扬名集团信息安全培训行政人事部2010/07信息安全管理1.信息安全管理的必要性2.全球统一方针3.日常管理1.信息安全管理的必要性~事故事例~・I公司的技术人员盗窃产品样品・向离职后进入的其他公司提供本公司样品・I公司获悉后,离职员工被捕・因怀疑可能存在共犯,因此对本公司进行搜索・新闻和报纸进行了报道・为回避差异风险,对设计进行变更・所有新产品发布日期延迟公司离职员工,将样品提供给新入职的他公司・从外国企业得到与本公司类似的图纸,并提供给A公司・公司8名员工进入外国企业就职・技术信息泄露的可能性大・实施防止技术泄露的紧急对策・今后,加强包括法律方面的措施【揭发计划将LCD核心技术向中国提供的6人】水原地检城南支厅3日,因怀疑LCD(液晶显示装置)制造核心技术,可能存在向中国业界流出的情况,因而将国内LCD制造·输出工业(有)A公司员工黄某(32)等5人,拘捕并提起控诉。同时,将提供给他们技术资料,并计划向中国流出的B公司代表,金某(34),一同作为嫌疑人逮捕。根据检察厅的调查,怀疑嫌疑人黄某等2名A公司员工,于2002年10月开始以高额贿赂嫌疑人金某,将A公司的CSTN-LCD(普及型彩色液晶显示装置)的国内设计图纸复制在CD中,并提供给B公司经理办公室的朴某(35).待黄某等人将技术资料转交之后,于今年5月初从A公司辞职,在准备出国的途中被检察厅逮捕.向同行业他公司的技术信息流出・委托保管F市的系统・保存复制数据的公司电脑被盗・1900人的个人信息泄露・召开记者见面会向公众道歉・委托更改民众的ID/PW・停止F市3个月之间的投标・停止东京分社半年P商标的审查保存顾客个人信息的PC被盗个人信息泄漏造成的冲击日经商业(2005年2月28日号)2004年度发生的个人信息泄露最大赔偿金额序列最大预测赔偿额三洋信贩1080亿日元软件银行BB792亿日元DC卡746亿日元寰宇石油322亿日元大和房屋工业162亿日元日本信贩156亿日元红・网络41亿日元阪急交通社37亿日元日网たかた31亿日元奈良县立三室医院19亿日元入职时的保密协议内容记得保密协议中的内容吗?■诸规程・遵守其中的指示命令■规律・严守机密信息保护,诚实勤勉的工作■违反的时候,要按照保密协议中的惩罚规定办理1)根据公司安排的担当职务・工作地点工作2)不要有损害本公司・员工体面的行为3)不要泄露·公开公司许可外的信息(离职后同样)不要将信息使用在工作以外的目的4)在职时工作中制作的信息属于公司所有5)第三方有守秘义务时,向上司报告并遵守2.关于全球化方针●必须全球化信息共享National/Panasonic顾客销售公司/代理店流通资材・原材料生产完成品組立物流部品制造信息共享・活用商流信息共享・访问购买方生产信息全球商业展开信息安全管理目的知识产权决窍技术泄露、遗失都会给公司、客户、造成莫大的损失以致完全倒闭1、信息安全基本方针1.信息安全体制在各组织中建立信息安全责任体制,通过制定并实施所需的相关规定,进行适当的管理。2.信息资产的管理为了确保信息的安全,要按照其重要性和风险度明确处理办法,并加以适当管理。3.教育和培训坚持不懈地对全体董事及员工进行信息安全方面的教育和培训,提高他们的安全意识,保证信息安全各项规定的贯彻执行。对于违反规定者,要进行惩戒,严肃处理。4.提供可靠的产品和服务为用户的信息安全着想,努力提供用户放心的产品和服务。5.遵守法令,精益求精要遵守相关法令和其他规定,同时,要根据环境的变化,在信息安全方面不断努力,精益求精。遵照经营基本方针,通过提供优良的技术、产品及服务,使客户满意,取得客户的信赖,是我们公司的目标。我们认识到,要实现这一目标,保护客户信息、个人信息、财产信息等多方面的信息至关重要。我们把信息安全视为重要的经营战略之一,并将采取如下举措,为实现健康的信息化社会而努力。主要有以下几个方面:1.安全区域的划分2.对外来人员的管理3.电脑、电子信息的日常管理4.