數(shù)據(jù)安全管理培訓(xùn)材料-PPT課件

1、歡迎大家！數(shù)據(jù)安全培訓(xùn)建立對(duì)數(shù)據(jù)安全的正確認(rèn)識(shí)01.知悉數(shù)據(jù)安全相關(guān)規(guī)范02.培養(yǎng)安全意識(shí)和良好的習(xí)慣03.安全寄語(yǔ)04.目錄CONTENT什么是數(shù)據(jù)？和公司其它資源一樣，是維持公司持續(xù)運(yùn)作和管理的必要資產(chǎn)，例如政策方針、市場(chǎng)報(bào)告、科研數(shù)據(jù)、計(jì)劃方案、競(jìng)爭(zhēng)情報(bào)等等，這些信息可能從多個(gè)方面對(duì)公司運(yùn)營(yíng)產(chǎn)生影響。公司運(yùn)作和管理的必要資產(chǎn)可以是無(wú)形的，可借助于媒體以多種形式存在或傳播；數(shù)據(jù)可以存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中；數(shù)據(jù)可以記憶在人的大腦里；數(shù)據(jù)可以通過(guò)網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播。數(shù)據(jù)的存在及傳播方式一個(gè)軟件公司的老總，等他所有的員工下班之后，他在那里想：我的企業(yè)到底值多少錢(qián)呢？假如

2、它的企業(yè)市值1億，那么此時(shí)此刻，他的企業(yè)就值2600萬(wàn)。為什么要搞好數(shù)據(jù)安全？因?yàn)閾?jù)Borland公司統(tǒng)計(jì)，公司價(jià)值的26%體現(xiàn)在固定資產(chǎn)和一些文檔上，而高達(dá)42%的價(jià)值是存儲(chǔ)在員工的腦子里，而這些信息的保護(hù)沒(méi)有任何一款產(chǎn)品可以做得到，所以需要我們建立信息安全管理體系，也就是常說(shuō)的ISMS！裝有100萬(wàn)的 保險(xiǎn)箱需要 3個(gè)悍匪、公司損失： 100萬(wàn)裝有客戶信息的 電腦只要 1個(gè)商業(yè)間諜、1個(gè)U盤(pán)，就能偷走。公司損失：所有客戶！1輛車(chē)，才能偷走。數(shù)據(jù)安全正確認(rèn)識(shí)數(shù)據(jù)安全正確認(rèn)識(shí)Historian安全策略安全產(chǎn)品IT設(shè)施相關(guān)人員數(shù)據(jù)安全業(yè)務(wù)需求相關(guān)人員安全策略IT設(shè)施安全產(chǎn)品安全資源我們現(xiàn)在的敏感

3、數(shù)據(jù)安全嗎？我們下一步應(yīng)該怎樣做？我們的安全投資有價(jià)值嗎？業(yè)務(wù)需求數(shù)據(jù)安全導(dǎo)向設(shè)計(jì)部署運(yùn)行保障安全風(fēng)險(xiǎn)信息資產(chǎn)數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)存儲(chǔ)系統(tǒng)數(shù)據(jù)傳輸系統(tǒng)數(shù)據(jù)處理系統(tǒng)數(shù)據(jù)威脅脆弱影響安全事件形成發(fā)生不發(fā)生安全事故少發(fā)生安全事故發(fā)生事故減少損失安全事故安全目標(biāo)B公司安全安全業(yè)務(wù)方數(shù)據(jù)數(shù)據(jù)A公司安全管理規(guī)范信息管理數(shù)據(jù)管理數(shù)據(jù)安全正確認(rèn)識(shí)06050403080702011009060504030807020110091、數(shù)據(jù)安全管理對(duì)象2、客戶服務(wù)中心數(shù)據(jù)安全管理規(guī)范數(shù)據(jù)安全相關(guān)規(guī)范現(xiàn)階段特指客戶方強(qiáng)調(diào)的客戶數(shù)據(jù)，具體內(nèi)容包括：與客戶相關(guān)的1、聯(lián)系電話；2、詳細(xì)地址（區(qū)、鎮(zhèn)以后的詳細(xì)地址）；3、身份證號(hào)碼

