客户信息安全管理规范.doc

客户信息安全管理规范 客户信息安全管理规范 客户信息安全管理规范 客户信息安全管理规范 公司公司 20xx 年 月 - 1 - 目录 第一章 总 则 3 第二 章 客 户 信 息 的内容 及 等级划 分 4 第一节 客户信息的内容 4 第二节 客户信息等级区分 4 第三节 储存及办理客户信息的系统 4 第三 章 组 织 与 职 责 5 第四章 岗 位 角 色 与权限 6 第一节 业务部门岗位角色与权限 6 第二节 运维支撑部门岗位角色与权限 8 第五 章 帐 号 与 授 权管理 9 第六 章 客 户 敏 感 信息操 作 的管理 10 第一节 业务人员对客户敏感信息操作的管理 11 第二节 运维支撑人员对客户敏感信息操作的管理 11 第三节 数据提取管理 12 第七 章 客 户 信 息 安全检 查 13 第一节 操作稽核 13 第二节 合规性检查 14 第三节 日记审计、例行安全检查与风险评估 14 第八章 客 户 信 息 系统的 技 术 管控 15 第一节 系统安全防备 15 第二节 帐号认证管控要求 15 第三节 远程接入管控 16 第四节 客户敏感信息泄密防备 16 第五节 系统间接口管理 17 第九 章 第 三 方 管 理 18 第十 章 数 据 存 储 与备份 管 理 19 第十 一 章 客 户信 息 泄 密的 处 罚 19 附录 21 附录一： 客户信息分类表 21 附录二： 客户信息分级 22 附录三： 客户敏感信息散布 23 附录四： 业务部门和支撑部门岗位角色 24 附录五： 业务人员对客户敏感信息的操作流程 24 附录六： 帐号口令管理细则 25 附录七： 异样操作行为特点 26 - 2 - 第一章总 则 第1条 为了增强全政企客户信息安全管理， 规范客户信息接见的流程和用户接见权限以及 规范承载客户信息的环境， 降低客户信息被违纪使用和流传的风险， 特拟订本规范。第2条 客户信息安全管理涵盖客户信息的产生、传输、储存、办理、销毁等各个环节。 客户信息的载体包含“ IT 系统数据”和“实体介质档案”两种形式。 第3条 保护客户信息安全及其合法权益是中国电信应担当的公司社会责任，中国电信的各级职工应严格恪守有关要求，保护客户信息安全，禁止泄漏、交易和滥用客户信息。 第4条 中国电信职工有权益和义务遏止关于任何可能危害客户信息安全的行为，并向公 司上司领导或信息安全管理人员实时反应状况。 第5条 客户信息的生命周期结束后，中国电信的各级组织有义务和权益依据有关的法 律、法例及合同商定，妥当的办理客户信息以及与客户信息有关的数据和载体。 第6条 客户信息安全保护管理依照“责任明确、受权合理、流程规范、技管联合”的工 作目标。 第7条 客户信息安全面对的风险和威迫主要包含：因为权限管理与控制不妥，致使客户信息被任意处理；因为流程设计与管理不妥，致使客户信息被不妥获取；因为安全管控举措落实不到位，致使客户信息被盗取等。 第8条 中国电信各有关部门及省公司应按期组织客户信息安全评估和检查，对发现的隐 患实时整顿。 第9条 客户信息安全管理应依照“谁主管谁负责，谁使用谁负责”的原则。 第10条 本规定是全公司进行客户信息安全管理工作的基本依照。各省市公司和各部门可依据工作需要，联合本单位的详细状况拟订相应的实行细则或增补规定，做好客户信息安全管理工作。 第11条 本规定合用于总部和各省市公司，合用于客户信息的使用人员、运维人员、开发 测试人员、管理人员和安全审计人员。 第12条 本规定的解说权属于中国电信公司公司公司信息化部。 - 3 - 第二章 客户信息的内容及等级区分 第一节 客户信息的内容 第13条 客户信息包含客户基本资料、 客户身份鉴权信息、 客户通信信息、 客户通信内容信 息等四大类。客户信息的详尽内容见附录一。 第14条 客户基本资料包含但不限于：政企客户资料、个人客户资料、家庭客户资料、各 类特别名单。 第15条 客户身份鉴权信息包含但不限于： 客户的服务密码、 客户登录各样业务系统的密 码。 第16条 客户通信信息包含但不限于：详单、账单、客户花费信息、基本业务订购关系、 增值业务、数据业务订购关系等。 第17条 客户通信内容信息包含但不限于：客户通信内容记录、挪动上网内容及记录、行业应用平台上交互的信息内容、各样业务平台上的行为信息。 第二节 客户信息等级区分 第18条 客户信息等级分类依照客户信息对第三方的价值区分为高价值信息， 中价值信息和 廉价值信息，详细区分方法请拜见附录二。 第三节 储存及办理客户信息的系统 第19 条 储存和办理客户信息的支撑系统包含但不限于： BOSS域、EDA域、 MSS域、网管系 统、客户服务支撑系统等。 第20 条 储存和办理客户信息的业务