中国电信信息安全管理规范中国电信客户信息安全管理规范
中国电信集团公司
2010年12月
目录
第一章总则 (3)
第二章客户信息的内容及等级划分 (4)
第一节客户信息的内容 (4)
第二节客户信息等级划分 (4)
第三节存储及处理客户信息的系统 (4)
第三章组织与职责 (5)
第四章岗位角色与权限 (6)
第一节业务部门岗位角色与权限 (6)
第二节运维支撑部门岗位角色与权限 (8)
第五章帐号与授权管理 (9)
第六章客户敏感信息操作的管理 (10)
第一节业务人员对客户敏感信息操作的管理 (11)
第二节运维支撑人员对客户敏感信息操作的管理 (11)
第三节数据提取管理 (12)
第七章客户信息安全检查 (13)
第一节操作稽核 (13)
第二节合规性检查 (14)
第三节日志审计、例行安全检查与风险评估 (14)
第八章客户信息系统的技术管控 (15)
第一节系统安全防护 (15)
第二节帐号认证管控要求 (15)
第三节远程接入管控 (16)
第四节客户敏感信息泄密防护 (16)
第五节系统间接口管理 (17)
第九章第三方管理 (18)
第十章数据存储与备份管理 (19)
第十一章客户信息泄密的处罚 (19)
附录 (21)
附录一:客户信息分类表 (21)
附录二:客户信息分级 (22)
附录三:客户敏感信息分布 (23)
附录四:业务部门和支撑部门岗位角色 (24)
附录五:业务人员对客户敏感信息的操作流程 (24)
附录六:帐号口令管理细则 (25)
附录七:异常操作行为特征 (26)
第一章总则
第1条为了加强全政企客户信息安全管理,规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境,降低客户信息被违法使用和传播的风险,特制定本规范。第2条客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。
客户信息的载体包括“IT系统数据”和“实体介质档案”两种形式。
第3条保护客户信息安全及其合法权益是中国电信应承担的企业社会责任,中国电信的各级员工应严格遵守相关要求,保护客户信息安全,严禁泄露、交易和滥用客户信息。
第4条中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为,并向公司上级领导或信息安全管理人员及时反映情况。
第5条客户信息的生命周期结束后,中国电信的各级组织有义务和权力根据相关的法律、法规及合同约定,妥善的处理客户信息以及与客户信息相关的数据和载体。
第6条客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。
第7条客户信息安全面临的风险和威胁主要包括:因为权限管理与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。
第8条中国电信各相关部门及省公司应定期组织客户信息安全评估和检查,对发现的隐患及时整改。
第9条客户信息安全管理应遵循“谁主管谁负责,谁使用谁负责”的原则。
第10条本规定是全集团进行客户信息安全管理工作的基本依据。各省市公司和各部门可根据工作需要,结合本单位的具体情况制定相应的实施细则或补充规定,做好客户信息安全管理工作。
第11条本规定适用于总部和各省市公司,适用于客户信息的使用人员、运维人员、开发测试人员、管理人员和安全审计人员。
第12条本规定的解释权属于中国电信集团公司企业信息化部。
第二章客户信息的内容及等级划分
第一节客户信息的内容
第13条客户信息包括客户基本资料、客户身份鉴权信息、客户通信信息、客户通信内容信息等四大类。客户信息的详细内容见附录一。
第14条客户基本资料包括但不限于:政企客户资料、个人客户资料、家庭客户资料、各类特殊名单。
第15条客户身份鉴权信息包括但不限于:客户的服务密码、客户登录各种业务系统的密码。
第16条客户通信信息包括但不限于:详单、账单、客户消费信息、基本业务订购关系、增值业务、数据业务订购关系等。
第17条客户通信内容信息包括但不限于:客户通信内容记录、移动上网内容及记录、行业应用平台上交互的信息内容、各种业务平台上的行为信息。
第二节客户信息等级划分
