第八条 根据权限使用数据。数据的使用者只能使用其权限范围内的数据。 任何人不能使用未被授权的数据。
第九条 及时备份数据。数据使用者应注意及时进行数据备份，以防止数据
的丢失和被破坏。对于特殊、重要的数据，系统应建立备份与灾难恢复系统，随时自
动进行数据的备份。
13
2.2 数据安全相关规范
【第三章】
数据安全管理的原则
8
1. 2数.1 数据据认安全识管理对象
敏感数据：
现阶段特指客户方强调的客户数据，具体内容包括： 与客户相关的 1、联系电话； 2、详细地址（区、镇以后的详细地址）； 3、身份证号码； 4、邮箱、MSN、QQ号等； 以上及其他任一联系方式。
9
2.2 数据安全相关规范
数据安全管理规范
【总则】 【安全规范】 【处理流程】 【处罚规范】
10
2.2 数据安全相关规范
【总则】
第一条 客户数据是重要的信息资源。客户数据的丢失、泄露必将给带来不 同程度的各种损失。为了保障客户服务中心数据安全，根据有关法规，特制定本规 范。
第二条 数据安全管理规范的目的，是为了防止客户服务中心数据的丢失、泄 露与被破坏以及非法生成、变更，确保数据的保密性。
第三条 客户数据保密性是指在数据的采集、传输、处理、存储、提供等过程 中通过各种技术手段和完善的规章制度，使数据不丢失、不被破坏，未经授权不被 访问，保证数据的安全。
第四条 数据管理部对于关联业务公司数据类业务的操作规范进行审核。
11
2.2 数据安全相关规范
【第二章】
数据安全管理的范围
第五条 客户服务中心数据安全管理对象为：所有利用计算机和计算机网络 进行输入、存储、传输、处理、再加工和输出的包含有客户信息类数据。包括：文 字材料、数据报表、各类原始凭证、图形图象等输入处理对象，计算机内部存储和 网络传输的各类数据，计算机输出的磁存储、光存储及各类纸介质打印数据。
12
2.2 数据安全相关规范
【第三章】
数据安全管理的原则
第六条 客户数据必须有据、合法。必须经过合法的手续和规定的渠道采集、 存储、加工、处理和传输数据，采用的数据范围应与规定的用途相符。
第七条 客户数据使用与管理的统一。客户数据使用者必须承担数据的管理 职责，有责任保护数据，防止数据的丢失、泄露与被破坏。
第十八条 对客户数据中的所有敏感数据都应根据其重要性和应用需求， 决定操作人员的存取权限和存取方式。
第十九条 采取相应的保密措施和管理办法，确定内部数据使用和对 外信息发布的数据范围和报批手续。
第二十条 对相关的客户资料非必要不允许打印或如需借用秘密文件
需通过数据管理部部长签字，输出的文件应当按照相应密级文件管理，且打印后产
二、可以是无形的，可借助于媒体以多种形式存在或传播；数据可 以存储在计算机、磁带、纸张等介质中；数据可以记忆在人的大 脑里；数据可以通过网络、打印机、传真机等方式进行传播。
3
为什么要搞好数据安全？
一个软件公司的老总，等他所有的员工下班之 后，他在那里想：我的企业到底值多少钱呢？假 如它的企业市值1亿，那么此时此刻，他的企业就 值2600万。
装有客户信息的 只要 1个商业间谍、 1个U盘，就能偷走。 公司损失：
电脑
所有客户！
5
我们现在的敏
感数据安全吗 ？
设计
部署
运行
数据安全
我们的安全投 资有价值吗？
导向 保障
业务需求
我们下一步应 该怎样做？
安 全 资 源
安全策略
安全产品
相关人员 IT设施
6
1.数据安全正确认识
管理规范
形成
业务损失
安全风险
生的残废页须及时销毁。
16
2.2 数据安全相关规范
【第五章】 应用系统和系统平台安全要求
第二十一条 操作系统及数据库管理系统的系统管理员应由政治可靠、工 作责任心强和业务技术水平高的人员担任，负责对系统的使用。系统帐号管理员必 须对系统帐号分派进行严格的工作记录。
因为据Borland公司统计，公司价值的26%体现 在固定资产和一些文档上，而高达42%的价值是存 储在员工的脑子里，而这些信息的保护没有任何 一款产品可以做得到，所以需要我们建立信息安 全管理体系，也就是常说的ISMS！
4
1.数据安全正确认识
装有100万的 保险箱
需要 3个悍 匪、
1辆车，才能偷走。 公司损失： 100万
第十条 客户数据的使用必须经过批准。未经有关批准手续，不得传输数 据，不得泄露给内部或外部的无关人员。
第十一条 保密数据应严布。
第十二条 建立必要的监督、管理机制。建立完整的数据安全管理制度和 规定，确保数据在数据处理各环节中的安全，保证数据的使用者和管理者的合法权 益。
数据安全培训
主要内容
1 建立对数据安全的正确认识
2
知悉数据安全相关规范
3
培养安全意识和良好的习惯
4
安全寄语
2
1.数据安全正确认识 什么是数据？ 在信息研究领域中对其没有确切的定义，但概括出来数据有两个性质：
一、和公司其它资源一样，是维持公司持续运作和管理的必要资产， 例如政策方针、市场报告、科研数据、计划方案、竞争情报等等， 这些信息可能从多个方面对公司运营产生影响。
14
2.2 数据安全相关规范
【第四章】 数据处理各环节安全要求
第十三条 管与使用。
敏感数据的导入导出，所使用的帐号必须由内部指定专人保
第十四条 在敏感数据的传递过程中提供数据方和接受数据方都应对数
据进行加密，密码与数据要分开保证数据的安全性。
第十五条 收到客户信息类数据后，必须及时进行数据处理且不得以 任何形式复制保留敏感数据。
安全事件 A
A公 司安 安全全事件
B
数据管理
安全目标
信息
B公安全事件管理
发生
司安 全安
全
造成业务损失
业务 方数 据数 据 信息事件
安全事故
不发生安全事故 少发生安全事故
发生事故减少损失
威 脆影 胁 弱响
信息资产
数据管理系统
数据存储系统
数据
数据处理系统
数据传输系统
7
2.数据安全相关规范
数据安全管理对象 客户服务中心数据安全管理规范
第十六条 为了保证数据的安全性，必须对数据的操作者和使用者进行职 责授权和使用授权确认。
15
2.2 数据安全相关规范
【第四章】 数据处理各环节安全要求
第十七条 必须对采集数据的合法性、输入数据的有效性及业务处理 的正确性进行全面确认；必须采用各种有效的技术手段与岗位职责，确保采集、存 储、传输、处理、加工和输出的数据正确可用。