个人信息安全
随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长,同时黑客攻击和大规模的个人信息泄露事件频发,与各种网络攻击大幅增长相伴的,是大量网民个人信息的泄露与财产损失的不断增加。根据公开信息,2011年至今,已有11.27亿用户隐私信息被泄露。包括基本信息、设备信息、账户信息、隐私信息、社会关系信息和网络行为信息等。人为倒卖信息、手机泄露、PC电脑感染、网站漏洞是目前个人信息泄露的四大途径。个人信息泄露危害巨大,除了个人要提高信息保护的意识以外,国家也正在积极推进保护个人信息安全的立法进程。
个人信息主要包括以下类别:
1.基本信息。为了完成大部分网络行为,消费者会根据服务商要求提交包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等在内的个人基本信息,有时甚至会包括婚姻、信仰、职业、工作单位、收入等相对隐私的个人基本信息。
2.设备信息。主要是指消费者所使用的各种计算机终端设备(包括移动和固定终端)的基本信息,如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息、操作系统版本等。
3.账户信息。主要包括网银帐号、第三方支付帐号,社交帐号和重要邮箱帐号等。
4.隐私信息。主要包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等。
5.社会关系信息。这主要包括好友关系、家庭成员信息、工作单位信息等。
6.网络行为信息。主要是指上网行为记录,消费者在网络上的各种活动行为,如上网时间、上网地点、输入记录、聊天交友、网站访问行为、网络游戏行为等个人信息。
随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长,同时黑客攻击和大规模的个人信息泄露事件频发,与各种网络攻击大幅增长相伴的,是大量网民个人信息的泄露与财产损失的不断增加。
《经济参考报》记者日前采访获悉,目前信息安全“黑洞门”已经到触目惊心的地步,网站攻击与漏洞利用正在向批量化、规模化方向发展,用户隐私和权益遭到侵害,特别是一些重要数据甚至流向他国,不仅是个人和企业,信息安全威胁已经上升至国家安全层面。
从补天漏洞响应平台上收录的数据显示,目前该平台已知漏洞就可导致23.6亿条隐私信息泄露,包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。导致大量数据泄露的最主要来源是:互联网网站、游戏以及录入了大量身份信息的政府系统。根据公开信息,2011年至今,已有11.27亿用户隐私信息被泄露。
这个数据意味着,我们几乎每一个上网的人,自己的信息都可能已经在不知不觉中被窃取甚至利用。
如何防止个人信息泄露
1.公共场合WiFi不要随意链接,更不要使用这样的无线网进行网购等活动。如果确实有必要,最后使用自己手机的3G或者4G网络。
2.手机、电脑等都需要安装安全软件,每天至少进行一次对木马程序的扫描,尤其在使用重要账号密码前。每周定期进行一次病毒查杀,并及时更新安全软件。
3.来路不明的软件不要随便安装,在使用智能手机时,不要修改手机中的系统文件,也不要随便参加注册信息获赠品的网络活动。
4.设置高保密强度密码,不同网站最好设置不同的密码。网银、网购的支付密码最好定期更换。
5.尽量不要使用“记住密码”模式,上网后注意个人使用记录。
6.到正规网站购物。查看消息或者浏览视频时,一定要去正规的网站,有时安装了杀毒软件,也不能保证电脑不会感染病毒。尤其是购物的时候,会涉及到网上支付,使用正规且有保障的网站,安全系数更高。
7.不随意打开陌生邮件。不随意接收或打开陌生邮件,打开邮箱,看到陌生人发来的邮件千万不能轻易打开,尤其是看到中奖或者是奖品认领等带有诱惑性信息的内容。
8.在处理快递单、各种账单和交通票据时,最好先涂抹掉个人信息部分再丢弃,或者集中起来定时统一销毁。
9.网购东西填写的地址可以考虑填写单位的地址,让快递员将商品送到单位,而不要送到住宅,特别是单
身女性尤其要注意。
10.在使用公共网络工具时,下线要先清理痕迹。如到复印店打印材料,打印完毕后要确保退出邮箱,有QQ号码的,退出时要更改登录区设置有“记住密码”的电脑设置。
11.在上网评论朋友微博、日志、图片时,不要随意留下朋友的个人信息,更不要故意公布他人的个人信息。
12.在网络上留电话号码,数字之间可以用“-”隔开,避免被搜索引擎搜到。
13.身份证、户口本等有个人信息的证件,一定要保存好。
14.微博具有手机签到功能,能显示机主所处位置,不少年轻人热衷于晒地点、晒自拍照,还有家长喜欢
