客户信息保密管理.doc

客户信息保密管理 1目的 为保障客户隐私权益，特制定客户保密管理办法。 2适用范围 本规定所指的客户信息，包括在服务过程中所有涉及用户隐私的用户信息资料。 本规定所指的系统(存储有客户信息的系统，以下简称“相关系统”)是指直接存储某些客户信息的系统，如OA办公、短信系统、400呼叫系统等等，或能间接从其它系统获得客户信息的业务系统或支撑系统。 本规定针对客户信息产生、传输、存储、处理、消除等各个环节，系统完整地提出保密要求。客户信息载体包括电子和纸质两种形式。以电子方式承载客户信息的系统范围包括但不限于：传输以及使用公司各种业务或者进行业务运营管理的所有业务系统、支撑系统。 本规定适用于公司内部人员和第三方系统开发、维护人员。如客服人员、遗传解读专家、网络等各系统维护人员、在本地或者通过远程方式进行技术支持的厂家技术人员、合伙企业等等。 3 客户信息管理要求 对于各相关系统中的客户信息，未经授权许可不得查询，更不能用于维护服务之外的其它商业用途。 4 系统安全功能要求 各相关系统应在信息获取、处理、存储、消除各环节保护客户信息的完整性、保密性、可用性，具备但不限于如下功能： 4.1客户信息存储时应具备相应的安全要求，包括存储位置、存储方式等，对于重要的客户信息，应根据系统实际情况提供必要的加密手段（IT解决）。 4.2应具备完善的权限管理策略，支持权限最小化原则、合理授权，对不能支持此原则的系统，应减少掌握该权限的人员数量，并加强人员管理。 4.3具备完整的用户访问、处理、删除客户信息的操作记录能力，以备审查。 5 系统管理要求 禁止在相关系统中运行与业务无关的其它程序，尤其是可能自动获取用户资料的程序。 按照最小化原则配置账户权限，保证对客户信息的访问不得超过本身工作范围。对于访问相关系统的用户，能直接获得客户信息的，必须经过授权，未经授权的用户不得访问该系统（如乐土健康解码9800线上报告系统）。 6 用户管理要求 本规定中的公司内部人员主要包括两类： 系统管理员：包括与客户信息有关的系统维护管理员，系统维护管理员指直接负责系统有关维护和管理的人员。 普通用户：指具体使用系统的人员，如样本中心、生信遗传部门、市场部门、客服部门、运营等部门人员。 第三方人员：指因维护需要，而拥有维护系统或者能够间接获取客户信息的第三方相关系统帐号口令的非本公司人员，如开发商、集成商、设备提供商、合作伙伴等。 以上人员因工作需要而获得的客户信息，未经许可不得告知他人，更不能作为商业用途使用。系统用户有严格保守客户信息的义务和责任。 以上人员都应与所属公司签订保密协议，明确保密责任。 如发生私自查阅或者泄漏客户信息的行为，将按照公司相关管理规定进行处罚。