中国电信客户信息安全管理规范 - v0.1 - 20101227 - 图文

更新时间:2024-01-27 08:58:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

中国电信信息安全管理规范

中国电信客户信息安全管理规范

中国电信集团公司 2010年12月

- 1 -

中国电信信息

安全管理规范

目录

第一章 总 则 ................................................................................................................................. 3 第二章 客户信息的内容及等级划分 ..................................................................................... 4

第一节 客户信息的内容 ....................................................................................................... 4 第二节 客户信息等级划分 ....................................................................................................... 4 第三节 存储及处理客户信息的系统 ........................................................................................ 4 第三章 组织与职责 .................................................................................................................... 5 第四章 岗位角色与权限 ........................................................................................................... 6

第一节 业务部门岗位角色与权限............................................................................................ 6 第二节 运维支撑部门岗位角色与权限 .................................................................................... 8 第五章 帐号与授权管理 ........................................................................................................... 9 第六章 客户敏感信息操作的管理 ....................................................................................... 10

第一节 业务人员对客户敏感信息操作的管理 .................................................................. 11 第二节 运维支撑人员对客户敏感信息操作的管理 .......................................................... 11 第三节 数据提取管理 ............................................................................................................. 12 第七章 客户信息安全检查 ..................................................................................................... 13

第一节 操作稽核 ..................................................................................................................... 13 第二节 合规性检查 ............................................................................................................. 14 第三节 日志审计、例行安全检查与风险评估 ...................................................................... 14 第八章 客户信息系统的技术管控 ....................................................................................... 15

第一节 系统安全防护 ............................................................................................................. 15 第二节 帐号认证管控要求 ................................................................................................. 15 第三节 远程接入管控 ............................................................................................................. 16 第四节 客户敏感信息泄密防护 ............................................................................................. 16 第五节 系统间接口管理 ......................................................................................................... 17 第九章 第三方管理 .................................................................................................................. 18 第十章 数据存储与备份管理 ................................................................................................ 19 第十一章 客户信息泄密的处罚 ........................................................................................ 19 附录 ..................................................................................................................................................... 21

附录一: 客户信息分类表 ..................................................................................................... 21 附录二: 客户信息分级 ......................................................................................................... 22 附录三: 客户敏感信息分布 ................................................................................................. 23 附录四: 业务部门和支撑部门岗位角色 .............................................................................. 24 附录五: 业务人员对客户敏感信息的操作流程 .................................................................. 24 附录六: 帐号口令管理细则 ................................................................................................. 25 附录七: 异常操作行为特征 ................................................................................................. 26

- 2 -

中国电信信息

安全管理规范

第一章 总 则

第1条 为了加强全政企客户信息安全管理,规范客户信息访问的流程和用户访问权限以及

规范承载客户信息的环境,降低客户信息被违法使用和传播的风险,特制定本规范。 第2条 客户信息安全管理涵盖客户信息的产生、传输、存储、处理、销毁等各个环节。

客户信息的载体包括“IT系统数据”和“实体介质档案”两种形式。

第3条 保护客户信息安全及其合法权益是中国电信应承担的企业社会责任,中国电信的

各级员工应严格遵守相关要求,保护客户信息安全,严禁泄露、交易和滥用客户信息。

第4条 中国电信员工有权利和义务制止对于任何可能危害客户信息安全的行为,并向公

司上级领导或信息安全管理人员及时反映情况。

第5条 客户信息的生命周期结束后,中国电信的各级组织有义务和权力根据相关的法

律、法规及合同约定,妥善的处理客户信息以及与客户信息相关的数据和载体。 第6条 客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工

