IT服务与信息安全.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,IT,服务与信息安全,信息分类,IT,内部培训类,保密等级,机密,责任机构,信息技术分公司,责任人,祁科克,创建时间,2010,年,12,月,9,日,保密期限,有效期至,2015,年,12,月,授权范围,集团全体员工,信息安全应知应会,IT,服务概述,信息系统介绍及注意事项,IT,设备服务介绍及注意事项,IT,服务简介,IT,组织介绍,宇通的,IT,服务由信息技术分公司提供，信息技术分公司简称“信息中心”或“,IT”,，负责整个宇通集团的信息系统建设、,IT,设备管理和信息安全管理。,IT,服务范围,信息系统建设：负责公司基于,EIP,与,ERP,双平台的所有,30,多个应用系统的信息化建设、运行维护和权限管理工作。,IT,设备管理：负责办公电脑（含台式机、瘦客户机和笔记本）和其他电子办公设备（投影仪、打印机等）的配备、借用与维修。,信息安全管理：,负责公司所有系统和终端的信息安全管理与监控。,IT,服务入口,热线电话：,8867,服务,单入口：登录,EIP,，点击“服务台,IT,服务,IT,服务窗口”，见下图。,IT,服务台（热线电话：,8867,）,点击,IT,服务进入,IT,服务台,如果您有微机、办公软件、操作系统、通信、应用系统方面的故障，或者您需要重置密码、批量提取数据，或者你不知道跟,IT,相关的问题该如何解决需要咨询,IT,人员，都可以填写该服务单，我们会有专业人员为您解决问题。,如果您因为工作变动，需要变更您名下的,IT,资产时，请填写该单子，,IT,资产包括但不限于以下这些设备“电脑主机，显示器，笔记本电脑，打印机，复印机，投影仪，摄像机，,PDA,等”。,当现有系统不能满足的业务管理改进需求，需进行系统改造、修改或新建时，业务可提交需求单，例如开发新程序、系统配置调整等。需求单提交后，,IT,将指派专人进行分析，在承诺的时间内内提供解决方案并实现完成，需求分析和实现过程将按影响范围由不同层级审批。,如果您因为工作需要申请使用笔记本电脑（非借用），请您填写该单子，审批通过后,IT,人员会给您配备笔记本电脑,如果您需要申请台式机，打印机，投影仪，复印机，扫描仪，,PDA,，电话，网络连接或者其他硬件设备，请您填写该服务单，审批通过后，,IT,会联系您领取申请的设备,如果您需要借用笔记本电脑，瘦客户机，投影仪，请您填写该单子，审批通过后，,IT,会联系您领取申请的设备,各部门文档管理员专用，用于联系,IT,文档系统管理员调整岗位与人员对应关系，普通用户无权限,1,如果您需要申请“,EIP,，,RTX,，邮箱，,SAP,，配置器，,CRM,，国内,/,海外服务网，供应商门户，,LES,，,QM,，,APS,，,VPN”,账号，请您填写该单子，审批通过后,IT,有专人负责开通您的权限。,2,如果您需要申请“电子传真，短信平台，邮箱扩展功能，,USB,，即时通讯，外网，外邮”权限，也请您填写该单子，审批通过后,IT,有专人负责开通您的权限。,信息安全应知应会,IT,服务概述,信息系统介绍及注意事项,IT,设备服务介绍及注意事项,宇通信息双平台,宇通经过十余年的信息化建设，已建成,EIP+ERP,双平台，其中,EIP,（企业信息平台）面向管理，,ERP,（企业资源计划）面向业务，众多应用系统分别部署在这两个平台上。