中国移动通信集团设计院有限公司数据安全管理实施细则（2022版本）.docx

1、中国移动通信集团设计院有限公司数据安全管理实施细则（暂行）第一章 总则为加强中国移动通信集团设计院有限公司（以下简称我院）数据安全管理，维护国家安全、社会公共利益，保护用户合法权益，保障我院数据资产安全及数据业务健康发展，根据中国移动数据安全管理办法（试行），制定本细则。我院通过网络开展数据收集、传输、存储、使用、共享、销毁等数据活动（以下简称数据活动），以及数据安全的保护和监督管理，适用本细则。本细则适用于我院各大区、各分院、各部门、各直属单位、监理公司、各计划单列分院（以下简称各单位）。第二章 安全原则数据安全管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。以上述方针为指引，

2、各单位对数据的管理应遵循如下实施原则：（一）主体责任明确原则：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则，明确责任分工，各单位应对其持有的数据承担安全责任，无论这些数据通过何种途径获得。（二）分类分级管控原则：对数据进行分类分级，根据类别属性、重要及敏感程度等差异性，采取适当的、与数据安全风险相适应的管理措施和技术手段，保障数据安全。（三）安全三同步原则：在承载数据的相关平台系统的设计、建设和运行过程中，应做到数据安全保护措施的同步规划、同步建设、同步运行。（四）用户知情同意原则：收集、使用客户信息时，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用

3、信息的目的、方式和范围，并经客户信息主体同意。（五）最少够用原则：在数据的收集、传输、存储、使用、共享等各环节，在满足管理要求的前提下，所使用的数据类型及数据规模仅限定为业务开展所必须的范围。（六）敏感数据不出网原则：除获得明确授权外，客户信息等敏感数据不得开放给他人或第三方企业，未经脱敏处理的敏感数据不可离开中国移动网络与计算环境。（七）安全与发展并重原则：坚持保障数据安全与发展并重，鼓励在合法合规、安全可信的条件下积极推进数据资源的开发利用。（八）安全评估原则：在数据活动中，应评估参与各方是否具备与所面临的安全风险相匹配的安全能力，采取足够的技术手段与管理措施确保数据的保密性、完整性、可用

4、性，不得泄露、篡改、损毁。（九）可追溯原则：对于敏感数据操作的日志应完整准确记录，确保所有操作可追溯到具体的操作人和操作依据，杜绝擅自篡改、删除记录等违规行为。第三章 职责分工院IT管理部（院网络安全领导小组办公室）归口管理我院数据安全管理工作，负责落实集团相关要求，发挥“桌面”作用，统筹协调我院数据安全整体工作，制定本单位数据安全工作制度框架，履行数据安全监督责任。督促各业务线条归口管理部门履行数据安全管理责任，落实数据操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据容灾备份等数据安全保护措施。我院基于IT系统进行运营的各业务线条归口管理部门，包括技术部、生产计划部、IT

5、管理部、网研中心等，发挥“桌腿”作用，负责牵头组织本业务线条数据安全管理工作，履行数据安全管理责任，制定数据安全管理流程，并明确专人归口管理数据安全工作，落实本业务线条数据操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据容灾备份等数据安全保护措施各单位，履行运营业务数据安全主体责任，执行数据安全管理要求，落实数据安全保护措施。院IT管理部组织开展的年度网络安全培训应包含数据安全教育培训内容，包括但不限于数据安全管理与用户个人信息保护相关法律法规、标准制度、安全责任、知识技能等。各业务线条归口管理部门应参加培训，并在本业务线条内进行宣贯。第四章 数据安全基础管理第一节 分类分

6、级本细则所涉及的数据指我院运营过程中通过网络收集、存储、传输、处理和产生的各种电子数据，包括客户信息（含个人客户信息、集团客户信息）、网络运维数据、业务支撑数据、业务平台数据、运营管理数据，生产过程中获取的用于网络规划、设计、优化、研发和新业务相关的原始数据和衍生数据等。其中客户信息的详细内容见附件一。各业务线条归口管理部门应逐步建立数据保护清单，依据数据重要性和敏感程度，以及发生数据安全事件后可能造成的危害，稳步实施数据资源清单式管理。针对大数据分析和挖掘等方式得到的衍生数据，需列入数据保护清单一并进行保护。各业务线条归口管理部门应结合内部数据类型特点、业务运营需求等，明确数据分类分级策略，