作方针。

第7条 客户信息安全面临的风险和威胁主要包括:因为权限管理与控制不当,导致客户

信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。

第8条 中国电信各相关部门及省公司应定期组织客户信息安全评估和检查,对发现的隐

患及时整改。

第9条 客户信息安全管理应遵循“谁主管谁负责,谁使用谁负责”的原则。

第10条 本规定是全集团进行客户信息安全管理工作的基本依据。各省市公司和各部门可

根据工作需要,结合本单位的具体情况制定相应的实施细则或补充规定,做好客户信息安全管理工作。

第11条 本规定适用于总部和各省市公司,适用于客户信息的使用人员、运维人员、开发

测试人员、管理人员和安全审计人员。

第12条 本规定的解释权属于中国电信集团公司企业信息化部。

- 3 -

中国电信信息

安全管理规范

第二章 客户信息的内容及等级划分

第一节

客户信息的内容

第13条 客户信息包括客户基本资料、客户身份鉴权信息、客户通信信息、客户通信内容信

息等四大类。客户信息的详细内容见附录一。

第14条 客户基本资料包括但不限于:政企客户资料、个人客户资料、家庭客户资料、各

类特殊名单。

第15条 客户身份鉴权信息包括但不限于:客户的服务密码、客户登录各种业务系统的密

码。

第16条 客户通信信息包括但不限于:详单、账单、客户消费信息、基本业务订购关系、

增值业务、数据业务订购关系等。

第17条 客户通信内容信息包括但不限于:客户通信内容记录、移动上网内容及记录、行

业应用平台上交互的信息内容、各种业务平台上的行为信息。

第二节 客户信息等级划分

第18条 客户信息等级分类按照客户信息对第三方的价值划分为高价值信息,中价值信息和

低价值信息,具体划分方法请参见附录二。

第三节 存储及处理客户信息的系统

第19条 存储和处理客户信息的支撑系统包括但不限于:BOSS域、EDA域、MSS域、网管系

统、客户服务支撑系统等。

第20条 存储和处理客户信息的业务平台包括但不限于: ISMP-BMW平台、协同通信平台、

商企平台、189邮箱、手机报、天翼live、互联星空、BREW平台、基地平台、终端自注册平台等。

第21条 存储和处理客户信息的通信系统包括但不限于:短信网关、综合接入网关

(ISAG)、HLR、WAP网关、关口局等。

第22条 其他各省公司自建或合作运营的包含客户信息的系统等。 第23条 集团级系统和省级系统均在本规范要求覆盖的范围内。

- 4 -

中国电信信息

安全管理规范

第三章 组织与职责

第24条 各省公司客户信息安全的统一归口管理部门是各省的信息安全管理责任部门。 第25条 各部门应负责各自主管的业务系统的客户信息安全保护,明确各业务系统的客户信

息安全责任人,按照本规定落实业务系统的安全管理要求。 第26条 信息安全管理责任部门的职责:

1. 负责客户信息安全的全面管理;

2. 组织制定统一的客户信息安全保护管理规定和实施细则; 3. 组织制定客户信息安全保护管理的制度、策略; 4. 组织研究客户信息安全保护的技术手段; 5. 负责收集、汇总客户信息泄密事件; 6. 定期组织客户信息安全管理专项检查; 7. 牵头组织进行客户信息泄密事件的查处; 8. 负责客户信息安全事件的对外解释口径。 第27条 涉及客户信息的业务管理部门职责:

1. 负责规范本部门访问客户信息的业务人员岗位角色及其职责;

2. 负责主管的业务系统的客户敏感信息安全保护,建立落实管理制度和实施细则; 3. 负责业务层面客户信息安全的日常管理和审计工作; 4. 负责受理客户信息泄密事件的投诉、上报;

5. 制订对业务合作伙伴的信息泄露的惩罚措施及具体实施; 6. 协助完成客户信息泄密现象的市场调查; 7. 协助进行客户信息泄密事件的查处。 第28条 运维支撑部门的职责:

1. 负责所运维的涉及客户信息的系统和平台技术层面的客户信息安全保障和稽查工

作;

2. 负责所主管系统的客户敏感信息安全保护,建立落实管理制度和实施细则; 3. 负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责; 4. 做好对第三方的管理,包括组织签订保密协议,加强操作管理等; 5. 负责规范所属系统和平台客户信息安全技术标准和访问流程; 6. 协助主管部门查处客户信息泄密事件。

第29条 其他相关部门的职责:

1. 人力资源部门:组织有关员工签订保密承诺书,及时发布人员岗位变动、离职的

信息给帐号管理部门,参与对客户信息泄密人员的查处;

2. 采购部门:应在系统规划、方案设计阶段,考虑客户信息安全保护的要求,并在合

同中纳入客户信息保密的条款;在系统交维前,对工程建设阶段的联调测试、系

- 5 -

中国电信信息

安全管理规范

统运营等环节涉及的客户信息保护负责;

