加强电信企业用户信息安全保障.docVIP

加强电信企业用户信息安全保障 　　【摘要】个人信息安全问题已成为社会发展进程中的突出问题，作为掌握大量用户信息的电信运营商更应担负起用户信息保护的责任。本文从电信企业用户信息的范围、用户信息泄露的风险途径，以及从强化内部制度管理，加强系统防控能力两个方面阐述了电信企业如何提升用户信息安全的保障能力。同时呼吁加快个人信息安全法的制定，从法律、企业、个人共同维护诚信的通信环境。 【关键词】电信企业、用户信息、安全 【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158（2013）01―0131―01 随着信息爆炸时代的来临和通信技术的快速发展，用户的个人信息安全问题日益严重，信息泄露事件频发。用户信息一旦遭到泄露，将面临信息曝光、垃圾短信、骚扰电话、电信欺诈甚至资金被盗等一系列风险。在此环境下，2012年“3.15”国际消费者权益日的主题即为“消费与安全”，新闻媒体也多次曝光了个别银行、通信、快递、医院等行业不法人员泄露和出售客户信息，给公众造成巨大安全隐患的问题。由此可见，用户信息安全已成为社会化和信息化快速发展进程中的一个重要问题。 近年来国家也逐步加大了对个人信息安全的保护力度。一方面从立法上逐步加大了对个人信息安全的保障，在民事责任方面认定用户个人信息属于个人隐私范畴，并在2009年通过的《侵权责任法》中明确将隐私权写入了法律；在刑事责任方面，2009年颁布实施的《刑法修正案七》也新增了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处罚金。”“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”另一方面，公安部也在北京、河北等20个省市区开展严厉打击侵害公民个人信息违法犯罪的专项行动，抓获嫌疑人1000余名，挖出信息源头44个。 电信行业一直是客户信息安全保障的重点行业。作为电信运营商，掌握着海量的用户信息资源，尤其是2010年电话用户实名登记工作推广以来，运营商掌握的用户信息从数量和质量上都得到了进一步提升。一方面客户信息真实、完善为电信企业向用户提供个性化的服务提供了条件，也为通信安全提供了保障，但另一方面对电信运营企业保障用户的信息、通信安全也提出了更高的要求。笔者总结多年的电信企业客户信息管理经验，借鉴先进企业的管理方法，从明确电信用户信鼠的范围、电信用户信息泄露的风险途径、解决电信用户信息安全的措施三个层面来探讨如何保障电信用户信息安全。 一、电信企业用户信息包含的内容 根据电信企业获取客户信息和提供通信服务的特点，电信用户信息应是指个人与单位用户的姓名或名称、有效证件类型及证件号码、住址（地址）、用户号码、联系方式、缴费账户、通话清单、终端信息以及单位用户的组织架构等基本信息、信息网络建设等非通信的信息内容。 二、电信企业用户信息泄露的风险途径 造成电信用户信息泄露的风险主要是人员风险和系统风险。人员风险是指电信企业内部和外部所有可以接触到用户信息的众多人员泄露用户信息的风险。企业内部人员如营业人员、销售人员、维护人员、客户信息管理人员等；外部人员包括与电信企业合作的业务代理商、内容提供商以及第三方维护人员等。 从系统风险上来讲，由于电信企业IT系统业务网络存在区域分散、数据分散、系统繁多、环境复杂等特点，建设了包括BSS、客服、CRM等多个业务支撑系统和OA办公系统，各个系统上积累了大量的客户信息和生产数据、运营信息等，每个系统的人员根据“使用”和“维护”又分为不同的角色，这些系统的终端覆盖了内网和外网、计算机和移动终端等多种形态的终端设备。由于这些特征的存在，电信企业客户信息数据面临着内部和外部网络的多重风险。 三、电信企业用户信息安全保护的措施 保护电信客户的信息安全，让客户享有安全、放心的通信服务是电信企业的责任和义务。笔者从通信行业服务角度来看，电信企业信息安全保障的关键需要从加强内部管理、提升系统防范能力两个方面得到提升。 （一）强化内部管理，提升全员信息安全防范意识 首先作为电信企业要有大局意识，应自觉遵守国家的法律、法规，严格执行《基础电信企业信息安全责任管理办法（试行）》。将保障用户信息安全纳入企业的保密体系，建立完善的用户信息安全管理制度，规范从业务受理、客户服务、运行维护、信息计费、外部合作等涉及客户信息的各个关键环节的业务操作流程和规章制度，构建全面有效的用户个人信息安全保护机制。比如要求营业和营销人员不允许私自留