1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

信息安全管理规范.docxVIP

信息安全管理规范.docx

    1. 1、本文档共6页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    信息安全管理规范

    一、信息安全管理

    (一)客户信息安全规范

    1、信息安全管理的定义

    客户信息安全管理涵盖客户信息的收集、传输、存储、使用、共享、销毁等各个环节。客户信息的载体包括电子和纸质两种形式。

    2、客户信息的管理应遵循的原则

    (1)主体责任明确原则——按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则,明确责任分工,各单位应对其持有的客户信息承担安全责任,无论这些信息通过何种途径获得。

    (2)用户知情同意原则——收集、使用个人信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

    (二)客户信息的内容

    以电子或者其他方式记录的能够单独或者与其他信息结合识别特定用户身份或者反映特定用户活动情况的各种信息。包括用户身份和鉴权信息、用户数据及服务内容信息、用户服务相关信息等三大类。

    用户数据及服务内容信息包括但不限于:用户的服务内容信息、联系人信息、用户私有数据资料、私密社交内容等。

    用户服务相关信息内容包括但不限于业务订购关系、服务记录和日志、消费信息和账单、位置数据、违规记录数据、终端设备信息等。

    (三)客户信息的收集规范

    1、收集客户信息时,应具备合法、正当的目的,并清晰、准确地予以描述。

    2、应根据已确定的目的,确定收集最少的客户信息,以及存放地域、存储期限、收集频率等处理规则。

    3、应当在经营或者服务场所、网站等公布客户信息收集、使用规则,明确告知用户收集、使用信息的目的、方式和范围,留存信息的期限,查询、更正、删除信息及注销账户的渠道以及拒绝提供信息的后果等事项。

    4、在用户通过营业厅或线上渠道登记使用服务时,应在取得用户同意后方可收集客户信息,法律法规另有规定的除外。

    5、针对违反双方约定收集、使用其个人信息的,或收集、存储其个人信息有错误的,用户可提出删除或更正要求,应采取措施予以满足。

    (四)客户信息的使用规范

    1、服务营销人员因业务受理、投诉处理等情况下需要查询或获取客户信息时,应遵循如下要求:

    (1)涉及客户普通资料的查询,服务营销人员要获得客户的同意,并且按照正常的鉴权流程通过身份认证。鉴权一般采取有效证件或服务密码验证,并保留业务受理单据。

    (2)涉及客户通话详单、集团客户详细资料等客户信息的查询,服务营销人员只能在响应客户请求时,并且客户自身按照正常流程通过身份鉴权的情况下,协助客户查询;禁止服务营销人员擅自进行查询;查询需保留业务受理单据。

    (3)除服务营销外的业务人员,因投诉处理等工作需要查询和提取客户信息的,均需依据正式公文、投诉工单、用户授权记录等进行操作,并定期进行严密的事后审核。

    (五)事后问责

    1、公司有权利根据国家的法律、法规和企业规章制度,对于发现的任何侵害客户信息安全的内部机构或个人采取相应的处罚措施。

    对与有合作关系的组织或个人,若发生泄密事件,应根据合同和相关要求进行处罚,涉嫌犯罪的,依法移交司法机关处理。

    2、若内部员工发生泄密事件,应根据信息安全事件造成的影响及相关责任主体的态度,作出如下处理:

    (1)批评教育:包括责令责任主体检查、诫勉谈话等;

    (2)书面检查:责令责任主体向上级主管部门作出书面检查;

    (3)通报批评:在公司范围内对责任主体发文通报;

    (4)绩效处分:降低或扣除责任主体绩效,纳入月度或年度考核;

    (5)行政处分:追究信息安全事件发生负有领导责任的负责人的管理责任,对相关责任人予以行政处分,直至开除。

    (6)法律责任:如涉嫌犯罪的,则移交司法机关处理。

    以上方式可以单独适用,也可以同时适用。

    3、发生客户信息泄密事件,由信息安全责任部门组织有关部门联合进行责任认定,按照各单位具体处罚办法对相关直接责任人和负有领导责任的人进行处罚。

    4、针对由于客户信息泄露导致通讯信息诈骗事件的情况,将依据《云南公司防范打击通讯信息诈骗工作人员问责办法(试行)》对相关人员进行严肃追责。

    二、数据安全

    (一)安全原则

    数据安全管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。

    1、主体责任明确原则:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则,明确责任分工,各单位应对其持有的数据承担安全责任,无论这些数据通过何种途径获得。

    2、分类分级管控原则:对数据进行分类分级,根据类别属性、重要及敏感程度等差异性,采取适当的、与数据安全风险相适应的管理措施和技术手段,保障数据安全。

    3、安全三同步原则:在承载数据的相关平台系统的设计、建设和运行过程中,应做到数据安全保护措施的同步规划、同步建设、同步运行。

    4、用户知情同意原则:收集、使用客户信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经客户信息主体同意。

    5、最少够用

    您可能关注的文档

    最近下载

    文档评论(0)

    1658576823bd104 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >