1、- 1 -中国电信信息安全管理规范中国电信客户信息安全管理规范中国电信集团公司2010 年 12 月- 2 -中国电信信息安全管理规范目录第一章 总 则 .3第 二 章 客 户 信 息 的 内 容 及 等 级 划 分 .4第一节 客户信息 的 内容 .4第二节 客户信息等级划分 .4第三节 存储及处理客户信息的系统 .4第 三 章 组 织 与 职 责 .5第四章 岗 位 角 色 与 权 限 .6第一节 业务部门岗位角色与权限 .6第二节 运维支撑部门岗位角色与权限 .8第 五 章 帐 号 与 授 权 管 理 .9第 六 章 客 户 敏 感 信 息 操 作 的 管 理 .10第一节 业务人员对客
2、户敏感信息操作的管理 .11第二节 运维支撑人员对客户敏感信息操作的管理 .11第三节 数据提取管理 .12第 七 章 客 户 信 息 安 全 检 查 .13第一节 操作稽核 .13第二节 合规性检查 .14第三节 日志审计、例行安全检查与风险评估 .14第八章 客 户 信 息 系 统 的 技 术 管 控 .15第一节 系统安全防护 .15第二节 帐号认证管控要求 .15第三节 远程接入管控 .16第四节 客户敏感信息泄密防护 .16第五节 系统间接口管理 .17第 九 章 第 三 方 管 理 .18第 十 章 数 据 存 储 与 备 份 管 理 .19第 十 一 章 客 户 信 息 泄 密
3、的 处 罚 .19附录 .21附录一: 客户信息分类表 .21附录二: 客户信息分级 .22附录三: 客户敏感信息分布 .23附录四: 业务部门和支撑部门岗位角色 .24附录五: 业务人员对客户敏感信息的操作流程 .24附录六: 帐号口令管理细则 .25附录七: 异常操作行为特征 .26- 3 -中国电信信息安全管理规范第一章 总 则第1条 为了加强全政企客户信息安全管理, 规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境, 降低客户信息被违法使用和传播的风险, 特制定本规范。第2条 客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。客户信息的载体包括“IT系
4、统数据”和“实体介质档案”两种形式。第3条 保护客户信息安全及其合法权益是中国电信应承担的企业社会责任,中国电信的各级员工应严格遵守相关要求,保护客户信息安全,严禁泄露、交易和滥用客户信息。第4条 中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为,并向公司上级领导或信息安全管理人员及时反映情况。第5条 客户信息的生命周期结束后,中国电信的各级组织有义务和权力根据相关的法律、法规及合同约定,妥善的处理客户信息以及与客户信息相关的数据和载体。第6条 客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。第7条 客户信息安全面临的风险和威胁主要包括:因为权限管理
5、与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。第8条 中国电信各相关部门及省公司应定期组织客户信息安全评估和检查,对发现的隐患及时整改。第9条 客户信息安全管理应遵循“谁主管谁负责,谁使用谁负责”的原则。第10条 本规定是全集团进行客户信息安全管理工作的基本依据。各省市公司和各部门可根据工作需要,结合本单位的具体情况制定相应的实施细则或补充规定,做好客户信息安全管理工作。第11条 本规定适用于总部和各省市公司,适用于客户信息的使用人员、运维人员、开发测试人员、管理人员和安全审计人员。第12条 本规定的解释权
