信息安全管理培訓(xùn)教程1課件

信息安全管理培訓(xùn)信息安全管理培訓(xùn)CompanyLogo主要內(nèi)容信息安全管理介紹1信息系統(tǒng)等級保護工作2如何做好銀行信息安全3信息安全管理培訓(xùn)CompanyLogo威脅無處不在信息資產(chǎn)內(nèi)部人員威脅黑客滲透木馬后門病毒和蠕蟲流氓軟件拒絕服務(wù)社會工程地震雷雨失火供電中斷網(wǎng)絡(luò)通信故障硬件故障系統(tǒng)漏洞信息安全管理培訓(xùn)CompanyLogo

采取措施保護信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運行的連續(xù)性。什么是信息安全信息安全管理培訓(xùn)CompanyLogo信息安全防護重點信息防泄露內(nèi)容防篡改內(nèi)部防越權(quán)網(wǎng)絡(luò)防攻擊系統(tǒng)防入侵信息安全防護重點信息安全管理培訓(xùn)CompanyLogo信息安全基本目標(biāo)CIAOnfidentiality（機密性）Ntegrity（完整性）Vailability（可用性）CIA信息安全管理培訓(xùn)CompanyLogo信息安全最終目標(biāo)ConfidentialityIntegrityAvailabilityInformation信息安全的最終目標(biāo)是為了保證業(yè)務(wù)的高效穩(wěn)定運行信息安全管理培訓(xùn)CompanyLogo因果關(guān)系信息安全管理培訓(xùn)CompanyLogo信息安全發(fā)展趨勢1可信化2網(wǎng)絡(luò)化3標(biāo)準(zhǔn)化4集成化信息安全管理培訓(xùn)CompanyLogo因果關(guān)系

計算機安全領(lǐng)域一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！苯^對的安全是不存在的信息安全發(fā)展趨勢信息安全管理培訓(xùn)CompanyLogo安全vs.可用——平衡之道在可用性（Usability）和安全性（Security）之間是一種相反的關(guān)系提高了安全性，相應(yīng)地就降低了易用性而要提高安全性，又勢必增大成本管理者應(yīng)在二者之間達成一種可接受的平衡信息安全管理培訓(xùn)CompanyLogo（一）計算機病毒肆虐，影響操作系統(tǒng)和網(wǎng)絡(luò)性能（二）內(nèi)部違規(guī)操作難于管理和控制（三）來自外部環(huán)境的黑客攻擊和入侵（四）軟硬件故障造成服務(wù)中斷、數(shù)據(jù)丟失（五）人員安全意識薄弱，缺乏必要技能常見信息安全問題信息安全管理培訓(xùn)CompanyLogo（一）、計算機病毒肆虐，影響操作系統(tǒng)和網(wǎng)絡(luò)性能系統(tǒng)病毒感染特定類型的文件，破壞操作系統(tǒng)的完整性，破壞硬盤數(shù)據(jù)，破壞計算機硬件。病毒前綴為：win32，PE，Win95等。例如CIH病毒；蠕蟲病毒利用操作系統(tǒng)漏洞進行感染和傳播，產(chǎn)生大量垃圾流量，嚴(yán)重影響網(wǎng)絡(luò)性能。病毒前綴：Worm，例如沖擊波病毒；信息安全管理培訓(xùn)CompanyLogo（一）、計算機病毒肆虐，影響操作系統(tǒng)和網(wǎng)絡(luò)性能木馬病毒、黑客病毒實現(xiàn)對計算機系統(tǒng)的非法遠程控制、竊取包含敏感信息的重要數(shù)據(jù)，木馬病毒前綴：Trojan，黑客病毒前綴為Hack.后門病毒前綴：Backdoor，該類病毒的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門。（360？）其他：腳本病毒、宏病毒、玩笑病毒等。信息安全管理培訓(xùn)CompanyLogo

