中國電信客戶信息安全管理標準規(guī)范v

中國電信用戶信息安全管理規(guī)范中國電信集團企業(yè)12月目錄第一章 總則 3第二章 用戶信息內(nèi)容及等級劃分 4第一節(jié) 用戶信息內(nèi)容 4第二節(jié) 用戶信息等級劃分 4第三節(jié) 存放及處理用戶信息系統(tǒng) 4第三章 組織和職責 5第四章 崗位角色和權限 6第一節(jié) 業(yè)務部門崗位角色和權限 6第二節(jié) 運維支撐部門崗位角色和權限 8第五章 帳號和授權管理 9第六章 用戶敏感信息操作管理 10第一節(jié) 業(yè)務人員對用戶敏感信息操作管理 11第二節(jié) 運維支撐人員對用戶敏感信息操作管理 11第三節(jié) 數(shù)據(jù)提取管理 12第七章 用戶信息安全檢驗 13第一節(jié) 操作稽核 13第二節(jié) 合規(guī)性檢驗 14第三節(jié) 日志審計、例行安全檢驗和風險評定 14第八章 用戶信息系統(tǒng)技術管控 15第一節(jié) 系統(tǒng)安全防護 15第二節(jié) 帳號認證管控要求 15第三節(jié) 遠程接入管控 16第四節(jié) 用戶敏感信息泄密防護 16第五節(jié) 系統(tǒng)間接口管理 17第九章 第三方管理 18第十章 數(shù)據(jù)存放和備份管理 19第十一章 用戶信息泄密處罰 19附錄 21附錄一： 用戶信息分類表 21附錄二： 用戶信息分級 22附錄三： 用戶敏感信息分布 23附錄四： 業(yè)務部門和支撐部門崗位角色 24附錄五： 業(yè)務人員對用戶敏感信息操作步驟 24附錄六： 帳號口令管理細則 25附錄七： 異常操作行為特征 26總 則為了加強全政企用戶信息安全管理規(guī)范用戶信息訪問步驟和用戶訪問權限和規(guī)范承載用戶信息環(huán)境降低用戶信息被違法使用和傳輸風險特制訂本規(guī)范。用戶信息安全管理涵蓋用戶信息產(chǎn)生、傳輸、存放、處理、銷毀等各個步驟。用戶信息載體包含“IT系統(tǒng)數(shù)據(jù)”和“實體介質(zhì)檔案”兩種形式。保護用戶信息安全及其正當權益是中國電信應負擔企業(yè)社會責任，中國電信各級職員應嚴格遵守相關要求，保護用戶信息安全，嚴禁泄露、交易和濫用用戶信息。中國電信職員有權利和義務阻止對于任何可能危害用戶信息安全行為，并向企業(yè)上級領導或信息安全管理人員立即反應情況。用戶信息生命周期結(jié)束后，中國電信各級組織有義務和權力依據(jù)相關法律、法規(guī)及協(xié)議約定，妥善處理用戶信息和和用戶信息相關數(shù)據(jù)和載體。用戶信息安全保護管理遵照“責任明確、授權合理、步驟規(guī)范、技管結(jié)合”工作方針。用戶信息安全方面臨風險和威脅關鍵包含：因為權限管理和控制不妥，造成用戶信息被隨意處理；因為步驟設計和管理不妥，造成用戶信息被不妥獲??；因為安全管控方法落實不到位，造成用戶信息被竊取等。中國電信各相關部門及省企業(yè)應定時組織用戶信息安全評定和檢驗，對發(fā)覺隱患立即整改。用戶信息安全管理應遵照“誰主管誰負責，誰使用誰負責”標準。本要求是全集團進行用戶信息安全管理工作基礎依據(jù)。各省市企業(yè)和各部門可依據(jù)工作需要，結(jié)合本單位具體情況制訂對應實施細則或補充要求，做好用戶信息安全管理工作。本要求適適用于總部和各省市企業(yè)，適適用于用戶信息使用人員、運維人員、開發(fā)測試人員、管理人員和安全審計人員。本要求解釋權屬于中國電信集團企業(yè)企業(yè)信息化部。用戶信息內(nèi)容及等級劃分用戶信息內(nèi)容用戶信息包含用戶基礎資料用戶身份鑒權信息用戶通信信息用戶通信內(nèi)容信息等四大類。用戶信息具體內(nèi)容見附錄一。用戶基礎資料包含但不限于：政企用戶資料、個人用戶資料、家庭用戶資料、各類特殊名單。用戶身份鑒權信息包含但不限于用戶服務密碼用戶登錄多種業(yè)務系統(tǒng)密碼。用戶通信信息包含但不限于：詳單、賬單、用戶消費信息、基礎業(yè)務訂購關系、增值業(yè)務、數(shù)據(jù)業(yè)務訂購關系等。用戶通信內(nèi)容信息包含但不限于：用戶通信內(nèi)容統(tǒng)計、移動上網(wǎng)內(nèi)容及統(tǒng)計、行業(yè)應用平臺上交互信息內(nèi)容、多種業(yè)務平臺上行為信息。用戶信息等級劃分用戶信息等級分類根據(jù)用戶信息對第三方價值劃分為高價值信息中價值信息和低價值信息，具體劃分方法請參見附錄二。存放及處理用戶信息系統(tǒng)存放和處理用戶信息支撐系統(tǒng)包含但不限于：BOSS域EDA域、MSS域、網(wǎng)管系統(tǒng)、用戶服務支撐系統(tǒng)等。存放和處理用戶信息業(yè)務平臺包含但不限于：ISMP-BMW平臺、協(xié)同通信平臺、商企平臺、189郵箱、手機報、天翼liveBREW平臺、基地平臺、終端自注冊平臺等。存放和處理用戶信息通信系統(tǒng)包含但不限于：短信網(wǎng)關、綜合接入網(wǎng)關（ISAG）、HLR、WAP網(wǎng)關、關口局等。其它各省企業(yè)自建或合作運行包含用戶信息系統(tǒng)等。集團級系統(tǒng)和省級系統(tǒng)均在本規(guī)范要求覆蓋范圍內(nèi)。組織和職責各省企業(yè)用戶信息安全統(tǒng)一歸口管理部門是各省信息安全管理責任部門。各部門應負責各自主管業(yè)務系統(tǒng)用戶信息安全保護明確各業(yè)務系統(tǒng)用戶信息安全責任人，根據(jù)本要求落實業(yè)務系統(tǒng)安全管理要求。信息安全管理責任部門職責：負責用戶信息安全全方面管理；組織制訂統(tǒng)一用戶信息安全保護管理要求和實施細則；組織制訂用戶信息安全保護管理制度、策略；組織研究用戶信息安全保護技術手段；負責搜集、匯總用戶信息泄密事件；定時組織用戶信息安全管理專題檢驗；牽頭組織進行用戶信息泄密事件查處；負責用戶信息安全事件對外解釋口徑。