銀行培訓(xùn)：《招商銀行沈陽分行信息安全意識培訓(xùn)》講師手冊

招商銀行沈陽分行

信息安全意識培訓(xùn)

（講師手冊）

沈陽分行報送

金融科技學(xué)院信息專業(yè)課程

教學(xué)計劃表

課程名稱：信息安全意識授課對象：全體員工

授課時間：4學(xué)時

課程目的：

通過本課程的學(xué)習(xí)，學(xué)員能夠掌握招商銀行信息安全的概念、信息安全的重

要性，了解并熟悉分行信息安全要求和管控手段。

時間/時長教學(xué)主題教學(xué)內(nèi)容方法/工具

1.自我介紹

5分鐘破冰及暖場2.課程基本結(jié)構(gòu)和時間分配介講授

紹

1.信息安全意識概念1.案例

10分鐘信息安全意識概述

2.信息安全意識的重要性2.講授

1.防范社會工程學(xué)攻擊

2.辦公設(shè)備安全

3.賬號口令安全

4.上網(wǎng)行為安全

軟件安全

5.1.案例

6.網(wǎng)絡(luò)通信安全

防范信息安全風(fēng)險

30分鐘7.物理環(huán)境安全2.提問

8.商業(yè)秘密保護(hù)3.講授

9.應(yīng)用開發(fā)及使用安全

10.數(shù)據(jù)安全

11.外包安全

1、S0C安全風(fēng)險展示中心

2、銳眼安全客戶端1.講授

10分鐘信息安全管控措選3、DLP數(shù)據(jù)防泄漏2.提問

4、安全桌面系統(tǒng)3.案例

5、其他安全產(chǎn)品

5分鐘信息安全法律法規(guī)網(wǎng)絡(luò)安全法1.講授

2

IT人員禁令和違法違規(guī)處罰規(guī)2.提問

定3.案例

3

幻燈片1

亡羊補(bǔ)牢，不如未雨綢繆

?一信息安全意識培訓(xùn)

【本頁目的】為整體講課定下基調(diào)

【分配時長】1分鐘

【教學(xué)內(nèi)容】

1.引導(dǎo)語言：“近年來，總分行對

于信息安全方面的要求不斷強(qiáng)化，細(xì)化。今天我向大家講述

信息安全的概念，重要性和總分行在防范信息安全風(fēng)險方面

的管理要求和舉措J

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

4

幻燈片2

陳述信息安全的概念、信息安全的重要性,明確分行信息安全要求和管

課程目標(biāo)

控手段.

時長4學(xué)時

【本頁目的】

【分配時長】0.1分鐘

【教學(xué)內(nèi)容】

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

5

幻燈片3

信息安全的重要性

□信息安全意識的重要性

□信息安全認(rèn)知

【本頁目的】目錄介紹

【分配時長】0.5分鐘

【教學(xué)內(nèi)容】

1.引導(dǎo)語言：“這里詳細(xì)講述信息安全的概念，重要性，讓大

家了解信息安全”

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

6

幻燈片4

信息安全意識的重要性【案例分享?勒索病毒通過電子郵件大量傳播】

,事件回民Petya勒球毒入侵行為

2017年5月12日,WjnnnCrytt蟲利用微軟Window夠婉的MS17-

01幅再在全球范圉燦發(fā).歌了大■的計?1機(jī),談螃生蹴計H機(jī)

行會向計算機(jī)中植人越詐苫病團(tuán).導(dǎo)致電腦大跳文件鋤口史,受害者電

腦被需在世足后,病岔會接示支付價值相好美元（約合人民幣

300入侵

20G9元）的比特市才可解8L

源頭郵件附件，尤其是rtf、doc等格式

2017年6月27日,新T的!^黎明?變種Pety靖一次襲擊并號致歐州

多國的多個組織、多家企業(yè)的系挑出現(xiàn)郵燒，新變用5毒（Petya）不

僅對文件進(jìn)行加生,而且百接1掇個便盆加登、出死，用戶1B信后亙接

迸入初5R界面,若不支付比持幣將無法進(jìn)入系抗耳硝自動向局域網(wǎng)

內(nèi)部的只它批撥及物進(jìn)行傳播.