（二）、內(nèi)部違規(guī)操作難于管理和控制計算機使用權(quán)限劃分不明確，無法滿足最小授權(quán)的基本原則；內(nèi)部用戶使用BT或者EMule等P2P軟件下載文件和影視數(shù)據(jù)，擠占因特網(wǎng)出口帶寬，威脅正常應(yīng)用的服務(wù)質(zhì)量；內(nèi)部用戶發(fā)起的攻擊行為和違規(guī)操作，難于被檢測和發(fā)現(xiàn)。案例12009年6月9日，深圳福彩雙色球開出5注一等獎，獎金3305萬元。調(diào)查發(fā)現(xiàn)該5注一等獎是深圳市某技術(shù)公司軟件開發(fā)工程師程某，利用在深圳福彩中心實施技術(shù)合作項目的機會，通過木馬程序，攻擊了存儲福彩信息的數(shù)據(jù)庫，并進一步進行了篡改彩票中獎數(shù)據(jù)的惡意行為，以期達到其牟取非法利益的目的。

信息安全管理培訓(xùn)CompanyLogo（三）、來自外部環(huán)境的黑客攻擊和入侵非法獲取服務(wù)器主機的控制權(quán)限，任意使用系統(tǒng)計算資源，例如開啟因特網(wǎng)服務(wù)，免費使用硬盤空間，將服務(wù)器作為入侵跳板或者傀儡主機；對服務(wù)器主機發(fā)起滲透性攻擊和入侵，破壞原有數(shù)據(jù)，惡意篡改網(wǎng)頁，造成嚴(yán)重的聲譽損失，或者非法獲取控制權(quán)限，繼而盜竊敏感信息和數(shù)據(jù)。網(wǎng)絡(luò)釣魚，通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID、ATMPIN碼或信用卡詳細信息）的一種攻擊方式。案例22007年3月14日，灰鴿子木馬團伙調(diào)動上萬臺“肉雞”組成的“僵尸網(wǎng)絡(luò)”，對金山毒霸官方網(wǎng)站進行瘋狂的攻擊，造成瀏覽金山毒霸網(wǎng)站的用戶被挾持到幕后黑手指定的網(wǎng)站。案例32009年7月14日，土耳其使館遭黑客攻擊變身一夜情網(wǎng)站。云安全中心最新的監(jiān)測數(shù)據(jù)顯示，14日土耳其駐華大使館的官網(wǎng)受到兩個不同的黑客團伙同時攻擊，結(jié)果淪為兩個團伙的“聊天室”。案例42004年7月19日，惡意網(wǎng)站偽裝成聯(lián)想的主頁

信息安全管理培訓(xùn)CompanyLogo（四）、軟硬件故障造成服務(wù)中斷、數(shù)據(jù)丟失缺乏數(shù)據(jù)備份手段，一旦數(shù)據(jù)丟失，就不可恢復(fù)。骨干網(wǎng)絡(luò)設(shè)備以及服務(wù)器主機出現(xiàn)單點故障，造成服務(wù)中斷，業(yè)務(wù)停頓；硬盤損壞，造成業(yè)務(wù)數(shù)據(jù)丟失；信息安全管理培訓(xùn)CompanyLogo（五）、人員安全意識薄弱，缺乏必要技能管理層對信息安全建設(shè)重視程度不夠，不能推動自頂向下的安全管理；關(guān)鍵技術(shù)人員缺乏必要的知識儲備和操作技能，難以勝任崗位要求；普通用戶沒有建立正確的安全意識和安全的操作習(xí)慣，非惡意的誤操作將大量本可避免的安全問題引入企業(yè)IT系統(tǒng)。信息安全管理培訓(xùn)CompanyLogo最常犯的一些錯誤

將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息隨便撥號上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題會后不擦黑板，會議資料隨意放置在會場信息安全管理培訓(xùn)CompanyLogo主要內(nèi)容信息安全管理介紹1信息系統(tǒng)等級保護工作2如何做好信息安全工作3信息安全管理培訓(xùn)CompanyLogo2、信息等級保護工作信息系統(tǒng)安全等級劃分一級二級三級四級五級