包含用戶信息業(yè)務管理部門職責：負責規(guī)范本部門訪問用戶信息業(yè)務人員崗位角色及其職責；負責主管業(yè)務系統(tǒng)用戶敏感信息安全保護，建立落實管理制度和實施細則；負責業(yè)務層面用戶信息安全日常管理和審計工作；負責受理用戶信息泄密事件投訴、上報；制訂對業(yè)務合作伙伴信息泄露處罰方法及具體實施；幫助完成用戶信息泄密現(xiàn)象市場調(diào)查；幫助進行用戶信息泄密事件查處。運維支撐部門職責:負責所運維包含用戶信息系統(tǒng)和平臺技術層面用戶信息安全保障和稽查工作；負責所主管系統(tǒng)用戶敏感信息安全保護,建立落實管理制度和實施細則；負責規(guī)范后臺運行維護人員、開發(fā)測試人員、生產(chǎn)運行支撐人員角色和職責；做好對第三方管理，包含組織簽署保密協(xié)議，加強操作管理等；負責規(guī)范所屬系統(tǒng)和平臺用戶信息安全技術標準和訪問步驟；幫助主管部門查處用戶信息泄密事件。其它相關部門職責：人力資源部門：組織相關職員簽署保密承諾書，立即公布人員崗位變動、離職信息給帳號管理部門，參與對用戶信息泄密人員查處；采購部門:應在系統(tǒng)計劃、方案設計階段，考慮用戶信息安全保護要求，并在協(xié)議中納入用戶信息保密條款；在系統(tǒng)交維前，對工程建設階段聯(lián)調(diào)測試、系統(tǒng)運行等步驟包含用戶信息保護負責；企業(yè)信息化部:負責終端安全管理，應建立辦公網(wǎng)用戶信息監(jiān)控和防泄密機制；紀檢部：負責相關管理要求監(jiān)察、違規(guī)行為調(diào)查審核、違規(guī)人員處罰判決；審計部：負責開展用戶信息風險審計。崗位角色和權限帳戶權限分配應該遵照“權限明確職責分離最小特權標準標準標準上一個帳號對應一個用戶而一個帳號擁有權限是由其被賦于崗位角色所決定，應根據(jù)角色或用戶組進行授權，而不是將單個權限直接給予一個帳號。各省企業(yè)應對使用BOSS域EDA域及其它包含用戶信息業(yè)務系統(tǒng)崗位角色進行梳理，對權限相近崗位角色進行合并，并對崗位角色權限進行規(guī)范。在BOSS域、EDA域等包含用戶信息系統(tǒng)中崗位角色應該依據(jù)企業(yè)部門組織結(jié)構(gòu)和職責分配而設定同時應該依據(jù)崗位角色需要對相關人員進行授權不能依據(jù)人員需求或變更而設定崗位角色。不一樣崗位角色擁有不一樣權限。業(yè)務部門崗位角色和權限業(yè)務部門是指市場部政企用戶部公眾用戶部等使用用戶信息部門。業(yè)務部門經(jīng)過授權職員是用戶信息使用者標準上經(jīng)授權業(yè)務部門職員能夠訪問BOSSEDA或其它業(yè)務平臺系統(tǒng)用戶信息但不得擁有批量導出用戶信息權限。業(yè)務部門崗位角色關鍵包含包含各省企業(yè)市場部政企用戶部公眾用戶部等部門產(chǎn)品管理、市場計劃和營銷、業(yè)務運行、運行系統(tǒng)支撐、用戶接觸類等5大類角色，具體崗位角色見附錄四。角色1：產(chǎn)品管理1) 崗位包含舉例：產(chǎn)品研發(fā)、產(chǎn)品經(jīng)理、行業(yè)經(jīng)理等細項崗位；2) 崗位說明：該類崗位角色關鍵指各省業(yè)務部門具體負責產(chǎn)品研發(fā)、推廣崗位。3) 權限要求：能夠查看對應產(chǎn)品所包含用戶信息；僅含有查詢權限，不應授予增加、刪除、修改、批量導入和導出、批量開通和取消、批量下載等針對用戶敏感信息操作權限。角色2：市場計劃和營銷1)崗位包含舉例市場運行分析服務營銷策劃渠道管理傳輸管理等細項崗位；2)崗位說明該類崗位角色關鍵指各省業(yè)務部門具體負責后臺分析營銷及其它管理工作崗位。3)權限要求：該角色人員只可查詢系統(tǒng)中統(tǒng)計數(shù)據(jù)，不應授予查詢、操作用戶敏感信息權限，如因工作確需接觸用戶敏感信息，請根據(jù)“數(shù)據(jù)提取”對應要求進行；角色3：業(yè)務管理1) 崗位包含舉例：業(yè)務管理、服務質(zhì)量管理、合作管理、業(yè)務運行管理、業(yè)務運行支撐等細項崗位；2) 崗位說明：該類崗位角色關鍵指各省業(yè)務部門負責業(yè)務運行、支撐、服務質(zhì)量等細項業(yè)務處理崗位；3) 權限要求：依據(jù)具體崗位不一樣，考慮具體工作需要，能夠查看對應權限所包含用戶敏感信息；僅含有查詢權限，不應授予增加、刪除、修改、批量導入和導出、批量開通和取消、批量下載等針對用戶敏感信息操作權限。角色4：運行系統(tǒng)支撐1) 崗位包含舉例：業(yè)務系統(tǒng)管理、系統(tǒng)運行支撐等細項崗位；2) 崗位說明：該類崗位角色關鍵指各省業(yè)務部門負責系統(tǒng)管理及支撐崗位。3) 權限要求：該角色人員負責部門系統(tǒng)帳號、口令管理，配合業(yè)支部門進行對應系統(tǒng)開發(fā)、運行和維護，能夠查看對應權限所包含用戶敏感信息；僅含有查詢權限，不應授予增加、刪除、修改、批量導入和導出、批量開通和取消、批量下載等針對用戶敏感信息操作權限。角色5：用戶接觸1) 崗位包含舉例：用戶服務營銷、渠道服務營銷、營業(yè)廳服務營銷、電子渠道服務營銷等細項崗位；2) 崗位說明：該類崗位角色關鍵是指各省業(yè)務部門各項渠道中直接服務于用戶一線崗位。3) 權限要求：依據(jù)具體崗位不一樣，考慮具體工作需要，經(jīng)過授權后查看對應權限所包含用戶敏感信息；直接為用戶辦理業(yè)務崗位，應按最小授權標準，可授予增加、刪除、修改、批量導入和導出、批量開通和取消、批量下載等針對用戶敏感信息操作部分權限，但必需有嚴格日志統(tǒng)計；不直接面對用戶崗位僅含有查詢權限不應授予增加刪除修改、批量導入和導出、批量開通和取消、批量下載等針對用戶敏感信息操作權限。