1、網絡信息安全培訓材料提 綱第一部分第二部分學習活動安排知識宣貫學習活動安排學習活動目標學習活動目標 通過全員參與學習宣貫，切實提升全員客戶信息安全保護意識，加強客戶信息安全管理。學習活動范圍學習活動范圍信息系統部全體人員，重點為業務支撐系統后臺維護人員及管理人員；第三方支撐維護人員及管理人員。主要學習內容主要學習內容全國人民代表大會常務委員會關于加強網絡信息保護的決定;信息安全技術公共及商用服務信息系統個人信息保護指南;“五條禁令”及違規判定相關文件；客戶信息安全保護相關文件；第三方安全管理辦法。提 綱第一部分第二部分學習活動安排知識宣貫第二部分 知識宣貫1客戶信息安全保護的重要性信息安全保護

2、意識2第三方信息安全管理43信息安全保護手段客戶信息安全保護的重要性客戶信息的界定客戶信息的界定 凡在我公司掌握的、未在社會公開渠道公布的信息均屬于嚴禁對外泄露或交易的客戶信息內容。包括在業務交互過程中客戶主動提供給我公司的、以及我公司系統自動獲取的客戶信息內容。信息安全信息安全保護信息免受各種威脅確保業務的連續性將信息不安全帶來的損失降低到最小獲得最大的投資回報和商業機會合作伙伴安全風險逐漸增加內部安全威脅不容忽視案例1：某省公司員工盜用積分兌換購物卡，某省公司營業員盜取多個“1390”號碼高價倒賣。案例2：某省聯通公司技術人員利用職務之便，非法為委托人獲取其他公民的聯通手機通話清單和短信清

3、單電信企業客戶信息安全保護風險電信企業客戶信息安全保護風險安全威脅逐漸從網絡層、系統層深入到應用層案例：不法SP利用WAP網關管理和技術漏洞進行業務強行定制。案例：某省公司開發商盜取用戶詳單倒賣給偵探公司，某省公司開發商盜取充值卡在網上出售。客戶信息安全保護的重要性 隨著信息技術的廣泛應用和互聯網的不斷普及，個人信息在社會、經濟活動中的地位日益凸顯，濫用個人信息的現象隨之出現，給社會秩序和個人切身利益帶來了危害。 作為業務支撐系統后臺部門，根據歷史經驗教訓，后臺維護人員的客戶信息安全保護的風險更高，更容易給個人和企業帶來不良影響。 保護網絡信息安全，既是保障公民、法人和其他組織的合法權益，也是

4、維護國家安全、社會公共利益和企業自身的利益。第二部分 知識宣貫1客戶信息安全保護的重要性信息安全保護意識2第三方信息安全管理43信息安全保護手段 （二）嚴禁發送違法信息，或未經客戶同意發送商業廣告信息；（三）嚴禁未經客戶確認擅自為客戶開通或變更業務；（五）嚴禁串通、包庇、縱容渠道或系統合作商泄漏客戶信息、侵吞客戶話費、擅自過戶或銷號、倒賣卡號資源或實施其他侵害客戶權益的行為。“五條禁令五條禁令”是從保障客戶基本權益出發，基于有關法律法規、行業政策以是從保障客戶基本權益出發，基于有關法律法規、行業政策以及公司現行有關規范制度制定的，旨在確保建立公司最基本的客戶服務準則，及公司現行有關規范制度制定

5、的，旨在確保建立公司最基本的客戶服務準則，是是“底線底線”。“五條禁令”（四）嚴禁串通、包庇、縱容增值服務提供商泄漏客戶信息、擅自為客戶開通數據及信息化業務或實施其他侵害客戶權益的行為；（一）嚴禁泄露或交易客戶信息；“五條禁令”業務支撐維護支撐部門重點規避行為業務支撐維護支撐部門重點規避行為不得利用職務之便擅自查詢客戶信息，如因投訴處理、生產經營等需要查詢的，必須有相關的審批記錄和操作日志。不得擅自對外提供客戶信息。不得違反省公司業務規范為客戶查詢信息。在協助客戶查詢信息時，不得利用職務之便查詢超出客戶查詢要求或查詢權限的其他信息。 “五條禁令”在協助集團客戶查詢集團屬性相關信息時，不得協助查

