信息安全培训教材.ppt

《信息安全培训教材.ppt》由会员分享，可在线阅读，更多相关《信息安全培训教材.ppt（57页珍藏版）》请在三一办公上搜索。

1、为避免您的尴尬，请不要在培训室大声喧闹！为避免影响他人，请勿在培训室内随意走动！为避免影响大家的培训效果，培训中请勿与人交谈！请认真聆听并做好记录！谢谢合作！,培训教材行政部,培训教材,行政部 培训教材,行政部 培训教材,总经理:重要信息设备丢失每年不超过1起机密和绝密信息泄漏事件每年不超过1次,信息安全目标,行政部 培训教材,行政部:年度信息安全培训人员覆盖率100%客户针对信息安全事件的投诉每年不超过2次重要信息设备丢失每年不超过1起机密和绝密信息泄漏事件每年不超过1次大面积内网中断时间每年累计不超过240分钟大规模病毒爆发每年不超过2次,信息安全目标,行政部 培训教材,工程部:客户针对信

2、息安全事件的投诉每年不超过2次机密和绝密信息泄漏事件每年不超过1次采购部客户针对信息安全事件的投诉每年不超过2次机密和绝密信息泄漏事件每年不超过1次,信息安全目标,行政部 培训教材,品质部:客户针对信息安全事件的投诉每年不超过2次机密和绝密信息泄漏事件每年不超过1次仓储部:客户针对信息安全事件的投诉每年不超过2次机密和绝密信息泄漏事件每年不超过1次,信息安全目标,行政部 培训教材,生产部:客户针对信息安全事件的投诉每年不超过2次机密和绝密信息泄漏事件每年不超过1次财务部:客户针对信息安全事件的投诉每年不超过2次机密和绝密信息泄漏事件每年不超过1次,信息安全目标,营业部:客户针对信息安全事件的投

3、诉每年不超过2次机密和绝密信息泄漏事件每年不超过1次IT部:客户针对信息安全事件的投诉每年不超过2次机密和绝密信息泄漏事件每年不超过1次,信息安全目标,行政部 培训教材,信息安全是指保证信息的保密性、完整性、可用性；另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。信息是对公司业务至关重要的一种资产，因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁，以确保业务连续性，是业务风险最小化，投资回报和商业机遇最大化.公司的一些商业机密（如公司生产的产品，类型，客户名称，客户的相关所有资料等。,信息安全定义,行政部 培训教材,实施风险管

4、理，完善安全措施，确保信息安全，提高公司客户信任度。,信息安全方针,行政部 培训教材,信息安全职责,部门领导（主要是部长）必须：明确本部门所管理的（包括本公司的和相关方提供的）信息资产的类型，并进行资产登记和指定负责人。对本部门所管理的关键信息资产进行风险评估，识别其所受的威胁、机密级别（密级信息按其所受的危险程度，可依次分为“公司机密”、“机密”、“秘密”）、风险级别（资产按其所受的危险程度，可依次分为：“高”、“中”、“低”）、脆弱性和潜在的影响，并制定与其相适应的控制措施。向信息安全管理小组报告信息被危及的任何迹象，或信息可能被泄露或损毁的任何可疑活动和行为。,行政部 培训教材,信息安全

5、职责,员工职责每一位员工或使用本公司信息的人员都要遵守本方针，都有保护公司信息资产、系统和基础设施安全的职责。每一位员工都应采取适当的措施（包括设置密码），保护其所负责的所有形式的机密信息在管理、使用、存储、处理和传输中的安全。员工外出工作需要携带设备时，必须获得相关领导者的批准，并应采取相应的保护措施，防止丢失，防止损毁，确保信息安全。如：设备必须设置密码、不留在公共场所无人看管、不暴露于强电磁场等。任何员工都有义务向其直接领导或信息安全管理小组报告可能会危及密级信息安全的任何活动、行为和提出改进建议。员工工作以外时间要保护客户有关信息和商业机密。不得向外宣扬或向同行介绍客户信息及提供相关资

6、源资料等(如客户订单、产品图纸、产品、报价单、样品、图片、客户名称等客户信息）。不准将手机带入车间及在车间拍照，不准将客户资料或产品资料及产品带出公司，不得打听与本职工作业务无关的公司秘密。不可以和亲人朋友或者其他人谈及公司生产的产品。入职公司必须签订员工保密协议，信守承诺，违反保密协议会受到相应处罚严重则追究法律责任。,行政部 培训教材,信息安全职责,使用者职责这里所说的使用者是指访问本公司密级信息的人员。使用者必须获得授权、了解该信息的安全要求，并采取相应的安全保护措施。如果已授权的使用者不了解其所要访问的信息的安全要求，那么他必须对该信息提供最高极限的保护。使用者应小心保护其访问信息的密