業(yè)務人員授權管理：1) 根據(jù)附錄六《帳號及口令管理細則》相關要求進行權限分配，提供給相關人員。2) 角色5崗位可在嚴格審批步驟后得到授權在系統(tǒng)中依據(jù)需要對授權范圍內(nèi)用戶敏感信息進行對應操作，但需有明確具體日志統(tǒng)計；3) 若要對用戶信息進行增、刪、改、批量導入、導出、為用戶批量開通、取消業(yè)務等操作，需經(jīng)過嚴格審批步驟后方可實現(xiàn)；4) 除角色5外其它角色可在嚴格審批步驟后得到授權查看所需要授權范圍內(nèi)用戶敏感信息，但嚴禁對用戶敏感信息進行對應其它操作，具體操作包含：增、刪、改、批量導入、批量導出等；5) 全部敏感數(shù)據(jù)讀取及修改操作責任全部能落實到人，依據(jù)信息泄漏路徑歸屬確定每項敏感數(shù)據(jù)在該路徑“責任人；6) 對因為業(yè)務人員造成敏感信息安全問題負擔對應責任。運維支撐部門崗位角色和權限運維支撐部門是指企業(yè)信息化部、網(wǎng)絡發(fā)展部等能運維管理包含用戶信息系統(tǒng)部門。經(jīng)過運維支撐部門授權職員是用戶信息系統(tǒng)運維管理者經(jīng)授權職員擁有查詢增加刪除修改批量導入導出批量開通和取消批量下載等操作用戶信息部分權限。運維支撐部門崗位角色關鍵包含運行維護、開發(fā)測試、生產(chǎn)運行3大類角色。角色1：運行維護1)崗位包含舉例：主機管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、應用管理員、配置管理、服務監(jiān)控、安全管理。2)崗位說明：該類崗位關鍵包含各省企業(yè)負責包含用戶敏感信息系統(tǒng)維護管理和服務監(jiān)控人員。3)權限要求：主機管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、配置管理員等超級管理員無權查詢用戶信息；應用管理員有查詢權限，根據(jù)最小授權標準授權，可授予增加、刪除、修改、批量導入和導出、批量開通和取消、批量下載等針對用戶敏感信息操作部分權限，但必需有嚴格日志統(tǒng)計；含有批量操作權限人員應指定專員，人員范圍應盡可能小。角色2：開發(fā)測試1崗位包含舉例架構(gòu)管理系統(tǒng)設計應用開發(fā)應用測試項目建設管理等；2）崗位說明：該類崗位關鍵包含各省企業(yè)負責包含用戶敏感信息系統(tǒng)設計、研發(fā)、測試和項目建設管理人員。3）權限要求：開發(fā)測試人員標準上不能接觸生產(chǎn)系統(tǒng)數(shù)據(jù)；開發(fā)測試人員僅含有測試系統(tǒng)操作權限，開發(fā)測試系統(tǒng)需要包含到用戶敏感數(shù)據(jù)信息內(nèi)容，標準上使用過期數(shù)據(jù)或是模糊化處理以后數(shù)據(jù)。角色3：生產(chǎn)運行1崗位包含舉例投訴管理運行分析出帳管理數(shù)據(jù)質(zhì)量支撐安全審計等；2崗位說明該類崗位關鍵包含各省企業(yè)負責業(yè)務支撐系統(tǒng)投訴管理運行分析等生產(chǎn)運行相關人員。3）權限要求：若包含投訴處理、批量業(yè)務操作需要，根據(jù)最小授權標準，可授予查詢，修改，批量導入導出權限，授權人員范圍應盡可能小。帳號和授權管理業(yè)務帳號管理:業(yè)務系統(tǒng)應用帳號應該由業(yè)務部門主管，業(yè)務部門必需制訂崗位角色和權限匹配規(guī)范，提供崗位角色和權限對應矩陣列表,確保職責不相容。業(yè)務部門需指定專員（業(yè)務管理員）負責所管轄業(yè)務系統(tǒng)帳號權限分配，明確所管轄業(yè)務系統(tǒng)帳號權限申請審批步驟。業(yè)務管理員應將所管轄業(yè)務系統(tǒng)崗位角色權限矩陣變更申請及應用層帳號權限變更申請?zhí)峤恢鞴茴I導審批，嚴格限制系統(tǒng)關鍵功效和超級帳號授權。業(yè)務管理員需要定時組織業(yè)務系統(tǒng)帳號使用情況檢驗稽核，確定業(yè)務系統(tǒng)中用戶身份有效性、帳號創(chuàng)建正當性、權限合理性，對存在問題提出整改要求。運維帳號管理：系統(tǒng)運維支撐部門應指定專員(系統(tǒng)帳號管理員)負責運維帳號和權限管理工作制訂崗位角色和權限匹配規(guī)范提供崗位角色和權限對應矩陣列表,確保職責不相容；運維人員應向上一級主管提出帳號權限申請，系統(tǒng)帳號管理員應根據(jù)權限最小化標準分配運維人員帳號權限。系統(tǒng)帳號管理人員要定時對系統(tǒng)帳號使用情況、權限、口令等進行檢驗稽核，確定帳號、權限有效性，并對存在問題進行整改。第三方帳號管理：對于外部人員需使用BOSS等涉敏感信息系統(tǒng)帳號情況，應和第三方廠商簽署相關安全保密協(xié)議，以確保第三方廠商能夠遵守中國電信安全管理要求。嚴禁第三方人員使用內(nèi)部職員系統(tǒng)帳號訪問系統(tǒng)，第三方人員帳號在系統(tǒng)中統(tǒng)一管理。第三方人員應該使用單獨帳號，嚴禁多個第三方人員使用同一個帳號。嚴禁第三方人員掌握系統(tǒng)管理員權限，嚴禁第三方人員擁有創(chuàng)建系統(tǒng)帳號權限、查詢包含用戶敏感信息、控制網(wǎng)元權限或超出工作范圍其它高權限帳號。特殊情況下第三方人員若需要取得系統(tǒng)管理員權限應臨時授權,工作完成后立即收回權限。應參考運維人員帳號管理要求，定時對第三方帳號、權限、口令進行嚴格檢驗稽核。各企業(yè)應對第三方帳號申請、回收、授權、使用期等步驟進行嚴格管理，并制訂管理措施，確保第三方人員發(fā)生離職或崗位變動時能立即清理其帳號。其它帳號權限和口令管理具體要求請參見附錄六《中國電信帳號口令管理細則。