企業(yè)培訓_員工安全意識培訓教材1

全員安全意識培訓 從 別忘了關門 的故事說起 不妨換個思維 商學院 2005年第七期的一篇文章 別忘了關門 另眼看信息安全 信息安全除了是故事中的圍欄之外 還是那道千萬別忘記關的門 還有那顆別忘了關門的心 安全意識 安全意識 Securityawareness 就是能夠認知可能存在的安全問題 明白安全事故對組織的危害 恪守正確的行為方式 并且清楚在安全事故發(fā)生時所應采取的措施 什么是信息安全意識 你意識到了嗎 社會工程和網(wǎng)絡釣魚等等攻擊手段是當前普遍存在的攻擊方式 釣魚 Phishing 社會工程的一種類型利用電子郵件或惡意網(wǎng)站吸引受害者偽裝成有名的 可信的網(wǎng)站通常為了金錢或個人信息網(wǎng)站要求用戶填入賬戶或個人信息 社會工程利用人際交往偽裝為可信的人士新進員工 維修工 研究員等持有個人身份證明通過詢問獲得信息 可能從多個來源獲取足夠信息獲得公司或個人的計算機或私人信息 議題 需要了解基本概念公司的信息安全項目進行得怎樣了 全員應該具備安全知識和技能對信息安全的容易誤解的地方 6 理解和鋪墊 基本概念 8 2020 2 19 什么是信息 什么是信息 什么是信息安全 C 保密性 Confidentiality 確保信息在存儲 使用 傳輸過程中不會泄漏給非授權用戶或?qū)嶓w 完整性 Integrity 確保信息在存儲 使用 傳輸過程中不會被非授權篡改 防止授權用戶或?qū)嶓w不恰當?shù)匦薷男畔?保持信息內(nèi)部和外部的一致性 可用性 Availability 確保授權用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕 允許其可靠而及時地訪問信息及資源 CIA三元組是信息安全的目標 也是基本原則 與之相反的是DAD三元組 I A 信息安全的三要素CIA 什么是信息安全 信息安全的實質(zhì) 采取措施保護信息資產(chǎn) 使之不因偶然或者惡意侵犯而遭受破壞 更改及泄露 保證信息系統(tǒng)能夠連續(xù) 可靠 正常地運行 使安全事件對業(yè)務造成的影響減到最小 確保組織業(yè)務運行的連續(xù)性 11 嘿嘿 這頓美餐唾手可得 嗚嗚 可憐我手無縛雞之力 威脅就像這只貪婪的貓 如果盤中美食暴露在外 遭受損失也就難免了 什么是ISO27001 ISO27001目前世界上唯一的 信息安全管理標準 是建立信息安全管理體系 ISMS 的一套規(guī)范 其中詳細說明了建立 實施和維護信息安全管理體系的要求 信息安全建設人員根據(jù)ISO17799 2005中的信息安全管理實施細則來建立ISMS ISO27001作用 缺少跨部門的信息安全協(xié)調(diào)機制 13 2020 2 19 公司信息安全管理體系將各部門聯(lián)系起來 保護特定資產(chǎn)以及完成特定安全過程的職責還不明確 對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護 維持競爭優(yōu)勢 雇員信息安全意識薄弱 缺少防范意識 強化員工的信息安全意識 規(guī)范組織信息安全行為 一旦發(fā)生意外 難以保證生產(chǎn)經(jīng)營盡快恢復 在信息系統(tǒng)受到侵襲時 確保業(yè)務持續(xù)開展并將損失降到最低程度 使組織的生意伙伴和客戶對組織充滿信心 實施前 實施后 實施與保持完整的信息安全管理體系 達到動態(tài)的 系統(tǒng)的 全員參與 制度化的 以預防為主的信息安全管理方式 用最低的成本 達到可接受的信息安全水平 就可以從根本上保證業(yè)務的連續(xù)性 實施ISO27001有哪些關鍵活動 我們有哪些重要的資產(chǎn)需要保護以及怎樣保護 清點資產(chǎn) 并分級和分類 