晒孩子照片等。这种手机签到可能被别有用心的人盯上。一方面暴露了个人隐私,比如姓名、工作单位、家庭
住址等,另一方面可能招致犯罪,在网上使用手机签到时,需要谨慎。
信息安全的定义:是指防止信息在采集、加工、存储、传输四个过程中的信息数据被故意或偶然的非授权
泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。
缺乏安全意识是最大的安全问题:
认为安全是系统管理员的事
随意下载机密信息到本地
共享信息时不做任何安全限制
随意让他人使用自己的机器
随意执行不清楚用途的应用程序
随意的口令管理
四禁止、三不准、三必须
1. 禁止用非涉密机处理涉密文件
2. 禁止移动存储介质未经处理在内、外网之间交叉使用
3. 禁止在外网上处理和存放内部文件资料
4. 禁止用插头转换方式切换内外网
5. 非工作笔记本电脑不准与内网连接
6. 交换工作文件不准使用个人U盘
7. 非税务工作人员未经许可不准使用内部网络
8. 所有工作用机必须设置开机口令 且口令长度不得少于8位
9. 所有保密设备必须粘贴保密标识
10. 外网向内网复制数据必须通过刻录光盘单向导入。
2.1个人信息安全保护的是什么
在当今信息化的社会中 信息对于国家、单位和个人的价值越来越高。对于一个国家信
息关系到领土完整、社会稳定 对于一个单位信息关系到业务目标的实现 对于个人信息关系到事业的发展 生活的幸福。如果一个国家的军事部署信息被泄露了 在战争中就会处于被动 如果一个单位的信息系统不能正常工作了 生产活动就会陷入瘫痪 如果一个个人
银行账户信息被篡改了 就会受到严重的经济损失。
对于税务系统的工作人员 信息安全就是保护涉及秘密或者敏感的工作数据不被窃取、
篡改或破坏 个人工作用的计算机软硬件可以持续稳定运行。税务系统工作人员的信息安全不仅关系到个人数据的安全 还会影响整个部门的信息安全。个人计算机作为税务信息系统的一个组成部分 如果出现安全漏洞 就可能成为信息安全防护的薄弱环节 被窃密或破坏
分子利用对整个系统造成破坏。
税务工作人员需要重点保护的信息包括 涉及国家秘密的信息、内部工作文件 包括起
草中未发布的政策性文件 、业务数据 如纳税人的涉税信息、发票信息、统计分析数据等 、
内部行政信息 如人事、财务、纪检、监察等信息 、其它不宜公开或遭到破坏后严重影响工作的内部信息。
2.2税务机关环境下个人信息面临哪些威胁
税务机关的信息系统 由服务器、个人计算机、打印机等其他终端设备和连接它们的网
络系统构成。国家税务机关的网络系统一般分为内网和外网。各级税务机关内网是全国税务系统重要的组成部分之一 承载着税收业务、行政办公等类业务应用系统。内网连接着全国所有的省级国税局和地税局 我们把这种连接称为纵向连接 内网还连接着人民银行、海关、公安、质检、市委市府等其它机构 我们把这种连接称为横向连接。外网连接着互联网 承载着网上办税系统和12366税收服务系统 向广大纳税人和社会提供纳税申报、税款征收
和税收政策咨询等服务 还承载着电子邮件等互联网应用系统。
我们的个人计算机连接在网络上 所以面临着来自网络的威胁。计算机、移动存储介质
是以物理实体形式存在的 所以还面临着丢失、被盗和窃用等传统的安全威胁。特别需要注意的是 虽然我们对内外网进行了划分 采取了一些物理隔离的手段 但由于非法外联和移
动存储介质的不当使用 内网计算机仍然面临着来自互联网的威胁。
具体的说税务机关环境下个人信息可能面临以下安全威胁
1、外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机中存放的敏
感信息
2、外部人员非法接入税务系统内网或直接操作内网计算机窃取、篡改或破坏敏感信息
3、外部人员盗窃笔记本电脑、U盘等移动计算和存储设备窃取敏感信息
4、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏
5、内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏
2.3哪些个人行为可能引发信息安全事件
我们在工作中由于缺乏安全意识或为了一时之便而采取的个人行为 可能会引发严重的
信息安全事件 应当尽量避免 比较典型的不当行为主要包括
行为类别
具体行为
危害
1
、非法外联
使用内网计算机接
入外网
使内网计算机的数据面临外网攻击
内网计算机通过无
线网卡接入互联网
破坏了税务
机关
内外网的物理隔离 个
人计算机面临外网攻击的同时 为来自外网的
攻击内网敞开了大门
不使用隔离卡而直
接内外网
使用隔离卡切换 相当于使用两台计算机分别接入内外网 而拔插网络插头切换相当于将
内外计算机接入外网 或将
外网计算机接入了内网
2
