客服中心安全管理办法

安全管理办法

1.            总则

    建立健全客户服务中心安全管理工作机制，切实将日常安全检查工作落实到位，明确职责分工，确保中心安全无隐患、无事故。提高全体员工安全防范意识，确保中心及员工的人身及财产等各类安全。

2.            客服中心安全组织机构及其成员

1）、客服中心安全委员会

主任：

副主任：

委员：

 2）、客服中心安全工作小组

    工作小组由综合部总务安全员、各部门兼职安全员、信息安全管理员及网络安全管理员构成，小组成员包括：

3.            客服中心安全组织机构工作职责

1）、客服中心安全委员会职责

²  负责对客服中心安全管理制度、检查细则和应急预案进行修订与制定等工作；

²  客服中心安全委员会委员需每季度对所管辖区域进行一次安全检查，对查出的问题及时与综合部总务安全员沟通进行整改，杜绝安全隐患的发生；

²  每季度定期召开一次安全例会，由综合部总务安全员对本月安全检查结

果进行总结通报。

     2）、各部门工作职责

²  各部门的项目经理需对本部门的安全情况进行实时跟踪与监控，对存在的安全隐患及时进行整改、规避；

²  各部门的项目经理每月需组织开展一次安全自查工作，针对本部门存在的安全隐患，制定整改方案，避免造成重大安全事故；

²  综合部应做好中心层面的安全检查工作，发现问题及时与各部门项目经理或兼职安全员进行沟通、整改，杜绝造成安全事故的发生；

²  业务部负责针对业务信息安全开展相关的检查工作，杜绝客户资料在非正常渠道下造成丢失、泄露等情况，做好业务信息安全的管理工作；

²  系统部负责对中心整体的网络与信息安全以及通信与系统信息安全的检查；

3）、客服中心安全工作小组职责

²  综合部总务安全员职责：

① 负责客服中心整体层面有关安全生产、安全防范与检查、安全教育与宣传等工作；

② 负责监督各部门对于相关日常安全规定的落实情况；

③ 如遇突发事件时应在第一时间向相关领导进行反馈，并及时调动各部门兼职安全员针对各类突发事件开展相关的应急处理工作；

④ 每个星期对安全检查记录的检查和确认，填写核查记录。发现问题及时与兼职安全员沟通，对存在的安全隐患及时处理，涉及协调相关部门的，及时上报并解决；

⑤ 每月对总体的安全检查2次，详细填写检查记录，对存在的安全隐患及时处理，涉及协调相关部门的，及时上报并解决；

⑥ 负责每季度召开一次中心层面的安全工作例会，并对本季度安全检查过程中发现的问题进行通报；

⑦ 负责每年定期组织有关安全应急自救的演练与培训工作。

²  兼职安全员职责:

① 负责本部门员工安全生产的宣传、教育和培训工作；

② 负责管辖责任区域内的日常安全检查工作，做好相关检查记录。若发现存有安全隐患时，应立即上报综合部总务安全员，并做好相关整改工作；

③ 负责对本部门日常安全规范的实施落地情况进行监督、督促；

④ 如遇突发事件时，应积极协助综合部总务安全员做好相关应急处理工作；

⑤ 每月按时参加安全生产专题会议，总结本部门近期的安全工作情况。并对中心的安全工作提出建设性意见。

²  信息安全管理员职责：

① 负责安排本部门网络与信息安全生产工作；

② 收集最新病毒、安全漏洞、安全补丁信息，并通知和安排网络管理员、系统管理员进行安全补丁的加载，不定期对网络设备的安全运行情况及安全配置、安全补丁进行抽查；

③ 负责监督部门内部网络信息安全相关规定的落实情况；

④ 负责组织相关技术人员进行网络信息安全技术方案的制定；

⑤ 在出现安全事件时，组织网络管理员和技术人员进行处理和分析；

⑥ 安全管理员在部门内部的安全管理事务应保留适当记录作为审计证据；

⑦ 突发安全事件时及时向部门领导和网络部及时提交正式安全事故分析报告；

⑧ 参与项目建设中涉及安全问题的审阅与评估；

⑨ 制定、修改垃圾短信处理流程，并下发落实，保证做好垃圾短信的治理工作。

²  网络安全管理员职责：

① 负责进行安全设备的维护，包括软件升级、补丁加载管理；及时给系统加载最新的安全补丁，并填写安全预警信息处理记录表备查；

② 根据要求关闭与业务无关的端口和服务；

③ 对防火墙日志每月进行检查和分析，并填写防火墙日志检查记录表备查；

④ 对公司防火墙设置及应用网关的安全设置在安全政策中进行规定。负责安全策略的制定，并进行安全设备配置和日志的备份，以及文档化管理；

⑤ 执行与网络和信息安全相关的维护作业计划和临时性任务；

⑥ 制定详细网络设备、系统设备的应急处理预案；

⑦_x0001_         掌握所负责局域网的组网结构、网络信息资料。

11.1.2安全管理细则

    根据客服中心工作特点，将安全类别分为七个维度进行细化管理，其中包括：人身安全、消防安全、财产安全、车辆安全、业务信息安全、网络与信息安全及通信与系统信息安全共七项。

