Sistema de seguridad de la información del usuario del servicio express

Artículo 1 Con el fin de fortalecer la gestión de seguridad de la información personal de los usuarios postales, proteger los derechos e intereses legítimos de los usuarios, mantener la seguridad de la información y las comunicaciones postales y promover el sano desarrollo del servicio postal. industria, de conformidad con la "Ley Postal de la República Popular China", el "Reglamento del Comité Permanente del Congreso Nacional del Pueblo sobre el fortalecimiento de la protección de la información de la red", las "Medidas de gestión y supervisión de la seguridad de la industria postal" y otras leyes y reglamentos administrativos. y disposiciones pertinentes, se formula el presente reglamento.

Artículo 2 Estas regulaciones se aplicarán a las actividades que impliquen la seguridad de la información personal de los usuarios y la supervisión y gestión relacionadas cuando operen y utilicen servicios postales dentro del territorio de la República Popular de China.

Artículo 3 La información personal de los usuarios de los servicios de correo y entrega mencionados en este reglamento se refiere a la información personal de los usuarios en el proceso de uso de los servicios de correo y entrega, incluido el nombre, la dirección y el número de identificación. del remitente (destinatario), número de teléfono, nombre de la empresa, detalles de entrega, hora, detalles del artículo, etc.

Artículo 4 La supervisión y gestión de la seguridad de la información de los usuarios postales se ajustará a los principios de seguridad primero, prevención primero y gestión integral para garantizar la seguridad de la información personal de los usuarios.

Artículo 5 El departamento de administración postal del Consejo de Estado es responsable de la supervisión y gestión de la seguridad de la información del usuario de entrega en la industria postal nacional.

Los departamentos de gestión postal de las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central son responsables de la supervisión y gestión de la seguridad de la información de los usuarios postales dentro de sus respectivas regiones administrativas.

Las agencias de gestión postal inferiores al nivel provincial establecidas de conformidad con las disposiciones del Consejo de Estado son responsables de la supervisión y gestión de la seguridad de la información de los usuarios en la industria postal dentro de sus respectivas jurisdicciones.

Las agencias administrativas postales del Consejo de Estado, las agencias administrativas postales de las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central, y las agencias administrativas postales por debajo del nivel provincial se denominan colectivamente agencias administrativas postales. agencias.

Artículo 6 Los departamentos de gestión postal cooperarán con los departamentos pertinentes para mejorar el mecanismo de seguridad de la información de los usuarios de entrega y mantener la seguridad de la información de los usuarios de entrega.

Artículo 7 Las empresas postales, las empresas de entrega urgente y sus empleados deberán cumplir con las regulaciones nacionales sobre gestión de seguridad de la información y estas regulaciones para evitar la filtración o pérdida de información del usuario de entrega.

Capítulo 2 Disposiciones generales

Artículo 8 Las empresas postales y las empresas de entrega urgente establecerán y mejorarán los sistemas y medidas de seguridad de la información del usuario de entrega, aclararán las responsabilidades de seguridad de cada departamento y puesto dentro de la empresa. y fortalecer la gestión de seguridad de la información del usuario de entrega y la evaluación de la responsabilidad de seguridad.

Artículo 9 Las empresas que se dediquen al negocio de entrega urgente a través de franquicias deberán establecer cláusulas de seguridad de la información del usuario de entrega en el contrato de franquicia para aclarar las responsabilidades de seguridad del franquiciado y del franquiciado. Cuando a un franquiciado le ocurre un incidente de seguridad de la información, el franquiciado asumirá las responsabilidades de gestión de seguridad correspondientes de acuerdo con la ley.

Artículo 10 Las empresas postales y las empresas de entrega urgente firmarán con los empleados acuerdos de confidencialidad para el envío y recepción de información de los usuarios, aclarando las obligaciones de confidencialidad y la responsabilidad por incumplimiento de contrato.

