《銀行ⅩⅩ分行個人客戶信息泄露突發(fā)事件應(yīng)急預(yù)案.doc》由會員分享,可在線閱讀,更多相關(guān)《銀行ⅩⅩ分行個人客戶信息泄露突發(fā)事件應(yīng)急預(yù)案.doc(10頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、銀行分行個人客戶信息泄露突發(fā)事件應(yīng)急預(yù)案第一章總則第一條編制目的。為防范和應(yīng)對個人客戶信息泄露等突發(fā)事件,在發(fā)生個人信息泄露事件時,提供明確、可操作的處理報送流程和高效的解決方案,最大程度地減輕突發(fā)事件給客戶和銀行帶來的損害,保護(hù)客戶利益,保障銀行正常經(jīng)營,制定本預(yù)案。第二條編制依據(jù)。本預(yù)案根據(jù)中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知(銀發(fā)201117號)、銀行商業(yè)秘密管理暫行規(guī)定(交銀發(fā)200165號)、銀行突發(fā)事件管理辦法(交銀辦2011231號)、銀行信息安全事件管理暫行辦法(交銀辦201231號)、銀行零售客戶信息收集更新管理暫行辦法(交銀辦2013193號)等規(guī)章
2、,結(jié)合交行業(yè)務(wù)實際制定。第三條適用范圍。本預(yù)案適用于處理與交行個人客戶信息保護(hù)相關(guān)的各類誘發(fā)因素所導(dǎo)致的,造成客戶個人信息泄露到交行管理范圍之外,影響到客戶利益和交行正常經(jīng)營的突發(fā)事件。個人客戶信息包括但不限于客戶屬性信息、銀行管理信息、客戶關(guān)聯(lián)信息、客戶風(fēng)險信息、客戶財務(wù)信息、客戶評價信息、產(chǎn)品持有信息、客戶往來信息、客戶營銷信息。第四條工作原則。(一)合法合規(guī)原則。個人客戶信息保護(hù)的方法、流程,個人客戶信息出現(xiàn)泄露后的應(yīng)急處理流程和方法都需嚴(yán)格遵守本預(yù)案第二條所列的法律法規(guī)。(二)分級管理原則。根據(jù)個人客戶信息泄露事件的特點和影響,將突發(fā)事件分級管理,針對不同等級的突發(fā)事件釆取不同的應(yīng)急處
3、理流程。(三)事前防范原則。根據(jù)個人客戶信息泄露的易發(fā)、高發(fā)問題,制定針對性的事前防范監(jiān)控體系,盡量避免突發(fā)事件發(fā)生。(四)高效處置原則。當(dāng)出現(xiàn)個人客戶信息泄露等突發(fā)事件后,要明確責(zé)任,高效處置,在最短時間內(nèi)處理因客戶信息泄露可能帶來的風(fēng)險和客戶損失。(五)維護(hù)權(quán)益原則。當(dāng)出現(xiàn)個人客戶信息泄露等突發(fā)事件后,要切實保護(hù)客戶利益,釆取一切積極有效措施,盡量減少客戶損失。第二章組織指揮體系與職責(zé)第五條成立交行分行個人客戶信息保護(hù)應(yīng)急領(lǐng)導(dǎo)小組(以下簡稱領(lǐng)導(dǎo)小組),領(lǐng)導(dǎo)小組是處理交行分行個人客戶信息保護(hù)和突發(fā)事件處置的決策機(jī)構(gòu)。領(lǐng)導(dǎo)小組組長由分行零售業(yè)務(wù)分管行長擔(dān)任,分行零售業(yè)務(wù)部、營運管理部、電子銀行
4、部、授信與風(fēng)險管理部等涉及個人客戶信息管理和使用的部門負(fù)責(zé)人為領(lǐng)導(dǎo)小組成員,領(lǐng)導(dǎo)小組的日常辦公機(jī)構(gòu)設(shè)在分行零售業(yè)務(wù)部。第六條分行相關(guān)部門職責(zé):(一)根據(jù)分行領(lǐng)導(dǎo)小組的指示或分行業(yè)務(wù)部門的要求,做好本單位個人客戶信息泄露突發(fā)事件的現(xiàn)場處置和情況上報;(二)制定分行個人客戶信息泄露突發(fā)事件應(yīng)急處理的細(xì)化流程,定期組織預(yù)案的演練;(三)負(fù)責(zé)檢查、指導(dǎo)網(wǎng)點個人客戶信息泄露突發(fā)事件的應(yīng)急管理工作。第三章事件的分級第七條根據(jù)個人信息泄露突發(fā)事件的性質(zhì)、影響和危害,劃分為三個級別:重大突發(fā)事件,較大突發(fā)事件和一般突發(fā)事件。第八條重大突發(fā)事件是指造成特別嚴(yán)重影響或破壞的個人客戶信息泄露事件。重大突發(fā)事件的影響
