银行分行个人客户信息泄露突发事件应急预案
银行分行个人客户信息泄露突发事件应急预案
第一章 总则
第一条 编制目的
本预案的编制目的在于防范和应对个人客户信息泄露等突发事件,提供明确、可操作的处理报送流程和高效的解决方案,最大程度地减轻突发事件给客户和银行带来的损害,保护客户利益,保障银行正常经营。
第二条 编制依据
本预案根据《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)、《XX银行商业秘密管理暂行规定》(发〔2001〕65号)、《XX银行突发事件管理办法》(办〔2011〕231号)、《XX银行信息安全事件管理暂行办法》(办〔2012〕31号)、《XX银行零售客户信息收集更新管理暂行办法》(办〔2013〕193号)等规章,结合交行业务实际制定。
第三条 适用范围
本预案适用于处理与交行个人客户信息保护相关的各类诱发因素所导致的突发事件,造成客户个人信息泄露到交行管理范围之外,影响到客户利益和交行正常经营的突发事件。个人客户信息包括但不限于客户属性信息、银行管理信息、客户关联信息、客户风险信息、客户财务信息、客户评价信息、产品持有信息、客户往来信息、客户营销信息。
第四条 工作原则
一)合法合规原则。个人客户信息保护的方法、流程,个人客户信息出现泄露后的应急处理流程和方法都需严格遵守本预案第二条所列的法律法规。
二)分级管理原则。根据个人客户信息泄露事件的特点和影响,将突发事件分级管理,针对不同等级的突发事件采取不同的应急处理流程。
三)事前防范原则。根据个人客户信息泄露的易发、高发问题,制定针对性的事前防范监控体系,尽量避免突发事件发生。
四)高效处置原则。当出现个人客户信息泄露等突发事件后,要明确责任,高效处置,在最短时间内处理因客户信息泄露可能带来的风险和客户损失。
五)维护权益原则。当出现个人客户信息泄露等突发事件后,要切实保护客户利益,采取一切积极有效措施,尽量减少客户损失。
第二章 组织指挥体系与职责
第五条 成立领导小组
交行XX分行成立个人客户信息保护应急领导小组,领导小组是处理个人客户信息保护和突发事件处置的决策机构。领导小组组长由分行零售业务分管行长担任,分行零售业务部、营运管理部、电子银行部、授信与风险管理部等涉及个人客户信息管理和使用的部门负责人为领导小组成员,领导小组的日常办公机构设在分行零售业务部。
第六条:分行相关部门职责包括:根据分行领导小组或业务部门的要求,负责处理现场个人客户信息泄露事件和上报情况;制定应急处理流程并定期演练;检查和指导网点的应急管理工作。
个人敏感信息第三章:事件分级包括三个级别:重大突发事件、较大突发事件和一般突发事件。
第七条:重大突发事件指影响严重、波及一千名以上客户和各省直分行的个人客户信息泄露事件,包括敏感信息如客户姓名、、账号和密码等,严重损害交行个人客户利益,对交行声誉和利益产生严重影响。
第八条:较大突发事件指影响较严重、波及一百名以上客户和一个或多个省直分行的个人客户信息泄露事件,包括敏感信息如客户姓名、、账号和密码等,对交行个人客户利益和声誉产生影响。
第九条:一般突发事件指影响范围和严重程度有限的个人客户信息泄露事件,波及一百名以下客户和一个省直分行或省辖分行网点,不涉及敏感信息,对交行个人客户利益和声誉影响较小。
第四章:报告制度包括提交《紧急报告》、《跟踪报告》和《处置报告》,其中《紧急报告》应包括主管部门或单位名称、事发时间、涉及客户数量和突发事件应急处理联系人等信息;《跟踪报告》应包括原因分析、事态发展趋势、事件影响程度和范围、可能造成的损失
、先期紧急处理工作、拟采取的措施和其他相关情况;《处置报告》应报告事件情况、原因分析、相关人员和处罚情况、整改措施和推进计划等。
第十二条:个人客户信息泄露突发事件报告应及时提交《紧急报告》、《跟踪报告》和《处置报告》,按规定的时限提交。
个人客户信息泄露事件是一项严重的问题,对于处理此类事件,需要遵循一定的流程和规定。以下是应急处理的具体要求:
一)对于重大突发事件,直接管辖部门或单位应在事发后2小时内向分行领导小组、分行零售业务部和分行相关业务部门提交《紧急报告》,并向所在地银监会派出机构报告。在处理完毕前,每周向分行领导小组、分行零售业务部和分行相关业务部门提交《跟踪报告》。处理结束后一个月内,向分行领导小组、分行零售业务部和分行相关业务部门提交《处置报告》。
二)对于较大突发事件,直接管辖部门或单位应在事发后4小时内向分行零售业务部和分行相关业务部门提交《紧急报告》。分行零售业务部接报后酌情报呈分行领导小组。在处理完
毕前,每两周向分行零售业务部和分行相关业务部门提交《跟踪报告》。处理结束后一个月内,向分行零售业务部和分行相关业务部门提交《处置报告》。
三)对于一般突发事件,直接管辖部门或单位应在事发后一天内向分行零售业务部和分行相关业务部门提交《紧急报告》。分行零售业务部接报后酌情报呈内蒙古区分行零售业务部。在处理完毕前,每两周向分行零售业务部和分行相关业务部门提交《跟踪报告》。处理结束后一个月内,向内蒙古区分行零售业务部和分行相关业务部门提交《处置报告》。
在应急处理方面,个人客户信息泄露重大突发事件由分行领导小组直接组织处理。具体处理流程包括召开紧急会议,审议提出处理方案,明确相关部门及分行工作职责。分行各相关部门根据各自职责开展应急处理工作。事发支行及对应业务部门根据分行领导小组的处置方案展开应急处理,避免客户信息泄露范围的进一步扩大。同时,事发支行及对应业务部门应及时通知对应客户相关情况,引导客户修改涉密信息。
对于个人客户信息泄露较大突发事件,由分行零售业务部协调分行各相关部门处理或酌情提交分行领导小组组织处理。具体处理流程包括召集相关业务部门召开紧急会议,评估突发事件影响,审议提出处理方案,明确相关部门及分行工作职责。分行各相关部门根据各自职责
开展应急处理工作。事发支行及对应业务部门根据分行处置方案展开应急处理,避免客户信息泄露范围的进一步扩大。同时,事发支行及对应业务部门应及时通知对应客户相关情况,引导客户修改涉密信息。