銀行ⅩⅩ分行個人客戶信息泄露突發(fā)事件應(yīng)急預案.doc

《銀行ⅩⅩ分行個人客戶信息泄露突發(fā)事件應(yīng)急預案.doc》由會員分享，可在線閱讀，更多相關(guān)《銀行ⅩⅩ分行個人客戶信息泄露突發(fā)事件應(yīng)急預案.doc（10頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、銀行分行個人客戶信息泄露突發(fā)事件應(yīng)急預案第一章總則第一條編制目的。為防范和應(yīng)對個人客戶信息泄露等突發(fā)事件，在發(fā)生個人信息泄露事件時，提供明確、可操作的處理報送流程和高效的解決方案，最大程度地減輕突發(fā)事件給客戶和銀行帶來的損害，保護客戶利益，保障銀行正常經(jīng)營，制定本預案。第二條編制依據(jù)。本預案根據(jù)中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知（銀發(fā)201117號）、銀行商業(yè)秘密管理暫行規(guī)定（交銀發(fā)200165號）、銀行突發(fā)事件管理辦法（交銀辦2011231號）、銀行信息安全事件管理暫行辦法（交銀辦201231號）、銀行零售客戶信息收集更新管理暫行辦法（交銀辦2013193號）等規(guī)章

2、，結(jié)合交行業(yè)務(wù)實際制定。第三條適用范圍。本預案適用于處理與交行個人客戶信息保護相關(guān)的各類誘發(fā)因素所導致的，造成客戶個人信息泄露到交行管理范圍之外，影響到客戶利益和交行正常經(jīng)營的突發(fā)事件。個人客戶信息包括但不限于客戶屬性信息、銀行管理信息、客戶關(guān)聯(lián)信息、客戶風險信息、客戶財務(wù)信息、客戶評價信息、產(chǎn)品持有信息、客戶往來信息、客戶營銷信息。第四條工作原則。(一）合法合規(guī)原則。個人客戶信息保護的方法、流程，個人客戶信息出現(xiàn)泄露后的應(yīng)急處理流程和方法都需嚴格遵守本預案第二條所列的法律法規(guī)。(二）分級管理原則。根據(jù)個人客戶信息泄露事件的特點和影響，將突發(fā)事件分級管理，針對不同等級的突發(fā)事件釆取不同的應(yīng)急處

3、理流程。(三）事前防范原則。根據(jù)個人客戶信息泄露的易發(fā)、高發(fā)問題，制定針對性的事前防范監(jiān)控體系，盡量避免突發(fā)事件發(fā)生。(四）高效處置原則。當出現(xiàn)個人客戶信息泄露等突發(fā)事件后，要明確責任，高效處置，在最短時間內(nèi)處理因客戶信息泄露可能帶來的風險和客戶損失。(五）維護權(quán)益原則。當出現(xiàn)個人客戶信息泄露等突發(fā)事件后，要切實保護客戶利益，釆取一切積極有效措施，盡量減少客戶損失。第二章組織指揮體系與職責第五條成立交行分行個人客戶信息保護應(yīng)急領(lǐng)導小組(以下簡稱領(lǐng)導小組），領(lǐng)導小組是處理交行分行個人客戶信息保護和突發(fā)事件處置的決策機構(gòu)。領(lǐng)導小組組長由分行零售業(yè)務(wù)分管行長擔任，分行零售業(yè)務(wù)部、營運管理部、電子銀行

4、部、授信與風險管理部等涉及個人客戶信息管理和使用的部門負責人為領(lǐng)導小組成員，領(lǐng)導小組的日常辦公機構(gòu)設(shè)在分行零售業(yè)務(wù)部。第六條分行相關(guān)部門職責：(一）根據(jù)分行領(lǐng)導小組的指示或分行業(yè)務(wù)部門的要求，做好本單位個人客戶信息泄露突發(fā)事件的現(xiàn)場處置和情況上報；(二）制定分行個人客戶信息泄露突發(fā)事件應(yīng)急處理的細化流程，定期組織預案的演練；(三）負責檢查、指導網(wǎng)點個人客戶信息泄露突發(fā)事件的應(yīng)急管理工作。第三章事件的分級第七條根據(jù)個人信息泄露突發(fā)事件的性質(zhì)、影響和危害，劃分為三個級別：重大突發(fā)事件，較大突發(fā)事件和一般突發(fā)事件。第八條重大突發(fā)事件是指造成特別嚴重影響或破壞的個人客戶信息泄露事件。重大突發(fā)事件的影響

