《ISMS基础教育》PPT课件.ppt

《《ISMS基础教育》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《ISMS基础教育》PPT课件.ppt（32页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 基基础础 教教 育育Copyright reserved by Ricoh Group ISMS Promotion secretariat品质保证课品质保证课Copyright reserved by Ricoh Group ISMS Promotion secretariat信息安全管理系统（信息安全管理系统（ISMS）信息是支撑企业的基础，同时信息是支撑企业的基础，同时也是具有财产价值的重要资产。也是具有财产价值的重要资产。要维护信息安全，必须实施个要维护信息安全，必须实施个人与环境这两种措施。人与环境这两种措施。信息安全管理系统（信息安全管理系统（ISMS即是即是Informatio

2、n Security Management System）是指情报安全的确立、导）是指情报安全的确立、导入、运用、监控、调整、维持、及入、运用、监控、调整、维持、及改善的一系列活动改善的一系列活动.有助于组织有效的保护情报安全的有助于组织有效的保护情报安全的有助于组织有效的保护情报安全的有助于组织有效的保护情报安全的一套管理体系一套管理体系一套管理体系一套管理体系 Copyright reserved by Ricoh Group ISMS Promotion secretariat信息安全管理体系标准发展信息安全管理体系标准发展 _信息安全管理体系标准的出现最早可以追溯到信息安全管理体系标准

3、的出现最早可以追溯到1993年，受英国贸工部的委托，开始汇集年，受英国贸工部的委托，开始汇集各优秀企业有关信息安全管理的最佳实践，准备推出信息安全管理的指南，该指南于各优秀企业有关信息安全管理的最佳实践，准备推出信息安全管理的指南，该指南于1995年以年以BS7799-1的编号出版，虽然是英国标准，但出版后得到了各国的认可，并得到的编号出版，虽然是英国标准，但出版后得到了各国的认可，并得到了广泛的应用，这包括英国本土，也包括亚洲的国家和地区。了广泛的应用，这包括英国本土，也包括亚洲的国家和地区。_1998年，在指南应用了一段时间之后，年，在指南应用了一段时间之后，BSI又适时发布了作为规范的又

4、适时发布了作为规范的BS7799-2，它作为，它作为一个可以认证的标准，为实践单位提供的纲领，从此一个可以认证的标准，为实践单位提供的纲领，从此BS7799成为一对标准。成为一对标准。_2000年，年，BS7799被提交被提交ISO审议，拟升级为国际标准，由于种种因素，审议，拟升级为国际标准，由于种种因素，BS7799-1升级成升级成为为ISO 17799：2000，而，而BS7799-2没有升级成功，保留了原有的编号。没有升级成功，保留了原有的编号。_从从2000年到年到2005年的期间，信息安全管理体系标准已经被全球认可，全球将近年的期间，信息安全管理体系标准已经被全球认可，全球将近200

5、0家组家组织获得了织获得了BS7799-2的认证，在中国有将近的认证，在中国有将近20家单位获得了此认证。家单位获得了此认证。_2005年年10月，月，BS7799-2成功升级为成功升级为ISO 27001标准，并且，以后信息安全管理体系标准，标准，并且，以后信息安全管理体系标准，将要统一到将要统一到ISO 2700X系列上，除了现有的管理体系要求和管理指南之外，还将陆续出系列上，除了现有的管理体系要求和管理指南之外，还将陆续出版其他指南，如下表所示：版其他指南，如下表所示：ISO/IEC ISO/IEC DescriptionDescription27000Vocabulary and de

6、finitions 术语和定义27001ISMS Requirement(BS7799-2)信息安全管理体系要求27002Code of Practice for ISM(ISO17799:2005)信息安全管理指南27003ISMS Implementation Guidance 信息安全管理体系实施指南27004ISM Metrics and Measurement 信息安全管理的测量27005Risk Management(BS 7799-3)风险管理为何要建立信息安全体系何要建立信息安全体系随着信息化的深入，一个明显的特征就是业务随着信息化的深入，一个明显的特征就是业务非常倚重于信息和