第18条客户信息等级分类按照客户信息对第三方的价值划分为高价值信息,中价值信息和低价值信息,具体划分方法请参见附录二。
第三节存储及处理客户信息的系统
第19条存储和处理客户信息的支撑系统包括但不限于:BOSS域、EDA域、MSS域、网管系统、客户服务支撑系统等。
第20条存储和处理客户信息的业务平台包括但不限于: ISMP-BMW平台、协同通信平台、商企平台、189邮箱、手机报、天翼live、互联星空、BREW平台、基地平台、终端自注册平台等。
第21条存储和处理客户信息的通信系统包括但不限于:短信网关、综合接入网关(ISAG)、HLR、WAP网关、关口局等。
第22条其他各省公司自建或合作运营的包含客户信息的系统等。
第23条集团级系统和省级系统均在本规范要求覆盖的范围内。
第三章组织与职责
第24条各省公司客户信息安全的统一归口管理部门是各省的信息安全管理责任部门。
第25条各部门应负责各自主管的业务系统的客户信息安全保护,明确各业务系统的客户信息安全责任人,按照本规定落实业务系统的安全管理要求。
第26条信息安全管理责任部门的职责:
1.负责客户信息安全的全面管理;
2.组织制定统一的客户信息安全保护管理规定和实施细则;
3.组织制定客户信息安全保护管理的制度、策略;
4.组织研究客户信息安全保护的技术手段;
5.负责收集、汇总客户信息泄密事件;
6.定期组织客户信息安全管理专项检查;
7.牵头组织进行客户信息泄密事件的查处;
8.负责客户信息安全事件的对外解释口径。
第27条涉及客户信息的业务管理部门职责:
1.负责规范本部门访问客户信息的业务人员岗位角色及其职责;
2.负责主管的业务系统的客户敏感信息安全保护,建立落实管理制度和实施细则;
3.负责业务层面客户信息安全的日常管理和审计工作;
4.负责受理客户信息泄密事件的投诉、上报;
5.制订对业务合作伙伴的信息泄露的惩罚措施及具体实施;
6.协助完成客户信息泄密现象的市场调查;
7.协助进行客户信息泄密事件的查处。
第28条运维支撑部门的职责:
1.负责所运维的涉及客户信息的系统和平台技术层面的客户信息安全保障和稽查工
作;
2.负责所主管系统的客户敏感信息安全保护,建立落实管理制度和实施细则;
3.负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责;
4.做好对第三方的管理,包括组织签订保密协议,加强操作管理等;
5.负责规范所属系统和平台客户信息安全技术标准和访问流程;
6.协助主管部门查处客户信息泄密事件。
第29条其他相关部门的职责:
1.人力资源部门:组织有关员工签订保密承诺书,及时发布人员岗位变动、离职的
信息给帐号管理部门,参与对客户信息泄密人员的查处;
2.采购部门:应在系统规划、方案设计阶段,考虑客户信息安全保护的要求,并在合
统运营等环节涉及的客户信息保护负责;
3.企业信息化部:负责终端安全管理,应建立办公网客户信息的监控与防泄密机制;
4.纪检部:负责相关管理规定的监察、违规行为的调查审核、违规人员的处罚判
决;
5.审计部:负责开展客户信息风险的审计。
第四章岗位角色与权限
第30条帐户的权限分配应当遵循“权限明确、职责分离、最小特权的原则”的原则。原则上一个帐号对应一个用户,而一个帐号拥有的权限是由其被赋于的岗位角色所决定的,应按照角色或用户组进行授权,而不是将单个权限直接赋予一个帐号。
第31条各省公司应对使用BOSS域、EDA域及其他涉及客户信息的业务系统的岗位角色进行梳理,对权限相近的岗位角色进行合并,并对岗位角色的权限进行规范。在BOSS域、EDA域等涉及客户信息的系统中,岗位角色应当根据企业、部门的组织结构和职责分配而设定;同时,应当根据岗位角色的需要对相关人员进行授权,不能根据人员需求或变更而设定岗位角色。不同的岗位角色拥有不同的权限。
第一节业务部门岗位角色与权限
第32条业务部门是指市场部、政企客户部、公众客户部等使用客户信息的部门。
第33条业务部门经过授权的员工是客户信息的使用者。原则上,经授权的业务部门的员工可以访问BOSS、EDA或其他业务平台系统的客户信息,但不得拥有批量导出客户信息的权限。
第34条业务部门的岗位角色主要包括:涉及各省公司市场部、政企客户部、公众客户部等部门的产品管理、市场计划与营销、业务运营、运营系统支撑、客户接触类等5大类角色,具体岗位角色见附录四。