6、詢集團內個人客戶付費業務或個人屬性業務的相關信息（包括個人客戶詳單等通信信息）必須嚴格按照禁令規定，向有關司法機關及政府、消協等提供相關信息時，不得提供超出查詢要求的信息，且必須保留相關查詢憑證和操作記錄。必須嚴格按照數據部及集團客戶部下發的SP及SI合作管理辦法，與合作伙伴簽訂保密協議或由保密條款約定，且必須明確提供客戶信息的內容、范圍及用途，不得提供超出合同內容的客戶信息；不得在未取得客戶確認的情況下，提供客戶信息供合作伙伴開展商業活動；不得提供未經信息安全防護的客戶信息文檔。“五條禁令”違規行為p違反上述禁令的員工予以辭退；p違反禁令造成嚴重后果的員工予以開除；p違反禁令涉嫌犯罪的員工依

7、法移送司法機關；p指使他人違反禁令的領導人員、管理者將視同直接違反禁令予以處理；p對違禁行為隱瞞不報、壓案不查、包庇袒護的，從嚴追究有關領導責任，予以紀律處分，直至撤職。全國人民代表大會常務委員會關于加強網絡信息保護的決定網絡服務提供者和其他企業事業單位在收集、使用公民個人電子信息時應當遵循的規則、保密條例和必須采取的必要措施。網絡服務提供者在發布、傳輸信息時必須遵循的規則和法規。竊取或者以其他非法方式獲取、出售公民個人電子信息行為屬違法犯罪行為。任何人都有舉報、控告和配合相關主管部門工作的義務，被侵權人可以依法提起訴訟。對有違反本決定行為的，從法律角度給予了明確的規定，包括依法給予警告、罰款

8、、沒收違法所得、吊銷許可證或者取消備案、關閉網站、禁止有關責任人員從事網絡服務業務等處罰，記入社會信用檔案并予以公布；構成違反治安管理行為的，依法給予治安管理處罰。構成犯罪的，依法追究刑事責任。侵害他人民事權益的，依法承擔民事責任。 為了保護網絡信息安全，保障公民、法人和其他組織的合法權益，維護國為了保護網絡信息安全，保障公民、法人和其他組織的合法權益，維護國家安全和社會公共利益家安全和社會公共利益信息安全技術信息安全技術 公共及商用服務信息系統個人信息保護指南公共及商用服務信息系統個人信息保護指南 本指導性技術文件規范了全部或部分通過信息系統進行個人信息處理的過本指導性技術文件規范了全部或部

9、分通過信息系統進行個人信息處理的過程，為信息系統中個人信處理不同階段的個人信息保護提供指導。程，為信息系統中個人信處理不同階段的個人信息保護提供指導。 個人信息管理者和使用者的職責個人信息管理者和使用者的職責規劃、設計和建立信息系統個人信息處理流程；制定個人信息管理制度、落實個人信息管理責任、指定專人專職。接受個人信息主體的投訴與質詢；進行個人信息保護的教育培訓活動；建立個人信息保護的內控機制，并定期對信息系統個人信息的安全狀況、保護制度及措施的落實情況進行核查。管控信息系統個人信息處理過程中的風險，制定應急預案；發現個人信息泄漏、丟失、篡改事件時及時采取應對措施，并及時告知受影響的主體；發生

10、重大事件的，及時向個人信息保護管理部門通報。 接受個人信息保護管理部門對個人信息保護狀況的檢查、監督和指導，積極參與和配合第三方測評機構對信息系統個人信息保護狀況的測評。 信息安全技術信息安全技術 公共及商用服務信息系統個人信息保護指南公共及商用服務信息系統個人信息保護指南 個人信息管理者在使用信息系統對個人信息進行處理時，宜遵循以下個人信息管理者在使用信息系統對個人信息進行處理時，宜遵循以下基本原則：基本原則： 1、目的明確原則處理個人信息具有特定、明確、合理的目的，不擴大使用范圍，不在個人信息主體不知情的情況下改變處理個人信息的目的。 2、最少夠用原則只處理與處理目的有關的最少信息，達到處

11、理目的后，在最短時間內刪除個人信息。 3、公開告知原則對個人信息主體要盡到告知、說明和警示的義務。以明確、易懂和適宜的方式如實向個人信息主體告知處理個人信息的目的、個人信息的收集和使用范圍、個人信息保護措施等信息。 4、個人同意原則處理個人信息前要征得個人信息主體的同意。 信息安全技術信息安全技術 公共及商用服務信息系統個人信息保護指南公共及商用服務信息系統個人信息保護指南 5、質量保證原則保證處理過程中的個人信息保密、完整、可用，并處于最新狀態。 6、安全保障原則采取適當的、與個人信息遭受損害的可能性和嚴重性相適應的管理措施和技術手段，保護個人信息安全，防止未經個人信息管理者授權的檢索、披露

