搜索
2013年楚雄移动分公司信息安全管理培训中国移动通信集团云南有限公司楚雄分公司培训提纲培训背景加强网络信息保护的决定信息安全技术2公司相关规定背景-信息安全管理工作的重要性2012年12月28日,全国人民代表大会常务委员会审议通过了《关于加强网络信息保护的决定》(以下简称《决定》)。国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)并于2013年2月1日起正式实施。《决定》、《指南》主要涉及个人电子信息保护、网络服务用户实名制和垃圾电子信息治理等领域,与公司业务发展和信息安全工作密切相关,在为公司工作提供法律依据的同时,也明确了运营商的义务和责任,对公司提出了更高要求。为了更好地宣传贯彻《决定》、《指南》精神,全面落实相关要求,切实提高全员信息安全意识,创造“经营依法、决策问法”的浓厚氛围,保证公司依法合规运营,根据网通【2013】33号《关于认真组织学习《关于加强网络信息保护的决定》等法律和国家标准的通知》开展学习贯彻活动。培训提纲培训背景加强网络信息保护的决定信息安全技术4公司相关规定《关于加强网络信息保护的决定》•一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。•二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。《关于加强网络信息保护的决定》•三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。•四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。《关于加强网络信息保护的决定》•五、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。•六、网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。《关于加强网络信息保护的决定》•七、任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。•十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。培训提纲培训背景加强网络信息保护的决定信息安全技术9公司相关规定《信息安全技术公共及商用服务信息系统个人信息保护指南》《公共及商用服务信息系统个人信息保护指南》为我国国家标准化指导性技术文件,本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。个人敏感信息指除个人敏感信息以外的个人信息。个人一般信息处置个人信息的行为,包括收集、加工、转移、删除。个人信息处理《信息安全技术公共及商用服务信息系统个人信息保护指南》个人信息保护概述:角色:信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构个人信息管理者在使用信息系统对个人信息进行处理时遵循以下原则目的明确原则最少够用原则公开告知原则个人同意原则质量保证原则诚信履行原则责任明确原则《信息安全技术公共及商用服务信息系统个人信息保护指南》收集加工转移删除信息系统中个人信息的处理过程:采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示收集信息的用途、使用范围等,需获得个人信息主体的同意(包括默许同意和明示同意)方可按最少信息原则收集。不违背收集阶段已告知的使用目的,采用已告知的方法和手段,在告知的范围内对个人信息进行加工,保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知在不违背收集阶段告知的转移目的及范围内,评估接收方是否能够按指导要求处理个人信息,通过合同明确个人信息保护责任后,方可向其他组织和机构转移个人信息当个人信息主体提出正当理由、收集阶段使用目的达到或超出告知的留存期限、信息管理者破产或解散导致无法完成承诺的处理目的时应及时删除,仅当删除可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。培训提纲培训背景加强网络信息保护的决定信息安全技术13公司相关规定云南移动客户信息安全定义什么是客户信息安全?客户信息安全指公司所服务的客户在公司系统、互联网站等登记的个人信息,包括:个人基本资料,如姓名、年龄、性别、生日、党派、职业、学历、家庭成员、身份证号码等个人联系方式,如手机号码、固定电话、电子邮箱、通信地址等客户服务密码、通话清单、位置信息等客户依法使用电信的自由和通信秘密受法律保护,任何单位或个人,乃至公司内部职工,不得擅自向他人提供客户使用的电信网络所传输信息的内容,法律另有规定的除外。