客户信息安全保护实施细则

客户信息安全保护实施细则

****:►有限公司

二。二O年四月

目录

客户信息安全保护实施细则.......................................................................1

第一章总则....................................................................................4

第二章客户信息保护原则........................................................................6

第三章组织与职责...............................................................................7

第四章客户信息的内容及等级划分...............................................................10

第一节客户信息的内容..........................................................................10

第二节客户信息等级划分........................................................................11

第三节存储及处理客户信息的系统...............................................................11

第五章岗位角色与权限..........................................................................12

第一节业务部门岗位角色与权限.................................................................12

第二节运维支撑部门岗位角色与权限.............................................................16

第六章帐号与授权管理........................................................................18

第七章客户信息全生命周期管理................................................................20

第一节客户信息的收集.......................................................................20

第二节客户信息的传输.......................................................................21

第三节客户信息的存储.......................................................................22

第四节客户信息的使用.......................................................................23

第五节客户信息的共享.......................................................................28

第六节客户信息的销毁.......................................................................29

第八章第三方管理.............................................................................30

第九章客户信息系统的技术管控.................................................................33

第一节系统安全防护..........................................................................33

第二节集中4A管控要求.......................................................................34

第三节金库模式管控..........................................................................35

第四节远程接入管控..........................................................................36

第五节客户信息泄密防护......................................................................36

第六节系统间接口管理........................................................................38

第七节数据脱敏..............................................................................38

第十章客户信息安全审核.......................................................................39

第一节操作日志审核............................................................................39

第二节合规性审核..............................................................................41

第三节日常例行安全审核与风险评估.............................................................42

第十一章安全事件应急响应.....................................................................43

第十二章重要问题的省市职责界面划分...........................................................43

第十三章事后问责..............................................................................45

附录一：客户信息分类表........................................................................47

附录二：客户信息分级及管控原则................................................................49

附录三：客户信息分布...........................................................................50

附录四：业务部门和支撑部门岗位角色............................................................51

附录五：业务人员对客户信息的操作流程...........................................................53

附录六：帐号口令管理细则......................................................................54

附录七：异常行为审核规则......................................................................58

附录八：客户信息模糊化参考规则................................................................60

附录九：客户信息开放规则......................................................................63