，從信患安全■職角度板患

比次優(yōu)而再事樣反映出廣大電UI用戶假@安全意識方面的不足:

?利用系統(tǒng)*海

?就森在忻海方面,分爵的用:HTONindows黜詡一個或多個系如入侵后

科2017年3月，氣就已廢放出ft對MS17010m前的中丁,但是T田于樣本行為

一與用戶沒有及時打撲丁的習(xí)餒,二是全塔仍然行許多下戶在使用已唉呼

比我芾般先的V/ndowsXPWQK本,無知榔林丁.因此在全球通成大

?利用用戶習(xí)窗

?幣蝴舄壬現(xiàn)息通過電子部井店用戶發(fā)送名物等文樣的電式怕雌.（BM

安至意識硒的用戶片擊病?射忤或從互聯(lián)珂直接下我%病毒文忤并在本

【本頁目的】給出信息安全案例情況

【分配時長】2分鐘

【教學(xué)內(nèi)容】

2017年5月12日，WannaCry蠕蟲利用微軟Windows系統(tǒng)的

MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計算機(jī)。

反思：一是由于一些用戶沒有及時打補(bǔ)丁的習(xí)慣，二是全球

仍然有許多用戶在使用已經(jīng)停止更新服務(wù)的WindowsXP等

較低版本，無法獲取補(bǔ)丁，因此在全球造成大范圍傳播。，

信息安全意識不高的用戶點擊病毒附件或從互聯(lián)網(wǎng)直接下

載帶病毒文件并在本地打開。

【教學(xué)方法】案例分享

【所需教學(xué)工具或資源】無

7

8

幻燈片5

信息安全意識的重要性【案例分享?審計發(fā)現(xiàn)】

》近年來審計越來越偏重信息安全風(fēng)險方面的檢杳。以下是幾個審計發(fā)現(xiàn)：

》本行制度管理類數(shù)據(jù)、一事通證書未加密外發(fā)至QQ、163等公網(wǎng)郵箱：

》支行利用2名客戶已退保的保險合同作為銷售推介保險業(yè)務(wù)的示范樣本公開展示，并且在公共開

放區(qū)域內(nèi)違規(guī)留存放3名金葵花客戶的保險合同.

》將有關(guān)客戶的明細(xì)信息未加密外發(fā).某員工多次將有關(guān)客戶的明細(xì)信息未加密外發(fā)至公網(wǎng)郵箱.

其中至少包含數(shù)千條記錄，涉及客戶姓名、銀行卡號、身份證號等信息：

A部門電腦存放業(yè)務(wù)資料未及時清除.分行信用風(fēng)險管理部公用電腦存放有資產(chǎn)質(zhì)址五級分類情況

表等信息：信息技術(shù)部業(yè)務(wù)機(jī)存放有信貸報文數(shù)據(jù)等信息；計劃財務(wù)部公用電腦存放有財政性存

款交存電子憑證（ACS專用）：

【本頁目的】審計發(fā)現(xiàn)，案例情況

【分配時長】2分鐘

【教學(xué)內(nèi)容】

一事通證書未加密外發(fā)至QQ、163等公網(wǎng)郵箱；

將本行制度管理類數(shù)據(jù)外發(fā)；

支行利用2名客戶已退保的保險合同作為銷售推介保險業(yè)務(wù)