(一) 人身安全

1、晚班下24：00点及以后的员工建议不回家，在单位留宿。对于未留宿人员，须由家属进行接送（若由朋友接送，须得到家长认可后）方可离开单位，并由当班的值班经理进行记录。具体晚班离岗与留宿规定请按照《呼叫中心晚夜班管理规定》执行；

2、下班路途中如发生意外情况，要沉着、冷静应对，以确保人身安全为首要的前提，必要时可放弃个人随身财物并拨打110报警；

3、外出时不要外露或向人炫耀随身携带的贵重物品，不易带过多的现金；

4、尽量避免在深夜或人少的时候单独外出。不要单独滞留或行走在偏僻，阴暗处；

5、外出背包时要把包放到身体前面，而不要放在侧面或后面。不要边走边打电话，避免遭受抢劫；

6、如在外出时发现有人尾随或窥视，不要紧张，可改变原定路线，朝人多、灯亮的地方走，情况紧急时应立即拨打110报警；

7、如遭遇抢劫时，应保持镇定。看清作案人的逃跑方向和有关衣着、发型、动作等特征，并及时拨打110报案；

8、不要随意接受陌生人提供的饮料、茶水、香烟、食物等。不要与陌生人随意交谈，不要将手机借给不认识的人。

(二)  财产安全

1、每位员工都要树立安全防范意识，对自己的办公区域及更衣柜要随时加锁，妥善保管好个人物品，严禁将贵重物品（如：现金、有价证券、金银饰品、手机等）带入机房、话房，管理人员配备的手机要随身携带，防止物品丢失和被盗，否则丢失物品责任自负；

2、会计要加强保险柜的管理，认真保管好各类票据，备用金不超过规定限额，确保财、物安全；

3、出门时带些必备的零钱或使用信用卡，如果必需有大宗现金的经济来往，可以找人陪同或转账处理；

4、如果信用卡被盗，应立即向银行申请挂失。避免别人冒用信用卡购物或提现，造成个人经济损失；

5、无论是在车内或大街上，不要把手机放在别人一眼看到的位置，如挂在胸前或腰间；

6、通过自动柜员机取款或存款时，注意观察四周是否存在可疑情况。在操作过程中要注意自我的安全保护，防范抢劫案件的发生。不要将打印出的凭条随意丢弃，避免造成个人信息泄露；

