电信客户信息安全管理规范v.docx

Hessen was revised in January 2021
电信客户信息安全管理规范v
中国电信客户信息安全管理规范
中国电信集事件的投诉、上报；
制订对业务合作伙伴的信息泄露的惩罚措施及具体实施；
协助完成客户信息泄密现象的市场调查；
协助进行客户信息泄密事件的查处。
运维支撑部门的职责:
负责所运维的涉及客户信息的系统和平台技术层面的客户信息安全保障和稽查工作；
负责所主管系统的客户敏感信息安全保护,建立落实管理制度和实施细则；
负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责；
做好对第三方的管理，包括组织签订保密协议，加强操作管理等；
负责规范所属系统和平台客户信息安全技术标准和访问流程；
协助主管部门查处客户信息泄密事件。
其他相关部门的职责：
人力资源部门：组织有关员工签订保密承诺书，及时发布人员岗位变动、离职的信息给帐号管理部门，参与对客户信息泄密人员的查处；
采购部门:应在系统规划、方案设计阶段，考虑客户信息安全保护的要求，并在合同中纳入客户信息保密的条款；在系统交维前，对工程建设阶段的联调测试、系统运营等环节涉及的客户信息保护负责；
企业信息化部:负责终端安全管理，应建立办公网客户信息的监控与防泄密机制；
纪检部：负责相关管理规定的监察、违规行为的调查审核、违规人员的处罚判决；
审计部：负责开展客户信息风险的审计。
岗位角色与权限
帐户的权限分配应当遵循“权限明确、职责分离、最小特权的原则”的原则。原则上一个帐号对应一个用户，而一个帐号拥有的权限是由其被赋于的岗位角色所决定的，应按照角色或用户组进行授权，而不是将单个权限直接赋予一个帐号。
各省公司应对使用BOSS域、EDA域及其他涉及客户信息的业务系统的岗位角色进行梳理，对权限相近的岗位角色进行合并，并对岗位角色的权限进行规范。在BOSS域、EDA域等涉及客户信息的系统中，岗位角色应当根据企业、部门的组织结构和职责分配而设定；同时，应当根据岗位角色的需要对相关人员进行授权，不能根据人员需求或变更而设定岗位角色。不同的岗位角色拥有不同的权限。
业务部门岗位角色与权限
业务部门是指市场部、政企客户部、公众客户部等使用客户信息的部门。
业务部门经过授权的员工是客户信息的使用者。原则上，经授权的业务部门的员工可以访问BOSS、EDA或其他业务平台系统的客户信息，但不得拥有批量导出客户信息的权限。
业务部门的岗位角色主要包括：涉及各省公司市场部、政企客户部、公众客户部等部门的产品管理、市场计划与营销、业务运营、运营系统支撑、客户接触类等5大类角色，具体岗位角色见附录四。
角色1：产品管理
1) 岗位包含举例：产品研发、产品经理、行业经理等细项岗位；
2) 岗位说明：该类岗位角色主要指各省业务部门具体负责产品研发、推广的岗位。
3) 权限要求：
可以查看对应产品所涉及的客户信息；
仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作的权限。
角色2：市场计划与营销
1)岗位包含举例：市场运营分析、服务营销策划、渠道管理、传播管理等细项岗位；
2)岗位说明：该类岗位角色主要指各省业务部门具体负责后台分析、营销及其他管理工作的岗位。
3)权限要求：
该角色人员只可查询系统中的统计数据，不应授予查询、操作客户敏感信息的权限，如因工作确需接触客户敏感信息，请按照“数据提取”的相应规定进行；
角色3：业务管理
1) 岗位包含举例：业务管理、服务质量管理、合作管理、业务运营管理、业务运营支撑等细项岗位；
2) 岗位说明：该类岗位角色主要指各省业务部门负责业务运营、支撑、服务质量等细项业务处理的岗位；
3) 权限要求：
根据具体岗位的不同，考虑具体工作的需要，可以查看相应权限所涉及的客户敏感信息；
仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。
角色4：运营系统支撑
1) 岗位包含举例：业务系统管理、系统运营支撑等细项岗位；
2) 岗位说明：该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。
3) 权限要求：
该角色人员负责部门系统帐号、口令的管理，配合业支部门进行相应系统的开发、运营和维护，可以查看相应权限所涉及的客户敏感信息；
仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。
角色5：客户接触
1) 岗位包含举例：客户服务营销、渠道服务营销、营业厅服务营销、电