7、码、物理钥匙和ID卡，一旦发生密码泄露或钥匙、ID卡丢失，应立即向其直接领导报告并承担相应责任。,行政部 培训教材,在公司内部保存和控制的电子文件应该公开，并且可以被信息服务人员访问；为了管理系统并加强安全，信息技术小组可以记录、评审，同时也可以使用其信息资源系统中存储和传递的任何信息。为了达到此目的，信息技术小组还可以捕获任何用户活动，如拨号号码以及访问的网站；用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点，可能的误用事故或者相应授权协议的违背情况；在未经授权或获得明确同意的情况下，用户不可以尝试访问公司内部系统中包含的任何数据或程序。,信息资源保密策略,行政部 培训教材,违背该策

8、略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。,违背信息资源保密策略 惩罚,行政部 培训教材,雇员在意识到有安全事件发生时应该第一时间向上层领导报告；雇员应该直接向恰当的人员直接报告所有安全事故；雇员必须遵守所有适用的变更管理程序；当雇员离职时，必须确保所有敏感信息在24小时内被收回或销毁；在合同结束时，雇员应该将所有信息返回或销毁，并在 24 小时内提交一份返回或销毁的书面证明，并由资产责任人签字认可；在合同结束时，雇员必须立即交出所有身份识别卡、访问卡以及设备和供应品。由雇

9、员保管的设备和/或供应品的回收必须由资产责任人签字认可；要求雇员必须遵守所有规定和审核要求。,雇员访问策略,行政部 培训教材,违背该策略可能导致：员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员失去继续工作的机会；另外，这些人员还可能遭受信息资源访问权以及公民权的损失，甚至遭到法律起诉。,违背策略 惩罚,行政部 培训教材,禁止使用未经授权的软件。防范经过外部网络或任何其它媒介引入文件和软件相关的风险，并采取适当的预防措施。定期对支持关键业务过程的系统中的软件和数据进行评审；无论出现任何未经验收的文件或者未经授权的修改，都要进行正式调查。安装并定期升级防病毒的检测软件和修复软件，定期扫

10、描计算机和存储介质，检测应包括：在使用前，对存储媒体，以及通过网络接收的文档进行恶意代码检测；在使用前，通过邮件服务器对电子邮件附件及下载文件进行恶意代码检测；行政人事部负责恶意代码防护、使用培训、病毒袭击和恢复报告。为从恶意代码攻击中恢复，需要制定适当的业务持续性计划。包括所有必要的数据、软件备份以及恢复安排。行政人事部应制定并实施文件化的程序，验证所有与恶意软件相关的信息并且确保警报公告的内容准确详实。管理员应当确保使用合格的信息资源，防止引入真正的恶意代码。所有用户应有防欺骗的意识，并知道收到欺骗信息时如何处置。,可移动代码防范策略,行政部 培训教材,含有涉密信息或重要信息的文件、记录、

11、磁盘、光盘或以其它形式存贮的媒体在人员离开时，应锁入文件柜、保险柜等；所有计算机终端必须设立登录口令，在人员离开时应该锁屏、注销或关机；在结束工作时，必须关闭所有计算机终端，并且将个人桌面上所有记录有敏感信息的介质锁入文件柜；计算机终端应设置屏幕密码保护，屏保时间不大于5分钟；传真机由行政人事部负责管理，并落实责任人。打印或复印公司秘密、机密信息时，打印或复印设备现场应有可靠人员，打印或复印完毕即从设备拿走。,清洁桌面和清屏策略,行政部 培训教材,雇员保密协议,雇员在用人单位任职，并将获得用人单位支付的相应报酬，双方当事人就雇员在任职期间及离职以后保守用人单位技术秘密和其他商业秘密的有关事项，

12、必须制定条款并共同遵守。,行政部 培训教材,第一条 双方确认，雇员在用人单位任职期间，因履行职务或者主要是利用用人单位的物质技术条件、业务信息等产生的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息，有关的知识产权均属于用人单位享有。用人单位可以在其业务范围内充分自由地利用这些发明创造、作品、计算机软件、技术秘密或其他商业秘密信息，进行生产、经营或者向第三方转让。雇员应当依用人单位的要求，提供一切必要的信息和采取一切必要的行动，包括申请、注册、登记等，协助用人单位取得和行使有关的知识产权。,雇员保密协议,上述发明创造、作品、计算机软件、技术秘密及其他商业秘密，有关的发明权、署名权（依照法