第一章总则

第一条为了加强公司客户信息安全管理，规范客户信息访问流

程、用户访问权限以及承载客户信息的环境，降低客户信息被违法

使用和传播的风险，根据国家《网络安全法》、《电信和互联网用户

个人信息保护规定》（工业和信息化部令第24号）等法律法规及制度

要求，对照集团公司《中国客户信息安全保护管理规定》（移信安通

[2017]26号）,特制定本实施细则。

第二条客户信息安全管理涵盖客户信息的收集、传输、存储、

使用、共享、销毁等各个环节。客户信息的载体包括电子和纸质两

种形式。

第三条客户信息的生命周期结束后，公司各级组织有义务和权

力根据相关的法律、法规及合同约定，妥善的处理客户信息以及与

客户信息相关的数据和载体。

第四条保护客户信息安全及其合法权益是中国应承担的企业

社会责任，公司各级员工应严格遵守“五条禁令”的相关要求，保

护客户信息安全，严禁泄露、交易和滥用客户信息，员工有权利和

义务制止对于任何可能危害客户信息安全的行为，并向信息安全管

理部门举报。

第五条客户信息安全保护管理遵循“责任明确、授权合理、流

程规范、技管结合”的工作方针。

第六条客户信息安全面临的风险和威胁主要包括：因为权限管

理与控制不当，导致客户信息被随意处置；因为流程设计与管理不

当，导致客户信息被不当获取；因为安全管控措施落实不到位，导

致客户信息被窃取等。

第七条省公司各相关部门、各地市分公司（以下简称各单位）

应定期组织客户信息安全评估和审核，对发现的隐患及时整改。

第八条应当建立用户投诉处理机制，公布有效的联系方式，接

受与客户信息保护有关的役诉，并自接到投诉之日起十五日内答复

投诉人。

第九条各单位应当对工作人员进行客户信息保护相关知识、技

能及安全责任培训。

第十条本细则是公司进行客户信息安全管理工作的基本依据。

各单位可根据工作需要进一步制定各条线和专业工作细则，做好客

户信息安全管理工作。

第十一条本细则适用于省公司各部门、各地市分公司，适用于与

客户信息相关系统的使用人员、运维人员、开发测试人员、管理人

员和安全审核人员等。

第十二条本规定的解释权属于中国通信集团浙江有限公司信息

安全部。

第二宣客户信息保护原则

第十三条各单位对客户信息的管理应遵循如下原则：

（一）合法合规原则一一不得收集提供服务所必需以外的客

户信息或者将信息使用于其提供服务之外的目的；不得以欺

骗、误导、强迫等方式或者违反法律、行政法规以及双方的

约定收集、使用及保存信息。

（二）主体责任明确原则一一按照“谁主管谁负责、谁运营谁

负责、谁使用谁负责、谁接入谁负责”的原则，明确责任分

工，各单位应对其持有的客户信息承担安全责任，无论这些

信息通过何种途径获得。

（三）分类分级管控原则一一对信息进行分类分级，根据敏感

程度不同，采取适当的、与信息安全风险相适应的管理措施

和技术手段，保障信息安全。

（四）敏感数据不出网原则一一除非获得用户明确授权，未经

脱敏处理的用户原始数据等敏感数据不可离开中国网络与计

算环境。

（五）用户授权开放原则一一除明确禁止对外共享的保密信

息外，用户个人敏感数据开放给他人或第三方企业时，应取

得用户个人的授权，未经被收集者同意，不得向他人提供个

人信息。

（六）最少够用原则一一在向内部单位、平台、合作方共享

开放信息时，在满足管理要求的前提下仅提供业务开展明确

需要的信息属性、标签属性及规模。

（七）用户知情同意原则一一收集客户信息前，应事先告知用

户数据处理的目的、方式和范围，以及用户查询、更正、删

除个人信息的机制，并明示征得用户的同意。

（A）目的明确原则一一应具有合法、正当、具体的客户信息

处理目的，未获得用户的授权，不得改变客户信息的处理目

的。

（九）质量保证原则一一在处理客户信息的过程中，应基于管

理与技术手段确保客户信息的准确性、真实性、时效性、可

用性，不得篡改、损毁。

第三章组织与职责

第十四条客户信息安全管理采取归口管理的方式，信息安全部是

公司客户信息安全归口管理部门。

第十五条各部门应负责各自主管的业务系统的客户信息安全保

护，明确各业务系统的客户信息安全责任人，按照本规定落实业务

系统的安全管理要求。

第十六条客户信息安全归口管理部门的职责：

（-）负责客户信息安全的全面管理；

（二）组织制定统一的客户信息安全保护实施细则；

（三）组织制定客户信息安全保护的制度和策略；

（四）组织研究客户信息安全保护的技术手段；

（五）定期组织客户信息安全专项审计；

（六）负责收集、汇总客户信息泄密事件；

（七）牵头组织进行客户信息泄密事件的查处；

（八）负责客户信息安全事件的对外解释口径。

第十七条市场部、政企部、客服部等是涉及客户信息安全的业务

部门，其职责为：

（一）负责规范访问客户信息的业务人员岗位角色及其职责;

