上海骏佳国际物流有限公司

用户信息安全保障制度

 

一、目的

   上海骏佳国际物流有限公司向客户郑重承诺本公司所提供的所有快递服务都是安全的。为规范保障用户信息安全行为，切实维护客户关系稳定，提升客户关系服务质量，让客户放心，从而提高企业信誉，树立良好形象，特制定本制度。

二、适用范围

    上海骏佳国际物流有限公司全体员工。

三、用户信息安全保障四项承诺

    1.1保守上游发件客户信息及订单信息，无商业秘密外泄；

    1.2保证上游发件客户、终端发件客户不受公司人员电话等骚扰；

    1.3 公司确保所递送的快递是通过验试的安全产品（杜绝易燃易爆及危险违禁品进入公司寄递网络)；

    1.4 公司所录用快递员必须是有合法身份的公民，入职严格把关，杜绝有不良嗜好的人员进入公司团队，保障快件及客户安全。

 

四、用户信息安全保障规范

    用户信息是指用户在使用寄递服务过程中的个人信息，包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称，以及寄递详情单号、时间、物品明细等内容。

    为了防止寄递用户信息泄露、丢失，明确企业内部各部门、岗位的安全责任，加强寄递用户信息安全管理和安全责任考核，维护寄递用户信息安全，特做以下用户安全保障规范。

    1、一般规范

    1.1本公司与所有从业人员签订寄递用户信息保密协议，明确保   密义务和违约责任；

    1.2 本公司组织所有从业人员进行寄递用户信息安全保护相关知识、技能培训，加强职业道德教育，不断提高从业人员的法制观念和责任意识；

    1.3 公司建立寄递用户信息安全投诉处理机制，公布有效联系方式，接受并及时处理有关投诉；

    1.4凡网络购物、电视购物和邮购等经营者委托本公司提供寄递服务的，本公司在与委托方签订协议时，订立寄递用户信息安全保障条款，明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容；

    1.5本公司不委托第三方录入寄递用户信息。如果本公司委托第三方录入寄递用户信息的，确认其具有信息安全保障能力，并订立信息安全保障条款，明确责任划分。凡公司委托的第三方发生信息安全事故导致寄递用户信息泄露、丢失的，本公司将会依法承担相应责任。

    1.6未经法律明确授权或者用户书面同意，本公司及所有从业人员不将其掌握的寄递用户信息提供给任何单位或个人。

    1.7公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案，本公司配合, 并对有关情况予以保密。

    1.8本公司建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故，本公司立即采取补救措施，按照规定报告邮政管理部门，并配合邮政管理部门和相关部门的调查处理工作，不迟报、不漏报、不谎报、不瞒报。

    2、寄递详情单等实物信息安全规范

    2.1加强寄递详情单管理，对空白寄递详情单发放情况进行登记，对号段进行全程跟踪，形成跟踪记录；

    2.2加强营业场所、处理场所管理，严禁无关人员进出邮件（快件）处理、存放场地，严禁无关人员接触、翻阅邮件（快件），防止寄递详情单实物信息（以下简称实物信息）在处理过程中泄露；

    2.3优化寄递处理流程，减少接触实物信息的处理环节和操作人员；

    2.4采用有效技术手段，防止实物信息在寄递过程中泄露；

    2.5配备符合国家标准的安全监控设备，安排具有 人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控；

    2.6建立健全寄递详情实物档案管理制度，实行集中封闭管理，确定集中存放地，及时回收寄递详情妥善保管。设立、变更集中存放地，应当及时报告所在地邮政管理部门；

    2.7对寄递详情单实物档案集中存放地设专人管理，采取必要的安全防护措施，确保存储安全；

    2.8、建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时，应当确保档案完整无损，并做好查阅登记，不得私自携带离开存放地；

    2.9寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后，由企业进行集中销毁，做好销毁记录，严禁丢弃或者贩卖；

    2.10对实物信息安全保障情况进行定期自查，记录自查情况，及时消除自查中发现的信息安全隐患。

    3、寄递详情单电子信息安全规范

    3.1本公司按照国家规定，加强寄递服务用户信息相关信息系统和网络设施的安全管理；

    3.2本公司信息系统的网络架构符合国家信息安全管理规定，合理划分安全区域，实现各安全区域之间有效隔离，并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。

    3.3本公司配备必要的防病毒软件、硬件，确保信息系统和网络具有防范计算机病毒的能力，防止恶意代码破坏信息系统和网络，避免信息泄露或者被篡改。

    3.4本公司构建的信息系统和网络，避免使用信息系统和网络供应商提供的默认密码、安全参数，并对通过开放公共网络传输的寄递用户信息采取加密措施，严格审查并监控对信息系统、网络设备的远程访问。

    3.5本公司在采购计算机软件、硬件产品或者技术服务时，与供应商签订保密协议，明确其安全责任，以及在发生信息安全事件时配合由行政管理部门和相关部门调查的义务。

    3.6本公司建立信息系统安全内部审计制度，定期开展内部审计，对发现的问题及时整改。

    3.7本公司加强信息系统及网络的权限管理，基于权限最小化和权限分离原则，向从业人员分配满足工作需要的最小操作权限和可访问的最小操作权限和可访问的最小信息范围。加强对信息系统和数据库的管理，使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权，并受到安全审计员的监控和审计。

    3.8本公司加强信息系统密码管理，使用高安全级别密码策略，定期更换密码，禁止将密码透露给无关人员。

    3.9本公司加强寄递用户电子信息的存储安全管理，包括:

    3.9.1 使用独立物理区域存储寄递用户信息，禁止非授权人员进岀该区域；

    3.9.2采用加密方式存储寄递用户信息；

    3.9.3确保安全使用、保管和处置存有寄递用户信息的计算机、移动 设备和移动存储介质。明确管理数据存储设备、介质的负责人，建立设备、介质使用和借用登记制度，限制设备输岀接口的使用。存储设备和介质报废的，应当及时删除其中的寄递用户信息数据, 并销毁硬件；

    3.9.4加强寄递用户信息的应用安全管理，对所有批量导出、复制、销毁用户个人信息的操作进行审查，并采取防泄密措施，同时记录进行操作的人员、时间、地点和事项，留作信息安全审计依据；

    3.9.5加强对离岗人员的信息安全审计，及时删除或者禁用离岗人员系统账户；

    3.9.6本公司制定本企业与市场相关主体的信息系统安全互联技术规则和端口设计，对存储寄递服务信息的信息系统实行接入审查，定期进行安全风险评估。

四、用户信息安全保障制度实施体系

    上海骏佳国际物流总部安全生产部门履行下列职责：

    1、制定保障寄递用户信息安全的政策、制度和相关标准，并监督实施;

    2、监督、指导下属公司落实信息安全责任制，督促企业加强寄递用户信息安全管理；

    3、对寄递用户信息安全进行监测、预警和应急管理；

    4、监督、指导下属公司开展寄递用户信息安全宣传教育和培训；

    5、对下属公司实施寄递用户信息安全监督检查；

    6、组织调查或者参与调查寄递用户信息安全事故，依法查处违反寄递用户信息安全管理规定的行为；

    7、本公司及其从业人员因泄露寄递用户信息对用户造成损失的，应当依法予以赔偿，并对有关责任人根据有关规定进行处罚。