员工信息安全培训课件

,员工信息安全培训,法务部,员工信息安全培训,一、信息安全保护的必要性,二、信息安全概述,三、商业秘密保护,四、消费者隐私保护,五、,1,号店信息安全管理体系,培训内容介绍,培训内容介绍,案例一 华为公司人员流动泄密案,案例二 可口可乐的商业秘密保护,原华为,3,名技术人员王志骏、刘宁、秦学军辞职后，成立了上海沪科科技有限公司，并将“窃,取”的核心技术资料卖给了华为公司的直接竞争对手，使其通过使用华为公司的商业秘密开,发出与华为公司功能相同的产品。,2002,年,8,月，深圳市检察机关批准逮捕王志骏等三人，最终三人分别被判处有期徒刑,2-3,年。,华为在此案中的损失超过,1.8,亿元人民币。,一、信息安全保护的必要性,可口可乐的配方自,1886,年在美国亚特兰大诞生以来,已保密达,120,多年之久。,可口可乐百年不倒,基业常青的“定海神针”,只提供用最关键技术制出的半成品给对方，而不提供原浆（半成品）生产的配方及技术。,可口可乐中占不到,1%,的神秘配料“,7X 100,”仅极少数人知道。,“保住秘密，就是保住市场”,案例一 华为公司人员流动泄密案 原华为3名技术,二、信息安全概述,信息安全,商业秘密保护,消费者隐私保护,经营信息,技术信息,二、信息安全概述信息安全商业秘密保护消费者隐私保护经营信息,定义：,商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利采,取保密措施的,技术信息,和,经营信息,。,构成要件：,秘密性,：,不为大众所知悉信息所有人根据当时的条件釆取了相应保密措施,实用和价值性,：,商业秘密在企业的生产活动和经营活动中,是客观有用的,能够在,实际操作中给企业带来一走的利益。,涉及的法律,:,民法通则,、,合同法,反不正当竞争法,、,劳动法、劳动合同法,中华人民共和国,刑法,三、商业秘密,定义：三、商业秘密,据国家工商局,关于禁止侵犯商业秘密行为的若干规定,中解释，技术信息包括“,设计、程序、产品配方、制作工艺、制作方法等,”。,据国家科委,关于加强科技人员流动中技术秘密管理的若干意见,解释，“本单位的技术秘密是指由单位研制开发或者以其他合法方式掌握的、未公开的、能给单 位带来经济利益或竞争优势，具有实用性且本单位采取了保密措施的技术信息，,包括但不限于设计图纸（含草图）、试验结果和试验记录、工艺配方、样品、数据、计算机程序等,。技术信息可以是有特定的完整的技术内容，构成一项产品、工艺、材料及其改进的,技术方案,，也可以是某一产品、工艺、材料等技术或产品中的,部分技术要素,”。,商业秘密中的技术信息,案例三 浙江鑫富药业商业秘密被盗取案,2006年7月17日，突然有人向浙江鑫富举报，称该公司的核心技术，已经被山东新发药业有限公司盗取！,经查实，两年间，山东新发药业通过浙江鑫富药业生产调度员马某等，盗得了一整套“喷雾干燥反应器”的设计图纸、生产操作规程和生物酶样本有了设计图纸，有了生物活性酶，李新发立刻上马生产，公司维B5产量迅速“从原来的200吨飞涨至2000吨”，直逼浙江鑫富。更让鑫富药业担忧的是，新发药业在提高产量后，迅速以低于鑫富药业25%的价格与之展开“贴身肉搏战”，抢占市场份额，导致该生产领域时刻面临全球重新洗牌,据国家工商局关于禁止侵犯商业秘密行为的若干规定中解释，技,据,中华人民共和国反不正当竞争法,解读中解释，经营信息包括：（,1,）新产品的市场占有情况及如何开辟新市场；（,2,）产品的社会购买力情况；（,3,）产品的区域性分布情况；（,4,）产品长期的、中期的、短期的发展方向和趋势；（,5,）经营战略；（,6,）流通渠道和机构等。“,国家工商局,关于禁止侵犯商业秘密行为的若干规定,中解释，经营信息包括：“,管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容等信息,。”,商业秘密中的经营信息,案例四 采购渠道案例,56,岁的洛配兹是美国通用汽车公司采购部负责人，人称成本杀手，在他担任通用公司负责人的,3,年中，在汽车零件上为通用公司节约了约,30,亿美元。