,SAP,CO,FI,HR,MM,PP,供应商门户,售后服务网,PLM,质量信息网,订单配置器,数据总线,SD,EIP,流程,文档,新闻,平台及系统模块详图,PLM,SCM,CRM,SSM,EIP,ERP,EDB,宇通信息门户,EIP,/,企业门户,WWW/,合作伙伴协同门户,SN,SOP,SOP,分析,EA,企业架构,FA,财务分析,PE,工作协同,CA,竞争分析,KM,文档管理,PMS,销售分析,PTM,项目与任务,IC,信息服务,HD,服务台,TC,通信服务,IS,信息安全,BP,客户管理,APS,高级排产,PT,考勤管理,DMS,产品文档,CM,资金管理,IOV,车联网,SM,供应商管理,EC,卡务管理,PP,生产计划,SE,服务工程,ECM,工程更改,PY,薪酬管理,EM,费用管理,SC,采购管理,OC,配置器,QM,质量管理,MM,物料管理,SD,订单管理,BOM,物料清单,SO,维修管理,CO,管理会计,GB,担保业务,PB,招聘管理,OBM,海外商务,PA,组织与人事,CAX,ITSM,IT,管理,MES,生产执行,LES,物流执行,SP,配件管理,CCC,客服中心,FI,财务会计,客户数据,员工数据,产品数据,合作伙伴,车辆数据,订单数据,质量数据,EA,数据,R&DO,研发分析,QC,质量分析,SC,服务分析,已有,图例：,需建设,需扩展,KPI,绩效管理,宇通快讯，用图片形式展现宇通大事,宇通公告,/,红头,/,体系公告，用文字形式报道公告信息,这里汇聚了您所有的待办和待阅事项,常用资料,EIP,介绍,首页,EIP,介绍,工作台,点击“流程中心”，可以提交,/,查看审批流程,点击“文档中心”，可以上传,/,查看您的所有文档,应用系统的快捷入口,EIP,介绍,服务台（,IT,，,HR,，财务，技改，综合）,EIP,介绍,企业文化，企业架构，管理创新，知识社区,EIP,介绍,门户导航（包括各体系的二级门户）,宇通选用业界最先进的,ERP,系统,SAP,，主要用于物流，生产，销售，研发，质量及售后等业务数据的处理，全面覆盖公司人、财、物、产、供、销的运营管理。,ECC6,客户,/,服务器,ABAP/4,FI,财务会计,CO,财务控制,TR,财富管理,PS,项目管理,WF,工作流程管理,IS,行业解决方案,MM,物料管理,HR,人事管理,SD,销售与分销,PP,生产计划,QM,质量管理,CS,客户服务,WM,仓库管理,ERP,介绍,-SAP,SAP标准,解决方案示意图,库存管理,仓库管理,财务管理,建议计划,生产,物料需求计划,发货,转储,采购,收货,销售与分销,发票校验,发票,需求,库存,预测,订单,通常接触到的各种信息系统均为正式环境，严禁在正式环境中进行尝试、练习。,对信息系统的各种操作都应该在指导人的指导下完成，或者咨询,IT,分公司。,信息系统中有大量的业务保密信息，严禁将保密信息摘抄后外泄。,信息系统的不同操作需要的运行时间不同，出现明显的超时操作应尽快停止。,严禁在正式环境中进行数据的海量查询，例如查看一整年的物料出入库记录。,每个员工都需妥善保管系统口令，并在使用信息系统后及时登出。,信息系统使用注意,事项,信息安全应知应会及案例分享,IT,服务概述,IT,设备服务介绍及注意事项,信息系统,介绍,及注意事项,IT,设备服务介绍,1,、设备维修与升级必须由信息技术分公司负责完成，不允许私自处理。,2,、严禁员工私自安装计算机操作系统。,3,、用户报修方法：,EIP,中填写服务单或拨打,8867,服务热线反馈。,1,、申请条件：部门有预算，且业务需求符合,信息终端使用管理规范,和,笔记本电脑使用管理规范,。,2,、申请方法：通过,EIP,服务台提交服务单，经部门领导的合理性审批和,IT,的合规性审批后方可配发。,1,、每台设备都有固定的责任人，不允许私自调配。,2,、使用人变更或离职必须上交设备。,3,、员工离职或者调离所在部门时，必须知会信息安全管理人员进行信息安全离职审计，确认在职期间没有违反信息安全相关管理规定行为后，方可以办理相关手续。