13、律规定应由用人单位署名的除外）等精神权利由作为发明人、创作人或开发者的雇员享有，用人单位尊重雇员的精神权利并协助雇员行使这些权利。,行政部 培训教材,雇员保密协议,第二条 雇员在用人单位任职期间所完成的、与用人单位业务相关的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息，雇员主张由其本人享有知识产权的，应当及时向用人单位申明。经用人单位核实，认为确属于非职务成果的，由雇员享有知识产权，用人单位不得在未经雇员明确授权的前提下利用这些成果进行生产、经营，亦不得自行向第三方转让。雇员没有申明的，推定其属于职务成果，用人单位可以使用这些成果进行生产、经营或者向第三方转让。即使日后证明实际上是非

14、职务成果的，雇员亦不得要求用人单位承担任何经济责任。雇员申明后，用人单位对成果的权属有异议的，可以通过协商解决；协商不成的，通过诉讼途径解决。,雇员保密协议,第三条 雇员在用人单位任职期间，必须遵守用人单位规定的任何成文或不成文的保密规章、制度，履行与其工作岗位相应的保密职责。用人单位的保密规章、制度没有规定或者规定不明确之处，雇员亦应本着谨慎、诚实的态度，采取任何必要、合理的措施，维护其于任职期间知悉或者持有的任何属于用人单位或者虽属于第三方但用人单位承诺有保密义务的技术秘密或其他商业秘密信息，以保持其机密性。,行政部 培训教材,雇员保密协议,第四条 除了履行职务的需要之外，雇员承诺，未经用

15、人单位同意，不得以泄露、告知、公布、发布、出版、传授、转让或者其他任何方式使任何第三方（包括按照保密制度的规定不得知悉该项秘密的用人单位其他职员）知悉属于用人单位或者虽属于他人但用人单位承诺有保密义务的技术秘密或其他商业秘密信息，也不得在履行职务之外使用这些秘密信息。雇员的上级主管人员同意雇员披露、使用有关的技术秘密或其他商业秘密的，视为雇员已同意这样做，除非用人单位已事先公开明确该主管人员无此权限。,行政部 培训教材,雇员保密协议,第五条 双方同意，雇员离职之后仍对其在用人单位任职期间接触、知悉的属于用人单位或者虽属于第三方但用人单位承诺有保密义务的技术秘密和其他商业秘密信息，承担如同任职期

16、间一样的保密义务和不擅自使用有关秘密信息的义务，而无论雇员因何种原因离职。雇员离职后承担保密义务的期限为下列第 种（没有做出选择的，视为无限期保）：（A）无限期保密，直至用人单位宣布解密或者秘密信息实际上已经公开；（B）有限期保密，保密期限自离职之日起，计算到。用人单位同意就雇员离职后承担的保密义务，向其支付保密费。保密费的支付方式为下列第 种：（A）雇员离职时，一次性支付 元。（B）雇员认可，用人单位在支付雇员的工资报酬时，已考虑了雇员离职后需要承担的保密义务，故而无须在雇员离职时另外支付保密费。,行政部 培训教材,雇员保密协议,第六条 雇员承诺，在为用人单位履行职务时，不得擅自使用任何属于

17、他人的技术秘密或其他商业秘密信息，亦不得擅自实施可能侵犯他人知识产权的行为。若雇员违反上述承诺而导致用人单位遭受第三方的侵仅指控时，雇员应当承担用人单位为应诉而支付的一切费用；用人单位因此而承担侵权赔偿责任的，有权向雇员追偿。上述应诉费用和侵权赔偿可以从雇员的工资报酬中扣除。,行政部 培训教材,雇员保密协议,第七条 雇员在履行职务时，按照用人单位的明确要求或者为了完成用人单位明确交付的具体工作任务必然导致侵犯他人知识产权的，若用人单位遭受第三方的侵权指控，应诉费用和侵权赔偿不得由雇员承担或部分承担。雇员的上级主管人员提出的要求或交付的工作任务，视为用人单位提出的要求或交付的工作任务，除非用人单

18、位已事先公开明确该主管人员无此权限。,行政部 培训教材,雇员保密协议,第八条 雇员承诺，其在用人单位任职期间，非经用人单位事先同意，不在与用人单位生产、经营同类产品或提供同类服务的其他企业、事业单位、社会团体内担任任何职务，包括股东、合伙人、董事、监事、经理、职员、代理人、顾问等等。雇员离职之后是否仍负有前款的义务，由双方以单独的协议另行规定。如果双方没有签署这样的单独协议，则用人单位不得限制雇员从用人单位离职之后的就业、任职范围。,行政部 培训教材,雇员保密协议,第九条 雇员因职务上的需要所持有或保管的一切记录着用人单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及

