中国电信户信息安全管理规范_v0.1_20101227.doc

中国电信客户信息安全管理规范 中国电信集团公司 2010年12月 目录 第一章 总 则 3 第二章 客户信息的内容及等级划分 4 第一节 客户信息的内容 4 第二节 客户信息等级划分 4 第三节 存储及处理客户信息的系统 4 第三章 组织与职责 5 第四章 岗位角色与权限 6 第一节 业务部门岗位角色与权限 6 第二节 运维支撑部门岗位角色与权限 8 第五章 帐号与授权管理 9 第六章 客户敏感信息操作的管理 10 第一节 业务人员对客户敏感信息操作的管理 11 第二节 运维支撑人员对客户敏感信息操作的管理 11 第三节 数据提取管理 12 第七章 客户信息安全检查 13 第一节 操作稽核 13 第二节 合规性检查 14 第三节 日志审计、例行安全检查与风险评估 14 第八章 客户信息系统的技术管控 15 第一节 系统安全防护 15 第二节 帐号认证管控要求 15 第三节 远程接入管控 16 第四节 客户敏感信息泄密防护 16 第五节 系统间接口管理 17 第九章 第三方管理 18 第十章 数据存储与备份管理 19 第十一章 客户信息泄密的处罚 19 附录 21 附录一： 客户信息分类表 21 附录二： 客户信息分级 22 附录三： 客户敏感信息分布 23 附录四： 业务部门和支撑部门岗位角色 24 附录五： 业务人员对客户敏感信息的操作流程 24 附录六： 帐号口令管理细则 25 附录七： 异常操作行为特征 26 总 则 为了加强全政企客户信息安全管理，规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境，降低客户信息被违法使用和传播的风险，特制定本规范。 客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。客户信息的载体包括“IT系统数据”和“实体介质档案”两种形式。 保护客户信息安全及其合法权益是中国电信应承担的企业社会责任，中国电信的各级员工应严格遵守相关要求，保护客户信息安全，严禁泄露、交易和滥用客户信息。 中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为，并向公司上级领导或信息安全管理人员及时反映情况。 客户信息的生命周期结束后，中国电信的各级组织有义务和权力根据相关的法律、法规及合同约定，妥善的处理客户信息以及与客户信息相关的数据和载体。 客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。 客户信息安全面临的风险和威胁主要包括：因为权限管理与控制不当，导致客户信息被随意处置；因为流程设计与管理不当，导致客户信息被不当获取；因为安全管控措施落实不到位，导致客户信息被窃取等。 中国电信各相关部门及省公司应定期组织客户信息安全评估和检查，对发现的隐患及时整改。 客户信息安全管理应遵循“谁主管谁负责，谁使用谁负责”的原则。 本规定是全集团进行客户信息安全管理工作的基本依据。各省市公司和各部门可根据工作需要，结合本单位的具体情况制定相应的实施细则或补充规定，做好客户信息安全管理工作。 本规定适用于总部和各省市公司，适用于客户信息的使用人员、运维人员、开发测试人员、管理人员和安全审计人员。 本规定的解释权属于中国电信集团公司企业信息化部。 客户信息的内容及等级划分 客户信息的内容 客户信息包括客户基本资料、客户身份鉴权信息、客户通信信息、客户通信内容信息等四大类。客户信息的详细内容见附录一。 客户基本资料包括但不限于：政企客户资料、个人客户资料、家庭客户资料、各类特殊名单。 客户身份鉴权信息包括但不限于：客户的服务密码、客户登录各种业务系统的密码。 客户通信信息包括但不限于：详单、账单、客户消费信息、基本业务订购关系、增值业务、数据业务订购关系等。 客户通信内容信息包括但不限于：客户通信内容记录、移动上网内容及记录、行业应用平台上交互的信息内容、各种业务平台上的行为信息。 客户信息等级划分 客户信息等级分类按照客户信息对第三方的价值划分为高价值信息，中价值信息和低价值信息，具体划分方法请参见附录二。 存储及处理客户信息的系统 存储和处理客户信息的支撑系统包括但不限于：BOSS域、EDA域、MSS域、网管系统、客户服务支撑系统等。 存储和处理客户信息的业务平台包括但不限于： ISMP-BMW平台、协同通信平台、商企平台、189邮箱、手机报、天翼live、互联星空、BREW平台、基地平台、终端自注册平台等。 存储和处理客户信息的通信系统包括但不限于：短信网关、综合接入网关（ISAG）、HLR、WAP网关、关口局等。 其他各省公司自建或合作运营的包含客户信息的系统等。 集团级系统和省级系统均在本规范要求覆盖的范围内。 组织与职责 各省公司客户信息安全的统一归口管理部门是各省的信息安全管理责任部门。 各部门应负责各自主管的业务系统的客户信息安全保护，明确各业