中国移动数据安全管理办法1.docx

中国移动数据安全保护管理办法中国移动通信集团有限公司2019年8月目 录第一章 总则2第二章 安全原则3第三章 机构与人员5第四章 数据安全基础管理6第一节 分类分级6第二节 账号与权限管理7第三节 第三方管理8第四节 数据安全评估9第五节 安全监督检查10第六节 应急响应10第七节 投诉处理11第八节 数据出境管理11第五章 数据全生命周期安全管理12第一节 数据收集12第二节 数据传输14第三节 数据存储15第四节 数据使用16第五节 数据共享19第六节 数据销毁20第六章 数据安全技术管控21第一节 系统安全防护21第二节 4A管控22第三节 金库模式23第四节 远程接入管控24第五节 敏感数据防泄漏25第六节 日志管理与审核26第七章 问责与处罚27第八章 附则28第一章 总则第一条 【目的依据】为加强中国移动数据安全管理，维护国家安全、社会公共利益，保护用户合法权益，保障公司数据资产安全及数据业务健康发展，根据中华人民共和国网络安全法、电信和互联网用户个人信息保护规定（工业和信息化部令第24号），以及国家相关法规及制度要求，参照信息安全技术 个人信息安全规范等国家标准，制定本办法。第二条 【管理范畴】公司通过网络开展数据收集、传输、存储、使用、共享、销毁等数据活动（以下简称数据活动），以及数据安全的保护和监督管理，适用本办法。第三条 【办法定位】本办法是公司开展数据安全管理及客户信息保护工作的基本制度。第四条 【适用范围】本办法适用于集团公司及所属各单位（以下简称各单位）。第二章 安全原则第五条 【工作方针】数据安全管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。第六条 【实施原则】各单位对数据的管理应遵循如下实施原则：（一）主体责任明确原则：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则，明确责任分工，各单位应对其持有的数据承担安全责任，无论这些数据通过何种途径获得。（二）分类分级管控原则：对数据进行分类分级，根据类别属性、重要及敏感程度等差异性，采取适当的、与数据安全风险相适应的管理措施和技术手段，保障数据安全。（三）安全三同步原则：在承载数据的相关平台系统的设计、建设和运行过程中，应做到数据安全保护措施的同步规划、同步建设、同步运行。（四）用户知情同意原则：收集、使用客户信息时，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经客户信息主体同意。（五）最少够用原则：在数据的收集、传输、存储、使用、共享等各环节，在满足管理要求的前提下，所使用的数据类型及数据规模仅限定为业务开展所必须的范围。（六）敏感数据不出网原则：除获得明确授权外，客户信息等敏感数据不得开放给他人或第三方企业，未经脱敏处理的敏感数据不可离开中国移动网络与计算环境。（七）安全与发展并重原则：坚持保障数据安全与发展并重，鼓励在合法合规、安全可信的条件下积极推进数据资源的开发利用。（八）安全评估原则：在数据活动中，应评估参与各方是否具备与所面临的安全风险相匹配的安全能力，采取足够的技术手段与管理措施确保数据的保密性、完整性、可用性，不得泄露、篡改、损毁。（九）可追溯原则：对于敏感数据操作的日志应完整准确记录，确保所有操作可追溯到具体的操作人和操作依据，杜绝擅自篡改、删除记录等违规行为。第三章 机构与人员第七条 【网络安全领导小组】各单位网络安全领导小组在集团公司网络安全领导小组的统一领导下，负责开展本单位的数据安全管理工作。第八条 【组织保障】各单位应明确数据安全管理责任部门，归口负责本单位内部数据安全管理工作，督促协调各相关主体和环节，严格落实操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据容灾备份等数据安全保护措施。