4、；4、郵箱、MSN、QQ號(hào)等；以上及其他任一聯(lián)系方式。 敏感數(shù)據(jù)：數(shù)據(jù)安全管理對(duì)象【總則】【安全規(guī)范】【處理流程】【處罰規(guī)范】數(shù)據(jù)安全相關(guān)規(guī)范第一條客戶數(shù)據(jù)是重要的信息資源。客戶數(shù)據(jù)的丟失、泄露必將給帶來(lái)不同程度的各種損失。為了保障客戶服務(wù)中心數(shù)據(jù)安全，根據(jù)有關(guān)法規(guī)，特制定本規(guī)范。第二條數(shù)據(jù)安全管理規(guī)范的目的，是為了防止客戶服務(wù)中心數(shù)據(jù)的丟失、泄露與被破壞以及非法生成、變更，確保數(shù)據(jù)的保密性。第三條 客戶數(shù)據(jù)保密性是指在數(shù)據(jù)的采集、傳輸、處理、存儲(chǔ)、提供等過(guò)程中通過(guò)各種技術(shù)手段和完善的規(guī)章制度，使數(shù)據(jù)不丟失、不被破壞，未經(jīng)授權(quán)不被訪問(wèn)，保證數(shù)據(jù)的安全。第四條數(shù)據(jù)管理部對(duì)于關(guān)聯(lián)業(yè)務(wù)公司數(shù)據(jù)類(lèi)業(yè)務(wù)

5、的操作規(guī)范進(jìn)行審核?！究倓t】數(shù)據(jù)安全相關(guān)規(guī)范第五條客戶服務(wù)中心數(shù)據(jù)安全管理對(duì)象為：所有利用計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行輸入、存儲(chǔ)、傳輸、處理、再加工和輸出的包含有客戶信息類(lèi)數(shù)據(jù)。包括：文字材料、數(shù)據(jù)報(bào)表、各類(lèi)原始憑證、圖形圖象等輸入處理對(duì)象，計(jì)算機(jī)內(nèi)部存儲(chǔ)和網(wǎng)絡(luò)傳輸?shù)母黝?lèi)數(shù)據(jù)，計(jì)算機(jī)輸出的磁存儲(chǔ)、光存儲(chǔ)及各類(lèi)紙介質(zhì)打印數(shù)據(jù)?！镜诙隆繑?shù)據(jù)安全管理的范圍數(shù)據(jù)安全相關(guān)規(guī)范第六條客戶數(shù)據(jù)必須有據(jù)、合法。必須經(jīng)過(guò)合法的手續(xù)和規(guī)定的渠道采集、存儲(chǔ)、加工、處理和傳輸數(shù)據(jù)，采用的數(shù)據(jù)范圍應(yīng)與規(guī)定的用途相符。第七條客戶數(shù)據(jù)使用與管理的統(tǒng)一?？蛻魯?shù)據(jù)使用者必須承擔(dān)數(shù)據(jù)的管理職責(zé)，有責(zé)任保護(hù)數(shù)據(jù)，防止數(shù)據(jù)的丟失、泄露與

6、被破壞。第八條根據(jù)權(quán)限使用數(shù)據(jù)。數(shù)據(jù)的使用者只能使用其權(quán)限范圍內(nèi)的數(shù)據(jù)。任何人不能使用未被授權(quán)的數(shù)據(jù)。第九條及時(shí)備份數(shù)據(jù)。數(shù)據(jù)使用者應(yīng)注意及時(shí)進(jìn)行數(shù)據(jù)備份，以防止數(shù)據(jù)的丟失和被破壞。對(duì)于特殊、重要的數(shù)據(jù)，系統(tǒng)應(yīng)建立備份與災(zāi)難恢復(fù)系統(tǒng)，隨時(shí)自動(dòng)進(jìn)行數(shù)據(jù)的備份【第三章】數(shù)據(jù)安全管理的原則數(shù)據(jù)安全相關(guān)規(guī)范第十條客戶數(shù)據(jù)的使用必須經(jīng)過(guò)批準(zhǔn)。未經(jīng)有關(guān)批準(zhǔn)手續(xù)，不得傳輸數(shù)據(jù)，不得泄露給內(nèi)部或外部的無(wú)關(guān)人員。第十一條保密數(shù)據(jù)應(yīng)嚴(yán)格按保密規(guī)定處理。未經(jīng)批準(zhǔn)解密的數(shù)據(jù)，不得對(duì)外提供或發(fā)布。第十二條建立必要的監(jiān)督、管理機(jī)制。建立完整的數(shù)據(jù)安全管理制度和規(guī)定，確保數(shù)據(jù)在數(shù)據(jù)處理各環(huán)節(jié)中的安全，保證數(shù)據(jù)的使用者和管理