自主保護級

指導(dǎo)保護級

監(jiān)督保護級

監(jiān)控保護級

強制保護級信息安全管理培訓(xùn)CompanyLogo等保5級劃分第一級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)運營、使用單位依照國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。第二級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重損害,或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重損害,或者對國家安全造成損害。信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。信息安全管理培訓(xùn)CompanyLogo等保5級劃分第四級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重損害,或者對國家安全造成嚴(yán)重損害。信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重損害；信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。信息安全管理培訓(xùn)CompanyLogo等保測評過程中突出的問題問題1個別網(wǎng)絡(luò)邏輯區(qū)域劃分不合理，生產(chǎn)網(wǎng)和辦公網(wǎng)混在一起問題2使用Telnet方式遠程管理網(wǎng)絡(luò)設(shè)備和安全設(shè)備，登錄設(shè)備的用戶名、口令在網(wǎng)絡(luò)中明文傳輸。問題3數(shù)據(jù)庫\操作系統(tǒng)密碼策略不符合要求，如弱口令，并且沒有設(shè)置登錄失敗的處理措施。問題4部分應(yīng)用系統(tǒng)業(yè)務(wù)用戶口令的長度、復(fù)雜度、更換周期、管理賬戶登錄失敗次數(shù)等限制功能較弱，無法對身份鑒別策略進行配置。信息安全管理培訓(xùn)CompanyLogo等保測評過程中突出的問題問題5機房內(nèi)沒有部署防盜報警裝置。問題7沒有對關(guān)鍵崗位的人員進行全面、嚴(yán)格的安全審查和技能考核或考核結(jié)果沒有歸檔保存。問題8重要員工之間沒有形成相互制約關(guān)系。問題6視頻監(jiān)控記錄保存時間較短。信息安全管理培訓(xùn)CompanyLogo主要內(nèi)容信息安全管理介紹1信息系統(tǒng)等級保護工作2如何做好信息安全工作3信息安全管理培訓(xùn)CompanyLogo技術(shù)手段

物理安全：環(huán)境安全、設(shè)備安全、媒體安全

系統(tǒng)安全：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性

網(wǎng)絡(luò)安全：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測、掃描評估

應(yīng)用安全：Email安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全

數(shù)據(jù)加密：硬件和軟件加密，實現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性

認(rèn)證授權(quán)：口令認(rèn)證、SSO認(rèn)證、證書認(rèn)證等

訪問控制：防火墻、訪問控制列表等

審計跟蹤：入侵檢測、日志審計、辨析取證

防殺病毒：單機防病毒技術(shù)逐漸發(fā)展成整體防病毒體系

災(zāi)備恢復(fù)：業(yè)務(wù)連續(xù)性，前提就是對數(shù)據(jù)的備份信息安全管理培訓(xùn)CompanyLogo信息安全管理關(guān)鍵點技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑信息安全管理構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)尤其重要唯有信息安全管理工作活動持續(xù)而周期性的推動作用方能真正將信息安全意識貫徹落實七分管理三分技術(shù)信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo工作環(huán)境安全應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；應(yīng)指定部門負責(zé)機房安全，指派專人擔(dān)任機房管理員，對機房的出入進行管理，每天巡查機房運行狀況，對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理，填寫機房值班記錄、巡視記錄；關(guān)鍵安全區(qū)域包括服務(wù)器機房、財務(wù)部門和人力資源部門、法務(wù)部、安全監(jiān)控室應(yīng)具備門禁設(shè)施前臺接待負責(zé)檢查外來訪客證件并進行登記，訪客進入內(nèi)部需持臨時卡并由相關(guān)人員陪同實施7×24小時保安服務(wù)，檢查保安記錄信息安全管理培訓(xùn)CompanyLogo物理安全建議所有入口和內(nèi)部安全區(qū)都需部署有攝像頭，大門及各樓層入口都被實時監(jiān)控禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機粉碎應(yīng)加強對辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等；應(yīng)對機房和辦公環(huán)境實行統(tǒng)一策略的安全管理，對出入人員進行相應(yīng)級別的授權(quán)，對進入重要安全區(qū)域的活動行為實時監(jiān)視和記錄。信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo案例案例一：