第九条 【人员配备】各单位应明确数据安全归口管理专职人员，专职人员数量应与本单位安全管理现状相适应。第十条 【人员培训】各单位建立数据安全教育培训制度，每年至少开展1次数据安全教育培训，培训内容包括但不限于数据安全管理与用户个人信息保护相关法律法规、标准制度、安全责任、知识技能等。第四章 数据安全基础管理第一节 分类分级第十一条 【数据类型】本办法所涉及的数据指公司运营过程中通过网络收集、存储、传输、处理和产生的各种电子数据，包括客户信息（含个人客户信息、集团客户信息）、网络运维数据、业务支撑数据、业务平台数据、运营管理数据等。第十二条 【数据保护清单】各单位应逐步建立数据保护清单，依据数据重要性和敏感程度，以及发生数据安全事件后可能造成的危害，稳步实施数据资源清单式管理。针对大数据分析和挖掘等方式得到的衍生数据，需列入数据保护清单一并进行保护。第十三条 【分类分级策略】各单位应结合本单位内部数据类型特点、业务运营需求等，明确数据分类分级策略，明确关键数据保护范围，细化实施细则，实施数据分级管理及差异化安全技术管控。第二节 账号与权限管理 第十四条 【账号权限管理】各单位应加强账号权限管理，各系统及业务的主管部门需遵循“权限明确、职责分离、最小特权”的原则明确岗位角色和权限的匹配规则，建立所管辖系统的账号权限申请审批流程，指定专人作为管理员，按照权限最小化原则、依据人员岗位角色进行账号授权。账号与人员应保持一一对应。严格限制系统超级账号的授权。前台操作角色与后台操作角色职责分离。账号权限管理操作角色与具有业务操作权限的角色职责分离。第十五条 【账号审核】各单位应定期组织系统账号使用情况的审核，确认系统中用户身份的有效性、账号创建的合法性、权限的合理性，对离职人员账号及时停止授权，对存在的问题提出整改要求。第十六条 【涉敏人员管理】各单位应严格控制涉及客户敏感信息操作人员（简称涉敏人员）的范围，应建立涉敏人员名单库，将所有涉敏人员进行集中化管理。各单位应对涉敏人员库进行严格管控和动态维护，对发生离职、岗位变化等人员的权限进行及时调整，停止涉敏相关授权。第三节 第三方管理 第十七条 【第三方公司管理】第三方是指与中国移动在业务上具有合作关系，或是向中国移动提供服务（包括推广渠道商、业务服务商、软件开发机构、平台建设厂家、运维支撑厂家等）的公司。各单位应制定第三方管理规范或制度，明确考核内容、考核要求及惩处措施，采用合同约束、信用管理等手段，加强第三方监督管理。各单位应在签订合作协议前对第三方进行背景调查和安全资质审查，综合评估第三方的数据安全保障能力；加强对第三方的约束管理，签订数据安全协议，细化明确第三方的数据使用权限、安全保护责任、必要的安全保护措施以及违约责任和处罚条款等；建立第三方数据安全风险监督管理机制，严禁第三方超出合同约定目的和范围使用分析数据；业务合作结束后，督促第三方依照合同约定及时关闭数据接口、删除数据。第十八条 【第三方人员管理】各单位应加强对第三方人员的管理，明确其安全责任；加强对第三方人员账号管理，岗位职责与账号权限满足最小化要求；加强对第三方人员参与的收集系统接口调试、敏感数据脱敏、敏感数据销毁等关键环节管控；加强第三方人员工作区域、工作终端管理。原则上禁止对第三方人员分配系统管理员账号及其他涉敏权限账号，如因系统割接、故障抢修、应急处置等活动确需第三方人员操作敏感数据的，应临时授权并严格监控，留存授权审批记录，工作完成后及时收回权限。第四节 数据安全评估 第十九条 【评估场景】各单位应按照电信主管部门及相关标准规范要求，参照新技术新业务安全评估方法，定期（至少每年开展一次）及在数据安全管理环境发生重大变更时，对数据安全管理情况开展合规性评估。应开展数据安全评估的情况包括：（一）数据安全相关法律法规发生变化时；（二）涉及客户信息等关键数据的新业务上线前；（三）向第三方提供客户信息等关键数据前； （四）因业务终止等涉及数据的承接、转移及销毁时；（五）其他数据安全管理环境重大变更的情况。