,申请,报修,上交,服务范围：受理用户对于台式电脑、笔记本电脑、打印机、交换机、电话、投影仪、扫描仪及其它存储介质等的申请、报修及上交。,所有信息终端设备的配备依照“对岗不对人”为原则，即设备跟岗位相匹配，不能随人的变化而变化，设备只能通过收回和配备流程进行变更。所有信息终端设备责任到人，不得出现无人负责的设备。,笔记本配备标准：长期驻外且需要经常移动办公的人员。,笔记本借用规则：使用人至少提前,2,天提交“,EIP,借用笔记本申请”流程，借用期,1,个月以内需要部门领导审批，借用期在,1,个月至,3,个月之间的需要增加体系总监审批。笔记本电脑的连续借用期不允许超过,12,个月。,IP,地址设置为信息技术分公司统一配置，严禁员工擅自更改,IP,地址。,禁止下载、制造、传播与工作无关的文件。,所有员工的上网行为（包括,QQMSN,聊天信息与文件发送、浏览网页、,WEB,邮件、,FTP,上传等）公司都将进行监控与信息备份。,禁止利用公司网络资源进行任何与工作无关的事，公司网络资源,24,小时只能用于工作。,IT,设备申请及使用,注意事项,IT,设备服务介绍及注意事项,IT,服务概述,信息系统,介绍,及注意事项,信息安全,应知应会,什么是信息安全,信息安全是指软硬件等业务系统产生的数据收到保护，不因各种原因而遭受到破坏、更改、泄漏，系统连续可靠运行，信息服务不中断。,信息安全三要素,保密性、完整性、可用性,根据统计，全球排名前,1000,的大公司，平均每年发生,2.54,起商业间谍事件，损失总数高达上千亿美元。,2007,年,5,月，韩国起亚汽车公司新推出“索兰托”车型，起亚公司内部,9,名员工因涉嫌向中国的汽车制造企业（疑为河北天马和安徽奇瑞）出售车身自动组装技术等技术信息而被韩国检察局起诉，涉案金额达,2.3,亿韩币。,我们面临的各类威胁,泄漏,D,isclosure,篡改,A,lteration,破坏,D,estruction,保密性,C,onfidentiality,完整性,I,ntegrity,可用性,A,vailability,总体目标：,通过有效的技术与管理措施，使企业信息资产免遭威胁，或者将威胁带来的损失降到最低程度，保证信息资产的,保密性、完整性和可用性,，确保公司业务的正常运作。,总体策略：,体系化,：,信息安全不靠自觉，也不是救火，而是日常工作和绩效的一部分，除,流程、技术、制度、组织外，还包括教育和审计,可控性,：你是谁？你可以做什么？,-,权限管理,可审计,：你做了什么？,信息安全总体目标,TOPEA,为宇通所定义的信息安全体系结构，该结构以信息安全技术做支撑，面向明确的信息安全管理目标和总体策略，通过组织，流程，教育和审计的全面协同机制，形成宇通信息安全管理体系，并依靠其自身的持续改进能力，始终同步支持公司业务发展对信息安全的要求。,信息安全,管理组织,Organization,信息安全,管理流程,Process,信息安全,教育,Education,信息安全,审计,Audit,宇通信息安全目标与策略,信息安全技术,Technique,信息安全,TOPEA,模型,审计原则：定期、透明、及时、,业务影响最小。,审计流程：,审计,内容：,1,、,管理审计：主要审计信息安全管理相关制度的执行情况；,2,、技术审计：,主要从技术方面审计信息资产的安全程度，包括授权审计、用户访问审计、信息输入输出日志审计、邮件发送日志审计、档案借阅日志审计、病毒感染、互联网访问、数据备份、个人电脑文档审计等；,通报机制：,1,、,在日常工作或者审计中发现信息安全问题，员工和审计人员应及时向信息安全管理小组汇报；,2,、,根据审计结果，信息安全小组定期对全公司各体系信息安全的状况进行评估，并形成书面报告，提交信息安全管理委员会。