1、信息安全培训新员工入职篇2019年7月内容大纲第一部分组织结构第二部分管理原则2第三部分政策法规第四部分网络与系统安全第五部分数据安全组织结构3根据我院安全生产管理委员会专业线分工情况，按照网络与系统、数据与运维两个专业线具体落实相关工作网络与系统安全管理委员会办公室数据与运维安全管理委员会办公室各生产单元是安全工作的执行单位生产单元1生产单元n生产单元4生产单元2生产单元3安全员组员1组员n管理原则4 谁主管，谁负责;谁运营，谁负责；谁研发，谁负责”的原则 各部门、分中心、生产单元（以下简称“各单位”）负责人为本单位网络与信息安全第一责任人，负责统筹谋划与组织协调，对本单位网络与信息安全工作2、负主要领导责任 分等级保护、分等级管理的原则政策法规5中国人民共和国网络安全法中国联通网络与信息安全管理办法2018-14号文中国联通济南软件研究院网络与信息安全管理实施细则中国联通济南软件研究院DCN接入网络管理办法中国联通济南软件研究院机房安全管理办法网络与系统安全6（一）由我院统一负责内部局域网的互联网接入，任何单位和个人，均不得在局域网内使用其它途径接入互联网。对员工上网记录保留对员工上网记录保留60天天，以备相关部门检查。（二）各单位应当遵守相关国家法律、法规，严禁利用互联网从事危害国家安全、泄露国家秘密和妨碍社会治安等违法犯罪活动；任何单位和个人都不得干扰、破坏和限制网络的正常应用3、，不得扰乱计算机信息系统和互联网管理秩序。（三）员工不得使用互联网从事与本职工作不相关的活动。网络与系统安全7员工上网行为应符合以下管理要求：1.禁止利用互联网资源进行侵害国家安全以及谋取私利的一切行为。2.禁止使用聊天工具、电子邮件等从事危害社会稳定、影响国家安全、违犯法律规定、泄漏中国联通机密、危害中国联通利益的活动。3.禁止上班时间浏览娱乐网站、带有色情和反动倾向的网站以及进行网上游戏，禁止通过聊天工具、使用软件等手段玩网络游戏，禁止上班时间炒股。禁止下载与工作无关、占用网络带宽的音乐、电影文件，禁止使用网络视频流工具。4.禁止故意制作或者传播计算机病毒以及其他破坏性程序，禁止直接下载有4、风险的可执行程序。5.员工因私人需要在外部网站注册用户时必须使用私人邮箱地址，不得使用中国联通统一邮箱地址；严禁员工使用中国联员工因私人需要在外部网站注册用户时必须使用私人邮箱地址，不得使用中国联通统一邮箱地址；严禁员工使用中国联通统一邮箱向外发送垃圾邮件。通统一邮箱向外发送垃圾邮件。6.禁止使用第三方软件工具来监控单位网络使用或者盗用单位网络资源。7.禁止非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序。8.允许使用即时通讯软件作为工作中的沟通、交流工具，但不得使用即时通讯工具长时间私聊与工作无关的内容。9.如果对互联网络资源有特殊网络服务端口开放需求，需向网络与系统安委办提5、出申请。10.员工应对中国联通相关政策、技术、产品等资料予以保密，防止泄露机密。网络与系统安全8 生产网、与系统上线前相关安全评估和安全准入测试 生产网与互联网分离 舆情通报快速响应及快速处理 账号安全责任制度明确使用人和审批人的责任义务，落实责任倒查。权限岗位匹配，严禁权限私用。杜绝账号弱口令网络与系统安全-扫描与整改9 自用信息系统在安装/升级上线前，软件开发单位或者系统管理单位应向我院网络与系统安委办提出安全评估与检测；网络与系统安委办安排团队或专人对系统进行安全基线检查和漏洞扫描，防止由于操作系统漏洞、系统软件脚本缺陷或者系统和数据库弱口令等系统弱点而造成的用户信息泄露或黑客恶意攻击，6、系统测试、整改符合安全要求后方可正式上线使用。网络与系统安委办应建立信息系统定期扫描机制，对我院办公系统以及其它职责范围内的接入互联网的系统进行漏洞扫描，发现漏洞后及时弥补，争取早发现，早整改。