2003年，上海某家為銀行提供ATM服務(wù)的公司，軟件工程師蘇強。利用自助網(wǎng)點安裝調(diào)試的機會，繞過加密程序Bug，編寫并植入一個監(jiān)視軟件，記錄用戶卡號、磁條信息和密碼，一個月內(nèi)，記錄下7000條。然后拷貝到自己電腦上，刪掉植入的程序。后來蘇強去讀研究生，買了白卡和讀卡器，偽造銀行卡，兩年內(nèi)共提取6萬元。只是因為偶然原因被發(fā)現(xiàn)，公安機關(guān)通過檢查網(wǎng)上查詢客戶信息的IP地址追查到蘇強，破壞案件。案例二：北京移動電話充值卡事件信息安全管理培訓(xùn)CompanyLogo第三方安全建議識別所有相關(guān)第三方：服務(wù)提供商，設(shè)備提供商，咨詢顧問，審計機構(gòu)，物業(yè)，保潔等。識別所有與第三方相關(guān)的安全風(fēng)險，無論是牽涉到物理訪問還是邏輯訪問。在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定。在與第三方簽訂協(xié)議時特別提出信息安全方面的要求，特別是訪問控制要求。對第三方實施有效的監(jiān)督，定期Review服務(wù)交付。信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo內(nèi)部人員安全背景檢查簽署保密協(xié)議安全職責(zé)說明技能意識培訓(xùn)績效考核和獎懲內(nèi)部職位調(diào)整及離職檢查流程信息安全管理培訓(xùn)CompanyLogo內(nèi)部人員安全建議所有員工必須根據(jù)需要接受恰當(dāng)?shù)陌踩嘤?xùn)和指導(dǎo)根據(jù)工作所需，各部門應(yīng)該識別并評估員工的培訓(xùn)需求業(yè)務(wù)部門應(yīng)該建立并維持員工安全意識程序，確保員工通過培訓(xùn)而精于工作技能，并將信息安全意識深入其工作之中管理層有責(zé)任引領(lǐng)信息安全意識促進活動

信息安全意識培訓(xùn)應(yīng)該持續(xù)進行，員工有責(zé)任對培訓(xùn)效果提出反饋人力資源部門負責(zé)跟蹤培訓(xùn)策略的符合性，保留員工接受培訓(xùn)的相關(guān)記錄信息安全經(jīng)理應(yīng)該接受專門的信息安全技能培訓(xùn)技術(shù)部門等特定職能和人員應(yīng)該接受相應(yīng)的技能培訓(xùn)信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo重要信息的保密Secret機密、絕密Confidencial秘密InternalUse內(nèi)部公開Public公開信息安全管理培訓(xùn)CompanyLogo數(shù)據(jù)保護安全建議

根據(jù)需要，在合同或個人協(xié)議中明確安全方面的承諾和要求；明確與客戶進行數(shù)據(jù)交接的人員責(zé)任，控制客戶數(shù)據(jù)使用及分發(fā)；明確非業(yè)務(wù)部門在授權(quán)使用客戶數(shù)據(jù)時的保護責(zé)任；基于業(yè)務(wù)需要，主管決定是否對重要數(shù)據(jù)進行加密保護；禁止將客戶數(shù)據(jù)或客戶標(biāo)識用于非項目相關(guān)的場合如培訓(xùn)材料；客戶現(xiàn)場的工作人員，嚴(yán)格遵守客戶Policy，妥善保護客戶數(shù)據(jù)；打印件應(yīng)設(shè)置標(biāo)識，及時取回，并妥善保存或處理。信息安全管理培訓(xùn)CompanyLogo數(shù)據(jù)保護安全建議通過傳真發(fā)送機密信息時，應(yīng)提前通知接收者并確保號碼正確不允許在公共區(qū)域用移動電話談?wù)摍C密信息不允許在公共區(qū)域與人談?wù)摍C密信息不允許通過電子郵件或QQ工具交換賬號和口令信息不允許借助公司資源做非工作相關(guān)的信息交換不允許通過QQ工具傳輸文件信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo介質(zhì)安全d)應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行安全控制，應(yīng)選擇安全可靠的傳遞、交接方式，做好防信息泄露控制措施；e)應(yīng)對介質(zhì)歸檔和查詢等進行登記記錄，管理員應(yīng)根據(jù)存檔介質(zhì)的目錄清單定期盤點；f)對于重要文檔，如是紙質(zhì)文檔則應(yīng)實行借閱登記制度，未經(jīng)相關(guān)部門領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將文檔轉(zhuǎn)借、復(fù)制或?qū)ν夤_，如是電子文檔則應(yīng)采用OA等電子化辦公審批平臺進行管理；g)應(yīng)對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理；h)應(yīng)對送出維修的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀；

