2013年楚雄移动分公司信息安全管理培训,中国移动通信集团云南有限公司楚雄分公司,培训提纲,培训背景,加强网络信息保护的决定,信息安全技术,2,公司相关规定,背景-信息安全管理工作的重要性,2012年12月28日，全国人民代表大会常务委员会审议通过了关于加强网络信息保护的决定（以下简称决定）。国家标准信息安全技术公共及商用服务信息系统个人信息保护指南（以下简称指南）并于2013年2月1日起正式实施。决定、指南主要涉及个人电子信息保护、网络服务用户实名制和垃圾电子信息治理等领域，与公司业务发展和信息安全工作密切相关，在为公司工作提供法律依据的同时，也明确了运营商的义务和责任，对公司提出了更高要求。 为了更好地宣传贯彻决定、指南精神，全面落实相关要求，切实提高全员信息安全意识，创造“经营依法、决策问法”的浓厚氛围，保证公司依法合规运营，根据网通【2013】33号关于认真组织学习关于加强网络信息保护的决定等法律和国家标准的通知开展学习贯彻活动。,培训提纲,培训背景,加强网络信息保护的决定,信息安全技术,4,公司相关规定,关于加强网络信息保护的决定,一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。 二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。,关于加强网络信息保护的决定,三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。 四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。,关于加强网络信息保护的决定,五、网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。 六、网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。,关于加强网络信息保护的决定,七、任何组织和个人未经电子信息接收者同意或者请求，或者电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。 十一、对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。,培训提纲,培训背景,加强网络信息保护的决定,信息安全技术,9,公司相关规定,信息安全技术 公共及商用服务信息系统个人信息保护指南,公共及商用服务信息系统个人信息保护指南为我国国家标准化指导性技术文件，本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程，为信息系统中个人信息处理不同阶段的个人信息保护提供指导。 本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构，如电信、金融、医疗等领域的服务机构，开展信息系统中的个人信息保护工作。,指一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。,个人敏感信息,指除个人敏感信息以外的个人信息。,个人一般信息,处置个人信息的行为，包括收集、加工、转移、删除。,个人信息处理,信息安全技术公共及商用服务信息系统个人信息保护指南,个人信息保护概述：,角色：信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,个人信息管理者在使用信息系统对个人信息进行处理时遵循以下原则,目的明确原则,最少够用原则,公开告知原则,个人同意原则,质量保证原则,诚信履行原则,责任明确原则,信息安全技术公共及商用服务信息系统个人信息保护指南,信息系统中个人信息的处理过程：,采用个人信息主体易知悉的方式，向个人信息主体明确告知和警示收集信息的用途、使用范围等，需获得个人信息主体的同意(包括默许同意和明示同意)方可按最少信息原则收集。,不违背收集阶段已告知的使用目的，采用已告知的方法和手段，在告知的范围内对个人信息进行加工，保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知,在不违背收集阶段告知的转移目的及范围内，评估接收方是否能够按指导要求处理个人信息，通过合同明确个人信息保护责任后，方可向其他组织和机构转移个人信息,当个人信息主体提出正当理由、收集阶段使用目的达到或超出告知的留存期限、信息管理者破产或解散导致无法完成承诺的处理目的时应及时删除，仅当删除可能会影响执法机构调查取证时，采取适当的存储和屏蔽措施。,培训提纲,培训背景,加强网络信息保护的决定,信息安全技术,13,公司相关规定,云南移动客户信息安全定义,什么是客户信息安全？,客户信息安全指公司所服务的客户在公司系统、互联网站等登记的个人信息，包括：,个人基本资料，如姓名、年龄、性别、生日、党派、职业、学历、家庭成员、身份证号码等,个人联系方式，如手机号码、固定电话、电子邮箱、通信地址等,客户服务密码、通话清单、位置信息等,客户依法使用电信的自由和通信秘密受法律保护，任何单位或个人，乃至公司内部职工，不得擅自向他人提供客户使用的电信网络所传输信息的内容，法律另有规定的除外。,前台客户信息安全管理规范,后台客户信息安全管理规范,第三方合作伙伴信息安全管理规范,1、任何接入我公司BOSS系统的第三方合作伙伴（包括但不限于社会渠道网点、第三方外呼渠道等）均不允许分配任何免身份认证特权。 