（二）负责主管的业务系统的客户信息安全保护，建立落实管

理制度和细则；

（三）监督业务人员落实“五条禁令”；

（四）负责业务层面客户信息安全的日常管理和审核工作；

（五）负责制定客户信息泄密投诉的解释口径与投诉处理流

程；

（六）制订对业务合作伙伴的信息泄露的惩罚措施及具体实

施；

（七）协助完成客户信息泄密现象的市场调查；

（A）协助进行客户信息泄密事件的查处。

第十八条信息技术部、网络部（及下属网管、网优、互客各中心）、

市场部电子渠道中心等是涉及客户信息安全的运维支撑部门，其职

责为：

（一）负责所运维的涉及客户信息的系统和平台技术层面的

客户信息安全保障和稽查工作；

（-）负责所主管系统的客户信息安全保护，建立落实管理

制度和细则；

（三）负责规范后台运行维护人员、开发测试人员、生产运行

支撑人员的角色和职责；

（四）监督本部门人员落实“五条禁令”；

（五）做好对第三方的管理，包括组织签订保密协议，加强操

作管理等；

（六）负责规范所属系统和平台客户信息安全技术标准和访

问流程；

（七）协助主管部门查处客户信息泄密事件。

第十九条中国在线公司负责受理客户信息泄密事件的投诉、上报。

第二十条其他相关部门的职责：

（一）人力资源部：应组织有关员工签订保密承诺书，及时发

布人员岗位变动、离职的信息给帐号管理部门，参与对客户信息

泄密人员的查处；

（二）规划技术部：应在系统规划、方案设计阶段考虑并纳入

客户信息安全“三同步”要求；

（三）工程建设部：应在工程建设各阶段涉及客户信息的环节

严格做好客户信息安全保护监督；应在系统验收阶段，检查客户

信息保护工作的落实情况，不达到要求的不予验收；

（四）采购物流部：应在协议和合同中纳入客户信息保密的相

关条款；

（五）纪检监察室：负责“五条禁令”的监察、违规行为的调

查审核、违规人员的处罚判决；

（六）内审部：负责开展客户信息风险的审片；

（七）综合部：负责客户信息安全的相关对外宣传。

第二十一条各地市分公司的客户信息安全由地市信息安全职能

管理部门归口管理，对照省公司各部门、各专业条线职责明确地市

相关部门的职责和工作。

第四章客户信息的内容及等级划分

第一节客户信息的内容

第二十二条客户信息包括用户身份和鉴权信息、用户数据及服

务内容信息、用户服务相关信息等三大类。客户信息的详细内容见

附录一。

第二十三条用户身份而鉴权信息包括但不限于：用户自然人身

份及标识信息、用户虚拟身份、用户鉴权信息等。

第二十四条用户数据及服务内容信息包括但不限于：用户的服

务内容信息、联系人信息、用户私有数据资料、私密社交内容等。

第二十五条用户服务相关信息包括但不限于：业务订购关系、

服务记录和日志、消费信息和账单、位置数据、违规记录数据、终

端设备信息等。

第二节客户信息等级划分

第二十六条客户信息等级分类按照客户信息的敏感程度划分为

极敏感级、敏感级、较敏感级和低敏感级四类，具体划分方法请参

见附录二。

第三节存储及处理客户信息的系统

第二十七条存储和处理客户信息的系统包括支撑系统、业务平

台、通信系统等3大类，具体内容包括但不限于附录三。

第二十八条存储和处理客户信息的支撑系统包括但不限于：业

务支撑侧的业务支撑系统(BOSS)、CRM、ESOP、VGOP、经营分析系

统等；网络侧的网管系统(性能管理系统等)、集团公司不良信息集

中治理平台省端子系统、上网日志留存系统、统一DPI系统等。

第二十九条存储和处埋客户信息的业务平台包括但不限于：业

务支撑侧的云平台、大数据平台；网络侧的短信中心、彩信中心

(MMSC),短信网关、彩信互通网关、企信通、LBS、彩铃平台、

MISC(DSMP)、ADC、ADC位置类系统、ADC业务平台、能力开放平台

等。

第三十条存储和处理客户信息的通信系统包括但不限于：MSC、

HSS/HLR.WAP网关、端局、关口局等。

第三十一条各单位自建或合作运营的涉及客户信息的其他系统。

第五章岗位角色与权限

第三十二条帐号的权限分配应当遵循“权限明确、职责分离、

最小特权”的原则。原则上一个用户帐号对应一个用户，而一个用

户帐号拥有的权限是由其被赋予的岗位角色所决定的，应按照角色

或用户组进行授权，而不是将单个权限直接赋予一个用户帐号。

第三十三条各单位应对使用BOSS、CRM、经分、大数据、云平台

及其他涉及客户信息的业务系统的岗位角色进行梳理，对权限相近

的岗位角色进行合并，并对岗位角色的权限进行规范。在BOSS、CRM、

经分等涉及客户信息的系统中，岗位角色应当根据企业、部门的组

织结构和职责分配而设定；同时，应当根据岗位角色的需要对相关

人员进行授权，不能根据人员需求或变更而设定岗位角色。不同的

岗位角色拥有不同的权限。

第一节业务部门岗位角色与权限

第三十四条业务部门经过授权的员工是客户信息的使用者。原

则上，经授权的业务部门的员工可以访问BOSS、经分、大数据、云

平台或其他业务平台系统的客户信息，但不得拥有批量导出客户信

息的权限。

第三十五条业务部门的岗位角色主要包括：涉及市场部、政企

部、客服部等部门的产品研发、市场政策与策划、业务运营、运营

系统支撑、服务营销等5大类角色，具体岗位角色见附录四。

(-)角色1：产品研发

1.岗位包含举例：产品研发、产品经理、行业经理等细项岗

位；

2.岗位说明：该类岗位角色主要指业务部门具体负责产品研

发、推广的岗位。

3.权限要求：

.可以查看对应产品所涉及的客户信息；

•仅具有查询权限，不应授予增加、删除、修改、批量导

入与导出、批量开通与取消、批量下载等针对客户信息

的操作的权限。

(-)角色2：市场政策与策划

1.岗位包含举例：市场运营分析、服务营销策划、渠道管理、

传播管理等细项岗位；

2.岗位说明：该类岗位角色主要指业务部门具体负责后台分

析、营销及其他管理工作的岗位。

3.权限要求：