的示范樣本公開展示，并且在公共開放區(qū)域內(nèi)違規(guī)留存放3

名金葵花客戶的保險合同。

【教學(xué)方法】案例分享

【所需教學(xué)工具或資源】無

9

10

幻燈片6

信息安全意識的重要性【案例分享?案件】

＞國家針對出出公民個人信息的違法犯罪行為的打擊已呈高壓態(tài)勢.任何個人不能對出出公民個人

信息的違法犯罪行為心存僥幸，任何個人均有義務(wù)對此類違法犯罪行為進(jìn)行舉報，

》2017年沈陽的一名輔警利用工作之便,獲取大量公民個人信息,并把這些信息賣給他人，從中獲

利近10萬元！被告人犯出售公民個人信息罪，判處有期徒刑8個月并處罰金。

》2015年我行儲蓄柜員泄露客戶信息,某支行柜員向外部作案人員提供按證件號碼查詢預(yù)留手機(jī)號

碼，賬戶余額等客戶資料.外部作案人員我取后可通過手機(jī)備卡業(yè)務(wù)盜取客戶銀行資金.我行給

予其開除處分，該柜員已本刑事拘留，法院提起公訴。

【本頁目的】違法案件情況

【分配時長】2分鐘

【教學(xué)內(nèi)容】

國家針對出售公民個人信息的違法犯罪行為的打擊已呈高

壓態(tài)勢，任何個人不能對出售公民個人信息的違法犯罪行為

心存僥幸，任何個人均有義務(wù)對此類違法犯罪行為進(jìn)行舉報。

2017年沈陽的一名輔警利用工作之便，獲取大量公民個人信

息，并把這些信息賣給他人，從中獲利近10萬元！被告人犯

出售公民個人信息罪，判處有期徒刑8個月并處罰金。

2015年我行儲蓄柜員泄露客戶信息，某支行柜員向外部作案

人員提供按證件號碼查詢預(yù)留手機(jī)號碼，賬戶余額等客戶資

料。外部作案人員獲取后可通過手機(jī)備卡業(yè)務(wù)盜取客戶銀行

11

資金。我行給予其開除處分，該柜員已本刑事拘留，法院提

起公訴。

【教學(xué)方法】案例分享

【所需教學(xué)工具或資源】無

12

幻燈片7

信息安全意識的重要性【信息安全-人人有責(zé)】

員工信息安全意識與企業(yè)的信息安全息息相關(guān)

□員工信息安全意識不足是導(dǎo)致企業(yè)信息安全間題須繁發(fā)生的根本之源,

只有提高員工的信息安全意識才能is正的保企業(yè)的信息安全.

□無論多么精良的設(shè)者，多么嚴(yán)謹(jǐn)?shù)南到y(tǒng)與體系，如果員工的信息安全

意識不足,在他們形成工作習(xí)慣之后,認(rèn)為無關(guān)緊要的東西，無意

.泄露”出去之后,將會給企業(yè)帶來不可估■的損失.

【本頁目的】信息安全人人有責(zé)

【分配時長】1分鐘

【教學(xué)內(nèi)容】

員工信息安全意識不足是導(dǎo)致企業(yè)信息安全問題頻繁發(fā)生的根本之源，只有提

高員工的信息安全意識才能真正的保企業(yè)的信息安全

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

13

幻燈片8

信息安全意識的重要性【安全是一種責(zé)任】

身為企業(yè)內(nèi)部的一員，我們應(yīng)將保隆企業(yè)的信息安全作為自己的責(zé)任

□規(guī)定要安裝仿病毒軟件，可總有人電匏中網(wǎng)電：規(guī)定匚令要安全,但弱口

令.空口令比比皆是.如果大家都熟視無楮,如果軼導(dǎo)也不以為然，也許

有一天，公司枷要財悔就會失竊.公司的網(wǎng)絡(luò)就會瞰,公司的出魅愷

!Mt會泄亂執(zhí)行不到位.再好的制度樹BfS也都SITS空文.

□捌ilG當(dāng)自覺地把個人和Jfi納入到集體*爆中,自覺蝴坡同意識，讓

安全成為一冷責(zé)任，牢記兩負(fù)的安全員任,讓責(zé)任創(chuàng)造安全.網(wǎng)立主人翁

?iR.提升信息安全意識.枳極發(fā)現(xiàn)身邊的安全同速,不要因為ii兩小就

圖收!,?要系統(tǒng)的一個小?洞可潴鈉業(yè)務(wù)旅85.

【本頁目的】安全是一種責(zé)任

【分配時長】1分鐘

【教學(xué)內(nèi)容】

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

14

幻燈片9

信息安全意識的重要性【讓安全成為一種習(xí)慣】

對員工來說，信息安全是意識和使用習(xí)慣的問題.將對員工的安全知識灌輸式敖育變?yōu)榘踩庾R養(yǎng)成救育，樹

立全員的安全意識，培養(yǎng)員工的安全習(xí)慣，是有效提升員工安全意識的一種途徑.

□培養(yǎng)習(xí)慣的前提條件，是意識的養(yǎng)成.而殿識養(yǎng)成的結(jié)果,是培

界習(xí)慣，進(jìn)而里造出良好人格，為塑造本質(zhì)安全型員工打下基礎(chǔ).

讓習(xí)慣變得更規(guī)范，將強(qiáng)制性的安全生產(chǎn)變成員工的自覺自愿的

自律行為.

□在日常工作中，我們可以結(jié)合安全生產(chǎn)正反兩方面極版教3和

自己的切身感受,自己致盲自己；增強(qiáng)T不茍按章作業(yè)的緊迫

愿和責(zé)任感,讓安全理念成為每個員工的行為習(xí)慣.用安全理念

規(guī)范日常安全行為的自覺性，讓安全成為一種習(xí)慣,讓習(xí)慣變得

更規(guī)危,將強(qiáng)制性的安全生產(chǎn)變成員工自她自愿的自律行為.

