XXXX第四周XXXX年楚雄移动分公司信息安全管理培

2013年楚雄移动分公司信息安全管理培训中国移动通信集团云南有限公司楚雄分公司培训提纲培训背景加强网络信息保护的决定信息安全技术2公司相关规定背景-信息安全管理工作的重要性

2012年12月28日，全国人民代表大会常务委员会审议通过了《关于加强网络信息保护的决定》（以下简称《决定》）。国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）并于2013年2月1日起正式实施。《决定》、《指南》主要涉及个人电子信息保护、网络服务用户实名制和垃圾电子信息治理等领域，与公司业务发展和信息安全工作密切相关，在为公司工作提供法律依据的同时，也明确了运营商的义务和责任，对公司提出了更高要求。为了更好地宣传贯彻《决定》、《指南》精神，全面落实相关要求，切实提高全员信息安全意识，创造“经营依法、决策问法”的浓厚氛围，保证公司依法合规运营，根据网通【2013】33号《关于认真组织学习《关于加强网络信息保护的决定》等法律和国家标准的通知》开展学习贯彻活动。培训提纲培训背景加强网络信息保护的决定信息安全技术4公司相关规定《关于加强网络信息保护的决定》一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。《关于加强网络信息保护的决定》三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。《关于加强网络信息保护的决定》五、网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。六、网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。《关于加强网络信息保护的决定》七、任何组织和个人未经电子信息接收者同意或者请求，或者电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。十一、对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。培训提纲培训背景加强网络信息保护的决定信息安全技术9公司相关规定《信息安全技术公共及商用服务信息系统个人信息保护指南》《公共及商用服务信息系统个人信息保护指南》为我国国家标准化指导性技术文件，本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程，为信息系统中个人信息处理不同阶段的个人信息保护提供指导。本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构，如电信、金融、医疗等领域的服务机构，开展信息系统中的个人信息保护工作。指一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。个人敏感信息指除个人敏感信息以外的个人信息。个人一般信息处置个人信息的行为，包括收集、加工、转移、删除。个人信息处理《信息安安全技技术公公共及及商用用服务务信息息系统统个人人信息息保护护指南南》个人信信息保保护概概述：：角色：：信息息系统统个人人信息息保护护实施施过程程中涉涉及的的角色色主要要有个个人信信息主主体、、个人人信息息管理理者、、个人人信息息获得得者和和独立立测评评机构构个人信信息管管理者者在使使用信信息系系统对对个人人信息息进行行处理理时遵遵循以以下原原则目的明明确原原则最少够用原则则公开告知原则则个人同意原则则质量保证原则则诚信履行原则则责任明确原则则《信息安全技术术公共及商用用服务信息系系统个人信息息保护指南》收集加工转移删除信息系统中个个人信息的处处理过程：采用个人信息息主体易知悉悉的方式，向向个人信息主主体明确告知知和警示收集集信息的用途途、使用范围围等，需获得得个人信息主主体的同意(包括默许同意意和明示同意意)方可按最少信信息原则收集集。不违背收集阶阶段已告知的的使用目的，，采用已告知知的方法和手手段，在告知知的范围内对对个人信息进进行加工，保保证加工过程程中个人信息息不被任何与与处理目的无无关的个人、、组织和机构构获知在不违背收集集阶段告知的的转移目的及及范围内，评评估接收方是是否能够按指指导要求处理理个人信息，，通过合同明明确个人信息息保护责任后后，方可向其其他组织和机机构转移个人人信息当个人信息主主体提出正当当理由、收集集阶段使用目目的达到或超超出告知的留留存期限、信信息管理者破破产或解散导导致无法完成成承诺的处理理目的时应及及时删除，仅仅当删除可能能会影响执法法机构调查取取证时，采取取适当的存储储和屏蔽措施施。培训提纲培训背景加强网络信息息保护的决定定信息安全技术术13公司相关规定定云南移动客户户信息安全定定义什么是客户信信息安全？