中国电信客户信息安全管理规范 - v0.1 - 20101227 - 图文

中国电信信息安全管理规范

中国电信客户信息安全管理规范

中国电信集团公司 2010年12月

- 1 -

中国电信信息

安全管理规范

目录

第一章 总 则 ................................................................................................................................. 3 第二章 客户信息的内容及等级划分 ..................................................................................... 4

第一节 客户信息的内容 ....................................................................................................... 4 第二节 客户信息等级划分 ....................................................................................................... 4 第三节 存储及处理客户信息的系统 ........................................................................................ 4 第三章 组织与职责 .................................................................................................................... 5 第四章 岗位角色与权限 ........................................................................................................... 6

第一节 业务部门岗位角色与权限............................................................................................ 6 第二节 运维支撑部门岗位角色与权限 .................................................................................... 8 第五章 帐号与授权管理 ........................................................................................................... 9 第六章 客户敏感信息操作的管理 ....................................................................................... 10

第一节 业务人员对客户敏感信息操作的管理 .................................................................. 11 第二节 运维支撑人员对客户敏感信息操作的管理 .......................................................... 11 第三节 数据提取管理 ............................................................................................................. 12 第七章 客户信息安全检查 ..................................................................................................... 13

第一节 操作稽核 ..................................................................................................................... 13 第二节 合规性检查 ............................................................................................................. 14 第三节 日志审计、例行安全检查与风险评估 ...................................................................... 14 第八章 客户信息系统的技术管控 ....................................................................................... 15

第一节 系统安全防护 ............................................................................................................. 15 第二节 帐号认证管控要求 ................................................................................................. 15 第三节 远程接入管控 ............................................................................................................. 16 第四节 客户敏感信息泄密防护 ............................................................................................. 16 第五节 系统间接口管理 ......................................................................................................... 17 第九章 第三方管理 .................................................................................................................. 18 第十章 数据存储与备份管理 ................................................................................................ 19 第十一章 客户信息泄密的处罚 ........................................................................................ 19 附录 ..................................................................................................................................................... 21

附录一： 客户信息分类表 ..................................................................................................... 21 附录二： 客户信息分级 ......................................................................................................... 22 附录三： 客户敏感信息分布 ................................................................................................. 23 附录四： 业务部门和支撑部门岗位角色 .............................................................................. 24 附录五： 业务人员对客户敏感信息的操作流程 .................................................................. 24 附录六： 帐号口令管理细则 ................................................................................................. 25 附录七： 异常操作行为特征 ................................................................................................. 26

- 2 -

中国电信信息

安全管理规范

第一章 总 则

第1条 为了加强全政企客户信息安全管理，规范客户信息访问的流程和用户访问权限以及

规范承载客户信息的环境，降低客户信息被违法使用和传播的风险，特制定本规范。 第2条 客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。

客户信息的载体包括“IT系统数据”和“实体介质档案”两种形式。

第3条 保护客户信息安全及其合法权益是中国电信应承担的企业社会责任，中国电信的

各级员工应严格遵守相关要求，保护客户信息安全，严禁泄露、交易和滥用客户信息。

第4条 中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为，并向公

司上级领导或信息安全管理人员及时反映情况。

第5条 客户信息的生命周期结束后，中国电信的各级组织有义务和权力根据相关的法

律、法规及合同约定，妥善的处理客户信息以及与客户信息相关的数据和载体。 第6条 客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技 …… 此处隐藏：4840字，全部文档内容请下载后查看。喜欢就下载吧 ……