催收工作信息安全管理制度第一章作業(yè)區(qū)域管理第一條保證機房、數(shù)據(jù)中心、催收現(xiàn)場處于封閉第二條前臺工作人員：保證門禁使用，人員來訪等級《訪客登記表》。第三條機房管理人員：保證監(jiān)控攝像清晰、正常使用，監(jiān)控錄像至少保存半年以上。第四條機房管理人員：保證機房上鎖，鑰匙專人保管，進入人員需進行《機房出入登記表》登記。第二章網(wǎng)絡(luò)管理第一條所有網(wǎng)絡(luò)設(shè)備連接區(qū)域設(shè)置防火墻.和路由器配置標(biāo)準(zhǔn)。第二條催收作業(yè)區(qū)域、數(shù)據(jù)操作區(qū)域一律屏蔽外網(wǎng)。第三條生產(chǎn)網(wǎng)和辦公隔離。可連接網(wǎng)絡(luò)電腦不可連接內(nèi)網(wǎng)，可連接內(nèi)網(wǎng)電腦不可連接外網(wǎng)，保證辦公網(wǎng)和生產(chǎn)網(wǎng)不得相互訪問第三章數(shù)據(jù)接觸終端管理第一條保證機房、供應(yīng)鏈管理部、催收現(xiàn)場等涉及銀行數(shù)據(jù)的電腦第二條采取嚴(yán)格的管控措施，屏蔽USB接，不得安裝光驅(qū)及軟驅(qū)等設(shè)備。如因業(yè)務(wù)需要必須使用USB接的應(yīng)及時匯報公司，并報備至銀行信用卡中心。第三條安裝防病毒軟件且及時更新，設(shè)置屏幕保護。第四條數(shù)據(jù)接觸終端的用戶賬戶組應(yīng)為USER組。第四章數(shù)據(jù)接觸人員管理第一條嚴(yán)格控制數(shù)據(jù)訪問權(quán)限，數(shù)據(jù)接觸人員只能訪問其開展業(yè)務(wù)所需的系統(tǒng)和數(shù)據(jù)。第二條系統(tǒng)用戶只能訪問自己使用的賬戶資料。第三條三個月維護一次系統(tǒng)的訪問權(quán)限。第四條催收系統(tǒng)用戶的數(shù)據(jù)導(dǎo)出等操作保留日志記錄，數(shù)據(jù)庫管理員的所有操作保留日志記錄，日志記錄保存至少兩年，定期對日志記錄進行審核并留審核記錄。第五章VPN數(shù)據(jù)管理第一條VPN密碼僅由數(shù)據(jù)中心指定專員保管使用，密碼不得明文保存在紙面、電腦。數(shù)據(jù)專員離職或轉(zhuǎn)崗，應(yīng)立即停止該人員的所有權(quán)限，并及時通知銀行信用卡中心更改VPN密碼。第二條數(shù)據(jù)接收后應(yīng)立即導(dǎo)入系統(tǒng)，不得將原始數(shù)據(jù)流轉(zhuǎn)多人直接使用。該計算機數(shù)據(jù)接觸終端進行管理，互聯(lián)網(wǎng)權(quán)限僅限于訪問VPNO專用電腦放置在專用區(qū)域，攝像頭監(jiān)控。第六章數(shù)據(jù)導(dǎo)入管理第一條數(shù)據(jù)由數(shù)據(jù)專員直接導(dǎo)入系統(tǒng)，總分機構(gòu)催收人員僅能通過VPN訪問催收系統(tǒng)使用數(shù)據(jù)。第七章數(shù)據(jù)傳輸?shù)谝粭l公司間的數(shù)據(jù)傳輸須符合以下內(nèi)容。第二條禁止向外部提供銀行委案資料，特殊情況下如需使用，須經(jīng)總部負責(zé)人審核并留檔審核記錄。第三條使用企業(yè)郵箱傳輸數(shù)據(jù)。第四條數(shù)據(jù)傳輸前均需加密，可使用PGP軟件加密或，者壓縮加密，密碼長度不得小于8位數(shù)。密碼和傳輸文件不得同時傳輸。第八章數(shù)據(jù)保護第一條應(yīng)本著“必須知道”原則，對各個環(huán)節(jié)的數(shù)據(jù)進行保護。