19、其他任何形式的载体，均归用人单位所有，而无论这些秘密信息有无商业上的价值。若记录着秘密信息的载体是由雇员自备的，则视为雇员已同意将这些载体物的所有权转让给用人单位。用人单位应当在雇员返还这些载体时，给予雇员相当于载体本身价值的经济补偿。,行政部 培训教材,雇员保密协议,第十条 雇员应当于离职时，或者于用人单位提出请求时，返还全部属于用人单位的财物，包括记载着用人单位秘密信息的一切载体。但当记录着秘密信息的栽体是由雇员自备的，且秘密信息可以从载体上消除或复制出来时，可以由用人单位将秘密信息复制到用人单位享有所有权的其他载体上，并把原载体上的秘密信息消除。此种情况雇员无须将载体返还，用人单位也无须

20、给予雇员经济补偿。,行政部 培训教材,雇员保密协议,第十一条 本合同提及的技术秘密，包括：技术方案、工程设计、电路设计、制造方法、配方、工艺流程、技术指标、计算机软件、数据库、研究开发记录、技术报告、检测报告、实验数据、试验结果、图纸、样品、样机、模型、模具、操作手册、技术文档、相关的函电，等等。本合同提及的其他商业秘密，包括：客户名单、行销计划、采购资料、定价政策、财务资料、进货渠道，等等。,行政部 培训教材,雇员保密协议,第十二条 本合同中所称的任职期间，以雇员从用人单位领取工资为标志，并以该项工资所代表的工作期间为任职期间。任职期间包括雇员在正常工作时间以外加班的时间，而无论加班场所是否

21、在用人单位工作场所内。本合同中所称的离职，以任何一方明确表示解除或辞去聘用关系的时间为准。雇员拒绝领取工资且停止履行职务的行为，视为提出辞职。用人单位无正当理由拒绝发给雇员全部或部分工资的行为，视为将雇员解聘。,行政部 培训教材,雇员保密协议,第十三条 因本合同而引起的纠纷，如果协商解决不成，任何一方均有权提起诉讼。双方同意，选择用人单位住所地的、符合级别管辖规定的人民法院作为双方合同纠纷的第一审管辖法院。上述约定不影响用人单位请求知识产权管理部门对侵权行为进行行政处理,雇员保密协议,行政部 培训教材,第十四条 雇员如违反本合同任一条款，应当一次性向用人单位支付违约金 元；无论违约金给付与否，

22、用人单位均有权不经预告立即解除与雇员的聘用关系。雇员的违约行为给用人单位造成损失的，雇员应当赔偿用人单位的损失。违约金不能代替赔偿损失，但可以从损失额中抵扣。,信息安全风险管理,识别威胁威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、黑客攻击技术、物理攻击、泄密信息、篡改、抵赖等。各部

23、门根据资产本身所处的环境条件，识别每个资产所面临的威胁。识别威胁发生的可能性分析威胁发生频率等级标识分级定义1很低几乎不可能出现的频率极小（或=1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过,行政部 培训教材,风险等级风险等级根据风险值划分为五级，等级越高，风险越高。等级等级划分标识描述11-100低风险一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。2101-200一般风险一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。3201-300高风险一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。4301-400高风险一旦发生将产生

24、较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。5401-500高风险一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。,信息资产范围组织的信息资产包括：文档、数据、计算机硬件设备、计算机系统和软件、人力资源、安全区域和无形资产。,信息资产的密级信息资产的密级分为：机密、秘密和一般共3类：“机密”：是指不可对外公开、若泄露或被篡改会对本组织的业务造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；“秘密”：是指为了日常的业务能顺利进行而向组织内部员工公开、但不可向组织以外人员随意公开的事项；“一般”是指可向组

25、织以外人员随意公开的事项,行政部 培训教材,商业秘密分类本程序中所指的商业技术秘密分：机密、秘密和一般共3类：“机密”：是指不可对外公开、若泄露或被篡改会对本组织的业务造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；“秘密”：是指为了日常的业务及正常工作能顺利进行而向组织内部员工公开、但不可向组织以外人员随意公开的事项。“一般”：是指无须进行任何保密的信息或资料，可向外部公开。以上a)-b)2类事项以下简称秘密。,商业秘密的使用秘密文件的接收人应按秘密文件的使用目的、使用范围正确使用秘密文件。秘密文件的保管人员和秘密的实际操作人员未经指定者许可不得擅自将秘密内容向其它人员公开。秘密文

