員工信息安全培訓(xùn)PPT

1、 員工信息安全培訓(xùn)員工信息安全培訓(xùn) 法務(wù)部法務(wù)部 一、信息安全保護(hù)的必要性 二、信息安全概述 三、商業(yè)秘密保護(hù) 四、消費(fèi)者隱私保護(hù) 五、1號(hào)店信息安全管理體系 培訓(xùn)內(nèi)容介紹案例一 華為公司人員流動(dòng)泄密案案例二 可口可樂的商業(yè)秘密保護(hù) 原華為3名技術(shù)人員王志駿、劉寧、秦學(xué)軍辭職后，成立了上海滬科科技有限公司，并將“竊 取”的核心技術(shù)資料賣給了華為公司的直接競(jìng)爭(zhēng)對(duì)手，使其通過使用華為公司的商業(yè)秘密開 發(fā)出與華為公司功能相同的產(chǎn)品。 2002年8月，深圳市檢察機(jī)關(guān)批準(zhǔn)逮捕王志駿等三人，最終三人分別被判處有期徒刑2-3年。 華為在此案中的損失超過1.8億元人民幣。一、信息安全保護(hù)的必要性 可口可樂的配

2、方自1886年在美國(guó)亞特蘭大誕生以來(lái),已保密達(dá)120多年之久。 可口可樂百年不倒,基業(yè)常青的“定海神針”只提供用最關(guān)鍵技術(shù)制出的半成品給對(duì)方，而不提供原漿（半成品）生產(chǎn)的配方及技術(shù)。 可口可樂中占不到1%的神秘配料“7X 100”僅極少數(shù)人知道。 “保住秘密，就是保住市場(chǎng)”二、信息安全概述信息安全信息安全商業(yè)秘密保護(hù)商業(yè)秘密保護(hù)消費(fèi)者隱私保護(hù)消費(fèi)者隱私保護(hù)經(jīng)營(yíng)經(jīng)營(yíng)信息信息技術(shù)信息技術(shù)信息定義： 商業(yè)秘密是指不為公眾所知悉, 能為權(quán)利人帶來(lái)經(jīng)濟(jì)利益, 具有實(shí)用性并經(jīng)權(quán)利采取保密措施的技術(shù)信息和經(jīng)營(yíng)信息。構(gòu)成要件：1. 秘密性： 不為大眾所知悉信息所有人根據(jù)當(dāng)時(shí)的條件釆取了相應(yīng)保密措施2. 實(shí)用和

3、價(jià)值性：商業(yè)秘密在企業(yè)的生產(chǎn)活動(dòng)和經(jīng)營(yíng)活動(dòng)中,是客觀有用的,能夠在實(shí)際操作中給企業(yè)帶來(lái)一走的利益。涉及的法律: 1. 民法通則、合同法2. 反不正當(dāng)競(jìng)爭(zhēng)法、勞動(dòng)法、勞動(dòng)合同法3. 中華人民共和國(guó)刑法三、商業(yè)秘密據(jù)國(guó)家工商局關(guān)于禁止侵犯商業(yè)秘密行為的若干規(guī)定中解釋，技術(shù)信息包括“設(shè)計(jì)、程序、產(chǎn)品配方、制作工藝、制作方法等”。 據(jù)國(guó)家科委關(guān)于加強(qiáng)科技人員流動(dòng)中技術(shù)秘密管理的若干意見解釋，“本單位的技術(shù)秘密是指由單位研制開發(fā)或者以其他合法方式掌握的、未公開的、能給單 位帶來(lái)經(jīng)濟(jì)利益或競(jìng)爭(zhēng)優(yōu)勢(shì)，具有實(shí)用性且本單位采取了保密措施的技術(shù)信息，包括但不限于設(shè)計(jì)圖紙（含草圖）、試驗(yàn)結(jié)果和試驗(yàn)記錄、工藝配方、樣

