《广州电话营销信息安全管理规范V1.3》由会员分享,可在线阅读,更多相关《广州电话营销信息安全管理规范V1.3(10页珍藏版)》请在金锄头文库上搜索。
1、电话营销信息平安管理规范印章非红色的属非合法版本请使用盖有印章的受控副本编制审核批 准日期日期日期文件修改记录表日期文件版本修改章节原内容修改后内容修改人2007-12-25V1.0创建无无2008-06-12V1.1第一部分无增加单独门禁封闭式管理措施2008-11-05V1.2第五部分第4点无增加录音传送流程2009-03-18V1.3第五部分第1点移动数据由润迅对应项目经理使用专用邮箱进行接收。移动数据的接收及报表的均是专人专岗。 2009-03-18 V1.3第五部分无增加电话营销信息管理-数据收发流程目 录目 录3前言4一、场地上的保密措施4二、技术上的保密措施4三、管理上的保密措施
2、6四、法律上的保密措施7五、数据资料传送保密措施8前言作为与移动公司长期合作的专业外包服务商,我们深刻理解移动公司客户资料平安的关注。为了保障客户信息资料的平安,我们特别注意信息平安,网络平安,系统平安等涉及到有关平安的各方面管理工作,力求供应一个稳定,平安,高效的运营环境。 通过与各地移动公司的合作,我们在这方面积累了丰富的阅历和总结出一套行之有效的管理制度, 通过入职培训,定期培训对员工不断反复强调信息平安的重要性和必要性,从平安意识到行政管理和技术手段上来保障信息平安.对其行为进行平安审核,并记录存档。一、场地上的保密措施移动业务独立专区 移动业务设立于独立楼层,保证业务区域的保密性。
3、员工进出公司范围必须正确佩带工卡,进消失场区域,必须出示工牌打卡出入,顺手关门。 员工不得将纸笔等带出工作场地,不得携带任何通讯工具进入工作坐席。 非移动业务员工不得任意进出移动业务区域。 服务公司的全部员工均签署数据保密协议。 单独门禁封闭式管理,全部人员必须有工号门禁卡单独开启,并注意陌生跟随人员。(V1.1)二、技术上的保密措施1、网络平安保证措施网络平安防范措施可以最大限度的防止外部网对客户数据的攻击并防止内部其他不相关人员对数据库的访问,把来自网络上的平安威胁进行有效的掌握。为了保证客户数据的平安,润迅电话商务平台的全部业务终端、数据库服务器、录音系统均运行在内部网上,并依据需要设立
4、独立网段,在物理上与外部网络及公司其它内部网络断开;润迅内部网络与外部网络之间装有防火墙,可防止外部病毒及黑客的攻击:利用Windows 2000系统的ipsec对网络连接进行ip限制,实现IP数据包的平安性。对IP连接进行限制,只保证自己的IP能够访问,拒绝其他IP进行的端口连接,把来自网络上的平安威胁进行有效的掌握。对端口作过滤,包括大部分的tcp和udp端口,由于仅仅做ip限制的话,有可能恶意攻击者先攻击被数据库服务器信任的主机,掌握之后作为跳板对数据库服务器进行攻击。2、多级权限平安保证措施多层的平安掌握机制确保只有经过授权的用户才能访问系统资源 系统管理员权限(SA)最高权限:依据合
5、作方的要求,SA权限可由合作方技术经理掌握或由润迅技术部经理掌握,该权限拥有对数据库服务器的全部操作权限,包括其他权限人员的维护管理等,还包括向数据库导入和导出数据,维护(重启)系统等全部权限。 访问员权限读取单条数据权限:访问员是通过终端软件读取客户信息的,终端软件的访问数据库权限设置为只能随机读取一条数据,操作完成只能按一个键回存到服务器上,不能进行复制、粘贴、剪切等任何操作。 现场管理员权限可读取回访统计数据权限:除具有访问员的全部权限外,还有数据统计功能和查看部分明细报表的权限,即汇总访问员的拨打数量、成功数量、拒访数量等,里面不反映客户资料;明细报表中只能看到完成结果。3、用户帐号平
6、安管理措施 强壮的SA帐号密码机制mssql数据库最高权限帐号sa的默认密码是空,这样如果安装的时候不注意,就会给数据带来毁灭性的灾难。恶意攻击者可以修改,删除全部数据,更加重要的是mssql帐号可以利用扩展执行系统命令。所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个特别强壮的密码,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到 SQL Server 实例 时才使用 sa。平安的帐号策略还包括不要让管理员权限的帐号泛滥。 定期帐号检查管理机制定期检查全部登陆帐号,查看是否有不符合要求的密码(系统中全部密码均要求由高强度的由大小写字母,数字和特别字符组成)。 Use m
7、aster Select name,Password from syslogins where password is null命令检查是否有空口令帐号存在。尽可能的删除存储扩展,防止本地用户利用存储扩展执行恶意命令。use master sp_dropextendedproc xp_cmdshell命令删除xp_cmdshell扩展。 定期查看日志以防止可疑登陆大事发生除严格的层级权限掌握外,还要定期查看数据库服务器日志检查,是否有可疑的登陆大事发生,是否有一般用户通过系统漏洞提升自己的权限,对数据库信息进行破坏或超权限操作。 使用SSL加密协议,保证网络上传输的密码、数据库内容等都是密文的