客户信息安全全指公司所服服务的客户在在公司系统、、互联网站等等登记的个人人信息，包括括：个人基本资料料，如姓名、、年龄、性别别、生日、党党派、职业、、学历、家庭庭成员、身份份证号码等个人联系方式式，如手机号号码、固定电电话、电子邮邮箱、通信地地址等客户服务密码码、通话清单单、位置信息息等客户依法使用用电信的自由由和通信秘密密受法律保护护，任何单位位或个人，乃乃至公司内部部职工，不得得擅自向他人人提供客户使使用的电信网网络所传输信信息的内容，，法律另有规规定的除外。。前台客户信息息安全管理规规范在客户要求下，通过身份证作为证明办理查询客户使用特殊身份认证，营业厅值班长审批，并填写相应记录客户经理进行单个或批量查询，必须严格按流程审批并存档备查客户通话清单等敏感信息只能在应客户的请求、并在客户自身按正常流程通过身份鉴权的情况下协助客户查询前台服务人员一律不得掌握客户服务密码，一律不得代客户进行服务密码认证客户经理不允许掌握客户服务密码，不能通过自己输入服务密码的方式代客户办理业务前台服务人员在为客户办理开户时，严禁代客户设置服务密码，在指导客户设置服务密码时，要提醒客户避免设置弱密码分配给各服务人员使用的系统帐号仅限服务人员本人使用，避免使用弱密码并定期修改对前台服务人员和客户经理的查询和操作行为要进行严密的事后审查后台客户信息息安全管理规规范所有涉及批量客户资料信息操作均须先获得审批后才能进行具体操作，并对审批资料进行保存备查，审批资料包括纸质审批单、OA电子公文等做好客户信息数据的保管，批量数据必须加密保存，严禁将批量数据放在公用电脑、供下载使用的公开网络等不安全的位置，严禁通过外网邮箱或向外网邮箱发送导出的批量数据全面清理拥有客户敏感信息查询和批量查询权限的工号，按照“权限最小化”原则，对日常工作不涉及批量操作或客户信息查询的，不允许分配相关权限及免认证查询客户敏感信息的特权所有有权限的后台系统操作人员须严格执行相关管理规定，仅限在日常工作需要的情况下使用账号开展日常工作严格管理客户位置信息。除公安机关开具具体的证明材料要求协助进行案件追查及发生重大灾害按照政府部门要求协助救援工作（如地震等）的情况下，严禁利用工作权限便利，擅自查询、泄露客户的具体位置信息，公安机关提取我公司客户位置信息须按照公司针对公安机关提取客户清单的流程严格执行。第三方合作伙伙伴信息安全全管理规范1、任何接入我我公司BOSS系统的第三方方合作伙伴（（包括但不限限于社会渠道道网点、第三三方外呼渠道道等）均不允允许分配任何何免身份认证证特权。2、凡涉及接触触我公司客户户信息的第三三方合作伙伴伴，必须遵照照我公司客户户信息安全管管理规定，严严禁擅自提取取、泄露我公公司客户信息息资料或将我我公司客户资资料信息提供供给其他人员员或公司。3、第三方合作作伙伴在与其其他公司开展展合作的过程程中，如需使使用到我公司司客户信息，，必须向我公公司申请，在在取得我公司司同意的情况况下才能进行行。4、第三方合作作伙伴不允许许向与其有订订购关系以外外的我公司客客户发送信息息，且针对订订购客户不允允许发送与客客户订购业务务无关的信息息内容，如需需向客户发送送相关其他信信息的，必须须向我公司提提出申请，经经省公司市场场部审核后才才能进行发送送。5、与第三方合合作伙伴签订订客户信息安安全保密协议议，协议中应应明确对第三三方的管理要要求，和违反反规定后的处处罚、赔付条条款。6、在与第三方方开展合作过过程中，对向向第三方提供供的客户数据据必须取得公公司副总以上上领导的审批批同意，且只只能提供与合合作项目相关关必要的信息息，无关信息息一律不允许许提供，审慎慎提供涉及客客户敏感信息息的数据。7、加强对第三三方合作伙伴伴的监管，定定期开展对第第三方合作伙伙伴的审查，，对于审查中中发现有违规规行为的，要要立即组织开开展追查，一一经查实，按按合作协议规规定进行具体体的处罚，必必要时，解除除合作关系。。信息安全事件件分类客户信息泄露类安全事件非法获取、非法出售客户基本资料、客户身份鉴权信息、客户通信信息及通信内容等损害客户信息安全性的事件内部敏感信息泄露类安全事件非法获取、非法出售公司管理决策信息、核心业务数据、合同数据、员工个人信息等损害公司内部敏感信息保密性的事件手机病毒感染类安全事件手机病毒引起的恶意订购、窃取用户信息、影响正常通信等事件违法及不良信息传播类安全事件利用通信网络、互联网络等传播带有欺诈、骚扰、广告等性质的垃圾短信、传播各类手机淫秽色情信息；传播国家相关法律法规明文禁止的各类违法信息等影响系统可用性类安全事件拒绝服务攻击（DOS和DDOS)、恶意代码攻击、漏洞攻击、僵尸网络、垃圾邮件等导致系统不能正常运行的事件影响系统完整性类安全事件信息篡改（如网页篡改、DNS劫持等）、后门木马（以破坏系统数据为目的）、漏洞攻击等事件互联网网络安全类事件参考《互联网网络安全信息通报实施办法》（工信部保[2009]156号）信息安全事件件分级一般（四级）个别客户信息泄露造成不良影响或导致一般投诉的信息安全事件通信网络被利用传送违法及不良信息造成不良影响较大（三级）少量或个别客户信息泄露造成较大影响或导致重大投诉的信息安全事件批量客户信息泄露，得到有效控制且未造成不良影响的信息安全事件接入违法或含不良信息的设备