4、品、數(shù)據(jù)、 計(jì)算機(jī)程序等。技術(shù)信息可以是有特定的完整的技術(shù)內(nèi)容，構(gòu)成一項(xiàng)產(chǎn)品、工藝、材料及其改進(jìn)的技術(shù)方案，也可以是某一產(chǎn)品、工藝、材料等技術(shù)或產(chǎn)品中的部分技術(shù)要素”。 商業(yè)秘密中的技術(shù)信息 案例三案例三 浙江鑫富藥業(yè)商業(yè)秘密被盜取案浙江鑫富藥業(yè)商業(yè)秘密被盜取案 2006年7月17日，突然有人向浙江鑫富舉報(bào)，稱該公司的核心技術(shù)，已經(jīng)被山東新發(fā)藥業(yè)有限公司盜取！ 經(jīng)查實(shí)，兩年間，山東新發(fā)藥業(yè)通過浙江鑫富藥業(yè)生產(chǎn)調(diào)度員馬某等，盜得了一整套“噴霧干燥反應(yīng)器”的設(shè)計(jì)圖紙、生產(chǎn)操作規(guī)程和 生物酶樣本有了設(shè)計(jì)圖紙，有了生物活性酶，李新發(fā)立刻上馬生產(chǎn)，公司維B5產(chǎn)量迅速“從原來(lái)的200噸飛漲至2000噸”，

5、直逼浙江鑫富。更讓鑫富藥業(yè)擔(dān)憂的是，新發(fā)藥業(yè)在提高產(chǎn)量后，迅速以低于鑫富藥業(yè)25%的價(jià)格與之展開“貼身肉搏戰(zhàn)”，搶占市場(chǎng)份額，導(dǎo)致該生產(chǎn)領(lǐng)域時(shí)刻面臨全球重新洗牌 據(jù)中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法解讀中解釋，經(jīng)營(yíng)信息包括：（1）新產(chǎn)品的市場(chǎng)占有情況及如何開辟新市場(chǎng)；（2）產(chǎn)品的社會(huì)購(gòu)買力情況； （3）產(chǎn)品的區(qū)域性分布情況； （4）產(chǎn)品長(zhǎng)期的、中期的、短期的發(fā)展方向和趨勢(shì)； （5）經(jīng)營(yíng)戰(zhàn)略； （6）流通渠道和機(jī)構(gòu)等?！?國(guó)家工商局關(guān)于禁止侵犯商業(yè)秘密行為的若干規(guī)定中解釋，經(jīng)營(yíng)信息包括：“管理訣竅、客戶名單、貨源情報(bào)、產(chǎn)銷策略、招投標(biāo)中的標(biāo)底及標(biāo)書內(nèi)容等信息?！鄙虡I(yè)秘密中的經(jīng)營(yíng)信息案例四案例四 采購(gòu)渠

6、道案例采購(gòu)渠道案例 56歲的洛配茲是美國(guó)通用汽車公司采購(gòu)部負(fù)責(zé)人，人稱成本殺手，在他擔(dān)任通用公司負(fù)責(zé)人的3年中，在汽車零件上為通用公司節(jié)約了約30億美元。1993年3月15日，洛配茲帶領(lǐng)7名助手投奔德國(guó)大眾公司。他的跳槽直接威脅通用公司的競(jìng)爭(zhēng)優(yōu)勢(shì)?？肆诸D總統(tǒng)甚至命令聯(lián)邦調(diào)查局采用偵查手段。1996年3月7日，通用公司向美國(guó)底特律地方法院提交了99頁(yè)的起訴書。后雙方達(dá)成和解，洛配茲脫離大眾公司，在2000前不得作為雇員或者顧問為大眾公司服務(wù)。1、在訴訟中，客戶名單的秘密屬性經(jīng)?；谝韵略虮环穸ǎ?A、客戶名單易于從公開的媒體上獲得； B、所有的競(jìng)爭(zhēng)者都能通過相同的途徑取得該客戶名單； C、客戶

7、名單在該領(lǐng)域內(nèi)極為有名。如果客戶名單僅僅包括眾所周知的信息，而且這些信息很容易可以被第三人獲得，則不視為商業(yè)秘密。2、但是，如果對(duì)這些取材于公眾渠道的信息，耗費(fèi)了人力和財(cái)力，進(jìn)行了投資和整理，那么整理后的信息就有可能成為商業(yè)秘密，得到法律保護(hù)，實(shí)際上也就反應(yīng)了對(duì)權(quán)利人勞動(dòng)的保護(hù)。3、同時(shí)，商業(yè)秘密必須是不易通過正當(dāng)手段或途徑取得的信息，易于取得的信息不能獨(dú)占使用，也就不能構(gòu)成商業(yè)秘密。所以，“他人正當(dāng)獲取客戶名單的難易程度”也是判斷客戶名單商業(yè)秘密屬性時(shí)所應(yīng)該考慮的重要因素。 商業(yè)秘密中的客戶名單一般是指客戶的名稱、地址、聯(lián)系方式以及交易的習(xí)慣、意向、內(nèi)容等構(gòu)成的區(qū)別于相關(guān)公知信息的特殊客戶信

