信息安全与数据保密的重要性

1. 信息安全与数据保密的重要性 安全背景培训

2. Agenda • 数据保密的定义 • 主要泄密渠道 • 信息化安全的现状 • 数据保密工作的现状与目标 • 员工数据保密工作的基本内容 • 公司保密工作体系建设【重点】 • 问答

3. 数据保密的定义 • 公司的商业数据是公司的核心竞争力，公司对数不作保密措施，很容易造成数据外泄，从而造成公司重大损失！所以保密是必须要的，数据保密和公司每个人都息息相关。 • 《财富》杂志统计全球排名前100的企业中每次由电子文档泄露所造成的平均损失高达50000美元。

4. 主要泄密的渠道 • 中高层员工离职 • 员工售卖牟利 • 竞争对手的间谍窃密 • 员工缺乏防范意识，导致口令外泄 • 保存商业信息的移动介质被窃，丢失 • 在购买公司服务后，竞争公司既获得客户的联系信息。 • 员工在离职后，出售登陆口令

5. 主要泄密的渠道-2 • 案例 • 法国雷诺泄密商业间谍案事态 涉入其中的是该公司的三名高管. • 前苹果员工Paul Devine出卖苹果公司的重大机密信息面临支付228万美元的赔偿 • 高盛内部员工非法复制敏感计算机代码有关代码用于运行投资银行的自动交易系统 • 力拓间谍门事件因给中国整个钢铁行业带来高达7000多亿元的经济损失而备受关注

6. 信息化安全的社会现状 • 案列反映出我国企业的信息安全特别是信息内部安全控制还处于非常初级的阶段。 • 特别是在经济危机时期市场竞争加剧、企业员工关系不稳固通过窃取机密信息等手段进行不正当竞争以及内部员工出卖机密的事件时有发生 • 随着信息化系统建设的推进，公司数据逐步整合，在提供使用便利的同时，安全也将带来隐患 • 系统可以对数据访问进行保障，但是系统不能防范人为的故意泄密。也不能建立相应的安全制度，所以公司安全制度和数据管理队伍建设需要及时的跟进，此任务迫在眉睫。

7. 挑战和解决方案 • 今天面对的最大信息安全威胁已经从外部入侵转为内部人员使用信息的不可控上 • 为了维护公司的利益，需要一个专门的部门负责公司公司的数据安全，包括口令管理，数据设备的保存，安全制度的规划等 • 建议从财务部抽调人员负责对数据安全相关事务进行统筹总管，财务部同事具有如下优势 • 财务人员不了解公司的具体业务。 • 财务岗位普遍受过安全意识和安全制度的培训，相对较难收买。 • 有相应的规范和成熟的财务安全制度可以借鉴，引用

8. 员工数据保密工作的基本内容 • 禁止泄露、外借和转移专业数据信息。 • 竞争公司联系购买数据，立即向数据安全负责人报备。 • 如看到同事滥用数据，或非授权拷贝数据，立即向数据安全负责人报备。 • 工作中优先考虑数据安全，再考虑便捷。 • 在固定周期内更新个人密码（三个月）密码不可与任何人共享。 • 对员工数据安全意识进行培训。

9. 员工数据保密工作的基本内容-2 • 严禁在任何介质上明文保存登陆密码。 • 竞争公司联系购买数据，立即向数据安全负责人报备。 • 确保信息保密，只在被授权时使用信息。 • 员工应具有避嫌意识，主动避免保管数据，避免向保管人要求额外的商业数据信息 • 员工离职后第一时间设置账号为未激活或重置其登录密码

10. 内部信息工作体系的建设 • 数据安全体系建设原则应当遵循各个角色互相制约，互相监督，审批权，执行权，使用权应分开。 • 数据使用人不应当参与审批，发放，保存的操作。 • 发放操作人不应当了解或涉及具体的业务。 • 数据保存人和操作人不应当是同一个人，且保存人不可了解或涉及具体业务。 • 上岗员工工进行数据安全考试，通过后方可上岗。

11. 内部信息工作体系的建设-2 • 数据使用过程中，参与的角色有： • 数据使用申请人 • 审核人 • 审批人 • 数据权限释放执行人 • 数据保管人 • 过程监督人

12. 内部信息体系的建设-3 • 数据使用申请的流程范例 不通过 申请人 发起数据使用申请流程 审核人 审批人 通过 执行人 通过 发放数据 根据审批结果请求数据 数据保管人 数据安全负责人（负责流程规范监控，申请备案维护）

13. 内部信息安全体系建设-4 • 建设目标： • 完善制度体系 • 完善管理体系 • 完善组织体系

14. 问答 • Q&A

15. Click to edit company slogan . Thank You !