1.角色1:产品管理
1) 岗位包含举例:产品研发、产品经理、行业经理等细项岗位;
2) 岗位说明:该类岗位角色主要指各省业务部门具体负责产品研发、推广的岗
位。
3) 权限要求:
?可以查看对应产品所涉及的客户信息;
?仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、
2.角色2:市场计划与营销
1)岗位包含举例:市场运营分析、服务营销策划、渠道管理、传播管理等细项岗
位;
2)岗位说明:该类岗位角色主要指各省业务部门具体负责后台分析、营销及其他
管理工作的岗位。
3)权限要求:
?该角色人员只可查询系统中的统计数据,不应授予查询、操作客户敏感信息的权限,如因工作确需接触客户敏感信息,请按照“数据
提取”的相应规定进行;
3.角色3:业务管理
1) 岗位包含举例:业务管理、服务质量管理、合作管理、业务运营管理、业务
运营支撑等细项岗位;
2) 岗位说明:该类岗位角色主要指各省业务部门负责业务运营、支撑、服务质
量等细项业务处理的岗位;
3) 权限要求:
?根据具体岗位的不同,考虑具体工作的需要,可以查看相应权限所涉及的客户敏感信息;
?仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。
4.角色4:运营系统支撑
1) 岗位包含举例:业务系统管理、系统运营支撑等细项岗位;
2) 岗位说明:该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。
3) 权限要求:
?该角色人员负责部门系统帐号、口令的管理,配合业支部门进行相应系统的开发、运营和维护,可以查看相应权限所涉及的客户敏感
信息;
?仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。
5.角色5:客户接触
1) 岗位包含举例:客户服务营销、渠道服务营销、营业厅服务营销、电子渠道
服务营销等细项岗位;
2) 岗位说明:该类岗位角色主要是指各省业务部门的各项渠道中直接服务于客
户的一线岗位。
3) 权限要求:
权限所涉及的客户敏感信息;
?直接为客户办理业务的岗位,应按最小授权原则,可授予增加、删
除、修改、批量导入与导出、批量开通与取消、批量下载等针对客
户敏感信息操作的部分权限,但必须有严格的日志记录;
?不直接面对客户的岗位,仅具有查询权限,不应授予增加、删除、修
改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感
信息的操作权限。
第35条业务人员的授权管理:
1) 按照附录六《帐号及口令管理细则》相关要求进行权限分配,提供给相关人
员。
2) 角色5的岗位,可在严格审批流程后得到授权,在系统中根据需要对授权范围
内的客户敏感信息进行相应操作,但需有明确详细的日志记录;
3) 若要对客户信息进行增、删、改、批量导入、导出、为客户批量开通、取消
业务等操作,需经过严格的审批流程后方可实现;
4) 除角色5外的其他角色,可在严格审批流程后得到授权,查看所需要的、授权
范围内的客户敏感信息,但严禁对客户敏感信息进行相应其他操作,具体操
作包括:增、删、改、批量导入、批量导出等;
5) 所有敏感数据的读取及修改操作的责任都能落实到人,根据信息泄漏途径的
归属确定每项敏感数据在该途径的“责任人”;
6) 对由于业务人员造成的敏感信息安全问题承担相应责任。
第二节运维支撑部门岗位角色与权限
第36条运维支撑部门是指企业信息化部、网络发展部等能运维管理涉及客户信息系统的部门。
第37条经过运维支撑部门授权的员工是客户信息系统的运维管理者,经授权的员工拥有查询、增加、删除、修改、批量导入导出、批量开通与取消、批量下载等操作客户信息的部分权限。
第38条运维支撑部门的岗位角色主要包括运行维护、开发测试、生产运营3大类角色。
第39条角色1:运行维护
1)岗位包含举例:主机管理员、网络管理员、数据库管理员、应用管理员、配置
管理、服务监控、安全管理。
2)岗位说明:该类岗位主要包括各省公司负责涉及客户敏感信息的系统的维护管
理和服务监控的人员。
?主机管理员、网络管理员、数据库管理员、配置管理员等超级管理
员无权查询客户信息;