Artículo 11 Las empresas postales y las empresas de entrega urgente organizarán a sus empleados para llevar a cabo capacitación sobre conocimientos y habilidades relacionados con la protección de seguridad de la información de los usuarios de entrega, fortalecerán la educación en ética profesional y mejorarán continuamente los conceptos legales y sentido de responsabilidad.

Artículo 12 Las empresas postales y las empresas de entrega urgente establecerán un mecanismo para manejar las quejas sobre la seguridad de la información de los usuarios de entrega, publicarán información de contacto efectiva y aceptarán y manejarán las quejas relevantes de manera oportuna.

Artículo 13 Las empresas postales y de entrega urgente a las que los operadores de compras en línea, compras por televisión, pedidos por correo y otros les encomiendan la prestación de servicios de entrega deberán celebrar cláusulas claras de seguridad de la información del usuario de entrega al firmar un acuerdo con la parte que los encarga. El alcance y método de uso de la información, medidas de protección de seguridad para el intercambio de información, división de responsabilidades para la divulgación de información, etc.

Artículo 14 Las empresas postales y de mensajería urgente que encomienden a un tercero la introducción y transmisión de información del usuario deberán confirmar su capacidad para garantizar la seguridad de la información, establecer cláusulas de seguridad de la información y aclarar la división de responsabilidades. Si la información del usuario de entrega se filtra o se pierde debido a un incidente de seguridad de la información de un tercero, las empresas postales y de entrega urgente asumirán las responsabilidades correspondientes de acuerdo con la ley.

Artículo 15 Las empresas postales, las empresas de entrega urgente y sus empleados no proporcionarán información del usuario de entrega a ninguna unidad o individuo sin la autorización explícita de la ley o el consentimiento por escrito del usuario.

Artículo 16 El personal de los órganos de seguridad pública, órganos de seguridad nacional y órganos de fiscalía leerá y verificará los archivos de información físicos y electrónicos de la lista detallada de entrega de acuerdo con los procedimientos prescritos por la ley, y el correo. Las empresas y las empresas de entrega urgente cooperarán y mantendrán la información relevante confidencial.

Artículo 17 Las empresas postales y las empresas de entrega urgente establecerán un mecanismo de emergencia para la seguridad de la información del usuario de entrega. Para emergencias de seguridad de la información de los usuarios de entrega, se deben tomar medidas correctivas de inmediato, informar al departamento de administración postal de acuerdo con las regulaciones, y la cooperación con el trabajo de investigación y manejo del departamento de administración postal y los departamentos relevantes no se retrasará, omitirá, informará. falsamente u oculta.

Capítulo 3 Seguridad de la información física Gestión de los detalles de entrega

Artículo 18 Las empresas postales y las empresas de entrega urgente fortalecerán la gestión de los detalles de entrega y registrarán la emisión de detalles de entrega en blanco y realizarán un seguimiento de la segmento numérico a lo largo del proceso para formar un registro de seguimiento.

Artículo 19 Las empresas postales y las empresas de entrega urgente fortalecerán la gestión de los locales comerciales y los lugares de procesamiento, prohibirán que personal irrelevante entre y salga de los lugares de procesamiento y almacenamiento de correo (correo urgente) y prohibirán a personas no relacionadas contactar o leer el correo (correo urgente), para evitar que la información física de los detalles de entrega (en adelante, información física) se filtre durante el procesamiento.

Artículo 20 Las empresas postales y de entrega urgente deberán optimizar el proceso de entrega y reducir el contacto con los enlaces y operadores físicos de procesamiento de información.

Artículo 21 Las empresas postales y las empresas de entrega urgente adoptarán medios técnicos eficaces para evitar la fuga de información física durante el proceso de entrega.

Artículo 22 Las empresas postales y las empresas de entrega urgente estarán equipadas con equipos de monitoreo de seguridad que cumplan con los estándares nacionales y contratarán personal con habilidades especializadas para manejar el procesamiento de información física durante los procesos de recolección, clasificación, transporte y entrega. monitoreo de seguridad.