5、范圍在一千名客戶（含)以上，波及各省直分行，泄露信息內(nèi)容包括客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息，嚴重損害交行個人客戶利益，嚴重影響交行聲譽和利益。第九條較大突發(fā)事件是指造成較嚴重影響或破壞的個人客戶信息泄露事件。較大突發(fā)事件的影響范圍在一百名客戶（含）以上，波及一個或多個省直分行，泄露信息內(nèi)容包括客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息，影響到交行個人客戶利益，影響到交行聲譽和利益。第十條一般突發(fā)事件是指影響范圍和嚴重程度有限的個人客戶信息泄露事件。一般突發(fā)事件的影響范圍在一百名客戶以下，波及一個省直分行或省轄分行網(wǎng)點，泄露信息內(nèi)容不涉及客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息，對交行個

6、人客戶利益基本不造成損害，對交行聲譽和利益基本沒有影響或者影響較小。第四章報告制度第十一條當出現(xiàn)個人客戶信息泄露突發(fā)事件后，應(yīng)及時提交個人客戶信息泄露突發(fā)事件緊急報告以下簡稱緊急報告)、個人客戶信息泄露突發(fā)事件跟蹤報告（以下簡稱跟蹤報告)和個人客戶信息泄露突發(fā)事件處置報告（以下簡稱處置報告)。緊急報告的內(nèi)容應(yīng)包括突發(fā)事件涉及的主管部門或單位名稱、事發(fā)時間、涉及客戶數(shù)量（列出客戶清單及泄露信息范圍）、突發(fā)事件應(yīng)急處理聯(lián)系人等情況；跟蹤報告的內(nèi)容應(yīng)包括突發(fā)事件的原因分析、事態(tài)發(fā)展趨勢、事件影響程度和范圍、可能造成的損失、巳經(jīng)進行的先期緊急處理工作、擬進一步釆取的措施及其他與本事件有關(guān)的情況；處置報

7、告的內(nèi)容應(yīng)報告突發(fā)事件情況簡述、突發(fā)事件原因分析、突發(fā)事件相關(guān)人員/責任及處罰情況、后續(xù)整改措施和落實推進計劃等。第十二條個人客戶信息泄露突發(fā)事件報告線路與時限。(一）個人客戶信息泄露重大突發(fā)事件的直接管轄部門或單位須在事發(fā)后2小時內(nèi)直接向分行領(lǐng)導小組、分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交緊急報告，并及時向所在地銀監(jiān)會派出機構(gòu)報告。至突發(fā)事件處理完畢前，每周向分行領(lǐng)導小組、分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交跟蹤報告。突發(fā)事件處理結(jié)束后一個月內(nèi)，向分行領(lǐng)導小組、分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交處置報告。(二）個人客戶信息泄露較大突發(fā)事件的直接管轄部門或單位須在事發(fā)后4小時向分行

8、零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交緊急報告，分行零售業(yè)務(wù)部接報后酌情報呈分行領(lǐng)導小組。至突發(fā)事件處理完畢前，每兩周向分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交跟蹤報告。突發(fā)事件處理結(jié)束后一個月內(nèi)，向分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交處置報告。(三）個人客戶信息泄露一般突發(fā)事件的直接管轄部門或單位須在事發(fā)后一天內(nèi)向分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交緊急報告，分行零售業(yè)務(wù)部接報后酌情報呈內(nèi)蒙古區(qū)分行零售業(yè)務(wù)部。至突發(fā)事件處理完畢前，每兩周向分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交跟蹤報告。突發(fā)事件處理結(jié)束后一個月內(nèi)，向內(nèi)蒙古區(qū)分行零售業(yè)務(wù)部和分行相關(guān)業(yè)務(wù)部門同時提交處置報告。第五章應(yīng)急

9、處理第十三條個人客戶信息泄露突發(fā)事件的應(yīng)急處理。(一)個人客戶信息泄露重大突發(fā)事件由分行領(lǐng)導小組直接組織處理，具體處理流程如下：1.分行領(lǐng)導小組召開緊急會議，審議提出處理方案，明確相關(guān)部門及分行工作職責；分行各相關(guān)部門根據(jù)各自職責開展應(yīng)急處理工作；事發(fā)支行及對應(yīng)業(yè)務(wù)部門根據(jù)分行領(lǐng)導小組的處置方案展開應(yīng)急處理，避免客戶信息泄露范圍的進一步擴大；事發(fā)支行及對應(yīng)業(yè)務(wù)部門及時通知對應(yīng)客戶相關(guān)情況，引導客戶修改涉密信息。(二）個人客戶信息泄露較大突發(fā)事件由分行零售業(yè)務(wù)部協(xié)調(diào)分行各相關(guān)部門處理或酌情提交分行領(lǐng)導小組組織處理，具體處理流程如下：分行零售業(yè)務(wù)部召集相關(guān)業(yè)務(wù)部門召開緊急會議，評估突發(fā)事件影響，審

10、議提出處理方案，明確相關(guān)部門及分行工作職責;分行各相關(guān)部門根據(jù)各自職責開展應(yīng)急處理工作；事發(fā)支行及對應(yīng)業(yè)務(wù)部門根據(jù)分行處置方案展開應(yīng)急處理，避免客戶信息泄露范圍的進一步擴大；事發(fā)支行及對應(yīng)業(yè)務(wù)部門及時通知對應(yīng)客戶相關(guān)情況，引導客戶修改涉密信息。(三）個人客戶信息泄露一般突發(fā)事件由分行零售業(yè)務(wù)部協(xié)調(diào)分行各相關(guān)部門處理或酌情提交內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部協(xié)助處理，具體處理流程如下：分行零售業(yè)務(wù)部召集相關(guān)業(yè)務(wù)部門召開緊急會議，評估突發(fā)事件影響，審議提出處理方案，明確相關(guān)部門及分行工作職責;分行各相關(guān)部門根據(jù)各自職責開展應(yīng)急處理工作；事發(fā)單位根據(jù)分行處置方案展開應(yīng)急處理，避免客戶信息泄露范圍的進一步擴

11、大；4.事發(fā)單位及時通知對應(yīng)客戶相關(guān)情況，引導客戶修改涉密信息。第十四條個人客戶信息泄露突發(fā)事件的處理過程分為先期處理、應(yīng)急處理、后期處理三個階段。(一）先期處理。個人客戶信息管理和使用相關(guān)的單位和部門要建立健全的個人客戶信息泄露突發(fā)事件的預警機制，定期開展風險評估，做到早發(fā)現(xiàn)、早報告、早處理。(二）應(yīng)急處理。個人客戶信息管理和使用相關(guān)的單位和部門，要按照應(yīng)急預案和損失最小化原則，先行緊急處置。在緊急處置過程中，要按照“客戶損失最小化，盡快恢復經(jīng)營管理秩序、最大限度降低事件影響”等原則，開展各項工作。按照個人客戶信息泄露突發(fā)事件報告制度要求及時、準確、全面的向上級單位報告，根據(jù)事件級別原則上由

