信息安全意识培训教材.ppt

* 网络通信中断 服务器崩溃 严重的数据 泄漏或丢失 计算机网络安全事件 断电 断水 恐怖袭击 人员伤亡 设施毁坏 火灾 水灾 人员与环境灾难事故 事先做好备份等准备工作 灾难发生后妥善处理以降 低损失 在确定时限内恢复 分析原因，做好记录 BCP应定期测试和维护 应该明确责任人 重大灾害发生后应启用BCP进行恢复 —— 详细参见 -PRC-BusinessContinuityManagementProcedure 以及各部门制定的针对各类灾害发生时实施业务恢复的具体的BCP * 关于数据备份与更新的建议 数据备份是制定BCP时必须考虑的一种恢复准备措施 现在，数据备份的途径有多种： 软盘，CD和DVD，Zip盘，磁带，移动硬盘，优盘 养成对您的数据进行备份的好习惯 备份磁盘不要放在工作场所 对重要的硬盘做好镜像 对重要的软件进行更新，例如微软的产品 * 重要信息的保密 信息交换及备份 软件使用安全 计算机及网络访问安全 人员及第三方安全管理 移动计算与远程办公 工作环境及物理安全要求 防范病毒和恶意代码 口令安全 电子邮件安全 介质安全管理 警惕社会工程学 应急响应和业务连续性计划 法律法规 法律法规 * 你应该了解这些内容 …… 与计算机安全相关的法律法规 对知识产权和个人隐私的保护 关于盗版软件的问题 关于计算机犯罪的话题 * 中国的信息立法 统计法 档案法 测绘法 国家安全法 近年，中国陆续制定了多部与信息活动密切相关的法律，虽然大多不专门针对网络环境，甚至有些也不针对电子信息，但它们的基本精神对网络的建设、管理以及网络中的信息活动都有不同程度的指导作用。 保守国家秘密法 著作权法 广告法 反不正当竞争法 * 中国针对信息网络环境的立法 中华人民共和国计算机信息系统安全保护条例 计算机软件著作权登记办法，计算机软件保护条例 计算机场地技术条件，计算机场地安全要求 中华人民共和国保守国家秘密法 计算机信息网络国际联网安全保护管理办法 商用密码管理条例 计算机病毒防治管理办法 计算机信息系统安全专用产品分类原则 计算机信息系统安全专用产品检测和销售许可证管理办法 中华人民共和国刑法（1997年修订时新增关于计算机犯罪条款） 全国人民代表大会常务委员会关于维护互联网安全的决定 中国对信息系统的立法工作很重视，关于计算机信息系统安全方面的法规较多，涉及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、标准化、场地设施安全和安全产品检测与销售等方面。 * 如何理解计算机犯罪？ 对计算机犯罪的定义，国内外学者众说纷纭，莫衷一是 狭义认为，计算机犯罪只限于现行刑法第285条和第286条所定： 利用计算机操作所实施的危害计算机信息系统安全的犯罪行为 一方面其犯罪对象是计算机信息系统 另一方面是危害计算机信息系统安全的行为，只能通过非法操作计算机实施 广义认为，计算机犯罪是指行为以计算机为犯罪工具，或者以计算机资产为攻击对象的犯罪的总称 * 计算机犯罪都有哪些类型？ 非法侵入计算机信息系统 破坏计算机信息系统功能 破坏计算机信息系统数据和应用程序 故意制作、传播计算机病毒等破坏性程序 其他“非纯正”计算机犯罪： 利用计算机实施危害国家安全的犯罪 利用计算机实施危害公共安全的犯罪 利用计算机破坏经济秩序的犯罪 利用计算机实施侵犯公民人身权利、民主权利的犯罪 其他犯罪行为 …… * 关于计算机犯罪的立法 美国、英国、德国、日本、法国、意大利、俄罗斯等西方国家对计算机犯罪都有较完整的立法。我国此方面立法主要表现为： 非法侵入计算机信息系统罪（刑法第285条） 破坏计算机信息系统功能罪（刑法第286条第1款） 破坏计算机信息系统数据和应用程序罪（刑法第286条第2款） 故意制作、传播计算机病毒等破坏性程序罪（刑法286条第2款） 适用于一切利用计算机实施的其他犯罪（刑法第287条） 《全国人民代表大会常务委员会关于维护互联网安全的决定》 对通过因特网实施的犯罪行为，从五个方面进行了划分和界定 * 知识产权保护：识别适用于的法律，检查符合性，列举清单，做必要的审核 合同条约遵守：在与客户签订合同之前应审核其法律符合性 软件版权保护：制定软件使用管理规定，加强软件登记和管控，严禁使用盗版，定期检查 组织经营信息：保护组织经营记录信息，妥善保存ISMS运行和审核记录 个人隐私保护：员工个人信息必须保密，Admin、HR、Finance应有相应的管理措施 防止滥用信息处理设施：公司的信息处理设备，只允许基于履行工作任务所需，公司将对信息处理设施的使用采取