用戶敏感信息操作管理對用戶敏感信息操作人員包含業(yè)務人員運維支撐人員開發(fā)人員等這些人員經(jīng)授權后能夠取得用戶信息，但應遵照對應管理要求。業(yè)務人員對用戶敏感信息操作管理業(yè)務人員范圍參見第四章第一節(jié)要求；包含用戶敏感信息批量操（批量查詢批量導入導出批量為用戶開通取消或變更業(yè)務等，必需遵照對應審批步驟，經(jīng)過業(yè)務管理部門審核，具體步驟參見附錄五；業(yè)務人員因業(yè)務受理投訴處理等情況下需要查詢或獲取用戶信息時應遵照以下要求：包含用戶一般資料查詢，服務營銷人員要取得用戶同意，而且根據(jù)正常鑒權步驟經(jīng)過身份認證。鑒權通常采取有效證件或服務密碼驗證，并保留業(yè)務受理單據(jù)。包含用戶通話詳單、政企用戶具體資料等用戶敏感信息查詢，用戶接觸人員只能在響應用戶請求時，而且用戶本身根據(jù)正常步驟經(jīng)過身份鑒權情況下，幫助用戶查詢；嚴禁用戶接觸人員私自進行查詢；查詢需保留業(yè)務受理單據(jù)。除用戶接觸外業(yè)務人員，因投訴處理、營銷策劃、經(jīng)營分析等工作需要查詢和提取用戶敏感信息，業(yè)務管理部門應建立明確操作審批步驟，定時進行嚴密事后稽核和審查；對敏感數(shù)據(jù)批量操作，需要在指定地點、指定設備上進行操作，相關設備必需進行嚴格管控，對于該設備打印、拷貝、郵件、文檔共享、通訊工具等均需進行嚴格管控，預防數(shù)據(jù)泄漏。運維支撐人員對用戶敏感信息操作管理運維支撐人員范圍參見第四章第二節(jié)要求。運維支撐部門需制訂并維護業(yè)務系統(tǒng)層角色權限矩陣明確生產(chǎn)運行運行維護、開發(fā)測試等崗位對用戶敏感信息訪問權限。運維支撐人員對業(yè)務系統(tǒng)應用層訪問權限必需經(jīng)過業(yè)務管理部門審批對系統(tǒng)層訪問權限必需經(jīng)過本部門領導審批。運維支撐人員因統(tǒng)計取數(shù)批量業(yè)務操作對用戶敏感信息查詢變更操作時必需有業(yè)務管理部門相關公文，并經(jīng)過部門領導審批。運維支撐人員因業(yè)務投訴統(tǒng)計取數(shù)批量業(yè)務操作批量數(shù)據(jù)修復等進行用戶敏感信息查詢變更必需提交操作申請根據(jù)要求進行操作不得擴大操作范圍，在工單中保留操作原因和起源工單（公文）編號，并由專員負責審核。運維支撐人員因應用優(yōu)化業(yè)務驗證測試需要查詢修改用戶敏感信息數(shù)據(jù)只能利用測試號碼進行各項測試，不得使用用戶號碼。運維支撐人員因系統(tǒng)維護進行用戶敏感信息數(shù)據(jù)遷（數(shù)據(jù)導入導出備份）必需填寫操作申請，并經(jīng)過部門主管審批。嚴禁運維支撐人員向開發(fā)測試環(huán)境導出用戶敏感信息對需導出信息必需經(jīng)過申請審批，并進行模糊化處理。對敏感數(shù)據(jù)批量操作，需要在指定地點、指定設備上進行操作，相關設備必需進行嚴格管控，對于該設備打印、拷貝、郵件、文檔共享、通訊工具等均需進行嚴格管控，預防數(shù)據(jù)泄漏。數(shù)據(jù)提取管理因生產(chǎn)分析市場策劃等活動需要各省地市分企業(yè)業(yè)務部門可能存在從業(yè)務支撐系統(tǒng)中批量取數(shù)需求批量取數(shù)存在較大安全隱患各省企業(yè)應從管理和技術上加強管控，預防用戶敏感信息泄密事件發(fā)生。數(shù)據(jù)提取范圍包含省企業(yè)各業(yè)務部門及地市分企業(yè)要求需要從各支撐系統(tǒng)中提取多種生產(chǎn)數(shù)據(jù)和運行信息。各省市企業(yè)數(shù)據(jù)需求部門由指定人員擔任數(shù)據(jù)分析員負責該部門數(shù)據(jù)提取需求由該部門或上級業(yè)務管理部門負責需求審核支撐部門需由指定專員擔任數(shù)據(jù)管理員負責數(shù)據(jù)提取需求復核及提取如發(fā)生人員變動應立即更新并重新通知。為確保數(shù)據(jù)安全數(shù)據(jù)管理員不得將取數(shù)結(jié)果交付給非需求人員非數(shù)據(jù)管理員不接收取數(shù)申請，也不得將提取數(shù)據(jù)直接發(fā)給相關需求人員。數(shù)據(jù)分析員應對所提需求所包含用戶信息進行審核并對需求內(nèi)容作具體描述，數(shù)據(jù)管理員有責任進行復核并盡可能降低用戶敏感信息提取標準上數(shù)據(jù)管理員應該只接收統(tǒng)計、分析類取數(shù)需求，不應該接收批量用戶敏感信息取數(shù)需求，如碰到特殊情況（如用戶關心、二次營銷等情況，必需遵照對應審批步驟。業(yè)務部門按攝影應步驟將數(shù)據(jù)提取需求發(fā)給取數(shù)部門數(shù)據(jù)提取部門不得將數(shù)據(jù)提取結(jié)果直接發(fā)給需求人員數(shù)據(jù)提取結(jié)果必需為受控文檔并在指定平臺上進行編輯和處理，不得存放在指定平臺外任何主機上。受控文檔是指采取加密授權數(shù)字水印數(shù)字署名等技術手段對文檔進行安全保護后文檔具體方法參見第八章受控文檔脫離中國電信辦公環(huán)境后應無法打開。數(shù)據(jù)提取檢驗稽核必需由專員負責檢驗稽核人員應每個月對日常數(shù)據(jù)提取情況進行檢驗稽核檢驗稽核內(nèi)容包含數(shù)據(jù)提取需求審核分析規(guī)范性數(shù)據(jù)提取需求實施規(guī)范性數(shù)據(jù)提取復核規(guī)范性和資料歸檔立即性完整性安全人員應統(tǒng)計檢驗稽核結(jié)果，并進行匯總分析，總結(jié)存在問題。公檢法等司法機關為滿足司法取證等需要而查詢用戶信息時，應提交正式介紹信并進行留存，由相關主管領導同意后，方能夠提交業(yè)務支撐部門查詢?nèi)?shù)。