7、不要把身份证、信用卡及银行储蓄卡放在一起，避免丢失后个人信息被他人利用造成损失；

8、停车后要带走汽车上的贵重物品，切记不可将现金、笔记本电脑、提包、金饰等贵重物品放在车里，以防被盗。

(三)  车辆安全

1、车辆管理员要加强机动车辆管理，经常性地进行相关的安全教育工作，杜绝违章驾驶、酒后驾驶，防止责任交通事故的发生；

2、车辆上路前应严格对车辆进行检查，确定无安全隐患后方可上路。避免发生交通安全责任事故；

3、办公车辆应定期进行维护和管理，防止病车上路发生交通事故；

4、严格遵守办公用车规定，出车前应认真填写《用车申请单》，禁止在节假日期间公车私用；

5、车辆应停放在车库或指定区域内，不准随意乱停，以确保通道畅通；

6、汽车内不准存放汽油、柴油和其他易燃易爆危险物品。

(四)  消防安全

1、对责任区域要认真落实“谁主管、谁负责”的消防原则，做好消防安全工作；

2、话房、机房、生活区、宿舍等重点地严禁吸烟，严禁将易燃、易爆、易腐物品带入机房、话房等办公场地；

3、禁止擅自使用电炉子、热得快、电暖气等非生产类电器及设备。禁止对非生产类电器充电；

4、爱护并正确使用各类生活电器，如：冰箱、微波炉、热水器、饮水机等，发现异常应立即报告安全员或现场主管；

5、开展消防安全教育，提高员工消防安全意识，做到会报警，会使用灭火器材，会应急疏散自救；

6、各部门与个人不得擅自移动或架设临时电源线；

7、安全通道、公共通道，不准停放自行车、摩托车、汽车、堆放杂物等；

8、不准随意乱动消防设施，不准将消防器材挪做它用。

(五)  业务信息安全

1、各相关系统的账户权限按照最小化原则配置，即根据工作岗位配置权限，保证对客户信息的访问不超过岗位工作范围；

2、各相关系统的账户密码口令应遵循相关管理制度定期进行更换，并不得向他人泄漏；

3、对于各相关系统中的客户信息，除因工作需要外，任何个人不得通过任何手段进行查询；

4、客户代表查询客户信息应严格执行业务受理流程及保密制度，不得将相关系统中的客户信息告知他人。不得擅自抄录、修改、转存、打印客户信息资料；

5、投诉处理人员处理客户投诉过程中，值班经理、服务质检、业务支撑人员因工作需要查询客户位置信息、客户通话记录、话单信息、客户订购关系等涉及客户隐私的客户信息资料应有工单记录，查询结果不得向他人泄露；

6、公司其它部门要求我中心协助查询客户信息时，应向我中心提交信息卡并由双方部门领导审批，否则不予以查询。协查人员应做好记录备查，并严格保守客户信息秘密；

7、客户代表、投诉处理等人员离开座位时，应将相关系统程序关闭或设置为离开状态，避免他人盗用系统获取客户信息，导致客户信息泄露；

8、维护或使用各相关系统的人员因工作需要而获得的客户信息，未经许可不得告知他人，更不能作为商业用途使用；

9、值班经理通过BOSS系统查询客户位置信息、客户通话记录、话单信息、客户订购关系等信息应做记录。BOSS系统工号管理人员对操作记录进行抽查，抽查结果定期公布；

10、各系统相关人员有违反本制度之行为者，按照公司相关规定进行处罚。

(六)  网络与信息安全

1、帐号口令管理

(1) 加强访问控制，建立授权审批流程。账号的申请、变更、删除以及账号权限的变更都要经过严格的审批，审批表要保留备查。各类人员登陆系统和进行操作必须在得到授权审批之后；

(2) 建立账号登记表，内容至少包括用户职责、权限、用户角色等内容；

(3) 定期对账号及权限进行核查，对多余账号和不当权限进行清理，对已弃用、过期和长期不使用的账号在必要时进行封闭账号及权限的审核并签字确认；

(4) 加强对系统用户账号不兼容职责分工的审阅，对于存在的不兼容职责权限及时进行调整；

(5) 维护部门制定系统密码政策，包括口令应至少由8个大小字母写、数字、特殊字符混和组成等，口令设置不得使用最近5次以内重复的口令；

(6) 口令应在90天内至少更换一次，并按照要求填写相应记录表，以备审计。口令每季度需由专人负责审核确认；

(7) 第三方人员如需使用生产系统账号要与泰安政府签订保密协议；

(8) 第三方人员登陆设备进行维护或故障处理时，需要得到维护部门相关负责人的临时授权。维护人员应负责临时分配账号或更改账号口令，同时对其访问进行监督，记录操作日志。在访问结束后负责及时删除、禁止账号或回收口令，对日志进行核查，并填写相关记录；

(9) 如果第三方人员需要通过远程登录访问对系统进行操作及更新，必须以得到授权的账号口令进行登陆，值班人员在每次操作执行时应根据维护部门相关负责人批准，临时开通远程登录功能，并开启MODEM。值班人员对远程登录操作进行监控，事后及时审阅相应的操作日志记录。在操作完成后，值班人员应及时终止远程登录，关闭MODEM，并填写相关记录。

