《銀行ⅩⅩ分行個人客戶信息泄露突發(fā)事件應急預案.doc》由會員分享,可在線閱讀,更多相關《銀行ⅩⅩ分行個人客戶信息泄露突發(fā)事件應急預案.doc(10頁珍藏版)》請在裝配圖網上搜索。
1、銀行分行個人客戶信息泄露突發(fā)事件應急預案第一章總則第一條編制目的。為防范和應對個人客戶信息泄露等突發(fā)事件,在發(fā)生個人信息泄露事件時,提供明確、可操作的處理報送流程和高效的解決方案,最大程度地減輕突發(fā)事件給客戶和銀行帶來的損害,保護客戶利益,保障銀行正常經營,制定本預案。第二條編制依據(jù)。本預案根據(jù)中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知(銀發(fā)201117號)、銀行商業(yè)秘密管理暫行規(guī)定(交銀發(fā)200165號)、銀行突發(fā)事件管理辦法(交銀辦2011231號)、銀行信息安全事件管理暫行辦法(交銀辦201231號)、銀行零售客戶信息收集更新管理暫行辦法(交銀辦2013193號)等規(guī)章
2、,結合交行業(yè)務實際制定。第三條適用范圍。本預案適用于處理與交行個人客戶信息保護相關的各類誘發(fā)因素所導致的,造成客戶個人信息泄露到交行管理范圍之外,影響到客戶利益和交行正常經營的突發(fā)事件。個人客戶信息包括但不限于客戶屬性信息、銀行管理信息、客戶關聯(lián)信息、客戶風險信息、客戶財務信息、客戶評價信息、產品持有信息、客戶往來信息、客戶營銷信息。第四條工作原則。(一)合法合規(guī)原則。個人客戶信息保護的方法、流程,個人客戶信息出現(xiàn)泄露后的應急處理流程和方法都需嚴格遵守本預案第二條所列的法律法規(guī)。(二)分級管理原則。根據(jù)個人客戶信息泄露事件的特點和影響,將突發(fā)事件分級管理,針對不同等級的突發(fā)事件釆取不同的應急處
3、理流程。(三)事前防范原則。根據(jù)個人客戶信息泄露的易發(fā)、高發(fā)問題,制定針對性的事前防范監(jiān)控體系,盡量避免突發(fā)事件發(fā)生。(四)高效處置原則。當出現(xiàn)個人客戶信息泄露等突發(fā)事件后,要明確責任,高效處置,在最短時間內處理因客戶信息泄露可能帶來的風險和客戶損失。(五)維護權益原則。當出現(xiàn)個人客戶信息泄露等突發(fā)事件后,要切實保護客戶利益,釆取一切積極有效措施,盡量減少客戶損失。第二章組織指揮體系與職責第五條成立交行分行個人客戶信息保護應急領導小組(以下簡稱領導小組),領導小組是處理交行分行個人客戶信息保護和突發(fā)事件處置的決策機構。領導小組組長由分行零售業(yè)務分管行長擔任,分行零售業(yè)務部、營運管理部、電子銀行
4、部、授信與風險管理部等涉及個人客戶信息管理和使用的部門負責人為領導小組成員,領導小組的日常辦公機構設在分行零售業(yè)務部。第六條分行相關部門職責:(一)根據(jù)分行領導小組的指示或分行業(yè)務部門的要求,做好本單位個人客戶信息泄露突發(fā)事件的現(xiàn)場處置和情況上報;(二)制定分行個人客戶信息泄露突發(fā)事件應急處理的細化流程,定期組織預案的演練;(三)負責檢查、指導網點個人客戶信息泄露突發(fā)事件的應急管理工作。第三章事件的分級第七條根據(jù)個人信息泄露突發(fā)事件的性質、影響和危害,劃分為三個級別:重大突發(fā)事件,較大突發(fā)事件和一般突發(fā)事件。第八條重大突發(fā)事件是指造成特別嚴重影響或破壞的個人客戶信息泄露事件。重大突發(fā)事件的影響
5、范圍在一千名客戶(含)以上,波及各省直分行,泄露信息內容包括客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息,嚴重損害交行個人客戶利益,嚴重影響交行聲譽和利益。第九條較大突發(fā)事件是指造成較嚴重影響或破壞的個人客戶信息泄露事件。較大突發(fā)事件的影響范圍在一百名客戶(含)以上,波及一個或多個省直分行,泄露信息內容包括客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息,影響到交行個人客戶利益,影響到交行聲譽和利益。第十條一般突發(fā)事件是指影響范圍和嚴重程度有限的個人客戶信息泄露事件。一般突發(fā)事件的影響范圍在一百名客戶以下,波及一個省直分行或省轄分行網點,泄露信息內容不涉及客戶姓名、聯(lián)系方式、賬號、密碼等敏感信息,對交行個