識別關鍵資產(chǎn)好鋼用在刀刃上這些資產(chǎn)面臨怎樣的風險呢 黑客 病毒數(shù)據(jù)丟失 系統(tǒng)宕機 網(wǎng)絡中斷等等有哪些手段可以降低這些風險呢 風險消減 風險規(guī)避 風險轉(zhuǎn)移以上都做好了 還有別的活動嗎 審計糾正提高 議題 需要了解基本概念公司的信息安全項目進行得怎樣了 全員應該具備安全知識和技能對信息安全的容易誤解的地方 15 項目整體概述 本項目采用Program管理模式以解決NTT當前信息安全問題為總體目標分為3個子項目執(zhí)行項目一為根據(jù)ISO27001幫助NTT建立ISMS 以滿足ISO27001標準要求為目標 項目二為網(wǎng)絡優(yōu)化和技術控制實施 以解決實際的安全技術風險為目標 項目三為配合項目二網(wǎng)絡優(yōu)化和技術控制實施的管理制度的制定 發(fā)布和執(zhí)行 以滿足已部署的技術控制措施的管理和運維要求為目標 子項目相互獨立 但又彼此銜接 為總體目標服務 16 整體項目計劃 項目當前狀態(tài) 需要我們做什么 遵守與執(zhí)行發(fā)布的所有的ISMS的方針 過程 規(guī)定 向安全推進室報告您發(fā)現(xiàn)的存在安全風險與問題 大膽的提出你對信息安全建設的建議和目前已發(fā)布的不合理的過程和規(guī)定 溫故信息安全知識 增強信息安全意識 信息安全 從自己做起 議題 需要了解基本概念公司的信息安全項目進行得怎樣了 全員應該具備安全知識和技能對信息安全的容易誤解的地方 同有賽博版權所有 20 以下安全事件是否曾經(jīng)發(fā)生 辦公環(huán)境中曾經(jīng)發(fā)生過丟失筆記本電腦的情況 曾經(jīng)有外來人員 直接進入辦公環(huán)境 在無人隨同的情況下 自己找到空位 將筆記本電腦隨意接入到公司網(wǎng)絡 致使網(wǎng)絡感染病毒 曾經(jīng)有業(yè)務人員 不小心將客戶機密信息通過電子郵件發(fā)送給不應接收的人員 一名開發(fā)人員 因為瀏覽不明網(wǎng)站 惡意代碼利用IE的漏洞而在網(wǎng)絡發(fā)作 通過VPN進入客戶網(wǎng)絡 最終導致項目被中止 曾對客戶做審核時發(fā)現(xiàn) 某項目室所有人都去吃午飯 但門窗卻大開 犯過以下的錯誤嗎 開著電腦離開 就像離開家卻忘記關燈那樣輕易相信來自陌生人的郵件 好奇打開郵件附件使用容易猜測的口令 或者根本不設口令不能保守秘密 口無遮攔 上當受騙 泄漏敏感信息隨便撥號上網(wǎng) 或者隨意將無關設備連入公司網(wǎng)絡事不關己 高高掛起 不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關注外來的威脅 忽視企業(yè)內(nèi)部人員的問題在公共場合談論公司信息 想想這些錯誤存在哪些潛在問題 您會如何應對 從自身做起 良好的安全習慣 趣味游戲 找錯 在忙碌的辦公室中 跟隨著攝像機鏡頭 拍攝下辦公室內(nèi)所存在的安全隱患 其中包括 中午大家吃飯去了 在幾張桌子上 手機與錢包放在上面 一個沒有人的桌子上 一臺電腦正在從黑客網(wǎng)站上下載著一個被破解的金山詞霸 旁邊的打印機和復印機旁散落著不少帶字的紙張 大開的項目經(jīng)理辦公室中 沒有其他人在 一名澆花工人正在里面澆花 會議室內(nèi)的白板上有上次會議留下的相關內(nèi)容的記錄 一些滿是字跡的紙張在垃圾桶中冒出一個角 手提電腦放在桌子上 訪問客戶網(wǎng)絡的VPN密碼寫在小紙條上貼在項目組的白板上 某職員在忙碌而嘈雜的辦公室一邊準備趕去別的地方 一邊通過手機高聲與客房談論著屬于公司機密的一些內(nèi)容 Internet使用安全警惕社會工程學介質(zhì)安全 