客户信息安全管理规范.doc

客户信息安全管理规范
客户信息安全管理规范
客户信息安全管理规范
客户信息安全管理规范
-3-
客户信息安全管理规范
客户信息安全管理规范
客户信息安全管理规范
第二章客户信息的内容及等级划分
第一节客户信息的内容
第13条客户信息包括客户基本资料、客户身份鉴权信息、客户通信信息、客户通信内容信
息等四大类。客户信息的详尽内容见附录一。
第14条客户基本资料包括但不限于：政企客户资料、个人客户资料、家庭客户资料、各
类特殊名单。
第15条客户身份鉴权信息包括但不限于：客户的服务密码、客户登录各样业务系统的密
码。
第16条客户通信信息包括但不限于：详单、账单、客户消费信息、基本业务订购关系、
增值业务、数据业务订购关系等。
第17条客户通信内容信息包括但不限于：客户通信内容记录、移动上网内容及记录、行业应用平台上交互的信息内容、各样业务平台上的行为信息。
第二节客户信息等级划分
第18条客户信息等级分类按照客户信息对第三方的价值划分为高价值信息，中价值信息和
廉价值信息，详细划分方法请参见附录二。
第三节存储及办理客户信息的系统
第19
条存储和办理客户信息的支撑系统包括但不限于：
BOSS域、EDA域、MSS域、网管系
统、客户服务支撑系统等。
第20
条存储和办理客户信息的业务平台包括但不限于：
ISMP-BMW平台、共同通信平台、
商企平台、189邮箱、手机报、天翼live
、互联星空、
BREW平台、基地平台、终端自注
册平台等。
第21
条存储和办理客户信息的通信系统包
括但不限于：短信网关
、综合接入网
关
ISAG）、HLR、WAP网关、关隘局等。
第22条其他各省公司自建或合作营运的包含客户信息的系统等。第23条公司级系统和省级系统均在本规范要求覆盖的范围内。
客户信息安全管理规范
客户信息安全管理规范
客户信息安全管理规范
-4-
客户信息安全管理规范
客户信息安全管理规范
客户信息安全管理规范
第三章组织与职责
第24条各省公司客户信息安全的统一归口管理部门是各省的信息安全管理责任部门。
第25条各部门应负责各自主管的业务系统的客户信息安全保护，明确各业务系统的客户信息安全责任人，按照本规定落实业务系统的安全管理要求。
第26条信息安全管理责任部门的职责：
负责客户信息安全的全面管理；
组织拟订统一的客户信息安全保护管理规定和实施细则；
组织拟订客户信息安全保护管理的制度、策略；
组织研究客户信息安全保护的技术手段；
负责收集、汇总客户信息泄密事件；
定期组织客户信息安全管理专项检查；
牵头组织进行客户信息泄密事件的查处；
负责客户信息安全事件的对外解释口径。第27条波及客户信息的业务管理部门职责：
负责规范本部门接见客户信息的业务人员岗位角色及其职责；
负责主管的业务系统的客户敏感信息安全保护，成立落实管理制度和实施细则；
负责业务层面客户信息安全的平时管理和审计工作；
负责受理客户信息泄密事件的投诉、上报；
制订对业务合作伙伴的信息泄露的惩罚举措及详细实施；
辅助达成客户信息泄密现象的市场检查；
辅助进行客户信息泄密事件的查处。第28条运维支撑部门的职责:
负责所运维的波及客户信息的系统和平台技术层面的客户信息安全保障和稽查工作；
负责所主管系统的客户敏感信息安全保护,成立落实管理制度和实施细则；
负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责；
做好对第三方的管理，包括组织签署保密协议，加强操作管理等；
负责规范所属系统和平台客户信息安全技术标准和接见流程；
辅助主管部门查处客户信息泄密事件。第29条其他有关部门的职责：
人力资源部门：组织有关职工签署保密许诺书，实时发布人员岗位变动、辞职的信息给帐号管理部门，参与对客户信息泄密人员的查处；
采买部门:应在系统规划、方案设计阶段，考虑客户信息安全保护的要求，