2、操作维护管理

(1) 各类人员（包括维护人员和第三方人员）应严格遵守泰安政府的各项保密规定；

(2) 各类人员必须按规定仅在自己的权限范围内进行操作，不得从事超越自己职责以外的任何作业；

(3) 各类人员必须严格按照泰安政府设备和系统的操作规程进行操作，安全设备的配置更改应严格按照泰安政府安全设备配置变更流程执行；

(4) 在系统不支持自动记录用户操作的情况下，各类人员必须如实记录日志备查；

(5) 维护人员需要修改局数据或对设备进行重启前，应制定方案并报上级部门批准后方可执行；

(6) 维护人员应定期检查设备开放端口，关闭不必开放的端口，检查设备的日志文件，检查设备的各项性能参数；

(7) 维护人员设置业务系统防火墙的访问控制策略应遵循最小原则，即开放最小范围的服务和端口；

(8) 维护人员应制定所管网络的病毒防范策略，安装配置病毒防范系统，并采取安全可靠的方式及时对病毒检测软件和病毒特征代码库进行升级或安装补丁；

(9) 维护人员应把所管理的所有设备的安全配置形成文档，文档内容清晰、准确、简洁。当设备的安全属性配置有更改时要及时更新文档；

(10) 维护部门相关负责人定期对用户操作日志进行审核并签字确认。

3、信息安全管理

(1) 垃圾短信的判别标准：

① 点对点垃圾短信：客户发送短信流量超过200条/小时；短信内容含有非法或不健康信息内容、商业广告信息、SP业务信息及其他不良内容的垃圾短信关键字。符合以上两点的点对点群发短信系统将自动判定为垃圾短信；

② 端口群发类垃圾短信：发送号码为信息提供商端口号，且短信内容含有非法或不健康信息内容、商业广告信息及其他不良内容的，经核实无误后，将判定为垃圾短信。

(2) 监控处理措施：

① 通过短信中心网络监控系统对客户发送短信量进行监控，一经发现短信发送量超标的号码，将对其所发送内容进行自动核查，若其发送内容中含有垃圾短信关键字，即判定该号码正在进行垃圾短信群发，按照市场部门的垃圾短信处理原则进行治理；

② 对短信网管端口每日下发短信条数进行监控，一经发现日发送量超过一定条数，则监控其发送内容是否含有垃圾短信关键字，若含有特殊关键字，则通知市场部门进行核查处理。

(七) 通信与系统信息安全

1、账号口令管理

(1) 加强访问控制，建立授权审批流程。账号的申请、变更、删除以及账号权限的变更都要经过严格的审批，审批表要保留备查。各类人员登陆系统和进行操作必须在得到授权审批之后；

(2) 建立账号登记表，内容至少包括用户职责、权限、用户角色等内容；

(3) 定期对账号及权限进行核查，对多余账号和不当权限进行清理，对已弃用、过期和长期不使用的账号在必要时进行封闭账号及权限的审核并签字确认；

(4) 加强对系统用户账号不兼容职责分工的审阅，对于存在的不兼容职责权限及时进行调整；

(5) 维护部门制定系统密码政策，包括口令应至少由8个大小字母写、数字、特殊字符混和组成等，口令设置不得使用最近5次以内重复的口令；填写账号口令密码表。

(6) 口令应在90天内至少更换一次，并按照要求填写相应记录表，以备审计。口令每季度需由专人负责审核确认；

(7) 第三方人员如需使用生产系统账号要与泰安政府签订保密协议；

(8) 第三方人员登陆设备进行维护或故障处理时，需要得到维护部门相关负责人的临时授权。维护人员应负责临时分配账号或更改账号口令，同时对其访问进行监督，记录操作日志。在访问结束后负责及时删除、禁止账号或回收口令，对日志进行核查，并填写相关记录；

(9) 如果第三方人员需要通过远程登录访问对系统进行操作及更新，必须以得到授权的账号口令进行登陆，值班人员在每次操作执行时应根据维护部门相关负责人批准，临时开通远程登录功能，并开启MODEM。值班人员对远程登录操作进行监控，事后及时审阅相应的操作日志记录。在操作完成后，值班人员应及时终止远程登录，关闭MODEM，并填写相关记录。