、移动介质混用
将外部
U
盘、外网移
动硬盘等移动存储
介质直接接入内网
机
可能将外网的病毒携带进内
网
有一些
U
盘病毒可以在你不知情
的情况下将计算机内的文件复制在U
盘上
U
盘在接入外网时就会通
过外网传输给攻击者
将内网专用的移动
存储介质直接接入
外网计算机
可能使内网
U
盘在外网感染病毒
后携带回内网
如果内网
U
盘上储存有内部工作
信息 可能通过外网泄露出去
属于个人的
U
盘用
于办公环境或将
单
位
配发的工作用
U
盘在个人、亲友的计
算机上使用
将外来的病毒携带入工作网络
工作文件通过私人电脑泄露出去
3
、密码使用不当
登录密码复杂度不
够
可以使攻击者在比较短的时间内猜测出你的密码
登录密码长时间不
更换
给密码破解这更多的时间来破解你的密码
将个人密码告诉其
可能给他人非法使用你的计算机或应
1.应该如何保护我们个人信息安全? 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时,最安全的办法就是将该计算机与其他上网的计算机切断连接。这样,可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说,网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时,使用加密技术。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,发送方使用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,使用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他也只能得到无法理解的密文,从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料,不要随便在网络上泄露包括电子邮箱等个人资料。现在,一些网站要求网民通过登记来获得某些“会员”服务,还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意,要养成保密的习惯,仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话,可以化被动为主动,用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时,可以简单地改动姓名、邮政编号、社会保险号的几个字母,这就会使输入的信息跟虚假的身份相联系,从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼,不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料,在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中。在保护网络隐私权方面,防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件,反制Cookie和彻底删除档案文件。如前所述,建立Cookie 信息的网站,可以凭借浏览器来读取网民的个人信息,跟踪并收集网民的上网习惯,对个人隐私权造成威胁和侵害。网民可以采取一些软件技术,来反制Cookie软件。另外,由于一些网站会传送一些不必要的信息给网络使用者的计算机中,因此,网民也可以通过每次上网后清除暂存在内存里的资料,从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护,除了对未成年人进行隐私知识和媒介素养教育外,应在家长或监护人的帮助下,借助相关的软件技术进行。
信息安全培训试题 一、单选 1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是(A)。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理
系统持续性管理C. D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。 A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等