3. 企业信息化部:负责终端安全管理,应建立办公网客户信息的监控与防泄密机制; 4. 纪检部:负责相关管理规定的监察、违规行为的调查审核、违规人员的处罚判

决;

5. 审计部:负责开展客户信息风险的审计。

第四章 岗位角色与权限

第30条 帐户的权限分配应当遵循“权限明确、职责分离、最小特权的原则”的原则。原则

上一个帐号对应一个用户,而一个帐号拥有的权限是由其被赋于的岗位角色所决定的,应按照角色或用户组进行授权,而不是将单个权限直接赋予一个帐号。 第31条 各省公司应对使用BOSS域、EDA域及其他涉及客户信息的业务系统的岗位角色进行

梳理,对权限相近的岗位角色进行合并,并对岗位角色的权限进行规范。在BOSS域、EDA域等涉及客户信息的系统中,岗位角色应当根据企业、部门的组织结构和职责分配而设定;同时,应当根据岗位角色的需要对相关人员进行授权,不能根据人员需求或变更而设定岗位角色。不同的岗位角色拥有不同的权限。

第一节 业务部门岗位角色与权限

第32条 业务部门是指市场部、政企客户部、公众客户部等使用客户信息的部门。

第33条 业务部门经过授权的员工是客户信息的使用者。原则上,经授权的业务部门的员工

可以访问BOSS、EDA或其他业务平台系统的客户信息,但不得拥有批量导出客户信息的权限。

第34条 业务部门的岗位角色主要包括:涉及各省公司市场部、政企客户部、公众客户部等

部门的产品管理、市场计划与营销、业务运营、运营系统支撑、客户接触类等5大类角色,具体岗位角色见附录四。 1. 角色1:产品管理

1) 岗位包含举例:产品研发、产品经理、行业经理等细项岗位;

2) 岗位说明:该类岗位角色主要指各省业务部门具体负责产品研发、推广的岗

位。 3) 权限要求:

? 可以查看对应产品所涉及的客户信息;

? 仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、

批量开通与取消、批量下载等针对客户敏感信息的操作的权限。

- 6 -

中国电信信息

安全管理规范

2. 角色2:市场计划与营销

1)岗位包含举例:市场运营分析、服务营销策划、渠道管理、传播管理等细项岗

位;

2)岗位说明:该类岗位角色主要指各省业务部门具体负责后台分析、营销及其他

管理工作的岗位。 3)权限要求:

? 该角色人员只可查询系统中的统计数据,不应授予查询、操作客户

敏感信息的权限,如因工作确需接触客户敏感信息,请按照“数据提取”的相应规定进行;

3. 角色3:业务管理

1) 岗位包含举例:业务管理、服务质量管理、合作管理、业务运营管理、业务

运营支撑等细项岗位;

2) 岗位说明:该类岗位角色主要指各省业务部门负责业务运营、支撑、服务质

量等细项业务处理的岗位; 3) 权限要求:

? 根据具体岗位的不同,考虑具体工作的需要,可以查看相应权限所

涉及的客户敏感信息;

? 仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、

批量开通与取消、批量下载等针对客户敏感信息的操作权限。

4. 角色4:运营系统支撑

1) 岗位包含举例:业务系统管理、系统运营支撑等细项岗位;

2) 岗位说明:该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。 3) 权限要求:

? 该角色人员负责部门系统帐号、口令的管理,配合业支部门进行相

应系统的开发、运营和维护,可以查看相应权限所涉及的客户敏感信息;

? 仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、

批量开通与取消、批量下载等针对客户敏感信息的操作权限。

5. 角色5:客户接触

1) 岗位包含举例:客户服务营销、渠道服务营销、营业厅服务营销、电子渠道

服务营销等细项岗位;

2) 岗位说明:该类岗位角色主要是指各省业务部门的各项渠道中直接服务于客

户的一线岗位。 3) 权限要求:

? 根据具体岗位的不同,考虑具体工作的需要,经过授权后查看相应- 7 -

中国电信信息

安全管理规范

权限所涉及的客户敏感信息;

? 直接为客户办理业务的岗位,应按最小授权原则,可授予增加、删

除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息操作的部分权限,但必须有严格的日志记录;