筆記本電腦及個人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計算機及網(wǎng)絡訪問安全工作環(huán)境及物理安全要求 Internet使用安全 內(nèi)容 病毒與惡意代碼防護 病毒Virus 蠕蟲Worm 木馬Trojan 傳統(tǒng)的計算機病毒 具有自我繁殖能力 寄生于其他可執(zhí)行程序中的 通過磁盤拷貝 文件共享 電子郵件等多種途徑進行擴散和感染 網(wǎng)絡蠕蟲不需借助其他可執(zhí)行程序就能獨立存在并運行 通常利用網(wǎng)絡中某些主機存在的漏洞來感染和擴散 特洛伊木馬是一種傳統(tǒng)的后門程序 它可以冒充正常程序 截取敏感信息 或進行其他非法的操作 常見的計算機病毒 網(wǎng)絡系統(tǒng)缺陷移動存儲設備軟件被他人惡意捆綁惡意欺騙操作疏忽 計算機病毒怎么來 網(wǎng)絡 拒絕服務攻擊 邏輯炸彈 特洛伊木馬 黑客攻擊 計算機病毒 信息丟失 篡改 銷毀 后門 隱蔽通道 計算機病毒怎么來的 大多數(shù)病毒都是通過系統(tǒng)缺陷傳播沖擊波震蕩波尼姆達魔鬼波 計算機病毒怎么來 由于移動存儲設備經(jīng)常被多個電腦使用 所有病毒設計者就利用這點進行小范圍傳播 移動硬盤軟盤光盤U盤 最近正流行 雙擊無法打開硬盤 右鍵菜單多Auto 計算機病毒怎么來 計算機病毒怎么來 安裝的軟件被他人捆綁了惡意代碼木馬病毒安裝了流氓軟件CNNIC中文網(wǎng)址DuDu加速器網(wǎng)絡豬STD廣告發(fā)布系統(tǒng)千橡下屬網(wǎng)站桌面?zhèn)髅絼澰~搜索 如果你收到這樣一封Email 計算機病毒怎么來 自動彈出了一個黑客程序如果這個程序是木馬的話 通過IM發(fā)送鏈接或附件 引誘用戶打開鏈接或接收附件 從而感染病毒 計算機病毒怎么來 36 2020 2 19 惡意代碼防范策略 不要隨意下載或安裝軟件不要接收與打開從E mail或IM QQ MSN等 中傳來的不明附件不要點擊他人發(fā)送的不明鏈接 也不登錄不明網(wǎng)站盡量不能過移動介質(zhì)共享文件自動或定期更新OS與應用軟件的補丁所有計算機必須部署指定的防病毒軟件防病毒軟件與病毒庫必須持續(xù)更新感染病毒的計算機必須從網(wǎng)絡中隔離 撥除連接的網(wǎng)線 直至清除病毒任何意圖在內(nèi)部網(wǎng)絡創(chuàng)建或分發(fā)惡意代碼的行為都被視為違反管理制度發(fā)生任何病毒傳播事件 相關人員應及時向IT管理部門匯報 僅此就夠了么 電子郵件 38 2020 2 19 Email安全策略 不當使用Email可能導致法律風險禁止發(fā)送或轉(zhuǎn)發(fā)反動或非法的郵件內(nèi)容未經(jīng)發(fā)送人許可 不得轉(zhuǎn)發(fā)接收到的郵件不得偽造虛假郵件 不得使用他人賬號發(fā)送郵件未經(jīng)許可 不得將屬于他人郵件的消息內(nèi)容拷貝轉(zhuǎn)發(fā)與業(yè)務相關的Email應在文件服務器上做妥善備份包含客戶信息的Email應轉(zhuǎn)發(fā)主管做備份個人用途的Email不應干擾工作 并且遵守本策略避免通過Email發(fā)送機密信息 如果需要 應采取必要的加密保護措施 接收郵件注意 不安全的文件類型 絕對不要打開任何以下文件類型的郵件附件 bat com exe vbs未知的文件類型 絕對不要打開任何未知文件類型的郵件附件 包括郵件內(nèi)容中到未知文件類型的鏈接不要打開未知的鏈接 未知的鏈接可能是含有病毒的網(wǎng)站和一次含有欺騙信息的釣魚網(wǎng)站微軟文件類型 如果要打開微軟文件類型 例如 doc xls ppt等 的郵件附件或者內(nèi)部鏈接 務必先進行病毒掃描要求發(fā)送普通的文本 盡量要求對方發(fā)送普通的文本內(nèi)容郵件 而不要發(fā)送HTML格式郵件 