中国电信客户信息安全管理规范 - v0.1 - 20101227 - 图文(2)

中国电信信息

安全管理规范

统运营等环节涉及的客户信息保护负责；

3. 企业信息化部:负责终端安全管理，应建立办公网客户信息的监控与防泄密机制； 4. 纪检部：负责相关管理规定的监察、违规行为的调查审核、违规人员的处罚判

决；

5. 审计部：负责开展客户信息风险的审计。

第四章 岗位角色与权限

第30条 帐户的权限分配应当遵循“权限明确、职责分离、最小特权的原则”的原则。原则

上一个帐号对应一个用户，而一个帐号拥有的权限是由其被赋于的岗位角色所决定的，应按照角色或用户组进行授权，而不是将单个权限直接赋予一个帐号。 第31条 各省公司应对使用BOSS域、EDA域及其他涉及客户信息的业务系统的岗位角色进行

梳理，对权限相近的岗位角色进行合并，并对岗位角色的权限进行规范。在BOSS域、EDA域等涉及客户信息的系统中，岗位角色应当根据企业、部门的组织结构和职责分配而设定；同时，应当根据岗位角色的需要对相关人员进行授权，不能根据人员需求或变更而设定岗位角色。不同的岗位角色拥有不同的权限。

第一节 业务部门岗位角色与权限

第32条 业务部门是指市场部、政企客户部、公众客户部等使用客户信息的部门。

第33条 业务部门经过授权的员工是客户信息的使用者。原则上，经授权的业务部门的员工

可以访问BOSS、EDA或其他业务平台系统的客户信息，但不得拥有批量导出客户信息的权限。

第34条 业务部门的岗位角色主要包括：涉及各省公司市场部、政企客户部、公众客户部等

部门的产品管理、市场计划与营销、业务运营、运营系统支撑、客户接触类等5大类角色，具体岗位角色见附录四。 1. 角色1：产品管理

1) 岗位包含举例：产品研发、产品经理、行业经理等细项岗位；

2) 岗位说明：该类岗位角色主要指各省业务部门具体负责产品研发、推广的岗

位。 3) 权限要求：

? 可以查看对应产品所涉及的客户信息；

? 仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、

批量开通与取消、批量下载等针对客户敏感信息的操作的权限。

- 6 -

中国电信信息

安全管理规范

2. 角色2：市场计划与营销

1)岗位包含举例：市场运营分析、服务营销策划、渠道管理、传播管理等细项岗

位；

2)岗位说明：该类岗位角色主要指各省业务部门具体负责后台分析、营销及其他

管理工作的岗位。 3)权限要求：

? 该角色人员只可查询系统中的统计数据，不应授予查询、操作客户

敏感信息的权限，如因工作确需接触客户敏感信息，请按照“数据提取”的相应规定进行；

3. 角色3：业务管理

1) 岗位包含举例：业务管理、服务质量管理、合作管理、业务运营管理、业务

运营支撑等细项岗位；

2) 岗位说明：该类岗位角色主要指各省业务部门负责业务运营、支撑、服务质

量等细项业务处理的岗位； 3) 权限要求：

? 根据具体岗位的不同，考虑具体工作的需要，可以查看相应权限所

涉及的客户敏感信息；

? 仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、

批量开通与取消、批量下载等针对客户敏感信息的操作权限。

4. 角色4：运营系统支撑

1) 岗位包含举例：业务系统管理、系统运营支撑等细项岗位；

2) 岗位说明：该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。 3) 权限要求：

? 该角色人员负责部门系统帐号、口令的管理，配合业支部门进行相

应系统的开发、运营和维护，可以查看相应权限所涉及的客户敏感信息；

? 仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、

批量开通与取消、批量下载等针对客户敏感信息的操作权限。

5. 角色5：客户接触

1) 岗位包含举例：客户服务营销、渠道服务营销、营业厅服务营销、电子渠道

服务营销等细项岗位；

2) 岗位说明：该类岗位角色主要是指各省业务部门的各项渠道中直接服务于客

户的一线岗位。 3) 权限要求：

? 根据具体岗位的不同，考虑具体工作的需要，经过授权后查看相应- 7 -

中国电信信息

安全管理规范

权限所涉及的客户敏感信息；

? 直接为客户办理业务的岗位，应按最小授权原则，可授予增加、删

除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息操作的部分权限，但必须有严格的日志记录；

? 不直接面对客户的岗位，仅具有查询权限，不应授予增加、删除、修

改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。

第35条 业务人员的授权管理：

1) 按照附录六《帐号及口令管理细则》相关要求进行权限分配，提供给相关人员。

2) 角色5的岗位，可在严格审批流程后得到授权，在系统中根据需要对授权范围

内的客户敏感信息进行相应操作，但需有明确详细的日志记录；

3) 若要对客户信息进行增、删、改、批量导入、导出、为客户批量开通、取消

业务等操作，需经过严格的审批流程后方可实现；

4) 除角色5外的其他角色，可在严格审批流程后得到授权，查看所需要的、授权

范围内的客户敏感信息，但严禁对客户敏感信息进行相应其他操作，具体操作包括：增、删、改、批量导入、批量导出等；

5) 所有敏感数据的读取及修改操作的责任都能落实到人，根据信息泄漏途径的

归属确定每项敏感数据在该途径的“责任人”；

6) 对由于业务人员造成的敏感信息安全问题承担相应责任。

第二节 运维支撑部门岗位角色与权限

第36条 运维支撑部门是指企业信息化部、网络发展部等能运维管理涉及客户信息系统的

部门。

第37条 经过运维支撑部门授权的员工是客户信息系统的运维管理者，经授权的员工拥有查

询、增加、删除、修改、批量导入导出、批量开通与取消、批量下载等操作客户信息的部分权限。

第38条 运维支撑部门的岗位角色主要包括运行维护、开发测试、生产运营3大类角色。 第39条 角色1：运行维护

1)岗位包含举例：主机管理员、网络管理员、数据库管理员、应用管理员、配置

管理、服务监控、安全管理。

2)岗位说明：该类岗位主要包括各省公司负责涉及客户敏感信息的系统的维护管

理和服务监控的人员。 3)权限要求：

- 8 -

中国电信信息

安全管理规范

? 主机管理员、网络管理员、数据库管理员、配置管理员等超级管理

员无权查询客户信息；

? 应用管理员有查询权限，按照最小授权原则授权，可 …… 此处隐藏：2706字，全部文档内容请下载后查看。喜欢就下载吧 ……