•该角色人员只可查询系统中的统计数据，不应授予查询、

操作客户信息的权限，如因工作确需接触客户信息，请

按照“数据提取”的相应规定进行；

(三)角色3：业务管理

1.岗位包含举例：业务管理、服务质量管理、合作管理、业

务运营管理、业务运营支撑等细项岗位；

2.岗位说明：该类岗位角色主要指业务部门负责业务运营、

支撑、服务质量等细项业务处理的岗位；

3.权限要求：

.根据具体岗位的不同，考虑具体工作的需要，可以查看

相应权限所涉及的客户信息；

•仅具有查询权限，不应授予增加、删除、修改、批量导

入与导出、批量开通与取消、批量下载等针对客户信息

的操作权限。

（四）角色4：运营系统支撑

1.岗位包含举例：业务系统管理、系统运营支撑等细项岗位；

2.岗位说明：该类岗位角色主要指业务部门负责系统管理及

支撑的岗位。

3.权限要求：

•该角色人员负责部门系统帐号、口令的管理，配合运维

支撑部门进行相应系统的开发、运营和维护，可以查看

相应权限所涉及的客户信息；

•仅具有查询权限，不应授予增加、删除、修改、批量导

入与导出、批量开通与取消、批量下载等针对客户信息

的操作权限。

（五）角色5：服务营销

1.岗位包含举例：客户服务营销、渠道服务营销、营业厅服

务营销、电子渠道服务营销等细项岗位；

2.岗位说明：该类岗位角色主要是指业务部门的各项渠道中

直接服务于客户的一线岗位。

3.权限要求：

•根据具体岗位的不同，考虑具体工作的需要，经过授权

后查看相应权限所涉及的客户信息；

•直接为客户办理业务的岗位，应按最小授权原则，可授

予增加、删除、修改、批量导入与导出、批量开通与取

消、批量下载等针对客户信息操作的部分权限，但必须

有严格的日志记录；

.不直接面对客户的岗位，仅具有查询权限，不应授予增

力口、删除、修改、批量导入与导出、批量开通与取消、

批量下载等针对客户信息的操作权限。

第三十六条业务人员的授权管理：

（一）按照《中国帐号口令管理办法》相关要求进行权限

分配，提供给相关人员。

（二）角色5的岗位，可在严格审批流程后得到授权，在

系统中根据需要对授权范围内的客户信息进行相应操作，但需

有严格日志记录；

（三）若要对客户信息进行增、删、改、批量导入、导出、

为客户批量开通、取消业务等操作，需经过严格的审批流程后

方可实现；

（四）除角色5外的其他角色，可在严格审批流程后得到

授权，查看所需要的、授权范围内的客户信息，但严禁对客户

信息进行相应其他操作，具体操作包括：增、删、改、批量导

入、批量导出、拷屏等；

（五）所有敏感数据的读取及修改操作的责任都能落实到

人，根据信息泄漏途径的归属确定每项敏感数据在该途径的

“责任人”；

（六）对由于业务人员造成的敏感信息安全问题承担相应

责任。

第二节运维支撑部门岗位角色与权限

第三十七条经过运维支撑部门授权的员工是涉及客户信息的

BOSS、经分、大数据、云平台等系统的运维管理者，经授权的员工

拥有查询、增加、删除、修改、批量导入导出、批量开通与取消、

批量下载等操作客户信息的部分权限。

第三十八条运维支撑部门的岗位角色主要包括运行维护、开发

测试、生产运营3大类角色。

（-）角色1：运行维护

1.岗位包含举例：主机管理员、网络管理员、数据库管理员、

应用管理员、配置管理、服务监控、安全管理、安全审计。

2.岗位说明：该类岗位主要包括负责涉及客户信息的系统的

维护管理和服务监控的人员。

3.权限要求：

•网络管理员原则上不允许查询客户信息，主机管理员、

数据库管理员、配置管理员、应用管理员、安全管理员、

安全审计员可以有查询权限；

•主机管理员、数据库管理员、配置管理员、应用管理员

按照最小授权原则授权，可授予增加、删除、修改、批

量导入与导出、批量开通与取消、批量下载等针对客户

信息操作的部分权限，但必须有严格的日志记录；

•具有批量操作权限的人员应指定专人，人员范围应尽量

小。

（二）角色2：开发测试

1.岗位包含举例：架构管理、系统设计、应用开发、应用测

试、项目建设管理等；

2.岗位说明：该类岗位主要包括负责涉及客户信息的系统的

设计、研发、测试以及项目建设管理人员。

3.权限要求：

.开发测试人员原则上不能接触生产系统数据；

.开发测试人员仅具有测试系统的操作权限，开发测试系

统需要涉及到客户敏感数据信息的内容，原则上使用过

期数据或是模糊化处理之后的数据。模糊化的方法见附

录八。

（三）角色3：生产运营

1.岗位包含举例：投诉管理、运营分析、出帐管理、数据质

量支撑、安全审核等；

2.岗位说明：该类岗位主要包括负责业务支撑系统的投诉管

理、运营分析等生产运营相关人员。

3.权限要求：

.若涉及投诉处理、批量业务操作的需要，按照最小授权

原则，可授予查询，修改，批量导入导出的权限，授权

人员范围应尽量小。

第六章帐号与授权管理

第三十九条业务帐号管理：

（一）业务系统的应用帐号应该由该系统的业务主管部门管理,

业务主管部门必须制定岗位角色和权限的匹配规范，提供岗位角

色和权限对应的矩阵列表，确保职责不相容。

（二）业务主管部门需指定专人（业务管理员）负责所管辖业

务系统的帐号权限分配，明确所管辖业务系统的帐号权限申请审

批流程。

（三）业务管理员应将所管辖业务系统的岗位角色权限矩阵变

更申请及应用层帐号权限变更申请提交主管领导审批，严格限制

系统关键功能和超级帐号的授权。

（四）业务管理员需要定期组织业务系统帐号使用情况的审核,

确认业务系统中用户身份的有效性、帐号创建的合法性、权限的

合理性，对存在的问题提出整改要求。

第四十条运维帐号管理：

（一）运维支撑部门应指定专人（系统帐号管理员）负责运维帐

号和权限的管理工作，制定岗位角色和权限的匹配规范，提供岗

位角色和权限对应的矩阵列表，确保职责不相容；

（二）运维人员应向上一级主管提出帐号权限申请，系统帐号