7、信息系统。今天，任谁都非常倚重于信息和信息系统。今天，任谁都无法想象，如果银行的主机停工了，会是什无法想象，如果银行的主机停工了，会是什么样状况。即便不是如银行这般大型的提供么样状况。即便不是如银行这般大型的提供实时业务的单位，比方说一个电子工厂，如实时业务的单位，比方说一个电子工厂，如果某一天生管系统被病毒感染而宕机了，该果某一天生管系统被病毒感染而宕机了，该工厂也将是一片的混乱，生产也许可以继续，工厂也将是一片的混乱，生产也许可以继续，但是几乎每个人都会茫然，他们不知道自己但是几乎每个人都会茫然，他们不知道自己下一步该做什么，不知道这么做是不是正确。下一步该做什么，不知道这么做是不是正确。

8、因此随着业务对信息和信息系统的倚重，信息因此随着业务对信息和信息系统的倚重，信息和信息系统的安全，成了一个鲜明的问题，和信息系统的安全，成了一个鲜明的问题，是任何组织都不可以绕过和忽略的。是任何组织都不可以绕过和忽略的。事例事例说明明上海理光生上海理光生产集集团ISMS构筑情况构筑情况简介介20040506070809101112200501020304050607080910ISMSISMS構築構築000.経営者理解001.計画002.組織立上003.方針目標策定004.情報資産洗出005.分析006.007.文書体系整備010.008.対応計画事業継続計画009.残留適用宣言書推進担当者教

9、育011.内部監査員教育e-Learning011.部門独自教育012.内部監査013.認証審査通过事前準備Copyright reserved by Ricoh Group ISMS Promotion secretariat上海理光集团上海理光集团情报情报安全基本方针安全基本方针 上海理光生产集团作为理光集团在中国的先进生产上海理光生产集团作为理光集团在中国的先进生产企业，在对应与日俱增的情报安全要求方面，为了不辜企业，在对应与日俱增的情报安全要求方面，为了不辜负顾客对我们的高度信赖，每位员工都要参与到情报安负顾客对我们的高度信赖，每位员工都要参与到情报安全管理系统构筑中去，以此来确保情报

10、的机密性、完全全管理系统构筑中去，以此来确保情报的机密性、完全性和可用性。性和可用性。我们应在遵守中国的法律法规，率先履行中国企我们应在遵守中国的法律法规，率先履行中国企业一员应尽的义务，努力成为理光集团中的模范企业的业一员应尽的义务，努力成为理光集团中的模范企业的同时，通过不断提高经营质量，来加强企业竞争力。同时，通过不断提高经营质量，来加强企业竞争力。1 1 管理层应在情报安全活动中起到模范带头的作管理层应在情报安全活动中起到模范带头的作 用，同时彻底实施对员工的情报安全教育。用，同时彻底实施对员工的情报安全教育。2 2 每位员工须理解情报安全管理的目的，遵守公每位员工须理解情报安全管理的

11、目的，遵守公 司内部的情报安全方面的要求事项。司内部的情报安全方面的要求事项。3 3 定期召开情报安全委员会议，不断进行情报安定期召开情报安全委员会议，不断进行情报安 全方面的改善。全方面的改善。4 4 切实落实法律法规的要求事项。切实落实法律法规的要求事项。Copyright reserved by Ricoh Group ISMS Promotion secretariat上海理光生产集团上海理光生产集团07年度年度情報情報安全目标安全目标_全员教育渗透度为全员教育渗透度为100%_各部门内审不符合项数（各部门内审不符合项数（C欠点欠点以上）小于等于以上）小于等于2个个/部部/次次_因因I

12、T部系统故障导致业务发生中部系统故障导致业务发生中断时间：断时间：10小时以下小时以下/年年_情报安全事件情报安全事件/事故事故5件以下件以下/年年上海理光上海理光上海理光上海理光0707年度风险评估的受容限度额：年度风险评估的受容限度额：年度风险评估的受容限度额：年度风险评估的受容限度额：5050万万万万Copyright reserved by Ricoh Group ISMS Promotion secretariat信息安全管理系统（信息安全管理系统（ISMS）ISMS的三要素：的三要素：机密性（机密性（C）：确保只有得到许可的人员才能访问情报。）：确保只有得到许可的人员才能访问情报。

