中国电信信息安全管理规范彳国电宿CHINA TELECOM中国电信客户信息安全管理规范中国电信集团公司2010年12月-i -習彳團电信CHINA TELECOM中国电信信息安全管理规范目录第一章 总则 3第二章 客户信息的内容及等级划分 4第一节 客户信息的内容 4第二节客户信息等级划分 4第三节存储及处理客户信息的系统 4第三章 组织与职责 5第四章 岗位角色与权限 6第一节业务部门岗位角色与权限 6第二节 运维支撑部门岗位角色与权限 8第五章 帐号与授权管理 9第六章 客户敏感信息操作的管理 10第一节 业务人员对客户敏感信息操作的管理 11第二节 运维支撑人员对客户敏感信息操作的管理 11第三节数据提取管理 12第七章 客户信息安全检查 13第一节 操作稽核 13第二节 合规性检查 14第三节 日志审计、例行安全检查与风险评估 14第八章 客户信息系统的技术管控 15第一节 系统安全防护 15第二节 帐号认证管控要求 15第三节远程接入管控 16第四节 客户敏感信息泄密防护 16第五节 系统间接口管理 17第九章 第三方管理 18第十章 数据存储与备份管理 19第十一章 客户信息泄密的处罚 19附录 21附录一: 客户信息分类表 21附录二: 客户信息分级 22附录三: 客户敏感信息分布 23附录四: 业务部门和支撑部门岗位角色 24附录五: 业务人员对客户敏感信息的操作流程 24附录六: 帐号口令管理细则 25附录七: 异常操作行为特征 26-# -安全管理规范第一章总则第1条 为了加强全政企客户信息安全管理, 规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境, 降低客户信息被违法使用和传播的风险, 特制定本规范。
第2条 客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节客户信息的载体包括“ IT系统数据”和“实体介质档案”两种形式第3条 保护客户信息安全及其合法权益是中国电信应承担的企业社会责任,中国电信的各级员工应严格遵守相关要求,保护客户信息安全,严禁泄露、交易和滥用客户信 息第4条 中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为,并向公 司上级领导或信息安全管理人员及时反映情况第5条客户信息的生命周期结束后,中国电信的各级组织有义务和权力根据相关的法律、法规及合同约定,妥善的处理客户信息以及与客户信息相关的数据和载体第6条 客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工 作方针第7条客户信息安全面临的风险和威胁主要包括:因为权限管理与控制不当,导致客户 信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管 控措施落实不到位,导致客户信息被窃取等第8条 中国电信各相关部门及省公司应定期组织客户信息安全评估和检查,对发现的隐 患及时整改第9条 客户信息安全管理应遵循“谁主管谁负责,谁使用谁负责”的原则第10条 本规定是全集团进行客户信息安全管理工作的基本依据。
各省市公司和各部门可 根据工作需要,结合本单位的具体情况制定相应的实施细则或补充规定,做好客户信 息安全管理工作第11条本规定适用于总部和各省市公司,适用于客户信息的使用人员、运维人员、开发 测试人员、管理人员和安全审计人员第12条 本规定的解释权属于中国电信集团公司企业信息化部中国电信信息安全管理规范習彳團电信第二章客户信息的内容及等级划分第一节 客户信息的内容第13条 客户信息包括客户基本资料、 客户身份鉴权信息、 客户通信信息、客户通信内容信息等四大类客户信息的详细内容见附录一第14条 客户基本资料包括但不限于:政企客户资料、个人客户资料、家庭客户资料、各 类特殊名单第15条 客户身份鉴权信息包括但不限于: 客户的服务密码、 客户登录各种业务系统的密码第16条 客户通信信息包括但不限于:详单、账单、客户消费信息、基本业务订购关系、增值业务、数据业务订购关系等第17条 客户通信内容信息包括但不限于:客户通信内容记录、移动上网内容及记录、行业应用平台上交互的信息内容、各种业务平台上的行为信息第二节客户信息等级划分第18条 客户信息等级分类按照客户信息对第三方的价值划分为高价值信息, 中价值信息和低价值信息,具体划分方法请参见附录二。
第三节 存储及处理客户信息的系统第19条存储和处理客户信息的支撑系统包括但不限于: BOS域、EDA域、MS就、网管系统、客户服务支撑系统等第20条存储和处理客户信息的业务平台包括但不限于: ISMP-BMW平台、协同通信平台、商企平台、189邮箱、报、天翼live、互联星空、BREW平台、基地平台、终端自注 册平台等第21条 存储和处理 客户信息的通信系统包 括但不限于:短信 网关、综合接入网 关(ISAG)、HLR WA网关、关口局等第22条 其他各省公司自建或合作运营的包含客户信息的系统等第23条集团级系统和省级系统均在本规范要求覆盖的范围内 -乞相傑 中国电信信息安全管理规范第三章组织与职责第24条 各省公司客户信息安全的统一归口管理部门是各省的信息安全管理责任部门第25条 各部门应负责各自主管的业务系统的客户信息安全保护, 明确各业务系统的客户信息安全责任人,按照本规定落实业务系统的安全管理要求第26条 信息安全管理责任部门的职责:1. 负责客户信息安全的全面管理;2. 组织制定统一的客户信息安全保护管理规定和实施细则;3. 组织制定客户信息安全保护管理的制度、策略;4. 组织研究客户信息安全保护的技术手段;5. 负责收集、汇总客户信息泄密事件;6. 定期组织客户信息安全管理专项检查;7. 牵头组织进行客户信息泄密事件的查处;8. 负责客户信息安全事件的对外解释口径。