管理员应按照权限最小化原则分配运维人员的帐号权限。

（三）系统帐号管理人员要定期对系统帐号使用情况、权限、

口令等进行审核，确认帐号、权限的有效性，并对存在的问题进

行整改。

第四十一条第三方帐号管理：

（一）对于外部人员需使用BOSS等涉敏感信息系统帐号的情

况，应和第三方厂商签订相关的安全保密协议，以保证第三方厂

商能够遵守中国的安全管理要求。

（二）除运维支撑部门分管领导授权外，原则上第三方人员不

允许掌握系统管理员权限，第三方人员创建系统帐号的权限、查

询涉及客户信息、控制网元的权限应严格控制在工作职责范围之

内。

（三）特殊情况下，第三方人员若需要获得系统管理员权限,

应临时授权,工作完成后及时收回权限。

（四）应参照运维人员帐号管理要求，定期对第三方帐号、权

限、口令进行严格审核。

（五）第三方人员访问涉及客户信息的平台及相关应用必须

使用本人实名制4A账号，必须采用强认证。

（六）各单位应对第三方帐号申请、回收、授权、有效期等环

节进行严格管理，并制定管理办法，确保第三方人员发生离职或

岗位变动时能及时清理其帐号。

第四十二条其它的帐号、权限和口令管理具体要求请参见附录

六和《中国帐号口令管理办法》。

第七章客户信息全生命周期管理

第一节客户信息的收集

第四十三条收集客户信息时，应具备合法、正当的目的，并清

晰、准确地予以描述。

第四十四条应根据已确定的目的，确定收集最少的客户信息，

以及存放地域、存储期限、收集频率等处理规则。

第四十五条应当在经营或者服务场所、网站等公布客户信息收

集、使用规则，明确告知用户收集、使用信息的目的、方式和范围，

留存信息的期限，查询、更正、删除信息及注销账户的渠道以及拒

绝提供信息的后果等事项。

第四十六条在用户通过营业厅或线上渠道登记使用服务时，应

在取得用户同意后方可收集客户信息，法律法规另有规定的除外。

第四十七条针对违反双方约定收集、使用其个人信息的，或收

集、存储其个人信息有错误的，用户可提出删除或更正要求，各单

位应采取措施予以满足。

第四十八条委托他人代理市场销售和技术服务等直接面向用户

的服务性工作，涉及收集、使用客户信息的，应当对代理人的客户

信息保护工作进行监督和管理，不得委托不能满足客户信息保护要

求的代理人代办相关服务。

第二节客户信息的传输

第四十九条应根据业务流程、职责界面等情况，合理划分安全

域，并在安全边界上配置相应的访问控制策略及部署安全措施。针

对跨安全域传输等存在潜在安全风险的环境，应对敏感信息的传输

进行加密保护，并根据数据敏感级别采用相应的加密手段。

第五十条应强化传输接口安全管控，实施系统间接口的设备鉴权、

并通过MAC地址、IP地址或端口号绑定等方式限制违规设备接入，

实施数据流程控制、关键操作日志管理机制。

第五十一条敏感信息传输至其它系统前，应依据“谁使用谁负

责”的原则明确双方安全责任，同时，应保障在传输过程中的安全

保密。

第五十二条采用密钥加密时，应对密钥的生成、分发、验证、

更新、存储、备份、有效期、销毁进行管理，严格实施密钥存储介

质管理，确保密钥的安全。同时，应采用公认安全的、标准化公开

的加密算法和安全协议。

第三节客户信息的存储

第五十三条应制定管理规定对存放客户信息的电子文件或纸介

质进行有效管理，规定其保存、传输、销毁等流程，明确存有客户

信息的物理介质（磁阵、硬盘和磁带等）的维护、更换、升级和报

废等操作要求，防止客户信息泄漏。

第五十四条应加强对存储客户信息的物理区域（如机房、维护

外室/中心）的管理，采用相应的访问权限分配策略及门禁卡等控

制手段，同时对进出的人员、目的、操作进行详细记录，外来人员

进入该区域应由本公司对口的维护人员全程陪同。

第五十五条对于要离开系统的物理介质，必须采用有效的手段

由专人彻底删除客户信息后，才可离开其所在的安全区域。如果要

将存有客户信息的介质交给第三方，必须得到主管领导的审批。

第五十六条应采取有效的技术、管理手段加强对涉及客户信息

的系统使用存储介质的管建。应记录介质输出客户信息和文件的详

细信息，并定期审核。

第五十七条应按照数据敏感程度做好数据分类管理，对不同安

全级别的数据采用差异化安全存储，包括差异化脱敏存储、加密存

储、访问控制等。并做好加密算法、脱敏方法的安全性保密。

第五十八条应建立针对多租户数据共享存储的安全管理策略，

提供多租户数据安全管控机制，实现多租户之间的资源及应用隔离。

详见《中国大数据安全防护技术实施指南》。

第五十九条各单位应建立完备的数据容灾备份和恢复机制，提

供基本的完整性校验机制，保障数据的可用性和完整性。做好数据

容灾应急预案，一旦发生数据丢失或破坏，可及时检测及来恢复数

据，保障数据资产安全、用户权益及业务连续性。各单位应留有备

份日志，以供审核使用；能够及时正确对备份异常(失败、受损)

进行告警。

第六十条在境内运营中收集和产生的客户信息和重要数据应当

在境内存储。

第四节客户信息的使用

第六十一条在使用客户信息时，应遵循以下要求：

(-)因业务需要，确需改变客户信息处理目的或改变客户信

息处理规则时，应再次征得用户明示同意；并针对目的变更

后的情况，进行客户信息安全风险评估，重新调整安全措施。

(-)基于客户信息所产生的衍生信息能够单独或与其他信

息结合识别自然人身份时，应视为客户信息，对其使用应遵

循原先的客户信息处理目的。

(三)应采取访问控制措施，确保员工只能访问职责所需的最

少够用的客户信息。

（四）向用户提供多种参与对其客户信息处理的方法，包括访

问、更正、删除、撤回同意、注销账户、获取自身客户信息

等。

（五）委托第三方处理客户信息时，应确保第三方具有足够的

客户信息安全能力，签订书面合同，明确第三方的安全责任，

并监督第三方严格按照约定处理客户信息。

第六十二条业务人员对客户信息进行操作时，应遵循以下要求:

（-）对客户信息操作的人员包括业务人员、运维支撑人员、

开发人员等，这些人员经授权后可以获得客户信息，但应遵

循相应的管理要求。

（-）业务人员的范围参见第五章第一节规定；

（三）涉及客户信息的批量操作（批量查询、批量导入导出、

批量为客户开通、取消或变更业务等），必须遵循相应的审批流

程，通过业务管理部门审核，具体流程参见附录五；

（四）业务人员因业务受理、投诉处理等情况下需要查询或获

取客户信息时，应遵循如下要求：

1.涉及客户普通资料的查询，服务营销人员要获得客户的同

意，并且按照正常的鉴权流程通过身份认证。鉴权一般采

取有效证件或服务密码验证，并保留业务受理单据。

2.涉及客户通话详单、集团客户详细资料等客户信息的查询,

服务营销人员只能在响应客户请求时，并且客户自身按照

正常流程通过身份鉴权的情况下，协助客户查询；禁止服

务营销人员擅自进行查询；查询需保留业务受理单据。

3.除服务营销外的业务人员，因投诉处理、营销策划、经营

分析等工作需要查询和提取客户信息的，业务管理部门应

建立明确的操作审批流程，定期进行严密的事后审核。

第六十三条运维支撑人员对客户信息进行操作时，应遵循以下

要求：

（-）运维支撑人员的范围参见第五章第二节规定。

（二）运维支撑部门需制定并维护业务系统的系统层角色权

限矩阵，明确生产运营、运行维护、开发测试等岗位对客户信息

的访问权限，明确未经授权的运维支撑人员不允许有客户信息的

访问权限。

（三）运维支撑人员对业务系统的应用层的访问权限必须经

过该系统的业务管理部门审批，对系统层访问权限必须经过本部

门领导审批。

（四）运维支撑人员因统计取数、批量业务操作需求对客户信

息查询、变更操作时必须有业务管理部门的相关公文或工单，并

经过部门领导审批。

（五）运维支撑人员因业务投诉、统计取数、批量业务操作、

批量数据修复等进行的客户信息查询、变更必须提交操作申请,

按照要求进行操作，不得扩大操作范围，在工单中保留操作原因

和来源的工单（公文）编号，并由专人负责审核。

（六）运维支撑人员因应用优化、业务验证测试需要查询、修

改客户信息数据，只能利用测试号码进行各项测试，不得使用客

户号码。

（七）运维支撑人员因系统维护进行客户信息的数据迁移（数

据导入、导出、备份）必须填写操作申请，并经过部门主管审批。

（A）严禁运维支撑人员向开发测试环境导出未经模糊化处

理过的客户信息，对需导出的信息必须经过申请审批，并进行模

糊化处理。

第六十四条进行数据提取时，应遵循以下要求：

（一）因生产分析、市场策划等活动需要，存在从业务支撑系

统中批量取数的需求。批量取数存在较大的安全隐患，应从管理

和技术上加强管控，防止客户信息泄密事件发生。

（二）数据需求部门应由指定人员担任数据分析员，负责数据

提取需求；由该部门或上级业务管理部门负责数据提取需求的审

核；支撑部门需指定专人担任数据管理员，负责数据提取需求的

复核及提取；如发生人员变动，应及时更新并重新通知。

（三）为确保数据安全，数据管理员不得将取数结果交付给非

需求人员。非数据管理员不接收取数申请，也不得将提取数据直

接发给相关需求人员。

（四）数据分析员应对所提需求所涉及的客户信息进行审核

并对需求内容作详细措述，数据管理员有责任进行复核并尽量减

少客户信息的提取。原则上数据管理员应该只接受统计、分析类

取数需求，不应该接受批量客户信息的取数需求，如遇到特殊情

况（如客户关怀、二次营销等情况），必须遵循相应的审批流程。

（五）业务部门按照相应流程将数据提取需求发给取数部门，

数据提取部门不得将数据提取结果直接发给需求人员，数据提取

结果必须为受控文档，并在指定平台上进行编辑和处理，不得存

放在指定平台外的任何主机上。

（六）受控文档是指采用加密、授权、数字水印、数字签名等

技术手段对文档进行安全保护后的文档，具体方法参见第九章。

受控文档脱离中国的办公环境后，应无法打开。

（七）数据提取的审核必须由专人负责，审核人员应每月对日

常数据提取情况进行审核，审核内容包括：数据提取需求审核分

析的规范性、数据提取需求执行的规范性、数据提取复核的规范

性和资料归档的及时性、完整性。安全人员应记录审核结果，并

进行汇总分析，总结存在的问题。

第六十五条应严格规范大数据开发行为，确保开发应用安全，

遵循以下要求：

（一）对涉及客户信息的网络数据进行关联分析应仅限于提

供服务的目的，严楚针对特定个人进行非法查询及关联分析。

（二）采用匿名化等脱敏技术保障用户隐私，建立脱敏技术应

用安全评估机制，对脱敏后的数据进行可恢复性安全评估，

防止脱敏数据关联到特定个人。未经评估的脱敏数据不得提

供给第三方。

（三）未脱敏的客户信息不得用于业务系统的开发测试。

（四）脱敏后仍可恢复的信息视为客户信息。

第六十六条应建立数据开放机制。数据开放合作前应签订安全

协议，明确规定合作各方数据保护责任，确立合作过程中的数据保

护制度和安全措施。保障开放数据的安全，要求数据合作方对开放

数据的保护水平不低于原有数据保护水平。加强开放数据传输操作

权限管理，并建立审计机制。

第六十七条数据开放涉及客户信息时，应获得用户同意，或进

行脱敏处理，确保脱敏处理后的信息不会被复原且不会追溯到用户。

开放规则具体参见附录九。

第六十八条除非获得用户明确授权，未经脱敏处理的客户原始

数据等敏感数据不可离开中国网络与计算环境。

第六十九条应建立数据泄露通知、报告和调查机制。应在网站

或应用的明显位置提供数据泄露举报投诉链接，及时处理和反馈用

户举报投诉。

笫五节客户信息的共享

第七十条针对中国内部各单位之间的数据共享场景，应实施内部

审批及操作审计，通过保密协议等方式明确数据共享双方应承担的

安全责任，应具备的数据保护手段、限制数据使用范围和场景等，

诰见《中国大数据安全运营要求》。

第七十一条针对中国内部系统平台之间（包括同一内部单位、

不同内部单位平台系统之间）的数据共享场景，应遵循服务最小化

原则，仅向对端平台系统提供业务上必要的共享数据，并根据业务

需求做好脱敏处理。

第七十二条应加强数据线下交互的过程管控，建立数据线下交

互审批机制及操作流程，对线下交互数据采取加密、脱敏或物理保

密封装等防护手段，防止数据被违规复制、传播、破坏等。

第七十三条应加强数据共享接口安全管控，落实加密传输、访

问控制、MAC地址或IP地址绑定等手段。对于下线或退网的业务平

台系统，需要及时通知对端关闭数据共享接口，避免接口被非法利

用。

第七十四条数据共享过程应进行详细记录，支持事后合规审计,

确保共享操作行为的可追溯及责任问题定位。

第六节客户信息的销毁

