信息安全培训教材.docx

信息安全培训教材.docx

《信息安全培训教材.docx》由会员分享，可在线阅读，更多相关《信息安全培训教材.docx（18页珍藏版）》请在冰豆网上搜索。

信息安全培训教材

培训教材

前言

为确保信息安全，每位员工的配合是非常重要的。

近年，对电脑，英特网，邮件等的利用已经深入到了人们的生活中，大量的电子化信息也被广泛利用。

为了保护好这些信息，虽然已导入了杀毒软件及加密软件等措施，但是，无论导入多么优良的设备、软件，如果使用相关信息及机器的人对信息安全没有认识的话，其效果有很大的不同。

为确保信息安全，大家每一位对其的正确理解和推进是不可缺的。

为此，请通过本教育好好学习并掌握维护情报信息安全所需的知识。

那么，我们开始吧。

第一章：

信息安全

【问题１】有关信息安全，下面所述的事项是否正确？

在公司的电脑上浏览个人感兴趣的网页或者在论坛上发表评论，如果是午休时间的话就没有问题。

×　不正确。

即使是午休时间，也禁止利用电脑，英特网，邮件等公司的设备进行和工作无关的个人活动或者以营利为目的的活动。

【注解】

仅仅在英特网上进行浏览都会被感染上病毒等，因为有很多危险的网页，浏览个人感兴趣的网页会成为感染病毒的原因。

另外，在网络论坛上发表的评论即使是匿名也可以根据IP地址很容易地知道东芝电梯曾经登陆过该论坛，这样，根据评论的内容，论坛的管理者有可能会跟东芝电梯联系。

这种情况的话，就可以在公司内从浏览日志查出那个人。

如果情况严重的话，将根据就业规则进行处罚。

另外，电子邮件也是一样的道理。

有公司职员发送、接受邮件的记录日志，所以也可以采取上述的措施。

【问题２】有关信息安全，以下所述的事项是否正确？

新买的电脑，因为没有被感染上病毒，所以买进后，即使马上连接到网络上也是没有问题的。

×　不正确。

刚购入的电脑，由于安全措施不充分，所以连接到公司内网络上，可能很容易被感染到病毒。

【注解】

禁止把没有采取安全措施的电脑连接到公司内部的网络上。

新购入的电脑或者长期出差后带回来的电脑等可能安全措施不完善，所以在连接到公司内的网络之前，请让企画管理部IS科进行确认。

《电脑的病毒对策》

∙安装最新的安全补丁

∙导入杀毒软件及更新式样文件

∙导入PC管理工具

（QNDPlus　等）

∙不进行文件共享

（禁止在客户的电脑上进行文件夹共享或者提供Web服务器功能等）

【问题３】有关信息安全，下面所述的事项是否正确？

如果是杂志上附带的CD-ROM或者从网上下载对工作有用的无偿软件，就可以自由地安装在电脑上。

×　不正确。

免费获得的软件里可能存在着带有侦查软件等恶意程序的危险性。

所以对于那些免费的软件，如果没有得到许可，禁止安装在公司的电脑上。

【注解】

不仅免费软件里可能存在有恶意程序的危险性，而且，也有利用免费软件传播病毒的情况，所以，马虎地把免费软件安装到电脑上是非常危险的。

在报纸报道的信息泄漏事件中，也有由于不慎安装了免费软件而导致病毒感染的事例。

【问题４】有关信息安全，下面所述的事项是否正确？

即使不带出公司的电脑，也要设定带密码的屏幕保护。

○　正确。

离开座位等时，电脑显示的画面会被来访人员或者其他人看见。

另外，如果电脑处于可能操作状态的话，就更加提高了被冒充、泄漏信息，被窜改等的危险度。

因此，即使是不带出公司的电脑，也请务必设定带密码的屏幕保护。

【注解】

为了降低手提电脑被盗・丢失的危险,请回家的时候保管在可以上锁的抽屉里。

【问题５】有关信息安全，下面所述的事项是否正确？

因为电脑里设定了开启的电源密码，所以即使电脑丢失了，里面的数据也不会被第三者看见。

