网络运营电子数据信息下线管理办法
通信集团
网络运营电子数据信息下线管理办法
第一章总则
第一条为加强网络运营电子数据信息的下线管理,确保公司信息安全和防止泄漏,依据《中华人民共和国保守国家秘密法》、《国家秘密载体销毁管理规定》、《网络与信息安全总纲(正式下发版)NISS大纲》、《信息资产安全管理办法》等相关法律法规和管理办法,制定本办法。
第二条本办法所称网络运营电子数据信息,是指以文字、数据、符号、图形、视频或者音频等方式记载、存储于网络部门所维护的公司各种网络运营设备所带和所配的光介质、磁介质及半导体介质等各类存储介质中的电子数据信息。包括源代码、数据库数据、配置数据、系统维护数据、系统文档、运行管理规程、企业计划、财务报告、用户手册、客户信息(客户位置信息、客户通话记录、话单信息、短信/(彩信)内容、客户身份信息、客户订购关系等所有涉及客户隐私的客户信息资料)等。本办法适用范围仅限于网络部门所维护的网络运营电子数据。第三条本办法所称下线,是指网络运营设备报废退网时,或网络调整时,或业务下线时,
相关电子数据信息需要下线退出网络运营。
第四条网络运营电子数据信息下线应按照本办法备份、存档和及时予以销毁。第五条总部网络部对全公司的网络运营电子数据信息下线维护工作进行全面指导、监管。各省、自治区、直辖市公司网络部在总部网络部指导下,对本省、自治区、直辖市公司的网络运营电子数据信息下线维护工作进行指导、监管。
第六条各级网络维护单位是所维护网络运营设备的电子数据信息的第一维护责任人,负责网络运营电子数据信息的下线维护工作,职责划分遵循“谁主管,谁负责;谁维护,谁负责;谁使用,谁负责”的原则。
第七条本办法解释权归总部网络部,各省、自治区、直辖市公司应遵循本办法执行网络运营电子数据信息的下线管理工作,并可根据实际情况制定相应实施细则。
第二章网络运营电子数据信息下线流程
低级格式化第八条网络运营电子数据信息按照《信息资产安全管理办法》要求划分为商业绝密、商业机密、内部和公开四个级别。分类结果详见附件五。
第九条符合下列情况的网络运营电子数据信息,应当及时启动电子数据下线申请程序:
(一)报废退网:网络运营设备执行退网报废流程,设备将下电退网,不再承载业务,相关电子数据信息需要下线;
(二)设备利旧:网络调整,网络运营设备利旧,不再承载原承载业务,相关电子数据信息需要下线;
(三)业务暂停:网络调整,网络运营设备暂不承载业务,原所承载业务暂停,相关电子数据信息需要下线;
(四)其它导致网络运营电子数据信息下线退出网络运营的情况。
上述情况下,原则上,原电子数据信息都必须下线,以免泄密或对现网造成干扰。如有特殊情况,需要继续在线的,应在下线申请中说明理由,供网络部判断决定。第十条网络运营电子数据信息下线流程包括:下线申请、下线方案审核、下线销毁,定期审计等步骤。
第十一条下线申请由网络运营电子数据信息的维护单位提交。总部直接维护的一干设备,由一干设备维护单位向总部网络部申请。其它设备,由省内维护单位向省公司网络部申请。申请应包括下线网络运营电子数据信息列表、下线方案拟订。
第十二条网络部组织对下线网络运营电子数据信息进行定级和下线方案审核。技术支援队伍和相关网络维护单位配合网络部执行定级和审核工作。
第十三条公开级电子数据信息,可通过简单删除清理。内部级及以上密级数据信息的下线技术方案,应当使用符合国家保密标准的销毁设备和方法,确保电子信息无法还原:
一般下线方案,在删除原保密信息后,应通过多次(至少七次)低级格式化、数据覆写、数据清零等方法清理存储介质中的数据。其中低级格式化是一种损耗性操作,如存储介质需继续使用,应慎重选用。
在业务暂停的场合,如设备定于近期(三个月内)重新入网,业务相关电子数据信息将重新启用,则相关数据信息可不做删除清理,而采取下电退网等措施,避免相关电子数据信息泄露。在重新上线前应注意指定负责人员,加强设备的物理安全管控,避免设备被私自上电,或存储介质被拆卸,导致信息泄露。
在设备退网报废的场合应根据具体情况决定是否进一步采用电磁消磁、物理粉碎、化学腐蚀、烧毁等方法对存储介质本身进行处理以彻底销毁信息。
具体技术要求详见附件。
第十四条下线销毁方案应明确下线销毁执行责任单位。下线销毁前应通知相关市场业务部门、客服部门和计费部门,得到各部门的下线确认后才能进行下线。例如,话单数据下线销毁应在计费部门已完成话单提取后进行。
第十五条网络部审批通过后,网络维护单位应按照审批通过的下线方案执行下线销毁。对于电子数据信息的销毁,如由第三方具体操作,则执行责任单位应详细了解销毁步骤,并全程监督,确保不出现未销毁而外泄的情况。
第十六条下线申请、审批和执行记录应当长期保存备查。保存期至少一年。第十七条网络维护单位在网络运营电子数据信息下线的执行中遇到问题应及时反馈给网络部。执行后,应提交执行报告给网络部。网络维护单位应定期(每年至少一次)组织对电子数据信息下线执行情况的审计,并将审计报告以正式文件报告网络部。
第十八条网络部对电子数据信息下线管理的落实情况进行检查和考核。
第四章责任追究
第十九条禁止在网络运营电子数据信息下线销毁前,对电子数据信息的载体进行任何方式的处理,如捐赠、赠送和报废等。
第二十条有下列行为之一的,对直接负责的主管人员和其它直接责任人员追究责任;泄漏公司机密构成犯罪的依法追究刑事责任:
(一)未经批准私自下线销毁网络运营电子数据信息的;
(二)非法捐赠或转送网络运营电子数据信息的;
(三)将包含网络运营电子数据信息的载体作为废品出售的;
(四)未经批准私自提取离线保存数据的;