客户信息安全管理规范.docVIP

客户信息安全管理规范 客户信息安全管理规范 客户信息安全管理规范 客户信息安全管理规范 公司公司 20xx 年 月 - 1 - 目录 第一章 总 则 3 第二 章 客 户 信 息 的内容 及 等级划 分 4 第一节 客户信息的内容 4 第二节 客户信息等级划分 4 第三节 存储及办理客户信息的系统 4 第三 章 组 织 与 职 责 5 第四章 岗 位 角 色 与权限 6 第一节 业务部门岗位角色与权限 6 第二节 运维支撑部门岗位角色与权限 8 第五 章 帐 号 与 授 权管理 9 第六 章 客 户 敏 感 信息操 作 的管理 10 第一节 业务人员对客户敏感信息操作的管理 11 第二节 运维支撑人员对客户敏感信息操作的管理 11 第三节 数据提取管理 12 第七 章 客 户 信 息 安全检 查 13 第一节 操作稽核 13 第二节 合规性检查 14 第三节 日志审计、例行安全检查与风险评估 14 第八章 客 户 信 息 系统的 技 术 管控 15 第一节 系统安全防备 15 第二节 帐号认证管控要求 15 第三节 远程接入管控 16 第四节 客户敏感信息泄密防备 16 第五节 系统间接口管理 17 第九 章 第 三 方 管 理 18 第十 章 数 据 存 储 与备份 管 理 19 第十 一 章 客 户信 息 泄 密的 处 罚 19 附录 21 附录一： 客户信息分类表 21 附录二： 客户信息分级 22 附录三： 客户敏感信息散布 23 附录四： 业务部门和支撑部门岗位角色 24 附录五： 业务人员对客户敏感信息的操作流程 24 附录六： 帐号口令管理细则 25 附录七： 异样操作行为特点 26 - 2 - 第一章总 则 第1条 为了加强全政企客户信息安全管理， 规范客户信息接见的流程和用户接见权限以及 规范承载客户信息的环境， 降低客户信息被违法使用和流传的风险， 特拟订本规范。第2条 客户信息安全管理涵盖客户信息的产生、传输、存储、办理、销毁等各个环节。 客户信息的载体包括“ IT 系统数据”和“实体介质档案”两种形式。 第3条 保护客户信息安全及其合法权益是中国电信应承担的公司社会责任，中国电信的各级职工应严格恪守有关要求，保护客户信息安全，严禁泄露、交易和滥用客户信息。 第4条 中国电信职工有权利和义务遏止关于任何可能危害客户信息安全的行为，并向公 司上级领导或信息安全管理人员实时反应情况。 第5条 客户信息的生命周期结束后，中国电信的各级组织有义务和权力根据有关的法 律、法例及合同约定，妥善的办理客户信息以及与客户信息有关的数据和载体。 第6条 客户信息安全保护管理按照“责任明确、授权合理、流程规范、技管结合”的工 作目标。 第7条 客户信息安全面临的风险和威胁主要包括：因为权限管理与控制不当，致使客户信息被任意处理；因为流程设计与管理不当，致使客户信息被不当获取；因为安全管控举措落实不到位，致使客户信息被窃取等。 第8条 中国电信各有关部门及省公司应定期组织客户信息安全评估和检查，对发现的隐 患实时整改。 第9条 客户信息安全管理应按照“谁主管谁负责，谁使用谁负责”的原则。 第10条 本规定是全公司进行客户信息安全管理工作的基本依据。各省市公司和各部门可根据工作需要，结合本单位的详细情况拟订相应的实施细则或补充规定，做好客户信息安全管理工作。 第11条 本规定适用于总部和各省市公司，适用于客户信息的使用人员、运维人员、开发 测试人员、管理人员和安全审计人员。 第12条 本规定的解释权属于中国电信公司公司公司信息化部。 - 3 - 第二章 客户信息的内容及等级划分 第一节 客户信息的内容 第13条 客户信息包括客户基本资料、 客户身份鉴权信息、 客户通信信息、 客户通信内容信 息等四大类。客户信息的详尽内容见附录一。 第14条 客户基本资料包括但不限于：政企客户资料、个人客户资料、家庭客户资料、各 类特殊名单。 第15条 客户身份鉴权信息包括但不限于： 客户的服务密码、 客户登录各样业务系统的密 码。 第16条 客户通信信息包括但不限于：详单、账单、客户消费信息、基本业务订购关系、 增值业务、数据业务订购关系等。 第17条 客户通信内容信息包括但不限于：客户通信内容记录、移动上网内容及记录、行业应用平台上交互的信息内容、各样业务平台上的行为信息。 第二节 客户信息等级划分 第18条 客户信息等级分类按照客户信息对第三方的价值划分为高价值信息， 中价值信息和 廉价值信息，详细划分方法请参见附录二。 第三节 存储及办理客户信息的系统 第19 条 存储和办理客户信息的支撑系统包括但不限于： BOSS域、EDA域、 MSS域、网管系 统、客户服务支撑系统等。 第20 条 存储和办理客户信息的业务