6、人客戶利益基本不造成損害,對交行聲譽和利益基本沒有影響或者影響較小。第四章報告制度第十一條當出現(xiàn)個人客戶信息泄露突發(fā)事件后,應及時提交個人客戶信息泄露突發(fā)事件緊急報告以下簡稱緊急報告)、個人客戶信息泄露突發(fā)事件跟蹤報告(以下簡稱跟蹤報告)和個人客戶信息泄露突發(fā)事件處置報告(以下簡稱處置報告)。緊急報告的內容應包括突發(fā)事件涉及的主管部門或單位名稱、事發(fā)時間、涉及客戶數(shù)量(列出客戶清單及泄露信息范圍)、突發(fā)事件應急處理聯(lián)系人等情況;跟蹤報告的內容應包括突發(fā)事件的原因分析、事態(tài)發(fā)展趨勢、事件影響程度和范圍、可能造成的損失、巳經進行的先期緊急處理工作、擬進一步釆取的措施及其他與本事件有關的情況;處置報
7、告的內容應報告突發(fā)事件情況簡述、突發(fā)事件原因分析、突發(fā)事件相關人員/責任及處罰情況、后續(xù)整改措施和落實推進計劃等。第十二條個人客戶信息泄露突發(fā)事件報告線路與時限。(一)個人客戶信息泄露重大突發(fā)事件的直接管轄部門或單位須在事發(fā)后2小時內直接向分行領導小組、分行零售業(yè)務部和分行相關業(yè)務部門同時提交緊急報告,并及時向所在地銀監(jiān)會派出機構報告。至突發(fā)事件處理完畢前,每周向分行領導小組、分行零售業(yè)務部和分行相關業(yè)務部門同時提交跟蹤報告。突發(fā)事件處理結束后一個月內,向分行領導小組、分行零售業(yè)務部和分行相關業(yè)務部門同時提交處置報告。(二)個人客戶信息泄露較大突發(fā)事件的直接管轄部門或單位須在事發(fā)后4小時向分行
8、零售業(yè)務部和分行相關業(yè)務部門同時提交緊急報告,分行零售業(yè)務部接報后酌情報呈分行領導小組。至突發(fā)事件處理完畢前,每兩周向分行零售業(yè)務部和分行相關業(yè)務部門同時提交跟蹤報告。突發(fā)事件處理結束后一個月內,向分行零售業(yè)務部和分行相關業(yè)務部門同時提交處置報告。(三)個人客戶信息泄露一般突發(fā)事件的直接管轄部門或單位須在事發(fā)后一天內向分行零售業(yè)務部和分行相關業(yè)務部門同時提交緊急報告,分行零售業(yè)務部接報后酌情報呈內蒙古區(qū)分行零售業(yè)務部。至突發(fā)事件處理完畢前,每兩周向分行零售業(yè)務部和分行相關業(yè)務部門同時提交跟蹤報告。突發(fā)事件處理結束后一個月內,向內蒙古區(qū)分行零售業(yè)務部和分行相關業(yè)務部門同時提交處置報告。第五章應急
9、處理第十三條個人客戶信息泄露突發(fā)事件的應急處理。(一)個人客戶信息泄露重大突發(fā)事件由分行領導小組直接組織處理,具體處理流程如下:1.分行領導小組召開緊急會議,審議提出處理方案,明確相關部門及分行工作職責;分行各相關部門根據(jù)各自職責開展應急處理工作;事發(fā)支行及對應業(yè)務部門根據(jù)分行領導小組的處置方案展開應急處理,避免客戶信息泄露范圍的進一步擴大;事發(fā)支行及對應業(yè)務部門及時通知對應客戶相關情況,引導客戶修改涉密信息。(二)個人客戶信息泄露較大突發(fā)事件由分行零售業(yè)務部協(xié)調分行各相關部門處理或酌情提交分行領導小組組織處理,具體處理流程如下:分行零售業(yè)務部召集相關業(yè)務部門召開緊急會議,評估突發(fā)事件影響,審
10、議提出處理方案,明確相關部門及分行工作職責;分行各相關部門根據(jù)各自職責開展應急處理工作;事發(fā)支行及對應業(yè)務部門根據(jù)分行處置方案展開應急處理,避免客戶信息泄露范圍的進一步擴大;事發(fā)支行及對應業(yè)務部門及時通知對應客戶相關情況,引導客戶修改涉密信息。(三)個人客戶信息泄露一般突發(fā)事件由分行零售業(yè)務部協(xié)調分行各相關部門處理或酌情提交內蒙古區(qū)分行個人金融業(yè)務部協(xié)助處理,具體處理流程如下:分行零售業(yè)務部召集相關業(yè)務部門召開緊急會議,評估突發(fā)事件影響,審議提出處理方案,明確相關部門及分行工作職責;分行各相關部門根據(jù)各自職責開展應急處理工作;事發(fā)單位根據(jù)分行處置方案展開應急處理,避免客戶信息泄露范圍的進一步擴