信息科技审计制度和流程的实施,制订和执行信息科技审计计划D 等 7、信息科技风险管理策略,包括但不限于下述领域(C)。 A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全 B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。定义每个业务级别的控制内容,包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权(C)为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的(D)等,定期进行更新和公示A信息科技风险管理制度 B 技术标准
中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。 第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。 第二章组织保障 第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B 岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十二条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: 组织落实上级信息安全管理规定,制定信息安全管理制 度,协调部门计算机安全员工作,监督检查信息安全保障工作。 审核信息化建设项目中的安全方案,组织实施信息安全保 障项目建设,维护、管理信息安全专用设施。 检测网络和信息系统的安全运行状况,检查运行操作、备 份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 四)定期组织信息安全宣传教育活动,开展信息安全检查、评 估与培训工作。 第十三条信息安全管理人员在履行职责时,确因工作需要查询相关涉密
涉及“信息安全”的典型案例 1、统计局CPI数据泄露事件5人被立案侦查 在北京市检察机关2011年“举报宣传周”活动新闻发布会上,市检反渎职侵权局局长张华伟披露,北京检方已介入CPI数据泄露一案。目前,包括国家统计局办公室一名秘书在内的5名相关人员,均已被立案侦查。 新闻发布会上,记者提问国家宏观经济数据(CPI数据)被泄露一案的最新进展,市检反渎职侵权局局长张华伟就此介绍称,对于媒体披露的国家统计数据泄露问题,目前泄露国家秘密的问题比较突出。对于这起案件,检察机关已会同国家保密部门进行调查,目前已经立案5件,涉及5人。 张华伟随后解释称,由于涉案的5人分别来自不同部门,因此立了5个案子。这其中,包括国家统计局新闻发言人盛来运此前披露的“国家统计局办公室一秘书涉嫌泄露国家秘密案”。 有媒体称,今年3、4月份,国家统计局办公室一名秘书与央行研究局宏观经济研究处一副研究员因涉嫌数据泄密被有关部门带走调查。而今年6月8日,路透社再次抢先发布我国经济数据,预测中国5月份CPI较上年同期上涨5.4%,将追平3月份创下的32个月高位;彭博社也发布经济学家对宏观数据的预测值称,5月份的中国CPI同比涨幅为5.5%,这与国家统计局官方发布的中国5月CPI相关数据一致。 据统计,2008年以来,路透社已累计7次精准地“蒙对”了我国的月度CPI数据。 提前泄露的数据信息,可能意味着可观的经济利益多位业界分析人士在接受媒体采访时都认为,对一些经济机构来说,提前掌握宏观经济数据,有利于提前采取行动规避风险或谋取利益,尤其是一些和CPI联系紧密的金融产品,受CPI数据影响极大,提前获知CPI数据尤为重要。另外,从宏观层面上来说,国家宏观经济数据屡屡提前泄露,还会影响国家的经济安全。 2、雷诺陷“电动车泄密门” 环球网2011年1月7日消息报道,雷诺日前因怀疑旗舰电动车型开发项目泄密,对包括一名管理委员会成员在内的三名高管展开了调查,这三名嫌疑人目前已经被停职处理。消息人士透露,内部调查还在继续,但公司在未来几天内就有可能做出决定。如果查证这三名高管泄漏电动车研发机密,将被很快辞退。 法国工业部长贝松(Eric Besson)表示,这是一起性质十分严重的泄密事件,代表了整个法国工业所面临的工业间谍以及经济情报的风险。 据内部人士透露,涉案人员中级别最高的是高级工程部门副总裁米歇尔.巴瑟扎德
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。 2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据
泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
附件 省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
X X银行员工信息安全行为规 范 标准化文件发布号:(9312-EUATWW-MWUB-WUNN-INNUL-DQQTY-