不要攜帶不安全類型的附件禁止郵件執(zhí)行Html代碼 禁止執(zhí)行HTML內(nèi)容中的代碼防止垃圾郵件 通過設置郵件服務器的過濾 防止接受垃圾郵件盡早安裝系統(tǒng)補丁 杜絕惡意代碼利用系統(tǒng)漏洞而實施攻擊 如果同樣的內(nèi)容可以用普通文本正文 就不要用附件盡量不要發(fā)送 doc xls等可能帶有宏病毒的文件不要回覆由匿名寄件者寄來的郵件不要在公開網(wǎng)站例如搜尋引擎 聊天室等披露你的郵件地址不要使用字典里簡單的字和通用的姓名作為郵件地址發(fā)送不安全的文件之前 先進行病毒掃描不要參與所謂的郵件接龍盡早安裝系統(tǒng)補丁 防止自己的系統(tǒng)成為惡意者的跳板可以使用口令或加密軟件發(fā)送安全級別較高的的郵件 發(fā)送郵件注意 Internet使用安全警惕社會工程學介質(zhì)安全 筆記本電腦及個人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計算機及網(wǎng)絡訪問安全工作環(huán)境及物理安全要求 警惕社會工程學 內(nèi)容 網(wǎng)絡釣魚 通過郵件誘使收件人相信郵件是來自合法機構或合法個人 通常會使用以下方法進行攻擊 在收件人的電腦安裝暗藏于電郵附件的特洛伊程式或蠕蟲 以尋找安全弱點及漏洞或拍下系統(tǒng) 快照 藉以取得收件人的個人資料 使用鍵盤測錄程式之類的間諜軟件 擷取收件人的電腦資料 然后發(fā)送給騙徒 使詐搏取收件人信任 誘使收件人瀏覽看似合法網(wǎng)站的欺詐網(wǎng)站 并在站內(nèi)的表格輸入個人資料 網(wǎng)絡釣魚的常用手法 電子郵件欺騙的特點 這類郵件一般以重要告示 緊急更新或警報的形式示人 其虛假的標題旨在令收件人相信發(fā)件來源可靠而把電郵打開 郵件的標題可能包含數(shù)字或其他字母 以逃避被過濾 郵件內(nèi)文有時并無威嚇性 反而含有令人欣喜的信息 例如告知收件人中獎 這類郵件通常使用假冒的發(fā)件人地址或偽冒的機構名稱 令郵件看似確是發(fā)自其偽冒的機構 這類郵件通常會復制合法網(wǎng)站的網(wǎng)頁內(nèi)容 包括文字 公司標記 圖像及樣式等 而為求以假亂真 這類郵件所設的超連結(jié) 通常會誘導收件人連接到一個欺詐網(wǎng)站 而非鏈路表上面所顯示的合法網(wǎng)站 網(wǎng)站欺騙的特點 這類網(wǎng)站使用外表真實網(wǎng)站一樣的內(nèi)容 如圖像 文字或公司標記 甚至會復制合法網(wǎng)站 以誘騙訪客輸入帳戶或財務資料這類網(wǎng)站設有真正鏈接 連接合法網(wǎng)站中如 聯(lián)絡我們 或 私隱及免責聲明 等網(wǎng)頁內(nèi)容 藉以蒙騙訪問者這類網(wǎng)站可能使用與合法網(wǎng)站相似的域名或子域名這類網(wǎng)站可能使用與合法網(wǎng)站相似的表格來收集訪客的資料這類網(wǎng)站可能以真正網(wǎng)頁為背景 而本身則采用彈出的視窗形式 藉以誤導和混淆訪問者 令他們以為自已身處合法網(wǎng)站 仿冒詐騙網(wǎng)站 該仿冒網(wǎng)站與中國銀行 香港 有限公司 中銀香港 的官方網(wǎng)站相似 域名為 防范措施 不要登入可疑網(wǎng)站 不要打開或濫發(fā)郵件中不可信賴來源或電郵所載的URL鏈接 以免被看似合法的惡意鏈接轉(zhuǎn)往惡意網(wǎng)站不要從搜尋器的結(jié)果連接到銀行或其他金融機構的網(wǎng)址打開郵件附件時要提高警惕 不要打開擴展名為 pif exe bat vbs 的附件以手工方式輸入URL位址或點擊之前已加入書簽的鏈接避免在咖啡室 圖書館 網(wǎng)吧等場所的公用計算機進行網(wǎng)上銀行或財務查詢 交易 這些公用計算機可能裝有入侵工具或特洛伊程式在進行網(wǎng)上銀行或財務查詢 