个人信息保护.pptx

个人信息保护;个人信息保护;个人信息保护;美称中国军事论坛爆料价值超过美800亿谍报开支 2012年04月28日11:21新华网;一位乘客用手机扫描自己的火车票信息。通过扫描软件可获得火车票二维码含有的身份证信息;个人信息被泄露的渠道很多;我国个人信息泄露情况大致归纳为如下三大类:;我国个人信息泄露情况大致归纳为如下三大类: 二是擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度披露他人个人信息。一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息;有的学校在校园网上公示师生缺勤的原因，或者擅自公布贫困生的详细情况。 三是擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下，将所掌握的个人信息提供给其他机构。银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息，也很常见。;主动泄密的最原始方式是“信息共 享”;主动泄密的最原始方式是“信息共 享”;主动泄密的最原始方式是“信息共 享”;信息安全意识的重要性 信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源，也是企业财产和个人隐私等的重要载体。与此同时，信息安全的重要性也越加凸显：从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。 据统计，世界上每分钟就有2个企业因为信息安全问题倒闭，而在所有的信息安全事故中，只有20%—30%是因为黑客入侵或其他外部原因造成的，70%— 80%是由于内部员工的疏忽或有意泄露造成的；同时78%的企业数据泄露是来自内部员工的不规范操作。;案例一：HBgary Federal邮件泄露 2011年2月6日，HBGary Federal公司创始人Greg Hoglund尝试登录 Google企业邮箱的时候，发现密码被人修改了，这位以研究“rootkit”而著称的安全业内资深人士立刻意识到了事态???严重性：作为一家为美国政府和500强企 业提供安全技术防护的企业，自身被黑客攻陷了！更为糟糕的是，HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。 在整个事件中，黑客组织“匿名者”透露的攻击细节中，我们大致能了解到，攻陷这家知名安全公司防卫森严的网络堡垒，其实并不需要才用多么特殊的高深技术，“人”的漏洞最终导致HBGary Federal声名扫地。其首席执行官 Aaron Barr和他领导的管理层犯下了最原始最不可饶恕的信息安全“漏勺”：在所有的账户中使用相同的密码。黑客组织“匿名者”只是通过攻击其企业网站所获得的外围密码，就开启了Barr几乎所有的网络账户：Twitter、Linkedin…当然最糟糕的是Gmail企业账户，里面有HBgary Federal公司的客户：索尼、强生、 杜邦等500强企业的私密信息，当然，还有那些涉及政府部门和组织的“特殊商 业计划”。;案例二：索尼遭遇“数据门”;案例三：电子54所窃密案 河北省石家庄市中国电子科技集团第54研究所爆出惊天窃密案。一个当地派出所警察，负责54所去海南试验的保卫工作，半路上被策反，然后逐渐拉上了 54所打扫办公室卫生的清洁女工，两人从印刷厂、复印室、内部网上搞到了大量信息。破案后，安全部长说，这些资料给10000亿也不卖，几十年来对台电子斗争成果全部打了水漂,整个底朝天。可以设想一下，如果54所员工具备较强的信息安全意识，此二人不会如此轻易获得这些资料。;以上所举三个案例给所有企业和组织敲响了警钟，案例涉及企业管理层、技术人员及普通员工，可见上至企业老总、下到基层工，安全意识的薄弱正在成为企业面临的最大风险，忽视信息安意识教育，可能遭受灾难性的打击。 在所有企业的安全隐患中，信息安全意识缺乏是最大的安全隐患，占到42.8%的比例，提高全员信息安全意识的重要性由此可见。;就我国而言，2006年国信办组织“信息安全管理体系标准试点工作”，之后很多组织开展了安全管理体系建设工作；2007年7月四部委发布《关于开展全国重要信息系统安全等级保护定级工作的通知》，要求在全国范围内开展等级保护工作。然而，无论安全管理体系标准还是国内的等保保护要求，都会提到对人员的意识教育，但在具体实施中提高企业全体人员的信息安全意识目前还面临重重困难，这与企业和组织本身缺乏对于信息安全意识教育的正确认识有关。 误区一：安全预算绝大部分都投入在产品上 现在企业和组织对安全的认识和重视程度在逐步提高，不少企业都不惜