XX银行科技开发部员工信息安全行为规范 第一章总则 第一条为提高总行科技开发部员工(包括行内员工、在我行工作的外部员工)的信息安全意识,规范员工的行为,指导员工合理、安全地使用信息资产,防止有意或无意的破坏信息安全行为的发生,保护我行信息资产安全,制定本规范。 第二条员工应主动了解本我行信息安全管理相关规定,积极参与我行组织的信息安全培训,提升信息安全意识和技能,并严格遵守我行信息安全要求。 第二章资产管理声明 第三条禁止利用我行资产(包括我行配发的计算机、手机等个人终端设备)处理个人事务,以避免我行在信息安全管理中触及个人隐私。第四条员工利用我行的资产所产生、处理和存储的一切信息,其所有权归我行拥有。 第五条我行出于对运营管理、安全管理和司法调查取证等需要,保留在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。 第三章工作环境安全要求 第六条进入我行工作区域时,应规范佩戴我行认可的身份识别证件或按照我行相关管理规定登记并获得许可后方可进入。
第七条应遵守安全区域访问规定,进出非授权区域时,需按照我行相关规定经相关责任人批准。 第八条员工应安全保管身份识别证件,丢失后及时向发证部门报告,禁止将身份识别证件借与他人使用;调离我行时,应主动交还我行配发的身份识别证件。 第九条我行内调动或更换工作区域时应主动申请门禁权限变更。 第十条若发现任何可疑人员进入我行或进行非授权活动,要立即制止,并报告相关部门。 第十一条启用门禁的区域进出时要防止人员尾随,进出后应及时关闭。 第四章用户账号安全 第十二条任何账号仅限申请账号时批准的所有者在授权范围内使用,严禁使用账号访问未授权的资源,账号所有者承担使用该账号所产生的一切责任和后果。 第十三条账号正式启用前,必须为账号添加密码或修改缺省密码,密码应具有足够的安全强度;对于重要核心系统的密码,应加强密码复杂度和密码长度。 第十四条具有足够强度密码设置要求如下: (一)口令最小长度:8位 (二)口令字符组成复杂度:口令由数字、大小写字母及特殊字符,
互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等 级保护基本要求) 3术语和定义 3.1 个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法,第七十六条(五)] 注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017,定义3.5] 3.6 个人信息使用
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水
平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
XX银行科技开发部员工信息安全行为规范V1.0 第一章总则 第一条为提高总行科技开发部员工(包括行内员工、在我行工作的外部员工)的信息安全意识,规范员工的行为,指导员工合理、安全地使用 信息资产,防止有意或无意的破坏信息安全行为的发生,保护我行 信息资产安全,制定本规范。 第二条员工应主动了解本我行信息安全管理相关规定,积极参与我行组织的信息安全培训,提升信息安全意识和技能,并严格遵守我行信息 安全要求。 第二章资产管理声明 第三条禁止利用我行资产(包括我行配发的计算机、手机等个人终端设备)处理个人事务,以避免我行在信息安全管理中触及个人隐私。 第四条员工利用我行的资产所产生、处理和存储的一切信息,其所有权归我行拥有。 第五条我行出于对运营管理、安全管理和司法调查取证等需要,保留在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。 第三章工作环境安全要求 第六条进入我行工作区域时,应规范佩戴我行认可的身份识别证件或按照我行相关管理规定登记并获得许可后方可进入。
第七条应遵守安全区域访问规定,进出非授权区域时,需按照我行相关规定经相关责任人批准。 第八条员工应安全保管身份识别证件,丢失后及时向发证部门报告,禁止将身份识别证件借与他人使用;调离我行时,应主动交还我行配发的身份识别证件。 第九条我行内调动或更换工作区域时应主动申请门禁权限变更。 第十条若发现任何可疑人员进入我行或进行非授权活动,要立即制止,并报告相关部门。 第十一条启用门禁的区域进出时要防止人员尾随,进出后应及时关闭。 第四章用户账号安全 第十二条任何账号仅限申请账号时批准的所有者在授权范围内使用,严禁使用账号访问未授权的资源,账号所有者承担使用该账号所产生的一切责任和后果。 第十三条账号正式启用前,必须为账号添加密码或修改缺省密码,密码应具有足够的安全强度;对于重要核心系统的密码,应加强密码复杂度和密码长度。 第十四条具有足够强度密码设置要求如下: (一)口令最小长度:8位 (二)口令字符组成复杂度:口令由数字、大小写字母及特殊字符,