第七十五条应建立针对数据业务下线、用户退出服务、节点失

效、过多备份、数据试用结束、超出数据保存期限等情况下的数据

销毁管理制度、办法和机制，详见《中国大数据安全运营要求》。

第七十六条应落实安全销毁措施，敏感客户信息需要进行销毁

时，必须使用有效的数据销毁方法进行处理，对于已删除敏感信息，

应采用可靠技术手段保证信息不可被还原，并做好效果验证。

第七十七条针对逻辑销毁操作，需要为不同数据的存储方式制

定相异的逻辑销毁方法，并确保数据的多个副本被相同处理；针对

物理销毁操作，应对销毁后的U盘、磁带、硬盘、光盘、闪存、固

态硬盘等存储介质进行登记、审批、交接。严禁非法挪用存储介质，

避免数据被违规留存或还原。

第七十八条数据销毁过程应进行日志记录，包括执行时间、参

与人员、处理方式等。对于由合作方现场实施敏感数据销毁的场景，

应安排内部工作人员进行现场监督。

第八章第三方管理

第七十九条第三方公司是指与中国在业务上具有合作关系，或

是向中国提供服务（包括推广渠道商、业务服务商、软件开发机构、

平台建设厂家、运维支撑厂家等）的公司；在双方发生合作或服务

关系的时候，有可能接触到中国客户信息的公司。

第八十条第三方系统是指为中国服务或合作运营的系统，这些系

统可能不在中国机房内，但能通过接口与中国的系统发生数据交互

从而获得客户信息。

第八十一条第三方人员是指为中国提供业务营销、开发、测试、

运维等服务或参与合作运营系统管理的人员，可能接触到客户信息。

第八十二条应对第三方进行背景调查和安全资质审查。重点做

好第三方股权关系、境内外合作关系、既往合作情况、运营历史背

景等的调查；同时综合评估合作方的信息安全保障能力，设立黑名

单机制，确保其具备相应的保密及运营资质，确保合作方是合格授

权者，能切实保护敏感数据。

第八十三条应与第三方公司签订保密协议，在协议中明确第三

方公司及其参与项目的员工的保密责任以及违约罚则。

第八十四条原则上还应要求第三方公司与我公司签订信息安全

承诺书，严禁发生如下行为：

（-）窃取、泄露、滥用客户信息；

（二）利用系统漏洞损害中国或中国用户的利益；

（三）修改业务信息、强制或伪造订购业务等；

（四）在已上线使用的系统中留存后门和无法删除的超级帐

户及密码。

第八十五条应建立第三方考核细则，在与其合同协议中明确数

据安全保护的义务，明确考核内容、考核要求及惩处措施；并定期

检查其在数据使用、管理等方面的安全制度和执行情况，对检查过

程中发现的问题责成其在规定时限内整改。

第八十六条第三方人员进入中国生产区域或者登录中国系统操

作时，应遵循中国的全部安全管理制度和规范。

第八十七条第三方人员工作区域应与中国的生产、内部办公、

维护区域分离，并应采用更严格的访问控制策略和管控手段（如：

4A）O

第八十八条第三方人员使用的测试数据不应当反映现网客户的

真实信息，必须是经过模糊化处理的数据。

第八十九条第三方的人员进入可能接触到客户信息的生产或维

护区域，应当有相应的审批制度。

第九十条第三方工作区域的终端接入中国的内部网络应有严格

的接入认证，并严格限制U盘等外设拷贝，限制对肛AN、3G、4G等

无线上网的使用，要求统一安装防病毒软件。

第九十一条应定期对现场服务的第三方终端进行涉敏感信息审

核。

第九十二条第三方人员转岗或离岗前，第三方公司需要提交第

三方人员转岗或离岗申请书，主管部门根据本规定，完成第三方人

员的帐号回收、审核、网络调整等工作，并签署转岗或离岗审批意

见，方可转岗或离岗。

第九十三条应规范合作营业厅、第三方服务渠道安全管理，明

确敏感数据收集、存储、归档、销毁机制，完善敏感数据模糊化查

询机制，避免敏感数据违规留存。

第九十四条应规范第三方数据代分析挖掘管理，禁止挖掘算法

对原始数据进行增加、修改、删除等操作，保证代分析挖掘数据的

可用性和完整性。

第九十五条第三方系统接入的要求：

（-）第三方系统需接入访问中国的系统时，应到我公司业务

主管部门申请备案；

（二）第三方系统若需要保存部分客户敏感资料，应经过业务

主管部门审批，原则上第三方系统不能保存极敏感级和敏感级的

客户信息；

（三）第三方系统的安全配置和防护，应达到中国的相关安全

要求；

（四）第三方系统退出服务时，业务主管部门应及时通知支撑

部门关闭相应接口。

（五）各业务主管部门应定期对第三方系统进行安全审核。

第九章客户信息系统的技术管控

第一节系统安全防护

第九十六条对客户信息相关系统，应采取必要的安全技术手段，

重点防护：

（-）系统应位于核心安全域，安全域边界采用防火墙、IDS

等防护手段；

（二）必须严格管理和限制涉及客户信息的系统与其他系统

的互联互通的能力和范围；

（三）安全边界的快络设备、安全设备应定斑进行安全评估和

审核，及时修补漏洞，杜绝弱口令。

第九十七条加强系统自身安全：

（一）系统在设计阶段，应当根据接口和流程涉及到客户信息

的类型和操作类型（查询、修改、增删），来定义安全需求；

（二）建立“安全准入制度”，在系统交付阶段分别对系统的

接口与流程的安全性进行评估。未达到安全要求的系统原则上不

允许上线。

（三）做好上线前的安全评估、基线审核，封堵和修补系统、

数据库、中间件、应用层的漏洞，升级安全补丁，防止系统被攻

击和入侵。

（四）针对云计算、大数据等新型数据业务系统，参照《中国

大数据安全防护通用技术要求》、《中国大数据平台安全基线要

求》、《云计算安全防护技术要求及实施指南》等要求做好系统安

全防护。

第九十八条客户信息相关系统的变更必须经过相关主管的审批,

并详细记录变更过程与变更结果。

第九十九条做好日常安全运维：

（一）做好客户信息相关系统的日常安全监控，完善告警分析

与应急响应流程。

（二）定期审核客户信息相关系统的安全性（重大变更与系统

升级后也需进行），及时修补发现的安全漏洞以及配置不符合项。

第二节集中4A管控要求

第一百条为了从技术上限制非授权用户接触客户信息，原则上，

涉及客户信息的支撑系统、业务平台、通信系统等应纳入4A系统的

集中管控。

第一百。一条4A系统是运维人员访问敏感信息系统后台资源（包

括主机、数据库等）的唯一入口，运维人员应先登录4A系统，进行

强认证后，才能访问后台系统。

第一百。二条应通过4A系统集中控制合法用户能访问敏感信息的

权限，同时通过4A实现对用户访问客户信息操作日志的审核。

第一百。三条4A系统应实现基于主帐号的集中强身份认证，应保

存用户的完整操作日志，并能对用户的异常操作行为以及高敏感数

据的访问行为进行预警。

第三节金库模式管控

第一百。四条“金库模式”也称为“双人操作”或“多人操作”