26、件原则上严禁复印。因业务必需时应填写涉密文件复印登记表，并限制在最小限度，并且在使用后及时处置。未经批准严禁将秘密文件带出公司使用。如工作必须，应经过部门经理以上领导的批准。,行政部 培训教材,保密教育为了使员工能充分了解并彻底贯彻执行商业秘密管理规定，应对新入员工及调职来的人员进行保守商业秘密教育。教育时应作好教育记录。员工的保密义务按保密协议执行。掌握组织重要业务信息、关键技术的从业人员离、退职时，本部门管理者应对其进行面谈，重申保守商业秘密的规定，防止将本组织商业秘密带出或不正当使用。,外来人员参观，应严格按组织的安全区域管理程序和物理访问策略的规定办理手续，经批准后按申请的时间和路线参

27、观。结束后，由接待责任部门负责送出。因业务需要来组织的相关访，原则上应使用组织的接待室洽谈业务。需进入办公室时，应征得部门经理以上管理者的同意。事件处理发现遗失秘密文件时，应及时向信息安全管理小组报告并与原发行部门联系。发现商业秘密泄漏、有泄漏征兆或管理上存在重大隐患时，发现者应迅速向本部门经理报告。拾到遗失的秘密文件时，应迅速交给遗失者，关系者不明时，交给本部门经理。发生以上情况时,相应部门应按信息安全事件管理程序的要求迅速调查原因，采取适当的纠正和再发防止措施，并将处置结果以书面的方式通知有关部门。,行政部 培训教材,内部信息的沟通管理,组织的信息安全管理文件的修订、审核和信息安全管理方针

28、、目标和指标信息，由行政部组织实施传递与管理。组织的设计、生产、技术的信息安全管理信息，由信息安全管理小组采集与整理，并向行政部传递。组织内部在进行信息安全工作检查时，如发现的问题需要内部交流的，直接与职能部门沟通，必要时提请行政部组织协调。行政部至少每季度召开一次各部门负责人或部门代表参加的联席会议，就组织的信息安全活动的事项进行沟通和协调。,行政部 培训教材,信息安全事件定义与分类,信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事件：机密 信息泄露或丢失；重要业务部门停止工作五小时以上；造成信息资产损失的火灾、洪水、雷

29、击等灾害；损失在一万元以上的故障/事件。信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事件：组织的机密信息泄露；重要业务部门停止工作十小时以上；造成重要信息设备毁灭的火灾、洪水、雷击等灾害；损失在十万元以上的故障/事件。,事件调查处理与纠正措施,故障处理部门应对故障原因进行分析，必要时，采取纠正措施，故障的原因及采取措施的结果予以记录。对于信息安全事件，在故障排除或采取必要措施后，信息安全管理小组会同事件责任部门，对事件的原因、类型、损失、责任进行鉴定，形成信息安全事件调查处理报告，报信息安全管理员批准；对于重大信息安

30、全事件的处理意见应上报信息安全管理小组讨论通过。对于违反组织的信息方针、程序及安全规章所造成的信息安全事件责任者依据信息安全奖惩管理程序予以惩戒，并在组织内予以通报。信息安全管理小组要求事件责任部门制定纠正措施并实施，实施结果记录在信息安全事件调查处理报告。由信息安全管理小组对实施情况进行跟踪验证,验证结果记入信息安全事件调查处理报告。,行政部 培训教材,信息安全违章处罚,各部门应安排一名信息安全员，负责对本部门内部信息安全管理活动的执行情况进行日常监督与检查，对发现的问题及时向本部门负责人汇报并由其进行处理。对于员工违反信息安全方针、信息安全管理手册、程序文件、操作规程等信息安全管理体系文件

31、的规定，但没有造成信息安全事故的，均属于违章现象；违章一次，由本部门负责人给予口头警告；一月内连续两次违章，应予认定一般违纪，扣发当月奖金的浮动部分；一年内累计二次或二次以上一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在部门内部进行通报。负有信息安全事故处罚的各职能部门在日常检查过程发现在其职责范围内的违章现象，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；一月内连续两次违章，应予认定较重违纪，扣发二个月奖金的浮动部分；一年内累计二次一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在部门内部进行通报。对于审核中（包括内部审核及第三方审核)发现的一般

32、不符合事项，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；严重不符合事项，扣发责任人当月奖金浮动部分，并在部门内部进行通报。,行政部 培训教材,信息安全事故的处罚,信息安全事故发生后，按照信息安全事件管理程序的规定对信息安全事故进行调查，确定事故发生的原因及事故的责任者，根据事故所造成的损失，由信息安全管理职能部门形成处理报告，提出处罚意见，报组织分管领导批准后对责任者予以处罚；对于重大信息安全事故的责任者的处罚应提交信息安全管理小组决定。处罚方式一般安全事故，根据所造成的经济损失，给予责任人扣罚当月奖金浮动部分的处罚；造成重大安全事故的，将责任人调离原工作岗位并给予扣罚三个