5、范圍在一千名客戶(含)以上,波及各省直分行,泄露信息內(nèi)容包括客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息,嚴(yán)重?fù)p害交行個人客戶利益,嚴(yán)重影響交行聲譽和利益。第九條較大突發(fā)事件是指造成較嚴(yán)重影響或破壞的個人客戶信息泄露事件。較大突發(fā)事件的影響范圍在一百名客戶(含)以上,波及一個或多個省直分行,泄露信息內(nèi)容包括客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息,影響到交行個人客戶利益,影響到交行聲譽和利益。第十條一般突發(fā)事件是指影響范圍和嚴(yán)重程度有限的個人客戶信息泄露事件。一般突發(fā)事件的影響范圍在一百名客戶以下,波及一個省直分行或省轄分行網(wǎng)點,泄露信息內(nèi)容不涉及客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息,對交行個
6、人客戶利益基本不造成損害,對交行聲譽和利益基本沒有影響或者影響較小。第四章報告制度第十一條當(dāng)出現(xiàn)個人客戶信息泄露突發(fā)事件后,應(yīng)及時提交個人客戶信息泄露突發(fā)事件緊急報告以下簡稱緊急報告)、個人客戶信息泄露突發(fā)事件跟蹤報告(以下簡稱跟蹤報告)和個人客戶信息泄露突發(fā)事件處置報告(以下簡稱處置報告)。緊急報告的內(nèi)容應(yīng)包括突發(fā)事件涉及的主管部門或單位名稱、事發(fā)時間、涉及客戶數(shù)量(列出客戶清單及泄露信息范圍)、突發(fā)事件應(yīng)急處理聯(lián)系人等情況;跟蹤報告的內(nèi)容應(yīng)包括突發(fā)事件的原因分析、事態(tài)發(fā)展趨勢、事件影響程度和范圍、可能造成的損失、巳經(jīng)進(jìn)行的先期緊急處理工作、擬進(jìn)一步釆取的措施及其他與本事件有關(guān)的情況;處置報
7、告的內(nèi)容應(yīng)報告突發(fā)事件情況簡述、突發(fā)事件原因分析、突發(fā)事件相關(guān)人員/責(zé)任及處罰情況、后續(xù)整改措施和落實推進(jìn)計劃等。第十二條個人客戶信息泄露突發(fā)事件報告線路與時限。(一)個人客戶信息泄露重大突發(fā)事件的直接管轄部門或單位須在事發(fā)后2小時內(nèi)直接向分行領(lǐng)導(dǎo)小組、分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交緊急報告,并及時向所在地銀監(jiān)會派出機(jī)構(gòu)報告。至突發(fā)事件處理完畢前,每周向分行領(lǐng)導(dǎo)小組、分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交跟蹤報告。突發(fā)事件處理結(jié)束后一個月內(nèi),向分行領(lǐng)導(dǎo)小組、分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交處置報告。(二)個人客戶信息泄露較大突發(fā)事件的直接管轄部門或單位須在事發(fā)后4小時向分行
8、零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交緊急報告,分行零售業(yè)務(wù)部接報后酌情報呈分行領(lǐng)導(dǎo)小組。至突發(fā)事件處理完畢前,每兩周向分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交跟蹤報告。突發(fā)事件處理結(jié)束后一個月內(nèi),向分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交處置報告。(三)個人客戶信息泄露一般突發(fā)事件的直接管轄部門或單位須在事發(fā)后一天內(nèi)向分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交緊急報告,分行零售業(yè)務(wù)部接報后酌情報呈內(nèi)蒙古區(qū)分行零售業(yè)務(wù)部。至突發(fā)事件處理完畢前,每兩周向分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交跟蹤報告。突發(fā)事件處理結(jié)束后一個月內(nèi),向內(nèi)蒙古區(qū)分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交處置報告。第五章應(yīng)急