?应用管理员有查询权限,按照最小授权原则授权,可授予增加、删
除、修改、批量导入与导出、批量开通与取消、批量下载等针对客
户敏感信息操作的部分权限,但必须有严格的日志记录;
?具有批量操作权限的人员应指定专人,人员范围应尽量小。
第40条角色2:开发测试
1)岗位包含举例:架构管理、系统设计、应用开发、应用测试、项目建设管理等;
2)岗位说明:该类岗位主要包括各省公司负责涉及客户敏感信息的系统的设计、
研发、测试以及项目建设管理人员。
3)权限要求:
?开发测试人员原则上不能接触生产系统数据;
?开发测试人员仅具有测试系统的操作权限,开发测试系统需要涉及
到客户敏感数据信息的内容,原则上使用过期数据或是模糊化处理
之后的数据。
第41条角色3:生产运营
1)岗位包含举例:投诉管理、运营分析、出帐管理、数据质量支撑、安全审计等;
2)岗位说明:该类岗位主要包括各省公司负责业务支撑系统的投诉管理、运营分
析等生产运营相关人员。
3)权限要求:
?若涉及投诉处理、批量业务操作的需要,按照最小授权原则,可授
予查询,修改,批量导入导出的权限,授权人员范围应尽量小。
第五章帐号与授权管理
第42条业务帐号管理:
1.业务系统的应用帐号应该由业务部门主管,业务部门必须制定岗位角色和权限的
匹配规范,提供岗位角色和权限对应的矩阵列表,确保职责不相容。
2.业务部门需指定专人(业务管理员)负责所管辖业务系统的帐号权限分配,明确
所管辖业务系统的帐号权限申请审批流程。
3.业务管理员应将所管辖业务系统的岗位角色权限矩阵变更申请及应用层帐号权限
变更申请提交主管领导审批,严格限制系统关键功能和超级帐号的授权。
4.业务管理员需要定期组织业务系统帐号使用情况的检查稽核,确认业务系统中用
求。
第43条运维帐号管理:
1.系统运维支撑部门应指定专人(系统帐号管理员)负责运维帐号和权限的管理工
作,制定岗位角色和权限的匹配规范,提供岗位角色和权限对应的矩阵列表,确
保职责不相容;
2.运维人员应向上一级主管提出帐号权限申请,系统帐号管理员应按照权限最小化
原则分配运维人员的帐号权限。
3.系统帐号管理人员要定期对系统帐号使用情况、权限、口令等进行检查稽核,确
认帐号、权限的有效性,并对存在的问题进行整改。
第44条第三方帐号管理:
1.对于外部人员需使用BOSS等涉敏感信息系统帐号的情况,应和第三方厂商签订相
关的安全保密协议,以保证第三方厂商能够遵守中国电信的安全管理要求。
2.禁止第三方人员使用内部员工的系统帐号访问系统,第三方人员帐号在系统中统
一管理。
3.第三方人员应该使用单独的帐号,禁止多个第三方人员使用同一个帐号。
4.禁止第三方人员掌握系统管理员权限,禁止第三方人员拥有创建系统帐号的权
限、查询涉及客户敏感信息、控制网元的权限或者超出工作范围的其它高权限帐
号。
5.特殊情况下,第三方人员若需要获得系统管理员权限,应临时授权,工作完成后
及时收回权限。
6.应参照运维人员帐号管理要求,定期对第三方帐号、权限、口令进行严格检查
稽核。
7.各公司应对第三方帐号申请、回收、授权、有效期等环节进行严格管理,并制定
管理办法,确保第三方人员发生离职或岗位变动时能及时清理其帐号。
第45条其它的帐号、权限和口令管理具体要求请参见附录六和《中国电信帐号口令管理细则》。
第六章客户敏感信息操作的管理
第46条对客户敏感信息操作的人员包括业务人员、运维支撑人员、开发人员等,这些人员经授权后可以获得客户信息,但应遵循相应的管理要求。
第一节业务人员对客户敏感信息操作的管理
第47条业务人员的范围参见第四章第一节规定;
第48条涉及客户敏感信息的批量操作(批量查询、批量导入导出、批量为客户开通、取消或变更业务等),必须遵循相应的审批流程,通过业务管理部门审核,具体流程参见附录五;
第49条业务人员因业务受理、投诉处理等情况下需要查询或获取客户信息时,应遵循如下要求:
1.涉及客户普通资料的查询,服务营销人员要获得客户的同意,并且按照正常的鉴
权流程通过身份认证。鉴权一般采取有效证件或服务密码验证,并保留业务受理
单据。
2.涉及客户通话详单、政企客户详细资料等客户敏感信息的查询,客户接触人员只
能在响应客户请求时,并且客户自身按照正常流程通过身份鉴权的情况下,协助
客户查询;禁止客户接触人员擅自进行查询;查询需保留业务受理单据。