第二十条 【评估内容】各单位应根据上级单位及集团公司要求，编制细化数据安全评估要点，从机构人员、基本制度、技术能力、重点环节等方面进行评估，评估内容应覆盖数据安全风险情况、数据收集使用合规情况、数据安全保障措施完善程度、合作方数据安全保护水平等。第二十一条 【评估总结】各单位应对评估结果进行总结，生成评估报告并向集团报备，对发现的问题及时进行整改，防范数据泄露风险。第五节 安全监督检查 第二十二条 【日常监测巡查】各单位应建立完善数据安全日常监测巡查制度，明确日常监测巡查的策略、方法、流程等。应根据“职责不相容”原则设置独立的安全员，定期开展企业内部数据安全风险监测巡查和所负责维护的系统的常规性安全检测，对操作日志开展安全审计，及时发现异常情况，消除安全隐患。第二十三条 【安全监督检查】各单位应定期对本单位数据安全管理情况和落实效果进行监督检查，重点针对客户信息保护、数据全生命周期安全管理及App等应用服务的隐私政策进行检查，并及时督促问题整改。第六节 应急响应第二十四条 【应急响应制度】各单位应根据集团要求，结合本单位实际情况，建立完善本单位数据安全事件应急响应制度。包括明确数据安全事件管理责任分工、数据安全事件发现及报告机制、应急保障措施、追踪溯源及处置流程、事件跟踪总结等。第二十五条 【应急响应管理】各单位应制定数据安全事件应急预案，并根据应急预案定期组织应急演练、保存演练记录，每年至少组织开展一次演练。发生数据安全事件时，应及时开展处置，并将有关情况第一时间向集团公司报告。第七节 投诉处理第二十六条 【投诉处理机制】各单位应结合实际情况，建立数据安全投诉机制并对外公布，投诉渠道应至少包括以下一种：电子邮件、电话、传真、在线客服、在线表格，并针对有效投诉线索依法依规开展处置和记录，自接到投诉之日起十五日内答复投诉人。第八节 数据出境管理第二十七条 【出境安全评估】各单位在境内运营中收集和产生的重要数据、客户信息，原则上应在境内存储，因业务需要，确需向境外提供的（以下简称数据出境），应当按照国家有关部门制定的办法进行安全评估。第二十八条 【出境管理】各单位应在数据出境前与接收方签订合同或者其他有法律效力的文件（以下称合同），并在合同中明确保障出境数据安全的内容。如涉及客户信息出境，应明确告知用户。第五章 数据全生命周期安全管理第一节 数据收集 第二十九条 【收集过程管控】各单位应加强线上、线下等数据收集环节管控，通过配备技术手段、签署保密协议等措施，加强对数据收集人员、设备的管控，保障收集数据安全。通过第三方等其他途径获得的敏感数据，与直接收集的敏感数据负有同等的保护责任和义务。第三十条 【收集知情同意】各单位通过营业厅或线上渠道等方式收集使用客户信息时，应当制定并公开收集使用规则，收集使用规则应明确具体、简单通俗、易于访问。且仅当用户知悉收集使用规则并明确同意后，方可收集客户信息，同时向用户提供查询、更正、删除等多种参与用户信息处理的渠道，并予以公告。第三十一条 【收集使用合法】各单位不得收集其提供服务所必需以外的客户信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。第三十二条 【用户信息删除】在用户终止使用电信服务后，应当停止对客户信息的收集和使用，并为用户提供注销号码或者账号的服务。针对违反双方约定收集、使用客户信息的，或收集、存储客户信息有错误的情况，用户提出删除或更正要求的，各单位应采取措施予以满足。第三十三条 【用户权益保障】各单位在用户同意收集保证网络产品核心业务功能运行的客户信息后，应当向用户提供核心业务功能服务，不得因用户拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。第三十四条 【App隐私政策内容要求】App收集使用客户信息前，应发布独立性、易读性的隐私政策文本。