信息安全管理培訓(xùn)CompanyLogo介質(zhì)安全竊密者使用從互聯(lián)網(wǎng)下載的恢復(fù)軟件對目標(biāo)計算機的已被格式化的U盤進行格式化恢復(fù)操作后，即可成功的恢復(fù)原有文件（安全事件）保證介質(zhì)安全的建議：a)應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定；b)應(yīng)確保介質(zhì)存放在安全的環(huán)境中，并有明確標(biāo)識，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理；c)所有數(shù)據(jù)備份介質(zhì)應(yīng)防磁、防潮、防塵、防高溫、防擠壓存放；

信息安全管理培訓(xùn)CompanyLogo安全使用移動存儲設(shè)備1.請勿隨意使用U盤等移動存儲設(shè)備2.使用完后進行擦除或粉碎操作3.不要長期、大量存放涉密文件4.請勿隨意使用第三方維修服務(wù)5.請勿隨意拋棄6.進行消磁，甚至拆解處理信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo口令的重要性

用戶名+口令是最簡單也最常用的身份認(rèn)證方式口令是抵御攻擊的第一道防線，防止冒名頂替口令也是抵御網(wǎng)絡(luò)攻擊的最后一道防線針對口令的攻擊簡便易行，口令破解快速有效由于使用不當(dāng)，往往使口令成為最薄弱的安全環(huán)節(jié)口令與個人隱私息息相關(guān)，必須慎重保護信息安全管理培訓(xùn)CompanyLogo如何設(shè)置符合要求的口令?使用大寫字母、小寫字母、數(shù)字、特殊符號組成的密碼?妥善保管（增加暴力破解難度）?長度不少于8位（增加暴力破解難度）?定期更換（防止暴力破解）?不同的賬號使用不同的密碼（避免連鎖反應(yīng)）?不使用敏感字符串，如生日、姓名關(guān)聯(lián)（防止密碼猜測）?離開時需要鎖定計算機（防止未授權(quán)訪問計算機）信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo信息交換管理應(yīng)采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)采集、傳輸、使用和存儲過程的保密性。信息交換原則物理介質(zhì)傳輸

電子郵件和互聯(lián)網(wǎng)信息交換文件共享信息安全管理培訓(xùn)CompanyLogo數(shù)據(jù)備份與恢復(fù)a)許多操作系統(tǒng)和應(yīng)用程序在默認(rèn)狀態(tài)下都將存放應(yīng)用數(shù)據(jù)的位置定義到系統(tǒng)文件目錄下（如C盤下）。由于操作系統(tǒng)非常容易受到計算機病毒等破壞，所以，在安裝完系統(tǒng)和應(yīng)用程序后，最好通過手工將用戶數(shù)據(jù)存放到指定的數(shù)據(jù)分區(qū)上。b)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，采取實時備份與異步備份或增量備份與完全備份的方式，增量數(shù)據(jù)備份每天一次，完全數(shù)據(jù)備份每周一次，備份介質(zhì)場外存放，數(shù)據(jù)保存期限依照國家相關(guān)規(guī)定；c)恢復(fù)及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管；

信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo漏洞管理通過漏洞檢測工具，每半年一次為信息系統(tǒng)進行安全漏洞檢測，以查找漏洞，分析系統(tǒng)的安全性，并采取補救措施。對于總行統(tǒng)一布置的漏洞整改工作，省分行應(yīng)按照統(tǒng)一要求排查系統(tǒng)漏洞及報告整改情況。（明年總行將購買專門的漏洞掃描設(shè)備進行這項工作）發(fā)現(xiàn)高危漏洞應(yīng)進行登記、上報。隱蔽漏洞發(fā)作導(dǎo)致系統(tǒng)出現(xiàn)問題，應(yīng)按照事件管理要求及時上報。對于配置不當(dāng)、管理薄弱造成的漏洞，發(fā)現(xiàn)方及時進行補救；信息安全管理培訓(xùn)CompanyLogo惡意代碼防范策略1.所有計算機必須部署指定的防病毒軟件2、防病毒軟件必須持續(xù)更新3、感染病毒的計算機必須從網(wǎng)絡(luò)中隔離直至清除病毒4、任何意圖在內(nèi)部網(wǎng)絡(luò)創(chuàng)建或分發(fā)惡意代碼的行為都被視為違反管理制度5、發(fā)生任何病毒傳播事件，相關(guān)人員應(yīng)及時向IT管理部門匯報……信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo安全事件管理要點1.事先制定可行的安全事件響應(yīng)計劃2.建立事件響應(yīng)小組，以管理不同風(fēng)險級別的安全事件3.員工有責(zé)任向其上級報告任何已知或可疑的安全問題或違規(guī)行為，必要時，管理層可決定引入法律程序4.做好證據(jù)采集和保留工作5.應(yīng)提交安全事件和相關(guān)問題的定期管理報告，以備管理層檢查6.應(yīng)該定期檢查應(yīng)急計劃的有效性信息安全管理培訓(xùn)CompanyLogo業(yè)務(wù)連續(xù)性管理基本原則

