广州电话营销信息安全管理规范V13.doc

电话营销信息安全管理规范 印章非红色的属非合法版本 请使用盖有印章的受控副本 编 制 审 核 批 准 日期 日期 日期 文件修改记录表 日期 文件版本 修改章节 原内容 修改后内容 修改人 2007-12-25 V1.0 创建 无 无 2008-06-12 V1.1 第一部分 无 增加单独门禁封闭式管理措施 2008-11-05 V1.2 第五部分第4点 无 增加录音传送流程 2009-03-18 V1.3 第五部分第1点 移动数据由润迅对应项目经理使用专用邮箱进行接收。 移动数据的接收及报表的均是专人专岗。。。 2009-03-18 V1.3 第五部分 无 增加电话营销信息管理--数据收发流程 目 录 目 录 3 前言 4 一、场地上的保密措施 4 二、技术上的保密措施 4 三、管理上的保密措施 6 四、法律上的保密措施 7 五、数据资料传送保密措施 8 前言 作为与移动公司长期合作的专业外包服务商,我们深刻理解移动公司客户资料安全的关注。为了保障客户信息资料的安全,我们非常注重信息安全,网络安全,系统安全等涉及到有关安全的各方面管理工作，力求提供一个稳定,安全,高效的运营环境。 通过与各地移动公司的合作,我们在这方面积累了丰富的经验和总结出一套行之有效的管理制度, 通过入职培训,定期培训对员工不断反复强调信息安全的重要性和必要性,从安全意识到行政管理和技术手段上来保障信息安全.对其行为进行安全审核,并记录存档。 一、场地上的保密措施 移动业务独立专区 移动业务设立于独立楼层，保证业务区域的保密性。 员工进出公司范围必须正确佩带工卡，进出现场区域，必须出示工牌打卡出入，随手关门。 员工不得将纸笔等带出工作场地，不得携带任何通讯工具进入工作坐席。 非移动业务员工不得随意进出移动业务区域。 服务公司的所有员工均签署数据保密协议。 单独门禁封闭式管理，所有人员必须有工号门禁卡单独开启，并注意陌生尾随人员。(V1.1) 二、技术上的保密措施 1、网络安全保证措施 网络安全防范措施可以最大限度的防止外部网对客户数据的攻击并防止内部其他不相关人员对数据库的访问，把来自网络上的安全威胁进行有效的控制。 为了保证客户数据的安全，润迅电话商务平台的所有业务终端、数据库服务器、录音系统均运行在内部网上，并根据需要设立独立网段，在物理上与外部网络及公司其它内部网络断开； 润迅内部网络与外部网络之间装有防火墙，可防止外部病毒及黑客的攻击： 利用Windows 2000系统的ipsec对网络连接进行ip限制，实现IP数据包的安全性。对IP连接进行限制，只保证自己的IP能够访问，拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。 对端口作过滤，包括大部分的tcp和udp端口，因为仅仅做ip限制的话，有可能恶意攻击者先攻击被数据库服务器信任的主机，控制之后作为跳板对数据库服务器进行攻击。 多级权限安全保证措施 多层的安全控制机制确保只有经过授权的用户才能访问系统资源 系统管理员权限（SA）－最高权限： 根据合作方的要求，SA权限可由合作方技术经理掌握或由润迅技术部经理掌握，该权限拥有对数据库服务器的所有操作权限，包括其他权限人员的维护管理等，还包括向数据库导入和导出数据，维护（重启）系统等所有权限。 访问员权限－读取单条数据权限： 访问员是通过终端软件读取客户信息的，终端软件的访问数据库权限设置为只能随机读取一条数据，操作完成只能按一个键回存到服务器上，不能进行复制、粘贴、剪切等任何操作。 现场管理员权限－可读取回访统计数据权限： 除具有访问员的全部权限外，还有数据统计功能和查看部分明细报表的权限，即汇总访问员的拨打数量、成功数量、拒访数量等，里面不反映客户资料；明细报表中只能看到完成结果。用户帐号安全管理措施 强壮的SA帐号密码机制 mssql数据库最高权限帐号sa的默认密码是空，这样如果安装的时候不注意，就会给数据带来毁灭性的灾难。恶意攻击者可以修改，删除所有数据，更加重要的是mssql帐号可以利用扩展执行系统命令。 所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到 SQL Server 实例 时才使用 sa。安全的帐号策略还包括不要让管理员权限的帐号泛滥。 定期帐号检查管理机制 定期检查所有登陆帐号，查看是否有不符合要求的密码（系统中所有密码均要求由高强度的由大小写字母，数字和特殊字符组成）。 Use master Select