-1-客户信息安全管理规范XXX集团公司20xx年月目录第一章总则 3-2-第二章客户信息的内容及等级划分 4第一节客户信息的内容 4第二节客户信息等级划分 4第三节存储及处理客户信息的系统 4第三章组织与职责 5第四章岗位角色与权限 6第一节业务部门岗位角色与权限 6第二节运维支撑部门岗位角色与权限 8第五章帐号与授权管理 9第六章客户敏感信息操作的管理 10第一节业务人员对客户敏感信息操作的管理 11第二节运维支撑人员对客户敏感信息操作的管理 11第三节数据提取管理 12第七章客户信息安全检查 13第一节操作稽核 13第二节合规性检查 14第三节日志审计、例行安全检查与风险评估 14第八章客户信息系统的技术管控 15第一节系统安全防护 15第二节帐号认证管控要求 15第三节远程接入管控 16第四节客户敏感信息泄密防护 16第五节系统间接口管理 17第九章第三方管理 18第十章数据存储与备份管理 19第十一章客户信息泄密的处罚 19附录 21附录一:客户信息分类表 21附录二:客户信息分级 22附录三:客户敏感信息分布 23附录四:业务部门和支撑部门岗位角色 24附录五:业务人员对客户敏感信息的操作流程 24附录六:帐号口令管理细则 25附录七:异常操作行为特征 26-3-第一章总则第 1 条为了加强全政企客户信息安全管理,规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境,降低客户信息被违法使用和传播的风险,特制定本规范。第 2 条客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。客户信息的载体包括“IT 系统数据”和“实体介质档案”两种形式。第 3 条保护客户信息安全及其合法权益是中国电信应承担的企业社会责任,中国电信的各级员工应严格遵守相关要求,保护客户信息安全,严禁泄露、交易和滥用客户信息。第 4 条中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为,并向公司上级领导或信息安全管理人员及时反映情况。第 5 条客户信息的生命周期结束后,中国电信的各级组织有义务和权力根据相关的法律、法规及合同约定,妥善的处理客户信息以及与客户信息相关的数据和载体。第 6 条客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。第 7 条客户信息安全面临的风险和威胁主要包括:因为权限管理与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不...