7、明确关键数据保护范围，细化实施细则，实施数据分级管理及差异化安全技术管控。其中客户信息的分级及管控原则见附录二。第二节 账号与权限管理? 各业务线条归口管理部门加强账号权限管理，各单位应遵循“权限明确、职责分离、最小特权”的原则明确岗位角色和权限的匹配规则，建立所管辖系统的账号权限申请审批流程，指定专人作为管理员，按照权限最小化原则、依据人员岗位角色进行账号授权。账号与人员应保持一一对应。严格限制系统超级账号的授权。前台操作角色与后台操作角色职责分离。账号权限管理操作角色与具有业务操作权限的角色职责分离。各业务线条归口管理部门应定期组织系统账号使用情况的审核，确认系统中用户身份的有效性、账号创

8、建的合法性、权限的合理性，对离职人员账号及时停止授权，对存在的问题提出整改要求。各业务线条归口管理部门应严格控制涉及客户敏感信息操作人员（简称涉敏人员）的范围，应建立涉敏人员名单库，将所有涉敏人员进行集中化管理。对涉敏人员库进行严格管控和动态维护，对发生离职、岗位变化等人员的权限进行及时调整，停止涉敏相关授权。第三节 第三方管理? 第三方是指与我院在业务上具有合作关系，或是向我院提供服务的自然人、法人或其他组织。各业务线条归口管理部门应加强对第三方人员的管理，明确其安全责任,推动第三方数开展安全风险意识教育和培训；加强对第三方人员账号管理，岗位职责与账号权限满足最小化要求；加强对第三方人员参与

9、的收集系统接口调试、敏感数据脱敏、敏感数据销毁等关键环节管控；加强第三方人员工作区域、工作终端管理。原则上禁止对第三方人员分配包含涉敏数据的系统管理员账号及其他涉敏权限账号，如因系统割接、故障抢修、应急处置等活动确需第三方人员操作敏感数据的，应临时授权并严格监控，留存授权审批记录，工作完成后及时收回权限。第四节 数据安全评估 各业务线条归口管理部门，应参照我院业务安全评估管理办法，定期及在数据安全管理环境发生重大变更时，对数据安全管理情况开展合规性评估。应开展数据安全评估的情况包括：（一）数据安全相关法律法规发生变化时；（二）涉及客户信息等关键数据的新业务上线前；（三）向第三方提供客户信息等关

10、键数据前； （四）因业务终止等涉及数据的承接、转移及销毁时；（五）其他数据安全管理环境重大变更的情况。进行数据安全定期评估时，应从机构人员、基本制度、技术能力、重点环节等方面进行评估，评估内容应覆盖数据安全风险情况、数据收集使用合规情况、数据安全保障措施完善程度、合作方数据安全保护水平等。在数据安全管理环境发生重大变更时，应评估现有保障措施是否有效，是否需进行调整、完善，以确保数据安全。各业务线条归口管理部门应对评估结果进行总结，生成评估报告并向数据安全归口管理部门报备，对发现的问题及时进行整改，防范数据泄露风险。第五节 安全监督检查 各业务线条归口管理部门应建立完善数据安全日常监测巡查制度，

11、明确日常监测巡查的策略、方法、流程等。应根据“职责不相容”原则向审核员分配独立权限，定期开展内部数据安全风险监测巡查和所负责维护的系统的常规性安全检测，对操作日志开展安全审计，及时发现异常情况，消除安全隐患。各业务线条归口管理部门应定期对本单位数据安全管理情况和落实效果进行监督检查，重点针对客户信息保护、数据全生命周期安全管理及App等应用服务的隐私政策进行检查，并及时督促问题整改。第六节 数据出境管理 我院在运营中收集和产生的重要数据、客户信息，原则上应在境内存储，因业务需要，确需向境外提供的（以下简称数据出境），应当按照国家有关部门制定的办法进行安全评估。并在数据出境前与接收方签订合同或者

12、其他有法律效力的文件（以下称合同），并在合同中明确保障出境数据安全的内容。如涉及客户信息出境，应明确告知用户。第五章 数据全生命周期安全管理第一节 数据收集 各单位应加强线上、线下等数据收集环节管控，通过配备技术手段、签署保密协议等措施，加强对数据收集人员、设备的管控，保障收集数据安全。通过第三方等其他途径获得的敏感数据，与直接收集的敏感数据负有同等的保护责任和义务。 收集使用客户信息时，应当制定并公开收集使用规则，收集使用规则应明确具体、简单通俗、易于访问。且仅当用户知悉收集使用规则并明确同意后，方可收集客户信息，同时向用户提供查询、更正、删除等多种参与客户信息处理的渠道，并予以公告。 不得