6、属于中国电信集团公司企业信息化部。- 4 -中国电信信息安全管理规范第 二 章 客 户 信 息 的 内 容 及 等 级 划 分第一节 客户信息的内容第13条 客户信息包括客户基本资料、 客户身份鉴权信息、 客户通信信息、 客户通信内容信息等四大类。客户信息的详细内容见附录一。第14条 客户基本资料包括但不限于:政企客户资料、个人客户资料、家庭客户资料、各类特殊名单。第15条 客户身份鉴权信息包括但不限于: 客户的服务密码、 客户登录各种业务系统的密码。第16条 客户通信信息包括但不限于:详单、账单、客户消费信息、基本业务订购关系、增值业务、数据业务订购关系等。第17条 客户通信内容信息包括但不
7、限于:客户通信内容记录、移动上网内容及记录、行业应用平台上交互的信息内容、各种业务平台上的行为信息。第二节 客户信息等级划分第18条 客户信息等级分类按照客户信息对第三方的价值划分为高价值信息, 中价值信息和低价值信息,具体划分方法请参见附录二。第三节 存储及处理客户信息的系统第19条 存储和处理客户信息的支撑系统包括但不限于:BOSS域、 EDA域、MSS域、网管系统、客户服务支撑系统等。第20条 存储和处理客户信息的业务平台包括但不限于: ISMP-BMW平台、协同通信平台、商企平台、189邮箱、手机报、天翼live 、 互 联 星 空 、 BREW平台、基地平台、终端自注册平台 等。第2
8、1条 存储和处理客户信息的通信系统包括但不限于:短信网关、综合接入网关(ISAG)、HLR、WAP网关、关口局等。第22条 其他各省公司自建或合作运营的包含客户信息的系统等。第23条 集团级系统和省级系统均在本规范要求覆盖的范围内。- 5 -中国电信信息安全管理规范第 三 章 组 织 与 职 责第24条 各省公司客户信息安全的统一归口管理部门是各省的信息安全管理责任部门。第25条 各部门应负责各自主管的业务系统的客户信息安全保护, 明确各业务系统的客户信息安全责任人,按照本规定落实业务系统的安全管理要求。第26条 信息安全管理责任部门的职责:1. 负责客户信息安全的全面管理;2. 组织制定统一
9、的客户信息安全保护管理规定和实施细则;3. 组织制定客户信息安全保护管理的制度、策略;4. 组织研究客户信息安全保护的技术手段;5. 负责收集、汇总客户信息泄密事件;6. 定期组织客户信息安全管理专项检查;7. 牵头组织进行客户信息泄密事件的查处;8. 负责客户信息安全事件的对外解释口径。第27条 涉及客户信息的业务管理部门职责:1. 负责规范本部门访问客户信息的业务人员岗位角色及其职责;2. 负责主管的业务系统的客户敏感信息安全保护,建立落实管理制度和实施细则;3. 负责业务层面客户信息安全的日常管理和审计工作;4. 负责受理客户信息泄密事件的投诉、上报;5. 制订对业务合作伙伴的信息泄露的
10、惩罚措施及具体实施;6. 协助完成客户信息泄密现象的市场调查;7. 协助进行客户信息泄密事件的查处。第28条 运维支撑部门的职责 :1. 负责所运维的涉及客户信息的系统和平台技术层面的客户信息安全保障和稽查工作;2. 负责所主管系统的客户敏感信息安全保护,建立落实管理制度和实施细则;3. 负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责;4. 做好对第三方的管理,包括组织签订保密协议,加强操作管理等;5. 负责规范所属系统和平台客户信息安全技术标准和访问流程;6. 协助主管部门查处客户信息泄密事件。第29条 其他相关部门的职责:1. 人力资源部门:组织有关员工签订保密承诺书
11、,及时发布人员岗位变动、离职的信息给帐号管理部门,参与对客户信息泄密人员的查处;2. 采购部门:应在系统规划、方案设计阶段,考虑客户信息安全保护的要求,并在合同中纳入客户信息保密的条款;在系统交维前,对工程建设阶段的联调测试、系- 6 -中国电信信息安全管理规范统运营等环节涉及的客户信息保护负责;3. 企业信息化部:负责终端安全管理,应建立办公网客户信息的监控与防泄密机制;4. 纪检部:负责相关管理规定的监察、违规行为的调查审核、违规人员的处罚判决;5. 审计部:负责开展客户信息风险的审计。第四章 岗 位 角 色 与 权 限第30条 帐户的权限分配应当遵循 “权限明确、 职责分离、 最小特权的