3.除客户接触外的业务人员,因投诉处理、营销策划、经营分析等工作需要查询
和提取客户敏感信息的,业务管理部门应建立明确的操作审批流程,定期进行
严密的事后稽核与审查;
4.对敏感数据的批量操作,需要在指定地点、指定设备上进行操作,相关设备必须
进行严格管控,对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进
行严格管控,防止数据泄漏。
第二节运维支撑人员对客户敏感信息操作的管理
第50条运维支撑人员的范围参见第四章第二节规定。
第51条运维支撑部门需制定并维护业务系统层角色权限矩阵,明确生产运营、运行维护、开发测试等岗位对客户敏感信息的访问权限。
第52条运维支撑人员对业务系统应用层的访问权限必须经过业务管理部门审批,对系统层访问权限必须经过本部门领导审批。
第53条运维支撑人员因统计取数、批量业务操作对客户敏感信息查询、变更操作时必须有业务管理部门的相关公文,并经过部门领导审批。
第54条运维支撑人员因业务投诉、统计取数、批量业务操作、批量数据修复等进行的客户敏感信息查询、变更必须提交操作申请,按照要求进行操作,不得扩大操作范围,在工单中保留操作原因和来源的工单(公文)编号,并由专人负责审核。
第55条运维支撑人员因应用优化、业务验证测试需要查询、修改客户敏感信息数据,只能利用测试号码进行各项测试,不得使用客户号码。
第56条运维支撑人员因系统维护进行客户敏感信息的数据迁移(数据导入、导出、备份)必须填写操作申请,并经过部门主管审批。
第57条严禁运维支撑人员向开发测试环境导出客户敏感信息,对需导出的信息必须经过申请审批,并进行模糊化处理。
第58条对敏感数据的批量操作,需要在指定地点、指定设备上进行操作,相关设备必须进行严格管控,对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进行严格管控,防止数据泄漏。
第三节数据提取管理
第59条因生产分析、市场策划等活动需要,各省、地市分公司业务部门可能存在从业务支撑系统中批量取数需求。批量取数存在较大的安全隐患,各省公司应从管理和技术上加强管控,防止客户敏感信息泄密事件发生。
第60条数据提取的范围包括省公司各业务部门及地市分公司要求需要从各支撑系统中提取的各种生产数据和运营信息。
第61条各省、市公司数据需求部门由指定人员担任数据分析员,负责该部门的数据提取需求;由该部门或上级业务管理部门负责需求的审核;支撑部门需由指定专人担任数据管理员,负责数据提取需求的复核及提取;如发生人员变动,应及时更新并重新通知。
第62条为确保数据安全,数据管理员不得将取数结果交付给非需求人员。非数据管理员不接收取数申请,也不得将提取数据直接发给相关需求人员。
第63条数据分析员应对所提需求所涉及的客户信息进行审核并对需求内容作详细描述,数据管理员有责任进行复核并尽量减少客户敏感信息的提取。原则上数据管理员应该只接受统计、分析类取数需求,不应该接受批量客户敏感信息的取数需求,如遇到特殊情况(如客户关怀、二次营销等情况),必须遵循相应的审批流程。
第64条业务部门按照相应流程将数据提取需求发给取数部门,数据提取部门不得将数据提取结果直接发给需求人员,数据提取结果必须为受控文档,并在指定平台上进行编辑和处理,不得存放在指定平台外的任何主机上。
第65条受控文档是指采用加密、授权、数字水印、数字签名等技术手段对文档进行安全保护后的文档,具体方法参见第八章。受控文档脱离中国电信的办公环境后,应无法打开。
第66条数据提取的检查稽核必须由专人负责,检查稽核人员应每月对日常数据提取情况进行检查稽核,检查稽核内容包括:数据提取需求审核分析的规范性、数据提取需求执行的规范性、数据提取复核的规范性和资料归档的及时性、完整性。安全人员应记录
第67条公检法等司法机关为满足司法取证等需要而查询客户信息时,应提交正式介绍信并进行留存,由相关主管领导批准后,方可以提交业务支撑部门查询取数。
第七章客户信息安全检查
第68条安全检查主要分为“操作稽核”、“合规性检查”、“日志审计、例行安全检查与风险评估”。
第69条各公司业务主管部门和运维部门负责开展日常的安全检查,信息安全安全管理责任部门进行专项安全检查、抽查。