13、收集其提供服务所必需以外的客户信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。 App收集使用客户信息前，应发布独立性、易读性的隐私政策文本。隐私政策应至少包括以下内容：（一）隐私政策应向客户信息主体明示收集客户信息的目的、方式、范围，并显著标注所收集客户信息类型；（二）明确运营者基本情况、客户信息存储地域、保存期限、超期处理方式以及收集客户信息、使用客户信息的规则；（三）明示客户信息保护措施和能力，用户查询、更正、删除客户信息的途径和方法，用户投诉渠道和反馈机制；（四）隐私政策发布、生效或更新时间；（五）对外共享、转让、

14、公开披露客户信息规则；（六）第三方SDK、Cookies技术等。App所申请的客户信息相关权限不应超出隐私政策中说明的范围。在收集权限时需征得用户自主选择明示同意。当用户同意 App收集某服务类型的最少信息时，App不得因用户拒绝提供最少信息之外的客户信息而拒绝提供该类型服务。App 不得收集与所提供的服务无关的客户信息，不得通过捆绑多项业务功能方式要求用户一次性接受并捆绑授权。第二节 数据传输 各单位应根据业务流程、职责界面等情况，合理划分安全域，并在安全边界上配置相应的访问控制策略及部署安全措施。针对面向互联网域、外部接入域传输等存在潜在安全风险的环境，应对敏感信息的传输进行加密保护，并根

15、据数据敏感级别采用相应的加密手段。采用密钥加密时，应对密钥的生成、分发、验证、更新、存储、备份、有效期、销毁进行管理。第三节 数据存储 各单位应按数据敏感程度做好数据分类管理，对不同安全级别的数据采用差异化安全存储，包括差异化脱敏存储、加密存储、访问控制等。并做好加密算法、脱敏方法的安全性保密。 各单位应制定管理规定对存放敏感信息的电子文件或纸介质进行有效管理，明确存有敏感信息的物理介质（磁阵、硬盘和磁带等）的维护、更换、升级、转移和报废等操作要求，防止敏感信息泄漏。对于要离开系统的物理介质，必须采用有效的手段由专人彻底删除敏感信息后，才可离开其所在的安全区域。各单位应采取有效的技术、管理手段

16、加强对涉及敏感数据的系统使用移动存储介质的管控。应记录移动介质输出敏感数据和文件的详细信息，并定期审核。各单位应根据数据的重要程度，建立相应的数据备份和恢复机制，提供基本的完整性校验机制，保障数据的可用性和完整性。第四节 数据使用 我院使用来源于集团内部的数据时，如果需要我院进行脱敏处理，数据使用部门应根据集团数据安全脱敏规范，建立数据脱敏机制，明确需要进行脱敏处理的数据类型、应用场景、脱敏方法和规则。（一）数据离网脱敏所有离开中国移动网络与计算环境的敏感数据均需要进行脱敏处理，且应采用安全的算法及流程实施脱敏操作，并做好脱敏方法的保密，避免敏感数据被违规还原；且应采用不同批次不同参数等方法，

17、避免敏感数据被沉淀积累。（二）开发测试数据脱敏开发测试环境应与生产环境相分离，开发测试过程使用模拟或样本数据。开发测试需使用生产环境样本数据且包含敏感信息时，应在导出前经过申请审批，同时对涉及到客户敏感数据信息的内容，应使用模糊化处理之后的数据。（三）界面展示等需脱敏对用户敏感信息进行操作终端查询、展现、统计等操作时，如果展示对象不是客户本人，应按照最少够用原则，严格实施模糊化处理，对于未经模糊化处理的，必须纳入金库模式管控。第五节 数据共享数据共享应遵循目的正当、程序合规、最小够用的原则，各业务线条归口管理部门明确内部审批及操作流程，开展数据共享前安全评估，加强数据共享过程管控，防止数据被违

18、规复制、传播、破坏等。数据提供方应依据数据重要性和敏感程度，以及发生数据安全事件后可能造成的危害开展安全评估，并在确认数据接收方对共享数据的保护水平不低于原有数据保护水平后，进行数据共享。数据外部共享前应进行合同约定，明确规定各方数据保护责任，确立共享过程中的数据保护制度和安全措施，建立相应的数据共享审批机制，实施数据脱敏、操作审计、加密传输等技术管控措施，从管理及技术上双重保障共享数据安全。第六节 数据销毁 各业务归口管理部门应根据集团数据销毁技术防护要求，结合本单位实际情况，建立数据销毁策略，明确销毁场景、销毁对象、要求及流程，确保销毁信息不可被还原，并做好效果验证。针对逻辑销毁操作，需要