2、凡涉及接触我公司客户信息的第三方合作伙伴，必须遵照我公司客户信息安全管理规定，严禁擅自提取、泄露我公司客户信息资料或将我公司客户资料信息提供给其他人员或公司。 3、第三方合作伙伴在与其他公司开展合作的过程中，如需使用到我公司客户信息，必须向我公司申请，在取得我公司同意的情况下才能进行。 4、第三方合作伙伴不允许向与其有订购关系以外的我公司客户发送信息，且针对订购客户不允许发送与客户订购业务无关的信息内容，如需向客户发送相关其他信息的，必须向我公司提出申请，经省公司市场部审核后才能进行发送。 5、与第三方合作伙伴签订客户信息安全保密协议，协议中应明确对第三方的管理要求，和违反规定后的处罚、赔付条款。 6、在与第三方开展合作过程中，对向第三方提供的客户数据必须取得公司副总以上领导的审批同意，且只能提供与合作项目相关必要的信息，无关信息一律不允许提供，审慎提供涉及客户敏感信息的数据。 7、加强对第三方合作伙伴的监管，定期开展对第三方合作伙伴的审查，对于审查中发现有违规行为的，要立即组织开展追查，一经查实，按合作协议规定进行具体的处罚，必要时，解除合作关系。,信息安全事件分类,信息安全事件分级,当事单位应于10分钟内通知省公司信息安全对口管理部门，1小时内作出口头报告上报集团公司、省通信管理局和当地安全分中心，12小时内作出简要书面报告，相关事件处理结束后3日内作出专题书面报告,信息安全事件上报机制,特别重大信息安全事件,当事单位应于10分钟内通知省公司信息安全对口管理部门，2小时内作出口头报告上报集团公司、省通信管理局和当地安全分中心，12小时内作出简要书面报告，相关事件处理结束后3日内作出专题书面报告,重大信息安全事件,当事单位应于24小时内作出简要书面报告，相关事件处理结束后3日内作出专题书面报告。特别重大信息安全事件确认至上报集团公司不得超过1小时,较大或一般信息安全事件,信息安全工作要求,公司有义务维护国家安全、社会稳定和用户的合法权益；应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信息安全制度，同步建设与网络、业务和用户发展相适应的信息安全保障体系和技术保障手段；保障必要的人员和资金投入。,对于公司系统、网络中保存的有关用户资料的信息，应依法予以保护，不得非法出售或提供给其他组织和个人，不得用于与移动业务无关的用途。,任何部门、中心不得向未取得电信业务经营许可证的单位或个人提供用于经营性电信业务的电信资源、网络接入和业务接入，不得向未备案非经营性互联网站提供网络接入。,相关部门应监督接入用户按照约定的用途使用电信资源或开展业务，发现擅自改变使用用途的，及时通知整改，涉及违法犯罪的，及时向有关部门上报。定期检查接入内容，发现信息安全问题和隐患及时做出相应处理。,建立并完善事前防范、事中阻断、事后追溯的信息安全技术保障体系。应当建立必要的技术手段，加强对重要资源（如号码、IP地址、域名等）的管理，认真落实接入责任，建全信息安全责任和公共信息服务内容日常核查手段。,信息安全责任管理遵循原则,部门领导、一岗双责,“谁主管，谁负责；谁运营，谁负责；谁使用，谁负责；谁接入，谁负责”。,分公司各部门一方面对本部门信息安全工作负责，另一方面对分公司下级部门信息安全工作负有指导责任。,随着业务的拓展，需同步配套信息安全管理措施。,统一领导、分级管理,业务拓展到哪里，管理覆盖到哪里,三同步,在网络的设计、建设和运行过程中，应做到同步规划，同步建设，同步运行。,信息安全责任追究调查工作原则,（一）应当做到程序合法、手续完备、事实清 楚、证据确凿、定性准确、处理恰当,（二）应当遵循实事求是、公平公正、 有错必纠、责罚相当、惩教结合的原则；,（三）分清主观和客观原因，属人为失职 的需严肃处理，属客观原因的酌情处理；,信息安全责任追究调查工作原则,（四）对直接责任人严肃处理，对于应负管理 失职责任和领导失职责任的人员也需作出相应 处理，要让受处理者心服口服；,（五）对于特别重大信息安全责任事件必须严惩；,（六）处罚轻重与违规责任相适应；,（七）惩前毖后，治病救人，通过对相关责任人 做出恰当处理，起到警示的作用，以防止类似事 件的再度发生；,（八）调查人员应当诚信公正、恪尽职守，遵守 调查纪律，保守调查秘密,（九）调查人员不得擅自发布信息安全事件的 相关信息。,信息安全责任追究,对于确定为信息安全责任事件的，依照中国移动云南公司信息安全责任追究处罚标准，明确对信息安全事件相关责任人的责任追究处理意见。,（一）信息安全事件相关责任人包括本次事件的直接责任人、间接 责任人、主要管理责任人、次要管理责任人、主要领导责任人、分 管领导责任人。,（二）直接责任人可为一线员工，也可为相关管理人员。,信息安全责任追究处分,信息安全责任追究处分,三、警告,一、诫勉谈话,七、开除,Text,二、扣罚绩效奖金,五、降职（降级）,六、留用察看,四、记过,信息安全责任追究处分执行细则,信息安全责任追究处分执行细则,在信息安全责任追究调查过程中，对于发生以下情况的有关人员，视情节严重程度，应参照信息安全责任追究处罚标准予以追责。,信息安全培训下一步工作要求,感谢大家的聆听，由于信息安全相关政策制度及管理办法内容较多，在此无法进行全部内容的详细阐述，请各县（市）公司认真组织学习，确保信息安全工作严格按照公司相关规定开展。,演讲完毕，谢谢观看！,