保护个人信息安全的六大措施 现今,数据泄露渐成常态,在此种环境下,如何保护个人的信息安全,成为每个人都应该注意并为之采取措施的问题。 1.网上注册内容时不要填写个人私密信息 互联网时代用户数和用户信息量已然和企业的盈利关联了起来,企业希望尽可能多地获取用户信息。但是很多企业在数据保护上所做的工作存在缺陷,时常会有用户信息泄露事件发生,对于我们普通用户而言,无法干预到企业的采取数据安全保护措施,只能从己方着手,尽可能少地暴露自己的用户信息。 2.尽量远离社交平台涉及的互动类活动 现在很多社交平台,会有一些填写个人信息即可生成有趣内容并可以和朋友分享的活动,看似有趣的表面,实质上却以游戏的手段获取了大量的用户信息,遇到那些奔着个人隐私信息去的“趣味”活动,建议不要参与。 3.安装病毒防护软件 不管是计算机还是智能手机,都已经成为信息泄露的高发地带,往往由于不小心间点击一个链接、下载一个文件,就成功被不法分子攻破,安装防病毒软件进行病毒防护和病毒查杀成为设备使用时的必要手段。 4.不要连接未知WiFi 现在公共场所常常会有些免费WiFi,有些是为了人们提供便利而专门设置的,但是不能忽视的是不法分子也会在公共场所设置钓鱼WiFi,一旦连接到他们的钓鱼WiFi,我们的设备就会被他们反扫描,如果在使用过程中输入账号密码等信息,就会被对方获得。在公众场所尽量不要去连接免费WiFi。 5.警惕手机诈骗 科技在进步,骗子的手段也变得层出不穷,常见莫过于利用短信骗取手机用户的信息。更有可能进行财产诈骗,让受害者遭受重大损失。警惕手机短信里的手机账户异常、银行账户异常、银行系统升级等信息,有可能是骗子利用伪基站发送的诈骗信息。遇到这种短信不要管它,去联系官方工作人员,询问情况。 6.妥善处理好涉及到个人信息的单据 在快递单上会有我们的手机、地址等信息,一些消费小票上也包含部分姓名、银行卡号、消费记录等信息,翼火蛇提示对于已经废弃掉的单据,需要进行妥善处置。
中小商业银行信息安全体系构架思路 2009-03-24CBSi中国·https://www.doczj.com/doc/a110834177.html,类型: 转载来源: 睿商在线 中小银行所面临的信息安全风险 大多数中小商业银行网络系统是于近几年规划建设实施的生产、办公、通信综合系统网络。随着银行业务范围的不断扩展,业务应用的不断深入,IT 需求不断增加,网 络系统逐步显现出可管理性差、攻击防护设备老化等安全隐患,监管部门也进行了信息安全风险的相关提示。为此,结合呼和浩特市商业银行的现状,谈一谈中小商业银行信息安全体系建设的思路。 一、中小银行所面临的信息安全风险 随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式。随着网络技术在金融行业的全面应用,大大提高了金融行业的业务处理效率和管理水平,促成了各项创新的金融业务的开展,改善了整个金融行业的经营环境,增强了金融信息的可靠性,使金融服务于社会的手段更趋现代化。但是,同其他任何行业一样,网络安全风险伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落。 金融行业IT 系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标, 面临的网络安全风险叙述如下八类: 1、非法访问:现有网络设备本身具备一定的访问控制能力,而这些访问控制强度 较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面金融行业(如银行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过这些接口攻击银行,造成巨大损失。 2、失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密 码,破解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。 3、信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信息。