第70条各公司信息安全管理责任部门负责客户信息安全检查情况汇总,梳理存在问题,通报结果;针对发现重大安全隐患或违规行为,应向公司管理层汇报。
第71条信息安全管理责任部门针对安全检查过程中发现的突出问题,牵头协调各部门提出改进方案,并要求相关部门落实解决,并对改进措施落实情况进行跟踪检查。
第一节操作稽核
第72条操作稽核是对操作日志与工单等原始凭证进行比对,分析查找违规行为。
第73条操作稽核的基本要求:
1.各业务部门和运维支撑部门应根据“职责不相容”原则设置独立的安全员,安全
员应与系统管理员、业务操作人员分开,安全员应定期开展安全审计、稽核与检
查。
2.涉及客户信息的各系统应全面记录帐号与授权管理、系统访问、业务操作、客户
敏感信息操作等行为,确保日志信息的完整、准确,对不符合要求的应由主管部
门牵头落实系统的整改。
3.各系统用于安全检查的原始日志记录内容应至少包括:操作帐号、时间、登录
IP地址、登陆的MAC地址、详细操作内容等。日志不应明文记录帐号的口令、通
信内容等系统敏感信息和客户敏感信息。
4.各系统主管部门应加强系统原始日志访问管理,除日志日常维护涉及数据迁移
外,任何人不得对日志信息进行更改、删除。
5.用于客户信息安全检查、稽核的原始日志必须单独保存,各系统主管部门要制定
数据存储备份管理制度,定期对原始日志进行备份归档,所有客户敏感信息操作
原始日志在线至少保留3个月,离线至少保留1年。
6.各使用部门应保留所有客户敏感信息操作的凭据,确保真实有效,凭据至少保留
1年。
1.各公司信息安全管理责任部门牵头制定省内客户信息安全操作稽核策略,各业务
管理部门配合完成所辖业务系统稽核策略的制定。安全检查策略需明确检查对
象、检查频度、检查方法。对于策略变更必须明确管理流程,详细记录变更起
始、终止状态以及变更内容。
2.在操作稽核频度与抽样比例上,要求高价值客户敏感信息访问要求每天进行全量
稽核,中价值客户敏感信息访问至少按周稽核,日志抽样比率不低于5%,低价值
客户敏感信息访问至少按月稽核,日志抽样比率不低于2%。
第二节合规性检查
第75条合规性检查重点是依据本管理规范要求进行检查,检查相关要求的落地情况;
第76条各公司应明确客户信息安全检查工作任务,包括检查目标、范围、参与人员、任务分工及相应流程。
第77条各相关部门根据公司制定的检查任务,安排专人或采取交叉方式负责本部门客户信息安全合规性检查,对检查结果进行归档,编写检查报告。
第78条各公司每半年应对存有客户信息的系统进行至少1次合规性检查。
第三节日志审计、例行安全检查与风险评估
第79条日志审计,对所有日志按关键功能、关键角色、关键帐号、关键参数,进行审计检查。及时发现异常时间登录、异常IP登录、异常的帐号增加和权限变更、客户信息增删改查、批量操作等敏感操作。
第80条各分公司须对可能发生的异常操作行为进行重点审计,异常操作行为特征见附录七。
第81条例行安全检查是指运维支撑部门对所负责维护的系统进行的常规性安全检查,包括漏洞扫描、基线检查等。
第82条例行安全检查属于日常维护检查的范畴,频次为每日或每周至少一次。
第83条风险评估是结合系统运行过程中出现的问题、行业中新出现的信息安全风险,对系统面临的威胁、存在的弱点、造成的影响,以及三者综合作用带来风险的可能性进行评估。
第84条客户信息系统的风险评估频次原则上为每半年一次。但在重大活动或敏感时期,应根据上级单位要求开展专项风险评估。
第85条风险评估侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程漏洞、通信协议中存在的漏洞和弱口令等等。风险评估以各系统的运维支撑部门自评估为主、信息安全管理责任部门抽查相结合的方式进行。
第八章客户信息系统的技术管控
第一节系统安全防护
第86条对客户敏感信息系统,应采取必要的安全技术手段,重点防护:
1.系统应位于核心安全域,安全域边界采用防火墙等防护手段;
2.必须严格管理和限制涉及客户信息的系统与其他系统的互联互通的能力和范
围;
3.安全边界的网络设备、安全设备应定期进行安全评估和检查,及时修补漏洞,杜
绝弱口令。
第87条加强系统自身安全:
1.系统在设计阶段,应当根据接口和流程涉及到客户信息的类型和操作类型(查
询、修改、增删),来定义安全需求,并设计完整的信息安全技术方案;