2、操作维护安全

(1) 各类人员（包括维护人员和第三方人员）应严格遵守泰安政府的各项保密规定；

(2) 各类人员必须按规定仅在自己的权限范围内进行操作，不得从事超越自己职责以外的任何作业；

(3) 各类人员必须严格按照泰安政府设备和系统的操作规程进行操作，安全设备的配置更改应严格按照泰安政府安全设备配置变更流程执行；

(4) 在系统不支持自动记录用户操作的情况下，各类人员必须如实记录日志备查；

(5) 维护人员需要修改局数据或对设备进行重启前，应制定方案并报上级部门批准后方可执行；

(6) 维护人员应定期检查设备开放端口，关闭不必开放的端口，检查设备的日志文件，检查设备的各项性能参数；

(7) 维护人员设置业务系统防火墙的访问控制策略应遵循最小原则，即开放最小范围的服务和端口；

(8) 维护人员应制定所管网络的病毒防范策略，安装配置病毒防范系统，并采取安全可靠的方式及时对病毒检测软件和病毒特征代码库进行升级或安装补丁；

(9) 维护人员应把所管理的所有设备的安全配置形成文档，文档内容清晰、准确、简洁。当设备的安全属性配置有更改时要及时更新文档；

(10) 维护部门相关负责人定期对用户操作日志进行审核并签字确认。

3、机房安全管理

(1) 任何人进入设备机房必须经过准入授权，设备机房管理部门对进入设备机房人员进行准入授权；

(2) 机房人员进出应严格遵守机房进出规定，准确详实登记；

(3) 机房各主机、终端应有屏幕保护并设强口令（由8位字母、数字、特殊字符混合组成等）；

(4) 机房的监控终端应安装相关的防病毒软件；

(5) 机房的监控终端不允许安装与该终端操作维护无关的内容；

(6) 维护人员应严格控制来机房的第三方人员以各种方式登陆与其无关的设备，和进行权限以外的操作；

(7) 机房内的技术资料文档应严格保密，严禁将口令、IP地址表、拓扑图等文件放在明处。

11.1.3安全检查制度

(一) 安全检查范围

根据客服中心实际工作特点，安全检查范围包括：人身安全、消防安全、财产安全、车辆安全、业务信息安全、网络与信息安全及通信与系统信息安全共七项。

(二) 安全检查周期

分为按日常检查、月度检查与季度大巡查三类。

(三) 日常检查责任分工

1、生活电器及生活、办公配套设施类

(1) 冰箱、微波炉、热水器、饮水机、净化器、加湿器、更衣柜、床铺、活动室运动器械、门、窗、现场办公桌椅、会议室及培训室相关设施等：

(2) 办公区办公桌椅文件柜：

由各部门兼职安全员负责。

2、通信设备类

(1) 机房通信设备、会议室通信设备及培训室通信设备：

 由系统部兼职安全员负责；

(2) 现场通信设备（电脑、打印机、传真机、复印机、电源、电线、液晶显示屏等）: 由现场兼职安全员负责(如遇轮休可委托当班现场主管，如遇晚夜班由现场当班值班经理及业务督导负责巡查)；

(3) 办公区通信设备（电脑、打印机、传真机、复印机、电源、电线等）：

由各部门兼职安全员负责（如遇晚夜班由现场当班值班经理及业务督导负责巡查）。

3、网络与系统安全类

(1) 小型机、交换机以及服务器等各类网络系统日志:

由网络安全管理员负责；

注：如在非工作时间内出现网络或系统安全问题应由系统部当班值班人员在发现系统预警后的第一时间内反馈给网络安全管理员，由网络安全管理员及时对出现的问题进行协调处理。

4、业务信息安全类

(1) 客户信息安全(清单查询、非正常手续查询或抄录客户资料信息、客户位置等)

由各部门兼职安全员负责(如遇轮休可委托现场主管或值班经理负责)，工号管理员负责不定期抽查，并以月度为周期对检查结果进行通报。

 5、车辆安全

(1) 生产用车共计*辆：

 每辆车制定责任人。

 6、消防器材类

(1) 包括办公区和现场所有域消防器材：

由各部现场的兼职安全员负责(如遇轮休可委托当班现场主管，如遇晚夜班由现场当班值班经理及业务督导负责巡查)。

(四) 月度安全检查责任分工

1、各部门: 由各部门的项目经理负责组织开展本部门的安全自查工作；

2、综合部：负责中心整体层面的安全检查工作，如：人身安全、财产安全、车辆安全、消防安全等。

3、业务部：负责针对杜绝客户资料及通话清单在非正常渠道下造成丢失、泄露等情况的业务信息安全检查；

4、系统部：负责对客服中心整体的网络与系统设备的安全检查工作。

5、客服中心各部门每季度对本部门的安全检查情况进行总结，报送综合部；

6、业务部、系统部每季度对所分管的业务信息安全、网络与信息安全及通信与系统信息安全的检查情况进行总结，报送综合部；

7、综合部每季度对客服中心的安全检查情况进行总结通报。

 (五) 季度检查责任分工

客服中心安全管理季度检查工作，按照地点进行分工。注：客服中心安全检查模板详见附表。

11.1.4奖励与考核制度

(一) 安全管理工作将与奖励考核办法挂钩考核；

(二) 实行责任到人的安全制度，对出现问题影响通信生产、失泄密造成严重后果的，除当事人负主要责任外，主管领导、项目经理、现场主管、安全员承担相应的责任并将按照公司及中心考核办法进行考核；

(三) 对有章不循、管理不善等出现的生产、信息、财产、车辆等安全问题，根据造成的影响和损失扣除当事人1—6个月的奖金；

(四) 对各项责任指标落实结果如实上报，如有弄虚作假行为，一经查出，实施1—3个月的奖金。