8、息，包括匯集眾多客戶的客戶名冊(cè)，以及保持長(zhǎng)期穩(wěn)定交易關(guān)系的特定客戶。討論：客戶名單是否屬于商業(yè)秘密？民事責(zé)任民事責(zé)任：違反保密協(xié)議，構(gòu)成違約；造成商業(yè)秘密權(quán)利人損失，構(gòu)成侵權(quán)；應(yīng)當(dāng)承擔(dān)損害賠償?shù)让袷仑?zé)任。 （合同法第60、43、92條；勞動(dòng)法第102條；侵權(quán)責(zé)任法等）行政責(zé)任行政責(zé)任：工商行政管理機(jī)關(guān)責(zé)令停止違法行為，并可以根據(jù)情節(jié)處以1萬(wàn)元以上20萬(wàn)元以下罰款。 （反不正當(dāng)競(jìng)爭(zhēng)法第25條；關(guān)于侵犯商業(yè)秘密行為的若干規(guī)定第7條）刑事責(zé)任刑事責(zé)任：構(gòu)成侵犯商業(yè)秘密罪（刑法第219條）侵犯公司商業(yè)秘密權(quán)的法律責(zé)任員工方面：1、遵守公司的信息安全制度，對(duì)保密信息采取保密措施，不隨意擴(kuò)散，不主動(dòng)獲取超

9、出職權(quán)范圍的信息；2、遇到不確定或侵犯公司商業(yè)秘密的情形，積極向主管或法務(wù)部門請(qǐng)示和反映。部門主管：1、信息安全制度與體系的遵守與執(zhí)行；2、文檔的分級(jí)、歸檔、管理、保存和銷毀等；3、對(duì)員工信息安全方面的指導(dǎo)與培訓(xùn)。商業(yè)秘密保護(hù)的合規(guī)性要求定義：消費(fèi)者的姓名、性別、年齡、職業(yè)、聯(lián)系方式、健康狀況、家庭狀況、財(cái)產(chǎn)狀況、消費(fèi)記錄等與消費(fèi)者個(gè)人及其家庭密切相關(guān)信息的保護(hù)。即將于2014年3月15日施行的新消費(fèi)者權(quán)益保護(hù)法首次將消費(fèi)者信息列為保護(hù)內(nèi)容。法條鏈接： 第十四條 消費(fèi)者在購(gòu)買、使用商品和接受服務(wù)時(shí)，享有人格尊嚴(yán)、民族風(fēng)俗習(xí)慣得到尊重的權(quán)利，享有個(gè)人信息依法得到保護(hù)的權(quán)利。 第二十九條 經(jīng)營(yíng)者收

10、集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。 經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。 經(jīng)營(yíng)者未經(jīng)消費(fèi)者同意或者請(qǐng)求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。 第五十條 經(jīng)營(yíng)者侵害消費(fèi)者的人格尊嚴(yán)、侵犯消費(fèi)者人身自由或者侵

11、害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利的，應(yīng)當(dāng)停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉，并賠償損失。四、消費(fèi)者隱私保護(hù)案例五 1 1號(hào)店信息泄露案件號(hào)店信息泄露案件案例六 非法非法竊取用戶信息，鋃鐺入獄！竊取用戶信息，鋃鐺入獄！ 四、消費(fèi)者隱私保護(hù) 從2012年5月24日開始，一些網(wǎng)站和媒體開始以“黑客售賣90萬(wàn)用戶資料”為標(biāo)題公開報(bào)道有人通過QQ兜售1號(hào)店的用戶數(shù)據(jù)，引起公安機(jī)關(guān)注意，隨后控制涉案人員11人。 經(jīng)公安機(jī)關(guān)和檢查機(jī)關(guān)經(jīng)調(diào)查取證后，對(duì)銷售、轉(zhuǎn)賣和購(gòu)買用戶資料的嫌疑人向浦東新區(qū)人民法院提起公訴，截止2013年11月，劉某某、徐某某等已被浦東新區(qū)人民法院判處6個(gè)月到8個(gè)月不等的有期徒刑并處