12、原则” 的原则。 原则上一个帐号对应一个用户, 而一个帐号拥有的权限是由其被赋于的岗位角色所 决定的,应按照角色或用户组进行授权,而不是将单个权限直接赋予一个帐号。第31条 各省公司应对使用BOSS域、 EDA域及其他涉及客户信息的业务系统的岗位角色进行梳理,对权限相近的岗位角色进行合并,并对岗位角色的权限进行规范。在BOSS域、EDA域等涉及客户信息的系统中, 岗位角色应当根据企业、 部门的组织结构和职责分配而设定; 同时, 应当根据岗位角色的需要对相关人员进行授权, 不能根据人员需求或变更而设定岗位角色。不同的岗位角色拥有不同的权限。第一节 业务部门岗位角色与权限第32条 业务部门是指市场
13、部、 政企客户部、 公众客户部等使用客户信息的部门。第33条 业务部门经过授权的员工是客户信息的使用者。 原则上, 经授权的业务部门的员工可以访问BOSS、 EDA或其他业务平台系统的客户信息, 但不得拥有批量导出客户信息的权限。第34条 业务部门的岗位角色主要包括: 涉及各省公司市场部、 政企客户部、 公众客户部等部门的产品管理、市场计划与营销、业务运营、运营系统支撑、客户接触类等 5大类角色,具体岗位角色见附录四。1. 角色1:产品管理1) 岗位包含举例:产品研发、产品经理、行业经理等细项岗位;2) 岗位说明:该类岗位角色主要指各省业务部门具体负责产品研发、推广的岗位。3) 权限要求: 可
14、以查看对应产品所涉及的客户信息; 仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作的权限。- 7 -中国电信信息安全管理规范2. 角色2:市场计划与营销1)岗位包含举例: 市场运营分析、 服务营销策划、 渠道管理、 传播管理等细项岗位;2)岗位说明: 该类岗位角色主要指各省业务部门具体负责后台分析、 营销及其他管理工作的岗位。3)权限要求: 该角色人员只可查询系统中的统计数据,不应授予查询、操作客户敏感信息的权限,如因工作确需接触客户敏感信息,请按照“数据提取”的相应规定进行;3. 角色3:业务管理1) 岗位包含举例:业务管理、服务质量
15、管理、合作管理、业务运营管理、业务运营支撑等细项岗位;2) 岗 位 说 明 : 该 类 岗 位 角 色 主 要 指 各 省 业 务 部 门 负 责 业 务 运 营 、 支 撑 、 服 务 质量等细项业务处理的岗位;3) 权限要求: 根据具体岗位的不同,考虑具体工作的需要,可以查看相应权限所涉及的客户敏感信息; 仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。4. 角色4:运营系统支撑1) 岗位包含举例:业务系统管理、系统运营支撑等细项岗位;2) 岗位说明:该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。3) 权限要求: 该
16、角色人员负责部门系统帐号、口令的管理,配合业支部门进行相应系统的开发、运营和维护,可以查看相应权限所涉及的客户敏感信息; 仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。5. 角色5:客户接触1) 岗 位 包 含 举 例 : 客 户 服 务 营 销 、 渠 道 服 务 营 销 、 营 业 厅 服 务 营 销 、 电 子 渠 道服务营销等细项岗位;2) 岗 位 说 明 : 该 类 岗 位 角 色 主 要 是 指 各 省 业 务 部 门 的 各 项 渠 道 中 直 接 服 务 于 客户的一线岗位。3) 权限要求: 根 据 具 体 岗