,由信息安全管理小组负责，及时捕获和处理信息安全事件，为信息安全管理提供考核依据，通过审计确保信息安全管理的高度执行力和持续改进。,信息安全审计,信息是一种资产，它涵盖由宇通公司员工所创造的所有信息，同其他重要的商业资产一样，对一个组织而言都具有一定价值，需要加以保护。信息保密根据其价值、敏感程度、泄漏给企业带来的影响不同，可分为绝密、机密、保密三个级别。,绝密,最重要的企业秘密，一旦泄漏，会对公司的正常运营带来特别严重的损害，降低公司市场竞争力、销售收入或盈利能力；比如直接影响集团公司权益的重要决策文件（永久期限）；,机密,重要的企业秘密，一旦泄漏，会对公司的正常运营带来影响，引起法律纠纷或影响部门、企业、合作伙伴间的合作关系；比如公司人事档案、合同、协议等；（,5,年期限）,保密,绝密和保密范围外的其它信息资产，在宇通员工范围内均可以查看。（,3,年期限）,信息资产的保密级别,指对有意盗窃、泄密公司保密信息的，或者有意违反信息安全管理规定，性质严重造成重大损失的行为,指对有意违反信息安全管理规定，性质严重或造成公司损失的行为,指对有意违反信息安全管理规定，性质严重或造成公司损失的行为,指对违反信息安全管理规定，性质较轻，没有造成公司损失的行为,一级违规,二级违规,三级违规,四级违规,信息安全违规的等级划分,违规,信息安全,违规,信息安全,违规,信息安全,违规,信息安全,四级,违规,未经批准，安装公司非标准或注册软件,通过各种信息通信方式（邮件，,USB,RTX,即时通信等）发送传递与工作无关文 件,(,人数少,性质不严重,),未按公司规定机箱上锁和封闭,USB,口,利用公司互联网访问工作无关的网站，或无报备连续,24,小时下载超过,1G,的与工作无关的文件,信息安全在执行审计或安全流程过程中，员工有意为难或阻止执行,常见的信息安全违规行为,-,四级违规,违规,信息安全,违规,信息安全,违规,信息安全,违规,信息安全,三级,违规,未经批准，访问游戏，娱乐站点及与工作无关的任何站点,未经批准，在公司信息系统范围内通过其它方式登陆互联网或盗用合法用户,IP,访问互联网,未经批准，转借信息系统帐号或随意将密码告诉他人,非正当渠道获取或传递保密文档,未按照信息资产分类授权表的信息资产授权范围，私自将公司文档或信息授予未经授权的任何其他人员（包括公司人员和非公司人员）,损坏、泄露保密级以上级信息；或因个人操作不当，对公司信息资产的保密性、完整性、可用性造成危害，导致较小影响和破坏的信息安全事件。,常见的信息安全违规行为,-,三级违规,违规,信息安全,违规,信息安全,违规,信息安全,违规,信息安全,二级,违规,常见的信息安全违规行为,-,二级违规,发送与工作无关连环邮件,(,人数多,性质严重,影响范围大,),访问不健康网站或通过各种信息通信方式（外网邮箱，,QQ,，,MSN,等通信工具）向外部发送公司未经授权发送的公司文件。,未经允许，在各种媒体、公众场合发表与公司有关的评论或言论或文章,未经批准，私自转借笔记本电脑及各种便携存储设备,私自刻录文档，盗用他人帐号,非法收集大量与本岗位工作无关机密级以上文档,员工在离岗期间未按照公司,员工离岗调动规定,，私自删除，拷贝，修改自己终端计算机系统内的信息资产,未按照公司,IT,设备相关规定私自调配使用,IT,资产,违规,信息安全,违规,信息安全,违规,信息安全,违规,信息安全,一级,违规,常见的信息安全违规行为,-,一级违规,有意散布传播政治性言论或公司内部未公开的信息,恶意攻击公司网络和信息系统，编制或传播病毒程序,有意窃取、盗卖公司保密信息，恶意损坏、泄漏机密级以上信息；,因个人工作原因造成的绝密信息资产丢失,(,包括管理员备份的电子文件,数据库文件无法正常恢复，以及员工自己保存的纸质文档电子文档信息资产,),。