7、者的合法權(quán)益。【第三章】數(shù)據(jù)安全管理的原則數(shù)據(jù)安全相關(guān)規(guī)范第十三條 敏感數(shù)據(jù)的導(dǎo)入導(dǎo)出，所使用的帳號(hào)必須由內(nèi)部指定專(zhuān)人保管與使用。第十四條 在敏感數(shù)據(jù)的傳遞過(guò)程中提供數(shù)據(jù)方和接受數(shù)據(jù)方都應(yīng)對(duì)數(shù)據(jù)進(jìn)行加密，密碼與數(shù)據(jù)要分開(kāi)保證數(shù)據(jù)的安全性。第十五條 收到客戶信息類(lèi)數(shù)據(jù)后，必須及時(shí)進(jìn)行數(shù)據(jù)處理且不得以任何形式復(fù)制保留敏感數(shù)據(jù)。第十六條為了保證數(shù)據(jù)的安全性，必須對(duì)數(shù)據(jù)的操作者和使用者進(jìn)行職責(zé)授權(quán)和使用授權(quán)確認(rèn)【第四章】數(shù)據(jù)處理各環(huán)節(jié)安全要求數(shù)據(jù)安全相關(guān)規(guī)范第十七條 必須對(duì)采集數(shù)據(jù)的合法性、輸入數(shù)據(jù)的有效性及業(yè)務(wù)處理的正確性進(jìn)行全面確認(rèn)；必須采用各種有效的技術(shù)手段與崗位職責(zé)，確保采集、存儲(chǔ)、傳輸、處理

8、、加工和輸出的數(shù)據(jù)正確可用。第十八條對(duì)客戶數(shù)據(jù)中的所有敏感數(shù)據(jù)都應(yīng)根據(jù)其重要性和應(yīng)用需求，決定操作人員的存取權(quán)限和存取方式。第十九條 采取相應(yīng)的保密措施和管理辦法，確定內(nèi)部數(shù)據(jù)使用和對(duì)外信息發(fā)布的數(shù)據(jù)范圍和報(bào)批手續(xù)。第二十條 對(duì)相關(guān)的客戶資料非必要不允許打印或如需借用秘密文件需通過(guò)數(shù)據(jù)管理部部長(zhǎng)簽字，輸出的文件應(yīng)當(dāng)按照相應(yīng)密級(jí)文件管理，且打印后產(chǎn)生的殘廢頁(yè)須及時(shí)銷(xiāo)毀?！镜谒恼隆繑?shù)據(jù)處理各環(huán)節(jié)安全要求數(shù)據(jù)安全相關(guān)規(guī)范第十七條 必須對(duì)采集數(shù)據(jù)的合法性、輸入數(shù)據(jù)的有效性及業(yè)務(wù)處理的正確性進(jìn)行全面確認(rèn)；必須采用各種有效的技術(shù)手段與崗位職責(zé)，確保采集、存儲(chǔ)、傳輸、處理、加工和輸出的數(shù)據(jù)正確可用。第十八條

