2013年楚雄移動分公司信息安全管理培訓中國移動通信集團云南有限公司楚雄分公司培訓提綱培訓背景加強網(wǎng)絡(luò)信息保護的決定信息安全技術(shù)2公司相關(guān)規(guī)定背景-信息安全管理工作的重要性

2012年12月28日，全國人民代表大會常務(wù)委員會審議通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（以下簡稱《決定》）。國家標準《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》（以下簡稱《指南》）并于2013年2月1日起正式實施?！稕Q定》、《指南》主要涉及個人電子信息保護、網(wǎng)絡(luò)服務(wù)用戶實名制和垃圾電子信息治理等領(lǐng)域，與公司業(yè)務(wù)發(fā)展和信息安全工作密切相關(guān)，在為公司工作提供法律依據(jù)的同時，也明確了運營商的義務(wù)和責任，對公司提出了更高要求。為了更好地宣傳貫徹《決定》、《指南》精神，全面落實相關(guān)要求，切實提高全員信息安全意識，創(chuàng)造“經(jīng)營依法、決策問法”的濃厚氛圍，保證公司依法合規(guī)運營，根據(jù)網(wǎng)通【2013】33號《關(guān)于認真組織學習《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》等法律和國家標準的通知》開展學習貫徹活動。培訓提綱培訓背景加強網(wǎng)絡(luò)信息保護的決定信息安全技術(shù)4公司相關(guān)規(guī)定《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》一、國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。二、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)當公開其收集、使用規(guī)則。《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》三、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員對在業(yè)務(wù)活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。四、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位應(yīng)當采取技術(shù)措施和其他必要措施，確保信息安全，防止在業(yè)務(wù)活動中收集的公民個人電子信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時，應(yīng)當立即采取補救措施?！蛾P(guān)于加強網(wǎng)絡(luò)信息保護的決定》五、網(wǎng)絡(luò)服務(wù)提供者應(yīng)當加強對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，?yīng)當立即停止傳輸該信息，采取消除等處置措施，保存有關(guān)記錄，并向有關(guān)主管部門報告。六、網(wǎng)絡(luò)服務(wù)提供者為用戶辦理網(wǎng)站接入服務(wù)，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布服務(wù)，應(yīng)當在與用戶簽訂協(xié)議或者確認提供服務(wù)時，要求用戶提供真實身份信息?！蛾P(guān)于加強網(wǎng)絡(luò)信息保護的決定》七、任何組織和個人未經(jīng)電子信息接收者同意或者請求，或者電子信息接收者明確表示拒絕的，不得向其固定電話、移動電話或者個人電子郵箱發(fā)送商業(yè)性電子信息。十一、對有違反本決定行為的，依法給予警告、罰款、沒收違法所得、吊銷許可證或者取消備案、關(guān)閉網(wǎng)站、禁止有關(guān)責任人員從事網(wǎng)絡(luò)服務(wù)業(yè)務(wù)等處罰，記入社會信用檔案并予以公布；構(gòu)成違反治安管理行為的，依法給予治安管理處罰。構(gòu)成犯罪的，依法追究刑事責任。