收藏
下载资源

中国电信客户信息安全管理规范-v.-

上传人:千****8 文档编号:114999963 上传时间:2019-11-12 格式:DOC 页数:30 大小:324KB
返回 下载 相关 举报
中国电信客户信息安全管理规范-v.-_第1页
第1页 / 共30页
中国电信客户信息安全管理规范-v.-_第2页
第2页 / 共30页
中国电信客户信息安全管理规范-v.-_第3页
第3页 / 共30页
中国电信客户信息安全管理规范-v.-_第4页
第4页 / 共30页
中国电信客户信息安全管理规范-v.-_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《中国电信客户信息安全管理规范-v.-》由会员分享,可在线阅读,更多相关《中国电信客户信息安全管理规范-v.-(30页珍藏版)》请在金锄头文库上搜索。

1、中国电信客户信息安全管理规范-v.- 作者: 日期:2 中国电信信息安全管理规范中国电信客户信息安全管理规范中国电信集团公司2010年12月- 3 -目录第一章总 则3第二章客户信息的内容及等级划分4第一节客户信息的内容4第二节客户信息等级划分4第三节存储及处理客户信息的系统4第三章组织与职责5第四章岗位角色与权限6第一节业务部门岗位角色与权限6第二节运维支撑部门岗位角色与权限8第五章帐号与授权管理9第六章客户敏感信息操作的管理10第一节业务人员对客户敏感信息操作的管理11第二节运维支撑人员对客户敏感信息操作的管理11第三节数据提取管理12第七章客户信息安全检查13第一节操作稽核13第二节合规

2、性检查14第三节日志审计、例行安全检查与风险评估14第八章客户信息系统的技术管控15第一节系统安全防护15第二节帐号认证管控要求15第三节远程接入管控16第四节客户敏感信息泄密防护16第五节系统间接口管理17第九章第三方管理18第十章数据存储与备份管理19第十一章客户信息泄密的处罚19附录21附录一:客户信息分类表21附录二:客户信息分级22附录三:客户敏感信息分布23附录四:业务部门和支撑部门岗位角色24附录五:业务人员对客户敏感信息的操作流程24附录六:帐号口令管理细则25附录七:异常操作行为特征26第一章 总则第1条 为了加强全政企客户信息安全管理,规范客户信息访问的流程和用户访问权限以

3、及规范承载客户信息的环境,降低客户信息被违法使用和传播的风险,特制定本规范。第2条 客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。客户信息的载体包括“IT系统数据”和“实体介质档案”两种形式。第3条 保护客户信息安全及其合法权益是中国电信应承担的企业社会责任,中国电信的各级员工应严格遵守相关要求,保护客户信息安全,严禁泄露、交易和滥用客户信息。第4条 中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为,并向公司上级领导或信息安全管理人员及时反映情况。第5条 客户信息的生命周期结束后,中国电信的各级组织有义务和权力根据相关的法律、法规及合同约定,妥善的处理客户

4、信息以及与客户信息相关的数据和载体。第6条 客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。第7条 客户信息安全面临的风险和威胁主要包括:因为权限管理与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。第8条 中国电信各相关部门及省公司应定期组织客户信息安全评估和检查,对发现的隐患及时整改。第9条 客户信息安全管理应遵循“谁主管谁负责,谁使用谁负责”的原则。第10条 本规定是全集团进行客户信息安全管理工作的基本依据。各省市公司和各部门可根据工作需要,结合本单位的具体情况制定相应的实施

5、细则或补充规定,做好客户信息安全管理工作。第11条 本规定适用于总部和各省市公司,适用于客户信息的使用人员、运维人员、开发测试人员、管理人员和安全审计人员。第12条 本规定的解释权属于中国电信集团公司企业信息化部。第二章 客户信息的内容及等级划分第一节 客户信息的内容第13条 客户信息包括客户基本资料、客户身份鉴权信息、客户通信信息、客户通信内容信息等四大类。客户信息的详细内容见附录一。第14条 客户基本资料包括但不限于:政企客户资料、个人客户资料、家庭客户资料、各类特殊名单。第15条 客户身份鉴权信息包括但不限于:客户的服务密码、客户登录各种业务系统的密码。第16条 客户通信信息包括但不限于

6、:详单、账单、客户消费信息、基本业务订购关系、增值业务、数据业务订购关系等。第17条 客户通信内容信息包括但不限于:客户通信内容记录、移动上网内容及记录、行业应用平台上交互的信息内容、各种业务平台上的行为信息。第二节 客户信息等级划分第18条 客户信息等级分类按照客户信息对第三方的价值划分为高价值信息,中价值信息和低价值信息,具体划分方法请参见附录二。第三节 存储及处理客户信息的系统第19条 存储和处理客户信息的支撑系统包括但不限于:BOSS域、EDA域、MSS域、网管系统、客户服务支撑系统等。第20条 存储和处理客户信息的业务平台包括但不限于: ISMP-BMW平台、协同通信平台、商企平台、

7、189邮箱、手机报、天翼live、互联星空、BREW平台、基地平台、终端自注册平台等。第21条 存储和处理客户信息的通信系统包括但不限于:短信网关、综合接入网关(ISAG)、HLR、WAP网关、关口局等。第22条 其他各省公司自建或合作运营的包含客户信息的系统等。第23条 集团级系统和省级系统均在本规范要求覆盖的范围内。第三章 组织与职责第24条 各省公司客户信息安全的统一归口管理部门是各省的信息安全管理责任部门。第25条 各部门应负责各自主管的业务系统的客户信息安全保护,明确各业务系统的客户信息安全责任人,按照本规定落实业务系统的安全管理要求。第26条 信息安全管理责任部门的职责:1. 负责