13、完全性（完全性（I）：保证情报及其处理方法正确且完整。）：保证情报及其处理方法正确且完整。可用性（可用性（A）：得到许可的利用者在必要时可以访问情报及关联）：得到许可的利用者在必要时可以访问情报及关联 资产。资产。ISMSISMS目的：企业的持续发展目的：企业的持续发展目的：企业的持续发展目的：企业的持续发展Copyright reserved by Ricoh Group ISMS Promotion secretariat情报安全管理系统（情报安全管理系统（ISMS）要执行有效的信息安全管理系统，必须执行以下事项：要执行有效的信息安全管理系统，必须执行以下事项：1）明确阐明现有的信息资产，

14、并掌握其价值（计划）明确阐明现有的信息资产，并掌握其价值（计划Plan）2）分析需要保护的信息资产的威胁与漏洞（执行）分析需要保护的信息资产的威胁与漏洞（执行Do）3）选择并实施具体的措施（检查）选择并实施具体的措施（检查Check）4）根据环境的实际发展变化审议正在实施的措施（行动）根据环境的实际发展变化审议正在实施的措施（行动Act）只有已经建立安全政策，并通过实施相关的定期安装、检查、运作、分析只有已经建立安全政策，并通过实施相关的定期安装、检查、运作、分析及审议，才能实现及审议，才能实现“信息安全管理系统信息安全管理系统”。Copyright reserved by Ricoh Gro

15、up ISMS Promotion secretariat情情报资产报资产-1-1在在ISO17799ISO17799：20002000（国际标准）中规定：（国际标准）中规定：1 1、信息资产：数据库和数据文件、系统文档、用户手册、培训资料、信息资产：数据库和数据文件、系统文档、用户手册、培训资料、操作或支持程序、持续性计划、撤退安排、归档信息；操作或支持程序、持续性计划、撤退安排、归档信息；2 2、软件资产：应用软件、系统软件、开发工具和使用程序；、软件资产：应用软件、系统软件、开发工具和使用程序；3 3、实物资产：计算机设备、通信设备、磁性存储介质、其他技术设、实物资产：计算机设备、通信设

16、备、磁性存储介质、其他技术设备、家具、食宿设备；备、家具、食宿设备；4 4、服务：计算和通信服务、公共服务。、服务：计算和通信服务、公共服务。資産的分類資産的分類資産的分類資産的分類情报安全管理手册情报安全管理手册中定义：中定义：情报处理中收集、积累的情报或数据，头脑中的情情报处理中收集、积累的情报或数据，头脑中的情报或数据，情报处理时必要的设备支援、情报通信报或数据，情报处理时必要的设备支援、情报通信网等的总称。网等的总称。Copyright reserved by Ricoh Group ISMS Promotion secretariat_公司对情报资产的分类公司对情报资产的分类：_1、

17、物理资产物理资产：保管、运用、维护情报所必须的软件。软：保管、运用、维护情报所必须的软件。软件运行、情报处理系统的硬件。路由器、复印机、传真件运行、情报处理系统的硬件。路由器、复印机、传真机、机、PDA等广义的计算机。其次还包括等广义的计算机。其次还包括UPS等为使计算等为使计算机正常运作的外围机器、设备设施等；机正常运作的外围机器、设备设施等；_2、软件资产软件资产：为生成、运作、监控、维护情报所必需的：为生成、运作、监控、维护情报所必需的软件。如操作系统、中间软件、常用软件、自行开发软软件。如操作系统、中间软件、常用软件、自行开发软件；件；_3、定型业务资产定型业务资产：指业务过程中在应用

18、软件中定性生成：指业务过程中在应用软件中定性生成的重要情报。通常指从主干系统中生成的用于销售、服的重要情报。通常指从主干系统中生成的用于销售、服务、设计等方面的情报；务、设计等方面的情报；_4、非定型业务资产非定型业务资产：部分活用定性业务情报资产，应组：部分活用定性业务情报资产，应组织的业务推进、情报共享而生成的情报。从业人员因业织的业务推进、情报共享而生成的情报。从业人员因业务独自生成的与事业相关情报。从业人员因业务需要从务独自生成的与事业相关情报。从业人员因业务需要从其他组织获得的信息并用于业务的情报。组织因业务需其他组织获得的信息并用于业务的情报。组织因业务需要所保存得来自客户的情报及