交易時 不要使用瀏覽器從事其他網(wǎng)上活動或連接其他網(wǎng)址 在完成交易后 切記要打印或備存交易記錄或確認通知 以供日后查核 不要保存帳號和密碼不要給通過電子方式給任何機構和個人提供敏感的個人或賬戶資料確保電腦采用最新的保安修補程式和病毒識別碼 以減低欺詐電郵或網(wǎng)站利用軟件漏洞的機會 其它欺騙方式 人是最薄弱的環(huán)節(jié) 你可能擁有最好的技術 防火墻 入侵檢測系統(tǒng) 生物鑒別設備 可只要有人給毫無戒心的員工打個電話 KevinMitnick 什么是社會工程學 SocialEngneering利用社會交往 通常是在偽裝之下 從目標對象那里獲取信息例如 電話呼叫服務中心在走廊里的聊天冒充服務技術人員著名黑客KevinMitnick更多是通過社會工程來滲透網(wǎng)絡的 而不是高超的黑客技術 常見方式 多次搜集你認為無用的的信息正面攻擊 直接索取 直接了當?shù)拈_口要求所需的信息 通過建立信任來獲取信息博取同情 希望得到幫助來獲取信息假冒網(wǎng)站和郵件逆向騙局進入內(nèi)部攻擊新進員工 社會工程flash 警惕社會工程學 不要輕易泄漏任何信息 社會工程師可以從信息中找到隱藏的有價值的信息 更不要說是口令和賬號在相信任何人之前 先校驗其真實的身份不要違背公司的安全策略 哪怕是你的上司向你索取個人敏感信息 KevinMitnick最擅長的就是冒充一個很焦急的老板 利用一般人好心以及害怕上司的心理 向系統(tǒng)管理員索取口令 所謂的黑客 更多時候并不是技術多么出眾 而是社會工程的能力比較強 Internet使用安全警惕社會工程學介質(zhì)安全 筆記本電腦及個人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計算機及網(wǎng)絡訪問安全工作環(huán)境及物理安全要求 介質(zhì)安全及數(shù)據(jù)安全 內(nèi)容 移動介質(zhì)帶來的風險 移動介質(zhì)在數(shù)據(jù)交換與攜帶的便捷性 使得各式各樣的U盤 移動硬盤 MP3等可能未經(jīng)允許地接入計算機與網(wǎng)絡 進行數(shù)據(jù)的拷貝和傳遞 一方面這些介質(zhì)的移動性和便捷性容易被盜或丟失 而往往存儲在移動介質(zhì)的數(shù)據(jù)是未經(jīng)加密的 很容易導致機密信息無意泄密另一方面 現(xiàn)在的移動介質(zhì)的存儲容量也越來越大 小則上幾個Gbyte的容量 大則上幾百個Gbyte 對于有意泄密的員工 瞬間就可以把公司所有機密信息拷走 還有一方面 移動介質(zhì)是病毒傳播的重要途徑 兩個不同安全等級的網(wǎng)絡或計算機通過移動介質(zhì)傳遞信息時 低安全等級網(wǎng)絡或電腦很容易感染病毒 筆記本電腦與遠程辦公安全 IT管理部門可以協(xié)助用戶部署必要的筆記本電腦防信息泄漏措施用戶不能將口令 ID或其他賬戶信息以明文保存在移動介質(zhì)上筆記本電腦遺失應按照相應管理制度執(zhí)行安全響應措施敏感信息應加密保護攜出后的電腦在接入公司網(wǎng)絡之間應進行病毒掃描禁止在公共區(qū)域討論敏感信息 或通過筆記本電腦泄漏信息不要將筆記本同時接入兩個網(wǎng)絡注意筆記本電腦遠程辦公的安全 采用加密防止信息泄露 介質(zhì)安全管理 創(chuàng)建 傳遞 銷毀 存儲 使用 更改 介質(zhì)包括 硬盤 U盤 移動硬盤 光盤 軟盤 紙等具有存儲信息功能的所有介質(zhì) LifeCycle Internet使用安全警惕社會工程學介質(zhì)安全 筆記本電腦及個人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計算機及網(wǎng)絡訪問安全工作環(huán)境及物理安全要求 重要信息的保密 