对信息、其他资产的管理信息安全的日常管理信息的种类电子信息物理信息人的记忆(经验)纸张信息公司内信息(原则、社外秘)秘绝密全世界共同机密区分机密信息StrictlyConfidential绝密期限:2005年9月15日迄Confidential秘期限:公表日迄机密信息绝密StrictlyConfidential秘Confidential■经营上级为重要的■影响股票价格的■一旦泄露会给予经营事业造成致命打击的,使社会信誉显著降低的(个人信息等)■向最小限度的有关人员公开■经营上重要的■一旦泄漏会相对减少竞争力的,使顾客、订货方、从业员以及本公司安全和管理受到威胁的■向有关人员公开1、按机密的程度,信息可分为:绝密、秘密、公司内公开三个等级。2、绝密信息不得让当事人以外的人过目。3、个人信息不仅限于客户信息,公司的员工信息也是一种个人信息,也要善加保护。4、信息按重要性和风险度明确处理办法,并加以适当管理。5、在公司外不要随意谈论公司的机密。对于个人信息需要特别管理・从顾客处得到的个人信息的基础数据,要按照「绝密」管理・严格管理(特别是向外部订货的管理。禁止随意再委托)・获取时要征得同意・禁止向第三方提供・统一目的以外的使用目的禁止・向本人进行确认・对于本人的订正・公开・删除的要求要切实对待2005年4月1日个人信息保护法全面实施CS相关顾客服务中心的顾客信息MTS修理委托顾客信息等本公司处理的个人信息市场相关保证书信息购买者信息抽奖会员卡商品企划监控调查Web上的顾客信息等人事相关社内人事信息福利制度加入信息等订货对象相关从订货方获取的个人信息等信息资产的使用关联公司・合作公司等,向公司外进行信息公开●缔结机密保护合同●对于机密信息及其复制品的保存、归还、废弃的管理机密信息的带出、发布、通信●机密信息的带出,需要有信息管理负责人的许可●绝密信息要直接手交(原则上不得使用网络传送)●对于机密信息的发布对象要做记录●禁止以工作以外的目的使用信息、信息系统(工作需要以外的主页、私人邮件等)保存全部访问记录,必要时对其内容进行检察禁止以私人目的使用信息资产绝密信息的管理方法绝密“StrictlyConfidential”表示电子化信息设置密码,邮寄时注明亲启限制访问权限者・登录管理用可以加锁的保险柜或文件柜保管绝密期限:永久迄公司内信息原则上「公司外秘」名片(电话号码)一般工厂实习购入传票(单价)内部住址簿电话号码簿同行业他公司实习原价信息公司外(个人隐私)即使残断的数据不会造成重大影响收集分析后的信息就会造成影响重要信息办工地区域化分A区域B区域C区域绝密秘访问限制・登录管理来访客人接待加锁出入室管理社员随行电子化信息的使用・数据原则上保存在服务器中・通过网络传输机密信息使用密码化・电脑带出时遵守规定・离开座位时关闭画面,或者使用加密码的屏幕保护程序・废弃时使用HDD的物理破坏或专用软件将数据全部消除等3.日常行为外部人员管理客人来访时,在公司指定的场所接待运输人员在公司指定的场所接受物品看到某些人不符合要求的行为,应该及时制止用来干什么啊?请到接待区。这里就可以了关于外部人员的管理PC的使用•确认带出的电脑是否符合「适合PC」。•采用不易识别的密码,并定期变更。•离开坐位时切断电源、关闭画面、或者、启动有恢复密码的电脑屏幕保护程序•不要以私人目的使用公司的网络和电子邮件地址!人名生日、电话号码字典中的常用词语英文·数字混合难以推测POWEROFF!关于电脑的使用秘期限:迄绝密期限:迄废弃「绝密」「秘」的书籍信息、使用碎纸机废弃。关于书籍的废弃离开座位时…书籍放入抽屉等。电脑画面隐藏。白板擦干净。(背面也不要忘记!)下班时…将电脑放入抽屉等加锁管理。(没有获得许可不要带出!)最后离开办公室的时候确认是否锁好。离开座位时的注意事项FAX避免由于传真号码错误造成的误发!「绝密」信息,原则上禁止通过传真发送。实在需要发送时,先发送试验用纸,确认接收方在传真机旁边「秘」信息,采用防止误发的手段。登录事前确认不要忘记原稿!绝密期限:迄FAX:x-xxx-xxxx再确认!现在开始发送是的、请发吧。登陆界面FAX使用上的注意点复印机「绝密」信息绝对禁止复印。「秘」信息复印时需要得到信息管理负责人的许可。原稿不要忘记在复印机旁边!绝密期限:迄复印机・打印机使用上的注意点打印机确认场所后再谈话。注意公司内外的谈话内容THEEND谢谢聆听