Artículo 23 Las empresas postales y las empresas de entrega urgente establecerán y mejorarán el sistema de gestión de archivos físicos para los detalles de entrega, implementarán una gestión centralizada y cerrada, determinarán ubicaciones de almacenamiento centralizadas, recuperarán rápidamente y conservarán adecuadamente los detalles de entrega. El establecimiento y los cambios de ubicaciones de almacenamiento centralizado deben informarse oportunamente al departamento de gestión postal local.

Artículo 24 Las empresas postales y las empresas de entrega urgente establecerán lugares de almacenamiento centralizados donde el personal dedicado será responsable de gestionar los archivos físicos de los detalles de la entrega y tomarán las medidas de protección de seguridad necesarias para garantizar un almacenamiento seguro.

Artículo 25 Las empresas postales y las empresas de entrega urgente establecerán e implementarán estrictamente un sistema para consultar y gestionar archivos físicos de los detalles de la entrega. Cuando el personal interno necesite acceder a archivos para trabajar, debe asegurarse de que los archivos estén intactos y registrados correctamente, y no se les permita salir del lugar de almacenamiento sin autorización.

Artículo 26 Los archivos físicos de los detalles de la entrega se conservarán de acuerdo con las normas nacionales pertinentes. Una vez transcurrido el período de almacenamiento, la empresa llevará a cabo una destrucción centralizada, mantendrá registros de la destrucción y está estrictamente prohibido descartarlo o venderlo.

Artículo 27 Las empresas postales y las empresas de entrega urgente realizarán periódicamente autoexámenes sobre la seguridad de la información física, registrarán las autoinspecciones y eliminarán rápidamente los riesgos de seguridad de la información descubiertos durante los autoexámenes.

Capítulo 4 Gestión de seguridad de la información electrónica de los detalles de entrega

Artículo 28 Las empresas postales y las empresas de entrega urgente deberán, de conformidad con las regulaciones nacionales, fortalecer los sistemas de información relacionados con la información del usuario de envío y entrega. Servicios y gestión de seguridad de instalaciones de red.

Artículo 29 La arquitectura de red del sistema de información de las empresas postales y de entrega urgente deberá cumplir con las regulaciones nacionales de gestión de seguridad de la información, dividir razonablemente las áreas de seguridad, lograr un aislamiento efectivo entre las áreas de seguridad y tener funciones de prevención. , monitoreo y bloqueo. La capacidad de interrumpir ataques e interrupciones de redes internas y externas.

Artículo 30 Las empresas postales y las empresas de entrega urgente estarán equipadas con el software y hardware antivirus necesarios para garantizar que los sistemas y redes de información tengan la capacidad de evitar que virus informáticos y códigos maliciosos dañen los sistemas y redes de información. y capacidad de fuga o manipulación de información.

Artículo 31: Al construir sistemas y redes de información, las empresas postales y las empresas de entrega urgente deberán evitar el uso de contraseñas predeterminadas y parámetros de seguridad proporcionados por los sistemas de información y proveedores de redes, y la información del usuario está cifrada y los sistemas de información de acceso remoto y los equipos de red son estrictamente revisados ​​y monitoreados.

Artículo 32: Al comprar software, productos de hardware o servicios técnicos, las empresas postales y las empresas de entrega urgente firmarán acuerdos de confidencialidad con los proveedores para aclarar sus responsabilidades de seguridad y cooperar con la investigación del departamento de gestión postal y las autoridades pertinentes. Obligaciones ante Incidentes de Seguridad de la Información.

Artículo 33 Las empresas postales y las empresas de entrega urgente establecerán un sistema de auditoría interna para la seguridad del sistema de información, realizarán auditorías internas periódicas y rectificarán rápidamente los problemas descubiertos.

Artículo 34 Las empresas postales y las empresas de entrega urgente fortalecerán la gestión de permisos de los sistemas y redes de información y asignarán los permisos operativos mínimos y el rango mínimo de información accesible a los empleados de acuerdo con los principios de permisos mínimos y separación. de permisos.

