广州电话营销信息安全管理规范V1.3.doc

精品文档就在这里 -------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-------------- -------------------------------------------------------------------------------------------------------------------------------------------- 电话营销信息安全管理规范 印章非红色的属非合法版本 请使用盖有印章的受控副本 编 制 审 核 批 准 日期 日期 日期 文件修改记录表 日期 文件版本 修改章节 原内容 修改后内容 修改人 2007-12-25 V1.0 创建 无 无 2008-06-12 V1.1 第一部分 无 增加单独门禁封闭式管理措施 2008-11-05 V1.2 第五部分第4点 无 增加录音传送流程 2009-03-18 V1.3 第五部分第1点 移动数据由润迅对应项目经理使用专用邮箱进行接收。 移动数据的接收及报表的均是专人专岗。。。 2009-03-18 V1.3 第五部分 无 增加电话营销信息管理--数据收发流程 目 录 目 录 3 前言 4 一、场地上的保密措施 4 二、技术上的保密措施 4 三、管理上的保密措施 6 四、法律上的保密措施 7 五、数据资料传送保密措施 8 前言 作为与移动公司长期合作的专业外包服务商,我们深刻理解移动公司客户资料安全的关注。为了保障客户信息资料的安全,我们非常注重信息安全,网络安全,系统安全等涉及到有关安全的各方面管理工作，力求提供一个稳定,安全,高效的运营环境。 通过与各地移动公司的合作,我们在这方面积累了丰富的经验和总结出一套行之有效的管理制度, 通过入职培训,定期培训对员工不断反复强调信息安全的重要性和必要性,从安全意识到行政管理和技术手段上来保障信息安全.对其行为进行安全审核,并记录存档。 一、场地上的保密措施 移动业务独立专区 ü 移动业务设立于独立楼层，保证业务区域的保密性。 ü 员工进出公司范围必须正确佩带工卡，进出现场区域，必须出示工牌打卡出入，随手关门。 ü 员工不得将纸笔等带出工作场地，不得携带任何通讯工具进入工作坐席。 ü 非移动业务员工不得随意进出移动业务区域。 ü 服务公司的所有员工均签署数据保密协议。 ü 单独门禁封闭式管理，所有人员必须有工号门禁卡单独开启，并注意陌生尾随人员。(V1.1) 二、技术上的保密措施 1、网络安全保证措施 网络安全防范措施可以最大限度的防止外部网对客户数据的攻击并防止内部其他不相关人员对数据库的访问，把来自网络上的安全威胁进行有效的控制。 为了保证客户数据的安全，润迅电话商务平台的所有业务终端、数据库服务器、录音系统均运行在内部网上，并根据需要设立独立网段，在物理上与外部网络及公司其它内部网络断开； 润迅内部网络与外部网络之间装有防火墙，可防止外部病毒及黑客的攻击： 利用Windows 2000系统的ipsec对网络连接进行ip限制，实现IP数据包的安全性。对IP连接进行限制，只保证自己的IP能够访问，拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。 对端口作过滤，包括大部分的tcp和udp端口，因为仅仅做ip限制的话，有可能恶意攻击者先攻击被数据库服务器信任的主机，控制之后作为跳板对数据库服务器进行攻击。 2、多级权限安全保证措施 多层的安全控制机制确保只有经过授权的用户才能访问系统资源 ü 系统管理员权限（SA）－最高权限： 根据合作方的要求，SA权限可由合作方技术经理掌握或由润迅技术部经理掌握，该权限拥有对数据库服务器的所有操作权限，包括其他权限人员的维护管理等，还包括向数据库导入和导出数据，维护（重启）系统等所有权限。 ü 访问员权限－读取单条数据权限： 访问员是通过终端软件读取客户信息的，终端软件的访问数据库权限设置为只能随机读取一条数据，操作完成只能按一个键回存到服务器上，不能进行复制、粘贴、剪切等任何操作。 ü 现场管理员权限－可读取回访统计数据权限： 除具有访问员的全部权限外，还有数据统计功能和查看部分明细报表的权限，即汇总访问员的拨打数量、成功数量、拒访数量等，里面不反映客户资料；明细报表中只能看到完成结果。 3、用户帐号安全管理措施 ü 强壮的SA帐号密码机制 mssql数据库最高权限帐号sa的默认密码是空，这样如果安装的时候不注意，就会给数据带来毁灭性的灾难。恶意攻击者可以修改，删除所有数据，更加重要的是mssql帐号可以利用扩展执行系统命令。 