隐私政策应至少包括以下内容：（一）隐私政策应向客户信息主体明示收集客户信息的目的、方式、范围，并显著标注所收集客户信息类型；（二）明确运营者基本情况、客户信息存储地域、保存期限、超期处理方式以及收集客户信息、使用客户信息的规则；（三）明示客户信息保护措施和能力，用户查询、更正、删除客户信息的途径和方法，用户投诉渠道和反馈机制；（四）隐私政策发布、生效或更新时间；（五）对外共享、转让、公开披露客户信息规则；（六）第三方SDK、Cookies技术等。第三十五条 【App收集使用安全要求】App所申请的客户信息相关权限不应超出隐私政策中说明的范围。在收集权限时需征得用户自主选择明示同意。当用户同意 App收集某服务类型的最少信息时，App不得因用户拒绝提供最少信息之外的客户信息而拒绝提供该类型服务。App 不得收集与所提供的服务无关的客户信息，不得通过捆绑多项业务功能方式要求用户一次性接受并捆绑授权。第二节 数据传输 第三十六条 【安全域划分】各单位应根据业务流程、职责界面等情况，合理划分安全域，并在安全边界上配置相应的访问控制策略及部署安全措施。第三十七条 【传输加密】针对面向互联网域、外部接入域传输等存在潜在安全风险的环境，应对敏感信息的传输进行加密保护，并根据数据敏感级别采用相应的加密手段。采用密钥加密时，各单位应对密钥的生成、分发、验证、更新、存储、备份、有效期、销毁进行管理。并应采用公认安全的、标准化公开的加密算法和安全协议。第三节 数据存储 第三十八条 【分类分级存储】各单位应按数据敏感程度做好数据分类管理，对不同安全级别的数据采用差异化安全存储，包括差异化脱敏存储、加密存储、访问控制等。并做好加密算法、脱敏方法的安全性保密。 第三十九条 【存储介质管理】各单位应制定管理规定对存放敏感信息的电子文件或纸介质进行有效管理，明确存有敏感信息的物理介质（磁阵、硬盘和磁带等）的维护、更换、升级、转移和报废等操作要求，防止敏感信息泄漏。对于要离开系统的物理介质，必须采用有效的手段由专人彻底删除敏感信息后，才可离开其所在的安全区域。各单位应采取有效的技术、管理手段加强对涉及敏感数据的系统使用移动存储介质的管控。应记录移动介质输出敏感数据和文件的详细信息，并定期审核。第四十条 【数据容灾备份】各单位应建立完备的数据容灾备份和恢复机制，提供基本的完整性校验机制，保障数据的可用性和完整性。做好数据容灾应急预案，一旦发生数据丢失或破坏，可及时检测及恢复数据，保障数据资产安全、用户权益及业务连续性。能够及时正确地对备份异常（失败、受损等）进行告警。第四十一条 【多租户隔离】针对多租户数据的共享存储需求，各单位应建立安全管理策略，提供多租户数据安全管控机制,实现多租户之间的资源及应用隔离。第四十二条 【超期存储处理】客户信息保存期限应为实现目的所必需的最短时间，保存期限超出业务需要或与用户约定范围的，应在不违反法律规定和上级单位要求的前提下，对客户信息进行删除或脱敏处理。第四节 数据使用 第四十三条 【授权使用要求】因业务需要进行客户信息查询操作时，必须确保所有查询操作行为经过正当授权，并留存授权记录，禁止在未经授权的情况下进行查询操作。授权依据包括正式公文、投诉工单、用户授权等，金库模式审批记录不得作为授权依据。授权记录至少保留三年。各单位应对查询客户信息的场景进行评估，制定相应的查询及审批流程。采取访问控制措施确保员工只能访问职责所需的最少够用的敏感数据。对涉及敏感数据的访问和操作进行监测，对异常操作进行实时告警。第四十四条 【用户知情同意】因业务需要，确需改变客户信息处理目的时，应再次征得用户明示同意；并针对目的变更后的情况，进行客户信息安全风险评估，重新调整安全措施。第四十五条 【数据处理分析】各单位需指定专人分别负责数据提取的需求、审核，严格审核数据提取规则、控制取数范围，数据提取原则上只能进行统计、分析类取数操作，严禁针对特定个人进行非法查询及关联分析。