,1,、信息资产只用于授权范围内使用。,各体系部门产生的所有文档都要加注信息安全封面，特别要明确保密等级及授权范围,。,将信息资产输出到公司以外范围时，需经领导审批同意后向部门信息安全管理员登记备案。,2,、经过正常授权获得保密信息的人员无权将所获得的保密信息再授权，也不得提供给任何未经授权发送的第三方。禁止员工私下交流保密信息。,3,、办公室信息安全,员工下班后桌面上不能有保密级以上纸件文档；,员工离开座位超过,10,分钟，桌面上不能有保密级以上文档；,保密信息文档应放在带锁抽屉或保密柜内；,未经批准，严禁员工和来访人员在办公区域使用照相机或其他录像设备。,4,、会议信息安全,会议的信息安全由会议召集人负责，会议的录音、录像应由会议召集人或其指定人员妥善保管，如需重复使用，则使用前应删除原有内容；,会议结束后应有专人清理会场，回收清点核对会议资料并妥善处理。,信息资产的使用及发送注意事项,1,、,宇通集团信息安全管理规范,2,、,信息终端使用管理规范,3,、,宇通集团信息安全审计管理细则,4,、,电子文档管理规范,5,、,笔记本电脑管理规定,公司现行信息安全相关管理规范,案例一：,1964,年,中国画报,大庆在齐齐哈尔与哈尔滨之间,油井直径,油田储量及产量,中国政府向全球征求设计方案并采购设备时日本公司一举中标,中国建国第一泄密大案,案例二：,供应链体系某员工，,EIP,登录密码保管不善，密码被其他员工获取。该账户被他人盗用后，在网络上发布公司生产安排等涉密信息，给公司生产安排造成了损失。最终被罚款,300,元。,2009,年,9,月，技术体系某员工在内部论坛，将正在研发过程中的房车技术资料作为附件上传，全公司范围内都可阅读下载，属于严重泄密，最终被罚款,1000,元。,案例三：,生产体系部分员工将系统登录密码、,EIP,登录密码、,SAP,登录密码明文记录后公开张贴，最终被罚款,300,元。,所有系统登录密码均为重要涉密信息，拥有这些密码就拥有了各类系统的使用权，一旦被其他员工误用，被公司以外人员、离职人员盗用，后果不堪设想。,公司为保证操作密码的保密性，域策略要求系统登录密码三个月更新一次且复杂度有具体要求。,信息安全事件警示录,2009,年,7,月集团审计部某员工，办公电脑内存储大量与工作无关的文件及娱乐程序，,滥用公司办公设备和互联网资源,，提出警告批评，并责令立刻自行清理。,2009,年,7,月,30,日，销售公司某员工,私自更改自己的,IP,地址，非法进行外网访问,，导致其他员工无法正常访问公司网络，属于严重的终端安全违规行为，提出严重警告。,2009,年,8,月对终端计算机,USB,接口审计中，发现销售体系售后服务部某员工在,未授权情况下拷贝公司重要资料,，内容包括公司图纸、维修记录、内部培训资料、及公司人力资源部的后备干部培训资料等，属于严重的违规行为，对此，销售体系信息安全专员已及时组织进行了资产追回，信息安全小组对该员工提出严重警告并处以,1000,元罚款。,2009,年,9,月份，底盘室某员工在内部论坛发帖，将公司正在开发过程中的房车技术资料（机密信息）做为附件上传在回复内容中，全公司范围内均能阅读、下载、复制，严重,违反了,宇通集团信息安全管理规范,和公司技术资料保密要求,，属于严重的信息泄露事件。,2009,年,12,月技术体系,2009,届新员工，使用公司内部邮箱,向外网邮箱输出公司机密级文件,，内容包括宇通企业标准、研发流程、,CATIA,二次开发、,3D,模型等，属于严重的信息泄露事件。当天，信息安全小组和技术中心已联合完成了资产追回和清理。全部解除劳动合同。,2010,年,6,月，销售公司某业务员,自行重装电脑系统,导致,VPN,软件丢失，此现象违反,信息终端管理规范,，属于信息安全违规事件。,谢谢聆听,