第二條未經(jīng)許可及員工業(yè)務(wù)必須知道之需要，數(shù)據(jù)中心不得向任何人提供涉及銀行資料的數(shù)據(jù)信息。第三條辦公電腦、上不允許存有任何有銀行相關(guān)數(shù)據(jù)。對需要系統(tǒng)后臺數(shù)據(jù)庫儲存的卡號、手機號碼等敏感信息需進行加密。第四條備份介質(zhì)應(yīng)存放在數(shù)據(jù)主管指定的電腦，任何人未經(jīng)授權(quán)不得使用備份數(shù)據(jù)未經(jīng)各銀行卡中心授權(quán)不得提取、使用信用卡持卡人相關(guān)信息用于其他用途。第五條除供應(yīng)鏈管理部根據(jù)銀行需求享有通過系統(tǒng)調(diào)取或者數(shù)據(jù)庫中提取數(shù)據(jù)之外，任何他人未經(jīng)許可不享有使用主系統(tǒng)數(shù)據(jù)之權(quán)限。第六條嚴(yán)格管理批量數(shù)據(jù)的提供和使用，數(shù)據(jù)只能發(fā)給直接使用人員，不得通過郵件群發(fā)、文件服務(wù)器共享等任何形式向無關(guān)人員提供批量數(shù)據(jù)。第七條保證供應(yīng)鏈管理部、催收作業(yè)電腦等，根據(jù)銀行要求徹底刪除所有存儲的數(shù)據(jù)，包括辦公計算機、文件服務(wù)器、系統(tǒng)數(shù)據(jù)庫、備份介質(zhì)等。第八條數(shù)據(jù)中心及相關(guān)人員嚴(yán)格執(zhí)行公司《信息安全管理制度》，保證與接觸卡中心客戶數(shù)據(jù)的所有人簽署保密協(xié)議，就保密方面的責(zé)任與罰則進行約定。第九條梳理信用卡數(shù)據(jù)相關(guān)的業(yè)務(wù)流程并根據(jù)數(shù)據(jù)的流轉(zhuǎn)過程繪制流程圖，明確各個環(huán)節(jié)的數(shù)據(jù)傳輸方式、數(shù)據(jù)保存期限、數(shù)據(jù)接觸人員等。第十條數(shù)據(jù)中心應(yīng)開展安全教育培訓(xùn)工作，接觸數(shù)據(jù)的員工上崗前應(yīng)進行數(shù)據(jù)安全培訓(xùn)，確保了解崗位的操作規(guī)范、安全制度規(guī)范等。1.1數(shù)據(jù)管理制度為加強安全防范，確保公司財產(chǎn)、信息和員工人身安全，公司秉承“以人為本”的宗旨，以創(chuàng)建文明、整潔、有序、安全、和諧的學(xué)習(xí)和生活環(huán)境為目標(biāo)，特制定本制度，本制度適用于公司全體人員。第一條打印、復(fù)印公司文件時，需建立并登記完整的臺賬記錄，形成的廢紙要及時用碎紙機銷毀；第二條涉及全局性的宣傳報道稿件和宣傳資料，須經(jīng)董事長或董事長授權(quán)指定的人審查批準(zhǔn)后方能對外發(fā)布；第三條涉外活動中，要樹立正確的全局觀念和保密觀念，既搞好宣傳工作，又堅持“內(nèi)外有別”的原則，要規(guī)定統(tǒng)一的對外徑和保密范圍，遇有不明身份的人來電話詢問涉密事項或同事電話時，要根據(jù)當(dāng)時的具體情況，婉言謝絕，確保秘密的安全；第四條對外來可疑人員應(yīng)保持高度警惕，監(jiān)督其不能擅自翻閱公司內(nèi)部資料，不能擅自使用公司內(nèi)的計算機，不能私自拷貝公司內(nèi)的文件到個人磁盤與U盤；第五條下班后必須將所有載有業(yè)務(wù)信息的資料放到帶鎖的抽屜或柜子內(nèi)，任何人未經(jīng)部門負責(zé)人允許，不得將其帶離辦公場所;第六條計算機信息安全參照計算機管理制