侵害他人民事權(quán)益的，依法承擔民事責任。培訓提綱培訓背景加強網(wǎng)絡(luò)信息保護的決定信息安全技術(shù)9公司相關(guān)規(guī)定《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》《公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》為我國國家標準化指導性技術(shù)文件，本指導性技術(shù)文件規(guī)范了全部或部分通過信息系統(tǒng)進行個人信息處理的過程，為信息系統(tǒng)中個人信息處理不同階段的個人信息保護提供指導。本指導性技術(shù)文件適用于指導除政府機關(guān)等行使公共管理職責的機構(gòu)以外的各類組織和機構(gòu)，如電信、金融、醫(yī)療等領(lǐng)域的服務(wù)機構(gòu)，開展信息系統(tǒng)中的個人信息保護工作。指一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。各行業(yè)個人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個人信息主體意愿和各自業(yè)務(wù)特點確定。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。個人敏感信息指除個人敏感信息以外的個人信息。個人一般信息處置個人信息的行為，包括收集、加工、轉(zhuǎn)移、刪除。個人信息處理《信息安安全技技術(shù)公公共及及商用用服務(wù)務(wù)信息息系統(tǒng)統(tǒng)個人人信息息保護護指南南》個人信信息保保護概概述：：角色：：信息息系統(tǒng)統(tǒng)個人人信息息保護護實施施過程程中涉涉及的的角色色主要要有個個人信信息主主體、、個人人信息息管理理者、、個人人信息息獲得得者和和獨立立測評評機構(gòu)構(gòu)個人信信息管管理者者在使使用信信息系系統(tǒng)對對個人人信息息進行行處理理時遵遵循以以下原原則目的明明確原原則最少夠用原則則公開告知原則則個人同意原則則質(zhì)量保證原則則誠信履行原則則責任明確原則則《信息安全技術(shù)術(shù)公共及商用用服務(wù)信息系系統(tǒng)個人信息息保護指南》收集加工轉(zhuǎn)移刪除信息系統(tǒng)中個個人信息的處處理過程：采用個人信息息主體易知悉悉的方式，向向個人信息主主體明確告知知和警示收集集信息的用途途、使用范圍圍等，需獲得得個人信息主主體的同意(包括默許同意意和明示同意意)方可按最少信信息原則收集集。不違背收集階階段已告知的的使用目的，，采用已告知知的方法和手手段，在告知知的范圍內(nèi)對對個人信息進進行加工，保保證加工過程程中個人信息息不被任何與與處理目的無無關(guān)的個人、、組織和機構(gòu)構(gòu)獲知在不違背收集集階段告知的的轉(zhuǎn)移目的及及范圍內(nèi)，評評估接收方是是否能夠按指指導要求處理理個人信息，，通過合同明明確個人信息息保護責任后后，方可向其其他組織和機機構(gòu)轉(zhuǎn)移個人人信息當個人信息主主體提出正當當理由、收集集階段使用目目的達到或超超出告知的留留存期限、信信息管理者破破產(chǎn)或解散導導致無法完成成承諾的處理理目的時應(yīng)及及時刪除，僅僅當刪除可能能會影響執(zhí)法法機構(gòu)調(diào)查取取證時，采取取適當?shù)拇鎯推帘未胧┦?。培訓提綱培訓背景加強網(wǎng)絡(luò)信息息保護的決定定信息安全技術(shù)術(shù)13公司相關(guān)規(guī)定定云南移動客戶戶信息安全定定義什么是客戶信信息安全？客戶信息安全全指公司所服服務(wù)的客戶在在公司系統(tǒng)、、互聯(lián)網(wǎng)站等等登記的個人人信息，包括括：個人基本資料料，如姓名、、年齡、性別別、生日、黨黨派、職業(yè)、、學歷、家庭庭成員、身份份證號碼等個人聯(lián)系方式式，如手機號號碼、固定電電話、電子郵郵箱、通信地地址等客戶服務(wù)密碼碼、通話清單單、位置信息息等客戶依法使用用電信的自由由和通信秘密密受法律保護護，任何單位位或個人，乃乃至公司內(nèi)部部職工，不得得擅自向他人人提供客戶使使用的電信網(wǎng)網(wǎng)絡(luò)所傳輸信信息的內(nèi)容，，法律另有規(guī)規(guī)定的除外。。