用戶信息安全檢驗安全檢驗關鍵分為“操作稽核”、“合規(guī)性檢驗”、“日志審計、例行安全檢驗和風險評定”。各企業(yè)業(yè)務主管部門和運維部門負責開展日常安全檢驗信息安全安全管理責任部門進行專題安全檢驗、抽查。各企業(yè)信息安全管理責任部門負責用戶信息安全檢驗情況匯總，梳理存在問題，通報結(jié)果；針對發(fā)覺重大安全隱患或違規(guī)行為，應向企業(yè)管理層匯報。信息安全管理責任部門針對安全檢驗過程中發(fā)覺突出問題牽頭協(xié)調(diào)各部門提出改善方案，并要求相關部門落實處理，并對改善方法落實情況進行跟蹤檢驗。操作稽核操作稽核是對操作日志和工單等原始憑證進行比對，分析查找違規(guī)行為。操作稽核基礎要求：各業(yè)務部門和運維支撐部門應依據(jù)“職責不相容”標準設置獨立安全員，安全員應和系統(tǒng)管理員、業(yè)務操作人員分開，安全員應定時開展安全審計、稽核和檢驗。包含用戶信息各系統(tǒng)應全方面統(tǒng)計帳號和授權管理、系統(tǒng)訪問、業(yè)務操作、用戶敏感信息操作等行為，確保日志信息完整、正確，對不符合要求應由主管部門牽頭落實系統(tǒng)整改。各系統(tǒng)用于安全檢驗原始日志統(tǒng)計內(nèi)容應最少包含：操作帳號、時間、登錄IP地址、登陸MAC地址、具體操作內(nèi)容等。日志不應明文統(tǒng)計帳號口令、通信內(nèi)容等系統(tǒng)敏感信息和用戶敏感信息。各系統(tǒng)主管部門應加強系統(tǒng)原始日志訪問管理，除日志日常維護包含數(shù)據(jù)遷移外，任何人不得對日志信息進行更改、刪除。用于用戶信息安全檢驗、稽核原始日志必需單獨保留，各系統(tǒng)主管部門要制訂數(shù)據(jù)存放備份管理制度，定時對原始日志進行備份歸檔，全部用戶敏感信息操作原始日志在線最少保留3個月，離線最少保留1年。各使用部門應保留全部用戶敏感信息操作憑據(jù)，確保真實有效，憑據(jù)最少保留1年。操作稽核策略：各企業(yè)信息安全管理責任部門牽頭制訂省內(nèi)用戶信息安全操作稽核策略，各業(yè)務管理部門配合完成所轄業(yè)務系統(tǒng)稽核策略制訂。安全檢驗策略需明確檢驗對象、檢驗頻度、檢驗方法。對于策略變更必需明確管理步驟，具體統(tǒng)計變更起始、終止狀態(tài)和變更內(nèi)容。在操作稽核頻度和抽樣百分比上，要求高價值用戶敏感信息訪問要求天天進行全量稽核，中價值用戶敏感信息訪問最少按周稽核，日志抽樣比率不低于5%，低價值用戶敏感信息訪問最少按月稽核，日志抽樣比率不低于2%。合規(guī)性檢驗合規(guī)性檢驗關鍵是依據(jù)本管理規(guī)范要求進行檢驗，檢驗相關要求落地情況；各企業(yè)應明確用戶信息安全檢驗工作任務包含檢驗目標范圍參與人員任務分工及對應步驟。各相關部門依據(jù)企業(yè)制訂檢驗任務安排專員或采取交叉方法負責本部門用戶信息安全合規(guī)性檢驗，對檢驗結(jié)果進行歸檔，編寫檢驗匯報。各企業(yè)每六個月應對存有用戶信息系統(tǒng)進行最少1次合規(guī)性檢驗。日志審計、例行安全檢驗和風險評定日志審計，對全部日志按關鍵功效關鍵角色、關鍵帳號關鍵參數(shù)進行審計檢驗立即發(fā)覺異常時間登錄異常IP登錄異常帳號增加和權限變更用戶信息增刪改查、批量操作等敏感操作。各分企業(yè)須對可能發(fā)生異常操作行為進行關鍵審計，異常操作行為特征見附錄七。例行安全檢驗是指運維支撐部門對所負責維護系統(tǒng)進行常規(guī)性安全檢驗，包含漏洞掃描、基線檢驗等。例行安全檢驗屬于日常維護檢驗范圍，頻次為每日或每七天最少一次。風險評定是結(jié)合系統(tǒng)運行過程中出現(xiàn)問題、行業(yè)中新出現(xiàn)信息安全風險，對系統(tǒng)面臨威脅存在弱點造成影響和三者綜合作用帶來風險可能性進行評定。用戶信息系統(tǒng)風險評定頻次標準上為每六個月一次。但在重大活動或敏感時期，應依據(jù)上級單位要求開展專題風險評定。風險評定側(cè)重經(jīng)過白客滲透測試技術發(fā)覺深層次安全問題如緩沖區(qū)溢出等編程漏洞業(yè)務步驟漏洞通信協(xié)議中存在漏洞和弱口令等等風險評定以各系統(tǒng)運維支撐部門自評定為主、信息安全管理責任部門抽查相結(jié)合方法進行。用戶信息系統(tǒng)技術管控系統(tǒng)安全防護對用戶敏感信息系統(tǒng)，應采取必需安全技術手段，關鍵防護：系統(tǒng)應在關鍵安全域，安全域邊界采取防火墻等防護手段；必需嚴格管理和限制包含用戶信息系統(tǒng)和其它系統(tǒng)互聯(lián)互通能力和范圍；安全邊界網(wǎng)絡設備、安全設備應定時進行安全評定和檢驗，立即修補漏洞，杜絕弱口令。加強系統(tǒng)本身安全：系統(tǒng)在設計階段，應該依據(jù)接口和步驟包含到用戶信息類型和操作類型（查詢、修改、增刪，來定義安全需求，并設計完整信息安全技術方案；建“安全準入制度在系統(tǒng)交付階段分別對系統(tǒng)接口和步驟安全性進行評定。未達成安全要求系統(tǒng)標準上應拒絕驗收上線，對需緊急上線系統(tǒng)，經(jīng)主管領導同意后可給予上線，但建設部門應同時要求系統(tǒng)集成商制訂對應整改計劃，并在完成整改前實施有效替換方法。做好上線前安全評定，封堵和修補系統(tǒng)、數(shù)據(jù)庫、中間件、應用層漏洞，升級安全補丁，預防系統(tǒng)被攻擊和入侵。做好日常安全運維：做好用戶信息相關系統(tǒng)日常安全監(jiān)控，建立、完善個系統(tǒng)告警分析和應急響應步驟。定時檢驗用戶信息相關系統(tǒng)安全（重大變更和系統(tǒng)升級后也需進行立即修補發(fā)覺安全漏洞。