,1993,年,3,月,15,日，洛配兹带领,7,名助手投奔德国大众公司。他的跳槽直接威胁通用公司的竞争优势。克林顿总统甚至命令联邦调查局采用侦查手段。,1996,年,3,月,7,日，通用公司向美国底特律地方法院提交了,99,页的起诉书。后双方达成和解，洛配兹脱离大众公司，在,2000,前不得作为雇员或者顾问为大众公司服务。,据中华人民共和国反不正当竞争法解读中解释，经营信息包括：,1、在诉讼中，客户名单的秘密属性经常基于以下原因被否定：,A、客户名单易于从公开的媒体上获得；,B、所有的竞争者都能通过相同的途径取得该客户名单；,C、客户名单在该领域内极为有名。,如果客户名单仅仅包括众所周知的信息，而且这些信息很容易可以被第三人获得，则不视为商业秘密。,2、但是，如果对这些取材于公众渠道的信息，耗费了人力和财力，进行了投资和整理，那么整理后的信息就有可能成为商业秘密，得到法律保护，实际上也就反应了对权利人劳动的保护。,3、同时，商业秘密必须是不易通过正当手段或途径取得的信息，易于取得的信息不能独占使用，也就不能构成商业秘密。所以，“他人正当获取客户名单的难易程度”也是判断客户名单商业秘密属性时所应该考虑的重要因素。,商业秘密中的客户名单一般是指客户的名称、地址、联系方式以及交易的习惯、意向、内容等构成的区别于相关公知信息的特殊客户信息，包括汇集众多客户的客户名册，以及保持长期稳定交易关系的特定客户。,讨论：客户名单是否属于商业秘密？,1、在诉讼中，客户名单的秘密属性经常基于以下原因被否定：讨论,民事责任,：违反保密协议，构成违约；造成商业秘密权利人损失，构成侵权；应当承担损害赔偿等民事责任。,（,合同法,第,60,、,43,、,92,条；,劳动法,第,102,条；,侵权责任法,等）,行政责任,：工商行政管理机关责令停止违法行为，并可以根据情节处以,1,万元以上,20,万元以下罚款。,（,反不正当竞争法,第,25,条；,关于侵犯商业秘密行为的若干规定,第,7,条）,刑事责任,：构成侵犯商业秘密罪,（,刑法,第,219,条）,侵犯公司商业秘密权的法律责任,民事责任：违反保密协议，构成违约；造成商业秘密权利人损失，构,员工方面：,1,、遵守公司的信息安全制度，对保密信息采取保密措施，不随意扩散，不主动获取超出职权范围的信息；,2,、遇到不确定或侵犯公司商业秘密的情形，积极向主管或法务部门请示和反映。,部门主管：,1,、信息安全制度与体系的遵守与执行；,2,、文档的分级、归档、管理、保存和销毁等；,3,、对员工信息安全方面的指导与培训。,商业秘密保护的合规性要求,商业秘密保护的合规性要求,定义：,消费者的姓名、性别、年龄、职业、联系方式、健康状况、家庭状况、财产状况、消费记录等与消费者个人及其家庭密切相关信息的保护。,即将于,2014,年,3,月,15,日施行的新,消费者权益保护法,首次将消费者信息列为保护内容。,法条链接：,第十四条,消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权,利，享有个人信息依法得到保护的权利。,第二十九条,经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、,使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收,集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。,经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供,经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生,或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。,经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。,第五十条,经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到,保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。