客户信息保密管理制度

客户信息保密管理制度

客户信息保密管理制度在日常生活和工作中，各种制度频繁出现，好的制度可以使各项工作按计划按要求达到预期目标。如果你正在制定制度，但毫无头绪，下面是店铺为大家收集的客户信息保密管理制度，欢迎阅读，希望大家喜欢。篇1：目的、范围和职责1、目的为保证公司客户信息安全，防止客户信息失密泄密事件发生，特制定本制度。2、范围适用于公司内全体员工。3、职责3.1品质管理部负责制度的拟定和对执行情况的监督；IT管理员负责对管控系统客户信息权限的管理；3.2各部门负责人负责客户信息清单编制、保管，对使用客户信息人员监督工作。3.3各部门负责对本部门客户信息的日常管理。3.4各服务中心项目经理3.4.1负责纸质客户信息打印申请批示。3.4.2监督部门人员实行客户信息保密工作。3.5总经理负责客户信息需提供于公司外部使用时批示。篇2：术语定义客户信息属于公司秘密信息，公司秘密是指关系公司的利益，依照一定程序确定，在一定时间内只限一定范围的人员知悉的，经公司采取保密措施并具有实用性的信息。篇3：方法和过程控制1、客户信息分类1.1纸质信息交付时产生的客户档案或其他信息。1.2电子信息各种格式电子客户信息。1.3管控数据指管控系统中客户资料。2、客户信息权限、使用、保管、销毁2.1纸质信息2.1.1除客户档案外不得保留任何形式的纸质客户信息。特殊情况需经部门经理负责人批示后方可打印，打印件盖“受控文件”、使用期限后接收人签收领取。2.1.2使用过程中不得转借他人，不得带出办公区域。2.2电子信息2.2.1交付时由地产提供电子版客户资料只能由项目负责人保管，若信息员因工作需要，项目负责人可授权给信息员使用。但需设置权限只能查看，不能打印、复制、转发。2.2.2当信息员结合客户档案、地产提供的电子版客户资料完成管控数据的建立并确认无误后，信息员与项目负责人保留的电子信息均需销毁处理。2.2.3销毁需由项目负责人监销并记录。2.2.4包括但不限于大范围访谈、人口普查所产生的纸质客户信息，由信息员与管控进行核对，及时更新，核对完后，再由客户经理将客户的其他诉求信息进行电子版归档管理，但不得保留客户电话、工作单位等私密信息。以上是客户信息保密管理制度，希望能对大家的工作有所帮助。5.2.3客户信息权限管理5.2.3.1品质管理部IT工程师拥有全部权限。5.2.3.2各项目信息员拥有除客户信息导入导出外的所有权限。5.2.3.3其他有需求的人员仅拥有录入和查看权限。5.2.4风险评估和控制各部门应根据实际使用情况评估客户信息外泄风险，并决定是否封闭相关计算机USB接口和刻录光驱。5.2.5保密协议和移交新员工入职时需要签署保密协议，并在离职时进行相关的移交和注销工作。5.3监督检查5.3.1每个月各部门都需要对客户信息保密风险进行评估，并及时进行整改。5.3.2品质管理部每两个月对各项目的客户信息保密工作进行检查。对存在重大隐患的项目进行通报批评。5.3.3奖励制度公司将根据员工的贡献给予100-1000元的奖励，具体情况包括：（1）及时检举泄露或非法获取公司客户信息的行为；（2）及时发现他人泄露或可能泄露公司客户信息，并采取补救措施，避免或减轻了损失后果的。5.3.4处罚制度对于以下情形，公司将给予罚款300-2000元，如情节严重，还将予以辞职和赔偿公司经济损失：（1）因疏忽大意而泄露公司客户信息；（2）遗失书面客户信息清单；（3）出卖公司利益，利用公司客户信息为自己谋利。除赔偿公司经济损失外，还要交给司法部门处理。6.相关文件：无7.相关记录菜单-客户信息保密风险评估表-客户信息借阅、销毁记录表第一章总则第一条为维护公司权益，保守公司和客户资料的秘密，特制定本制度。第二条客户资料保密工作的方针是确保秘密不被泄露，同时便利工作。第三条客户资料秘密是指关系公司权力和利益的特定程度规定，在一定时间内只限一定范围人员知悉的事项。第二章保密范围和密级的确定第四条客户资料秘密包括以下内容：1.公司主要客户的重要信息，如法人、负责人、经营范围等相关信息。2.公司与客户重要业务的细节。3.公司对重要客户的特殊营销策略。第五条客户资料密级分为“秘密”、“机密”、“绝密”三级。1.“秘密”是一般的客户资料，泄露会使公司的权力和利益遭受损害。2.“机密”是重要的客户资料，泄露会使公司的权力和利益遭到严重的损害。3.“绝密”是最重要的客户资料，泄露会使公司的权力和利益遭受特别严重的损害。