【本頁目的】讓安全成為一種習(xí)慣

【分配時長】1分鐘

【教學(xué)內(nèi)容】

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

15

幻燈片10

信息安全認(rèn)知

?以下信息是否屬于日常工作中需要保護(hù)的信息？

?1與客戶簽訂的理財產(chǎn)品購買合同JI于

?2沈陽分行2019年一季度經(jīng)營活動分析會紀(jì)要H于

?3招商銀行沈陽分行數(shù)據(jù)安全管理實施細(xì)則（第二版）

?4因營銷需要整理出的包含客戶姓名、電話和住址等信息IT

?5我行公開發(fā)售的理財產(chǎn)品收益公告不U于

【本頁目的】引入練習(xí)，明確信息安全中的信息范疇

【分配時長】1分鐘

【教學(xué)內(nèi)容】

以下信息是否屬于日常工作中需要保護(hù)的信息

【教學(xué)方法】互動練習(xí)

【所需教學(xué)工具或資源】無

16

幻燈片11

信息安全認(rèn)知一什么是信息

廣義信息定義，就是有價值的數(shù)據(jù)，符號.圖片.語音等內(nèi)容，其本身是無形的.

信息借助于信息媒體等以多種形式存在或傳播,其中對企業(yè)來說具有價值，就成為信息資產(chǎn)，如：進(jìn)行信息處理和提供服務(wù)所涉

及的硬件.軟件.信息.服務(wù)、人員、物理環(huán)境.

這里的信息是指與我行計算機(jī)信息系哪入.咕出.DOI.訪問.傳輸、存儲等過程相關(guān)的各種數(shù)據(jù)以及與我行計算機(jī)信息系統(tǒng)

自身相關(guān)的各種資料.

存儲

?從內(nèi)外郃收集信信息的用途，以傳輸?信》?在什么?況

息,或二接從數(shù)信酗存隹路徑股如何被利用..信8MQ何融偉通,下會搬留我,以

據(jù)主體即集信及安全保護(hù).息否巳懶膏給及如何蜀狼.

未授權(quán)的第三方.

收集使用銷毀

【本頁目的】信息安全認(rèn)知

【分配時長】2分鐘

【教學(xué)內(nèi)容】

講述信息安全概念，信息的廣義概念很大，我們這里討論的

信息是相對狹義的定義，就是特指我行計算機(jī)信息系統(tǒng)輸入、

輸出、加工、訪問、傳輸、存儲等過程相關(guān)的各種數(shù)據(jù)。

講述信息安全生命周期

收集：如現(xiàn)在從總行下載，分行日常分析處理的數(shù)據(jù)倉庫類，

總分行公文系統(tǒng)中的規(guī)章制度等等

存儲：主要涉及信息存放的方式，物理位置等等

傳輸和使用：以往僅僅是明確一些管理審批的環(huán)節(jié)（如一事

通機(jī)房任務(wù)的流轉(zhuǎn)），今年以來總行部署了傳輸平臺，如業(yè)

務(wù)網(wǎng)內(nèi)傳輸平臺，網(wǎng)間傳輸平臺等來保護(hù)數(shù)據(jù)安全。

17

銷毀：審計關(guān)注點，對我們內(nèi)部主要指數(shù)據(jù)清理和磁介質(zhì)的

消磁等。其實也涉及業(yè)務(wù)部門使用后的數(shù)據(jù)銷毀。

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

18

幻燈片12

信息安全認(rèn)知

數(shù)據(jù)保密級別定義招商銀行沈陽分行數(shù)據(jù)安全管理細(xì)則

我行商業(yè)秘畜等級分為：“商密一級”“兩省二ST

“jfj定三級”.

（-）二同宓二級”信則是指包含我行或客戶次要秘密的信息.

該信息一旦被非法訪問"泄就成套改，可能造成直大的經(jīng)濟(jì)JH先、

商費損失，破壞招商松行聲譽(yù)，或產(chǎn)生負(fù)面的社會影響等.

（二）??商密二汲??信息是指包含我行或客戶般性格照的信

總.該信息-且被非法訪“,淞露或篡改.4能造成?定程度的

經(jīng)濟(jì)投失、商業(yè)損失，短期內(nèi)影響招商銀行聲譽(yù)等.