19、其相关的资产。要所保存得来自客户的情报及其相关的资产。情报资产情报资产-2Copyright reserved by Ricoh Group ISMS Promotion secretariat情报资产的风险情报资产的风险_对个人及其他公司造成的损害对个人及其他公司造成的损害_对本公司形象的损害对本公司形象的损害_在正常任务之外导致额外任务的损害在正常任务之外导致额外任务的损害_对企业发展的损坏对企业发展的损坏_对商业机会的损坏对商业机会的损坏_经济损坏经济损坏缺乏安全性给企业带来的损害：缺乏安全性给企业带来的损害：缺乏安全性给企业带来的损害：缺乏安全性给企业带来的损害：结果：会危及商业运作持

20、续进行结果：会危及商业运作持续进行结果：会危及商业运作持续进行结果：会危及商业运作持续进行的损害或导致我们声誉降低的损的损害或导致我们声誉降低的损的损害或导致我们声誉降低的损的损害或导致我们声誉降低的损害。害。害。害。Copyright reserved by Ricoh Group ISMS Promotion secretariat情报资产的风险情报资产的风险实际威胁实际威胁_侵入侵入侵入侵入_破坏破坏破坏破坏_故障故障故障故障_自然灾害自然灾害自然灾害自然灾害人为威胁人为威胁_社会工程社会工程社会工程社会工程_盗窃盗窃盗窃盗窃_因操作失误导因操作失误导因操作失误导因操作失误导致的信息泄漏

21、致的信息泄漏致的信息泄漏致的信息泄漏技术威胁技术威胁_破解破解破解破解Copyright reserved by Ricoh Group ISMS Promotion secretariat防病毒软件防病毒软件一、趋势防毒软件运行图标所表示的相关信息：1.蓝色图标，表示防毒软件正常运行。2.蓝色图标中出现小红点，说明服务端没有更新病毒库，在服务器完成更新病毒库后的5分钟内，客户端会自动更新病毒库，红色小点随之自动消失;3.蓝色图标中有两根线，表示防病毒软件已遭到损坏，可与IT联系，进行手动修复;4.图标全红，可能是网络断开;可能是病毒库没有升级;也可能说明文件损坏，需要重新安装;也有可能是操作

22、面板管理工具中的“服务”未启动，调整到启动状态后，图标将出现;二、趋势防毒软件的安装、修复与病毒库升级：1.安装：通过网页http:/172.31.72.38:8080进行安装，监控文件的安装目录为：C:ProgramFilesTrendMicroOfficescanClientPccNtMon2.修复：可双击srf-domainofcscan目录下的AUTOPCC文件进行修复;3.病毒库升级：公司台式PC上的防毒软件为自动升级;外出用笔记本电脑可通过互联网更新病毒库;三、病毒日志：1.服务端永久保存全公司的病毒日志;2.客户端最多可保存最近15天内的病毒日志;四、如果发现网络速度很慢，但不是

23、因为病毒入侵，可通过网页http:/172.31.72.173查看当时的网络流量。关于计算机用户权限设置1.User权限不能安装程序，也不能进行系统设置;2.PowerUser权限不能安装程序，但可以进行系统设置;3.Administrator权限可在计算机上进行一切操作;4.请大家对计算机上的用户权限进行整理，并把密码设为6位以上、有数字和特殊符号的繁琐密码。Copyright reserved by Ricoh Group ISMS Promotion secretariat风险管理体系风险管理体系风险对应计划风险对应计划风险对应计划风险对应计划实施风险对应实施风险对应实施风险对应实施风险

