×××：《寄递服务用户个人信息安全管理规定》（征求意见稿）公布

2013年11月27日，×××起草了《寄递服务用户个人信息安全管理规定》（征求意见稿），并公开征求意见，意见收集截止日期为2013年12月27日。

在《规定》中，第四章对寄递详情单的电子信息安全管理提出了具体要求。包括：

第二十八条　邮政企业、快递企业应按照国家、行业相关规定，加强寄递服务用户信息相关系统和网络设施的信息安全管理。

第二十九条　邮政企业、快递企业信息系统应当建立符合国家信息安全要求的、合理的网络架构，划分安全区域，各安全区域之间应当进行有效隔离，并具有防范、监控和阻断来自内外部网络攻击破坏的能力。

第三十条　邮政企业、快递企业应配置必要的防病毒软硬件，确保信息系统和网络具有防范木马等各类病毒的能力，防止恶意代码破坏信息系统和网络，避免信息泄露或者被篡改。

第三十一条　邮政企业、快递企业构建信息系统和网络，应避免使用信息系统和网络供应商提供的默认密码、安全参数，对通过开放公共网络传输的寄递用户信息设置加密措施，严格审查并监控对信息系统、网络设备的远程访问。

第三十二条　邮政企业、快递企业在采购软硬件产品或者技术服务时，应当与供应商签订保密协议，明确其安全责任及发生信息安全事件时配合邮政管理部门和相关部门调查工作的义务。

第三十三条　邮政企业、快递企业应加强信息系统及网络的权限管理，应基于权限最小化原则和权限分离原则，对从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。

邮政企业、快递企业应加强对系统管理员、数据库管理员、网络管理员的权限限制，使其有且仅有进行系统、数据库、信息网络运行维护和优化的权限，其所有管理维护操作应得到安全管理员的授权，并受到安全审计员的监控和审计。

第三十四条　邮政企业、快递企业应加强相关系统密码管理，使用高安全级别密码策略，强制定期更换密码，禁止将密码转告他人。

第三十五条　邮政企业、快递企业应加强寄递用户电子信息的存储安全管理，包括：

（一）使用独立物理区域存储寄递用户信息，禁止非授权人员进出该区域；

（二）采用加密方式存储寄递用户信息；

（三）确保安全使用、保存和处置存有寄递用户信息的计算机、移动设备和移动介质（包括磁带、磁盘、笔记本电脑、设备USB口、可写光驱等输入输出介质等）。明确管理数据存储设备、介质的负责人，建立设备、介质使用和借用登记，限制USB口、可写光驱、无线接口等设备输出接口的使用。及时删除销毁报废设备和存储介质中的寄递用户信息数据。

第三十六条　邮政企业、快递企业应加强寄递用户信息的应用安全管理，对所有批量导出、复制、销毁用户个人信息的操作进行审查，并采取防泄密措施，同时记录进行操作的人员、时间、地点、事项，作为以后进行信息安全审计的依据。

第三十七条　邮政企业、快递企业应加强信息系统账户管理，应在从业人员离职时对其进行信息安全审计，及时禁用相关系统账户。

第三十八条　邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则，对存储寄递服务信息的信息系统实行接入审查，并定期进行安全风险评估。

第三十九条　邮政企业、快递企业应当建立信息系统安全内部审计制度，定期开展内部审计，对发现的问题及时整改。