（=）“商密-?級?■信息是指我行在經(jīng)汗管理活動中產(chǎn)生的不

屬于國家樞密、工作秘密或以上兩類商業(yè)和苔.而又不宜對外公

開、僅供我行內(nèi)部使用的侑息.該類信息且被泄效或套改,可能

造成輕母的經(jīng)濟(jì)損失、痂業(yè)報失或聲譽(yù)我害,除非在附加標(biāo)注或

標(biāo)識頷外限制，此類信息快則上可提供拾我行內(nèi)部任何人，

【本頁目的】數(shù)據(jù)保密級別定義

【分配時長】2分鐘

【教學(xué)內(nèi)容】

我行商業(yè)秘密等級分為：“商密一級”“商密二級”

“商密三級”。

（一）“商密一級”信息是指包含我行或客戶重要秘密的信

息，

該信息一旦被非法訪問、泄露或篡改，可能造成重大的經(jīng)濟(jì)

損失、

商業(yè)損失，破壞招商銀行聲譽(yù)，或產(chǎn)生負(fù)面的社會影響等。

（-）“商密二級”信息是指包含我行或客戶一般性秘密的

信

息，該信息一旦被非法訪問、泄露或篡改，可能造成一定程

19

度的

經(jīng)濟(jì)損失、商業(yè)損失，短期內(nèi)影響招商銀行聲譽(yù)等。

（三）“商密三級”信息是指我行在經(jīng)營管理活動中產(chǎn)生的

不

屬于國家秘密、工作秘密或以上兩類商業(yè)秘密，而又不宜對

外公

開、僅供我行內(nèi)部使用的信息。該類信息一旦被泄露或篡改,

可能

造成輕微的經(jīng)濟(jì)損失、商業(yè)損失或聲譽(yù)損害。除非有附加標(biāo)

注或

標(biāo)識額外限制，此類信息原則上可提供給我行內(nèi)部任何人。

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

20

幻燈片13

信息安全認(rèn)知

數(shù)據(jù)保密級別范圍招商銀行沈陽分行數(shù)據(jù)安全管理細(xì)則

-、“商密一級”范圍（保密期限不低于30年）

（一）我行股東大會、董事會、監(jiān)步會及各專業(yè)委員會議案、

決議、決定、紀(jì)要及相關(guān)材料（公布前）：

（二）我行重大財務(wù)或機(jī)構(gòu)型組及并購方案、股本募集計劃、

股權(quán)投資計劃：

（三）我行戰(zhàn)略規(guī)劃和重要業(yè)務(wù)決策方案；

（四）總分行制定的業(yè)務(wù)發(fā)展計劃和年哽工作計劃：

（五）我行各類產(chǎn)品定價方案及政策措施：

（六）我行業(yè)績初步公告、定期報告、股息分配方案（公布

前）：

（七）總行行長辦公會、行長專趣會會議等專業(yè)委員會會議

材料、決策過程和會議紀(jì)要；

（A＞各類信息系統(tǒng)用戶登錄密碼、數(shù)據(jù)加密密碼或密鑰等:

（九）我行其他重要材料.

【本頁目的】商密一級

【分配時長】2分鐘

【教學(xué)內(nèi)容】

一、“商密一級”范圍（保密期限不低于30年）

（一）我行股東大會、董事會、監(jiān)事會及各專業(yè)委員會議案、

決議、決定、紀(jì)要及相關(guān)材料（公布前）；

（二）我行重大財務(wù)或機(jī)構(gòu)重組及并購方案、股本募集計劃、

股權(quán)投資計劃；

（三）我行戰(zhàn)略規(guī)劃和重要業(yè)務(wù)決策方案；

（四）總分行制定的業(yè)務(wù)發(fā)展計劃和年度工作計劃；

（五）我行各類產(chǎn)品定價方案及政策措施；

（六）我行業(yè)績初步公告、定期報告、股息分配方案（公布

刖）;

21

（七）總行行長辦公會、行長專題會會議等專業(yè)委員會會議

材料、決策過程和會議紀(jì)要；

（八）各類信息系統(tǒng)用戶登錄密碼、數(shù)據(jù)加密密碼或密鑰等;

（九）我行其他重要材料。

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

22

幻燈片14

信息安全認(rèn)知

數(shù)據(jù)保密級別范圍招商銀行沈陽分行數(shù)據(jù)安全管理細(xì)則

二,“海密二ar范困《保密期跟不斷于io年）

<-）我行向中國人民做行、中國鐵行業(yè)覽懷行理會員公務(wù)監(jiān)管機(jī)關(guān)報送（十七）總分行公章.部門公章和各緞行短導(dǎo)公務(wù)名不及州的卸名,