度執(zhí)行；第七條辦公場所必須配備門禁系統(tǒng)，嚴(yán)格規(guī)范人員的出入，禁止非我司人員未經(jīng)授權(quán)進入，如有訪客需進行登記并由專人陪同，登記記錄需留檔保存；第八條辦公場所需部署7X24小時無死角視頻監(jiān)控，監(jiān)控設(shè)備交由專人管理，并設(shè)置訪問策略，使其他人無法接觸監(jiān)控記錄，監(jiān)控存檔需保留3個月以上；第九條辦公網(wǎng)絡(luò)邊界需部署邊界防火墻，阻止互聯(lián)網(wǎng)訪問辦公環(huán)境；第十條各生產(chǎn)中心網(wǎng)絡(luò)邊界，需部署邊界防火墻，并設(shè)置訪問控制策略，僅許可訪問應(yīng)用系統(tǒng)的80、443端，其他端一律禁止互聯(lián)網(wǎng)訪問；第十一條辦公網(wǎng)絡(luò)應(yīng)根據(jù)業(yè)務(wù)需要做嚴(yán)格的內(nèi)外網(wǎng)物理隔離部署，僅許可個別有外聯(lián)需求的部門能夠開放訪問互聯(lián)網(wǎng)權(quán)限，且開放及改變互聯(lián)網(wǎng)訪問權(quán)限均需經(jīng)過公司管理層審批，審批記錄需留檔保存。財務(wù)部門、坐席所在部門應(yīng)使用辦公內(nèi)網(wǎng)，不得訪問任何互聯(lián)網(wǎng)網(wǎng)站，只允許訪問工作所必需的業(yè)務(wù)系統(tǒng)，如甲方授權(quán)開放的業(yè)務(wù)系統(tǒng)，或我司自身的業(yè)務(wù)系統(tǒng)；第十二條禁止攜帶私人電腦進入辦公場所，只允許使用公司分配的辦公電腦進行日常工作，且辦公電腦及其他具有存儲文件功能的外設(shè)禁止帶離辦公場所，如因工作需要帶出均需經(jīng)過部門負責(zé)人審批，并保留審批記錄；第十三條全部電腦均需設(shè)置BIOS管理員密碼，且該密碼只允許桌面管理員掌握；第十四條全部電腦均需設(shè)置BIOS配置，鎖定啟動順序，僅允許硬盤啟動，禁用U盤、網(wǎng)絡(luò)、光盤等啟動方式；第十五條全部電腦需設(shè)置一次性防拆標(biāo)簽（注意帶公司標(biāo)識），防止未經(jīng)授權(quán)拆卸辦公電腦；第十六條全部電腦需摘除帶有刻錄功能的光驅(qū)配件，同時禁用光驅(qū)接入功能；第十七條禁用辦公電腦紅外、藍牙、1394等電腦接，防止信息外泄；第十八條辦公電腦僅許可員工本人WindOWS域賬號登錄，禁止他人登陸，禁用本地賬號登錄；第十九條設(shè)置辦公電腦的WindOWS補丁及時更新策略，并安排定期重啟電腦使補丁生效；第二十條禁用電腦USB等接向外拷貝的功能；第二十一條禁用電腦光驅(qū)刻錄或其他文件外拷功能；第二十二條禁用電腦外接手機數(shù)據(jù)線功能，禁用各類手機助手的軟件安裝和使用;第二十三條禁用注冊表編輯功能；第二十四條啟用WindOWS防火墻，設(shè)置嚴(yán)格訪問策略，禁止文件共享；第二十五條嚴(yán)禁任何人私自安裝軟件，全部軟件均由IT桌面管理員審核后安裝，禁止安裝、使用帶有文件外傳、遠程拷貝功能的軟件；第二十六條設(shè)置屏幕保護規(guī)則，電腦閑置15分鐘自動鎖屏，且退出鎖屏狀態(tài)需輸入登陸密碼；第二十七條禁止使用QQ電腦版、微信電腦版等能夠連接互聯(lián)網(wǎng)的即時通訊工具；第二十八條全部辦公電腦均需安裝企業(yè)版殺毒軟件（避免使用360安全衛(wèi)士等免費版殺毒軟件），并保持其病毒庫的及時更新；第二十九條僅許可使用本公司郵箱收發(fā)郵件，禁用其他非公司郵箱收發(fā)郵件；第三十條禁用外發(fā)郵件權(quán