17、位 的 不 同 , 考 虑 具 体 工 作 的 需 要 , 经 过 授 权 后 查 看 相 应- 8 -中国电信信息安全管理规范权 限 所涉及的客户敏感信息; 直接 为 客 户 办 理 业 务 的 岗 位 , 应 按 最 小 授 权 原 则 , 可 授 予 增 加 、 删除 、 修 改 、 批 量 导 入 与 导 出 、 批 量 开 通 与 取 消 、 批 量 下 载 等 针 对 客户 敏 感 信息操作的部分权限,但必须有严格的日志记录; 不直接面对客户的岗位, 仅具有查询权限, 不应授予增加、 删除、 修改、批 量 导 入 与 导 出 、 批 量 开 通 与 取 消 、 批 量 下 载 等
18、针 对 客 户 敏 感信 息 的 操 作权限。第35条 业务人员的授权管理:1) 按照附录六帐号及口令管理细则相关要求进行权限分配,提供给相关人员。2) 角色5的岗位, 可在严格审批流程后得到授权, 在系统中根据需要对授权范围内的客户敏感信息进行相应操作,但需有明确详细的日志记录;3) 若要对客户信息进行增、删、改、批量导入、导出、为客户批量开通、取消业务等操作,需经过严格的审批流程后方可实现;4) 除角色5外的其他角色, 可在严格审批流程后得到授权, 查看所需要的、 授权范围内的客户敏感信息,但严禁对客户敏感信息进行相应其他操作,具体操作包括:增、删、改、批量导入、批量导出等;5) 所有敏感
19、数据的读取及修改操作的责任都能落实到人,根据信息泄漏途径的归属确定每项敏感数据在该途径的“责任人” ;6) 对由于业务人员造成的敏感信息安全问题承担相应责任。第二节 运维支撑部门岗位角色与权限第36条 运维支撑部门是指企业信息化部、网络发展部等能运维管理涉及客户信息系统的部门。第37条 经过运维支撑部门授权的员工是客户信息系统的运维管理者, 经授权的员工拥有查询、 增加、 删除、 修改、 批量导入导出、 批量开通与取消、 批量下载等操作客户信息的部分权限。第38条 运维支撑部门的岗位角色主要包括运行维护、开发测试、生产运营3大类角色。第39条 角色1:运行维护1)岗 位 包 含 举 例 : 主
20、 机 管 理 员 、 网 络 管 理 员 、 数 据 库 管 理 员 、 应 用 管 理 员 、 配 置管理、服务监控、安全管理。2)岗 位 说 明 : 该 类 岗 位 主 要 包 括 各 省 公 司 负 责 涉 及 客 户 敏 感 信 息 的 系 统 的 维 护 管理和服务监控的人员。3)权限要求:- 9 -中国电信信息安全管理规范 主 机 管 理 员 、 网 络 管 理 员 、 数 据 库 管 理 员 、 配 置 管 理 员 等 超 级 管 理员 无 权 查 询 客 户 信 息 ; 应 用 管 理 员 有 查 询 权 限 , 按 照 最 小 授 权 原 则 授 权 , 可 授 予 增 加
21、、 删除 、 修 改 、 批 量 导 入 与 导 出 、 批 量 开 通 与 取 消 、 批 量 下 载 等 针 对 客户 敏 感 信 息 操 作 的 部 分 权 限 , 但 必 须 有 严 格 的 日 志 记 录 ; 具 有 批 量 操 作 权 限 的 人 员 应 指 定 专 人 , 人 员 范 围 应 尽 量 小 。第40条 角色2:开发测试1) 岗位包含举例: 架构管理、 系统设计、 应用开发、 应用测试、 项目建设管理等;2)岗位说明:该类岗位主要包括各省公司负责涉及客户敏感信息的系统的设计、研发、测试以及项目建设管理人员。3)权限要求: 开 发 测 试 人 员 原 则 上 不 能 接
22、 触 生 产 系 统 数 据 ; 开 发 测 试 人 员 仅 具 有 测 试 系 统 的 操 作 权 限 , 开 发 测 试 系 统 需 要 涉 及到 客 户 敏 感 数 据 信 息 的 内 容 , 原 则 上 使 用 过 期 数 据 或 是 模 糊 化 处 理之 后 的 数 据 。第41条 角色3:生产运营1) 岗位包含举例: 投诉管理、 运营分析、 出帐管理、 数据质量支撑、 安全审计等;2) 岗位说明: 该类岗位主要包括各省公司负责业务支撑系统的投诉管理、 运营分析等生产运营相关人员。3)权限要求: 若 涉 及 投 诉 处 理 、 批 量 业 务 操 作 的 需 要 , 按 照 最 小