的業(yè)務(wù)發(fā)發(fā)計堵、依刈、建議、計曾形勢分析和時總觀*疥彬勢的八折：<IA）信貸管理彩成的有關(guān)Hfl,包括：不良貨飲物,不息貸敦率等

（-）8類金酸產(chǎn)乩研發(fā)方案及相關(guān)伯反映貨產(chǎn)UiM的各類統(tǒng)計數(shù)露在未正式公布前各類信貸統(tǒng)計史》1、信

（H）分行及以下各級行的續(xù)合經(jīng)Wirth僥僑產(chǎn)運營分析依外，貨就..圾檔案筋同申貸委員會成員的個人

（H）我行設(shè)計的代客貫金理財產(chǎn)陸方窠.理時資套運作洋埔資料及我行舉貸意見：怡徒審批資”.審批曲見、審數(shù)記設(shè)：佇歡快令?K段他警

與Hi外交出對于邛意飾況；等物關(guān)，林：人行征信資娉：各類資產(chǎn)處置方案：

（H）較（的倚代理，外幣存獻(xiàn)利率上爾,外幣貸改利率下取，（十九）申請前的6標(biāo)、版權(quán)及專利,

（二十）涉及業(yè)務(wù)與產(chǎn)AS創(chuàng)新笠的合同文本，

本外幣內(nèi)能資金利率；各項資產(chǎn)負(fù)欣比例要求；利案風(fēng)陷敞口?意動性風(fēng)

險fifc1】、正平風(fēng)險散【1：資產(chǎn)負(fù)債代理的JI體技術(shù)F段；《二十I》般坪中地過的米購方案：

《：十二》本行皿大昔硝活動、口傳溫切方案及業(yè)務(wù)優(yōu)投標(biāo)方案：

（六）“常財務(wù)會計占e和統(tǒng)計伯息分析材??

《二匕一〉電勒工作形成的保制材料,包括計源機(jī)系燒相關(guān)業(yè)務(wù)軟件及

（C）人事竹理彩成的村”?他括更要人事任免和丸構(gòu)變更：人小揖案：

共借依文檔t計燈機(jī)冏烙滬曲址.各報電話與閃、布我方案：

機(jī)構(gòu)修刎.勞動工資計劃，工資標(biāo)滁；勞災(zāi)統(tǒng)計報&?勞資計劃，招聘工

作試題、答案.評分標(biāo)準(zhǔn)等，數(shù)據(jù)傳輸?shù)臉?biāo)位通訊婦科、代碼、量記簿和相關(guān)資料圓：

（A）我行業(yè)務(wù)發(fā)展故略.談略的執(zhí)行境況&《.十四》本行自有知識產(chǎn)權(quán)的產(chǎn)叢及技術(shù)：

《九）我行4開的仝行性和專業(yè)會似MX：《二十五）尚未迸行批得的股價域感也Ih

<+）外部審計、外部檢董WJ；兄氏整改脩況：《二十六》酋業(yè)場所、業(yè)務(wù)運行系統(tǒng)等Jfi點郡但的安保描施、應(yīng)您預(yù)案、

（十?）總行各類歡要第報?電子16擰&魚》資〃：

《二十七》由大案件費任人物相關(guān)掖失的處理貨況?

T?二）我行小要規(guī)章：M假、操作規(guī)程卻常爬辦法

《十f我行正大違規(guī)違法集件信息,廉大民事訴會.仲我案件策略方案《：十八〉M警保安人員的配番、（ft勖、說史,押傳、守庫安排和筆名

及相關(guān)材得?事故應(yīng)預(yù)案的；孫關(guān)技的和物助設(shè)他、槍支”核配置及使用傳理方法的；

（十四）內(nèi)部審計事由、結(jié);T及其整改境況，技協(xié)、人的工作中所記It的信恩.

（+5）反次線工作睛況：《：十九》客戶反映的彩及業(yè)務(wù)運行初定佑2,

（十六）總分行財分會計專用章及其印鑒的使用和其竹；

【本頁目的】商密二級

【分配時長】2分鐘

【教學(xué)內(nèi)容】

商密二級

電腦工作形成的保密材料，包括計算機(jī)系統(tǒng)相關(guān)業(yè)務(wù)軟件及

其資料文檔；計算機(jī)網(wǎng)絡(luò)IP地址、端口號、備撥電話號碼、

布線方案；數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)通訊編碼、代碼、登記簿和相關(guān)

資料等；

本行自有知識產(chǎn)權(quán)的產(chǎn)品及技術(shù)；

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

23

24

幻燈片15

信息安全認(rèn)知

數(shù)據(jù)保密級別范圍招商銀行沈陽分行數(shù)據(jù)安全管理細(xì)則

三、“商密三級”范國（保密期限不低T5年）

（->我行世規(guī)章制度、操作規(guī)程、管理辦法：

（二）我行各類培訓(xùn)的文件、簡報箸內(nèi)部資料.

