相關政策、技術、產品等資料予以保密,防止泄露機密。網絡與系統安全8 生產網、與系統上線前相關安全評估和安全準入測試 生產網與互聯網分離 輿情通報快速響應及快速處理 賬號安全責任制度明確使用人和審批人的責任義務,落實責任倒查。權限崗位匹配,嚴禁權限私用。杜絕賬號弱口令網絡與系統安全-掃描與整改9 自用信息系統在安裝/升級上線前,軟件開發單位或者系統管理單位應向我院網絡與系統安委辦提出安全評估與檢測;網絡與系統安委辦安排團隊或專人對系統進行安全基線檢查和漏洞掃描,防止由于操作系統漏洞、系統軟件腳本缺陷或者系統和數據庫弱口令等系統弱點而造成的用戶信息泄露或黑客惡意攻擊,6、系統測試、整改符合安全要求后方可正式上線使用。網絡與系統安委辦應建立信息系統定期掃描機制,對我院辦公系統以及其它職責范圍內的接入互聯網的系統進行漏洞掃描,發現漏洞后及時彌補,爭取早發現,早整改。網絡與系統安全-賬號管理10一 網絡系統和應用系統的帳號管理(一)項目管理部負責統一分配和管理員工的上網認證、TFS系統訪問帳號及權限。(二)項目管理部負責統一分配和管理本院內部使用的應用系統服務器操作系統平臺的管理員帳號。(三)綜合部負責統一分配和管理辦公系統、門禁系統、視頻監控系統的訪問帳號及權限。(四)其他測試開發服務器的應用系統平臺訪問帳號由應用系統開發、使用單位統一分配和管理。網絡與系統安全-7、賬號管理11一 員工登錄各類系統的帳號與密碼管理(一)員工的帳號和密碼必須由個人保管、使用,不得泄露給無關人員。密碼應定期或者不定期變更,防止盜用和泄露。(二)員工使用的各種登錄密碼必須滿足以下復雜度要求:不得明顯包含用戶帳戶名或用戶全名的一部分,長度至少為八個字符,并包含來自以下四個類別中的字符:(1)英文大寫字母;(2)英文小寫字母;(3)10個基本數字;(4)特殊字符。網絡與系統安全-系統加固12一 我院計算機設備需要安裝有效的防病毒軟件,并及時更新病毒定義碼,定期進行病毒查、殺工作;Microsoft Windows平臺的計算機系統應及時升級更新涉及安全的“關鍵更新程序”;UNIX平臺8、的計算機系統必須及時更新安全補丁。二 員工計算機終端、單位服務器應設置屏幕密碼保護。數據安全13數據指通過網絡、系統收集、存儲、傳輸、處理和產生的各類電子信息,包括以下四類。(一)用戶個人身份信息,指能夠單獨或者與其他信息結合識別用戶個人身份的信息,包括但不限于用戶的姓名、出生日期、身份證件號、個人生物識別信息、住址、電話號碼等。(二)用戶服務數據,指用戶在使用通信業務或服務過程中,上傳、存儲、傳輸、處理和產生的數據,包括但不限于通話內容、消息內容、電子郵件內容、賬號、密碼、位置信息等。(三)用戶日志信息,指用戶在使用通信業務或服務過程中產生的日志信息,包括但不限于通話記錄、短信記錄、上網日志9、等。(四)網絡基礎設施數據,指網絡基礎設施和重要系統的規劃、建設、運行和維護信息,包括但不限于網絡拓撲結構、軟硬件配置信息、系統運行維護數據等。數據安全14數據管理原則 按照“誰采集誰負責,誰存儲誰負責,誰使用誰負責,誰受益誰負責”的原則 數據的產生、存儲、使用、傳輸、共享、銷毀單位承擔職責范圍內的數據安全的主體責任。數據安全15不得泄露、篡改、毀損收集的用戶個人信息。未經用戶同意,不得向他人提供個人信息,經過處理無法識別特定個人且不能復原的除外。禁止非法出售或非法向他人提供系統數據。堅持“敏感數據不出門”原則,未經用戶同意,不得向他人提供或開展用戶數據合作,經過處理無法識別特定個人且不能復原10、的除外。數據安全-權限管理16由軟研院統一管理的權限,如統一接入平臺、4A等平臺的使用權限,在經過濟南分院權限變更管理流程審批通過后,由團隊接口人通過ITSM權限管理工單流程進行申請,并將濟南分院權限變更流程過程截圖做為附件進行提交,權限變更應嚴格遵守軟研院的權限變更管理流程。數據安全-權限管理17一 生產系統權限由各生產單元負責申請和管理,要做到崗責匹配,有調崗、離職的人員,由原生產單元負責人及時將相關人員進行權限交接和撤銷。數據安全-權限管理18一 權限的申領及授予必須設定有效期。嚴禁將本人賬號、密碼泄露給其他人員數據安全-權限管理19數據訪問實行訪問授權管理機制,根據不同的用戶訪問不同范11、圍的數據。