內(nèi)容 資產(chǎn)責任劃分 依據(jù)公司資產(chǎn)管理策略 信息保密級別分類根據(jù)保密級別進行標識對不同級別的信息進行不同的處理與保護根據(jù)不同級別的信息設定訪問控制策略 帳戶與口令安全 內(nèi)容 Internet使用安全警惕社會工程學介質(zhì)安全 筆記本電腦及個人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計算機及網(wǎng)絡訪問安全工作環(huán)境及物理安全要求 為什么口令很重要 帳戶 口令是最簡單也最常用的身份認證方式口令是抵御攻擊的第一道防線 防止冒名頂替口令也是抵御網(wǎng)絡攻擊的最后一道防線 針對口令的攻擊簡便易行 口令破解快速有效由于使用不當 往往使口令成為最薄弱的安全環(huán)節(jié)口令與個人隱私息息相關 必須慎重保護 脆弱的口令 少于8個字符單一的字符類型 例如只用小寫字母 或只用數(shù)字用戶名與口令相同最常被人使用的弱口令 自己 家人 朋友 親戚 寵物的名字生日 結(jié)婚紀念日 電話號碼等個人信息工作中用到的專業(yè)術語 職業(yè)特征字典中包含的單詞 或者只在單詞后加簡單的后綴所有系統(tǒng)都使用相同的口令口令一直不變 63 2020 2 19 建議 選擇易記強口令的幾個竅門 口令短語字符替換單詞誤拼鍵盤模式 信息交換備份安全 內(nèi)容 Internet使用安全警惕社會工程學介質(zhì)安全 筆記本電腦及個人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計算機及網(wǎng)絡訪問安全工作環(huán)境及物理安全要求 信息交換安全 通過傳真發(fā)送機密信息時 應提前通知接收者并確保號碼正確不允許在公共區(qū)域用移動電話談論機密信息不允許在公共區(qū)域與人談論機密信息不允許通過電子郵件或IM工具交換賬號和口令信息不允許借助公司資源做非工作相關的信息交換不允許通過IM工具傳輸附件禁止通過WINDOWS的SHARE方式共享信息應該使用專用打印機或復印機處理絕密資料打印或復印的資料應立即取走 信息備份安全 個人應養(yǎng)成定期備份工作信息的習慣保密性要求較高的數(shù)據(jù)在備份時應考慮保密問題對備份資料的訪問要設定完善的訪問控制機制 計算機與網(wǎng)絡訪問 內(nèi)容 Internet使用安全警惕社會工程學介質(zhì)安全 筆記本電腦及個人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計算機及網(wǎng)絡訪問安全工作環(huán)境及物理安全要求 計算機網(wǎng)絡訪問安全 舉例 訪問控制基本原則 未經(jīng)明確允許即為禁止訪問必須通過唯一注冊的用戶ID來控制用戶對網(wǎng)絡的訪問系統(tǒng)管理員必須確保用戶訪問基于最小特權原則而授權用戶必須根據(jù)要求使用口令并保守秘密系統(tǒng)管理員必須對用戶訪問權限進行檢查 防止濫用系統(tǒng)管理員必須確保網(wǎng)絡服務可用系統(tǒng)管理員必須根據(jù)安全制度要求定義訪問控制規(guī)則 用戶必須遵守規(guī)則各部門應自行制定并實施對業(yè)務應用系統(tǒng) 開發(fā)和測試系統(tǒng)的訪問規(guī)則計算機網(wǎng)絡用戶必須加入網(wǎng)域 統(tǒng)一接受公司安全策略管理網(wǎng)絡內(nèi)禁止使用任何掃描或偵測工具禁止同時訪問兩個網(wǎng)絡 工作環(huán)境與物理安全 Internet使用安全警惕社會工程學介質(zhì)安全 筆記本電腦及個人數(shù)據(jù)安全重要信息的保密口令安全信息交換與備份安全計算機及網(wǎng)絡訪問安全工作環(huán)境及物理安全