12、及丟失、泄露、損毀和篡改個人信息。 7、誠信履行原則按照收集時的承諾，或基于法定事由處理個人信息，在達到既定目的后不再繼續處理個人信息。 8、責任明確原則明確個人信息處理過程中的責任，采取相應的措施落實相關責任，并對個人信息處理過程進行記錄以便于追溯。第二部分 知識宣貫1客戶信息安全保護的重要性信息安全保護意識2第三方信息安全管理43信息安全保護手段金庫模式金庫模式“金庫模式”也稱為“雙人操作”或“多人操作”模式，指對于涉及到公司高價值信息的高風險操作，強制要求必須由兩人或以上有相應權限的員工共同協作完成操作，防止部分擁有高權限賬號的操作人員濫用權限違規獲取、篡改相關信息，通過相互監督、利益制

13、約確保高風險操作和高價值信息的安全性。金庫模式的實施應遵循如下基本原則： A、聚焦關鍵系統、聚焦高風險操作、聚焦高價值信息；B、敏感操作，多人完成，分權制衡；C、授權不操作，操作不授權。金庫模式實施的重點系統：CRM系統、ESOP系統、VGOP系統、主機、數據庫等。個人層面個人層面上傳上傳下載下載通訊通訊互聯互聯瀏覽瀏覽查詢查詢病毒木馬傳播身份偽造機密泄漏網絡欺詐網頁病毒攻擊敏感信息泄漏文件文件共享共享病毒木馬傳播信息泄露電子電子商務商務身份偽造網絡欺詐賬號失竊病毒木馬傳播Bot擴散信息泄漏保護客戶信息安全及其合法權益是安徽公司應承擔的企業社會責任，安保護客戶信息安全及其合法權益是安徽公司應承

14、擔的企業社會責任，安徽公司的各級員工應嚴格遵守徽公司的各級員工應嚴格遵守“五條禁令五條禁令”的相關要求，保護客戶信息的相關要求，保護客戶信息安全，嚴禁泄露、交易和濫用客戶信息。但在日常工作中存在著各種信安全，嚴禁泄露、交易和濫用客戶信息。但在日常工作中存在著各種信息泄露和丟失的風險。息泄露和丟失的風險。日常防范嚴格按照規定設置您的辦公終端（包括高強度密碼、安裝公司認可的防病毒軟件、接入boss域的機器禁止接入雙網卡）。同時注意定期掃描安全漏洞升級系統、定期查殺病毒等；清空桌子上的紙張、可移動儲存介體及清除屏幕，特別注意個人暫時離開工作現場時一定要進行鎖屏操作，以減少在規定工作時間外非法進入、丟

15、失及損壞信息的風險；嚴格控制外來盤使用，重要文件經常備份；由于筆記本電腦的特殊性，筆記本電腦的使用者應當特別當心自己的電腦被偷盜和拿走，在公共區域使用筆記本電腦后，應該及時鎖定或放置到安全的區域，注意在使用辦公電腦進行信息共享時是否有泄露信息的風險。注意防范不明用戶發來的email附件，這些附件可能隱藏了病毒、郵件炸彈和木馬程序。工作中采取必要的防范措施嚴格遵守“五條禁令”的相關內容，樹立高度的客戶信息安全保護意識；對于工作中接觸到的客戶信息嚴格保密，謹慎保管。對任何可能危害客戶信息安全的行為，應及時制止，并向公司上級領導或安全員舉報；規范使用4A系統訪問各類敏感數據，配合安全審計工作。第二部分 知識宣貫1客戶信息安全保護的重要性信息安全保護意識2第三方信息安全管理43信息安全保護手段第三方信息安全管理對第三方公司的信息安全管理應遵循如下原則：對第三方公司的信息安全管理應遵循如下原則： “誰主管誰負責、誰運誰主管誰負責、誰運營誰負責、誰使用誰負責、誰接入誰負責營誰負責、誰使用誰負責、誰接入誰負責”的原則。的原則。第三方公司必須與安徽公司簽訂保密協議，在協議中明確