模式，指对于涉及到敏感信息的高风险操作，强制要求必须由两人

或以上有相应权限的员工共同协作完成操作的客户信息保护方式。

第一百O五条为加强对关键系统高风险操作（批量查询、导出、

变更、删除）的管控，涉及各类敏感客户信息的通信网及网管支撑

系统、业务支撑系统、业务平台（包括云计算、大数据等新型业务

平台）等均应纳入金库模式管控。详见《“金库模式”实施指导意见》、

《“金库模式”优化及扩展实施要求》、《关于深化“金库模式”应用

的指导意见》。

第一百。六条金库模式的实施应遵循如下基本原则：

（-）聚焦关键系统、聚焦高风险操作、聚焦高价值信息；

（-）敏感操作，多人完成，分权制衡；

（三）授权不操作，操作不授权。

第一百。七条应加强对合作伙伴的金库管控，防止合作方获取并

泄露敏感客户信息。

第四节远程接入管控

第一百O八条原则上，远程接入帐号只能授予内部员工；如第三

方因特殊情况需要通过远程登录访问系统，可根据系统主管授权，

开通短时远程登录功能，最长授权时间不超过一年，并对远程登录

操作进行监控（或事后及时审阅相应的操作日志记录）。

第一百。九条远程登录必须通过4A系统进行集中认证、授权和审

核，应遵循权限最小化原则，开放用户能访问的系统及权限。

第一百一十条应对远程接入用户的登陆过程、操作行为进行记录

（包括但不限于以下信息：用户名、操作内容、登陆方式、登入时

问、登出时间）。

第一百一十一条通过远程接入方式进入公司网络的用户，应严格

限制其接触客户信息。

第五节客户信息泄密防护

第一百一十二条因工作需要从支撑系统、业务平台或通信系统中

提取的以文件形式存在客户信息时，应从技术手段上防止其被泄密。

可以采用防泄密技术手段包括文档安全管理、终端安全管理、敏感

信息监控、关键客户信息模糊化等。

第一百一十三条文档安全管理应实现如下功能：

（-）透明的文档加密解密；

（二）基于用户角色或主机的文档授权，限制被授权的特定用

户或终端才能打开受挖文档，未被授权的人或终端无法打开文档;

（三）实现文档权限控制（阅读、编辑、复制、拖放、打印、

保存、另存为、阅读时间、打印次数及文档有效期等）。

第一百一十四条对能处理客户信息的终端，应有终端安全管理措

施：

（一）应统一安装防病毒软件，限制存储介质的使用，限制无

线网络的使用；

（二）应有统一的接入控制，执行统一的安全策略；

（三）定期扫描终端漏洞，及时升级补丁；

（四）定期扫描或审核终端上是否存在涉及客户信息的文件;

（五）防止通过硬盘、U盘、光驱、软驱等外设途径泄密；

（六）防止通过网络打印、本地打印等途径泄密；

（七）防止通过截屏、录像等途径泄密。

第一百一十五条对在业务支撑网和0A网内传输的客户信息，可在

网络或终端侧进行敏感信息监控：

（一）对通过QQ、微信、飞信、电子邮件、HTTP等网络途径

泄密客户信息进行监挖；

（二）对监控到的批量传输客户信息的行为进行预警。

第一百一十六条应根据实际需要采用综合的技术管控手段，防止

涉客户信息的文件泄密。

第一百一十七条应对可能泄密的途径进行深入分析，及时发现可

能存在的漏洞，从技术手段上进行限制，防患于未然。

第六节系统间接口管理

第一百一十八条被访问的敏感信息系统应具备安全可靠的接入

鉴权机制。只有通过鉴权后才能访问接口，对于非法的访问能够进

行告警并有完整的日志记录。

第一百一十九条提供完善的数据传输保护机制，包括数据加密、

完整性校验等手段。对于跨越互联网或不同等级安全域之间的数据

传输，必须进行加密，以实现数据传输的安全。

第一百二十条要限制敏感数据直传，做好对外接口安全隔离或能

力限制，禁止将敏感数据通过系统接口传送至业务合作方平台，尤

其是境外公司。

第一百二十一条对接口的所有请求和响应都要进行详细的日志记

录，便于后期的故障分析和审核。

第七节数据脱敏

第一百二十二条基于“信息最少够用”和“服务最小化”的原则，

对于客户界面显示、开发测试等场景，应根据用户个人隐私保护和

商业秘密保护的要求，采取不同程度的模糊化或标签化处理机制。

误见《客户界面信息模糊化业务规范》及附录八。

第一百二十三条对外合作、数据开放时使用到的数据形式包括原

始数据、脱敏数据、标签数据、群体数据四种，应依据不同的使用

场景使用不同的数据类型，具体的规则参见附录九。

第一百二十四条应建立数据脱敏的技术手段，根据业务场景的需

要采用安全有效的数据脱敏方式，防止客户敏感信息的泄露。

第一百二十五条应在数据脱敏的各个阶段加入安全审计机制，严

格、详细记录数据处理过程中的相关信息，形成完整数据处理记录，

用于后续问题排查与数据追踪分析。

第一百二十六条数据脱敏、标签化方法应严格保密，防止因方法

泄露造成数据被恶意恢复。

第十童客户信息安全审核

第一百二十七条安全审核主要分为操作日志审核、合规性审核、

日常例行安全审核与风险评估。

第一百二十八条各单位的业务部门和运维支撑部门负责开展日常

的安全审核，客户信息安全归口管理部门进行专项安全审核、抽查。

第一百二十九条客户信息安全归口管理部门负责审核情况汇总，

梳理存在问题，通报结果；如发现的重大安全隐患或违规行为，应

向公司管理层汇报。

第一百三十条客户信息安全归口管理部门针对安全审核过程中发

现的突出问题，牵头协调提出改进方案，并要求相关单位落实解决，

同时对改进措施落实情况进行跟踪审核。

第一节操作日志审核

第一百三十一条日志审核是对操作日志与工单等原始凭证进行比

对，分析查找违规行为。

第一百三十二条日志审核的基本要求：

（一）应根据“职责不相容”原则设置独立的安全员，安全员

应与系统管理员、业务操作人员分开，安全员应定期开展安全审

核。

（二）涉及客户信息的各系统应全面记录帐号与授权管理、系

统访问、业务操作、客户信息操作等行为，确保日志信息的完整、

准确，对不符合要求的应由主管部门牵头落实系统的整改。

（三）各系统用于安全审核的原始