xxx集团公司
20xx年 月
第一章总 则
第1条中轴旋转门为了加强全政企客户信息安全管理,规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境,降低客户信息被违法使用和传播的风险,特制定本规范。
第2条客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。客户信息的载体包括“IT系统数据”和“实体介质档案”两种形式。 第3条保护客户信息安全及其合法权益是中国电信应承担的企业社会责任,中国电信的各级员工应严格遵守相关要求,保护客户信息安全,严禁泄露、交易和滥用客户信息。
第4条中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为,并向公司上级领导或信息安全管理人员及时反映情况。
第5条客户信息的生命周期结束后,中国电信的各级组织有义务和权力根据相关的法律、法规及合同约定,妥善的处理客户信息以及与客户信息相关的数据和载体。
第6条客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。
第7条客户信息安全面临的风险和威胁主要包括:因为权限管理与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。
第8条中国电信各相关部门及省公司应定期组织客户信息安全评估和检查,对发现的隐患及时整改。
第9条客户信息安全管理应遵循“谁主管谁负责,谁使用谁负责”的原则。
第10条本规定是全集团进行客户信息安全管理工作的基本依据。各省市公司和各部门可根据工作需要,结合本单位的具体情况制定相应的实施细则或补充规定,做好客户信息安全管理工作。
第11条本规定适用于总部和各省市公司,适用于客户信息的使用人员、运维人员、开发测试人员、管理人员和安全审计人员。
第12条本规定的解释权属于中国电信集团公司企业信息化部。
第二章客户信息的内容及等级划分
第一节客户信息的内容
第13条客户信息包括客户基本资料、客户身份鉴权信息、客户通信信息、客户通信内容信息等四大类。客户信息的详细内容见附录一。
第14条客户基本资料包括但不限于:政企客户资料、个人客户资料、家庭客户资料、各类特殊名单。
第15条客户身份鉴权信息包括但不限于:客户的服务密码、客户登录各种业务系统的密码。
第16条客户通信信息包括但不限于:详单、账单、客户消费信息、基本业务订购关系、增值业务、数据业务订购关系等。
油砂第17条客户通信内容信息包括但不限于:客户通信内容记录、移动上网内容及记录、行业应用平台上交互的信息内容、各种业务平台上的行为信息。
第二节客户信息等级划分
第18条客户信息等级分类按照客户信息对第三方的价值划分为高价值信息,中价值信息和低价值信息,具体划分方法请参见附录二。
第三节存储及处理客户信息的系统
第19条存储和处理客户信息的支撑系统包括但不限于:BOSS域、EDA域、MSS域、网管系统、客户服务支撑系统等。
第20条存储和处理客户信息的业务平台包括但不限于: ISMP-BMW平台、协同通信平台、商企平台、189邮箱、手机报、天翼live、互联星空、BREW平台、基地平台、终端自注册平台等。
第21条存储和处理客户信息的通信系统包括但不限于:短信网关、综合接入网关(ISAG)、HLR、人体穴位模型WAP网关、关口局等。
第22条其他各省公司自建或合作运营的包含客户信息的系统等。
第23条集团级系统和省级系统均在本规范要求覆盖的范围内。
第三章组织与职责
第24条各省公司客户信息安全的统一归口管理部门是各省的信息安全管理责任部门。
第25条各部门应负责各自主管的业务系统的客户信息安全保护,明确各业务系统的客户信息安全责任人,按照本规定落实业务系统的安全管理要求。
第26条信息安全管理责任部门的职责:
1.负责客户信息安全的全面管理;
2.组织制定统一的客户信息安全保护管理规定和实施细则;
3.组织制定客户信息安全保护管理的制度、策略;酷基
4.组织研究客户信息安全保护的技术手段;
5.毛刷制作负责收集、汇总客户信息泄密事件;
6.结构光三维扫描仪定期组织客户信息安全管理专项检查;
7.牵头组织进行客户信息泄密事件的查处;
8.负责客户信息安全事件的对外解释口径。
第27条涉及客户信息的业务管理部门职责:
1.负责规范本部门访问客户信息的业务人员岗位角及其职责;
2.负责主管的业务系统的客户敏感信息安全保护,建立落实管理制度和实施细则;
