客户信息保密管理.docVIP

客户信息保密管理 7.1目的 为保障客户隐私权益，特制定客户保密管理办法。 7.2适用范围 本规定所指的客户信息，包括在代维服务过程中所有涉及用户隐私的用户信息资料。 本规定所指的系统(存储有客户信息的系统，以下简称“相关系统”)是指 直接存储某些客户信息的系统，如OA办公、机房平台、短信中心、呼叫中心 等等，或能间接从其它系统获得客户信息的业务系统或支撑系统。 本规定针对客户信息产生、传输、存储、处理、消除等各个环节，系统完 整地提出保密要求。客户信息载体包括电子和纸质两种形式。以电子方式承 载客户信息的系统范围包括但不限于：传输以及使用各种代维业务或者进行业 务运营管理的所有业务系统、支撑系统。 本规定适用于代维内部人员和第三方系统开发、维护人员。如客服人员、东风通信系统维护人员、东风裕隆系统维护人员、第三方代维人员、在本 地或者通过远程方式进行技术支持的厂家技术人员等等。 7.3 客户信息管理要求 各系统管理员应明确识别各系统中存储、传输的客户有关信息，并具体 标注需要保护的客户信息类型等等，按照本管理规定要求制定各类信息及系 统的客户信息保密管理规定细则。 对于各相关系统中的客户信息，未经授权许可不得查询，更不能用于维护服 务之外的其它商业用途。 7.4 系统安全功能要求 各相关系统应在信息获取、处理、存储、消除各环节保护客户信息的完整 性、保密性、可用性，具备但不限于如下功能： 1、客户信息存储时应具备相应的安全要求，包括存储位置、存储方式等，对于重要的客户信息，应根据系统实际情况提供必要的加密手段。 2、应具备完善的权限管理策略，支持权限最小化原则、合理授权，对不能支持此原则的系统，应减少掌握该权限的人员数量，并加强人员管理。 3、具备完整的用户访问、处理、删除客户信息的操作记录能力，以备审计。 新建系统必须满足本要求，对于不支持本要求的已建系统，应根据实际情况在系统升级中进行改造。 4、在传输客户信息时，经过不安全网络的（例如INTERNET网），需要对传输的客户信息提供加密和完整性校验。 7.5 系统管理要求 禁止在相关系统中运行与业务无关的其它程序，尤其是可能自动获取用户 资料的程序。 按照最小化原则配置账户权限，保证对客户信息的访问不得超过本身工作 范围。对于访问相关系统的用户，能直接获得客户信息的，必须经过授权，未 经授权的用户不得访问该系统。 应对相关系统的对外接口（互联网、系统间、第三方系统、合营系统等） 定期检查，避免出现不可控访问路径。 7.6 授权要求 特殊情况下查询客户信息（例如公安机关侦破需要），应按照审批流程、 获得主管领导的审批授权。 7.7 用户管理要求 本规定中的代维内部人员主要包括两类： 系统管理员：包括与客户信息有关的系统维护管理员和应用系 统管理员，系统维护管理员指直接负责系统有关维护和管理 的人员。 普通用户：指具体使用系统的人员，如市场部门、客服部门 、监控部门人员等。 第三方人员：指因维护需要而拥有维护系统或者能够间接获取 客户信息的第三方相关系统帐号口令的非本公司人员，如开发 商、集成商、设备提供商、合作伙伴等。 以上人员因工作需要而获得的客户信息，未经许可不得告知他 人，更不能作为商业用途使用。系统用户有严格保守客户信息 的义务和责任。 以上人员都应与所属公司签订保密协议，明确保密责任。 如发生私自查阅或者泄漏客户信息的行为，将按照公司相关管 理规定进行处罚，情节严重者移交法律机关处理。 （四）客户信息保密管理 1、目的 为保障客户隐私权益，特制定客户保密管理办法。 2、适用范围 本规定所指的客户信息，包括在服务过程中所有涉及用户隐私的用户信息资料。 本规定所指的系统(存储有客户信息的系统，以下简称“相关系统”)是指直接存储某些客户信息的系统，如OA办公、网站平台、短信中心、呼叫中心等等或能间接从其它系统获得客户信息的业务系统或支撑系统。 本规定针对客户信息产生、传输、存储、处理、消除等各个环节，系统完整地提出保密要求。客户信息载体包括电子和纸质两种形式。以电子方式承载客户信息的系统范围包括但不限于：传输以及使用公司各种业务或者进行业务运营管理的所有业务系统、支撑系统。 本规定适用于公司内部人员和第三方系统开发、维护人员。如客服人员、网站等各系统维护人员、工作于我公司的各心理专家、在本地或者通过远程方式进行技术支持的厂家技术人员、合伙企业等等。 3、 客户信息管理要求 各系统管理员应明确识别各系统中存储、传输的客户有关信息，并具体标注需要保护的客户信息类型等等，按照本管理规定要求制定各类信息及系统的客户信息保密管理规定细则。对于各相关系统中的客户信息，未经授权许可不得查询，更不能用于维护服务之外的其它商业用途。 4、 系统安全功能要求 各相关系统应在信息获取