9、對(duì)客戶數(shù)據(jù)中的所有敏感數(shù)據(jù)都應(yīng)根據(jù)其重要性和應(yīng)用需求，決定操作人員的存取權(quán)限和存取方式。第十九條 采取相應(yīng)的保密措施和管理辦法，確定內(nèi)部數(shù)據(jù)使用和對(duì)外信息發(fā)布的數(shù)據(jù)范圍和報(bào)批手續(xù)。第二十條 對(duì)相關(guān)的客戶資料非必要不允許打印或如需借用秘密文件需通過(guò)數(shù)據(jù)管理部部長(zhǎng)簽字，輸出的文件應(yīng)當(dāng)按照相應(yīng)密級(jí)文件管理，且打印后產(chǎn)生的殘廢頁(yè)須及時(shí)銷(xiāo)毀?！镜谖逭隆繎?yīng)用系統(tǒng)和系統(tǒng)平臺(tái)安全要求數(shù)據(jù)安全相關(guān)規(guī)范第二十四條系統(tǒng)應(yīng)建立對(duì)資源訪問(wèn)的審計(jì)跟蹤系統(tǒng)，審計(jì)記錄：身份及驗(yàn)證機(jī)制的使用，用戶對(duì)系統(tǒng)資源的訪問(wèn)，操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)的行為，以及與數(shù)據(jù)安全相關(guān)的事件。審計(jì)記錄的訪問(wèn)只能是被授權(quán)的只讀訪問(wèn)，任何人不得修改。第

10、二十五條客戶信息類(lèi)數(shù)據(jù)文件需要保存有合理安全配置的存貯空間上，防止未經(jīng)授權(quán)的訪問(wèn)；對(duì)文件應(yīng)按備份計(jì)劃定期歸檔，不再需要的文件應(yīng)該按計(jì)劃清除?！镜谖逭隆繎?yīng)用系統(tǒng)和系統(tǒng)平臺(tái)安全要求數(shù)據(jù)安全相關(guān)規(guī)范第二十六條 嚴(yán)格遵守計(jì)算機(jī)設(shè)備使用、開(kāi)機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。任何人不允許帶電插撥計(jì)算機(jī)外部設(shè)備接口，計(jì)算機(jī)出現(xiàn)故障時(shí)應(yīng)及時(shí)向電腦負(fù)責(zé)部門(mén)報(bào)告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作。第二十七條 員工在使用自己所屬的計(jì)算機(jī)時(shí)，應(yīng)該設(shè)置開(kāi)機(jī)、屏幕保護(hù)口令；屏幕保護(hù)程序啟動(dòng)等待時(shí)間為10分鐘，并且屏幕保護(hù)程序必須為操作系統(tǒng)自帶的，在設(shè)置目錄共享時(shí)，應(yīng)該設(shè)置共享口令?！镜诹隆拷K端與人

11、員要求數(shù)據(jù)安全相關(guān)規(guī)范第二十八條嚴(yán)格禁止計(jì)算機(jī)通過(guò)Modem或加裝其它上網(wǎng)設(shè)備（如：3G上網(wǎng)卡、CDMA卡等類(lèi)似設(shè)備）等連接到外部網(wǎng)絡(luò)。第二十九條員工的互聯(lián)網(wǎng)訪問(wèn)權(quán)限只限本人使用，不得通過(guò)設(shè)置代理等方式提供給其他員工使用。第三十條所有訪問(wèn)敏感信息的員工、承包方和第三方人員要在能訪問(wèn)信息處理設(shè)施前簽署保密協(xié)議。并參加相應(yīng)數(shù)據(jù)安全規(guī)范的培訓(xùn)。【第六章】終端與人員要求數(shù)據(jù)安全相關(guān)規(guī)范第三十一條在員工正式投入工作、獲準(zhǔn)訪問(wèn)敏感信息或信息系統(tǒng)之前，應(yīng)再次向該員工明確和細(xì)化其崗位所承擔(dān)的信息安全責(zé)任和相關(guān)要求。第三十二條 工作電腦中，不得存儲(chǔ)任何有關(guān)客戶信息類(lèi)數(shù)據(jù)資料。第三十三條 有關(guān)密碼授權(quán)工作人員調(diào)離