造成重大影响重大（二级）批量客户信息泄露造成较大影响或导致大量投诉的信息安全事件被省市级媒体曝光的信息安全事件导致公司利益遭受重大损失或关键业务遭到严重破坏的信息安全事件通信网络被利用传送大量违法及不良信息造成重大影响特别重大（一级）批量客户信息泄露造成重大影响或导致重大投诉的信息安全事件被国家媒体曝光的信息安全事件对外信息发布系统出现扰乱公共秩序、造谣蛊惑、破坏安定团结以及反动、淫秽、色情内容的信息安全事件当事单位应于于10分钟内通知省省公司信息安安全对口管理理部门，1小时内作出口口头报告上报报集团公司、、省通信管理理局和当地安安全分中心，，12小时内作出简简要书面报告告，相关事件件处理结束后后3日内作出专题题书面报告信息安全事件件上报机制特别重大信息息安全事件当事单位应于于10分钟内通知省省公司信息安安全对口管理理部门，2小时内作出口口头报告上报报集团公司、、省通信管理理局和当地安安全分中心，，12小时内作出简简要书面报告告，相关事件件处理结束后后3日内作出专题题书面报告重大信息安全全事件当事单位应于于24小时内作出简简要书面报告告，相关事件件处理结束后后3日内作出专题题书面报告。。特别重大信信息安全事件件确认至上报报集团公司不不得超过1小时较大或一般信信息安全事件件信息安全工作作要求公司有义务维维护国家安全全、社会稳定定和用户的合合法权益；应应在网络建设设、业务提供供、应急处置置、信息报备备、人员培训训等方面建立立健全企业信信息安全制度度，同步建设设与网络、业业务和用户发发展相适应的的信息安全保保障体系和技技术保障手段段；保障必要要的人员和资资金投入。对于公司系统统、网络中保保存的有关用用户资料的信信息，应依法法予以保护，，不得非法出出售或提供给给其他组织和和个人，不得得用于与移动动业务无关的的用途。任何部门、中中心不得向未未取得电信业业务经营许可可证的单位或或个人提供用用于经营性电电信业务的电电信资源、网网络接入和业业务接入，不不得向未备案案非经营性互互联网站提供供网络接入。。相关部门应监监督接入用户户按照约定的的用途使用电电信资源或开开展业务，发发现擅自改变变使用用途的的，及时通知知整改，涉及及违法犯罪的的，及时向有有关部门上报报。定期检查查接入内容，，发现信息安安全问题和隐隐患及时做出出相应处理。。建立并完善事事前防范、事事中阻断、事事后追溯的信信息安全技术术保障体系。。应当建立必必要的技术手手段，加强对对重要资源（（如号码、IP地址、域名等等）的管理，，认真落实接接入责任，建建全信息安全全责任和公共共信息服务内内容日常核查查手段。信息安全责任任管理遵循原原则部门领导、一一岗双责“谁主管，谁谁负责；谁运运营，谁负责责；谁使用，，谁负责；谁谁接入，谁负负责”。分公司各部门门一方面对本本部门信息安安全工作负责责，另一方面面对分公司下下级部门信息息安全工作负负有指导责任任。随着业务的拓拓展，需同步步配套信息安安全管理措施施。统一领导、分分级管理业务拓展到哪哪里，管理覆覆盖到哪里三同步在网络的设计计、建设和运运行过程中，，应做到同步步规划，同步步建设，同步步运行。信息安全责任任追究调查工工作原则（一）应当做到到程序合法、、手续完备、、事实清楚、证证据确确凿、、定性性准确确、处处理恰恰当（二））应当当遵循循实事事求是是、公公平公公正、、有错必必纠、、责罚罚相当当、惩惩教结结合的的原则则；（三））分清清主观观和客客观原原因，，属人人为失失职的需严严肃处处理，，属客客观原原因的的酌情情处理理；信息安安全责责任追追究调调查工工作原原则（四））对直直接责责任人人严肃肃处理理，对对于应应负管管理失职责责任和和领导导失职职责任任的人人员也也需作作出相相应处理，，要让让受处处理者者心服服口服服；（五））对于于特别别重大大信息息安全全责任任事件件必须须严惩惩；（六））处罚罚轻重重与违违规责责任相相适应应；（七））惩前前毖后后，治治病救救人，，通过过对相相关责责任人人做出恰恰当处处理，，起到到警示示的作作用，，以防防止类类似事事件的再再度发发生；；（八））调查查人员员应当当诚信信公正正、恪恪尽职职守，，遵守守调查纪纪律，，保守守调查查秘密密（九））调查查人员员不得得擅自自发布布信息息安全全事件件的相关信信息。。信息安安全责责任追追究对于确确定为为信息息安全全责任任事件件的，，依照照《中国移移动云云南公公司信信息安安全责责任追追究处处罚标标准》，明确确对信信息安安全事事件相相关责责任人人的责责任追追究处处理意意见。。（一））信息息安全全事件件相关关责任任人包包括本本次事事件的的直接接责任任人、、间接接责任人人、主主要管管理责责任人人、次次要管管理责责任人人、主主要领领导责责任人人、分分管领导导责任任人。。（二））直接接责任任人可可为一一线员员工，，也可可为相相关管管理人人员。。信息安安全责责任追追究处处分信息安安全责责任追追究处处分三、警警告一、诫诫勉谈谈话根据云移〔2012〕1256号文件中《中国移动云南公司网络与信息安全事件责任追究管理办法》的规定，信息安全责任追究处分的种类从轻到重依次分为七档。七、