第27条 涉及客户信息的业务管理部门职责:1. 负责规范本部门访问客户信息的业务人员岗位角色及其职责;2. 负责主管的业务系统的客户敏感信息安全保护,建立落实管理制度和实施细则;3. 负责业务层面客户信息安全的日常管理和审计工作;4. 负责受理客户信息泄密事件的投诉、上报;5. 制订对业务合作伙伴的信息泄露的惩罚措施及具体实施;6. 协助完成客户信息泄密现象的市场调查;7. 协助进行客户信息泄密事件的查处第28条 运维支撑部门的职责:1. 负责所运维的涉及客户信息的系统和平台技术层面的客户信息安全保障和稽查工作;2. 负责所主管系统的客户敏感信息安全保护 ,建立落实管理制度和实施细则;3. 负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责;4. 做好对第三方的管理,包括组织签订保密协议,加强操作管理等;5. 负责规范所属系统和平台客户信息安全技术标准和访问流程;6. 协助主管部门查处客户信息泄密事件第29条 其他相关部门的职责:1. 人力资源部门:组织有关员工签订保密承诺书,及时发布人员岗位变动、离职的 信息给帐号管理部门,参与对客户信息泄密人员的查处;2. 采购部门:应在系统规划、方案设计阶段,考虑客户信息安全保护的要求,并在合-5 -同中纳入客户信息保密的条款;在系统交维前,对工程建设阶段的联调测试、系中国电信信息安全管理规范習彳團电信统运营等环节涉及的客户信息保护负责;3. 企业信息化部:负责终端安全管理,应建立办公网客户信息的监控与防泄密机制;4. 纪检部:负责相关管理规定的监察、违规行为的调查审核、违规人员的处罚判 决;5. 审计部:负责开展客户信息风险的审计。
第四章岗位角色与权限第30条 帐户的权限分配应当遵循“权限明确、职责分离、最小特权的原则”的原则原则上一个帐号对应一个用户, 而一个帐号拥有的权限是由其被赋于的岗位角色所 决定的,应按照角色或用户组进行授权,而不是将单个权限直接赋予一个帐号第31条各省公司应对使用 BOS域、EDA域及其他涉及客户信息的业务系统的岗位角色进行梳理,对权限相近的岗位角色进行合并,并对岗位角色的权限进行规范在 BOS域、EDA域等涉及客户信息的系统中, 岗位角色应当根据企业、 部门的组织结构和职责分配 而设定;同时,应当根据岗位角色的需要对相关人员进行授权, 不能根据人员需求或变更而设定岗位角色不同的岗位角色拥有不同的权限第一节 业务部门岗位角色与权限第32条 业务部门是指市场部、 政企客户部、公众客户部等使用客户信息的部门第33条 业务部门经过授权的员工是客户信息的使用者 原则上,经授权的业务部门的员工可以访问BOSS EDA或其他业务平台系统的客户信息, 但不得拥有批量导出客户信息的权限第34条 业务部门的岗位角色主要包括: 涉及各省公司市场部、 政企客户部、公众客户部等部门的产品管理、市场计划与营销、业务运营、运营系统支撑、客户接触类等 5大类角色,具体岗位角色见附录四。
1. 角色1 :产品管理1) 岗位包含举例:产品研发、产品经理、行业经理等细项岗位;2) 岗位说明:该类岗位角色主要指各省业务部门具体负责产品研发、推广的岗 位3) 权限要求:可以查看对应产品所涉及的客户信息;仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、 批量开通与取消、批量下载等针对客户敏感信息的操作的权限習彳團电信CHINA TELECOM中国电信信息安全管理规范2. 角色2:市场计划与营销1) 岗位包含举例:市场运营分析、服务营销策划、渠道管理、传播管理等细项岗位;2) 岗位说明:该类岗位角色主要指各省业务部门具体负责后台分析、营销及其他管理工作的岗位3) 权限要求:该角色人员只可查询系统中的统计数据,不应授予查询、操作客户 敏感信息的权限,如因工作确需接触客户敏感信息,请按照“数据 提取”的相应规定进行;3. 角色3:业务管理1) 岗位包含举例:业务管理、服务质量管理、合作管理、业务运营管理、业务 运营支撑等细项岗位;2) 岗位说明:该类岗位角色主要指各省业务部门负责业务运营、支撑、服务质 量等细项业务处理的岗位;3) 权限要求:根据具体岗位的不同,考虑具体工作的需要,可以查看相应权限所 涉及的客户敏感信息;仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、 批量开通与取消、批量下载等针对客户敏感信息的操作权限。
4. 角色4:运营系统支撑1) 岗位包含举例:业务系统管理、系统运营支撑等细项岗位;2) 岗位说明:该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位3) 权限要求:该角色人员负责部门系统帐号、口令的管理,配合业支部门进行相 应系统的开发、运营和维护,可以查看相应权限所涉及的客户敏感 信息;仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、 批量开通与取消、批量下载等针对客户敏感信息的操作权限5. 角色5:客户接触1) 岗位包含举例:客户服务营销、渠道服务营销、营业厅服务营销、电子渠道 服务营销等细项岗位;2) 岗位说明:该类岗位角色主要是指各省业务部门的各项渠道中直接服务于客 户的一线岗位3) 权限要求:根据具体岗位的不同,考虑具体工作的需要,经过授。