银行征信信息安全自查汇报 银行征信信息安全自查报告1 一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。 二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。 并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。 三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。 四、现我行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。五、对其查询的个人与单位征信,本着全面、客观、合理的原则对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征信系统存在负面数据为由,正确使用征信系统,合规开展征信业务。 六、对个人贷款户进行贷款后管理查询,严格按照主管授权制 度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则
办理查询业务。 自查人:xx (二)系统管理情况我行健全内部控制制度, 通过权限管理设置, 加强对X-PAD 系统、CRM系统、个人征信信息系统的管理,系统的使用人员都经过了严格的审批程序,并明确了管理责任, 确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露和盗用。今年以来,我行通过对个人客户经理的风险排查和对基层网点常规业务检查对涉及个人金融信息的保密环节进行了自查和检查,目前尚未发现个人信息泄漏的情况。 (三)重点业务和关键环节的检查情况2 为强化内部控制,加强个人金融业务操作风险管理,促进个人金融业务又好又快发展,预防和遏制由于内部监督控制不力、违规操作而导致的重大风险,个金部将重点业务和关键环节的检查均纳入检查计划作为常规检查项目,认真开展个人金融业务的检查。 1 、银行卡业务管理 (1)在发卡审核环节,对所有申请进件进行了100%电核,对有疑问的或批量进件由风险人员和直销领队上门核实包括真实性,所有进件均实行了“三亲见”制度,并通过身份联网核查和人行征信系统进行了身份核查和征信调查。 (2)我行严把特约商户准入关。按照各级监管部门的有关规定, 正确使用和设置特约商户的结算账户。落实特约商户实名制,在充分了解核实商户相关信息的同时,在人民银行联网核查系统和中国银联的不良信息系统核实商户法定代表人或负责人、授权经办人的个人身份和资信。严格执行商户调
个人信息的保护和安全 措施 Document number:PBGCG-0857-BTDO-0089-PTT1998
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。
2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成 的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安 全领导小组颁布的相关管理制度及要求在本部室的落实。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见 《XX银行员工信息安全手册》。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员每年至少参加一次信息安全相 关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管 理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理 制度,协调信息安全领导小组成员工作,监督检查信息安全管理
银行信息安全员工述职报告 我是20xx年开始担任支行xxx,至今已四年。四年,在人生的旅途中只不过是短暂的一瞬间,但对我个人来讲却是终生难忘的历程。回想这四己的工作和学习生涯,有喜有忧,有坎坷,也有收获,不再一一列举。但是我想说明的是,成绩是来之不易的,这里面包含着行领导的正确领导和今天在座的全行干部职工的帮助和支持。这四年来,我作为科技专管员,只不过是做了一些应该做的工作,具体的可以概括为如下几个方面: 银行科技工作中,安全为首要任务,科技工作的成果就在于各 种银行业务都能正常无事故的顺利开展。首先,保障安全的最有力手段就是制度,我本着这一原则,制定了我行计算机方面的各种制度和措施,强调了科技工作的必要性和重要性,将制度、责任细化,责任到人,在管理层面有了明确的管理分工,使科技工作在有序的环境下 进行。并且,在各部门共同配合下,保障了各项制度的贯彻执行。全年没有发生一起重大计算机安全责任事故,各项系统运行平稳,运行质量明显有所提高。 随着推广的应用系统和新产品的不断增多,保障各项系统安全 平稳运行成为我们的基本工作任务,我们始终把计算机系统安全运行管理摆在各项安全生产工作的首位,加大了对系统运行的技术支持力度,一是我行的网络线路已全部更新为光纤(双回路)线路,从很大程