2.建立“安全准入制度”,在系统交付阶段分别对系统的接口与流程的安全性进行
评估。未达到安全要求的系统原则上应拒绝验收上线,对需紧急上线的系统,
经主管领导批准后可予以上线,但建设部门应同时要求系统集成商制定相应的
整改计划,并在完成整改前实施有效的替代措施。
3.做好上线前的安全评估,封堵和修补系统、数据库、中间件、应用层的漏洞,升
级安全补丁,防止系统被攻击和入侵。
第88条做好日常安全运维:
1.做好客户信息相关系统的日常安全监控,建立、完善个系统的告警分析与应急响
应流程。
2.定期检查客户信息相关系统的安全性(重大变更与系统升级后也需进行),及时修
补发现的安全漏洞。
第二节帐号认证管控要求
第89条为了从技术上限制非授权用户接触客户敏感信息,原则上,涉及客户敏感信息的支撑系统、业务平台、通信系统等应实现强认证,系统内的授权、鉴权、审计功能要充分支撑本规范的相关管理要求。
第90条运维人员应该进行强认证后,才能登陆访问后台系统。
第91条各系统必须支撑对用户访问敏感数据的将安全,并支撑对用户访问客户敏感信息操作日志的审计。
1.系统应实现强身份认证;
2.系统应实现基于管控安全策略的访问控制和授权管理、访问鉴权。
3.系统应实现安全审计管理,收集、记录、管理用户对高敏感度的数据访问和关键
操作行为记录;
4.系统应提供完善的帐号生命周期管理能力;
5.用户对高价值敏感数据进行访问时,系统能支撑短信、邮件等方式告警;
6.系统应能对用户异常的、不合理的操作行为进行监控和告警;
第三节远程接入管控
第93条原则上,远程接入帐号只能授予内部员工;如第三方因特殊情况需要通过远程登录访问系统,可根据系统主管授权,临时开通远程登录功能,并对远程登录操作进行监控(或事后及时审阅相应的操作日志记录)。
第94条远程登录必须进行集中认证、授权和审计,应遵循权限最小化原则,开放用户能访问的系统及权限。
第95条应对远程接入用户的登陆过程、操作行为进行记录(包括但不限于以下信息:用户名、操作内容、登陆方式、登入时间、登出时间)。
第96条通过远程接入方式进入公司网络的用户,应严格限制其接触客户敏感信息。
第四节客户敏感信息泄密防护
第97条因工作需要从支撑系统、业务平台或通信系统中提取的以文件形式存在客户敏感信息时,应从技术手段上防止其被泄密。可以采用防泄密技术手段包括文档安全管理、终端安全管理、敏感信息监控等。
第98条文档安全管理应实现如下功能:
1.文档加密解密;
2.基于用户角色或主机的文档授权,限制被授权的特定用户或终端才能打开受控文
档,未被授权的人或终端无法打开文档;
3.实现文档权限控制(阅读、编辑、复制、拖放、打印、保存、另存为、阅读时间、
打印次数及文档有效期等)
第99条对能处理客户敏感信息的终端,应有终端安全管理措施:
1.应统一安装防病毒软件,限制移动存储介质的使用,限制无线网络的使用;
2.应有统一的接入控制,执行统一的安全策略;
3.定期对扫描终端漏洞,及时升级补丁;
4.定期扫描或检查终端上是否存在涉客户敏感信息的文件;
5.防止通过移动硬盘、U盘、光驱、软驱等外设途径泄密;
6.防止通过网络打印、本地打印等途径泄密;
7.防止通过截屏、录像等途径泄密;
第100条在业务支撑网和OA网内,对传输客户敏感信息,可在网络或终端侧进行敏感信息监控:
1.对通过QQ、MSN、电子邮件、HTTP等网络途径泄密客户敏感信息进行监控;
2.对监控到的批量传输客户敏感信息的行为进行预警。
第101条各公司应根据实际需要采用综合的技术管控手段,防止涉客户敏感信息的文件泄密。
第102条各公司应对可能泄密的途径进行深入分析,及时发现可能存在的漏洞,从技术手段上进行限制,形成固定的分析机制,防患于未然。
第五节系统间接口管理
第103条被访问敏感信息系统应具备安全可靠的接入鉴权机制。只有通过鉴权后才能访问接口,对于非法的访问能够进行告警并有完整的日志记录;
第104条提供完善的数据传输保护机制,包括数据加密、完整性校验等手段。对于跨越互联网或不同等级安全域之间的数据传输,必须进行加密,以实现数据传输的安全。第105条对接口的所有请求和响应都要进行详细的日志记录,便于后期的分析和审计。
第九章第三方管理