24、对应日常维护日常维护日常维护日常维护再次评估再次评估再次评估再次评估风险评估风险评估风险评估风险评估风险风险风险风险管理管理管理管理体系体系体系体系半年一次半年一次半年一次半年一次半年一次半年一次半年一次半年一次管理评审管理评审管理评审管理评审（一年一次）（一年一次）（一年一次）（一年一次）内部审查内部审查内部审查内部审查PDCAPDCA循环循环循环循环Copyright reserved by Ricoh Group ISMS Promotion secretariat情報資産脅威脅威脆弱性脅威脆弱性风险风险対対策策（管理策）Copyright reserved by Ricoh Group

25、 ISMS Promotion secretariat脆弱性（狼弱、足遅）脆弱性Copyright reserved by Ricoh Group ISMS Promotion secretariat脅威脅威脆弱性脅威脆弱性纠正纠正 予防策予防策情報資産风险对策风险对策（管理策）Copyright reserved by Ricoh Group ISMS Promotion secretariat脆弱性的纠正的纠正没有没有対策Copyright reserved by Ricoh Group ISMS Promotion secretariat保护情报资产保护情报资产情報情報的密级的密级分分類

26、類Copyright reserved by Ricoh Group ISMS Promotion secretariat(1)(1)绝密绝密绝密绝密是指非最高责任者特别批准的人员，不能对其公开的情报。是指非最高责任者特别批准的人员，不能对其公开的情报。是指非最高责任者特别批准的人员，不能对其公开的情报。是指非最高责任者特别批准的人员，不能对其公开的情报。(2)(2)密密密密是指不能向与业务上有关的部门人员以外公开的情报。是指不能向与业务上有关的部门人员以外公开的情报。是指不能向与业务上有关的部门人员以外公开的情报。是指不能向与业务上有关的部门人员以外公开的情报。(3)(3)社外秘社外秘社外秘

27、社外秘是指限于上海理光生产集团各公司内部共享的企业机密情报。是指限于上海理光生产集团各公司内部共享的企业机密情报。是指限于上海理光生产集团各公司内部共享的企业机密情报。是指限于上海理光生产集团各公司内部共享的企业机密情报。(4)(4)公开公开公开公开是指向公众开放的消息是指向公众开放的消息是指向公众开放的消息是指向公众开放的消息Copyright reserved by Ricoh Group ISMS Promotion secretariat信息安全事故报告信息安全事故报告 调查发现：所有的非法、犯罪调查发现：所有的非法、犯罪或失误事件中的或失误事件中的70%是内部人员造是内部人员造成的。

28、成的。只要我们每个人都维持高度的只要我们每个人都维持高度的信息安全意识，大多数的损害都是信息安全意识，大多数的损害都是可以避免的。可以避免的。不管多么努力防止外部攻击，不管多么努力防止外部攻击，信息安全还是有一个弱点，这就是信息安全还是有一个弱点，这就是组织内部人员带来的。组织内部人员带来的。Copyright reserved by Ricoh Group ISMS Promotion secretariat事件事件/事故概念事故概念_病毒感染病毒感染_因不正当访问（进入）造成的受害。因不正当访问（进入）造成的受害。_机器故障、网络系统故障。机器故障、网络系统故障。_系统、应用服务器的误操作

29、（包含处理出错）。系统、应用服务器的误操作（包含处理出错）。情报资产的被盗、丢失、情报泄露、未受情报资产的被盗、丢失、情报泄露、未受许可的带出公司。许可的带出公司。因不合适的会议地点、会议资料的分发等因不合适的会议地点、会议资料的分发等引起的事故。引起的事故。以上事例也包含以上事例也包含发现征兆还未受害发现征兆还未受害的事件的事件/事故。事故。Copyright reserved by Ricoh Group ISMS Promotion secretariat理光员工的责任理光员工的责任（1 1）禁止在公共场合洽谈业务）禁止在公共场合洽谈业务（2 2）进入公司区域随身佩戴胸卡或员工证）进入公

