CTPAT電腦安全培訓(xùn)

C-TPAT體系文件檔案名稱電腦安全培訓(xùn)版本修改章節(jié)修改內(nèi)容簡(jiǎn)述修訂日期擬定單位核準(zhǔn)審核擬案1、目的為保證公司電腦操作人員熟悉電腦安全安全使用的規(guī)定，特定本程式。2、範(fàn)圍適用于公司電腦的安全培訓(xùn)。3、職責(zé)3.1資訊管理部負(fù)責(zé)編制電腦安全培訓(xùn)的要求，所有使用電腦的員工必需參加。3.2人事部負(fù)責(zé)組織具體的培訓(xùn)，並每年至少進(jìn)行2次週期性培訓(xùn)。4．程式4.1網(wǎng)路的威脅來(lái)自企業(yè)內(nèi)部4.1.1企業(yè)常常投注大量的時(shí)間、金錢與精力在安全防護(hù)產(chǎn)品上，希望這些產(chǎn)品能保護(hù)其網(wǎng)路安全，但他們卻忘了最重要的一點(diǎn)，那就是“網(wǎng)路最大的威脅通常來(lái)自企業(yè)內(nèi)部”，所以企業(yè)除了建立基本的安全防護(hù)措施（如防火牆、防毒、防止惡意程式以及內(nèi)容過(guò)濾）之外，也應(yīng)當(dāng)注重員工的訓(xùn)練，以降低人為威脅所造成的損害。4.1.2根據(jù)電腦安全學(xué)會(huì)/FBI電腦犯罪與安全機(jī)構(gòu)於1999年進(jìn)行的調(diào)查顯示，回收問卷中有38％受訪企業(yè)曾有一到五次出自本身內(nèi)部的安全性漏洞，更有16％表示內(nèi)部安全性漏洞的發(fā)生次數(shù)高達(dá)六到十次。仔細(xì)追究之下，許多安全性漏洞之所以會(huì)發(fā)生，幾乎清一色都是因?yàn)閱T工的訓(xùn)練不足，員工根本沒有警覺到他們使用電腦的方式，包括收發(fā)電子郵件與上互聯(lián)網(wǎng)，對(duì)公司的安全會(huì)造成多大的影響。4.2電子郵件帶來(lái)的隱患4.2.1員工的電子郵件可能會(huì)為企業(yè)網(wǎng)路帶來(lái)好幾種安全性漏洞，例如收到不請(qǐng)自來(lái)的郵件卻毫無(wú)警惕便直接打開其附件，或是未對(duì)附加檔掃描是否有病毒藏匿其中便直接開啟檔等等。此外，企業(yè)若不主動(dòng)將新的病毒庫(kù)派送到員工的電腦上，強(qiáng)制施行公司制定的政策，而是安全信任員工隨意更新自己電腦上的病毒庫(kù)，那麼就算員工每次都很謹(jǐn)慎先掃描檔上，確定沒有病毒後才打開檔，仍然有被病毒感染的風(fēng)險(xiǎn)。更有甚者，若是放任不當(dāng)?shù)碾娮余]件、色情或其它具有攻擊性的內(nèi)容在辦公室內(nèi)到處流竄，企業(yè)更有可能會(huì)面臨法律上的種種問題。4.3密碼的竊取與社交洩密4.3.1密碼是大部分企業(yè)的主要弱點(diǎn)，因?yàn)槿藗優(yōu)榱斯?jié)省時(shí)間，常常會(huì)共用或選擇簡(jiǎn)單的密碼。密碼若不夠複雜，便很容易被別人猜到並用來(lái)取得機(jī)密資料。其實(shí)網(wǎng)路安全的弱點(diǎn)還在於不是只有使用者有密碼而已，若態(tài)度不夠謹(jǐn)慎，只要稍微運(yùn)用一下手腕便可讓他們吐露出來(lái)，例如通過(guò)電話或電子郵件假裝一下，通常就能把員工的密碼騙到手。4.3.2員工若完全不知道如何防範(fàn)各式各樣的安全性漏洞。例如通過(guò)社交手段套取等等，便會(huì)使得企業(yè)門戶大開，容易受到各種攻擊。未受到正確訓(xùn)練或不滿意工作的員工，更可能把企業(yè)獨(dú)家機(jī)密或敏感資料洩露給競(jìng)爭(zhēng)對(duì)手等不應(yīng)該接觸到的這些資料的人。