度垫定了我行业务系统的稳定和高效运行的基础.二是加大了对我行计算机安全工作的检查的力度,从管理和技术着手,切实保障了系统、你对本文还满意吗 ?不满意里面还有呢,请看设备的安全。三是针对目前运行中存在的问题,自已能解决的马上解决,解决不了的及时市分行科技处反映帮助解决。四是规范运行维护流程,全面提高了应用水平,确保了各项应用系统安全、平稳、高效运行。 xx年自助查询机、POS机、网上银行等这些新产品得到了及时的上线,丰富了我行的产品线,增强了服务功能,逐步建立了一定的市场竞争优势,对于将来改善我行的客户结构起到了重要的推动作用和支撑作用。 网络和信息系统的安全稳定运行是科技工作的命脉,只有整个信息系统保持稳定、连续、高效的运行,我们才能在这个基础上谈下一步的发展,才能够充分发挥已有的和新开发的业务产品的作用。 一直以来,我十分注意提高自己的业务能力,不断培养自己做到思想上自律、学习上主动、工作上富有创造性。平时在工作中做到勤于实践,敏于思考,勇于创新。身为一名科技人员,要求我针对事务实事求是,要有脚踏实地的工作作风和务实的工作态度。始终坚持自警、自励、自省、自勉。事事服从行领导的安排,将行里的精神和
-2014 信息安全管理练习题判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是( D )。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是( B )。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国( A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是( A )。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施,
解读国标T信息安全技 术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:安全事件应急处置和报告 对个人信息控制者的要求包括:
ⅩⅩ信息安全实务手册测试题及答案 单选题(共31题) 1.以下关于UPS电源的使用事项,正确的有:(D) ①UPS的使用环境应注意通风良好,利于散热,并保持环境的清洁。 ②切勿在UPS电源上使用大功率电器产品,如点钞机、日光灯、空调、电水壶等。禁止超负载使用,以免造成损坏。 ③严格按照正确的开机、关机顺序进行操作。不要频繁地关闭和开启UPS电源,一般要求在关闭UPS电源后,至少等待1分钟后才能再次开启。 ④适当的放电有助于电池的激活。如果长期不停电工作,应该每隔三个月人工放电一次,这样可以延长电池的使用寿命。 ⑤放电后应及时充电,避免电池因过度放电而损坏。 A.①③④ B.①②⑤ C.②③④⑤ D.①②③④⑤ 2、.桌面安全软件可以用于:(C) A.防止病毒 B.查杀木马 C.更新系统补丁 D.文档编辑 3.查看进程的方式是:(B)
A. Ctrl + Shift+ Delete B. Ctrl+ Alt+ Delete C. Shift+ Alt+ Delete D. Ctrl+ Alt+ Shift 4.如何对当前活动窗口截图?(C) A. Print Screen B. Ctrl +Print Screen C. Alt +Print Screen D. Shift +Print Screen 5.什么情况下,不需要自行设置IP地址?(A) A.路由器设置为自动获取IP B.计算机重新安装了操作系统 C.IP地址被恶意篡改 D.管理员进行了IP地址重分配 7.开启防火墙的作用为:(D) A.查杀病毒 B.查杀木马 C.过滤垃圾邮件 D. 保护电脑免受外界的非法侵入 8.以下哪些行为可以防范U盘病毒的入侵?(A) A.关闭自动播放 B.关闭远程登陆 C.关闭共享目录 D.禁用来宾账号 9.以下关于口令的说法,错误的是:(B) A. 口令最小长度为6位。 B. 为避免遗忘,设置为生日、电话号码等容易记忆的内容。 C. 包含数字、大小写字母及特殊符号中的任意两种字符。 D. 最长90天进行一次口令更改。 10.以下哪个为强口令?(C) A. abcdef B. asdfgh C.Adg54_6Y D.987654 11.怎样才能避免访问到钓鱼网站?(C) ①不要轻易回复或者点击邮件的链接。 ②若想访问某个公司的网站,使用浏览器直接输入网址进行。 ③对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。 ④对于银行发来的手机短信,应认真核实短信的来源。