中国移动客户信息安全保护管理规定

- 1 - 中国移动中国移动 客户信息安全客户信息安全保护保护管理管理规定规定 中国移动通信有限公司中国移动通信有限公司 二二?一一?年六月年六月 - 2 - 目录目录 第一章第一章 总总 则则. 3 3 第二章第二章 客户信息的内容及等级划分客户信息的内容及等级划分 . 4 4 第一节 客户信息的内容.4 第二节 客户信息等级划分.4 第三节 存储及处理客户信息的系统.4 第三章第三章 组织与职责组织与职责 . 5 5 第四章第四章 岗位角色与权限岗位角色与权限 . 6 6 第一节 业务部门岗位角色与权限.7 第二节 运维支撑部门岗位角色与权限.9 第五章第五章 帐号与授权管理帐号与授权管理 . 1111 第六章第六章 客户敏感信息操作的管理客户敏感信息操作的管理. 1212 第一节 业务人员对客户敏感信息操作的管理.12 第二节 运维支撑人员对客户敏感信息操作的管理 .13 第三节 数据提取管理.13 第七章第七章 客户信息安全检查客户信息安全检查 . 1515 第一节 操作日志稽核.15 第二节 合规性检查.16 第三节 日常例行安全检查与风险评估.17 第八章第八章 客户信息系统的技术管控客户信息系统的技术管控 . 1717 第一节 系统安全防护.17 第二节 集中4A管控要求.18 第三节 远程接入管控 .19 第四节 客户敏感信息泄密防护.19 第五节 系统间接口管理.20 第九章第九章 第三方管理第三方管理 . 2121 第十章第十章 数据存储与备份管理数据存储与备份管理. 2222 第十一章第十一章 客户信息泄密的处罚客户信息泄密的处罚. 2323 附录一：客附录一：客户信息分类表户信息分类表 . 2424 附录二：客户信息分级附录二：客户信息分级 . 2525 附录三：客户敏感信息分布附录三：客户敏感信息分布 . 2626 附录四：业务部门和支撑部门岗位角色附录四：业务部门和支撑部门岗位角色 . . 2727 附录五：业务人员对客户敏感信息的操作流程附录五：业务人员对客户敏感信息的操作流程. 2929 附录六：帐号口令管理细则附录六：帐号口令管理细则 . 3030 附录七：异常操作行为特征附录七：异常操作行为特征 . 3232 - 3 - 第一章第一章 总总 则则 第第1 1条条 为了加强全集团客户信息安全管理， 规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境， 降低客户信息被违法使用和传播的风险， 特制定本规定。 第第2 2条条 客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。客户信息的载体包括电子和纸质两种形式。 第第3 3条条 保护客户信息安全及其合法权益是中国移动应承担的企业社会责任， 中国移动的各级员工应严格遵守“五条禁令”的相关要求，保护客户信息安全，严禁泄露、交易和滥用客户信息。 中国移动员工有权利和义务制止对于任何可能危害客户信息安全的行为，并向公司上级领导或安全员举报。 第第4 4条条 客户信息的生命周期结束后，中国移动的各级组织有义务和权力根据相关的法律、法规及合同约定，妥善的处理客户信息以及与客户信息相关的数据和载体。 第第5 5条条 客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。 第第6 6条条 客户信息安全面临的风险和威胁主要包括： 因为权限管理与控制不当， 导致客户信息被随意处置；因为流程设计与管理不当，导致客户信息被不当获取；因为安全管控措施落实不到位，导致客户信息被窃取等。 第第7 7条条 中国移动各相关部门及省公司应定期组织客户信息安全评估和检查， 对发现的隐患及时整改。 第第8 8条条 客户信息安全管理应遵循“谁主管谁负责，谁使用谁负责”的原则。 第第9 9条条 本规定是全集团进行客户信息安全管理工作的基本依据。 各省市公司和各部门可根据工作需要， 结合本单位的具体情况制定相应的实施细则或补充规定， 做好客户信息安全管理工作。 第第1010条条 本规定适用于总部和各省市公司， 适用于与客户信息相关系统的使用人员、 运维- 4 - 人员、开发测试人员、管理人员和安全审计人员。 第第1111条条 本规定的解释权属于中国移动通信有限公司信息安全管理部。 第第二二章章 客户信息客户信息的的内容内容及等级划分及等级划分 第一节第