業(yè)務(wù)連續(xù)性的基本原則是：(一)切實履行社會責(zé)任，保護客戶合法權(quán)益、維護金融秩序；

(二)堅持預(yù)防為主，建立預(yù)防、預(yù)警機制，將日常管理與應(yīng)急處臵有效結(jié)合；

(三)堅持以人為本，重點保障人員安全；實施差異化管理，保障重要業(yè)務(wù)有序恢復(fù)；兼顧業(yè)務(wù)連續(xù)性管理成本與效益；

(四)堅持聯(lián)動協(xié)作，加強溝通協(xié)調(diào)，形成應(yīng)對運營中斷事件的整體有效機制。信息安全管理培訓(xùn)CompanyLogo信息安全管理的幾個關(guān)注點物理安全第三方安全內(nèi)部人員安全重要信息的保密介質(zhì)安全口令安全信息交換及備份漏洞管理與惡意代碼應(yīng)急與業(yè)務(wù)連續(xù)性法律和政策信息安全管理培訓(xùn)CompanyLogo銀行業(yè)相關(guān)法規(guī)要求主要依據(jù)：–《商業(yè)銀行信息科技風(fēng)險管理指引》–《電子銀行業(yè)務(wù)管理辦法》–《電子銀行安全評估指引》–主管部門各類通知、文件?參考依據(jù)：–《商業(yè)銀行風(fēng)險監(jiān)管核心指標(biāo)（試行）》–《商業(yè)銀行內(nèi)部控制指引》–《商業(yè)銀行操作風(fēng)險管理指引》–《中國銀行業(yè)實施新資本協(xié)議指導(dǎo)意見》?補充：–《網(wǎng)上銀行系統(tǒng)信息安全保障評估準(zhǔn)則》–ISO27000系列直接相關(guān)間接相關(guān)通用標(biāo)準(zhǔn)/規(guī)范信息安全管理培訓(xùn)CompanyLogo要點總結(jié)加強敏感信息的保密留意物理安全遵守法律法規(guī)和安全策略公司資源只供公司所用保守口令秘密謹(jǐn)慎使用Internet、EMAIL、QQ

加強人員安全管理識別并控制第三方風(fēng)險加強防病毒措施有問題及時報告信息安全管理培訓(xùn)CompanyLogoThankYou!信息安全管理培訓(xùn)CompanyLogo1.注意力持續(xù)時間短2.遺忘速度快3.目的性強4.自我意識強