前台客户信息安全管理规范在客户要求下,通过身份证作为证明办理查询客户使用特殊身份认证,营业厅值班长审批,并填写相应记录客户经理进行单个或批量查询,必须严格按流程审批并存档备查客户通话清单等敏感信息只能在应客户的请求、并在客户自身按正常流程通过身份鉴权的情况下协助客户查询前台服务人员一律不得掌握客户服务密码,一律不得代客户进行服务密码认证客户经理不允许掌握客户服务密码,不能通过自己输入服务密码的方式代客户办理业务前台服务人员在为客户办理开户时,严禁代客户设置服务密码,在指导客户设置服务密码时,要提醒客户避免设置弱密码分配给各服务人员使用的系统帐号仅限服务人员本人使用,避免使用弱密码并定期修改对前台服务人员和客户经理的查询和操作行为要进行严密的事后审查后台客户信息安全管理规范所有涉及批量客户资料信息操作均须先获得审批后才能进行具体操作,并对审批资料进行保存备查,审批资料包括纸质审批单、OA电子公文等做好客户信息数据的保管,批量数据必须加密保存,严禁将批量数据放在公用电脑、供下载使用的公开网络等不安全的位置,严禁通过外网邮箱或向外网邮箱发送导出的批量数据全面清理拥有客户敏感信息查询和批量查询权限的工号,按照“权限最小化”原则,对日常工作不涉及批量操作或客户信息查询的,不允许分配相关权限及免认证查询客户敏感信息的特权所有有权限的后台系统操作人员须严格执行相关管理规定,仅限在日常工作需要的情况下使用账号开展日常工作严格管理客户位置信息。除公安机关开具具体的证明材料要求协助进行案件追查及发生重大灾害按照政府部门要求协助救援工作(如地震等)的情况下,严禁利用工作权限便利,擅自查询、泄露客户的具体位置信息,公安机关提取我公司客户位置信息须按照公司针对公安机关提取客户清单的流程严格执行。第三方合作伙伴信息安全管理规范1、任何接入我公司BOSS系统的第三方合作伙伴(包括但不限于社会渠道网点、第三方外呼渠道等)均不允许分配任何免身份认证特权。2、凡涉及接触我公司客户信息的第三方合作伙伴,必须遵照我公司客户信息安全管理规定,严禁擅自提取、泄露我公司客户信息资料或将我公司客户资料信息提供给其他人员或公司。3、第三方合作伙伴在与其他公司开展合作的过程中,如需使用到我公司客户信息,必须向我公司申请,在取得我公司同意的情况下才能进行。4、第三方合作伙伴不允许向与其有订购关系以外的我公司客户发送信息,且针对订购客户不允许发送与客户订购业务无关的信息内容,如需向客户发送相关其他信息的,必须向我公司提出申请,经省公司市场部审核后才能进行发送。5、与第三方合作伙伴签订客户信息安全保密协议,协议中应明确对第三方的管理要求,和违反规定后的处罚、赔付条款。6、在与第三方开展合作过程中,对向第三方提供的客户数据必须取得公司副总以上领导的审批同意,且只能提供与合作项目相关必要的信息,无关信息一律不允许提供,审慎提供涉及客户敏感信息的数据。7、加强对第三方合作伙伴的监管,定期开展对第三方合作伙伴的审查,对于审查中发现有违规行为的,要立即组织开展追查,一经查实,按合作协议规定进行具体的处罚,必要时,解除合作关系。信息安全事件分类•非法获取、非法出售客户基本资料、客户身份鉴权信息、客户通信信息及通信内容等损害客户信息安全性的事件客户信息泄露类安全事件•非法获取、非法出售公司管理决策信息、核心业务数据、合同数据、员工个人信息等损害公司内部敏感信息保密性的事件内部敏感信息泄露类安全事件•手机病毒引起的恶意订购、窃取用户信息、影响正常通信等事件手机病毒感染类安全事件•利用通信网络、互联网络等传播带有欺诈、骚扰、广告等性质的垃圾短信、传播各类手机淫秽色情信息;传播国家相关法律法规明文禁止的各类违法信息等违法及不良信息传播类安全事件•拒绝服务攻击(DOS和DDOS)、恶意代码攻击、漏洞攻击、僵尸网络、垃圾邮件等导致系统不能正常运行的事件影响系统可用性类安全事件•信息篡改(如网页篡改、DNS劫持等)、后门木马(以破坏系统数据为目的)、漏洞攻击等事件影响系统完整性类安全事件•参考《互联网网络安全信息通报实施办法》(工信部保[2009]156号)互联网网络安全类事件信息安全事件分级一般(四级)•个别客户信息泄露造成不良影响或导致一般投诉的信息安全事件•通信网络被利用传送违法及不良信息造成不良影响较大(三级)•少量或个别客户信息泄露造成较大影响或导致重大投诉的信息安全事件•批量客户信息泄露,得到有效控制且未造成不良影响的信息安全事件•接入违法或含不良信息的设备造成重大影响重大(二级)•批量客户信息泄露造成较大影响或导致大量投诉的信息安全事件•被省市级媒体曝光的信息安全事件•导致公司利益遭受重大损失或关键业务遭到严重破坏的信息安全事件•通信网络被利用传送大量违法及不良信息造成重大影响特别重大(一级)•批量客户信息泄露造成重大影响或导致重大投诉的信息安全事件•被国家媒体曝光的信息安全事件•对外信息发布系统出现扰乱公共秩序、造谣蛊惑、破坏安定团结以及反动、淫秽、色情内容的信息安全事件当事单位应于10分钟内通知省公司信息安全对口管理部门,1小时内作出口头报告上报集团公司、省通信管理局和当地安全分中心,12小时内作出简要书面报告,相关事件处理结束后3日内作出专题书面报告信息安全事件上报机制特别重大信息安全事件当事单位应于10分钟内通知省公司信息安全对口管理部门,2小时内作出口头报告上报集团公司、省通信管理局和当地安全分中心,12小时内作出简要书面报告,相关事件处理结束后3日内作出专题书面报告重大信息安全事件当事单位应于24小时内作出简要书面报告,相关事件处理结束后3日内作出专题书面报告。特别重大信息安全事件确认至上报集团公司不得超过1小时较大或一般信息安全事件信息安全工作要求公司有义务维护国家安全、社会稳定和用户的合法权益;应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信息安全制度,同步建设与网络、业