委外催收信息数据安全保证措施.docx

委外催收信息数据安全保证措施 公司重视数据信息安全，在通过ISO9001后，对催收区域以及非催收区域办公场地建立了完善的信息安全管控制度，包括办公场所的信息安全监控，网络信息安全管控，数据信息安全以及数据处理流程，计算机信息安全管控以及密码、人员权限等进行了全方位的信息安全监控，建立了严密的制度，公司机要部门对此制度进行不断的修订和完善，确保信息数据安全。 3:1：办公场所安全管控 （1）公司工作区域及机房都设有监控设备，且机房长期处于锁门状态，除有关系统管理人员外，其余人员未经授权无法进入。机房授权进入人员须有机要部门人员陪同下方可进入 （2）非公司员工未经许可不得进入本部门办公场所，部门的入常闭状态，员工进出必须使用指纹刷门禁 （3）所有工作人员离时位使用屏幕保护程序并勾选恢复时显示登录屏幕，不允许相关密码交由他人保管和使用 （4）工作人员的所有电话通话记录都设有录音监控，且采用双备份系统，所有的录音记录，未经授权一律禁止导出，在规定的删除时间日，所有录音记录会被视为过期数据，因此必须通知有关系统人员将之彻底删除 （5）未经批准不得携带手提电脑及录像设备进入办公场所。 3:2：计算机安全管控 1:计算机维修维护管理规定 a. 涉密计算机系统进行维护检修时，须保证所存储的涉密信息不被泄露，对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时，机要部门专职人员必须在维修现场，对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录 b. 设备的故障现象、故障原因、扩充情况应记录在设备的维修档案记录本上 c. 凡需外送修理的涉密设备，必须经领导批准，并将涉密信息进行不可恢复性清除处理后方可实施 d. 高密级设备调换到低密级单位使用，要进行降密处理，并做好相应的设备转移和降密记录 e. 指定专人负责各涉密计算机软件的安装和设备的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备 f. 涉密计算机的报废交领导监督专人负责定点销毁 3:3：用户密码安全保密管理规定 a. 用户密码管理的范围是指所有涉密计算机所使用的密码。 b. 机密级涉密计算机的密码管理由专人负责，秘密级涉密计算机的密码管理由使用人负责。 3:4:密码的保管 a. 计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工作需要必须转告，应先请示主管领导，同意后方可转 b. 机房计算机设置的用户密码只能机要部门主管一个人管理，非授权用户不得访问相关计算机。 c. 涉及到银行对接数据计算机由客服部门主管与机要部门主管两人共同监管，该计算机设置双重密码，需两人同时核对才开打开，确保合作机构数据不泄露 3:5:涉密电子文件保密管理规定 a. 涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图片、程序、数据、声像资料等。 b. 电子文件的密级按其所属项目的最高密级界定，其生成者应按密级界定要求标定其密级，并将文件存储在相应的目录下 c. 电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除 d. 涉密电脑信息资料要定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存 e. 涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅 3； 6：涉密计算机系统病毒防治管理规定 a. 涉密计算机应限制信息入，如光盘、U盘、移动硬盘等的使用。对必须使用的外来介质（磁盘、光盘、U盘、移动硬盘等），必须先进行计算机病毒的查、杀处理，然后才可使用 b. 接入网络的计算机严禁将计算机设定为网络共享，严禁将机 内文件设定为网络共享文件 c. 为防止黑客攻击和网络病毒的侵袭，接入网络的计算机一律安装杀毒软件，并要定期对杀毒软件进行升级 d. 在使用外网接受数据时，邮件管理人员必须关闭跟此邮箱无关的网站 e. 载有相关信息的电脑必须做到网络物理隔离。未经批准涉密计算机一律不许上互联网，邮件管理员收到邮件提醒短信后，在相关工作完成后撤网 3:7：数据信息安全管控 鉴于工作当中会涉及委托单位的客户个人信息，在保障合作单位客户个人信息前提下，所有涉及有关业务的外包催收业务部专员都必须严格遵守ISO27001信息安全管理标准及本部门的《数据信息管理制度》。 （1）公司对外的电子文档输出由人事行政部负责。包括存储设备，向外发送文件等。 所有部门如有上述需要，都需统一填写《申请单》，经部门经理或直接上级审批后，由人力资源相关岗位处理 （2）除总经理批准或有特殊用途的电脑外，锁定所有电脑的USB接，拆除或用玻璃胶封死上锁装，禁用U盘、软驱、光驱 （3）接收到贵行委托数据后，我司客服人员第一时间通过内网安全移交至数据管理员，数据管理员负责对数据整理并导入催收管理系统，分配到各名催收作业人员。纸质资料文件，导入系统后将纸质 资料交回到客服人员，由客服人员统一保管，和合作合同、委托授权 书一并存储到公司的保密文件柜中 （4）案件委托期满后，经过客户人员和银行人员确认，系统中数据统一做结案删除处理。客服人员也须按银行要求将资料交还并销毁原始资料。禁止在工作范围使用带摄像或是录影功能的电子产品,在工作区内设有摄像探头，以确保资料安全保密； 3:8：人员权限安全管控 （一）电脑信息安全管控 计算机维修维护管理规定 ① 涉密计算机系统进行维护检修时，须保证所存储的涉密信息不被泄露，对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。 取上述措施时，涉密科室主任必须在维修现场，对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录 ② 设备的故障现象、故障原因、扩充情况应记录在设备的维修档案记录本上 ③ 外送修理的设备，必须领导批准，将涉密信息进行不可恢复性清除处理方可实施 ④ 高密级设备调换到低密级单位使用，要降密处理，做好设备转移和降密记录 ⑤ 指定专人负责各涉密计算机软件的安装和设备的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备。 3:9：计算机密码管理规定 ① 电脑开机密码保护，电脑屏幕自动密码保护 ② 客服管理员与数据管理员分开保管密码 ③ 网络物理隔离器密码保护，防止下载数据时泄露 3:10：邮件、互联网、共享文件的管理规定 公司办公网络与业务部门网络实行分开制度，办公网络无法访问催收作业中心区域网络，催收作业区域网络也不可使用互联网，公司网络使用逻辑隔离将办公区域与催收区域网络进行分离；催收作业区域邮件系统只有客服部门主管仅限于收发相应银行的对邮箱，不得向除此以外的邮箱发送或转发任何邮件。 3:11:权限申请流程规范 公司实行严格的权限管理制度，电脑、邮件、互联网、共享以及催收系统，必须是具有权限的人员才可以使用，当人员岗位职责变动，需要开通相应权限，必须提交《用户访问权限申请表》注明需要开设的权限，若出现员工离职情况，数据管理部及时跟进人事变动信息更改公共密码、钥匙等，删除该名员工相应的用户名及权限。 3： 12：作业区域管理规定 本部工作区域及机房都设有监控设备，且机房长期处于锁门状态，除有关系统管理人员外，其余人员未经授权都无法进入； 非公司员工未经许可不得进入本部门办公场所，员工出入必须使用指纹刷门禁；工作人员的所有电话通话记录都设有录音监控，且采用双备份系统，为营运起监督的作用，所有的录音记录，未经授权一律禁止导出，在规定的删除时间日，所有录音记录会被视为过期数据，因此必须通知有关系统人员将之彻底删除。 3:14 :系统数据备份管理 1：操作系统备份管理 a) 所有支撑业务平台的服务器操作系统均应在本地机房保存备份，并且备份频率为每月一次。保留四个月的备份系统。 b) 所有支撑业务平台的服务器操作系统在更新补丁前后，均应保存备份。 2:应用系统备份管理 a) 所有业务平台的应用系统均应在本地机房保存备份，并且备份频率为每月一次。保留四个月的备份系统。 b) 所有业务平台的应用系统均应在光盘介质保存备份，存放在公司保险柜。备份频率为每季度一次，保留三年的备份系统。 c) 所有业务平台的应用系统在更新程序前后，均应保存备份。 3:15 :业务数据备份管理 a) 所有业务数据必须存放于专业的存储阵列中，并在本地机房保存备份。备份频率为每月一次全量备份，每天一次增量备份。保留四个月的备份数据。 b) 所有业务数据均应在移动介质中保存备份，存放在公司保险柜。备份频率为每月一次。 3:16::配置备份管理 a)所有设备在配置完成或更新完成后，均应下载配置文件保 存到移动介质，并存放到保险柜。 b) 每个月月底手动备份设备配置，保存到移动介质。 c) 保存到移动介质的设备配置有效期为一年。