所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到 SQL Server 实例 时才使用 sa。安全的帐号策略还包括不要让管理员权限的帐号泛滥。 ü 定期帐号检查管理机制 定期检查所有登陆帐号，查看是否有不符合要求的密码（系统中所有密码均要求由高强度的由大小写字母，数字和特殊字符组成）。 Use master Select name,Password from syslogins where password is null命令检查是否有空口令帐号存在。尽可能的删除存储扩展，防止本地用户利用存储扩展执行恶意命令。use master sp_dropextendedproc 'xp_cmdshell'命令删除xp_cmdshell扩展。 ü 定期查看日志以防止可疑登陆事件发生 除严格的层级权限控制外，还要定期查看数据库服务器日志检查，是否有可疑的登陆事件发生，是否有普通用户通过系统漏洞提升自己的权限，对数据库信息进行破坏或超权限操作。 ü 使用SSL加密协议，保证网络上传输的密码、数据库内容等都是密文的。 4、座席终端安全保证措施 座席终端一律禁止使用软驱、光驱等存储设备，禁止USB口、串口的使用。防止用户数据在座席终端被复制。 座席终端不安装使用任何文字处理软件，如word、excel、记事本、写字板等。设计完善的业务操作平台，实现无纸化办公。 座席业务软件每次只能提取一条客户资料，不允许批量提取客户资料。 三、管理上的保密措施 ü 员工行为规范的管理 润迅公司内部一直在执行严格的内部保密制度。制度规定： 1、 所有出入现场人员都必须佩戴工作证，非现场人员未获允许不得进入现场； 2、 如有第三方需要参观现场，需要提前作出申请，在通过相关部门评估及得到批准后才能安排由专人全程陪同下进行参观； 3、 所有资料需适当地分类、存档及存放，以避免遗失或损坏；其他人员如需索取资料需得到相关公司部门负责人同意后方可取得； 4、 员工在执行工作时方可进入移动呼叫中心系统，电脑系统中的客户资料非工作需要不得查询； 5、 任何作废的客户资料需用碎纸机粉碎； 6、 不准在私人通信中涉及移动发送的文件及客户信息； 7、 在任何情况下不准向任何人泄露有关移动公司的任何资料和信息； 8、 有关移动公司及移动客户的任何资料、不得随意复印、携带外出；在公共场所不准泄露润迅公司运营移动项目的情况； 9、 向所有员工统一派发工作笔记本，除笔记本外员工不得私自携带任何草稿纸进入现场。员工在下班后，工作笔记本统一存放工柜，不得带离公司； 10、所有员工不带私自携带可移动储存工具进入现场，包括一切移动硬盘、U盘、SD卡等； 11、润迅公司对所有员工都会进行岗前职业道德培训和教育；同时，还会与员工签署保密协议，确保员工具有较强的保密意识和良好的职业道德。 扣罚说明：进入项目组范围内的全部员工一律执行此制度，如有违反者，则按制度进行处理；处罚视情节轻重作30-500元处罚，进行现场卫生清洁，或视实际情况作辞退处理。 四、法律上的保密措施 润迅在与客户签订的外包服务合同中均包含相应的保密条款，如发生相应泄密事件润迅将承担法律责任。润迅在员工入职时也与员工签订保密协议，明确相关的法律责任。 五、数据资料传送保密措施 1、客户资料批量传送安全保证措施 客户资料批量传送有两种方式：半自动操作、全自动操作： ü 半自动操作：合作方与润迅公司之间通过磁盘交换客户资料数据和服务结果数据。其人工交换的安全保证见业务安全保证规范，本节仅从技术层面介绍。批量数据的导入导出权限可由合作方控制，即批量数据的导入工作由合作方代表到现场操作完成，而润迅任何人员均不具备权限提取此批量数据。批量数据的导入导出操作也可由润迅技术人员完成，此时批量数据操作的权限可根据合作方要求在每次操作时临时开放。操作结束后立即取消。 ü 全自动操作：客户数据和服务结果数据完全是通过网络传送，并利用第三方加密软件对需要传送的数据进行加密，同时利用唯一的算法在另一方对数据进行解密，密钥由具有相关权限的人员控制。 2、服务数据准确保证措施 润迅电话商务公司在为企业、组织提供服务的同时，会根据项目的要求反馈相关的报表数据，而报表数据是服务项目系统的最终输出结果，其准确性体现了整个系统设计是否合理、有效。保证数据的准确性就是要保证系统的设计合理性。 分析业务需求，整理业务逻辑，建立有效的数据模型。 对数据流图和E-R图进行分析，做好逻辑设计。 在业务系统中实现业务逻辑。 对业务数据进行预处理，保证数据的完整性和有效性。 建立业务数据验证框架，保证报表数据的准确性。 客户资料的保密是公司非常关注的问题，我公司在以往与各公司合作中已建立起一套完善的保密制度，从技术和管理上确保资料的保密。 