xx银行xx分行个人客户信息泄露突发事件应急预案第一章总则
第一条编制目的。为防范和应对个人客户信息泄露等突发事件,在发生个人信息泄露事件时,提供明确、可操作的处理报送流程和高效的解决方案,最大程度地减轻突发事件给客户和银行带来的损害,保护客户利益,保障银行正常经营,制定本预案。
第二条编制依据。本预案根据《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔20GG〕17号)结合xx银行业务实际制定。
第三条适用范围。本预案适用于处理与xx银行个人客户信息保护相关的各类诱发因素所导致的,造成客户个人信息泄露到xx银行管理范围之外,影响到客户利益和xx银行正常经营的突发事件。
个人客户信息包括但不限于客户属性信息、银行管理信息、客户关联信息、客户风险信息、客户财务信息、客户评价信息、产品持有信息、客户往来信息、客户营销信息。
第四条工作原则。
(一)合法合规原则。个人客户信息保护的方法、流程,个人客户信息出现泄露后的应急处理流程和方法都需严格遵守本预案第二条所列的法律法规。
(二)分级管理原则。根据个人客户信息泄露事件的特点和影响,将突发事件分级管理,针对不同等级的突发事件釆取不同的应急处理流程。
(三)事前防范原则。根据个人客户信息泄露的易发、高发问题,制定针对性的事前防范监控体系,尽量避免突发事件发生。
(四)高效处置原则。当出现个人客户信息泄露等突发事件后,要明确责任,高效处置,在最短时间内处理因客户信息泄露可能带来的风险和客户损失。
(五)维护权益原则。当出现个人客户信息泄露等突发事件后,要切实保护客户利益,釆取一切积极有效措施,尽量减少客户损失。
第二章组织指挥体系与职责
第五条成立xx银行北京分行个人客户信息保护应急领导小组(以下简称领导小组),领导小组
是处理xx银行北京分行个人客户信息保护和突发事件处置的决策机构。领导小组组长由分行零售业务分管行长担任,分行零售业务部、营运管理部、电子银行部、授信与风险管理部等涉及个人客户信息管理和使用的部门负责人
为领导小组成员,领导小组的日常办公机构设在分行零售业务部。
第六条分行相关部门职责:
(一)根据分行领导小组的指示或分行业务部门的要求,做好本单位个人客户信息泄露突发事件的现场处置和情况上报;
(二)制定分行个人客户信息泄露突发事件应急处理的细化流程,定期组织预案的演练;
(三)负责检查、指导网点个人客户信息泄露突发事件的应急管理工作。
第三章事件的分级
第七条根据个人信息泄露突发事件的性质、影响和危害,划分为三个级别:重大突发事件,较大突发事件和一般突发事件。
第八条重大突发事件是指造成特别严重影响或破坏的个人客户
信息泄露事件。重大突发事件的影响范围在一千名客户(含)以上,波及各一级分行,泄露信息内容包括客户姓名、、账号、密码等敏感信息,严重损害xx银行个人客户利益,严重影响xx银行声誉和利益。
第九条较大突发事件是指造成较严重影响或破坏的个人客户信息泄露事件。较大突发事件的影响范围在一百名客户(含)以上,波及一个或多个省直分行,泄露信息内容包括客户姓名、、账号、密码等敏感信息,影响到xx银行个人客户利益,影响到xx银行声誉和利益。
第十条一般突发事件是指影响范围和严重程度有限的个人客户信息泄露事件。一般突发事件的影响范围在一百名客户以下,波及一个省直分行或省辖分行网点,泄露信息内容不涉及客户姓名、、账号、密码等敏感信息,对xx银行个人客户利益基本不造成损害,对xx银行声誉和利益基本没有影响或者影响较小。个人敏感信息
第四章报告制度第十一条当出现个人客户信息泄露突发事件后,应及时提交《个人客户信息
泄露突发事件紧急报告》以下简称《紧急报告》)、《个人客户信息泄露突发事件跟踪报告》(以下简称《跟踪报告》)和《个人客户信息泄露突发事件处置报告》(以下简称《处置报告》)。《紧急报告》的内容应包括突发事件涉及的主管部门或单位名称、事发时间、涉及客户数量(列出客户清单及泄露信息范围)、突发事件应急处理联系人等情况;《跟踪报告》的内容应包括突发事件的原因分析、事态发展趋势、事件影响程度和范围、可能造成的损失、巳经进行的先期紧急处理工作、拟进一步釆取的措施及其他与本事件有关的情况;《处置报告》的内容应报告突发事件情况简述、突