30、司区域随身佩戴胸卡或员工证（3 3）在办公室有外来人员并且没人陪同时，）在办公室有外来人员并且没人陪同时，应加以盘问应加以盘问（4 4）有外来人员进入时，应在洽谈区域会）有外来人员进入时，应在洽谈区域会见见#对已发生的事件对已发生的事件/事故及事故及发现征兆还未受害发现征兆还未受害的事件的事件/事故也应按照相关流程进行报告事故也应按照相关流程进行报告。#配合配合ismsisms改进是每个员工的职责。改进是每个员工的职责。Copyright reserved by Ricoh Group ISMS Promotion secretariat日常信息安全措施日常信息安全措施（物理进出）（物理进出）

31、Copyright reserved by Ricoh Group ISMS Promotion secretariat日常信息安全措施日常信息安全措施_使用电子邮件须知使用电子邮件须知使用电子邮件须知使用电子邮件须知1 1）回复或发送电子邮件时确认收件人的地址）回复或发送电子邮件时确认收件人的地址）回复或发送电子邮件时确认收件人的地址）回复或发送电子邮件时确认收件人的地址2 2）确认电子邮件附件的内容）确认电子邮件附件的内容）确认电子邮件附件的内容）确认电子邮件附件的内容3 3）请勿在公司内使用外部电子邮件系统）请勿在公司内使用外部电子邮件系统）请勿在公司内使用外部电子邮件系统）请勿在公司内

32、使用外部电子邮件系统4 4）重要情报资产不用电子邮件发送）重要情报资产不用电子邮件发送）重要情报资产不用电子邮件发送）重要情报资产不用电子邮件发送Copyright reserved by Ricoh Group ISMS Promotion secretariat日常信息安全措施日常信息安全措施_密码控制密码控制密码控制密码控制1)1)使用别人无法猜测的密码使用别人无法猜测的密码使用别人无法猜测的密码使用别人无法猜测的密码 密码设置要求：密码设置要求：密码设置要求：密码设置要求：位数须达到位数须达到位数须达到位数须达到8 8位或以上位或以上位或以上位或以上 数字、大写、小写、特殊字符数字、大

33、写、小写、特殊字符数字、大写、小写、特殊字符数字、大写、小写、特殊字符44选选选选3 3 不能与前几次设置的密码有类似不能与前几次设置的密码有类似不能与前几次设置的密码有类似不能与前几次设置的密码有类似 不能与本人姓名、工号有类似不能与本人姓名、工号有类似不能与本人姓名、工号有类似不能与本人姓名、工号有类似2 2）不要将密码记到备忘录并贴到个人计算机或是随身笔记本上。）不要将密码记到备忘录并贴到个人计算机或是随身笔记本上。）不要将密码记到备忘录并贴到个人计算机或是随身笔记本上。）不要将密码记到备忘录并贴到个人计算机或是随身笔记本上。3 3）请勿将密码设置存储到个人计算机）请勿将密码设置存储到个

34、人计算机）请勿将密码设置存储到个人计算机）请勿将密码设置存储到个人计算机Copyright reserved by Ricoh Group ISMS Promotion secretariat日常信息安全措施日常信息安全措施_销毁信息规定销毁信息规定销毁信息规定销毁信息规定1)1)销毁纸面信息销毁纸面信息销毁纸面信息销毁纸面信息 公司已经设置了专门的废弃箱，废弃纸面文件时，请按照密级分类丢弃。公司已经设置了专门的废弃箱，废弃纸面文件时，请按照密级分类丢弃。公司已经设置了专门的废弃箱，废弃纸面文件时，请按照密级分类丢弃。公司已经设置了专门的废弃箱，废弃纸面文件时，请按照密级分类丢弃。2 2）销毁

35、保密信息）销毁保密信息）销毁保密信息）销毁保密信息 密以上密以上密以上密以上文件用粉碎机粉碎处理。文件用粉碎机粉碎处理。文件用粉碎机粉碎处理。文件用粉碎机粉碎处理。3 3）社外密社外密社外密社外密文档废弃到公司设置的文档废弃到公司设置的文档废弃到公司设置的文档废弃到公司设置的 社外密文档废纸箱社外密文档废纸箱社外密文档废纸箱社外密文档废纸箱 内内内内4 4）重要数据放到数据库后应销毁计算机本地上的数据）重要数据放到数据库后应销毁计算机本地上的数据）重要数据放到数据库后应销毁计算机本地上的数据）重要数据放到数据库后应销毁计算机本地上的数据5 5）移动存储设备使用完毕后应删除存储的信息或物理销毁移