? 不直接面对客户的岗位,仅具有查询权限,不应授予增加、删除、修

改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。

第35条 业务人员的授权管理:

1) 按照附录六《帐号及口令管理细则》相关要求进行权限分配,提供给相关人员。

2) 角色5的岗位,可在严格审批流程后得到授权,在系统中根据需要对授权范围

内的客户敏感信息进行相应操作,但需有明确详细的日志记录;

3) 若要对客户信息进行增、删、改、批量导入、导出、为客户批量开通、取消

业务等操作,需经过严格的审批流程后方可实现;

4) 除角色5外的其他角色,可在严格审批流程后得到授权,查看所需要的、授权

范围内的客户敏感信息,但严禁对客户敏感信息进行相应其他操作,具体操作包括:增、删、改、批量导入、批量导出等;

5) 所有敏感数据的读取及修改操作的责任都能落实到人,根据信息泄漏途径的

归属确定每项敏感数据在该途径的“责任人”;

6) 对由于业务人员造成的敏感信息安全问题承担相应责任。

第二节 运维支撑部门岗位角色与权限

第36条 运维支撑部门是指企业信息化部、网络发展部等能运维管理涉及客户信息系统的

部门。

第37条 经过运维支撑部门授权的员工是客户信息系统的运维管理者,经授权的员工拥有查

询、增加、删除、修改、批量导入导出、批量开通与取消、批量下载等操作客户信息的部分权限。

第38条 运维支撑部门的岗位角色主要包括运行维护、开发测试、生产运营3大类角色。 第39条 角色1:运行维护

1)岗位包含举例:主机管理员、网络管理员、数据库管理员、应用管理员、配置

管理、服务监控、安全管理。

2)岗位说明:该类岗位主要包括各省公司负责涉及客户敏感信息的系统的维护管

理和服务监控的人员。 3)权限要求:

- 8 -

中国电信信息

安全管理规范

? 主机管理员、网络管理员、数据库管理员、配置管理员等超级管理

员无权查询客户信息;

? 应用管理员有查询权限,按照最小授权原则授权,可授予增加、删

除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息操作的部分权限,但必须有严格的日志记录; ? 具有批量操作权限的人员应指定专人,人员范围应尽量小。

第40条 角色2:开发测试

1)岗位包含举例:架构管理、系统设计、应用开发、应用测试、项目建设管理等;

2)岗位说明:该类岗位主要包括各省公司负责涉及客户敏感信息的系统的设计、研发、测试以及项目建设管理人员。 3)权限要求:

? 开发测试人员原则上不能接触生产系统数据;

? 开发测试人员仅具有测试系统的操作权限,开发测试系统需要涉及

到客户敏感数据信息的内容,原则上使用过期数据或是模糊化处理之后的数据。

第41条 角色3:生产运营

1)岗位包含举例:投诉管理、运营分析、出帐管理、数据质量支撑、安全审计等; 2)岗位说明:该类岗位主要包括各省公司负责业务支撑系统的投诉管理、运营分析等生产运营相关人员。 3)权限要求:

? 若涉及投诉处理、批量业务操作的需要,按照最小授权原则,可授

予查询,修改,批量导入导出的权限,授权人员范围应尽量小。

第五章 帐号与授权管理

第42条 业务帐号管理:

1. 业务系统的应用帐号应该由业务部门主管,业务部门必须制定岗位角色和权限的

匹配规范,提供岗位角色和权限对应的矩阵列表,确保职责不相容。

2. 业务部门需指定专人(业务管理员)负责所管辖业务系统的帐号权限分配,明确

所管辖业务系统的帐号权限申请审批流程。

3. 业务管理员应将所管辖业务系统的岗位角色权限矩阵变更申请及应用层帐号权限

变更申请提交主管领导审批,严格限制系统关键功能和超级帐号的授权。 4. 业务管理员需要定期组织业务系统帐号使用情况的检查稽核,确认业务系统中用

户身份的有效性、帐号创建的合法性、权限的合理性,对存在的问题提出整改要- 9 -

中国电信信息

安全管理规范

求。

第43条 运维帐号管理:

1. 系统运维支撑部门应指定专人(系统帐号管理员)负责运维帐号和权限的管理工

作,制定岗位角色和权限的匹配规范,提供岗位角色和权限对应的矩阵列表,确保职责不相容;