发事件原因分析、突发事件相关人员/责任及处罚情况、后续整改措施和落实推进计划等。
第十二条个人客户信息泄露突发事件报告线路与时限。
(一)个人客户信息泄露重大突发事件的直接管辖部门或单位须在事发后2小时内直接向分行领导小组、分行零售业务部和分行相关业务部门同时提交《紧急报告》,并及时向所在地银监会派出机构报告。至突发事件处理完毕前,每周向分行领导小组、分行零售业务部和分行相关业务部门同时提交《跟踪报告》。突发事件处理结束后一个月内,向分行领导小组、分行零售业务部和分行相关业务部门同时提交《处置报告》。
(二)个人客户信息泄露较大突发事件的直接管辖部门或单位须在事发后4小时向分行零售业务部和分行相关业务部门同时提交《紧急报告》,分行零售业务部接报后酌情报呈分行领导小组。至突发事件处理完毕前,每两周向分行零售业务部和分行相关业务部门同时提交《跟踪报告》。突发事件处理结束后一个月内,向分行零售业务部和分行相关业务部门同时提交《处置报告》。
(三)个人客户信息泄露一般突发事件的直接管辖部门或单位须在事发后一天内向分行零售业务部和分行相关业务部门同时提交《紧急报告》,分行零售业务部接报后酌情报呈内蒙古区分行零售业务部。至突发事件处理完毕前,每两周向分行零售业务部和分行相关业务部门同时提交《跟踪报告》。突发事件处理结束后一个月内,向内蒙古区分行零售业务部和分行相关业务部门同时提交《处置报告》。
第五章应急处理
第十三条个人客户信息泄露突发事件的应急处理。
(一)个人客户信息泄露重大突发事件由分行领导小组直接组织处理,具体处理流程如下:
1.分行领导小组召开紧急会议,审议提出处理方案,明确相关部门及分行工作职责;
分行各相关部门根据各自职责开展应急处理工作;
事发支行及对应业务部门根据分行领导小组的处置方案展开应急处理,避免客户信息泄露范围的进一步扩大;
事发支行及对应业务部门及时通知对应客户相关情况,引导客户修改涉密信息。
(二)个人客户信息泄露较大突发事件由分行零售业务部协调分行各相关部门处理或酌情提交分行领导小组组织处理,具体处理流程如下:
分行零售业务部召集相关业务部门召开紧急会议,评估突发事件影响,审议提出处理方案,明确相关部门及分行工作职责;
分行各相关部门根据各自职责开展应急处理工作;
事发支行及对应业务部门根据分行处置方案展开应急处理,避免客户信息泄露范围的进一步扩大;
事发支行及对应业务部门及时通知对应客户相关情况,引导客户修改涉密信息。
(三)个人客户信息泄露一般突发事件由分行零售业务部协调分行各相关部门处理或酌情提交内蒙古区分行个人金融业务部协助处理,具体处理流程如下:
分行零售业务部召集相关业务部门召开紧急会议,评估突发事件影响,审议提出处理方案,明确相关部门及分行工作职责;
分行各相关部门根据各自职责开展应急处理工作;
事发单位根据分行处置方案展开应急处理,避免客户信息
泄露范围的进一步扩大;
4.事发单位及时通知对应客户相关情况,引导客户修改涉密信息。
第十四条个人客户信息泄露突发事件的处理过程分为先期处理、应急处理、后期处理三个阶段。
(一)先期处理。个人客户信息管理和使用相关的单位和部门要建立健全的个人客户信息泄露突发事件的预警机制,定期开展风险评估,做到早发现、早报告、早处理。
(二)应急处理。
个人客户信息管理和使用相关的单位和部门,要按照应急预案和损失最小化原则,先行紧急处置。在紧急处置过程中,要按照“客户损失最小化,尽快恢复经营管理秩序、最大限度降低事件影响”等原则,开展各项工作。
按照个人客户信息泄露突发事件报告制度要求及时、准确、全面的向上级单位报告,根据事件级别原则上由分行酌情报告内蒙古区分行个人金融业务部及相关业务部门,遇重大事件可直接报告分行领导小组。
通过新闻媒体报道的个人客户信息泄露突发事件,由分行综合管理部牵头负责协调相关报道的后续处理工作。(三)后期处信息泄露事件扩大化,最大限度减少客户的损失。分行相关业务部门按照管理职责和范围,指导各支行做好善后工作,尽快恢复正常经营秩序。
发布评论