12、數(shù)萬(wàn)元罰金。尚有案件在審理當(dāng)中。 海航優(yōu)悅公司副總裁徐某授意該公司信息部負(fù)責(zé)人，即彭某購(gòu)買1號(hào)店客戶信息，彭從原1號(hào)店員工繆某處取得1號(hào)店數(shù)據(jù)庫(kù)賬號(hào)、密碼、配置服務(wù)器的IP地址及端口等信息，先后三次竊取1號(hào)店客戶訂單信息300余萬(wàn)條（去重后達(dá)40萬(wàn)余條顧客信息），一審判決如下： 徐某：非法獲取公民個(gè)人信息罪，判處有期徒刑九個(gè)月，罰金一萬(wàn)五千元； 彭某：非法獲取公民個(gè)人信息罪和職務(wù)侵占罪，判處有期徒刑一年九個(gè)月，罰金一萬(wàn)五千元； 繆某，非法獲取公民個(gè)人信息罪，有期徒刑十個(gè)月，罰金一萬(wàn)五千元。民事責(zé)任：民事責(zé)任：違反消費(fèi)者保密協(xié)議，構(gòu)成違約；損害消費(fèi)者民事權(quán)益，構(gòu)成侵權(quán)；應(yīng)當(dāng)承擔(dān)停止侵害、恢復(fù)名譽(yù)

13、、消除影響、賠禮道歉，并賠償損失。 （消費(fèi)者權(quán)益保護(hù)法第48條；侵權(quán)責(zé)任法第2、36條；最高人民法院關(guān)于貫徹執(zhí)行若干問題的意見第140條；最高人民法院關(guān)于確定民事侵權(quán)精神損害賠償責(zé)任若干問題的解釋第1、3條）行政行政責(zé)任：責(zé)任：工商行政管理部門或者其他有關(guān)行政部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處以違法所得1倍以上10倍以下的罰款，沒有違法所得的，處以50萬(wàn)元以下的罰款；情節(jié)嚴(yán)重的，責(zé)令停業(yè)整頓、吊銷營(yíng)業(yè)執(zhí)照。 （消費(fèi)者權(quán)益保護(hù)法第56條）刑事責(zé)任：刑事責(zé)任：在明知他人實(shí)施犯罪活動(dòng)，仍提供消費(fèi)者個(gè)人信息，構(gòu)成相應(yīng)犯罪的共犯；向不特定第三人散布消費(fèi)者個(gè)人信息，造成消費(fèi)者人格

14、尊嚴(yán)和名譽(yù)權(quán)嚴(yán)重?fù)p害的，構(gòu)成侮辱罪。 （刑法第246條）侵犯消費(fèi)者隱私權(quán)的法律責(zé)任 1、收集和使用消費(fèi)者個(gè)人信息前向消費(fèi)者說明收集、使用的目的和方式； 2、收集和使用消費(fèi)者個(gè)人信息必須征得對(duì)方同意； 3、對(duì)收集的材料采取合理的保密措施，確保個(gè)人信息不受第三方的非法獲取和使用； 4、收集和使用消費(fèi)者個(gè)人信息應(yīng)在合理范圍內(nèi)，不得超出必要限度。消費(fèi)者隱私保護(hù)的合規(guī)性要求五、1號(hào)店信息安全管理體系保障1號(hào)店的業(yè)務(wù)正常持續(xù)發(fā)展，保護(hù)1號(hào)店擁有和管理的信息資產(chǎn)的安全，積極預(yù)防信息安全事件的發(fā)生，最小化信息安全事件的影響信息安全方針信息安全方針 信息安全管理委員會(huì)為跨部門的組織，負(fù)責(zé)信息安全重大事務(wù)的決策；