Las empresas postales y de entrega urgente deben fortalecer la gestión de los sistemas de información y las bases de datos, de modo que los administradores de redes solo tengan la autoridad para mantener y optimizar los sistemas de información, las bases de datos y las redes. Las operaciones de mantenimiento del administrador de red deben ser autorizadas por el administrador de seguridad y monitoreadas y auditadas por el auditor de seguridad.

Artículo 35 Las empresas postales y las empresas de entrega urgente deberán fortalecer la gestión de contraseñas de los sistemas de información, utilizar estrategias de contraseñas de alta seguridad, cambiar las contraseñas con regularidad y tener prohibido filtrar contraseñas a personal irrelevante.

Artículo 36 Las empresas postales y las empresas de entrega urgente deberán fortalecer el almacenamiento y la gestión de seguridad de la información electrónica de los usuarios de entrega, incluyendo:

(1) Utilizar áreas físicas independientes para almacenar y entregar a los usuarios. información, prohibiendo que personas no autorizadas entren y salgan del área;

(2) Almacenar y transmitir información del usuario de manera cifrada;

(3) Garantizar que las computadoras, dispositivos móviles y dispositivos móviles dispositivos que contienen información del usuario Uso, almacenamiento y eliminación seguros de medios de almacenamiento extraíbles. Aclarar quién es el responsable de administrar los equipos y medios de almacenamiento de datos, establecer un sistema de registro para el uso y préstamo de equipos y medios y restringir el uso de las interfaces de salida de los equipos. Si se desechan los equipos y medios de almacenamiento, los datos de información del usuario entregados deben eliminarse lo antes posible y el hardware debe destruirse.

Artículo 37 Las empresas postales y las empresas de entrega urgente deberán fortalecer la gestión de seguridad de las aplicaciones de la información del usuario de entrega, revisar todas las operaciones de exportación, copia y destrucción por lotes de la información personal del usuario, tomar medidas antifugas y registrar Las operaciones realizan auditorías de seguridad de la información en función del personal, tiempo, lugar y materias.

Artículo 38 Las empresas postales y las empresas de entrega urgente reforzarán la revisión de la seguridad de la información del personal fuera de servicio y eliminarán o desactivarán rápidamente las cuentas del sistema del personal fuera de servicio.

Artículo 39 Las empresas postales y las empresas de entrega urgente formularán especificaciones técnicas para la interconexión segura de sistemas de información y entidades relacionadas con el mercado, realizarán revisiones de acceso a los sistemas de información que almacenan información sobre servicios de entrega y realizarán evaluaciones periódicas de riesgos de seguridad. .

Capítulo 5 Supervisión y Gestión

Artículo 40 Los organismos gestores postales desempeñarán las siguientes funciones de conformidad con la ley:

(1) Formular políticas para asegurar la seguridad de la información entregada a los usuarios, sistemas y estándares relacionados, y supervisar su implementación;

(2) Supervisar y guiar a las empresas postales y de entrega urgente para implementar sistemas de responsabilidad de seguridad de la información e instar a las empresas a fortalecer la información. gestión de seguridad de los usuarios de entrega;

(3) Monitoreo, alerta temprana y gestión de emergencia de la seguridad de la información de los usuarios de entrega;

(4) Supervisar y guiar a las empresas postales y a las empresas de entrega urgente para llevar realizar publicidad, educación y capacitación sobre la seguridad de la información de los usuarios de entrega;

(5) Supervisar e inspeccionar la seguridad de la información de las empresas postales y de entrega urgente de conformidad con la ley;

(6 ) Organizar o participar en investigaciones de incidentes de seguridad de la información de los usuarios de correo, e investigar y sancionar las violaciones de las normas de gestión de seguridad de la información de los usuarios de correo de conformidad con la ley;

(7) Otras obligaciones estipuladas en las leyes, reglamentos administrativos y normas.