成人學(xué)習(xí)的特點：如何上好一堂培訓(xùn)課信息安全管理培訓(xùn)CompanyLogo自愿參加非自愿參加合作、主動學(xué)習(xí)、意識強不合作、被動學(xué)習(xí)、意識弱注意：非自愿者可能是麻煩的制造者課堂的表現(xiàn)了解學(xué)員信息安全管理培訓(xùn)CompanyLogo非自愿參加不合作、被動學(xué)習(xí)、意識弱注意：非自愿者可能是麻煩的制造者對于非自愿參加學(xué)員，培訓(xùn)師應(yīng)該增加授課的趣味性，多讓他們發(fā)表自己的見解，增強與他們的溝通。了解學(xué)員信息安全管理培訓(xùn)CompanyLogo雙方熟識采取提高注意力的多種形式雙方陌生采取破冰游戲、搭建溝通氛圍熟悉程度了解學(xué)員信息安全管理培訓(xùn)CompanyLogo培訓(xùn)前的準(zhǔn)備課程設(shè)計場地布置物料準(zhǔn)備設(shè)備檢查自我準(zhǔn)備信息安全管理培訓(xùn)CompanyLogo培訓(xùn)前---課程設(shè)計把要說的寫下來：資料搜集動筆寫作演示文稿最后修改信息安全管理培訓(xùn)CompanyLogo資料搜集：互聯(lián)網(wǎng)研討會、演講圖書館企業(yè)內(nèi)部資料同事、親友報紙、雜志音像制品培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo動筆寫作：發(fā)散性思維法撰寫提綱制定時間表培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo發(fā)散性思維法：所謂發(fā)散性思維法，就是從同一來源的材料中探求不同答案，從不同的方面尋求答案的思維過程。他能讓人通過聯(lián)想，拓展思路，從不同的角度尋求解決問題的各種可能途徑。

答案一問題答案二答案……培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo撰寫提綱—列提綱的好處：為授課提供清晰的思路為資料的取舍提供依據(jù)時間分配的依據(jù)選擇培訓(xùn)方法、輔助工具的依據(jù)培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo撰寫提綱—如何撰寫提綱：方法一：利用發(fā)散性思維服務(wù)培訓(xùn)個人層面團隊層面企業(yè)層面標(biāo)準(zhǔn)理念……培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo撰寫提綱—如何撰寫提綱：方法一：利用發(fā)散性思維培訓(xùn)主題論點一論點二論點三分論點一分論點二……培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo撰寫提綱—如何撰寫提綱：方法二：利用5W1H

WHO 誰

WHERE 哪里

WHY 為什么

WHAT 什么

WHEN 何時

HOW 怎樣培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo提綱的通用模式：一、引言（1）開場白（2）說明你的主題和目的（3）概括培訓(xùn)的內(nèi)容二、第一個要點（1）論點

A論據(jù)B論據(jù)（2）論點三、第二個要點（1）論點（2）論點四、第三個要點

……五、總結(jié)（1）重復(fù)你的要點（2）結(jié)束語培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo制定時間表：越缺乏講課經(jīng)驗，你的時間表越要訂的詳細！培訓(xùn)前---課程設(shè)計信息安全管理培訓(xùn)CompanyLogo課題描述幾個部分：課題名稱課題的宗旨課題目標(biāo)培訓(xùn)對象培訓(xùn)人數(shù)培訓(xùn)持續(xù)時間與日程設(shè)施要求培訓(xùn)教師要求制定課程大綱——編排課程內(nèi)容信息安全管理培訓(xùn)CompanyLogo授課計劃：目標(biāo)內(nèi)容提綱教學(xué)方法時間分配必須的培訓(xùn)資源練習(xí)項目布置作業(yè)評價或考核方法制定課程大綱——編排課程內(nèi)容信息安全管理培訓(xùn)CompanyLogo內(nèi)容提綱編寫程序：確定達到目標(biāo)所必須的知識確定每項目標(biāo)的表現(xiàn)內(nèi)容或技能確定實現(xiàn)目標(biāo)的態(tài)度要素依據(jù)知識技能態(tài)度三要素編排成合理順序制定課程大綱——編排課程內(nèi)容信息安全管理培訓(xùn)CompanyLogo制定課程大綱——選擇培訓(xùn)方法與技巧培訓(xùn)方法種類：講授與講演小組討論演示閱讀練習(xí)案例分析角色扮演現(xiàn)場參觀與學(xué)習(xí)考察信息安全管理培訓(xùn)CompanyLogo選擇培訓(xùn)方法的影響因素：培訓(xùn)目標(biāo)（知識、技能、態(tài)度）培訓(xùn)內(nèi)容培訓(xùn)講師（經(jīng)驗、能力）學(xué)員（數(shù)量、經(jīng)驗、能力水平）培訓(xùn)環(huán)境與資源限制（時間、經(jīng)費）制定課程大綱——選擇培訓(xùn)方法與技巧信息安全管理培訓(xùn)CompanyLogo選用合適培訓(xùn)方法的程序：陳述培訓(xùn)目標(biāo)決定表現(xiàn)類型考慮學(xué)員特點列出所有合適的培訓(xùn)方法考慮實際情況縮減清單，作出決定制定課程大綱——選擇培訓(xùn)方法與技巧信息安全管理培訓(xùn)CompanyLogo編寫課程資料一、編寫課程大綱二、編寫講師手冊三、編寫練習(xí)手冊四、編寫學(xué)員手冊五、編寫演示文件六、設(shè)計評估內(nèi)容與評估方式信息安全管理培訓(xùn)CompanyLogo培訓(xùn)前---場地布置魚骨式馬蹄形課桌式會議式桌椅的擺放信息安全管理培訓(xùn)CompanyLogo

