| 序号 | 检查内容 | 检查方法和实施细则建议 | 检查标准 |
| 1 | 用户信息安全规章制度文件 | 检查省、市公司相关制度文件,并列示。如: 1、用户个人信息保护管理规章制度; 2、用户纸质资料安全管理规章制度; 3、业务、网络、IT、安全保卫等部门针对本部门的用户个人信息安全管理规章细则; 4、与业务合作伙伴等的安全责任制; 5、用户信息安全应急管理等。 | 检查是否有相应的文件,并留存文件,达标评定: 1、制度文件全部有为“达标”,缺一项为“不达标”。 2、如果只是简单转发集团发文,算达标,但需要备注“简单转发” 3、统计相应文件数量及规章制度数量,填写数据列 |
| 2 | 信息安全管理组织体系 | 1、有组织保障体系,明确用户个人信息的归口管理部门、专业管理部门、具体实施部门和支撑部门的责任分工; 2、成立用户信息安全领导小组或成立工作小组,明确相关人员及职责; 3、小组相关成员工作联系人及时更新情况。 | 检查是否有相应的文件或定期沟通机制,并留存文件,达标评定: 1、三项全部有为“达标”,缺一项为“不达标”。 2、询问小组相关成员,工作小组日常沟通运营情况,并记录在备注 |
| 3 | 用户信息安全开展检查 | 1、定期检查:每年至少进行1-2次安全检查,并有检查、整改记录; 2、临时检查(省公司组织):每年至少一次开展全省范围内的用户信息安全执行情况检查; 3、专项检查:针对信息安全管理薄弱环节开展专项检查; 4、随机抽查:每月一次随即抽查相关记录。 | 查阅相关检查记录,达标评定: 1、2015年、2016年省公司下发文件要求地市分公司开展自查或检查,并通报检查结果情况;地市公司有自查或检查记录报告,齐全为“达标”,缺一项“不达标”。 2、请在备注中省公司年度检查开展次数 |
| 4 | 岗位职责描述及保密协议 | 1、检查内部所有涉及用户个人信息的员工岗位描述,其中是否明确包含员工对用户个人信息保护职责。 2、与营业人员、10000客服代表、代理商、客户经理等相关人员签定用户个人信息保密协议。 | 检查是否有相应文件、访谈员工是否签保密协议情况,达标评定: 1、两项都满足为“达标”,其中一项不满足,为“不达标” |
| 5 | 用户资料存档、借阅及提取或统计是否符合制度要求 | 1、有相应的管理规章制度,有专人、设定专区对用户纸质资料统一归档保存; 2、统一保存地点要悬挂《用户资料存档与借阅规章制度》; 3、部门的各类营销批量数据必须有管理流程和责任人,做好台帐。 | 1、检查批量数据提取的IT固化审核记录; 2、内部传送客户信息时,是否经过审批,并对信息加密后通过安全的方式进行传递 |
| 6 | 业务合作伙伴管理 | 1、与业务合作伙伴(包括增值业务合作类、新业务推广类)或合作厂家是否签定用户个人信息保护安全协议或保密责任条款,重点检查业务合作协议及与内部责任人的保密协议或保密条款。 2、检查合作厂家接触我方平台时是否执行相关审批制度,并留存了相应记录。 | 检查是否有相应的文件,并留存文件,达标评定: 1、全部满足有为“达标”,缺一项为“不达标”。 2、检查IT审批固化流程,统计填写2016年合作厂家一共接触电信多少个平台,审批次数等数据 |
| 7 | 系统安全管理 | 检查CRM、ODS、代理商、网厅相关系统,是否具备访问控制、口令管理、账号审计、操作记录、用户信息脱敏展示等功能,对涉及高价值信息的高风险操作,具备“银行模式”的双人操作功能等,具备符合标准要求的系统安全防护措施。 | 登录系统检查记录,达标评定: 1、省里汇报对于这些系统采取了啥安全措施, 2、现场检查CRM系统访问控制、口令管理等; 3、全部满足为达标,其中一项不满足为不达标 |
| 8 | 网络平台用户信息安全管理 | 对网络平台用户信息安全管理要建立信息安全操作、信息安全隔离、信息安全保密管理等措施。具备符合标准要求的系统安全防护措施。 | 1、以集团文件为蓝本,查看省内规章制度相关要求 2、检查系统检查记录,规章制度落实 3、全部满足为达标,其中一项不满足为不达标 |
| 9 | 业务平台用户信息安全管理 | 对业务平台用户信息安全管理要建立信息安全操作、信息安全隔离、信息安全保密管理等措施。具备符合标准要求的系统安全防护措施。 | 1、以汇报形式检查,记录到底多少个平台、用户多少?收入多少?如何管理? 2、在备注中记录省内业务平台数量 |