3、系统逻辑判断准确保证措施 Ö 所有项目增加逻辑判断功能，系统自动校对； Ö 二次校验题双重把关，结束语自动弹出同意办理事项，作最后确认。 Ö 员工自行记录与系统记录双核对。 4、规范的数据传递流程 （1）数据接收与导入 Ö 移动数据的接收及发放均是专人专岗，数据的接收统一由技术部唯一数据接口人统一从HTTP网络服务器或省营销系统上面提取；数据处理员每天通过邮件发送或http网络服务器上传日报表给移动对口项目经理或上传省电话营销管理系统。所有发送的报表均通所有有关数据的邮件、表格均使用密码加密方式密码定期更换，控制使用人范围。各个地市根据各自的密码进行登陆服务器下载外呼报表。(V1.3) Ö 广州润迅技术部唯一数据接口人筛选整理后批量导入系统。 （2）数据外呼 Ö 系统根据设定的拨号方式（行进、预览、预测）自动拨号，单条显示在销售终端。 （3）数据保存 Ö 所有外呼数据结果直接保存在系统上，保存后，所有数据只能由具有相关权限的管理人员查看。保存后的数据，在彻底销毁前，如要提取，必须经过移动项目负责人的批示流程，方可操作。 （4）数据销毁 Ö 移动方确认项目数据可彻底销毁后，润迅将从整个数据传递接收端进行彻底删除。 定期将已结束拨打的客户资料从数据库中完全销毁，杜绝数据资料外泄的可能。 （5）外呼录音的传输 Ö 所有外呼的录音，均通过专用的http服务器进行传输。各个地市均通过登陆密码登陆，下载该地市的外呼录音。(V1.2) 电话营销信息管理--数据收发流程（专人专岗收发） 移动外呼需求 运营部 提交项目技术需求 技术部 唯一数据接口人登录“省营销系统”或FTP网址取数据 运营项目组 话务员保存外呼个案结果 运营项目组 话务员提取单个数据 运营质检组 单条提取录音进行质检 运营报表组 专人导出报表发送上传至移动对口项目经理及上传“省电话营销系统” 结束 技术部 导入对应项目数据库 技术部 系统开发完成测试无误并启动项目 运营经理 技术部操作 项目组操作 运营报表组 项目经理、班长可提取统计类报表进行项目监控 流程说明： 1、 运营部门从“中国移动广东公司电话营销管理系统”网站中提取各地市项目派单需求； 2、 运营部门根据需求填写技术需求给技术部； 3、 技术部唯一数据接口人登录“省营销系统”或FTP网址取数据。深圳移动项目登录深圳移动所提供的FTP网站下载数据，其他地市登录省电话营销管理系统取数据； 4、 技术部将数据导入对应项目系统； 5、 技术部系统开发完成经项目组系统测试无误后启动项目； 6、 话务员提取单一数据进行外呼； 7、 话务员根据外呼结果进行系统保存； 8、 质检组可单条提取进行录音监听； 9、 项目经理、班长可提取统计类报表进行项目监控。 10、 每天由专人发送加密日报表给移动对口项目经理或上传省电话营销管理系统。 2010年读书节活动方案 一、     活动目的： 书是人类的朋友，书是人类进步的阶梯！为了拓宽学生的知识面，通过开展“和书交朋友，遨游知识大海洋”系列读书活动，激发学生读书的兴趣，让每一个学生都想读书、爱读书、会读书，从小养成热爱书籍，博览群书的好习惯，并在读书实践活动中陶冶情操，获取真知，树立理想！ 二、活动目标： 1、通过活动，建立起以学校班级、个人为主的班级图书角和个人小书库。 2、通过活动，在校园内形成热爱读书的良好风气。 3、通过活动，使学生养成博览群书的好习惯。 4、通过活动，促进学生知识更新、思维活跃、综合实践能力的提高。 三、活动实施的计划 1、 做好读书登记簿 （1） 每个学生结合实际，准备一本读书登记簿，具体格式可让学生根据自己喜好来设计、装饰，使其生动活泼、各具特色，其中要有读书的内容、容量、实现时间、好词佳句集锦、心得体会等栏目，高年级可适当作读书笔记。 （2） 每个班级结合学生的计划和班级实际情况，也制定出相应的班级读书目标和读书成长规划书，其中要有措施、有保障、有效果、有考评，简洁明了，易于操作。 （3）中队会组织一次“读书交流会”展示同学们的读书登记簿并做出相应评价。 2、 举办读书展览： 各班级定期举办“读书博览会”，以“名人名言”、格言、谚语、经典名句、“书海拾贝”、“我最喜欢的＿＿＿”、“好书推荐”等形式，向同学们介绍看过的新书、好书、及书中的部分内容交流自己在读书活动中的心得体会,在班级中形成良好的读书氛围。 3、 出读书小报： ---------------------------------------------------------精品 文档---------------------------------------------------------------------