网络与系统安全-账号管理10一 网络系统和应用系统的帐号管理（一）项目管理部负责统一分配和管理员工的上网认证、TFS系统访问帐号及权限。（二）项目管理部负责统一分配和管理本院内部使用的应用系统服务器操作系统平台的管理员帐号。（三）综合部负责统一分配和管理办公系统、门禁系统、视频监控系统的访问帐号及权限。（四）其他测试开发服务器的应用系统平台访问帐号由应用系统开发、使用单位统一分配和管理。网络与系统安全-7、账号管理11一 员工登录各类系统的帐号与密码管理（一）员工的帐号和密码必须由个人保管、使用，不得泄露给无关人员。密码应定期或者不定期变更，防止盗用和泄露。（二）员工使用的各种登录密码必须满足以下复杂度要求:不得明显包含用户帐户名或用户全名的一部分，长度至少为八个字符，并包含来自以下四个类别中的字符：（1）英文大写字母；（2）英文小写字母；（3）10个基本数字；（4）特殊字符。网络与系统安全-系统加固12一 我院计算机设备需要安装有效的防病毒软件，并及时更新病毒定义码，定期进行病毒查、杀工作；Microsoft Windows平台的计算机系统应及时升级更新涉及安全的“关键更新程序”；UNIX平台8、的计算机系统必须及时更新安全补丁。二 员工计算机终端、单位服务器应设置屏幕密码保护。数据安全13数据指通过网络、系统收集、存储、传输、处理和产生的各类电子信息，包括以下四类。（一）用户个人身份信息，指能够单独或者与其他信息结合识别用户个人身份的信息，包括但不限于用户的姓名、出生日期、身份证件号、个人生物识别信息、住址、电话号码等。（二）用户服务数据，指用户在使用通信业务或服务过程中，上传、存储、传输、处理和产生的数据，包括但不限于通话内容、消息内容、电子邮件内容、账号、密码、位置信息等。（三）用户日志信息，指用户在使用通信业务或服务过程中产生的日志信息，包括但不限于通话记录、短信记录、上网日志9、等。（四）网络基础设施数据，指网络基础设施和重要系统的规划、建设、运行和维护信息，包括但不限于网络拓扑结构、软硬件配置信息、系统运行维护数据等。数据安全14数据管理原则 按照“谁采集谁负责，谁存储谁负责，谁使用谁负责，谁受益谁负责”的原则 数据的产生、存储、使用、传输、共享、销毁单位承担职责范围内的数据安全的主体责任。数据安全15不得泄露、篡改、毁损收集的用户个人信息。未经用户同意，不得向他人提供个人信息，经过处理无法识别特定个人且不能复原的除外。禁止非法出售或非法向他人提供系统数据。坚持“敏感数据不出门”原则，未经用户同意，不得向他人提供或开展用户数据合作，经过处理无法识别特定个人且不能复原10、的除外。数据安全-权限管理16由软研院统一管理的权限，如统一接入平台、4A等平台的使用权限，在经过济南分院权限变更管理流程审批通过后，由团队接口人通过ITSM权限管理工单流程进行申请，并将济南分院权限变更流程过程截图做为附件进行提交，权限变更应严格遵守软研院的权限变更管理流程。数据安全-权限管理17一 生产系统权限由各生产单元负责申请和管理，要做到岗责匹配，有调岗、离职的人员，由原生产单元负责人及时将相关人员进行权限交接和撤销。数据安全-权限管理18一 权限的申领及授予必须设定有效期。严禁将本人账号、密码泄露给其他人员数据安全-权限管理19数据访问实行访问授权管理机制，根据不同的用户访问不同范11、围的数据。数据的访问范围和权限设置必须由系统或安全管理员集中控制，并可以控制授权范围内的数据流向和行为数据安全-数据使用20一 履行数据保护义务，规范数据收集、使用行为。按照“合法、正当、必要”的原则公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经工单、邮件等上级书面流程审批。不得收集与服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理保存个人信息。