前臺客戶信息息安全管理規(guī)規(guī)范在客戶要求下，通過身份證作為證明辦理查詢客戶使用特殊身份認證，營業(yè)廳值班長審批，并填寫相應(yīng)記錄客戶經(jīng)理進行單個或批量查詢，必須嚴格按流程審批并存檔備查客戶通話清單等敏感信息只能在應(yīng)客戶的請求、并在客戶自身按正常流程通過身份鑒權(quán)的情況下協(xié)助客戶查詢前臺服務(wù)人員一律不得掌握客戶服務(wù)密碼，一律不得代客戶進行服務(wù)密碼認證客戶經(jīng)理不允許掌握客戶服務(wù)密碼，不能通過自己輸入服務(wù)密碼的方式代客戶辦理業(yè)務(wù)前臺服務(wù)人員在為客戶辦理開戶時，嚴禁代客戶設(shè)置服務(wù)密碼，在指導客戶設(shè)置服務(wù)密碼時，要提醒客戶避免設(shè)置弱密碼分配給各服務(wù)人員使用的系統(tǒng)帳號僅限服務(wù)人員本人使用，避免使用弱密碼并定期修改對前臺服務(wù)人員和客戶經(jīng)理的查詢和操作行為要進行嚴密的事后審查后臺客戶信息息安全管理規(guī)規(guī)范所有涉及批量客戶資料信息操作均須先獲得審批后才能進行具體操作，并對審批資料進行保存?zhèn)洳?，審批資料包括紙質(zhì)審批單、OA電子公文等做好客戶信息數(shù)據(jù)的保管，批量數(shù)據(jù)必須加密保存，嚴禁將批量數(shù)據(jù)放在公用電腦、供下載使用的公開網(wǎng)絡(luò)等不安全的位置，嚴禁通過外網(wǎng)郵箱或向外網(wǎng)郵箱發(fā)送導出的批量數(shù)據(jù)全面清理擁有客戶敏感信息查詢和批量查詢權(quán)限的工號，按照“權(quán)限最小化”原則，對日常工作不涉及批量操作或客戶信息查詢的，不允許分配相關(guān)權(quán)限及免認證查詢客戶敏感信息的特權(quán)所有有權(quán)限的后臺系統(tǒng)操作人員須嚴格執(zhí)行相關(guān)管理規(guī)定，僅限在日常工作需要的情況下使用賬號開展日常工作嚴格管理客戶位置信息。除公安機關(guān)開具具體的證明材料要求協(xié)助進行案件追查及發(fā)生重大災(zāi)害按照政府部門要求協(xié)助救援工作（如地震等）的情況下，嚴禁利用工作權(quán)限便利，擅自查詢、泄露客戶的具體位置信息，公安機關(guān)提取我公司客戶位置信息須按照公司針對公安機關(guān)提取客戶清單的流程嚴格執(zhí)行。第三方合作伙伙伴信息安全全管理規(guī)范1、任何接入我我公司BOSS系統(tǒng)的第三方方合作伙伴（（包括但不限限于社會渠道道網(wǎng)點、第三三方外呼渠道道等）均不允允許分配任何何免身份認證證特權(quán)。2、凡涉及接觸觸我公司客戶戶信息的第三三方合作伙伴伴，必須遵照照我公司客戶戶信息安全管管理規(guī)定，嚴嚴禁擅自提取取、泄露我公公司客戶信息息資料或?qū)⑽椅夜究蛻糍Y資料信息提供供給其他人員員或公司。3、第三方合作作伙伴在與其其他公司開展展合作的過程程中，如需使使用到我公司司客戶信息，，必須向我公公司申請，在在取得我公司司同意的情況況下才能進行行。4、第三方合作作伙伴不允許許向與其有訂訂購關(guān)系以外外的我公司客客戶發(fā)送信息息，且針對訂訂購客戶不允允許發(fā)送與客客戶訂購業(yè)務(wù)務(wù)無關(guān)的信息息內(nèi)容，如需需向客戶發(fā)送送相關(guān)其他信信息的，必須須向我公司提提出申請，經(jīng)經(jīng)省公司市場場部審核后才才能進行發(fā)送送。5、與第三方合合作伙伴簽訂訂客戶信息安安全保密協(xié)議議，協(xié)議中應(yīng)應(yīng)明確對第三三方的管理要要求，和違反反規(guī)定后的處處罰、賠付條條款。6、在與第三方方開展合作過過程中，對向向第三方提供供的客戶數(shù)據(jù)據(jù)必須取得公公司副總以上上領(lǐng)導的審批批同意，且只只能提供與合合作項目相關(guān)關(guān)必要的信息息，無關(guān)信息息一律不允許許提供，審慎慎提供涉及客客戶敏感信息息的數(shù)據(jù)。7、加強對第三三方合作伙伴伴的監(jiān)管，定定期開展對第第三方合作伙伙伴的審查，，對于審查中中發(fā)現(xiàn)有違規(guī)規(guī)行為的，要要立即組織開開展追查，一一經(jīng)查實，按按合作協(xié)議規(guī)規(guī)定進行具體體的處罰，必必要時，解除除合作關(guān)系。。