×　不正确。

只设定电源开机密码是不够的。

把电脑内的硬盘换装到其他的电脑上，就可以很容易地看到里面的数据。

【注解】

《电脑带出公司时的注意事项》

∙不要保存没有必要的公司信息

∙信息资料要加密保存

∙得到领导的许可

∙乘电车等时不要放在行李架或者脚边，要提在手里

∙平时携带外出时不要存放在公共场所

《万一丢失或者被盗时的对应》

∙向警察挂失

∙向领导汇报

∙联系IS科管理者，使所丢失电脑的IP不可使用

【问题６】有关信息安全，下面所述的事项是否正确？

USB存储器等带出公司时，如果带出的资料不多的话，就没有必要实施密码化等的对策。

×　不正确。

是否需要加密的判断标准不是根据资料量的大小，而是需要根据其是否是对外保密的信息来进行判断的。

【注解】

把公司信息保存在存储介质上带出公司时，为了谨防在丢失或者遭到被盗时，公司信息泄露到外部，所以需要对资料进行加密。

《电子媒体的例子》

∙USB闪存

∙CD

∙DVD

∙软盘

∙外接硬盘（移动硬盘）

《公司信息保存在电子媒体上带出公司时的注意事项》

∙最小限度的保存必要的资料

∙重要资料要设定密码

∙得到领导的许可

∙平时携带外出时不要放置在公共场所

【问题７】有关信息安全，下面所述的事项是否正确？

携带存有公司信息的电脑在回家途中或者出差时被邀请去参加酒席时，要是只是一点点的话，即使去参加也没关系。

×　不正确。

尽管认为只喝一点点的话没问题，但是一旦喝酒后，就会分散注意力，这样丢失携带的电脑等危险度就大大提高了。

【注解】

丢失了电脑和公司信息，不仅会给工作造成很大的影响，而且由于公司信息的泄漏和遗失等，会给公司带来巨大的损失。

因此，如果有酒席时，禁止把电脑等的公司信息带出公司。

由于重大的过失导致公司信息丢失时，将会根据就业规则进行处罚。

【问题８】有关信息安全，下面所述的事项是否正确？

如果给多个人发送邮件时，为了防止收件人地址不被其他收信人看见，最好是通过「Bcc」发送。

○正确。

如果把收件人都显示在「To」和「Cc」上，这样该收件人将能看见显示在收件人栏上的所有人的邮箱地址。

所以同时给互不相识的多个人发送邮件时，请把收件人以外的收件人地址显示在不能被其他人看见的「Bcc」栏内。

【注解】

发送邮件时，请慎重选择收件人，并在发送前确认收件人的邮件地址是否准确无误。

如果错送给其他收件人，不仅会给该收件人带来困惑，而且由于泄漏了公司的信息有可能造成比较严重的问题。

【問題９】有关信息安全，下面所述的事项是否正确？

不慎打开可疑邮件的附件，有可能感染上了病毒时，立即关掉邮件软件，再联系企画管理部IS科。

×　不正确。

即使不打开邮件软件，病毒本身也可以发送带病毒的邮件。

当发现可能感染了病毒时，请拔掉电脑的网线，然后联系企画管理部IS科。

【注解】

由于点击附件或者所显示的URL（网页）而感染上病毒的带病毒邮件连续很多。

要是可疑的邮件，请决不要点击其附件或者URL，直接删除。

另外，近来的病毒，只是用杀毒软件进行清除或者删除是不够的。

必需根据病毒的种类，感染的原因进行清除，谨防再次发生。

【问题１０】有关信息安全，下面所述的事项是否正确？

如果从客户等熟识的人那儿发来了带病毒的邮件，最好把该邮件回复给他，并告诉他该邮件有病毒。

×　不正确。

在最近的带病毒的邮件或者垃圾邮件（广告、不明MAIL），由于发件人是冒充的，所以邮件上所显示的发件人不一定就是从他那儿发过来的。

【注解】

带病毒的邮件在传播病毒时，其实事先就在实际感染了病毒的电脑内就设定了任意的邮箱地址作为"发件人（From:

）"和"收件人（To:

）"