Artículo 41 Los departamentos de gestión postal deben fortalecer la publicidad de los sistemas y conocimientos de gestión de seguridad de la información de los usuarios postales, fortalecer la conciencia de gestión de seguridad de la información de las empresas postales, las empresas de entrega urgente y sus empleados, y mejorar la seguridad de los usuarios. ' información personal Conciencia protectora.

Artículo 42 Los departamentos de gestión postal fortalecerán el seguimiento y la alerta temprana de las operaciones de seguridad de la información de los usuarios postales, establecerán un sistema de gestión de la información y recopilarán y analizarán diversos tipos de información relacionada con la seguridad de la información.

Las agencias de gestión postal de nivel inferior informarán con prontitud la situación de seguridad de la información de los usuarios postales a la agencia de gestión postal de nivel superior y notificarán a la industria y la informatización, la gestión de las comunicaciones, la seguridad pública, la seguridad nacional, el comercio y la industria. y departamento de administración comercial y otros asuntos relevantes según sea necesario.

Artículo 43 Los departamentos de gestión postal inspeccionarán el establecimiento y la implementación de sistemas de gestión de seguridad de la información de las empresas postales y de entrega urgente, estandarizarán los comportamientos de protección de la seguridad de la información de los empleados y evitarán riesgos de seguridad de la información.

Artículo 44 Si el departamento de gestión postal descubre que las empresas postales o las empresas de entrega urgente violan las normas sobre la gestión de seguridad de la información de los usuarios repartidores y obstaculizan o pueden obstaculizar la seguridad de la información de los usuarios repartidores, investigarán y tratarlos conforme a la ley. Si los actos ilegales involucran a la autoridad administrativa de otros departamentos, el departamento de administración postal trabajará con los departamentos pertinentes para investigar y tratar con las empresas postales y las empresas de entrega urgente involucradas.

Artículo 45 El departamento de gestión postal fortalecerá la supervisión e inspección de las empresas postales, las empresas de entrega urgente y el cumplimiento de estas regulaciones por parte de sus empleados.

Artículo 46 Las empresas postales y las empresas de entrega urgente que se nieguen a cooperar con la supervisión e inspección de la información del usuario de entrega serán sancionadas de conformidad con lo dispuesto en el artículo 77 de la Ley Postal de la República Popular China.

Artículo 47 Las empresas postales, las empresas de entrega urgente y sus empleados que causen pérdidas a los usuarios debido a la filtración o entrega de información del usuario deberán compensarlos de acuerdo con la ley.

Artículo 48 Si las empresas postales, las empresas de entrega urgente y sus empleados proporcionan ilegalmente información del usuario de la entrega, que no constituye delito, serán sancionados de conformidad con lo dispuesto en el artículo 76 de la Ley Postal de la República Popular China. Si constituye delito, se dará traslado a la autoridad judicial para la responsabilidad penal.

Artículo 49 Cualquier unidad o individuo tiene derecho a denunciar las violaciones de estas normas al departamento de gestión postal. Una vez recibido el informe, el departamento de gestión postal lo tramitará con prontitud de conformidad con la ley.

Artículo 50 El departamento de gestión postal podrá notificar a las empresas postales y a las empresas de entrega urgente sus violaciones de las normas de gestión de seguridad de la información del usuario de entrega y los incidentes de seguridad de la información, así como el manejo por parte de la industria del personal responsable relevante. La información anterior podrá ser divulgada al público cuando sea necesario, excepto cuando se trate de secretos de estado, secretos comerciales y privacidad personal.

Artículo 51 Los departamentos de gestión postal y su personal mantendrán confidencial la información del usuario de entrega que conozcan durante el desempeño de sus funciones y no la filtrarán, manipularán, dañarán, venderán ni proporcionarán ilegalmente a terceros.

Artículo 52 Si el personal del departamento de gestión postal abusa de su poder, descuida sus deberes o practica favoritismo en la supervisión y gestión de la seguridad de la información de los usuarios postales, será sancionado de conformidad con el artículo 55 de la " Medidas de Supervisión y Gestión de la Seguridad del Sector Postal”, tramitación conforme a lo dispuesto en el artículo.