36、动存储）移动存储设备使用完毕后应删除存储的信息或物理销毁移动存储）移动存储设备使用完毕后应删除存储的信息或物理销毁移动存储）移动存储设备使用完毕后应删除存储的信息或物理销毁移动存储设备设备设备设备Copyright reserved by Ricoh Group ISMS Promotion secretariat日常信息安全措施日常信息安全措施 办公桌整理办公桌整理办公桌整理办公桌整理uu离开办公桌时应对电脑进行锁屏，离开办公桌时应对电脑进行锁屏，离开办公桌时应对电脑进行锁屏，离开办公桌时应对电脑进行锁屏，进行密码保护，密码实行一年一次变进行密码保护，密码实行一年一次变进行密码保护，密码实行

37、一年一次变进行密码保护，密码实行一年一次变更。更。更。更。uu重要文件或移动媒体应放入带锁的重要文件或移动媒体应放入带锁的重要文件或移动媒体应放入带锁的重要文件或移动媒体应放入带锁的柜子，不得随意放置在办公桌面上柜子，不得随意放置在办公桌面上柜子，不得随意放置在办公桌面上柜子，不得随意放置在办公桌面上uu对重要程度高的文件或移动媒体实对重要程度高的文件或移动媒体实对重要程度高的文件或移动媒体实对重要程度高的文件或移动媒体实施上锁管理，特别必要的场合下，还施上锁管理，特别必要的场合下，还施上锁管理，特别必要的场合下，还施上锁管理，特别必要的场合下，还要保管在耐火、耐热保险库中。要保管在耐火、耐热

38、保险库中。要保管在耐火、耐热保险库中。要保管在耐火、耐热保险库中。Copyright reserved by Ricoh Group ISMS Promotion secretariatCopyright reserved by Ricoh Group ISMS Promotion secretariat日常信息安全措施日常信息安全措施_办公机器的利用办公机器的利用办公机器的利用办公机器的利用1 1）使用完电子白板后，必须把会议内容都清除掉。）使用完电子白板后，必须把会议内容都清除掉。）使用完电子白板后，必须把会议内容都清除掉。）使用完电子白板后，必须把会议内容都清除掉。2 2）复印机、传真机

39、、打印机等的输入输出文件应及时取回。）复印机、传真机、打印机等的输入输出文件应及时取回。）复印机、传真机、打印机等的输入输出文件应及时取回。）复印机、传真机、打印机等的输入输出文件应及时取回。3 3）笔记本电脑使用必须事先申请登记，在得到管理者许可后，）笔记本电脑使用必须事先申请登记，在得到管理者许可后，）笔记本电脑使用必须事先申请登记，在得到管理者许可后，）笔记本电脑使用必须事先申请登记，在得到管理者许可后，方可在指定的时间和区域内使用；使用完毕后需清除添加的内方可在指定的时间和区域内使用；使用完毕后需清除添加的内方可在指定的时间和区域内使用；使用完毕后需清除添加的内方可在指定的时间和区域内

40、使用；使用完毕后需清除添加的内容。容。容。容。4 4）没有得到相应许可，不得把装置、软件、情报带出公司。）没有得到相应许可，不得把装置、软件、情报带出公司。）没有得到相应许可，不得把装置、软件、情报带出公司。）没有得到相应许可，不得把装置、软件、情报带出公司。5 5）公司内不得使用个人记忆设备（）公司内不得使用个人记忆设备（）公司内不得使用个人记忆设备（）公司内不得使用个人记忆设备（U U盘、数码相机、笔记本盘、数码相机、笔记本盘、数码相机、笔记本盘、数码相机、笔记本电脑等）；如业务需要使用，应得到部门长许可，并留下相关电脑等）；如业务需要使用，应得到部门长许可，并留下相关电脑等）；如业务需要