12、崗位，有關(guān)部門(mén)負(fù)責(zé)人須指定專(zhuān)人接替并對(duì)密碼立即修改或用戶刪除?！镜诹隆拷K端與人員要求數(shù)據(jù)安全相關(guān)規(guī)范第三十五條安全整改單位需在3個(gè)工作日內(nèi)做出改善安排。第三十六條安全改善事項(xiàng)的進(jìn)展每5個(gè)工作日須向市場(chǎng)部CRM科提交整改進(jìn)度。第三十七條安全改善完畢后，相應(yīng)安全檢查部門(mén)需進(jìn)行成果復(fù)查直至整改完善。第三十八條 整改結(jié)果將直接作為該單位是否遵循客服中心數(shù)據(jù)安全管理規(guī)范執(zhí)行相關(guān)管理規(guī)范。【第七章】處理流程數(shù)據(jù)安全相關(guān)規(guī)范第三十四條 處罰部分，按照違規(guī)的程度分為4個(gè)層次，2個(gè)方面；a）最重處罰：扣除合同30%考核金額，對(duì)直接責(zé)任人及公司領(lǐng)導(dǎo)免職及經(jīng)濟(jì)處罰；b）次重處罰：扣除合同20%考核金額，對(duì)直接責(zé)任

13、人及主管領(lǐng)導(dǎo)進(jìn)行相應(yīng)行政及經(jīng)濟(jì)處罰；c）中等處罰：扣除合同10%考核金額，對(duì)直接責(zé)任人及直屬領(lǐng)導(dǎo)進(jìn)行相應(yīng)行政及經(jīng)濟(jì)處d）輕微處罰：對(duì)直接責(zé)任人進(jìn)行相應(yīng)行政處罰；【第八章】處罰規(guī)范數(shù)據(jù)安全相關(guān)規(guī)范對(duì)個(gè)人用計(jì)算機(jī)要設(shè)置帳戶密碼；信息安全規(guī)定個(gè)人電腦口令長(zhǎng)度應(yīng)該不低于6位，服務(wù)器口令長(zhǎng)度應(yīng)該不低于8位且最好要為大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊字符的組合，防止非法用戶猜出你的密碼；加強(qiáng)對(duì)計(jì)算機(jī)信息保護(hù)，離開(kāi)機(jī)器時(shí)要及時(shí)對(duì)機(jī)器鎖屏（Win+L）；計(jì)算機(jī)防病毒軟件，經(jīng)常升級(jí)病毒庫(kù)；加強(qiáng)對(duì)移動(dòng)計(jì)算機(jī)的安全保護(hù)，防止丟失； 計(jì)算機(jī)使用安全數(shù)據(jù)安全良好的習(xí)慣不在電話中說(shuō)工作敏感信息；不通過(guò)email傳輸敏感信息，

14、如要通過(guò)EMAIL最好加密以后再傳輸；電話回叫首先要確認(rèn)身份；防止信息竊取；不隨意下載安裝軟件，防止惡意程序、病毒及后門(mén)等黑客程序；不隨意打開(kāi)可執(zhí)行的郵件附件，如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,打開(kāi)附件時(shí)最好進(jìn)行病毒檢查；社交信息安全數(shù)據(jù)安全良好的習(xí)慣每次接觸的客戶信息資料要及時(shí)回放，不要隨手亂丟學(xué)習(xí)數(shù)據(jù)安全的相關(guān)規(guī)定，熟悉重要數(shù)據(jù)的處理方法；對(duì)于自己接觸到的相關(guān)信息，在工作外不能隨便亂講；建立外人探聽(tīng)自己信息的防范之心，拒絕物質(zhì)誘惑；不隨意在網(wǎng)上發(fā)表關(guān)于工作重要的信息內(nèi)容；重要的信息保密數(shù)據(jù)安全良好的習(xí)慣安全基本上是一個(gè)“人”的問(wèn)題，計(jì)算機(jī)不會(huì)主動(dòng)發(fā)起攻擊。遭受攻擊只是時(shí)間早晚的問(wèn)題，而不是會(huì)不會(huì)發(fā)生的問(wèn)題。一次