信息安全事件件分類客戶信息泄露類安全事件非法獲取、非法出售客戶基本資料、客戶身份鑒權(quán)信息、客戶通信信息及通信內(nèi)容等損害客戶信息安全性的事件內(nèi)部敏感信息泄露類安全事件非法獲取、非法出售公司管理決策信息、核心業(yè)務(wù)數(shù)據(jù)、合同數(shù)據(jù)、員工個人信息等損害公司內(nèi)部敏感信息保密性的事件手機病毒感染類安全事件手機病毒引起的惡意訂購、竊取用戶信息、影響正常通信等事件違法及不良信息傳播類安全事件利用通信網(wǎng)絡(luò)、互聯(lián)網(wǎng)絡(luò)等傳播帶有欺詐、騷擾、廣告等性質(zhì)的垃圾短信、傳播各類手機淫穢色情信息；傳播國家相關(guān)法律法規(guī)明文禁止的各類違法信息等影響系統(tǒng)可用性類安全事件拒絕服務(wù)攻擊（DOS和DDOS)、惡意代碼攻擊、漏洞攻擊、僵尸網(wǎng)絡(luò)、垃圾郵件等導致系統(tǒng)不能正常運行的事件影響系統(tǒng)完整性類安全事件信息篡改（如網(wǎng)頁篡改、DNS劫持等）、后門木馬（以破壞系統(tǒng)數(shù)據(jù)為目的）、漏洞攻擊等事件互聯(lián)網(wǎng)網(wǎng)絡(luò)安全類事件參考《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法》（工信部保[2009]156號）信息安全事件件分級一般（四級）個別客戶信息泄露造成不良影響或?qū)е乱话阃对V的信息安全事件通信網(wǎng)絡(luò)被利用傳送違法及不良信息造成不良影響較大（三級）少量或個別客戶信息泄露造成較大影響或?qū)е轮卮笸对V的信息安全事件批量客戶信息泄露，得到有效控制且未造成不良影響的信息安全事件接入違法或含不良信息的設(shè)備造成重大影響重大（二級）批量客戶信息泄露造成較大影響或?qū)е麓罅客对V的信息安全事件被省市級媒體曝光的信息安全事件導致公司利益遭受重大損失或關(guān)鍵業(yè)務(wù)遭到嚴重破壞的信息安全事件通信網(wǎng)絡(luò)被利用傳送大量違法及不良信息造成重大影響特別重大（一級）批量客戶信息泄露造成重大影響或?qū)е轮卮笸对V的信息安全事件被國家媒體曝光的信息安全事件對外信息發(fā)布系統(tǒng)出現(xiàn)擾亂公共秩序、造謠蠱惑、破壞安定團結(jié)以及反動、淫穢、色情內(nèi)容的信息安全事件當事單位應(yīng)于于10分鐘內(nèi)通知省省公司信息安安全對口管理理部門，1小時內(nèi)作出口口頭報告上報報集團公司、、省通信管理理局和當?shù)匕舶踩种行?，?2小時內(nèi)作出簡簡要書面報告告，相關(guān)事件件處理結(jié)束后后3日內(nèi)作出專題題書面報告信息安全事件件上報機制特別重大信息息安全事件當事單位應(yīng)于于10分鐘內(nèi)通知省省公司信息安安全對口管理理部門，2小時內(nèi)作出口口頭報告上報報集團公司、、省通信管理理局和當?shù)匕舶踩种行?，?2小時內(nèi)作出簡簡要書面報告告，相關(guān)事件件處理結(jié)束后后3日內(nèi)作出專題題書面報告重大信息安全全事件當事單位應(yīng)于于24小時內(nèi)作出簡簡要書面報告告，相關(guān)事件件處理結(jié)束后后3日內(nèi)作出專題題書面報告。。特別重大信信息安全事件件確認至上報報集團公司不不得超過1小時較大或一般信信息安全事件件信息安全工作作要求公司有義務(wù)維維護國家安全全、社會穩(wěn)定定和用戶的合合法權(quán)益；應(yīng)應(yīng)在網(wǎng)絡(luò)建設(shè)設(shè)、業(yè)務(wù)提供供、應(yīng)急處置置、信息報備備、人員培訓訓等方面建立立健全企業(yè)信信息安全制度度，同步建設(shè)設(shè)與網(wǎng)絡(luò)、業(yè)業(yè)務(wù)和用戶發(fā)發(fā)展相適應(yīng)的的信息安全保保障體系和技技術(shù)保障手段段；保障必要要的人員和資資金投入。對于公司系統(tǒng)統(tǒng)、網(wǎng)絡(luò)中保保存的有關(guān)用用戶資料的信信息，應(yīng)依法法予以保護，，不得非法出出售或提供給給其他組織和和個人，不得得用于與移動動業(yè)務(wù)無關(guān)的的用途。