4.4 培訓(xùn)·持續(xù)培訓(xùn)·培訓(xùn)方式4.4.1由於企業(yè)對(duì)網(wǎng)際網(wǎng)路的依賴程度日漸加深，因而受威脅程度也有增無(wú)減，因此防護(hù)機(jī)制的建設(shè)可說(shuō)刻不容緩，尤其是在末端使用者這個(gè)層級(jí)更是重要，儘管防毒軟體、防火牆與內(nèi)容過(guò)濾技術(shù)可協(xié)助企業(yè)監(jiān)視外來(lái)威脅，卻無(wú)法百分百保證使用者的行為不會(huì)危及網(wǎng)路安全，企業(yè)網(wǎng)路的安全防護(hù)若要做到固若金湯，員工教育訓(xùn)練絕對(duì)是不可或缺的一個(gè)環(huán)節(jié)。4.4.2避免人為因素最有效也最易被忽略的方法，就是設(shè)立規(guī)定，要求每隔一段固定時(shí)間便對(duì)員工進(jìn)行教育訓(xùn)練，並特別著重于公司的安全目標(biāo)，第一次應(yīng)先針對(duì)公司政策的需求，以及每個(gè)部門需要的訓(xùn)練程度，例如IT部門負(fù)責(zé)安全的員工必須深入瞭解公司使用的安全產(chǎn)品與系統(tǒng)，而非技術(shù)人員與管理階層則只要對(duì)安全有一般程式的瞭解就夠了。4.4.3教育員工的方式有很多種，例如實(shí)際操作訓(xùn)練、電腦輔助教育、上課或舉辦研討會(huì)等等，注意員工需要學(xué)習(xí)什么，然後選擇最有效的訓(xùn)練方法。根據(jù)專家意見，為了強(qiáng)調(diào)公司方針及維護(hù)機(jī)密的重要性，以讓員工親身參與的研討會(huì)或類似上課性質(zhì)的訓(xùn)練最有效。如果要教員工如何使用新的安全軟體，那麼上機(jī)訓(xùn)練可能會(huì)有較好的效果。您也可以尋求訓(xùn)練專家的協(xié)助制定最有效的方法。4.5強(qiáng)制執(zhí)行政策規(guī)定4.5.1企業(yè)應(yīng)決定由誰(shuí)負(fù)責(zé)主導(dǎo)政策的制定與執(zhí)行，人事部門則應(yīng)在員工的新進(jìn)訓(xùn)練時(shí)以書面告知公司的政策，待員工同意後要求其簽名確認(rèn)已瞭解並願(yuàn)意遵守公司相關(guān)規(guī)定，之後必須嚴(yán)格執(zhí)行規(guī)定，絕對(duì)不能有例外。公司公佈的政策內(nèi)，應(yīng)明確訂定違反規(guī)定的處罰細(xì)則。一般而言，安全系統(tǒng)與網(wǎng)路管理人員應(yīng)該建構(gòu)安全防護(hù)機(jī)制，成立緊急應(yīng)變小組以應(yīng)付可能發(fā)生的漏洞，並與人事部門密切合作，隨時(shí)報(bào)告可疑的狀況。4.6網(wǎng)路的維護(hù)4.6.1設(shè)立網(wǎng)際網(wǎng)路使用規(guī)範(fàn)，讓員工瞭解公司對(duì)員工個(gè)人使用電子郵件與電腦的規(guī)定。此外，明確的網(wǎng)路的使用規(guī)範(fàn)更可提高IT人員設(shè)定與監(jiān)視網(wǎng)路安全方案的效率。4.6.2採(cǎi)用能夠掃描郵件是否含有不適當(dāng)內(nèi)容的技術(shù)，並記錄違反公司管制規(guī)定的網(wǎng)路行為。4.6.3法律專家認(rèn)為，監(jiān)視員工的電子郵件與網(wǎng)路行為在公司面對(duì)法律訴訟時(shí)，有利於保護(hù)公司本身，因此企業(yè)應(yīng)當(dāng)設(shè)立使用規(guī)範(fàn)，並採(cǎi)用內(nèi)容監(jiān)視機(jī)制，保護(hù)員工不受任何騷擾。4.6.4訓(xùn)練員工瞭解如何應(yīng)該及時(shí)下載最新的防毒更新資料、如何辨認(rèn)電腦是否有可能中毒、並教導(dǎo)員工如何開啟檔案之前掃描檔案是否有病毒。4.6.5修補(bǔ)軟體的漏洞，降低病毒透過(guò)網(wǎng)頁(yè)或電子郵件滲入企業(yè)網(wǎng)路的機(jī)會(huì)。4.6.6制定密碼使用規(guī)範(fàn)，要求員工經(jīng)常更換