33、月以下绩效奖金的处罚；如果属于故意行为导致信息安全事故，解除劳动合同并依法追究法律责任；对由于违反IT管理方针程序和越权访问策略的，应收回其访问权限。对于信息安全事故责任人的处理结果由处理部门在组织范围内予以通报。负有信息安全事故处罚的各职能部门在确定实施处罚后，应填写奖惩申报单，交信息安全管理小组。信息安全管理小组与被处罚部门沟通，确认责任者及处罚方式，并在责任人当月工资单扣除处罚金额。,奖励规定对以下行为，组织将酌情予以奖励：及时发现非责任区信息安全隐患，该隐患足以导致信息安全事故的；及时发现非责任区信息安全重大隐患，该隐患足以导致信息安全重大事故的；及时发现并制止系统操作问题以避免设备及

34、人身重大损失或人员伤亡的；及时制止或报告泄露商业机密的事件以避免组织重大经济损失或及时或中止正在进行中的商业泄密行为的；其他有效避免组织信息安全事故的行为；在信息安全事故中采取积极有效措施，降低损失的程度。,奖励方式防止一般安全事故发生，给予相关人员一次性50-200元的奖励；防止造成重大安全事故的，给予相关人员一次性200-500元的奖励；及时中止正在进行中的商业泄密行为，根据秘密等级给予相关人员一次性500-2000元的奖励；信息安全事件中采取积极有效措施，降低损失程度，按照具体情况给予相关人员100-500元奖励；提出信息安全合理化建议，经组织采纳执行，给予相关人员一次性200元的奖励。

35、发现信息安全事故、薄弱点与故障的员工应按照信息安全事件管理程序进行报告。相关的职能部门进行调查后，处理是否应给予奖励，如需要应填写奖惩申报单，报信息安全管理小组审批后，由行政人事部在其当月工资中加发奖励金额。对于授予奖励的相关人员的奖励结果由信息安全管理小组在组织范围内予以通报。,客户资料秘密等级,按公司信息秘密等级分类，将客户资料划分为“机密”等级。机密：是指不可对外公开、若泄露或被篡改会对本组织的业务造成严重损害，或者由于业务上的需要仅限有关人员知道的事项，包括（公司的规划，经营战略，财务报表，重要会议记录、合同，公司经营情况，客户档案、资料，销售业绩，产品技术信息，工资收入等）秘密：是指

36、为了日常的业务及正常工作能顺利进行而向组织内部员工公开、但不可向组织以外人员随意公开的事项，包括（程序文件，员工合同协议，会议记录或尚未公开的各类公司信息）。一般：是指无须进行任何保密的信息或资料，可向外部公开,行政部 培训教材,客户资料管理范围。,4.1客户资料包括但不限于：客户基本信息（如客户名称、法定代表人、地址、邮编、电话、传真、经营范围、注册资本等）及商务合作中客户提供的工程数据、图纸、技术资料、会议纪要等，4.2公司已合作客户、潜在客户及流失客户等客户资料纳入本管理制度范围。4.3客户资料的管理包括客户资料的收集、整理、查阅、分析等方面。4.4客户资料中经授权公布的公共可利用信息不

37、列入本制度管理范围。,行政部 培训教材,客户资料管理的内容,5.1公司建立客户档案，由指定专人负责，并编制客户一览表供查阅；每发展、接触一个新客户，均应建立客户档案户头；客户档案须标准化、规范化。5.2公司营业部负责公司所有客户信息、资料、会议纪要的分类、汇总，工程部负责保管客户传递的工程数据、图纸、技术资料等，工程人员在取得客户数据后，将依相关作业规范存储数据库，并严格管控客户数据之存取，除相关岗位人员按规定搜集、使用及保管客户资料外，非经正式授权人员不得取得客户资料。5.3所有待处理及处理中的客户资料，需存放于专门的存放地点，并加锁，不可随意放置于办公地点；因履行岗位职责而接触客户资料的所

38、有人员，只能将客户资料用于办理业务、客户服务等方面，未经批准不得将客户资料提供给任何第三方。5.4公司所有客户资料均须盖上“机密”章，且建立客户信息查阅权限制，未经许可，不得随意调阅客户资料；在查阅、借阅和复印的权限上，客户只能查阅属于自己的资料。5.5与客户的信函、传真等往来文件，相关单据打印、清分、寄送、发放由专人负责，且加盖公司“机密”章，与操作无关的人员不得接触。,行政部 培训教材,客户资料管理的内容,5.6所有调阅的实物资料，因故未能及时归还的，应当妥善保管，不可随意放置；不得私自将客户资料（含影像文件）带离办公区域。5.7负责与客户联系的员工调离公司时，不得将客户资料带走，由其所在