9、處理第十三條個人客戶信息泄露突發(fā)事件的應(yīng)急處理。(一)個人客戶信息泄露重大突發(fā)事件由分行領(lǐng)導(dǎo)小組直接組織處理,具體處理流程如下:1.分行領(lǐng)導(dǎo)小組召開緊急會議,審議提出處理方案,明確相關(guān)部門及分行工作職責(zé);分行各相關(guān)部門根據(jù)各自職責(zé)開展應(yīng)急處理工作;事發(fā)支行及對應(yīng)業(yè)務(wù)部門根據(jù)分行領(lǐng)導(dǎo)小組的處置方案展開應(yīng)急處理,避免客戶信息泄露范圍的進(jìn)一步擴(kuò)大;事發(fā)支行及對應(yīng)業(yè)務(wù)部門及時通知對應(yīng)客戶相關(guān)情況,引導(dǎo)客戶修改涉密信息。(二)個人客戶信息泄露較大突發(fā)事件由分行零售業(yè)務(wù)部協(xié)調(diào)分行各相關(guān)部門處理或酌情提交分行領(lǐng)導(dǎo)小組組織處理,具體處理流程如下:分行零售業(yè)務(wù)部召集相關(guān)業(yè)務(wù)部門召開緊急會議,評估突發(fā)事件影響,審
10、議提出處理方案,明確相關(guān)部門及分行工作職責(zé);分行各相關(guān)部門根據(jù)各自職責(zé)開展應(yīng)急處理工作;事發(fā)支行及對應(yīng)業(yè)務(wù)部門根據(jù)分行處置方案展開應(yīng)急處理,避免客戶信息泄露范圍的進(jìn)一步擴(kuò)大;事發(fā)支行及對應(yīng)業(yè)務(wù)部門及時通知對應(yīng)客戶相關(guān)情況,引導(dǎo)客戶修改涉密信息。(三)個人客戶信息泄露一般突發(fā)事件由分行零售業(yè)務(wù)部協(xié)調(diào)分行各相關(guān)部門處理或酌情提交內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部協(xié)助處理,具體處理流程如下:分行零售業(yè)務(wù)部召集相關(guān)業(yè)務(wù)部門召開緊急會議,評估突發(fā)事件影響,審議提出處理方案,明確相關(guān)部門及分行工作職責(zé);分行各相關(guān)部門根據(jù)各自職責(zé)開展應(yīng)急處理工作;事發(fā)單位根據(jù)分行處置方案展開應(yīng)急處理,避免客戶信息泄露范圍的進(jìn)一步擴(kuò)
11、大;4.事發(fā)單位及時通知對應(yīng)客戶相關(guān)情況,引導(dǎo)客戶修改涉密信息。第十四條個人客戶信息泄露突發(fā)事件的處理過程分為先期處理、應(yīng)急處理、后期處理三個階段。(一)先期處理。個人客戶信息管理和使用相關(guān)的單位和部門要建立健全的個人客戶信息泄露突發(fā)事件的預(yù)警機(jī)制,定期開展風(fēng)險評估,做到早發(fā)現(xiàn)、早報告、早處理。(二)應(yīng)急處理。個人客戶信息管理和使用相關(guān)的單位和部門,要按照應(yīng)急預(yù)案和損失最小化原則,先行緊急處置。在緊急處置過程中,要按照“客戶損失最小化,盡快恢復(fù)經(jīng)營管理秩序、最大限度降低事件影響”等原則,開展各項工作。按照個人客戶信息泄露突發(fā)事件報告制度要求及時、準(zhǔn)確、全面的向上級單位報告,根據(jù)事件級別原則上由
12、分行酌情報告內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部及相關(guān)業(yè)務(wù)部門,遇重大事件可直接報告分行領(lǐng)導(dǎo)小組。通過新聞媒體報道的個人客戶信息泄露突發(fā)事件,由分行綜合管理部牽頭負(fù)責(zé)協(xié)調(diào)相關(guān)報道的后續(xù)處理工作。(三)后期處信息泄露事件擴(kuò)大化,最大限度減少客戶的損失。分行相關(guān)業(yè)務(wù)部門按照管理職責(zé)和范圍,指導(dǎo)各支行做好善后工作,盡快恢復(fù)正常經(jīng)營秩序。2.總結(jié)與評估。個人客戶信息泄露突發(fā)事件的直屬管理機(jī)構(gòu)負(fù)責(zé)對突發(fā)事件的起因、經(jīng)過、結(jié)果、經(jīng)驗教訓(xùn)和預(yù)警措施等進(jìn)行總結(jié)。重大突發(fā)事件須在分行領(lǐng)導(dǎo)小組會議上匯報。分行領(lǐng)導(dǎo)小組應(yīng)針對重大突發(fā)事件反映出的問題予以回應(yīng)和總結(jié),并對相關(guān)業(yè)務(wù)部門和責(zé)任人提出整改和處理意見,并督促相關(guān)單位進(jìn)一