23、授 权 原 则 , 可 授予 查 询 , 修 改 , 批 量 导 入 导 出 的 权 限 , 授 权 人 员 范 围 应 尽 量 小 。第 五 章 帐 号 与 授 权 管 理第42条 业务帐号管理 :1. 业 务 系 统 的 应 用 帐 号 应 该 由 业 务 部 门 主 管 , 业 务 部 门 必 须 制 定 岗 位 角 色 和 权 限 的匹配规范,提供岗位角色和权限对应的矩阵列表,确保职责不相容。2. 业 务 部 门 需 指 定 专 人 ( 业 务 管 理 员 ) 负 责 所 管 辖 业 务 系 统 的 帐 号 权 限 分 配 , 明 确所管辖业务系统的帐号权限申请审批流程。3. 业 务
24、管 理 员 应 将 所 管 辖 业 务 系 统 的 岗 位 角 色 权 限 矩 阵 变 更 申 请 及 应 用 层 帐 号 权 限变更申请提交主管领导审批,严格限制系统关键功能和超级帐号的授权。4. 业 务 管 理 员 需 要 定 期 组 织 业 务 系 统 帐 号 使 用 情 况 的 检 查 稽 核 , 确 认 业 务 系 统 中 用户 身 份 的 有 效 性 、 帐 号 创 建 的 合 法 性 、 权 限 的 合 理 性 , 对 存 在 的 问 题 提 出 整 改要- 10 -中国电信信息安全管理规范求。第43条 运维帐号管理:1. 系 统 运 维 支 撑 部 门 应 指 定 专 人 (系
25、 统 帐 号 管 理 员 )负 责 运 维 帐 号 和 权 限 的 管 理 工作, 制定岗位角色和权限的匹配规范, 提供岗位角色和权限对应的矩阵列表 , 确保职责不相容;2. 运 维 人 员 应 向 上 一 级 主 管 提 出 帐 号 权 限 申 请 , 系 统 帐 号 管 理 员 应 按 照 权 限 最 小 化原则分配运维人员的帐号权限。3. 系 统 帐 号 管 理 人 员 要 定 期 对 系 统 帐 号 使 用 情 况 、 权 限 、 口 令 等 进 行 检 查 稽 核 ,确认帐号、权限的有效性,并对存在的问题进行整改。第44条 第三方帐号管理:1. 对 于 外 部 人 员 需 使 用 B
26、OSS等 涉 敏 感 信 息 系 统 帐 号 的 情 况 , 应 和 第 三 方 厂 商 签 订 相关的安全保密协议,以保证第三方厂商能够遵守中国电信的安全管理要求。2. 禁止第三方人员使用内部员工的系统帐号访问系统,第三方人员帐号在系统中统一管理。3. 第三方人员应该使用单独的帐号,禁止多个第三方人员使用同一个帐号。4. 禁 止 第 三 方 人 员 掌 握 系 统 管 理 员 权 限 , 禁 止 第 三 方 人 员 拥 有 创 建 系 统 帐 号 的 权 限 、查 询 涉 及 客 户 敏 感 信 息 、 控 制 网 元 的 权 限 或 者 超 出 工 作 范 围 的 其 它 高 权 限 帐号
27、。5. 特殊情况下, 第三方人员若需要获得系统管理员权限, 应临时授权 , 工作完成后及时收回权限。6. 应 参 照 运 维 人 员 帐 号 管 理 要 求 , 定 期 对 第 三 方 帐 号 、 权 限 、 口 令 进 行 严 格 检 查稽核。7. 各 公 司 应 对 第 三 方 帐 号 申 请 、 回 收 、 授 权 、 有 效 期 等 环 节 进 行 严 格 管 理 , 并 制 定管理办法,确保第三方人员发生离职或岗位变动时能及时清理其帐号。第45条 其它的帐号、 权限和口令管理具体要求请参见附录六和 中国电信帐号口令管理细则 。第 六 章 客 户 敏 感 信 息 操 作 的 管 理第46条 对客户敏感信息操作的人员包括业务人员、 运维支撑人员、 开发人员等, 这些人员经授权后可以获得客户信息,但应遵循相应的管理要求。第一节 业务人员对客户敏感信息操作的管理第47条 业务人员的范围参见第四章第一节规定;