39、部门指定其他人员将其客户资料接收、整理、归档；并及时通知有关客户，由顶替人员迅速与客户建立联系。5.8记载有客户信息的作废业务资料均要由相关经办人员及时销毁，并记录在案，防止客户信息流失或泄露。5.9客户资料因在传递过程中不慎丢失的，接触人员要及时追查，并向客户资料负责人反馈，必要时下达公司各部门人员查找，有拾到者须及时将客户资料提交部门主管人员或客户资料负责人，相关人员有对客户资料所涵盖的信息负保密责任；如系人为造成客户资料丢失或泄密的，公司将根据情况严重程度及所带来的后果，追究有关人员的责任。公司所有员工应按本制度的规定执行，违反本规定人员，按公司奖惩制度，以违反公司管理规定处理。本制度经

40、公司总经理批准后施行。,行政部 培训教材,普通安全区域门禁,普通区域的门禁利用门禁卡判别员工进入此区域时是否放行。组织为每位员工配发门禁卡作为身份标识，身份标识告诉了安全控制模块要进入安全区域的员工是否有授权，同时也告诉了安全控制模块进入该安全区域的是谁。如果一个员工试图进入没有授权的安全区域，安全控制模块的控制就锁定门禁的入口装置。外来劳务人员必须持访客登记表，由前台人员陪同才能进出一般安全区域，但不得进入重要安全区域。对较长期的外来劳务人员，前台可以为他们采集身份标识，通过安全控制模块控制门禁装置的安全准入。外来劳务人员一旦离开组织，应立即删除他们的身份标识，以禁止安全控制模块对这些身份标

41、识的准入放行功能。,行政部 培训教材,门禁卡的管理与使用,门禁卡由行政部统一发放，根据员工工作性质对门禁卡进行授权，并将卡号等相关信息建档管理，做好门禁卡签收记录，详见门禁卡发放回收登记表。门禁卡不得转借他人，持卡人刷卡出入时应注意随手关门，避免让外部人员或陌生人跟随出入，否则刷刷卡人需为此引发的安全事故负责。门上禁卡要妥善保管，如有遗失，应立即向行政部申请挂失，将原卡注销，补发新卡，补发时将收取门禁卡成本费20元。个人因离职或调离其它部门任职，必须将门禁卡交回行政部，由行政部对门禁卡重新授权。,行政部 培训教材,安全区域,组织的安全区域分为重要安全区域和普通区域。前台应识别重要安全区域，建立

42、和保持重要安全区域安全控制方案，经各部门经理批准后实施。重要安全区域以外的办公开发区域,统称为普通区域。重要安全区域包括以下：设计室服务器房工程部及样板房营业部装配部重要安全区域的控制按重要安全区域安全控制方案进行。,普通区域的物理访问外来联系工作和办理业务的人员进入办公、生产区域，须在前台申请，经相关部门负责人通过批准后，外来人员登记来访信息，方可进入普通区域。前台人员负责外来人员的登记；当外来人员离开时，前台负责登记离开时间。,重要安全区域的出入控制管理重要安全区域只有经授权的相关人员可以访问。因工作需要，其他人员进入该区域时需填写重要安全区域访问审批表。安全区域的检查管理各部门根据普通区

43、域和重要安全区域不同的要求，严格执行组织相关的规定，防止对安全区域内场所的非授权物理访问、损坏和干扰，有效保障组织信息的安全，保证组织业务正常进行。前台加强前台管理，出入工作区域的外来人员必须登记。前台将组织人员定期对普通区域和重要安全区域进行监督检查，检查内容为安全周界、外来人员情况等安全区域的控制管理，发现安全隐患及存在问题，将开具专项管理检查整改通知单责成整改。无人职守时的安全区域保护每天下班的最后一名员工应关闭门禁，锁上大门后再离开公司,员工离职组织与员工解除或终止劳动合同，需提交公司办公会议讨论通过，并根据国家劳动法规规定的通知时间，向员工所在部门及员工本人发出解除或终止劳动合同的通

44、知。员工辞职应按规定提前30天递交部门负责人，审批通过后，通知员工办理相关离职手续。员工所在部门负责人应进行离职访谈，明确其承诺的保密义务。行政部相关人员应与员工进行离职访谈，了解其离职原因。员工所在部门负责人应通知信息安全管理小组组长主管人员终止其访问权限。,离职手续如无特殊情况，离职手续须由员工本人亲自办理。离职手续应先办理工作交接，经部门负责人确认工作交接完成以后方可办理后续项目。离职手续包括：各种保密文件回收、身份证件退还（包括公司门禁卡等）、原所在办公室门锁和办公桌钥匙退还、固定资产（软硬件设备）退还、财务清款、法律事务清查、工作交接、访问权限的收回确认。重要岗位人员离职前应承诺保密