19、为不同数据的存储方式制定相异的逻辑销毁方法，并确保数据的多个副本被同时销毁；针对物理销毁操作，应对销毁后的物理存储介质进行登记、审批、交接。严禁非法挪用存储介质，避免数据被违规留存或还原。第六章 数据安全技术管控?第一节 系统安全防护 各业务归口管理部门应针对各安全域采取域间隔离等措施，加强数据相关设备、网络及数据自身安全防护，并进行安全评估和审核，建立管理闭环。 各单位应采用访问控制、视频监控、接入鉴权等技术手段，加强对涉及收集、存储敏感数据的物理区域（如机房、维护中心）的安全防护，开展安全风险评估，配置安全基线。对进出的人员、目的、操作进行详细记录，外来人员进入该区域应由本公司对口的维护人

20、员全程陪同。在设备退网时，各单位应对退网设备进行数据清理并及时下线。第二节 远程接入管控原则上远程接入账号只能授予内部员工；如第三方因特殊情况需要通过远程登录访问系统，可根据系统主管授权，临时开通远程登录功能，并对远程登录操作进行监控（或事后及时审阅相应的操作日志记录）。远程登录必须进行集中认证、授权和审核，应遵循权限最小化原则，开放用户能访问的系统及权限。应对远程接入用户的登陆过程、操作行为进行记录（包括但不限于以下信息：用户名、操作内容、登陆方式、登入时间、登出时间）。通过远程接入方式进入公司网络的用户，原则上应严格限制其接触客户信息等关键数据。因业务需要确需远程访问关键数据的，应确保通过

21、安全、可信的VPN等加密通道进行访问。第三节 敏感数据防泄漏? 各单位应加强对数据泄露事件的监控，对监控到的批量传输敏感数据的行为进行预警，及时发现可能存在的漏洞并进行整改，从技术手段上进行限制，强化数据安全闭环管理。因工作需要从支撑系统、业务平台或通信系统中提取的文件包含敏感数据时，应从技术手段上防止其被泄漏。可采用的技术手段包括文件内容加密、数字水印、数字签名、文件打开次数限制、文件修改权限限制、文件打开终端限制等。对处理敏感数据的终端，应制定统一的终端安全管理措施。管理措施包括但不限于统一的接入控制、统一的安全策略实施、统一安装病毒防护软件、定期进行漏洞扫描防护、对能输出数据的对外接口进

22、行限制等。第四节 日志管理与审核?各单位应对数据收集、使用、共享、销毁等环节的操作日志进行留存。日志记录信息应包括执行时间、操作账号、处理方式、授权情况、登录信息等，并确保日志记录完整、准确。操作日志的保存时间应满足国家相关法律法规要求。 各业务线条归口管理部门，如所主管的业务系统日常运营中涉及敏感数据，应指定专门的日志审核人员来设计审核策略、并进行人工审核，审核人员与日志系统的管理人员应相互独立，审核人员不能具有修改日志平台数据的权限。 日常运营中涉及敏感数据的业务归口管理部门，需完成所辖系统审核策略的制定，明确审核对象、审核频度、审核方法。针对涉及客户信息等关键数据的日志，审核人员应定期开

23、展审核，及时发现和处置异常情况，消除安全隐患。若发现重大安全隐患或违规行为，应向管理层汇报。 日志审核人员应对需审核的所有日志（包括前台应用和后台指令集）按关键命令、关键账号、关键参数进行审核。第七章 问责与处罚责任人员因数据安全工作存在落实不到位、疏于管理、失职等违规行为，造成数据泄露，产生不良影响的，我院将坚持“严格要求、实事求是”，“权责一致、惩教结合”，“分级负责、依法有序”的原则，依照我院网络安全工作考核问责办法实施细则及中国移动通信集团有限公司员工违纪违规处分条例进行严肃问责。责任人员在受到问责的同时，涉嫌违法犯罪的，移送司法机关依法处理。对与我院有合作关系的组织或个人，若违反国家的法律、法规和我院相关规章制度，导致数据安全事件发生，造成不良影响的，有关单位应依据合同和相关要求对其进行处罚，涉嫌犯罪的，依法移交司法机关处理。第八章 附则 本细则由院IT管理部负责解释。本细则自印发之日起施行。