2. 运维人员应向上一级主管提出帐号权限申请,系统帐号管理员应按照权限最小化

原则分配运维人员的帐号权限。

3. 系统帐号管理人员要定期对系统帐号使用情况、权限、口令等进行检查稽核,确

认帐号、权限的有效性,并对存在的问题进行整改。

第44条 第三方帐号管理:

1. 对于外部人员需使用BOSS等涉敏感信息系统帐号的情况,应和第三方厂商签订相

关的安全保密协议,以保证第三方厂商能够遵守中国电信的安全管理要求。 2. 禁止第三方人员使用内部员工的系统帐号访问系统,第三方人员帐号在系统中统

一管理。

3. 第三方人员应该使用单独的帐号,禁止多个第三方人员使用同一个帐号。 4. 禁止第三方人员掌握系统管理员权限,禁止第三方人员拥有创建系统帐号的权

限、查询涉及客户敏感信息、控制网元的权限或者超出工作范围的其它高权限帐号。

5. 特殊情况下,第三方人员若需要获得系统管理员权限,应临时授权,工作完成后

及时收回权限。

6. 应参照运维人员帐号管理要求,定期对第三方帐号、权限、口令进行严格检查

稽核。

7. 各公司应对第三方帐号申请、回收、授权、有效期等环节进行严格管理,并制定

管理办法,确保第三方人员发生离职或岗位变动时能及时清理其帐号。

第45条 其它的帐号、权限和口令管理具体要求请参见附录六和《中国电信帐号口令管理细

则》。

第六章 客户敏感信息操作的管理

第46条 对客户敏感信息操作的人员包括业务人员、运维支撑人员、开发人员等,这些人员

经授权后可以获得客户信息,但应遵循相应的管理要求。

- 10 -

中国电信信息

安全管理规范

第一节 业务人员对客户敏感信息操作的管理

第47条 业务人员的范围参见第四章第一节规定;

第48条 涉及客户敏感信息的批量操作(批量查询、批量导入导出、批量为客户开通、取消

或变更业务等),必须遵循相应的审批流程,通过业务管理部门审核,具体流程参见附录五;

第49条 业务人员因业务受理、投诉处理等情况下需要查询或获取客户信息时,应遵循如下

要求:

1. 涉及客户普通资料的查询,服务营销人员要获得客户的同意,并且按照正常的鉴

权流程通过身份认证。鉴权一般采取有效证件或服务密码验证,并保留业务受理单据。

2. 涉及客户通话详单、政企客户详细资料等客户敏感信息的查询,客户接触人员只

能在响应客户请求时,并且客户自身按照正常流程通过身份鉴权的情况下,协助客户查询;禁止客户接触人员擅自进行查询;查询需保留业务受理单据。 3. 除客户接触外的业务人员,因投诉处理、营销策划、经营分析等工作需要查询

和提取客户敏感信息的,业务管理部门应建立明确的操作审批流程,定期进行严密的事后稽核与审查;

4. 对敏感数据的批量操作,需要在指定地点、指定设备上进行操作,相关设备必须

进行严格管控,对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进行严格管控,防止数据泄漏。

第二节 运维支撑人员对客户敏感信息操作的管理

第50条 运维支撑人员的范围参见第四章第二节规定。

第51条 运维支撑部门需制定并维护业务系统层角色权限矩阵,明确生产运营、运行维护、

开发测试等岗位对客户敏感信息的访问权限。

对系统层 第52条 运维支撑人员对业务系统应用层的访问权限必须经过业务管理部门审批, 访问权限必须经过本部门领导审批。 第53条 运维支撑人员因统计取数、批量业务操作对客户敏感信息查询、变更操作时必须有

业务管理部门的相关公文,并经过部门领导审批。

第54条 运维支撑人员因业务投诉、统计取数、批量业务操作、批量数据修复等进行的客户

敏感信息查询、变更必须提交操作申请,按照要求进行操作,不得扩大操作范围,在工单中保留操作原因和来源的工单(公文)编号,并由专人负责审核。

第55条 运维支撑人员因应用优化、业务验证测试需要查询、修改客户敏感信息数据,只能

利用测试号码进行各项测试,不得使用客户号码。

- 11 -

中国电信信息

安全管理规范

第56条 运维支撑人员因系统维护进行客户敏感信息的数据迁移(数据导入、导出、备份)