帳號認證管控要求為了從技術上限制非授權用戶接觸用戶敏感信息標準上包含用戶敏感信息支撐系統(tǒng)業(yè)務平臺通信系統(tǒng)等應實現(xiàn)強認證，系統(tǒng)內(nèi)授權、鑒權、審計功效要充足支撐本規(guī)范相關管理要求。運維人員應該進行強認證后，才能登陸訪問后臺系統(tǒng)。各系統(tǒng)必需支撐對用戶訪問敏感數(shù)據(jù)將安全，并支撐對用戶訪問用戶敏感信息操作日志審計。系統(tǒng)應含有以下能力：系統(tǒng)應實現(xiàn)強身份認證；系統(tǒng)應實現(xiàn)基于管控安全策略訪問控制和授權管理、訪問鑒權。系統(tǒng)應實現(xiàn)安全審計管理，搜集、統(tǒng)計、管理用戶對高敏感度數(shù)據(jù)訪問和關鍵操作行為統(tǒng)計；系統(tǒng)應提供完善帳號生命周期管理能力；用戶對高價值敏感數(shù)據(jù)進行訪問時，系統(tǒng)能支撐短信、郵件等方法告警管控規(guī)則？；管控規(guī)則？系統(tǒng)應能對用戶異常、不合理操作行為進行監(jiān)控和告警日志管控規(guī)則？；日志管控規(guī)則？遠程接入管控標準上遠程接入帳號只能授予內(nèi)部職員如第三方因特殊情況需要經(jīng)過遠程登錄訪問系統(tǒng)可依據(jù)系統(tǒng)主管授權臨時開通遠程登錄功效并對遠程登錄操作進行監(jiān)控（或事后立即審閱對應操作日志統(tǒng)計。遠程登錄必需進行集中認證授權和審計應遵照權限最小化標準，開放用戶能訪問系統(tǒng)及權限。應對遠程接入用戶登陸過程操作行為進行統(tǒng)計（包含但不限于以下信息用戶名、操作內(nèi)容、登陸方法、登入時間、登出時間。經(jīng)過遠程接入方法進入企業(yè)網(wǎng)絡用戶，應嚴格限制其接觸用戶敏感信息。用戶敏感信息泄密防護因工作需要從支撐系統(tǒng)業(yè)務平臺或通信系統(tǒng)中提取以文件形式存在用戶敏感信息時應從技術手段上預防其被泄密能夠采取防泄密技術手段包含文檔安全管理、終端安全管理、敏感信息監(jiān)控等。文檔安全管理應實現(xiàn)以下功效：文檔加密解密；基于用戶角色或主機文檔授權，限制被授權特定用戶或終端才能打開受控文檔，未被授權人或終端無法打開文檔；實現(xiàn)文檔權限控制(閱讀編輯復制拖放打印保留另存為閱讀時間、打印次數(shù)及文檔使用期等)對能處理用戶敏感信息終端，應有終端安全管理方法：應統(tǒng)一安裝防病毒軟件，限制移動存放介質(zhì)使用，限制無線網(wǎng)絡使用；應有統(tǒng)一接入控制，實施統(tǒng)一安全策略；定時對掃描終端漏洞，立即升級補??；定時掃描或檢驗終端上是否存在涉用戶敏感信息文件；預防經(jīng)過移動硬盤、U盤、光驅(qū)、軟驅(qū)等外設路徑泄密；預防經(jīng)過網(wǎng)絡打印、當?shù)卮蛴〉嚷窂叫姑?；預防經(jīng)過截屏、錄像等路徑泄密；在業(yè)務支撐網(wǎng)和OA網(wǎng)內(nèi)，對傳輸用戶敏感信息，可在網(wǎng)絡或終端側(cè)進行敏感信息監(jiān)控：對經(jīng)過QQ、MSN、電子郵件、HTTP等網(wǎng)絡路徑泄密用戶敏感信息進行監(jiān)控；對監(jiān)控到批量傳輸用戶敏感信息行為進行預警。各企業(yè)應依據(jù)實際需要采取綜合技術管控手段預防涉用戶敏感信息文件泄密。各企業(yè)應對可能泄密路徑進行深入分析立即發(fā)覺可能存在漏洞從技術手段上進行限制，形成固定分析機制，防患于未然。系統(tǒng)間接口管理被訪問敏感信息系統(tǒng)應含有安全可靠接入鑒權機制只有經(jīng)過鑒權后才能訪問接口，對于非法訪問能夠進行告警并有完整日志統(tǒng)計；提供完善數(shù)據(jù)傳輸保護機制包含數(shù)據(jù)加密完整性校驗等手段對于跨越互聯(lián)網(wǎng)或不相同級安全域之間數(shù)據(jù)傳輸必需進行加密以實現(xiàn)數(shù)據(jù)傳輸安全。對接口全部請求和響應全部要進行具體日志統(tǒng)計，便于后期分析和審計。第三方管理第三方企業(yè)是指和中國電信在業(yè)務上含有合作關系，或是向中國電信提供服務（如代維SP企業(yè)在雙方發(fā)生合作或服務關系時候有可能接觸到中國電信用戶信息企業(yè)。第三方系統(tǒng)是指為中國電信服務或合作運行系統(tǒng)這些系統(tǒng)可能不在中國電信機房內(nèi)，但能經(jīng)過接口和中國電信系統(tǒng)發(fā)生數(shù)據(jù)交互從而取得用戶敏感信息；第三方人員是指為中國電信提供開發(fā)測試運維等服務或參與合作運行系統(tǒng)管理人員，可能接觸到用戶敏感信息。各單位應和第三方企業(yè)簽署保密協(xié)議在協(xié)議中明確第三方企業(yè)及其參與項目標職員保密責任和違約罰則。標準上各單位還應要求第三方企業(yè)和中國電信簽署信息安全承諾書嚴禁發(fā)生以下行為：竊取、泄露、濫用用戶信息；利用系統(tǒng)漏洞損害中國電信或中國電信用戶利益；修改業(yè)務信息、強制或偽造訂購業(yè)務等；在已上線使用系統(tǒng)中留存后門。第三方人員進入中國電信生產(chǎn)區(qū)域或登錄中國電信系統(tǒng)操作時應遵照中國電信全部安全管理制度和規(guī)范。第三方人職員作區(qū)域應和中國電信生產(chǎn)內(nèi)部辦公維護區(qū)域分離并應采取更嚴格訪問控制策略和管控手段第三方人員使用測試數(shù)據(jù)不應該反應現(xiàn)網(wǎng)用戶真實信息必需是經(jīng)過模糊化處理數(shù)據(jù)；第三方人員進入可能接觸到用戶信息生產(chǎn)或維護區(qū)域應該有對應審批制度。第三方工作區(qū)域終端接入中國電信內(nèi)部網(wǎng)絡應有嚴格接入認證并嚴格限制U盤等外設拷貝限制對WLAN3G等無線上網(wǎng)使用要求統(tǒng)一安裝防病毒軟件。