13、步完善監(jiān)管措施和風(fēng)險預(yù)警機(jī)制。3.信息發(fā)布與聲譽風(fēng)險管理。分行綜合管理部根據(jù)總行相關(guān)規(guī)定做好個人客戶信息泄露突發(fā)事件的信息發(fā)布和聲譽風(fēng)險管理工作。第六章培訓(xùn)與演練第十五條宣傳與培訓(xùn)。分行零售業(yè)務(wù)部、分行相關(guān)業(yè)務(wù)部門要通過網(wǎng)絡(luò)、宣傳欄、編制手冊等多種途徑,加強(qiáng)對個人客戶信息保護(hù)及信息泄露應(yīng)急預(yù)案的宣傳和培訓(xùn),普及預(yù)警知識,提升全行員工對個人客戶信息保護(hù)的意識和對個人客戶信息泄露事件的應(yīng)急處理能力。第十六條應(yīng)急演練。各單位要結(jié)合實際,有計劃、有重點地組織開展突發(fā)客戶個人信息泄露應(yīng)急預(yù)案的演練。第十七條定期檢查。分行要定期開展個人客戶信息保護(hù)相關(guān)檢查,并將檢查結(jié)果上報內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部。第七
14、章監(jiān)控與預(yù)警第十八條監(jiān)控機(jī)制。分行應(yīng)建立風(fēng)險監(jiān)控機(jī)制,對本分行、本部門的客戶個人信息的儲存系統(tǒng)和使用管理進(jìn)行重點監(jiān)控,做到對重大信息泄露事件的事前監(jiān)控和及時預(yù)防,根據(jù)監(jiān)控到的可能存在的個人客戶信息泄露情況及時向內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部報告。第十九條預(yù)警機(jī)制。對可能引起個人客戶信息泄露事件的監(jiān)控情況,經(jīng)分行零售業(yè)務(wù)部分析和評估后,發(fā)出相應(yīng)等級的預(yù)警,預(yù)警由高至低劃分為紅色預(yù)警、橙色預(yù)警和藍(lán)色預(yù)警三類。(一)紅色預(yù)警:對可能引起個人客戶信息泄露重大突發(fā)事件的情況,或可能引起個人客戶信息泄露較大突發(fā)事件且經(jīng)兩次橙色預(yù)警后,相關(guān)支行或部門仍未釆取有效改進(jìn)措施,也未給予合理解釋的情況,經(jīng)分行零售業(yè)務(wù)部
15、評估并報請內(nèi)蒙古區(qū)分行領(lǐng)導(dǎo)小組后,可定為紅色預(yù)警事件。(二)橙色預(yù)警:對可能引起個人客戶信息泄露較大突發(fā)事件的情況,或可能引起個人客戶信息泄露一般突發(fā)事件且經(jīng)兩次橙色預(yù)警后,相關(guān)支行或部門仍未釆取有效改進(jìn)措施,也未給予合理解釋的情況,經(jīng)分行零售業(yè)務(wù)部評估后,可定為橙色預(yù)警事件。(三)藍(lán)色預(yù)警:對可能引起個人客戶信息泄露一般突發(fā)事件的,經(jīng)分行零售業(yè)務(wù)部評估后,可定為藍(lán)色預(yù)警事件,并報送內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部。第二十條預(yù)警反饋和解除。接到預(yù)警的相關(guān)單位,應(yīng)在預(yù)警發(fā)出的3個工作日內(nèi),反饋解決相關(guān)冋題的完整方案和完成時限。若該事件在有效時限內(nèi)得到解決,則預(yù)警解除;否則,分行零售業(yè)務(wù)部將再次發(fā)出預(yù)警。第八章附則第二十一條各單位可根據(jù)本預(yù)案制定實施細(xì)則。第二十二條本預(yù)案由分行零售業(yè)務(wù)部負(fù)責(zé)解釋和修訂。第二十三條本預(yù)案自印發(fā)之日起施行。