,四、消费者隐私保护,定义：消费者的姓名、性别、年龄、职业、联系方式、健康状况、家,案例五,1,号店信息泄露案件,案例六,非法窃取用户信息，锒铛入狱！,四、消费者隐私保护,从,2012,年,5,月,24,日开始，一些网站和媒体开始以“黑客售卖,90,万用户资料”为标题公开报道有人,通,过,QQ,兜售,1,号店的用户数据，,引起公安机关注意，随后控制涉案人员,11,人。,经公安机关和检查机关经调查取证后，对销售、转卖和购买用户资料的嫌疑人向浦东新区人民法院提起公诉，截止,2013,年,11,月，刘某某、徐某某等已被浦东新区人民法院判处,6,个月到,8,个月不等的有期徒刑并处数万元罚金。尚有案件在审理当中。,海航,优悦公司副总裁徐某授意该公司信息部负责人，即彭某购买,1,号店客户信息，彭从原,1,号店员工繆某处取得,1,号店数据库账号、密码、配置服务器的,IP,地址及端口等信息，先后三次窃取,1,号店客户订单信息,300,余万条（去重后达,40,万余条顾客信息），一审判决如下：,徐某：非法获取公民个人信息罪，判处有期徒刑九个月，罚金一万五千元；,彭某：非法获取公民个人信息罪和职务侵占罪，判处有期徒刑一年九个月，罚金一万五千元；,繆某，非法获取公民个人信息罪，有期徒刑十个月，罚金一万五千元。,四、消费者隐私保护 从2012年5月24日开始，一些网,民事责任：,违反消费者保密协议，构成违约；损害消费者民事权益，构成侵权；应当承担停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。,（,消费者权益保护法,第,48,条；,侵权责任法,第,2,、,36,条；最高人民法院,关于贯彻执行,若干问题的意见,第,140,条；最高人民法院,关于确定民事侵权精神损害赔偿责任若干问题的解释,第,1,、,3,条）,行政责任：,工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得,1,倍以上,10,倍以下的罚款，没有违法所得的，处以,50,万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照。,（,消费者权益保护法,第,56,条）,刑事责任：,在明知他人实施犯罪活动，仍提供消费者个人信息，构成相应犯罪的共犯；向不特定第三人散布消费者个人信息，造成消费者人格尊严和名誉权严重损害的，构成侮辱罪。,（,刑法,第,246,条）,侵犯消费者隐私权的法律责任,民事责任：违反消费者保密协议，构成违约；损害消费者民事权益，,1,、收集和使用消费者个人信息前向消费者说明收集、使用的目的和方式；,2,、收集和使用消费者个人信息必须征得对方同意；,3,、对收集的材料采取合理的保密措施，确保个人信息不受第三方的非法获取和使用；,4,、收集和使用消费者个人信息应在合理范围内，不得超出必要限度。,消费者隐私保护的合规性要求,消费者隐私保护的合规性要求,五、,1,号店信息安全管理体系,信息安全方针,保障1号店的业务正常持续发展，保护1号店拥有和管理的信息资产的安全，积极预防信息安全事件的发生，最小化信息安全事件的影响,信息安全决策,信息安全管理委员会为跨部门的组织，负责信息安全重大事务的决策；,委员会的主席由首席技术官,CTO,韩军担任，副主席由公司,CEO,刘峻岭兼任,信息安全执行,信息安全部负责制定,1,号店信息安全策略（,见右面,）,全体员工在,日常信息活动中,需,遵守相关信息安全策略的要求,1,号店信息安全策略,信息安全组织策略,资产管理策略,人力资产安全策略,物理与环境安全策略,通信与操作管理策略,访问控制策略,信息系统获取、开发与维护策略,信息安全事件管理策略,业务连续性管理策略,符合性策略,五、1号店信息安全管理体系信息安全方针保障1号店的业务正常持,1,号店信息安全制度,根据,1,号店信息安全策略,制定并颁布的信息安全制度，下列所有制度均可以,Portal,IT,制度,栏目中查阅。,C1-IT-Security-PM01-SD001-,信息安全