45、义务，必要时应签署竞业限制协议。离岗员工办理员工离职流程单中的交接手续（不进行各部门的流转签署）后，交行政部审核。离职员工办理完上述手续后，将员工离职申请单交行政行政部审核，审核无误后由行政部办理离退休、内退、退工（解除合同证明）、转移社保关系、退档等手续。,乙方：身份证号码：因乙方现为甲方提供服务和履行职务，已经(或将要)知悉甲方的公司秘密。为了明确乙方的保密义务，有效保护甲方的公司秘密，防止公司秘密被公开披露或以任何形式泄漏，甲、乙双方本着平等、自愿、公平和诚实信用的原则签订本保密协议。第一条：公司秘密1、本协议所称公司秘密包括：技术秘密、专有技术、经营秘密和甲方公司列为绝密、机密、秘密级

46、的各项文件。乙方应对公司秘密承担保密义务。2、其中技术秘密包括但不限于工作进度、技术方案、工程设计、制造方法、工艺流程、技术指标、计算机软件、数据库、研究开发记录、技术报告、测试报告、检测报告、实验数据、试验结果、图纸、样品、样机、模型、模具、操作手册、技术文档、相关的函电等。经营秘密包括但不限于双方洽谈的情况、签署的任何文件，包括合同、协议、订单等文件中所包含的一切信息、客户名单、销售计划、采购资料、定价政策、财务资料、进货渠道、法律事务信息、人力资源信息等。第二条：保密义务1、乙方为甲方提供相关服务而知悉甲方公司秘密，并且在甲方领取报酬或工资的人员。乙方同意为甲方公司利益尽最佳努力，在履行

47、职务期间不组织、参加任何竞争企业，或从事任何不正当使用公司商业秘密的行为。2、乙方对其因身份、职务、或技术关系而知悉的公司商业秘密应严格保守，保证不被披露或使用，包括意外或过失。3、在服务关系存续期间，乙方未经授权，不得以竞争为目的、或出于私利、或为第三人谋利、或为故意或无心之举加害于公司使公司受到任何方面的损失或负面影响，不得擅自披露、使用公司秘密、制造再现公司秘密的产品、取走与公司秘密有关的物件；不得刺探与本职工作或本身业务无关的公司秘密；不得直接或间接地向公司内部、外部的无关人员泄露；不得允许或协助不承担保密义务的任何第三人使用甲方的公司秘密；不得复制或公开包含公司秘密的文件；对因工作所

48、保管、接触的有关本公司或公司客户的文件应妥善对待，未经许可不得超出工作范围使用；不得将公司内的任何资料复制、打印、传送、带出公司。4、乙方因职务需要所持有或保管的一切记录甲方秘密信息的文件、图表、笔记、报告、传真、磁盘、仪器及其它任何形式的载体，均归甲方所有，而无论这些秘密信息有无商业上的价值。,5、如果发现公司秘密被泄露或者自己过失泄露公司秘密，应当采取有效措施防止泄密进一步扩大，并及时向甲方报告。6、服务关系结束后，乙方应将与工作有关的技术资料、试验设备、材料、客户名单等交还公司，并在一年内不得向它人泄露有损公司的任何性质商业秘密。第三条：违约责任1、乙方违反协议中的保密义务，应承担违约责

49、任。2、乙方如将公司秘密泄露给第三人或使用商业秘密使公司遭受损失的，乙方应对甲方进行赔偿，其赔偿数额不少于由于其违反义务所给甲方带来的损失。3、因乙方恶意泄露商业秘密给公司造成严重后果的，公司将通过法律手段追究其侵权责任，直至追究其刑事责任。4、与本协议有关的任何争议，双方应通过友好协商解决。如协商不成，任何一方可将此争议提交所在地仲裁委员会进行仲裁。仲裁裁决是终局的，对双方均有约束力。本协议适用中华人民共和国法律。5、在签署本协议前，双方已经详细审阅了协议的内容，并完全了解协议各条款的法律含义。本协议一式两份，双方各执一份，具有同等法律效力。本协议自双方签字或盖章后生效甲方（盖章）：东莞市新七甲电子科技有限公司 乙方（签字）：甲方代表（签字）：身份证号码：年 月 日 年 月 日,谢谢！,行政部 培训教材,