第六条客户秘级的确定1.公司一般业务往来的客户为秘密级。2.公司重要业务往来的客户为机密级。在公司的经营发展中，客户资料对公司的权益有着重要的影响，因此客户资料的保密级别应该标明在文件上，并且按照规定采取相应的保密措施。第三章中规定了客户资料的保密措施，包括对于密级客户资料的保存、复制、传递和外出携带等都应由指定人员负责，并采取必要的安全措施。同时，在具有秘密内容的客户信息管理会议和其他活动中，主办部门也应采取相应的保密措施。在对外交往与合作中需要提供客户资料的情况下，应当事先经总经理批准。同时，不得在私人交往和通信中泄露客户资料秘密，不得在公共场所谈论市场秘密，也不得通过其他方式传递市场秘密。对于客户资料秘密和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁，应由总经理办公室或主管副总经理委托专人执行；采用微机技术存取、处理、传递的公司秘密由相关技术人员负责保密。如果发现客户资料秘密已经泄露或者可能泄露时，应当立即采取补救措施并及时报告总经理办公室进行处理。在第四章中规定了责任与处罚，对于违反保密制度规定的人员，将会受到警告、扣发相关人员效益工资、罚款以及辞退等处罚。最后，在第五章中明确了泄露的定义，即使公司客户资料秘密与重要客户信息超出了限定的接触范围，也应该视为泄露。一般性决定、决议、通告、通知、行政管理资料等内部文件不属于保密范围。公司的密级划分如下：-绝密级：直接影响公司权益和利益的重要决策文件、资料；-机密级：公司的年度规划、财务报表、统计资料、重要会议记录、公司经营情况、厂家技术资料；-秘密级：公司合同、协议、人事档案、工资、奖金、尚未进入市场或尚未公开的各类信息、营业执照及相关证件。属于公司秘密的文件、资料，必须标明密级，并确定保密期限。保密期限届满，除要求继续保密的事项外，自行解密。保密知晓范围如下：-绝密级：只限总公司副/总经理指定的人员知晓；-机密级：只限负责该项工作的主管人员以及该主管人员认为必须知道的人员知晓；-秘密级：只限相关人员知晓。保密资料需采取相应的保密措施，并指派专人负责秘密文件、资料的保管。若发现或发生泄密情况，应立即向总公司领导报告，以便及时采取补救措施。对于及时举报泄密事件、避免可能由此造成公司损失的人员或部门，给予奖励；对于泄露公司秘密、违反保密规定等情况的人员或部门，给予处罚。具体标准参照员工奖惩管理制度执行。本制度自发布之日起生效，解释归人力资源部所有。为了处理工作中涉及的办公秘密信息和业务秘密信息，特制定计算机信息系统安全保密规定。第五条负责计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理，同时管理日常业务数据和其他重要数据的备份。第六条配合保密办对涉密信息系统进行安全检查，并及时整改存在的隐患。第七条制定应急预案并组织演练，处理信息安全突发事件。第十一条党政办公室的主要职责是按照国家密码管理的相关要求，落实涉密信息系统中普密设备的管理措施。第十二条相关业务部门、单位的主要职责是严格遵守保密管理规定，教育员工提高安全保密意识，落实涉密信息系统各项安全防范措施，并准确确定应用系统密级，制定并落实相应的二级保密管理制度。第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员，其职责包括系统管理员负责系统中软硬件设备的运行、管理与维护工作，安全保密管理员负责安全技术设备、策略实施和管理工作，以及安全审计员负责安全审计设备安装调试，对各种系统操作行为进行安全审计跟踪分析和监督检查，并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。第十四条在规划和建设涉密信息系统时，应按照涉密信息系统分级保护标准的规定，同步规划和落实安全保密措施，系统建设与安全保密措施同计划、同预算、同建设、同验收。第十五条涉密信息系统规划和建设的安全保密方案，必须由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制，并经上级保密主管部门审批后方可实施。第十六条涉密信息系统规划和建设实施时，必须由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施，并与实施方签署保密协议，项目竣工后必须由保密办和科技信息部共同组织验收。