不得泄露、篡改、毁损收集的用户个人信息。未经工单、邮件等上级书面流程审批，不得向他人提供个人信息。数据安全-数据保护21强化数据防窃密、防篡改、防泄漏和数12、据备份、数据脱敏、数据审计等安全防护技术措施，加大对重要敏感数据的保护力度，防止对数据存储介质的未授权访问、损害和干扰，保护数据的完整性、保密性和可用性。加密算法要按照国家有关要求执行。所有接触敏感数据的人员均要明确保密要求和数据安全责任，并签订相关保密协议。加大合作伙伴等第三方监管力度，修订完善相应协议，明确数据保护要求和责任，严禁擅自留存数据。严格遵循中国联通信息化事业部第三方人员管理流程对第三方人员进行管理。数据安全-操作管理22一 据的操作必须经过严格的身份鉴别与权限控制，确保数据访问遵循最小授权原则。关键业务数据和用户工号信息必须实行专人管理且必须进行实名绑定。二 数据的更改应严格遵13、循大BSS生产运营规范等相关管理办法及操作规范执行。防止系统数据的非法生成、变更、泄漏、丢失与破坏。三 操作过程保留，流程审批、操作要有记录操作时间与数据访问范围的限制、操作日志的记录，并对整个操作过程的全程审计。语句是什么、记录了多少样。（审批、审核的整个过程写详细；测试、保留痕迹）四 未经授权不得使用他人的工号进行数据操作，必要时可通过授权进行数据操作，授权过程必须保留书面授权依据。严禁系统管理员、数据库管理员授权他人或直接使用工号对系统中存储、处理或传输的业务数据信息进行增加、修改、复制和删除等操作。五 涉及系统环境参数、业务参数变更及重要数据更改的操作，应至少两人负责，操作人员与审核人14、员分开，防止使用过程中产生误操作或数据被非法篡改数据安全-存储和传输管理23一 数据的产生、存储、使用、传输、共享、销毁单位承担职责范围内的数据安全的主体责任，各单位要建立完善本单位数据安全管理流程和标准规范，明确内部各单位、岗位具体数据安全责任。国家秘密、企业商业秘密管理按照公司相关保密管理规定执行。二 根据数据使用的时限性，定期销毁数据和相关载体，并对数据销毁实行监督审计，保存有关记录。涉及重要数据的网络、平台、系统下线时，要妥善转存、销毁相关数据，确保不被泄露。三 单位内部应尽量通过电子邮件和移动存储设备传递信息和数据；传递大量数据确需使用网络共享的，应设置好访问用户和权限，数据传输完毕15、，及时取消网络共享。安全处置24发生特别重大安全事件的，当事单位要于1小时内向集团有关部门口头报告，12 小时内提交简要书面报告，事件处理结束后2日内报送专题书面报告。按照“快速反应，依法处置，及时上报”的原则问责办法25网络与信息安全问责方式从轻到重依次分为五档：（一）批评教育。责任人员存在违纪违规行为，但未造成明显不良影响的，应对其进行批评教育。（二）通报批评。责任人员存在违纪违规行为，造成较小不良影响和较轻微后果的，应在一定范围内通报。（三）诫勉谈话。责任人员存在违纪违规行为，造成一定不良影响和不良后果的，应当以谈话方式进行诫勉。（四）扣罚绩效。责任人员存在违纪违规行为，被上级单位通报或16、造成不良影响和严重后果的，应根据情况扣罚其绩效30%-100%。（五）行政处分。责任人员存在违纪违规行为，被上级单位通报或造成恶劣影响和严重后果，社会反映强烈的，应根据情况采取行政警告、记过、降职（降级）、留用察看和解除劳动合同等措施。责任人员是党员，需要给予党纪处分的，由相关党组织给予相应处理。责任人员涉嫌违法的，移送司法机关处理。2结束语越是高速行驶的车辆越要注意安全安全团队对于业务的态度是亲和的；安全工作不能阻碍业务的发展，同时要为业务保驾护航；在说“No”的同时，我们会告诉你How to“YES”。只有零业务，才会零风险。我们尽力规避无谓的冒险；只有安全这个“1”后面业务、功能那么多“0”才有意义 CHINAUNICOM CHINAUNICOM谢 谢