魚骨式講臺以學(xué)員為中心,互動性強容易形成小團體培訓(xùn)前---場地布置信息安全管理培訓(xùn)CompanyLogo

課桌式講臺坐位角度比較統(tǒng)一

以講師為中心不利于小組討論與互動培訓(xùn)前---場地布置信息安全管理培訓(xùn)CompanyLogo

會議式講臺正式

以講師為中心氣氛嚴(yán)肅培訓(xùn)前---場地布置信息安全管理培訓(xùn)CompanyLogo合理安排桌椅擺放重要性

確保以學(xué)員為中心

確保培訓(xùn)效果達到最佳確保學(xué)員在培訓(xùn)過程中感覺舒適,集中精神培訓(xùn)前---場地布置信息安全管理培訓(xùn)CompanyLogo

簽到表學(xué)員手冊課程評估表白板紙計時器。。。。。。

培訓(xùn)所需書面資料課程所需練習(xí)紙以及培訓(xùn)道具

白板筆、鉛筆、橡皮培訓(xùn)小禮物樣品。。。。。。培訓(xùn)前---物料準(zhǔn)備信息安全管理培訓(xùn)CompanyLogo測試投影儀（清晰度，屏幕大小等）

空調(diào)的溫度視聽器材（DVD,音箱，光碟）茶點或其它

電腦調(diào)試（電腦接線，網(wǎng)線是否連接好）

室內(nèi)的燈光明暗度培訓(xùn)前---設(shè)備檢查

器架信息安全管理培訓(xùn)CompanyLogo培訓(xùn)前---自我準(zhǔn)備

熟悉培訓(xùn)內(nèi)容和流程形象-著裝/面貌/發(fā)型振作精神,消除緊張情緒信息安全管理培訓(xùn)CompanyLogo現(xiàn)場呈現(xiàn)技巧及其關(guān)鍵點信息安全管理培訓(xùn)CompanyLogo現(xiàn)場呈現(xiàn)的四大關(guān)鍵任務(wù)氣氛營造：平等溝通分享：互動點評剖析：價值改善指導(dǎo)：實踐信息安全管理培訓(xùn)CompanyLogo產(chǎn)生緊張情緒的原因

思想感覺

行為自尊？自信？信息安全管理培訓(xùn)CompanyLogo“怯場”測試心神不安不敢正視詞不達意盼望結(jié)束大腦空白心跳加速口干舌燥出虛汗手發(fā)抖兩腿發(fā)軟信息安全管理培訓(xùn)CompanyLogo正面應(yīng)對壓力的方法舒解分散信息安全管理培訓(xùn)CompanyLogo壓力轉(zhuǎn)換法壓力挑戰(zhàn)太大太不容易高度緊張動力機會更大更須努力聚精會神信息安全管理培訓(xùn)CompanyLogo登臺恐懼及其破解

怕丟面子怕講錯怕別人不接受怕場面無法控制信息安全管理培訓(xùn)CompanyLogo上場與下場空臺登場靜場起音上場從容不迫啟動注意專注全場享受掌聲再次致禮下場信息安全管理培訓(xùn)CompanyLogo影響訓(xùn)練效果的因素說什么怎么說何時說對誰說信息安全管理培訓(xùn)CompanyLogo有效導(dǎo)入及其注意事項謎語游戲問題數(shù)據(jù)場景引言故事概念觀點事件演示四種屏棄的開頭自夸式自殺式幼稚式庸俗式信息安全管理培訓(xùn)CompanyLogo專業(yè)表達的三大要素講、述、論信息安全管理培訓(xùn)CompanyLog