支撑业务安全高效运转，上海CA组织全员信息安全意识培训

支撑业务安全高效运转，上海CA组织全员信息安全意识培训

发布时间：October 13, 2021

网络安全为人民，网络安全靠人民。一年一度的国家网络安全宣传周如约而至，为积极响应国家号召，加大网络安全知识学习和宣传力度，2021年10月13日，上海CA邀请了上海境领信息科技有限公司的专业讲师为公司全体员工进行“信息安全意识培训”，以此进一步强化全体员工的安全意识，提升员工风险管控能力，实现对业务的高效支撑。

 

培训内容涵盖信息安全的基本概念、企业和个人面临的信息安全风险、信息安全制度与标准、信息安全问题应对策略等方方面面。此次培训突破传统授课方式，通过丰富的案例、生动形象的交互式讲授，为大家传授了专业且全面的信息安全知识。

信息安全的基本概念

信息安全，ISO（国际标准化组织）的定义为：为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

企业信息安全包含了资产管理、人员安全、物理安全、网络安全等多个组成部分。如果企业对信息保护不妥当，很有可能陷入非法利用信息网络、帮助信息网络犯罪等刑事案件。

 

根据《较高人民法院较高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》 拒不履行信息网络安全管理义务，致使用户信息泄露，具有下列情形之一的，应当认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”：

（一）致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;

（二）致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;

（三）致使泄露第一项、第二项规定以外的用户信息五万条以上的;

（四）数量虽未达到第一项至第三项规定标准，但是按相应比例折算合计达到有关数量标准的;

（五）造成他人死亡、重伤、精神失常或者被绑架等严重后果的;

（六）造成重大经济损失的;

（七） 严重扰乱社会秩序的;

（八）造成其他严重后果的。

企业面临的信息安全风险

当前，全球面临着越来越严峻的网络安全威胁，随着企业数字化、自动化、智能化水平的快速提升，组织业务对信息安全的依赖程度也越来越高。

由于不同安全域之间的网络连接没有有效的访问控制措施，来自互联网访问的潜在扫描攻击、DOS攻击、非法侵入等，网络病毒的传播与定向网络攻击，系统安全风险，企业内部日常信息传递的风险……企业在当下复杂的网络社会面临各种各样的信息安全风险。

 

 

此外，尤其值得注意的是因人而起的企业信息安全风险，如：

（一）非企业用户有可能假冒企业用户身份，发送虚假信息，给正常的生产经营秩序带来混乱；

（二）黑客通过破解某一员工的电脑，进入企业系统，窃取企业机密或扩散病毒；

（三）企业员工点击仿冒内部人员的邮件，安装病毒软件造成病毒扩散；

……

 ▲信息的每个生命周期都和人息息相关

信息安全制度与标准

近年来，全球诸多巨头公司都遭遇了严重的信息泄露事件，诸如2018年8月3日晚接近夜间，台积电位于台湾北、中、南三处重要的生产基地遭遇勒索病毒。病毒入侵了台积电生产线，营运总部遭遇勒索病毒入侵，导致台积电生产线全线停摆，损失约17.4亿元人民币。为了充分保障用户信息安全，我国从已经出台的《网络安全法》，到《数据安全法》，再到将于2021年11月1日正式实施的《个人信息保护法》都彰显着我国对数据安全保护力度正逐步加码。

对于企业而言，传统的数据保护是把数据锁起来，相当于一个保险箱，属于静态管理。而现在，数据要在创建、使用、存储、修改、销毁等整个信息全生命周期中，在由个人、企业、中间服务商等多方主体共用的前提下确保安全，这对于企业来说也是个挑战。

 

因此，企业应当建立一定的数据安全制度与标准。除了对数据进行分级分类，对重要数据资产进行多重保护外，还需要采用身份鉴别、数字证书、安全网关、加密算法等技术手段来支撑企业的信息安全制度与标准。

发生信息安全问题时的应对措施

无论是个人还是企业，当我们面临勒索病毒攻击后应该快速响应并将危害尽量降到较低，具体步骤可参考：

 

此次信息安全意识培训，为提升上海CA员工认知、提高信息安全事故对组织危害的重视度、掌握信息安全事故的防控手段等具有重要意义。在网络安全被提升到国家安全高度的当今社会，上海CA等数字信任服务提供商更应在信息安全意识方面先行一步，将信息安全融入员工的普遍认知，以巩固与强化并践行到实操层，通过全员信息安全意识的持续强化及关键行为上的督促，实现信息安全“人防”，保障业务高效稳定的运营与支撑。