对确因客户关怀、二次营销、专题分析等工作需要需提取明细类数据的，应进行脱敏处理。第四十六条 【敏感数据脱敏】各单位应根据集团数据安全脱敏规范指导，结合本单位内部数据类型特点、业务运营需求等，建立数据脱敏机制，明确需要进行脱敏处理的数据类型、应用场景、脱敏方法和规则。（一）数据离网脱敏除非获得用户明确授权，所有离开中国移动网络与计算环境的敏感数据均需要进行脱敏处理，且应采用安全的算法及流程实施脱敏操作，并做好脱敏方法的保密，避免敏感数据被违规还原；且应采用不同批次不同参数等方法，避免敏感数据被沉淀积累。（二）开发测试数据脱敏开发测试需使用数据且数据包含敏感信息时，应在导出前经过申请审批，同时对涉及到客户敏感数据信息的内容，应使用过期数据或是模糊化处理之后的数据。（三）界面展示等需脱敏对用户敏感信息进行操作终端查询、展现、统计等操作时，应按照最少够用原则，严格实施模糊化处理，对于未经模糊化处理的，必须纳入金库模式管控。第四十七条 【App用户权利保障】App停止运营产品或服务时，应及时停止继续收集客户信息活动，第一时间将停止运营的通知以逐一送达或公告的形式通知用户，对App所持有的客户信息需按照国家相关规定进行删除或者脱敏处理。各单位需建立申诉管理机制，并在合理的时间内，对申诉进行响应。应在十五天内或法律法规规定的期限内针对申诉做出答复和合理解释，并告知用户向外部提出纠纷解决的途径。 第四十八条 【App第三方SDK管理】 App 应对其使用的第三方代码、插件的客户信息收集、使用行为负责。第三方代码、插件收集及使用客户信息视同 App 收集及使用，App 应防止第三方代码、插件收集无关的客户信息。各单位需制定App第三方SDK接入安全管理规范，通过协议等方式明确第三方SDK收集、使用客户信息的行为准则以及相关法律责任，定期检测、抽查。针对存在违法违规或安全隐患的第三方SDK应及时下线。第五节 数据共享第四十九条 【数据共享原则】数据共享应遵循目的正当、程序合规、最小够用的原则，明确内部审批及操作流程，开展数据共享前安全评估，加强数据共享过程管控，防止数据被违规复制、传播、破坏等。第五十条 【数据安全评估】数据提供方应依据数据重要性和敏感程度，以及发生数据安全事件后可能造成的危害开展安全评估，并在确认数据接收方对共享数据的保护水平不低于原有数据保护水平后，进行数据共享。数据对外共享涉及客户信息时，应获得用户同意，或进行脱敏处理，确保脱敏处理后的信息不会被复原且不会追溯到用户。第五十一条 【数据共享管控】数据内外部共享前应通过安全协议等方式，明确规定各方数据保护责任，确立共享过程中的数据保护制度和安全措施，建立相应的数据共享审批机制，实施数据脱敏、操作审计、加密传输等技术管控措施，从管理及技术上双重保障共享数据安全。第六节 数据销毁 第五十二条 【数据销毁机制】各单位应根据集团数据销毁技术防护要求，结合本单位实际情况，建立数据销毁策略和管理制度，明确销毁场景、销毁对象、要求及流程，确保销毁信息不可被还原，并做好效果验证。第五十三条 【介质安全销毁】针对逻辑销毁操作，需要为不同数据的存储方式制定相异的逻辑销毁方法，并确保数据的多个副本被同时销毁；针对物理销毁操作，应对销毁后的物理存储介质进行登记、审批、交接。严禁非法挪用存储介质，避免数据被违规留存或还原。第六章 数据安全技术管控第一节 系统安全防护第五十四条 【安全域隔离】各单位应针对各安全域采取域间隔离等措施，加强数据相关设备、网络及数据自身安全防护；对安全边界的网络设备、安全设备进行严格管理，定期进行安全评估和审核，建立管理闭环。 第五十五条 【设备安全管理】各单位应采用访问控制、视频监控、接入鉴权等技术手段，加强对涉及收集、存储敏感数据的重要物理区域（如机房、维护处室中心）和重点基础设施的安全防护，定期实施安全风险评估，配置安全基线。特别是针对涉及流量分光的设备和机房要进行严格管控。