第十七条对涉密信息系统要采取与密级相适应的保密措施，配备通过国家保密主管部门指定的测评机构检测的安全保密产品。同时，涉密信息系统使用的软件产品必须是正版软件。第十八条涉密信息系统的密级必须按系统中所处理信息的最高密级设定，严禁处理高于涉密信息系统密级的涉密信息。第十九条规定了涉密信息系统中信息的定密、标密、管理和统计等要求。所有文件、数据、图纸等信息及其存储介质都应按时定密、标密，并按涉密文件进行管理。电子文件的密级标识应与信息主体不可分离，不能篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总，并在保密办备案。第二十条要求涉密信息系统建立安全保密策略，并采取有效措施，防止涉密信息被非授权访问、篡改、删除和丢失。同时，要防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。第二十一条规定了向涉密信息系统以外的单位传递涉密信息的要求。一般只提供纸质文件，如果确需提供涉密电子文档，则需按信息交换及中间转换机管理规定执行。第二十二条要求在清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时，必须使用符合保密标准、要求的工具或软件。第二节用户管理与授权包括第二十三条和第二十四条。第二十三条要求根据本部门、单位使用涉密信息系统的密级和实际工作需要，确定人员知悉范围，以此作为用户授权的依据。第二十四条要求科技信息部和财会部分别管理其所属系统的用户清单，新增用户时需经过审核和审批，并备案统一建立用户；删除用户时需由用户所在部门、单位书面通知并经过相关审核和审批。第六十四条要求国际互联网计算机实行专人负责、专机上网管理，严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。第六十五条规定了上网信息的保密管理原则，信息上网必须经过严格审查和批准，坚决做到“涉密不上网，上网不涉密”。对上网信息进行扩充或更新，应重新进行保密审查。第六十六条明确禁止任何部门、单位和个人在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。第六十七条要求从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统，需经科技信息部审批后，按照信息交换及中间转换机管理规定执行。第五章对便携式计算机管理进行了规定。68.便携式计算机（包括涉密和非涉密）的保密管理原则为“谁拥有，谁使用，谁负责”，使用者必须签署保密承诺书。69.涉密便携式计算机应根据工作需要确定密级，并贴上相应的密级标识，按照涉密设备管理规定进行管理，必须经过保密办备案后方可使用。70.便携式计算机应具备防病毒、防非法外联和身份认证等安全保密措施。71.禁止在涉密便携式计算机上访问国际互联网和非涉密网络，严禁与涉密信息系统互联。72.涉密便携式计算机不得处理绝密级信息，未经保密办审批，严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行，并与涉密便携式计算机分离保管。73.禁止使用私人便携式计算机处理办公信息，严禁非涉密便携式计算机存储或处理涉密信息，也严禁将涉密存储介质接入非涉密便携式计算机使用。74.公司应配备专供外出携带的涉密便携式计算机和涉密存储介质，并按照“集中管理、审批借用”的原则进行管理，建立使用登记制度。外出携带的涉密便携式计算机必须经过保密办检查后方可带出公司，返回时也要进行技术检查。75.外单位需要携带便携式计算机进入公司办公区域时，需经过保密审批手续。76.为有效预防和处置涉密信息系统安全突发事件，及时控制和消除涉密信息系统安全突发事件的危害和影响，保障涉密信息系统的安全稳定运行，科技信息部和财会部应分别制定相应应急响应预案，经公司涉密信息系统安全保密领导小组审批后实施。77.应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件，根据事件引发原因分为灾害类、故障类或攻击类三种情况。在保障人身安全前提下，保障数据安全和设备安全，必要时关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。针对病毒传播，要及时寻找并断开传播源，判断病毒的类型、性质和可能的危害范围，以及采取杀毒、防御措施。