必须填写操作申请,并经过部门主管审批。

第57条 严禁运维支撑人员向开发测试环境导出客户敏感信息,对需导出的信息必须经过申

请审批,并进行模糊化处理。

第58条 对敏感数据的批量操作,需要在指定地点、指定设备上进行操作,相关设备必须

进行严格管控,对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进行严格管控,防止数据泄漏。

第三节 数据提取管理

第59条 因生产分析、市场策划等活动需要,各省、地市分公司业务部门可能存在从业务支

撑系统中批量取数需求。批量取数存在较大的安全隐患,各省公司应从管理和技术上加强管控,防止客户敏感信息泄密事件发生。

第60条 数据提取的范围包括省公司各业务部门及地市分公司要求需要从各支撑系统中提

取的各种生产数据和运营信息。

第61条 各省、市公司数据需求部门由指定人员担任数据分析员,负责该部门的数据提取需

求;由该部门或上级业务管理部门负责需求的审核;支撑部门需由指定专人担任数据管理员,负责数据提取需求的复核及提取;如发生人员变动,应及时更新并重新通知。

第62条 为确保数据安全,数据管理员不得将取数结果交付给非需求人员。非数据管理员不

接收取数申请,也不得将提取数据直接发给相关需求人员。

第63条 数据分析员应对所提需求所涉及的客户信息进行审核并对需求内容作详细描述,

数据管理员有责任进行复核并尽量减少客户敏感信息的提取。原则上数据管理员应该只接受统计、分析类取数需求,不应该接受批量客户敏感信息的取数需求,如遇到特殊情况(如客户关怀、二次营销等情况),必须遵循相应的审批流程。

第64条 业务部门按照相应流程将数据提取需求发给取数部门,数据提取部门不得将数据提

取结果直接发给需求人员,数据提取结果必须为受控文档,并在指定平台上进行编辑和处理,不得存放在指定平台外的任何主机上。

第65条 受控文档是指采用加密、授权、数字水印、数字签名等技术手段对文档进行安全保

护后的文档,具体方法参见第八章。受控文档脱离中国电信的办公环境后,应无法打开。

第66条 数据提取的检查稽核必须由专人负责,检查稽核人员应每月对日常数据提取情况进

行检查稽核,检查稽核内容包括:数据提取需求审核分析的规范性、数据提取需求执行的规范性、数据提取复核的规范性和资料归档的及时性、完整性。安全人员应记录检查稽核结果,并进行汇总分析,总结存在的问题。 - 12 -

中国电信信息

安全管理规范

第67条 公检法等司法机关为满足司法取证等需要而查询客户信息时,应提交正式介绍信

并进行留存,由相关主管领导批准后,方可以提交业务支撑部门查询取数。

第七章 客户信息安全检查

第68条 安全检查主要分为“操作稽核”、“合规性检查”、“日志审计、例行安全检查

与风险评估”。

第69条 各公司业务主管部门和运维部门负责开展日常的安全检查,信息安全安全管理责任

部门进行专项安全检查、抽查。

第70条 各公司信息安全管理责任部门负责客户信息安全检查情况汇总,梳理存在问题,

通报结果;针对发现重大安全隐患或违规行为,应向公司管理层汇报。

第71条 信息安全管理责任部门针对安全检查过程中发现的突出问题,牵头协调各部门提出

改进方案,并要求相关部门落实解决,并对改进措施落实情况进行跟踪检查。

第一节 操作稽核

第72条 操作稽核是对操作日志与工单等原始凭证进行比对,分析查找违规行为。 第73条 操作稽核的基本要求:

1. 各业务部门和运维支撑部门应根据“职责不相容”原则设置独立的安全员,安全

员应与系统管理员、业务操作人员分开,安全员应定期开展安全审计、稽核与检查。

2. 涉及客户信息的各系统应全面记录帐号与授权管理、系统访问、业务操作、客户

敏感信息操作等行为,确保日志信息的完整、准确,对不符合要求的应由主管部门牵头落实系统的整改。

3. 各系统用于安全检查的原始日志记录内容应至少包括:操作帐号、时间、登录

IP地址、登陆的MAC地址、详细操作内容等。日志不应明文记录帐号的口令、通

信内容等系统敏感信息和客户敏感信息。

4. 各系统主管部门应加强系统原始日志访问管理,除日志日常维护涉及数据迁移

外,任何人不得对日志信息进行更改、删除。

5. 用于客户信息安全检查、稽核的原始日志必须单独保存,各系统主管部门要制定

数据存储备份管理制度,定期对原始日志进行备份归档,所有客户敏感信息操作原始日志在线至少保留3个月,离线至少保留1年。

6. 各使用部门应保留所有客户敏感信息操作的凭据,确保真实有效,凭据至少保留

1年。

第74条 操作稽核的策略:

- 13 -

中国电信信息

安全管理规范

1. 各公司信息安全管理责任部门牵头制定省内客户信息安全操作稽核策略,各业务

管理部门配合完成所辖业务系统稽核策略的制定。安全检查策略需明确检查对象、检查频度、检查方法。对于策略变更必须明确管理流程,详细记录变更起始、终止状态以及变更内容。

2. 在操作稽核频度与抽样比例上,要求高价值客户敏感信息访问要求每天进行全量

稽核,中价值客户敏感信息访问至少按周稽核,日志抽样比率不低于5%,低价值客户敏感信息访问至少按月稽核,日志抽样比率不低于2%。

第二节 合规性检查

第75条 合规性检查重点是依据本管理规范要求进行检查,检查相关要求的落地情况; 第76条 各公司应明确客户信息安全检查工作任务,包括检查目标、范围、参与人员、任务

分工及相应流程。

第77条 各相关部门根据公司制定的检查任务,安排专人或采取交叉方式负责本部门客户信

息安全合规性检查,对检查结果进行归档,编写检查报告。 第78条 各公司每半年应对存有客户信息的系统进行至少1次合规性检查。

第三节 日志审计、例行安全检查与风险评估

第79条 日志审计,对所有日志按关键功能、关键角色、关键帐号、关键参数,进行审计检

查。及时发现异常时间登录、异常IP登录、异常的帐号增加和权限变更、客户信息增删改查、批量操作等敏感操作。

第80条 各分公司须对可能发生的异常操作行为进行重点审计,异常操作行为特征见附录

七。

第81条 例行安全检查是指运维支撑部门对所负责维护的系统进行的常规性安全检查,包

括漏洞扫描、基线检查等。

第83条 风险评估是结合系统运行过程中出现的问题、行业中新出现的信息安全风险,对

系统面临的威胁、存在的弱点、造成的影响,以及三者综合作用带来风险的可能性进行评估。

第84条 客户信息系统的风险评估频次原则上为每半年一次。但在重大活动或敏感时期,

应根据上级单位要求开展专项风险评估。

第85条 风险评估侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程

漏洞、业务流程漏洞、通信协议中存在的漏洞和弱口令等等。风险评估以各系统的运维支撑部门自评估为主、信息安全管理责任部门抽查相结合的方式进行。

- 14 -

第82条 例行安全检查属于日常维护检查的范畴,频次为每日或每周至少一次。

中国电信信息

安全管理规范

第八章 客户信息系统的技术管控

第一节

系统安全防护

第86条 对客户敏感信息系统,应采取必要的安全技术手段,重点防护:

1. 系统应位于核心安全域,安全域边界采用防火墙等防护手段;

2. 必须严格管理和限制涉及客户信息的系统与其他系统的互联互通的能力和范

围;

3. 安全边界的网络设备、安全设备应定期进行安全评估和检查,及时修补漏洞,杜

绝弱口令。

第87条 加强系统自身安全:

1. 系统在设计阶段,应当根据接口和流程涉及到客户信息的类型和操作类型(查

询、修改、增删),来定义安全需求,并设计完整的信息安全技术方案; 2. 建立“安全准入制度”,在系统交付阶段分别对系统的接口与流程的安全性进行

评估。未达到安全要求的系统原则上应拒绝验收上线,对需紧急上线的系统,经主管领导批准后可予以上线,但建设部门应同时要求系统集成商制定相应的整改计划,并在完成整改前实施有效的替代措施。