对进出的人员、目的、操作进行详细记录，外来人员进入该区域应由本公司对口的维护人员全程陪同。各单位在设备退网时，应对退网设备进行数据清理并及时下线。第五十六条 【平台基础安全】数据平台系统的物理安全，应遵循GB/T 21052-2007信息安全技术 信息系统物理安全技术要求。如果涉及大数据、云计算等数据平台系统，还需遵循国标GB/T 31168-2014信息安全技术 云计算服务安全能力要求及集团相关规范制度，充分保障云计算基础设施、大数据基础组件的安全。第五十七条 【传输接口安全】各单位应加强敏感数据传输接口安全管控，针对外部接口的调用实施流量监测、接入鉴权等技术手段，留存内外部数据接口的访问日志，定期对内外部各类接口进行清查，对不符合要求的数据接口立刻予以关停。对于跨越互联网的敏感信息传输，必须进行加密，以实现数据传输的安全。第二节 4A管控 第五十八条 【接入范围】为了从技术上限制非授权用户接触涉敏数据，各单位涉及敏感数据的系统、平台等均应纳入4A系统的集中管控。4A系统是运维人员访问涉及敏感数据的系统后台资源（包括主机、数据库等）的唯一入口，运维人员应先登录4A系统，进行强认证后，才能访问后台系统。4A系统应为涉及敏感信息的系统前台应用界面的唯一入口，业务人员应先登录4A系统，进行强认证后才能访问前台应用。各应用系统应通过4A实现单点登录。对于通过APP等客户端进行访问的涉及敏感信息系统，应通过4A进行统一的认证及日志记录。第五十九条 【认证与审计】 4A系统应实现基于主账号的集中强身份认证，集中控制合法用户能访问敏感信息的权限，4A应保存用户的完整操作日志并进行审核。第三节 金库模式第六十条 【金库覆盖范围】涉及各类敏感客户信息的通信网及网管支撑系统、业务支撑系统、业务平台等系统的前台应用和后台资源（包括网络设备、主机、数据库等）均应纳入金库模式管控。各单位涉及敏感信息的系统，需依据安全“三同步”要求在规划、建设时同步配套实施金库管控。各单位应全面梳理应纳入金库模式管控的系统的应用场景，包括应纳入金库管控的敏感信息内容及操作类别（查询、导出、变更、删除）等，建立金库模式管控场景清单，凡涉及客户敏感数据操作的场景都应纳入金库模式管控。对于存在客户服务密码、身份证读取等客户明确授权的业务场景，可视为以自动授权的方式实现金库模式管控。第六十一条 【限事限时】金库触发方式包括基于业务操作触发和基于帐号登录触发两种方式。除受技术条件限制外，原则上应采用基于业务操作触发的方式。操作人在执行敏感操作触发金库申请时，必须有明确且合理的业务需求并完整填写操作原因，对于原因不明或业务需求不合理的，授权人应不予审批。金库的操作、申请、审批的内容必须相匹配，系统应实现对操作、申请和审批的一致性限制，对于无法匹配的操作不允许执行。金库模式原则上只允许单次授权的方式。若采用按时间段授权的方式，应限制每次金库授权时长，原则上不得超过一小时。各单位应建立金库策略管理流程，对金库模式授权方式、授权关系、授权时长等策略的创建、变更和删除操作进行严格管控，需经过主管领导审批并保存相关的审批记录。第四节 远程接入管控第六十二条 【远程接入权限】原则上，远程接入帐号只能授予内部员工；如第三方因特殊情况需要通过远程登录访问系统，可根据系统主管授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。第六十三条 【远程接入认证】远程登录必须通过4A系统进行集中认证、授权和审核，应遵循权限最小化原则，开放用户能访问的系统及权限。第六十四条 【远程接入日志】应对远程接入用户的登陆过程、操作行为进行记录（包括但不限于以下信息：用户名、操作内容、登陆方式、登入时间、登出时间）。第六十五条 【远程接入安全】通过远程接入方式进入公司网络的用户，原则上应严格限制其接触客户信息等关键数据。因业务需要确需远程访问关键数据的，应确保通过安全