各單位應定時對現(xiàn)場服務第三方終端進行涉敏感信息檢驗；第三方人員轉(zhuǎn)崗或離崗前，第三方企業(yè)需要提交第三方人員轉(zhuǎn)崗或離崗申請書，主管部門依據(jù)本要求完成第三方人員帳號回收審計稽核網(wǎng)絡調(diào)整等工作，并簽署轉(zhuǎn)崗或離崗審批意見，方可轉(zhuǎn)崗或離崗。定時對系統(tǒng)內(nèi)第三方人員帳號進行有效性審計。第三方系統(tǒng)接入要求：第三方系統(tǒng)需接入訪問中國電信系統(tǒng)時，應到企業(yè)主管業(yè)務部門申請立案；第三方系統(tǒng)若需要保留部分用戶敏感資料，應經(jīng)過業(yè)務主管部門審批，標準上第三方系統(tǒng)不能保留高價值用戶信息；第三方系統(tǒng)安全配置和防護，應達成中國電信相關安全要求；第三方系統(tǒng)退出服務時，業(yè)務主管部門應立即通知支撐部門關閉對應接口；各業(yè)務主管部門應定時對第三方系統(tǒng)進行安全檢驗。數(shù)據(jù)存放和備份管理對于存有用戶信息物理介（磁陣硬盤和磁帶等維護更換升級和報廢等操作必需有嚴格管理措施對于要離開系統(tǒng)物理介質(zhì)必需采取有效手段由專員根本刪除用戶信息后才可離開其所在安全區(qū)域假如要將存有用戶信息介質(zhì)交給第三方，必需得到主管領導審批。應采取有效技術管理手段加強對包含用戶敏感信息系統(tǒng)使用移動存放介質(zhì)管控。應統(tǒng)計移動介質(zhì)輸出用戶信息和文件具體信息，并定時審計。應制訂管理要求對存放用戶信息電子文件或紙介質(zhì)進行有效管理，要求其保留、傳輸、銷毀等步驟，預防用戶信息泄漏。有明確系統(tǒng)數(shù)據(jù)備份計劃而且留有備份日志以供審計使用能夠立即正確對備份異常（失敗、受損）進行告警。嚴格限制可訪問備份數(shù)據(jù)人員和帳戶對于直接訪問備份或恢復系統(tǒng)數(shù)據(jù)操作，必需得到主管領導審批，由超級用戶來實施。用戶信息泄密處罰企業(yè)有權利依據(jù)國家法律法規(guī)和企業(yè)規(guī)章制度對于發(fā)覺任何侵害用戶信息安全內(nèi)部機構(gòu)或個人采取對應處罰方法。對和中國電信有合作關系組織或個人若發(fā)生泄密事件應依據(jù)協(xié)議和相關要求進行處罰,涉嫌犯罪，依法移交司法機關處理；若中國電信內(nèi)部職員發(fā)生泄密事件應依據(jù)信息安全事件造成影響及相關責任主體態(tài)度，作出以下處理：批評教育：包含責令責任主體檢驗、誡勉談話等；書面檢驗：責令責任主體向上級主管部門作出書面檢驗；通報批評：在企業(yè)范圍內(nèi)對責任主體發(fā)文通報；績效處分：降低或扣除責任主體績效，納入月度或年度考評；行政處分：追究信息安全事件發(fā)生負有領導責任責任人管理責任，對相關責任人給予行政處分，直至開除。法律責任：如涉嫌犯罪，則移交司法機關處理。以上方法能夠單獨適用，也能夠同時適用。發(fā)生用戶信息泄密事件，由信息安全責任部門組織相關部門聯(lián)合進行責任認定，根據(jù)各單位具體處罰措施對相關直接責任人和負有領導責任人進行處罰。附錄用戶信息分類表用戶信息分類子類內(nèi)容用戶基礎資料政企用戶資料政企用戶責任人信息、聯(lián)絡人信息、單位組員個人基礎信息、業(yè)務協(xié)議、銀行扣費帳戶、政企用戶編號、政企用戶名稱、所在省市、所在行業(yè)、集團簽約時間、政企用戶協(xié)議到期時間個人用戶資料用戶姓名、證件類型、證件號碼、證件影印件、用戶手機終端信息、用戶職業(yè)、工作單位、居住地址、聯(lián)絡地址、聯(lián)絡電話、銀行扣費帳戶、用戶編號、年紀、性別、歸屬市縣營業(yè)廳、愛好愛好、郵寄信息等各類特殊名單黑名單、白名單、紅名單用戶身份鑒權信息用戶密碼用戶服務密碼、協(xié)同通信密碼、189郵箱密碼、有線寬帶密碼、wlan密碼、保密通信密碼等用戶通信信息詳單包含語音、短信、彩信和上網(wǎng)詳單等，內(nèi)含主叫號碼、主叫位置、被叫號碼、開始通信時間、時長、流量、金額等信息賬單每個月出賬固定費用、通信費用、數(shù)據(jù)費用、代收費用用戶目前位置信息正確位置信息、大致位置信息用戶消費信息停開機、入網(wǎng)時間、在網(wǎng)時間、積分、預存款、信用等級、信用額度、繳費情況、付費方法基礎業(yè)務訂購關系品牌、套餐情況定制情況增值業(yè)（含數(shù)據(jù)業(yè)務）訂購關系189郵箱、協(xié)同通信、通信助理、來顯、彩鈴、天翼LIVE等增值業(yè)務注冊、修改、注銷增值業(yè)務信息189郵箱地址、協(xié)同通信號碼、交易歷史統(tǒng)計其它來顯號碼用戶通信內(nèi)容信息用戶通信內(nèi)容統(tǒng)計短信、彩信、郵件等內(nèi)容移動上網(wǎng)內(nèi)容及記錄上網(wǎng)訪問內(nèi)容、上傳下載、用戶端軟件通信統(tǒng)計行業(yè)應用平臺上交互信息內(nèi)容用戶信息分級信息類別信息項信息內(nèi)容對第三方價值事故影響分類定義用戶基礎資料政企用戶資料政企用戶責任人信息、聯(lián)絡人信息、單位組員個人基礎信息、業(yè)務協(xié)議、銀行扣費帳戶、政企用戶編號、政企用戶名稱、所在省市、所在行業(yè)、簽約時間、協(xié)議到期時間牟取暴利造成政企用戶流失

損失巨大機密數(shù)據(jù)個人用戶資料用戶姓名、證件類型、證件號碼、證件影印件、用戶職業(yè)、工作單位、居住地址、聯(lián)絡地址、聯(lián)絡電話、銀行扣費帳戶、用戶編號、年紀、性別、歸屬市縣營業(yè)廳、愛好愛好、郵寄信息、大用戶標識價值較大造成用戶損失

損失大敏感數(shù)據(jù)各類特殊名單黑白紅名單、鉆金銀名單等牟取暴利造成投訴