四、其他

（一）總行黨委會會議材料、決策過程和會議紀(jì)要，比照“商

賽一級“2甲：

《二）紀(jì)檢監(jiān)察保：E材料,包括檢扉、控告和反映干部員工

違法違紀(jì)違規(guī)，未核實處理或正在核實處理的事項，比照“商密

?級”管理；

<=）客戶相關(guān)信息的商密等級另行制定印發(fā)。

【本頁目的】商密三級

【分配時長】2分鐘

【教學(xué)內(nèi)容】

（-）我行一般規(guī)章制度、操作規(guī)程、管理辦法；

（二）我行各類培訓(xùn)的文件、簡報等內(nèi)部資料。

四、其他

（一）總行黨委會會議材料、決策過程和會議紀(jì)要，比照“商

密一級”管理；

（二）紀(jì)檢監(jiān)察保衛(wèi)材料，包括檢舉、控告和反映干部員工

違法違紀(jì)違規(guī)，未核實處理或正在核實處理的事項，比照“商

密

一級”管理；

（三）客戶相關(guān)信息的商密等級另行制定印發(fā)。

25

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

26

幻燈片16

J信息安全的重要性

防范信息安全風(fēng)險

」防范社會工程學(xué)攻擊

」辦公設(shè)備安全

」

□上網(wǎng)行為安全

」軟忤安全

」網(wǎng)絡(luò)通信安仝

」無理環(huán)境安全

」商業(yè)蠅保滬

□應(yīng)用開姒使碌全

□數(shù)需安全

□外包安全

B信息安全管控措施

a信息安全法律法規(guī)

【本頁目的】目錄防范信息安全風(fēng)險

【分配時長】0.1分鐘

【教學(xué)內(nèi)容】

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

27

幻燈片17

防范信息安全風(fēng)險

0需要關(guān)注的信息安全主§2

【本頁目的】防范信息安全風(fēng)險

【分配時長】1分鐘

【教學(xué)內(nèi)容】

介紹防范信息安全風(fēng)險的幾個主題，簡單瀏覽，接下來逐一

講解

（一）防范社會工程學(xué)攻擊

（二）辦公設(shè)備安全

（三）賬號口令安全

（四）上網(wǎng)行為安全

（五）軟件安全

（六）網(wǎng)絡(luò)通信安全

（七）物理環(huán)境安全

28

（八）商業(yè)秘密保護(hù)

（九）應(yīng)用開發(fā)及使用安全

（十）數(shù)據(jù)安全

（H^一）外包安全

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

29

幻燈片18

防范信息安全風(fēng)險一防范社會工程學(xué)

“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設(shè)備，可只要有人給

毫無戒心的員工打個電話……”一KevinMitnick

攻擊者:螃翔南的,你老東是界的火?

受害者的家鄉(xiāng)：深圳

受害者:深切的.

生日：

攻擊者：你多大??？940228

:我94年的.

攻電臺：我也9蝴，我3月1號的,你呢?

,月隈t匕你大,跛月28日.

社會工程學(xué)(SocialEngineering),一種通過對受害者心理弱點、本能反應(yīng)、好奇心.信任、貪婪等

心理陷阱進(jìn)行諸如欺騙、飭害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢。

【本頁目的】社會工程學(xué)

【分配時長】2分鐘

【教學(xué)內(nèi)容】

主要是會利用人性的弱點，在實際環(huán)境中％90+的突破口不是

從技術(shù)漏洞開始的，而是利用社會工程學(xué)。我們經(jīng)常能夠在

微信內(nèi)有好友請求，通過后進(jìn)群，就是普通聊天不會涉及錢

財物，實際上群里幾十個人，受害者就一個。

【教學(xué)方法】案例分享

【所需教學(xué)工具或資源】無

30

幻燈片19

防范信息安全,

客戶經(jīng)啰*企業(yè)調(diào)研回來,

碼“Zh123痂”o插入U盤,料，雙擊受件，計算機(jī)