第106条第三方公司是指与中国电信在业务上具有合作关系,或是向中国电信提供服务(如:代维、SP)的公司;在双方发生合作或服务关系的时候,有可能接触到中国电信客户信息的公司。
第107条第三方系统是指为中国电信服务或合作运营的系统,这些系统可能不在中国电信机房内,但能通过接口与中国电信的系统发生数据交互从而获得客户敏感信息;第108条第三方人员是指为中国电信提供开发、测试、运维等服务或参与合作运营系统管理的人员,可能接触到客户敏感信息。
第109条各单位应与第三方公司签订保密协议,在协议中明确第三方公司及其参与项目的员工的保密责任以及违约罚则。
第110条原则上,各单位还应要求第三方公司与中国电信签订信息安全承诺书,严禁发生如下行为:
1.窃取、泄露、滥用客户信息;
2.利用系统漏洞损害中国电信或中国电信用户的利益;
3.修改业务信息、强制或伪造订购业务等;
4.在已上线使用的系统中留存后门。
第111条第三方人员进入中国电信生产区域或者登录中国电信系统操作时,应遵循中国电信的全部安全管理制度和规范。
第112条第三方人员工作区域应与中国电信的生产、内部办公、维护区域分离,并应采用更严格的访问控制策略和管控手段。
第113条第三方人员使用的测试数据不应当反映现网客户的真实信息,必须是经过模糊化处理的数据;
第114条第三方的人员进入可能接触到客户信息的生产或维护区域,应当有相应的审批制度。
第115条第三方工作区域的终端接入中国电信的内部网络应有严格的接入认证,并严格限制U盘等外设拷贝,限制对WLAN、3G等无线上网的使用,要求统一安装防病毒软件。第116条各单位应定期对现场服务的第三方终端进行涉敏感信息检查;
第117条第三方人员转岗或离岗前,第三方公司需要提交第三方人员转岗或离岗申请书,主管部门根据本规定,完成第三方人员的帐号回收、审计稽核、网络调整等工作,并签署转岗或离岗审批意见,方可转岗或离岗。
第118条定期对系统内的第三方人员帐号进行有效性审计。
第119条第三方系统接入的要求:
2.第三方系统若需要保存部分客户敏感资料,应经过业务主管部门审批,原则上第
三方系统不能保存高价值的客户信息;
3.第三方系统的安全配置和防护,应达到中国电信的相关安全要求;
4.第三方系统退出服务时,业务主管部门应及时通知支撑部门关闭相应接口;
5.各业务主管部门应定期对第三方系统进行安全检查。
第十章数据存储与备份管理
第120条对于存有客户信息的物理介质(磁阵、硬盘和磁带等)的维护、更换、升级和报废等操作,必须有严格的管理办法。对于要离开系统的物理介质,必须采用有效的手段由专人彻底删除客户信息后,才可离开其所在的安全区域。如果要将存有客户信息的介质交给第三方,必须得到主管领导的审批。
第121条应采取有效的技术管理手段加强对涉及客户敏感信息的系统使用移动存储介质的管控。应记录移动介质输出客户信息和文件的详细信息,并定期审计。
第122条应制定管理规定对存放客户信息的电子文件或纸介质进行有效管理,规定其保存、传输、销毁等流程,防止客户信息泄漏。
第123条有明确的系统数据备份计划,并且留有备份日志,以供审计使用;能够及时正确对备份异常(失败、受损)进行告警。
第124条严格限制可访问备份数据的人员和帐户,对于直接访问备份或恢复系统数据的操作,必须得到主管领导的审批,由超级用户来执行。
第十一章客户信息泄密的处罚
第125条公司有权利根据国家的法律、法规和企业规章制度,对于发现的任何侵害客户信息安全的内部机构或个人采取相应的处罚措施。
第126条对与中国电信有合作关系的组织或个人,若发生泄密事件,应根据合同和相关要求进行处罚,涉嫌犯罪的,依法移交司法机关处理;
第127条若中国电信内部员工发生泄密事件,应根据信息安全事件造成的影响及相关责任主体的态度,作出如下处理:
1.批评教育:包括责令责任主体检查、诫勉谈话等;
2.书面检查:责令责任主体向上级主管部门作出书面检查;
3.通报批评:在公司范围内对责任主体发文通报;
4.绩效处分:降低或扣除责任主体绩效,纳入月度或年度考核;
任人予以行政处分,直至开除。
6.法律责任:如涉嫌犯罪的,则移交司法机关处理。
7.以上方式可以单独适用,也可以同时适用。
第128条发生客户信息泄密事件,由信息安全责任部门组织有关部门联合进行责任认定,按照各单位具体处罚办法对相关直接责任人和负有领导责任的人进行处罚。