2、外部入侵应该首先判断入侵的来源，并评估入侵可能或已经造成的危害。对于未造成损害的、评价威胁很小的外部入侵，应该定位入侵的IP地址，及时关闭入侵的端口，并限制入侵的IP地址的访问。对于已经造成危害的情况，应该立即采用断开网络连接的方法，以避免造成更大的损失和影响。3、内部入侵应该查清入侵来源，如IP地址、所在区域、所处办公室等信息，并断开对应的交换机端口。针对入侵方法，需要调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的情况，应该及时关闭被入侵的服务器或相应设备。4、网络故障需要判断故障发生点和故障原因。对于能够迅速解决的故障，应该尽快排除故障，并优先保证主要应用系统的运转。5、对于其他未列出的不确定因素造成的事件，需要结合具体情况做出相应的处理。如果无法处理，应该及时咨询并上报公司信息安全领导小组。第七十八条根据信息安全突发事件的性质、影响范围和造成的损失，将涉密信息系统安全突发事件分为特别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV级）四个等级。对于一般事件，科技信息部（或财会部）应该依据应急响应预案进行处置。对于较大事件，科技信息部（或财会部）和保密办应该依据应急响应预案进行处置，并及时向公司信息安全领导小组报告并提请协调处置。对于重大事件，需要启动应急响应预案，并及时向公司党政报告并提请协调处置。对于特别重大事件，公司应该报请中核集团公司进行处置。第七十九条发生突发事件（如涉密数据被窃取或信息系统瘫痪等），应该按照应急响应的基本步骤、基本处理办法和流程进行处理。首先需要上报科技信息部和保密办，然后关闭系统以防止造成数据损失。接着需要切断网络，隔离事件区域，查阅审计记录寻找事件源头，并评估系统受损程度。对引起事件漏洞进行整改，对系统重新进行风险评估。由保密办根据风险评估结果并书面确认安全后，系统方能重新运行。对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录，并依照法规制度对责任人进行处理。第八十条科技信息部、财会部应该会同保密办每年组织一次应急响应预案演练，检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效，并对其效果进行评估，以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应该纳入信息安全保密培训内容，并记录备案。第七章人员管理。第八十一条规定，各部门、单位每年必须进行至少一次全员信息安全保密知识技能的教育和培训，并记录备案。根据第八十二条，涉密人员离岗或离职时，必须及时取消其访问授权，并归还其保管的涉密设备和存储介质，并办理移交手续。第八十三条规定，承担涉密信息系统日常管理工作的系统管理员、安全保密管理员和安全审计管理员应按照重要涉密人员管理。第八章规定了督查和奖惩，其中第八十四条规定公司每年必须进行一次自查，检查涉密信息系统安全保密状况和措施的落实情况，并接受国家和上级单位的指导和监督。涉密信息系统每两年必须接受上级部门开展的安全保密测评或保密检查，并将检查结果存档备查。第八十五条规定，检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查（取证）软件等，应覆盖保密检查的项目，并通过国家保密局的检测。安全保密检查工具应及时升级或更新，确保检查时使用最新版本。根据第八十六条，各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况，纳入保密自查、考核的重要内容。对违反规定造成失泄密的当事人及有关责任人，按公司保密责任考核及奖惩规定执行。第九章为附则，规定本规定由保密办负责解释与修订，并自发布之日起实施。同时，废止了原《计算机磁（光）介质保密管理规定》、《涉密计算机信息系统保密管理规定》、《涉密计算机采购、维修、变更、报废保密管理规定》、《国际互联网信息发布保密管理规定》、《涉密信息系统信息保密管理规定》和《涉密信息系统安全保密管理规定》。此外，客户信息保密管理制度篇7中规定，为了处理工作中的办公秘密和业务秘密信息，特制定计算机信息系统安全保密制度。信息科、机要科负责指导市政府办公室涉密人员的保密技术培训，并落实技术防范措施。同时，涉密信息不得在