提示無法打開此類型文件（遂。小張登入互聯(lián)網(wǎng)找到

了解開rar文件的工具，下載解地磁盤中并進(jìn)行1

開

了壓縮文件。仔細(xì)查看這些文檔，時間過得很快,不IF客

戶約好的訪談時間，小張關(guān)閉了文檔，沒有鎖定罰算機(jī)就離開了單位

【本頁目的】引入練習(xí)，帶入信息安全的具體要求

【分配時長】3分鐘

【教學(xué)內(nèi)容】

【教學(xué)方法】互動練習(xí)

【所需教學(xué)工具或資源】無

31

幻燈片20

防范信息安全風(fēng)險一辦公設(shè)備安全一計算機(jī)設(shè)備安全

介人計算機(jī)設(shè)備使用要求數(shù)據(jù)安全管理紐則第二十三條

（一）嚴(yán)禁制造、執(zhí)行、傳播或者引入任何蛹目我復(fù)制和破壞功能或者影舊邇始軟硬件工作的惡意程序或代碼.

（二）嚴(yán)禁采用任何方式故at繞開、選激或破壞安全管控措施.

（=）嚴(yán)禁私自傳播版權(quán)屬于我行的應(yīng)用收件及源代碼.

（四）禁止私自將路由器、交換機(jī)等接入其行辦公或業(yè)務(wù)網(wǎng)絡(luò).

（五）禁止私自將業(yè)務(wù)計算機(jī)帶需甥亍工作場所使用.

（六）禁止私自陽殷行計算機(jī)攝入我行業(yè)務(wù)或辦公網(wǎng)絡(luò).

（七）禁止私自改動硬件設(shè)備，如現(xiàn)有軟硬件不能滿足工作需要，應(yīng)請求信息技術(shù)部僑助.

（A）禁止私自安裝盜版、破解軟件,避免安裝或使用與工作無關(guān)的軟件.

（九）從外蝴得的文件,程序、載體，在使用之前應(yīng)進(jìn)行病毒檢瓷.

（+）避免在共用的轉(zhuǎn)端設(shè)備內(nèi)保存數(shù)據(jù)，如必須保存也應(yīng)在使用完畢后立即出除,或按照要求對數(shù)據(jù)采取一定的保護(hù)措版

（-I-）不磁打開陌生網(wǎng)站，不IffiB從互聯(lián)網(wǎng)下或文件，不骸意使用陌生豉體，不隨意接入免殘公用無戰(zhàn)國格.

【本頁目的】給出案例的后續(xù)發(fā)展情況

【分配時長】2分鐘

【教學(xué)內(nèi)容】

物理安全和內(nèi)容安全，包括公用電腦的使用。我行敏感信息

的保管和使用

（一）嚴(yán)禁制造、執(zhí)行、傳播或者引入任何擁有自我復(fù)

制和破壞功能或者影響終端軟硬件工作的惡意程序或代碼。

（-）嚴(yán)禁采用任何方式故意繞開、逃避或破壞安全管

控措施。

（三）嚴(yán)禁私自傳播版權(quán)屬于我行的應(yīng)用軟件及源代碼。

（四）禁止私自將路由器、交換機(jī)等接入我行辦公或業(yè)

32

務(wù)網(wǎng)絡(luò)。

（五）禁止私自將業(yè)務(wù)計算機(jī)帶離我行工作場所使用。

（六）禁止私自將非我行計算機(jī)接入我行業(yè)務(wù)或辦公網(wǎng)

絡(luò)。

（七）禁止私自改動硬件設(shè)備，如現(xiàn)有軟硬件不能滿足

工作需要，應(yīng)請求信息技術(shù)部協(xié)助。

（八）禁止私自安裝盜版、破解軟件，避免安裝或使用

與工作無關(guān)的軟件。

（九）從外部獲得的文件、程序、載體，在使用之前應(yīng)

進(jìn)行病毒檢查。

（十）避免在共用的終端設(shè)備內(nèi)保存數(shù)據(jù)，如必須保存

也應(yīng)在使用完畢后立即刪除，或按照要求對數(shù)據(jù)采取一定的

保護(hù)措施。

（十一）不隨意打開陌生網(wǎng)站，不隨意從互聯(lián)網(wǎng)下載文

件，不隨意使用陌生載體，不隨意接入免費公用無線網(wǎng)絡(luò)。

【教學(xué)方法】講授

【所需教學(xué)工具或資源】無

33

34

幻燈片21

防范信息安全風(fēng)險一辦公設(shè)備安全一移動辦公設(shè)備安全

外出辦公，安全依然重要

/移動設(shè)密的輸入輸出，（無緣USB,Wi-Fi）不可信襁入；