8、客户信息安全的全面管理;2. 组织制定统一的客户信息安全保护管理规定和实施细则;3. 组织制定客户信息安全保护管理的制度、策略;4. 组织研究客户信息安全保护的技术手段;5. 负责收集、汇总客户信息泄密事件;6. 定期组织客户信息安全管理专项检查;7. 牵头组织进行客户信息泄密事件的查处;8. 负责客户信息安全事件的对外解释口径。第27条 涉及客户信息的业务管理部门职责:1. 负责规范本部门访问客户信息的业务人员岗位角色及其职责;2. 负责主管的业务系统的客户敏感信息安全保护,建立落实管理制度和实施细则;3. 负责业务层面客户信息安全的日常管理和审计工作;4. 负责受理客户信息泄密事件的投诉、

9、上报;5. 制订对业务合作伙伴的信息泄露的惩罚措施及具体实施;6. 协助完成客户信息泄密现象的市场调查;7. 协助进行客户信息泄密事件的查处。第28条 运维支撑部门的职责:1. 负责所运维的涉及客户信息的系统和平台技术层面的客户信息安全保障和稽查工作;2. 负责所主管系统的客户敏感信息安全保护,建立落实管理制度和实施细则;3. 负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责;4. 做好对第三方的管理,包括组织签订保密协议,加强操作管理等;5. 负责规范所属系统和平台客户信息安全技术标准和访问流程;6. 协助主管部门查处客户信息泄密事件。第29条 其他相关部门的职责:1.

10、人力资源部门:组织有关员工签订保密承诺书,及时发布人员岗位变动、离职的信息给帐号管理部门,参与对客户信息泄密人员的查处;2. 采购部门:应在系统规划、方案设计阶段,考虑客户信息安全保护的要求,并在合同中纳入客户信息保密的条款;在系统交维前,对工程建设阶段的联调测试、系统运营等环节涉及的客户信息保护负责;3. 企业信息化部:负责终端安全管理,应建立办公网客户信息的监控与防泄密机制;4. 纪检部:负责相关管理规定的监察、违规行为的调查审核、违规人员的处罚判决;5. 审计部:负责开展客户信息风险的审计。第四章 岗位角色与权限第30条 帐户的权限分配应当遵循“权限明确、职责分离、最小特权的原则”的原则

11、。原则上一个帐号对应一个用户,而一个帐号拥有的权限是由其被赋于的岗位角色所决定的,应按照角色或用户组进行授权,而不是将单个权限直接赋予一个帐号。第31条 各省公司应对使用BOSS域、EDA域及其他涉及客户信息的业务系统的岗位角色进行梳理,对权限相近的岗位角色进行合并,并对岗位角色的权限进行规范。在BOSS域、EDA域等涉及客户信息的系统中,岗位角色应当根据企业、部门的组织结构和职责分配而设定;同时,应当根据岗位角色的需要对相关人员进行授权,不能根据人员需求或变更而设定岗位角色。不同的岗位角色拥有不同的权限。第一节 业务部门岗位角色与权限第32条 业务部门是指市场部、政企客户部、公众客户部等使用

12、客户信息的部门。第33条 业务部门经过授权的员工是客户信息的使用者。原则上,经授权的业务部门的员工可以访问BOSS、EDA或其他业务平台系统的客户信息,但不得拥有批量导出客户信息的权限。第34条 业务部门的岗位角色主要包括:涉及各省公司市场部、政企客户部、公众客户部等部门的产品管理、市场计划与营销、业务运营、运营系统支撑、客户接触类等5大类角色,具体岗位角色见附录四。1. 角色1:产品管理1)岗位包含举例:产品研发、产品经理、行业经理等细项岗位;2)岗位说明:该类岗位角色主要指各省业务部门具体负责产品研发、推广的岗位。3)权限要求:o 可以查看对应产品所涉及的客户信息;o 仅具有查询权限,不应

13、授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作的权限。2. 角色2:市场计划与营销1)岗位包含举例:市场运营分析、服务营销策划、渠道管理、传播管理等细项岗位;2)岗位说明:该类岗位角色主要指各省业务部门具体负责后台分析、营销及其他管理工作的岗位。3)权限要求:o 该角色人员只可查询系统中的统计数据,不应授予查询、操作客户敏感信息的权限,如因工作确需接触客户敏感信息,请按照“数据提取”的相应规定进行;3. 角色3:业务管理1)岗位包含举例:业务管理、服务质量管理、合作管理、业务运营管理、业务运营支撑等细项岗位;2)岗位说明:该类岗位角色主要指各省业务部门负

14、责业务运营、支撑、服务质量等细项业务处理的岗位;3)权限要求:o 根据具体岗位的不同,考虑具体工作的需要,可以查看相应权限所涉及的客户敏感信息;o 仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。4. 角色4:运营系统支撑1)岗位包含举例:业务系统管理、系统运营支撑等细项岗位;2)岗位说明:该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。3)权限要求:o 该角色人员负责部门系统帐号、口令的管理,配合业支部门进行相应系统的开发、运营和维护,可以查看相应权限所涉及的客户敏感信息;o 仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。5. 角色5:客户接

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 工学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号