11、大;4.事發(fā)單位及時通知對應客戶相關情況,引導客戶修改涉密信息。第十四條個人客戶信息泄露突發(fā)事件的處理過程分為先期處理、應急處理、后期處理三個階段。(一)先期處理。個人客戶信息管理和使用相關的單位和部門要建立健全的個人客戶信息泄露突發(fā)事件的預警機制,定期開展風險評估,做到早發(fā)現(xiàn)、早報告、早處理。(二)應急處理。個人客戶信息管理和使用相關的單位和部門,要按照應急預案和損失最小化原則,先行緊急處置。在緊急處置過程中,要按照“客戶損失最小化,盡快恢復經營管理秩序、最大限度降低事件影響”等原則,開展各項工作。按照個人客戶信息泄露突發(fā)事件報告制度要求及時、準確、全面的向上級單位報告,根據(jù)事件級別原則上由
12、分行酌情報告內蒙古區(qū)分行個人金融業(yè)務部及相關業(yè)務部門,遇重大事件可直接報告分行領導小組。通過新聞媒體報道的個人客戶信息泄露突發(fā)事件,由分行綜合管理部牽頭負責協(xié)調相關報道的后續(xù)處理工作。(三)后期處信息泄露事件擴大化,最大限度減少客戶的損失。分行相關業(yè)務部門按照管理職責和范圍,指導各支行做好善后工作,盡快恢復正常經營秩序。2.總結與評估。個人客戶信息泄露突發(fā)事件的直屬管理機構負責對突發(fā)事件的起因、經過、結果、經驗教訓和預警措施等進行總結。重大突發(fā)事件須在分行領導小組會議上匯報。分行領導小組應針對重大突發(fā)事件反映出的問題予以回應和總結,并對相關業(yè)務部門和責任人提出整改和處理意見,并督促相關單位進一
13、步完善監(jiān)管措施和風險預警機制。3.信息發(fā)布與聲譽風險管理。分行綜合管理部根據(jù)總行相關規(guī)定做好個人客戶信息泄露突發(fā)事件的信息發(fā)布和聲譽風險管理工作。第六章培訓與演練第十五條宣傳與培訓。分行零售業(yè)務部、分行相關業(yè)務部門要通過網絡、宣傳欄、編制手冊等多種途徑,加強對個人客戶信息保護及信息泄露應急預案的宣傳和培訓,普及預警知識,提升全行員工對個人客戶信息保護的意識和對個人客戶信息泄露事件的應急處理能力。第十六條應急演練。各單位要結合實際,有計劃、有重點地組織開展突發(fā)客戶個人信息泄露應急預案的演練。第十七條定期檢查。分行要定期開展個人客戶信息保護相關檢查,并將檢查結果上報內蒙古區(qū)分行個人金融業(yè)務部。第七
14、章監(jiān)控與預警第十八條監(jiān)控機制。分行應建立風險監(jiān)控機制,對本分行、本部門的客戶個人信息的儲存系統(tǒng)和使用管理進行重點監(jiān)控,做到對重大信息泄露事件的事前監(jiān)控和及時預防,根據(jù)監(jiān)控到的可能存在的個人客戶信息泄露情況及時向內蒙古區(qū)分行個人金融業(yè)務部報告。第十九條預警機制。對可能引起個人客戶信息泄露事件的監(jiān)控情況,經分行零售業(yè)務部分析和評估后,發(fā)出相應等級的預警,預警由高至低劃分為紅色預警、橙色預警和藍色預警三類。(一)紅色預警:對可能引起個人客戶信息泄露重大突發(fā)事件的情況,或可能引起個人客戶信息泄露較大突發(fā)事件且經兩次橙色預警后,相關支行或部門仍未釆取有效改進措施,也未給予合理解釋的情況,經分行零售業(yè)務部
15、評估并報請內蒙古區(qū)分行領導小組后,可定為紅色預警事件。(二)橙色預警:對可能引起個人客戶信息泄露較大突發(fā)事件的情況,或可能引起個人客戶信息泄露一般突發(fā)事件且經兩次橙色預警后,相關支行或部門仍未釆取有效改進措施,也未給予合理解釋的情況,經分行零售業(yè)務部評估后,可定為橙色預警事件。(三)藍色預警:對可能引起個人客戶信息泄露一般突發(fā)事件的,經分行零售業(yè)務部評估后,可定為藍色預警事件,并報送內蒙古區(qū)分行個人金融業(yè)務部。第二十條預警反饋和解除。接到預警的相關單位,應在預警發(fā)出的3個工作日內,反饋解決相關冋題的完整方案和完成時限。若該事件在有效時限內得到解決,則預警解除;否則,分行零售業(yè)務部將再次發(fā)出預警。第八章附則第二十一條各單位可根據(jù)本預案制定實施細則。第二十二條本預案由分行零售業(yè)務部負責解釋和修訂。第二十三條本預案自印發(fā)之日起施行。