所以，所设定的发件人不一定就是其使用的电脑感染了病毒。

因此，如果给可疑的邮件回信（进行投诉）的话，有可能会引起其他的纠纷，所以请绝对不要回信（进行投诉），删掉邮件就可以了。

另外，如果收到了从公司外部发来的投诉有关带病毒的邮件时，请不要直接回答他，而是和企画管理部IS科进行商量。

【问题１１】有关信息安全，下面所述的事项是否正确？

由于密码在维护信息安全上非常重要，所以不可使用很容易就被第三者猜测出来的简单密码。

○正确。

为了提高企业的信息安全水准，必须提高每个人的安全意识。

为此，请充分认识每天使用的密码的重要性，平时就注意设定、使用不易被第三者猜测、盗用的密码。

【注解】

《设定密码的方法》

∙使用便于自己记忆而他人又不容易知道的密码

∙不用能够很容易就类推并得到的或者词典里的单词之类的密码

《密码的管理方式》

∙不要告诉他人

∙不准写在任何人都可以看见的地方

∙要定期地变更

第二章：

个人信息保护

所谓个人信息

所谓个人信息指的是，通过该信息可以识别特定的个人的信息，或者和其他的信息进行对照，能够识别特定的个人的信息。

不只是指利用电脑把特定的个人信息作成可以检索的进行比较的电子资料的体系，还包括写在纸上的按拼音的顺序进行排列的名册等，同时也包含了体系的整理分类的资料。

具体的有下面这些。

∙在WEB上收集到的客户的姓名、住址、邮箱地址

∙输入到电脑内的名片信息

∙按照姓名等整理分类的调查表、客户卡

∙员工的雇佣管理信息等

个人信息保护的相关规定

如果企业（个人信息管理者）泄露了员工及客户的信息，公司将根据《就业规则》进行处罚，并承担相应的法律责任。

事实上，除了法律规定的惩罚规则之外，企业也将失去社会的信任，还将关系到企业品牌的生存问题。

从下一页开始，将学习有关具体的个人信息的管理方式。

【问题１】有关个人信息，下面所述的事项是否正确？

以开发新商品为目的，进行了问卷调查。

为了有效地利用很难得到的问卷调查表，于是根据调查表作成了顾客一览表，并向这些发送了针对已有商品所作的打折活动的广告邮件（DM）。

×　不正确。

在这种情况下，发DM属于目的外利用。

在收集调查表时，作为利用目的——为了用于开发新商品之外还要用于已有商品的宣传活动中的意图需要事先说明。

【注解】

收集个人信息时，必须明确利用其个人信息的目的，然后争得其本人同意。

利用个人信息时，必须在其利用目的范围内进行。

另外，在超过原利用目的的范围利用该个人信息时，必须再一次告知其本人利用目的并征得其同意。

【问题２】有关个人信息，下面所述的事项是否正确？

生产厂家Ａ公司决定把在参观工厂1000份个人资料的客户清单提供给从属于同一团体的Ｂ公司，供其在召开新商品发布会时充分利用。

×　不正确。

即使同属于一个集团的Ａ公司和B公司也是不同的公司，这应该属于向第三者提供了信息。

禁止事先未得到其本人同意而向第三者提供个人资料。

【注解】

个人信息一旦散发到外部，有被多次转发给不知道的人，并被其利用的危险，所以在向第三者提供信息时，必须要十分小心。

在把个人信息提供给第三者时，必须事先征得其本人的同意。

从属于同一个集团的公司原则上，也应该属于第三者，所以必须注意。

【问题３】有关个人信息，下面所述的事项是否正确？

在委托输入写有个人信息的调查表上的数据时，为了减少经费，让多个公司进行报价，仅从费用方面考虑，最后决定委托给最便宜的公司。

×　不正确。

在委托个人信息时，必须选择达到了一定的个人信息保护水准的委托公司。

【注解】

企业管理的信息，越来越趋于多样化・复杂化，由于公司自行进行编辑、管理等的负担太重，所以个人信息的资料编辑、管理等都委托给外部专门人士的情况正在逐年增加。

另一方面，个人信息被外部的被委托方泄漏的事件有多起发生。

因此，通过签订相关的信息保护条款让被委托方确实担负起对委托方的信息管理责任。

进行委托时，必须根据个人信息的委托保管方的选定基准对被委托方进行调查、