)限（僅許可發(fā)送郵件給本公司郵箱），如確實需要外發(fā)郵件，需經(jīng)過部門負責(zé)人審批，并保留審批記錄；第三十一條因工作需要發(fā)送涉密郵件，需經(jīng)部門總監(jiān)以上授權(quán)（頭/書面），并在發(fā)送時抄送部門負責(zé)人；第三十二條所有郵件均需存檔（包括員工自行刪除的郵件），存檔時間應(yīng)在兩年以上；第三十三條郵件服務(wù)器應(yīng)只允許公司辦公內(nèi)網(wǎng)訪問，關(guān)閉郵件服務(wù)的互聯(lián)網(wǎng)訪問入;第三十四條需要啟用郵件加密收發(fā)策略，增加郵件系統(tǒng)安全性；第三十五條保密管理：每位項目作業(yè)人員必須簽署《保密協(xié)議》，并嚴(yán)格依照合同保密規(guī)定和《保密協(xié)議》約定執(zhí)行保密措施和人員保密行為管理；加強作業(yè)人員的行為規(guī)范、保密培訓(xùn)教育和保密管理，定期進行作業(yè)人員的保密培訓(xùn)；第三十六條嚴(yán)禁在業(yè)務(wù)網(wǎng)或辦公網(wǎng)上接駁未經(jīng)授權(quán)的筆記本電腦或其他電子設(shè)備；第三十七條嚴(yán)禁將客戶資料私自帶離辦公場所或提供給他人或用于其他外包項目以外的活動；第三十八條嚴(yán)禁使用他人用戶名及密碼登錄計算機及系統(tǒng)；第三十九條嚴(yán)禁未妥善保管客戶資料導(dǎo)致客戶信息外泄；第四十條嚴(yán)禁私自將錄音以各種形式帶出職場；第四十一條嚴(yán)禁私自將客戶資料抄錄在未被授權(quán)的媒介上；第四十二條嚴(yán)禁私自存儲或復(fù)制含客戶信息的錄音；第四十三條嚴(yán)禁攜帶筆記本、報紙、雜志等可記錄客戶信息的違規(guī)紙張進入值機區(qū)改作業(yè)區(qū)；第四十四條嚴(yán)禁將具備通訊功能手機或具備拍攝錄制功能的照相機、攝像機、錄音筆等設(shè)備帶入辦公區(qū)域；第四十五條嚴(yán)禁在電腦中安裝、運行與業(yè)務(wù)無關(guān)的軟件；第四十六條嚴(yán)禁未經(jīng)授權(quán)收集、存儲、外傳任何涉密文檔資料；第四十七條訪問控制：網(wǎng)絡(luò)設(shè)備和系統(tǒng)應(yīng)該根據(jù)用戶權(quán)限列表，對用戶進行訪問控制，控制粒度為端級；應(yīng)嚴(yán)格控制用戶和系統(tǒng)之間的訪問控制規(guī)則，允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度應(yīng)為單個用戶；第四十八條會話控制：硬件設(shè)備（交換機、防火墻、服務(wù)器等）需設(shè)置訪問超時設(shè)置，使用用戶訪問硬件設(shè)備登陸后閑置一段時間后，需自動執(zhí)行簽退操作或中斷網(wǎng)絡(luò)連接；業(yè)務(wù)系統(tǒng)需設(shè)置訪問超時設(shè)置，使用用戶訪問網(wǎng)絡(luò)設(shè)備登陸后閑置一段時間后，需自動執(zhí)行簽退操作或中斷網(wǎng)絡(luò)連接；第四十九條通過VPN方式對網(wǎng)絡(luò)設(shè)備進行遠程管理，不可開放網(wǎng)絡(luò)設(shè)備遠程直連端，且VPN連接到過渡網(wǎng)段，不能直接接入內(nèi)網(wǎng)區(qū)；第五十條需要限制VPN用戶能夠訪問的地址范圍，僅限于必需的應(yīng)用訪問授權(quán)；第五十一條VPN需要保留所有用戶的全部訪問記錄，并保留半年以上；第五十二條網(wǎng)絡(luò)設(shè)備需使用SSH管理，關(guān)閉TELNET管理方式;第五十三條應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；第五十四條網(wǎng)絡(luò)訪問日志需保存到日志服務(wù)器，日志需保存至少半年以上；第五十五條日志記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；第五十六條需要對日志記錄進行保護，僅許可經(jīng)過授權(quán)的運維人員管理和維護日志記錄，并禁止人為更改日志的行為，記錄應(yīng)該與系統(tǒng)運行維護情況基本一致，不能出現(xiàn)記錄中斷或明顯跳躍情況;第五十七條應(yīng)用系統(tǒng)應(yīng)根據(jù)數(shù)據(jù)敏感程度實現(xiàn)隔離，區(qū)分不同用戶的訪問權(quán)限；第五十八條需將應(yīng)用系統(tǒng)日志（如賬號創(chuàng)建、注銷、變更日志、交易日志等等）實時發(fā)送到日志服務(wù)器，交易日志需保存至少兩年以上；第五十九條生產(chǎn)及辦公中使用的密碼需滿足復(fù)雜度、長度要求，需強制要求密碼長度為8位及以上（推薦12位以上），密碼需包括特殊符號、大寫字母、小寫字母、數(shù)字中的三種及以上；并要求最少一個月更改一次密碼，且不能和前三次設(shè)置相同的密碼，且不能使用常見的單詞拼寫或存在明顯規(guī)律，如禁止使用PaSSWOrd1234、1qaz@WSX等網(wǎng)絡(luò)中常見的弱令。附則第六十條違反本管理制度，視情節(jié)輕重依照有關(guān)規(guī)定對當(dāng)事人給予相應(yīng)處罰。第六十一條以往管理制度與本制度不一致的，以本制度為準(zhǔn)。第六十二條本制度的解釋權(quán)歸屬公司管理委員會。第六十三條本制度自管理委員會審議通過之日起施行。1.2外訪設(shè)備管理制度（1）規(guī)范催收行為，嚴(yán)控聲譽風(fēng)險我司在日常管理中須嚴(yán)格按催收“十禁”要求，外訪人員必須嚴(yán)格規(guī)范外訪行為，不得使用具有攻擊性、侮辱性的語言，不得通過暴力、侮辱、恐嚇、誹謗、騷擾等方式催收貸款。公司及中心應(yīng)采取各種有力措施有效控制聲譽風(fēng)險事件的發(fā)生，對可能造成的聲譽風(fēng)險根據(jù)公司相關(guān)規(guī)定及時報告與預(yù)警。一旦發(fā)現(xiàn)異常情況須第一時間報送管轄大區(qū)經(jīng)理處。（2）總部及分中心外訪展業(yè)工作要求（2.1）工作人員在進行催收外訪時必須進行錄像與錄音的雙錄工作，并配備相關(guān)設(shè)備（外訪攝像儀器及錄音筆均需配備）。設(shè)備品牌不限，但拍攝儀器需保證錄像拍攝圖像清晰（分辨率不得低于1080P，具備紅外夜視功能為佳），外訪錄音與攝像由專人統(tǒng)一進行保存，保存期限需二年以上，以備合作機構(gòu)隨時調(diào)閱（必配）。（2.2）為保障外訪人員及客戶雙方的權(quán)益，在外訪催收時，如遇見客戶的，原則上在室外與客戶進行交流，不進入客戶室內(nèi)。在客戶邀請下進入室內(nèi)交流的，需盡量保持拍攝儀器為開啟狀態(tài)。（2.3）為保障外訪人員及客戶雙方的權(quán)益，在催收過程中使用外訪記錄儀時，應(yīng)使用規(guī)范話術(shù)，話術(shù)分為以下幾種情況：1）外訪上門遇見客戶時使用例：客戶×××您好，我是受×××機構(gòu)委托的×××催收公司的外訪人員XXX，今天找到您是告知您在×××機構(gòu)的貸款截至今日已欠款×××，我們本次走訪是與您協(xié)商該筆貸款的還款事宜。2）當(dāng)客戶不