3. 做好上线前的安全评估,封堵和修补系统、数据库、中间件、应用层的漏洞,升

级安全补丁,防止系统被攻击和入侵。

第88条 做好日常安全运维:

1. 做好客户信息相关系统的日常安全监控,建立、完善个系统的告警分析与应急响

应流程。

2. 定期检查客户信息相关系统的安全性(重大变更与系统升级后也需进行),及时修

补发现的安全漏洞。

第二节

帐号认证管控要求

第89条 为了从技术上限制非授权用户接触客户敏感信息,原则上,涉及客户敏感信息的支

撑系统、业务平台、通信系统等应实现强认证,系统内的授权、鉴权、审计功能要充分支撑本规范的相关管理要求。

第90条 运维人员应该进行强认证后,才能登陆访问后台系统。

第91条 各系统必须支撑对用户访问敏感数据的将安全,并支撑对用户访问客户敏感信息

操作日志的审计。 第92条 系统应具备如下能力:

- 15 -

中国电信信息安全管理规范

2. 应以HASH或者加密技术保存口令,不得以明文方式保存或者传输;

3. 口令至少每90天更换一次。修改口令时,须保留口令修改记录,包含帐号、修改时间、修改原因等,以备审

计;

4. 5次以内不得设置相同的口令;

5. 由于员工离职等原因,原帐号不能删除或者需要重新赋予另一个人时,应修改相应帐号的口令。 六、口令管理要求

1. 如系统能力支持,应开启并设置自动拒绝不符合上述口令管理规则帐号和口令的参数;对于无法建立口令规

则强制检查的系统,帐号用户应在每次口令修改后留有记录。 2. 帐号口令输入尝试次数要做限制,防止口令的暴力破解。

3. 对于无法进行定期修改口令的帐号,如内置帐号、程序帐号等,应在系统升级或重启时落实口令修改工作。 4. 如发生口令遗忘的情况,帐号使用人应提出口令重置申请,由系统管理员进行密码重置;重置完毕后,使用

者应马上更改重置后的密码。

5. 当程序内的帐号密码需要保存在配置文件里时,应只使用适当权限的帐号,采用经过验证的算法对帐号口令

进行加密,并做好帐号口令和加密密钥的保护工作。

6. 当发生下述情况时,应立即撤销帐号或更改帐号口令,并做好记录:

a) 帐号使用者由于岗位职责变动、离职等原因,不再需要原有访问权限时; b) 临时性或阶段性使用的帐号,在工作结束后; c) 帐号使用者违反了有关口令管理规定; d) 有迹象表明口令可能已经泄露等。 7. 帐号审计的要求

a) 帐号与权限的审计必须依据岗位角色和权限对应的矩阵列表; b) 定期对系统帐号权限进行职责不相兼容检查;

c) 定期对帐号申请审批、权限变更等执行情况进行审核,避免非法创建帐号、无主帐号和权限与职责不相

容帐号的出现;

d) 定期对帐号口令修改执行情况进行审核,避免口令过期、不符合复杂度要求等问题。

附录七: 异常操作行为特征

分类 异常描述 一段时间内重复查询客户信息几百次 异常的查询频率 一个号码一天内被查询10次以上,或一个月内被查询100次以上 某些特殊号码被多次查询,例如吉祥号 帐号异常 超出岗位职能 影响分析 高 中 中 低 中 低 长时间不登陆的帐号登陆使用,查询敏感信息 同一个帐号被多个人员使用,同时登陆或登陆IP地址经常变化。 详单查询人员登陆的IP地址不正确。 - 26 - 中国电信信息安全管理规范

某些部门不需要权限查询客户资料,但是仍有查询客户资料的行为。 某些没有权限的人员有查询清单的行为。 非工作时间, 外地登陆 投诉工单 异常的修改频率 重点功能 营业员非工作时间登陆系统,或者登陆的IP地址在外地。 客户投诉自己信息泄密,需要提供审计跟踪泄密源。 一段时间内修改客户信息几百次 一个号码相关信息一天内被修改10次以上,或一个月被修改100次以上 异常导出客户资料,客户资料超出权限范围 高 高 高 低 高 中 高

- 27 -

本文来源:https://www.bwwdw.com/article/pykw.html

Top