12、分行酌情報告內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部及相關(guān)業(yè)務(wù)部門，遇重大事件可直接報告分行領(lǐng)導小組。通過新聞媒體報道的個人客戶信息泄露突發(fā)事件，由分行綜合管理部牽頭負責協(xié)調(diào)相關(guān)報道的后續(xù)處理工作。（三）后期處信息泄露事件擴大化，最大限度減少客戶的損失。分行相關(guān)業(yè)務(wù)部門按照管理職責和范圍，指導各支行做好善后工作，盡快恢復正常經(jīng)營秩序。2.總結(jié)與評估。個人客戶信息泄露突發(fā)事件的直屬管理機構(gòu)負責對突發(fā)事件的起因、經(jīng)過、結(jié)果、經(jīng)驗教訓和預警措施等進行總結(jié)。重大突發(fā)事件須在分行領(lǐng)導小組會議上匯報。分行領(lǐng)導小組應(yīng)針對重大突發(fā)事件反映出的問題予以回應(yīng)和總結(jié)，并對相關(guān)業(yè)務(wù)部門和責任人提出整改和處理意見，并督促相關(guān)單位進一

13、步完善監(jiān)管措施和風險預警機制。3.信息發(fā)布與聲譽風險管理。分行綜合管理部根據(jù)總行相關(guān)規(guī)定做好個人客戶信息泄露突發(fā)事件的信息發(fā)布和聲譽風險管理工作。第六章培訓與演練第十五條宣傳與培訓。分行零售業(yè)務(wù)部、分行相關(guān)業(yè)務(wù)部門要通過網(wǎng)絡(luò)、宣傳欄、編制手冊等多種途徑，加強對個人客戶信息保護及信息泄露應(yīng)急預案的宣傳和培訓，普及預警知識，提升全行員工對個人客戶信息保護的意識和對個人客戶信息泄露事件的應(yīng)急處理能力。第十六條應(yīng)急演練。各單位要結(jié)合實際，有計劃、有重點地組織開展突發(fā)客戶個人信息泄露應(yīng)急預案的演練。第十七條定期檢查。分行要定期開展個人客戶信息保護相關(guān)檢查，并將檢查結(jié)果上報內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部。第七

14、章監(jiān)控與預警第十八條監(jiān)控機制。分行應(yīng)建立風險監(jiān)控機制，對本分行、本部門的客戶個人信息的儲存系統(tǒng)和使用管理進行重點監(jiān)控，做到對重大信息泄露事件的事前監(jiān)控和及時預防，根據(jù)監(jiān)控到的可能存在的個人客戶信息泄露情況及時向內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部報告。第十九條預警機制。對可能引起個人客戶信息泄露事件的監(jiān)控情況，經(jīng)分行零售業(yè)務(wù)部分析和評估后，發(fā)出相應(yīng)等級的預警，預警由高至低劃分為紅色預警、橙色預警和藍色預警三類。(一）紅色預警：對可能引起個人客戶信息泄露重大突發(fā)事件的情況，或可能引起個人客戶信息泄露較大突發(fā)事件且經(jīng)兩次橙色預警后，相關(guān)支行或部門仍未釆取有效改進措施，也未給予合理解釋的情況，經(jīng)分行零售業(yè)務(wù)部

15、評估并報請內(nèi)蒙古區(qū)分行領(lǐng)導小組后，可定為紅色預警事件。(二）橙色預警：對可能引起個人客戶信息泄露較大突發(fā)事件的情況，或可能引起個人客戶信息泄露一般突發(fā)事件且經(jīng)兩次橙色預警后，相關(guān)支行或部門仍未釆取有效改進措施，也未給予合理解釋的情況，經(jīng)分行零售業(yè)務(wù)部評估后，可定為橙色預警事件。(三）藍色預警：對可能引起個人客戶信息泄露一般突發(fā)事件的，經(jīng)分行零售業(yè)務(wù)部評估后，可定為藍色預警事件，并報送內(nèi)蒙古區(qū)分行個人金融業(yè)務(wù)部。第二十條預警反饋和解除。接到預警的相關(guān)單位，應(yīng)在預警發(fā)出的3個工作日內(nèi)，反饋解決相關(guān)冋題的完整方案和完成時限。若該事件在有效時限內(nèi)得到解決，則預警解除；否則，分行零售業(yè)務(wù)部將再次發(fā)出預警。第八章附則第二十一條各單位可根據(jù)本預案制定實施細則。第二十二條本預案由分行零售業(yè)務(wù)部負責解釋和修訂。第二十三條本預案自印發(fā)之日起施行。