15、 委員會(huì)的主席由首席技術(shù)官CTO韓軍擔(dān)任，副主席由公司CEO劉峻嶺兼任信息安全決策信息安全決策 信息安全部負(fù)責(zé)制定1號(hào)店信息安全策略（見右面） 全體員工在日常信息活動(dòng)中需遵守相關(guān)信息安全策略的要求信息安全執(zhí)行信息安全執(zhí)行1號(hào)店信息安全策略信息安全組織策略信息安全組織策略資產(chǎn)管理策略資產(chǎn)管理策略人力資產(chǎn)安全策略人力資產(chǎn)安全策略物理與環(huán)境安全策略物理與環(huán)境安全策略通信與操作管理策略通信與操作管理策略訪問控制策略訪問控制策略信息系統(tǒng)獲取、開發(fā)與維護(hù)策略信息系統(tǒng)獲取、開發(fā)與維護(hù)策略信息安全事件管理策略信息安全事件管理策略業(yè)務(wù)連續(xù)性管理策略業(yè)務(wù)連續(xù)性管理策略符合性策略符合性策略1號(hào)店信息安全制度根據(jù)1號(hào)

16、店信息安全策略制定并頒布的信息安全制度，下列所有制度均可以PortalIT制度欄目中查閱。C1-IT-Security-PM01-SD001-信息安全方針C1-IT-Security-PM01-SD002-物理和環(huán)境安全管理規(guī)定C1-IT-Security-PM01-SD003-第三方安全管理規(guī)定C1-IT-Security-PM01-SD004-系統(tǒng)訪問控制管理規(guī)定C1-IT-Security-PM01-SD005-網(wǎng)絡(luò)安全管理規(guī)定C1-IT-Security-PM01-SD006-系統(tǒng)安全管理規(guī)定C1-IT-Security-PM01-SD007-符合性管理規(guī)定C1-IT-Security

17、-PM01-SD008-風(fēng)險(xiǎn)評(píng)估管理規(guī)定C1-IT-Security-PM01-SD009-信息安全事件管理規(guī)定C1-IT-Security-PM01-SD010-數(shù)據(jù)安全管理規(guī)定C1-IT-Security-PM01-SD011-備份管理規(guī)定C1-IT-Security-PM01-SD012-業(yè)務(wù)連續(xù)性管理規(guī)定C1-IT-Security-PM01-SD013-信息安全紀(jì)律處分管理規(guī)定C1-IT-Security-PM01-SD016-人員安全管理規(guī)定C1-IT-Security-PM01-SD017-信息資產(chǎn)管理規(guī)定C1-IT-Security-PM01-SD019-惡意代碼防范管理規(guī)定C

18、1-IT-Security-PM01-SD020-移動(dòng)介質(zhì)管理規(guī)定C1-IT-Security-PM01-SD021-信息交換安全管理規(guī)定1號(hào)店信息安全原則與重點(diǎn)制度內(nèi)容摘要信息安全原則：信息安全原則：1.員工對(duì)于創(chuàng)作或者持有的敏感資料，應(yīng)當(dāng)在文檔中標(biāo)識(shí)密級(jí)，并采取適當(dāng)?shù)谋Ｃ艽胧?.員工對(duì)外提供敏感信息應(yīng)當(dāng)經(jīng)過信息安全部的評(píng)估，并與對(duì)方簽訂保密協(xié)議；3.員工獲取敏感信息應(yīng)當(dāng)遵守信息安全部的流程，并事先獲得主管和/或數(shù)據(jù)owner的審批；4.工作中遇到與信息安全相關(guān)的問題，應(yīng)及時(shí)向部門主管或者信息安全部提出。重點(diǎn)制度：重點(diǎn)制度：數(shù)據(jù)安全管理規(guī)定 1號(hào)店數(shù)據(jù)根據(jù)敏感程度分為絕密、機(jī)密、秘密、內(nèi)控和公開五類，其中秘密及以上的數(shù)據(jù)秘密及以上的數(shù)據(jù)屬于1號(hào)店敏感數(shù)據(jù) 內(nèi)部用戶所有的敏感數(shù)據(jù)訪問申請(qǐng)必須通過信息安全部負(fù)責(zé)人和相關(guān)部門副總裁（VP）審批 內(nèi)部用戶所有的敏感生產(chǎn)數(shù)據(jù)訪問申請(qǐng)必須通過信息安全部負(fù)責(zé)人和首席技術(shù)官（CTO）審批 向外部提供1號(hào)店敏感生產(chǎn)數(shù)據(jù)前必須進(jìn)行數(shù)據(jù)脫敏處理系統(tǒng)訪問控制管理規(guī)定 禁止多人使用同一