數據的訪問范圍和權限設置必須由系統或安全管理員集中控制,并可以控制授權范圍內的數據流向和行為數據安全-數據使用20一 履行數據保護義務,規范數據收集、使用行為。按照“合法、正當、必要”的原則公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經工單、郵件等上級書面流程審批。不得收集與服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理保存個人信息。不得泄露、篡改、毀損收集的用戶個人信息。未經工單、郵件等上級書面流程審批,不得向他人提供個人信息。數據安全-數據保護21強化數據防竊密、防篡改、防泄漏和數12、據備份、數據脫敏、數據審計等安全防護技術措施,加大對重要敏感數據的保護力度,防止對數據存儲介質的未授權訪問、損害和干擾,保護數據的完整性、保密性和可用性。加密算法要按照國家有關要求執行。所有接觸敏感數據的人員均要明確保密要求和數據安全責任,并簽訂相關保密協議。加大合作伙伴等第三方監管力度,修訂完善相應協議,明確數據保護要求和責任,嚴禁擅自留存數據。嚴格遵循中國聯通信息化事業部第三方人員管理流程對第三方人員進行管理。數據安全-操作管理22一 據的操作必須經過嚴格的身份鑒別與權限控制,確保數據訪問遵循最小授權原則。關鍵業務數據和用戶工號信息必須實行專人管理且必須進行實名綁定。二 數據的更改應嚴格遵13、循大BSS生產運營規范等相關管理辦法及操作規范執行。防止系統數據的非法生成、變更、泄漏、丟失與破壞。三 操作過程保留,流程審批、操作要有記錄操作時間與數據訪問范圍的限制、操作日志的記錄,并對整個操作過程的全程審計。語句是什么、記錄了多少樣。(審批、審核的整個過程寫詳細;測試、保留痕跡)四 未經授權不得使用他人的工號進行數據操作,必要時可通過授權進行數據操作,授權過程必須保留書面授權依據。嚴禁系統管理員、數據庫管理員授權他人或直接使用工號對系統中存儲、處理或傳輸的業務數據信息進行增加、修改、復制和刪除等操作。五 涉及系統環境參數、業務參數變更及重要數據更改的操作,應至少兩人負責,操作人員與審核人14、員分開,防止使用過程中產生誤操作或數據被非法篡改數據安全-存儲和傳輸管理23一 數據的產生、存儲、使用、傳輸、共享、銷毀單位承擔職責范圍內的數據安全的主體責任,各單位要建立完善本單位數據安全管理流程和標準規范,明確內部各單位、崗位具體數據安全責任。國家秘密、企業商業秘密管理按照公司相關保密管理規定執行。二 根據數據使用的時限性,定期銷毀數據和相關載體,并對數據銷毀實行監督審計,保存有關記錄。涉及重要數據的網絡、平臺、系統下線時,要妥善轉存、銷毀相關數據,確保不被泄露。三 單位內部應盡量通過電子郵件和移動存儲設備傳遞信息和數據;傳遞大量數據確需使用網絡共享的,應設置好訪問用戶和權限,數據傳輸完畢15、,及時取消網絡共享。安全處置24發生特別重大安全事件的,當事單位要于1小時內向集團有關部門口頭報告,12 小時內提交簡要書面報告,事件處理結束后2日內報送專題書面報告。按照“快速反應,依法處置,及時上報”的原則問責辦法25網絡與信息安全問責方式從輕到重依次分為五檔:(一)批評教育。責任人員存在違紀違規行為,但未造成明顯不良影響的,應對其進行批評教育。(二)通報批評。責任人員存在違紀違規行為,造成較小不良影響和較輕微后果的,應在一定范圍內通報。(三)誡勉談話。責任人員存在違紀違規行為,造成一定不良影響和不良后果的,應當以談話方式進行誡勉。(四)扣罰績效。責任人員存在違紀違規行為,被上級單位通報或16、造成不良影響和嚴重后果的,應根據情況扣罰其績效30%-100%。(五)行政處分。責任人員存在違紀違規行為,被上級單位通報或造成惡劣影響和嚴重后果,社會反映強烈的,應根據情況采取行政警告、記過、降職(降級)、留用察看和解除勞動合同等措施。責任人員是黨員,需要給予黨紀處分的,由相關黨組織給予相應處理。責任人員涉嫌違法的,移送司法機關處理。2結束語越是高速行駛的車輛越要注意安全安全團隊對于業務的態度是親和的;安全工作不能阻礙業務的發展,同時要為業務保駕護航;在說“No”的同時,我們會告訴你How to“YES”。只有零業務,才會零風險。我們盡力規避無謂的冒險;只有安全這個“1”后面業務、功能那么多“0”才有意義 CHINAUNICOM CHINAUNICOM謝 謝