8、。 4、座席终端平安保证措施座席终端一律禁止使用软驱、光驱等存储设备,禁止USB口、串口的使用。防止用户数据在座席终端被复制。座席终端担心装使用任何文字处理软件,如word、excel、记事本、写字板等。设计完善的业务操作平台,实现无纸化办公。座席业务软件每次只能提取一条客户资料,不允许批量提取客户资料。三、管理上的保密措施 员工行为规范的管理润迅公司内部始终在执行严格的内部保密制度。制度规定:1、 全部出入现场人员都必须佩戴工作证,非现场人员未获允许不得进入现场;2、 如有第三方需要参观现场,需要提前作出申请,在通过相关部门评估及得到批准后才能支配由专人全程伴随下进行参观;3、 全部资料需适
9、当地分类、存档及存放,以避开遗失或损坏;其他人员如需索取资料需得到相关公司部门负责人同意后方可取得;4、 员工在执行工作时方可进入移动呼叫中心系统,电脑系统中的客户资料非工作需要不得查询;5、 任何作废的客户资料需用碎纸机粉碎;6、 不准在私人通信中涉及移动发送的文件及客户信息;7、 在任何情况下不准向任何人泄露有关移动公司的任何资料和信息;8、 有关移动公司及移动客户的任何资料、不得任意复印、携带外出;在公共场所不准泄露润迅公司运营移动项目的情况;9、 向全部员工统一派发工作笔记本,除笔记本外员工不得私自携带任何草稿纸进入现场。员工在下班后,工作笔记本统一存放工柜,不得带离公司;10、全部员
10、工不带私自携带可移动储存工具进入现场,包括一切移动硬盘、U盘、SD卡等;11、润迅公司对全部员工都会进行岗前职业道德培训和训练;同时,还会与员工签署保密协议,确保员工具有较强的保密意识和良好的职业道德。扣罚说明:进入项目组范围内的全部员工一律执行此制度,如有违反者,则按制度进行处理;惩罚视情节轻重作30-500元惩罚,进行现场卫生清洁,或视实际情况作辞退处理。四、法律上的保密措施润迅在与客户签订的外包服务合同中均包含相应的保密条款,如发生相应泄密大事润迅将担当法律责任。润迅在员工入职时也与员工签订保密协议,明确相关的法律责任。五、数据资料传送保密措施1、客户资料批量传送平安保证措施客户资料批量
11、传送有两种方式:半自动操作、全自动操作: 半自动操作:合作方与润迅公司之间通过磁盘交换客户资料数据和服务结果数据。其人工交换的平安保证见业务平安保证规范,本节仅从技术层面介绍。批量数据的导入导出权限可由合作方掌握,即批量数据的导入工作由合作方代表到现场操作完成,而润迅任何人员均不具备权限提取此批量数据。批量数据的导入导出操作也可由润迅技术人员完成,此时批量数据操作的权限可依据合作方要求在每次操作时临时开放。操作结束后立即取消。 全自动操作:客户数据和服务结果数据完全是通过网络传送,并利用第三方加密软件对需要传送的数据进行加密,同时利用唯一的算法在另一方对数据进行解密,密钥由具有相关权限的人员掌
12、握。 2、服务数据精确保证措施润迅电话商务公司在为企业、组织供应服务的同时,会依据项目的要求反馈相关的报表数据,而报表数据是服务项目系统的最终输出结果,其精确性体现了整个系统设计是否合理、有效。保证数据的精确性就是要保证系统的设计合理性。分析业务需求,整理业务规律,建立有效的数据模型。对数据流图和E-R图进行分析,做好规律设计。在业务系统中实现业务规律。对业务数据进行预处理,保证数据的完整性和有效性。建立业务数据验证框架,保证报表数据的精确性。客户资料的保密是公司特别关注的问题,我公司在以往与各公司合作中已建立起一套完善的保密制度,从技术和管理上确保资料的保密。3、系统规律推断精确保证措施 全
13、部项目增加规律推断功能,系统自动校对; 二次校验题双重把关,结束语自动弹出同意办理事项,作最后确认。 员工自行记录与系统记录双核对。4、规范的数据传递流程(1)数据接收与导入 移动数据的接收及发放均是专人专岗,数据的接收统一由技术部唯一数据接口人统一从HTTP网络服务器或省营销系统上面提取;数据处理员每天通过邮件发送或http网络服务器上传日报表给移动对口项目经理或上传省电话营销管理系统。全部发送的报表均通全部有关数据的邮件、表格均使用密码加密方式密码定期更换,掌握使用人范围。各个地市依据各自的密码进行登陆服务器下载外呼报表。(V1.3) 广州润迅技术部唯一数据接口人筛选整理后批量导入系统。(
14、2)数据外呼 系统依据设定的拨号方式(行进、预览、猜测)自动拨号,单条显示在销售终端。(3)数据保存 全部外呼数据结果直接保存在系统上,保存后,全部数据只能由具有相关权限的管理人员查看。保存后的数据,在彻底销毁前,如要提取,必须经过移动项目负责人的批示流程,方可操作。(4)数据销毁 移动方确认项目数据可彻底销毁后,润迅将从整个数据传递接收端进行彻底删除。定期将已结束拨打的客户资料从数据库中完全销毁,杜绝数据资料外泄的可能。(5)外呼录音的传输 全部外呼的录音,均通过专用的http服务器进行传输。各个地市均通过登陆密码登陆,下载该地市的外呼录音。(V1.2)电话营销信息管理-数据收发流程(专人专岗收发)移动外呼需求运营部提交项目技术需求技术部唯一数据接口人登录“省营销系统”或FTP网址取数据运营项目组话务员保存外呼个案结果运营项目组话务员提取单个数据运营质检组单条提取录音进行质检运营报表组专人导出报表发送上传至移动对口项目经理及上传“省电话营销系统”结束技术部导入对应项目数据库技术部系统开发完成测试无误并启动项目运营经理技术部操作项目组操作运营报表组项