任何部門、中中心不得向未未取得電信業(yè)業(yè)務(wù)經(jīng)營許可可證的單位或或個人提供用用于經(jīng)營性電電信業(yè)務(wù)的電電信資源、網(wǎng)網(wǎng)絡(luò)接入和業(yè)業(yè)務(wù)接入，不不得向未備案案非經(jīng)營性互互聯(lián)網(wǎng)站提供供網(wǎng)絡(luò)接入。。相關(guān)部門應(yīng)監(jiān)監(jiān)督接入用戶戶按照約定的的用途使用電電信資源或開開展業(yè)務(wù)，發(fā)發(fā)現(xiàn)擅自改變變使用用途的的，及時通知知整改，涉及及違法犯罪的的，及時向有有關(guān)部門上報報。定期檢查查接入內(nèi)容，，發(fā)現(xiàn)信息安安全問題和隱隱患及時做出出相應(yīng)處理。。建立并完善事事前防范、事事中阻斷、事事后追溯的信信息安全技術(shù)術(shù)保障體系。。應(yīng)當建立必必要的技術(shù)手手段，加強對對重要資源（（如號碼、IP地址、域名等等）的管理，，認真落實接接入責任，建建全信息安全全責任和公共共信息服務(wù)內(nèi)內(nèi)容日常核查查手段。信息安全責任任管理遵循原原則部門領(lǐng)導、一一崗雙責“誰主管，誰誰負責；誰運運營，誰負責責；誰使用，，誰負責；誰誰接入，誰負負責”。分公司各部門門一方面對本本部門信息安安全工作負責責，另一方面面對分公司下下級部門信息息安全工作負負有指導責任任。隨著業(yè)務(wù)的拓拓展，需同步步配套信息安安全管理措施施。統(tǒng)一領(lǐng)導、分分級管理業(yè)務(wù)拓展到哪哪里，管理覆覆蓋到哪里三同步在網(wǎng)絡(luò)的設(shè)計計、建設(shè)和運運行過程中，，應(yīng)做到同步步規(guī)劃，同步步建設(shè)，同步步運行。信息安全責任任追究調(diào)查工工作原則（一）應(yīng)當做到到程序合法、、手續(xù)完備、、事實清楚、證證據(jù)確確鑿、、定性性準確確、處處理恰恰當（二））應(yīng)當當遵循循實事事求是是、公公平公公正、、有錯必必糾、、責罰罰相當當、懲懲教結(jié)結(jié)合的的原則則；（三））分清清主觀觀和客客觀原原因，，屬人人為失失職的需嚴嚴肅處處理，，屬客客觀原原因的的酌情情處理理；信息安安全責責任追追究調(diào)調(diào)查工工作原原則（四））對直直接責責任人人嚴肅肅處理理，對對于應(yīng)應(yīng)負管管理失職責責任和和領(lǐng)導導失職職責任任的人人員也也需作作出相相應(yīng)處理，，要讓讓受處處理者者心服服口服服；（五））對于于特別別重大大信息息安全全責任任事件件必須須嚴懲懲；（六））處罰罰輕重重與違違規(guī)責責任相相適應(yīng)應(yīng)；（七））懲前前毖后后，治治病救救人，，通過過對相相關(guān)責責任人人做出恰恰當處處理，，起到到警示示的作作用，，以防防止類類似事事件的再再度發(fā)發(fā)生；；（八））調(diào)查查人員員應(yīng)當當誠信信公正正、恪恪盡職職守，，遵守守調(diào)查紀紀律，，保守守調(diào)查查秘密密（九））調(diào)查查人員員不得得擅自自發(fā)布布信息息安全全事件件的相關(guān)信信息。。信息安安全責責任追追究對于確確定為為信息息安全全責任任事件件的，，依照照《中國移移動云云南公公司信信息安安全責責任追追究處處罰標標準》，明確確對信信息安安全事事件相相關(guān)責責任人人的責責任追追究處處理意意見。。（一））信息息安全全事件件相關(guān)關(guān)責任任人包包括本本次事事件的的直接接責任任人、、間接接責任人人、主主要管管理責責任人人、次次要管管理責責任人人、主主要領(lǐng)領(lǐng)導責責任人人、分分管領(lǐng)導導責任任人。。（二））直接接責任任人可可為一一線員員工，，也可可為相相關(guān)管管理人人員。。信息安安全責責任追追究處處分信息安安全責責任追追究處處分三、警警告一、誡誡勉談?wù)勗捀鶕?jù)云移〔2012〕1256號文件中《中國移動云南公司網(wǎng)絡(luò)與信息安全事件責任追究管理辦法》的規(guī)定，信息安全責任追究處分的種類從輕到重依次分為七檔。七、