什么是信息?
对于现代企业来说,信息是一种资产,包括电子文件、纸质文件、图纸、标准、专利、报价短信消息、电话汇报等,信息资产是具有重要价值的。
什么是信息安全?
采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。
信息安全意识
信息安全意识(information security awareness),就是能够认知可能存在的信息安全问题,预估信息安全事故对组织的危害,恪守正确的行为方式,并且执行在信息安全事故发生时所应采取的措施。
信息安全的目标
保密性:确保信息在生成、传输、保存过程中不会被泄露。
可用性:确保信息及资源在有需要的时候可以正常使用。
完整性:确保信息在生成、传输、保存过程中不会被恶意修改。
我们的目标
建立对信息安全的敏感意识和正确认识
掌握信息安全的基本概念、原则和惯例
清楚可能面临的威胁和风险
遵守各项安全策略和制度
在日常工作中养成良好的安全习惯
最终提升整体的信息安全水平
信息安全管理措施之物理安全
安全目标
防止物理设备在未授权的情况下被访问、或损坏,确保硬件的绝对安全,尽量做到点对点,减少中间的流转环节。尽量对移动存储器中的内容进行加密设置,防止未授权人员对其进行访问。
案例说明
1、全球每隔53,秒钟就会有一台笔记本电脑失窃——software insurance
2、97%的失窃笔记本电脑都没有希望找回——fbi
3、你的笔记本电脑失窃的机率为10%,这意味着每十个人中就有一个人会丢失笔记本电脑——gartner group
4、惠普公司提供服务的富达投资公司的几名员工在公司以外场所使用时被盗,这台笔记本电脑中存储了惠普公司的19.6万现有员工和以前员工的相关资料。具体资料包含员工姓名、地址、社会保险号、生日和其他一些与员工有关的资料。
5、2006年5月,美国退伍军人事务部的一名员工家被盗,其中丢失的一台笔记本电脑中存有包括自1975年以来大约2650万名美国退伍军人及其部分家属的姓名、出生日期和社会安全号码等健康状况等。尽管有前车之鉴,但类似的事件仍然层出不穷。
据统计丢失一台未加密的商用电脑损失平均达30万人民币。
控制措施
物理区域设置门卫或门禁,非工作人员出入需登记;
严禁所有人员携带个人电脑进入公司,客户及供应商电脑如需要进入公司需进行登记,禁止接入公司网络;
所以人员不得将门禁卡借与他人使用;
人员下班或较长时间离开房间时,房间门上锁;
文件柜、保险柜、档案柜上锁;
打印/复印后要及时取走;
作废的机密文档要用碎纸机碎掉或撕成碎块,不要直接作为垃圾丢弃;
个人宿舍员工个人电脑仅限于宿舍区内使用;
移动介质是最经常丢失引起数据泄露最方便的方式;
移动介质包括,笔记本电脑、掌上型电脑、移动硬盘、u盘、光盘、磁带、存储卡及带有数据存储功能的可移动设备(如mp3播放器、智能手机)等。
控制措施
个人移动存储设备严禁带入公司内部网络使用。