損失大敏感數(shù)據(jù)用戶身份鑒權信息用戶密碼用戶服務密碼、協(xié)同通信密碼、189郵箱密碼、有線寬帶密碼、wlan密碼、保密通信密碼牟取暴利造成用戶損失

損失巨大機密數(shù)據(jù)用戶通信信息詳單包含語音、短信、彩信和上網(wǎng)詳單等，內(nèi)含主叫號碼、主叫位置、被叫號碼、開始通信時間、時長、流量、金額等信息價值較大造成投訴

損失大敏感數(shù)據(jù)賬單每個月出賬固定費用、通信費用、數(shù)據(jù)費用、代收費用價值通常損失通常一般數(shù)據(jù)用戶目前位置信息正確位置信息(如小區(qū)代碼、基站號、基站經(jīng)緯度坐標等)；

大致位置信息(如地域代碼等)價值較大損失通常敏感數(shù)據(jù)用戶消費信息停開機、入網(wǎng)時間、在網(wǎng)時間、積分、預存款、信用等級、信用額度、繳費情況、付費方法價值通常損失通常一般數(shù)據(jù)訂購關系品牌、套餐情況定制情況價值低無顯著損失一般數(shù)據(jù)增值業(yè)務訂購關系189郵箱、手機報、天翼live、來顯、彩鈴、等增值業(yè)務注冊、修改、注銷價值低無顯著損失一般數(shù)據(jù)增值業(yè)務信息189郵箱地址、協(xié)同通信號碼、牟取暴利造成用戶損失

損失大敏感數(shù)據(jù)用戶通信內(nèi)容信息用戶通信內(nèi)容統(tǒng)計短信、彩信、協(xié)同通信、189郵箱等通信內(nèi)容牟取暴利用戶私密信息泄露，

損失巨大機密數(shù)據(jù)移動上網(wǎng)內(nèi)容及統(tǒng)計移動上網(wǎng)訪問內(nèi)容、上傳下載、用戶端軟件通信統(tǒng)計價值低損失通常一般數(shù)據(jù)增值業(yè)務用戶行為統(tǒng)計WAP訪問、應用下載、基地等行為價值低用戶私密信息泄露，

損失大敏感數(shù)據(jù)商務領航平臺交互信息內(nèi)容行業(yè)應用訂購、開通信息牟取暴利損失通常敏感數(shù)據(jù)用戶敏感信息分布大類原有信息分類包含用戶信息支撐系統(tǒng)BOSS存放信息：政企用戶資料、個人用戶資料、各類特殊名單、用戶密碼、詳單、賬單、用戶消費信息、基礎業(yè)務訂購關系、增值業(yè)務（含數(shù)據(jù)業(yè)務）訂購關系、增值業(yè)務信息、統(tǒng)計報表、渠道及合作伙伴資料、資源數(shù)據(jù)EDA存放信息：政企用戶資料、個人用戶資料、各類特殊名單、用戶密碼、詳單、賬單、用戶消費信息、基礎業(yè)務訂購關系、增值業(yè)務（含數(shù)據(jù)業(yè)務）訂購關系、增值業(yè)務信息、統(tǒng)計報表、渠道及合作伙伴資料、資源數(shù)據(jù)用戶服務平臺可獲取信息：詳單、用戶資料網(wǎng)管系統(tǒng)可獲取信息：位置信息通信系統(tǒng)短信網(wǎng)關短信統(tǒng)計，短信內(nèi)容ISAG彩信統(tǒng)計，彩信內(nèi)容HLR用戶目前位置信息、用戶狀態(tài)WAP網(wǎng)關用戶上網(wǎng)統(tǒng)計、彩信統(tǒng)計端局原始話單文件、位置信息關口局原始話單文件業(yè)務平臺ISMP-BMW訂購關系終端自注冊平臺終端型號信息天翼live通訊統(tǒng)計協(xié)同通信平臺通訊統(tǒng)計基地平臺訂購關系、行為業(yè)務部門和支撐部門崗位角色根本角色大類范圍定義舉例業(yè)務產(chǎn)品管理該類崗位角色關鍵指各省業(yè)務部門具體負責產(chǎn)品研發(fā)、推廣崗位產(chǎn)品研發(fā)、產(chǎn)品經(jīng)理、行業(yè)經(jīng)理等細項崗位市場計劃和營銷該類崗位角色關鍵指各省業(yè)務部門具體負責后臺分析、營銷及其它管理工作崗位。市場運行分析、市場營銷、渠道管理等細項崗位業(yè)務運行該類崗位角色關鍵指各省業(yè)務部門負責業(yè)務運行、支撐、服務質(zhì)量等細項業(yè)務處理崗位用戶管理、積分信用度管理、合作伙伴管理、營銷資源管理等細項崗位運行系統(tǒng)支撐該類崗位角色關鍵指各省業(yè)務部門負責系統(tǒng)管理及支撐崗位帳號管理、角色權限管理、公共支撐管理等細項崗位用戶接觸類該類崗位角色關鍵是指各省業(yè)務部門各項渠道中直接服務于客戶一線崗位。用戶經(jīng)理、渠道服務、營業(yè)廳服務、電子渠道服務等細項崗位運維支撐運行維護該類崗位關鍵包含各省企業(yè)負責包含用戶敏感信息系統(tǒng)維護管理和服務監(jiān)控人員主機管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員、應用管理員、配置管理、服務監(jiān)控、安全管理開發(fā)測試該類崗位關鍵包含各省企業(yè)負責包含用戶敏感信息系統(tǒng)設計、研發(fā)、測試和項目建設管理人員。架構(gòu)管理、系統(tǒng)設計、應用開發(fā)、應用測試、項目建設管理等生產(chǎn)運行該類崗位關鍵包含各省企業(yè)負責業(yè)務支撐系統(tǒng)投訴管理、運行分析等生產(chǎn)運行相關人員投訴管理、運行分析、數(shù)據(jù)質(zhì)量支撐、安全審計等業(yè)務人員對用戶敏感信息操作步驟帳號口令管理細則一、帳號管理遵照標準：帳號管理貫穿帳號創(chuàng)建、授權、權限變更及帳號撤銷或凍結(jié)全過程；帳號設置應和崗位職責相容；堅持最小授權標準，崗位角色和權限對應矩陣列表，避免超出工作職責過分授權；應制訂嚴格審批和授權步驟，規(guī)范帳號申請、修改、刪除等工作，授權審批統(tǒng)計應編號、留檔；帳號創(chuàng)建、調(diào)整和刪除申請審批經(jīng)過后，應立即更新系統(tǒng)中帳號狀態(tài)，確保和審批結(jié)論保持一致；標準上，除低權限查詢帳號外，各系統(tǒng)不許可存在其它共享帳號，必需明確每個帳號