41、使用，应得到部门长许可，并留下相关电脑等）；如业务需要使用，应得到部门长许可，并留下相关记录。记录。记录。记录。Copyright reserved by Ricoh Group ISMS Promotion secretariat日常信息安全措施日常信息安全措施_ 电脑清理电脑清理电脑清理电脑清理电脑中除电脑中除电脑中除电脑中除ITIT预装的软件外，如需安装其它预装的软件外，如需安装其它预装的软件外，如需安装其它预装的软件外，如需安装其它软件应通过软件应通过软件应通过软件应通过ITIT部门实施，不得擅自安装；部门实施，不得擅自安装；部门实施，不得擅自安装；部门实施，不得擅自安装；电脑中本地没

42、有重要类的数据资料；电脑中本地没有重要类的数据资料；电脑中本地没有重要类的数据资料；电脑中本地没有重要类的数据资料；Copyright reserved by Ricoh Group ISMS Promotion secretariatISMSISMS的义务和责任的义务和责任1 1）员工应当于转岗时，或者于部门提出）员工应当于转岗时，或者于部门提出）员工应当于转岗时，或者于部门提出）员工应当于转岗时，或者于部门提出要求时，返还全部属于本部门业务相要求时，返还全部属于本部门业务相要求时，返还全部属于本部门业务相要求时，返还全部属于本部门业务相关的财物，包括记载着公司资料信息关的财物，包括记载着公

43、司资料信息关的财物，包括记载着公司资料信息关的财物，包括记载着公司资料信息的一切载体；并不得以任何形式进行的一切载体；并不得以任何形式进行的一切载体；并不得以任何形式进行的一切载体；并不得以任何形式进行复制和记录。复制和记录。复制和记录。复制和记录。2 2）员工应当于离职时，或者于公司提出）员工应当于离职时，或者于公司提出）员工应当于离职时，或者于公司提出）员工应当于离职时，或者于公司提出要求时，返还全部属于公司的财物，要求时，返还全部属于公司的财物，要求时，返还全部属于公司的财物，要求时，返还全部属于公司的财物，包括记载着公司资料信息的一切载体；包括记载着公司资料信息的一切载体；包括记载着公

44、司资料信息的一切载体；包括记载着公司资料信息的一切载体；并不得以任何形式进行复制和记录。并不得以任何形式进行复制和记录。并不得以任何形式进行复制和记录。并不得以任何形式进行复制和记录。3 3）员工在离职后，仍应承担保密公司机）员工在离职后，仍应承担保密公司机）员工在离职后，仍应承担保密公司机）员工在离职后，仍应承担保密公司机密情报的义务。密情报的义务。密情报的义务。密情报的义务。转岗或离职转岗或离职Copyright reserved by Ricoh Group ISMS Promotion secretariat违反违反ISMS规定及要求的处理规定及要求的处理_对员工处罚：违纪行为发生后，

45、对员工处罚：违纪行为发生后，对员工处罚：违纪行为发生后，对员工处罚：违纪行为发生后，ISMSISMS事事事事务局告知员工所在部门的部门长（告知务局告知员工所在部门的部门长（告知务局告知员工所在部门的部门长（告知务局告知员工所在部门的部门长（告知形式：口头或书面）；之后形式：口头或书面）；之后形式：口头或书面）；之后形式：口头或书面）；之后ISMSISMS事务局事务局事务局事务局以书面形式告知人事部门，由人事部门以书面形式告知人事部门，由人事部门以书面形式告知人事部门，由人事部门以书面形式告知人事部门，由人事部门核实或根据人事部门所掌握的情况，按核实或根据人事部门所掌握的情况，按核实或根据人事部门所掌握的情况，按核实或根据人事部门所掌握的情况，按照照照照员工行为准则员工行为准则员工行为准则员工行为准则 视情节的严重和当事视情节的严重和当事视情节的严重和当事视情节的严重和当事人的认识态度给与相应的处罚人的认识态度给与相应的处罚人的认识态度给与相应的处罚人的认识态度给与相应的处罚。Copyright reserved by Ricoh Group ISMS Promotion secretariatCopyright reserved by Ricoh Group ISMS Promotion secretariat疲疲疲疲！質問？質問？質問？質問？