客户个人信息保护突发事件应急预案

X银行客户个人信息保护突发事件应急预案第一章总则第一条为防范和应对客户个人信息保护突发事件（以下简称突发事件），最大程度地减轻突发事件对客户和X银行的损害，保护客户合法权益，保障我行正常经营秩序，根据《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《中国银监会关于印发银行业消费者权益保护工作指引的通知》、《X银行客户个人金融信息保护工作管理办法》等规章制度，结合我行实际制定本预案。第二条本预案适用于因信息技术故障、自然灾害或其他突发事件、人为因素造成我行客户个人信息发生泄露、丢失、损坏、篡改或不当使用，损害客户利益，影响我行声誉和正常经营的突发事件。第三条工作原则（一）合法合规原则。突发事件应急处理流程和处置方法必须严格遵守相关法律法规和我行规章制度。（二）分级管理原则。根据突发事件的特点和影响程度对突发事件分级管理，针对不同等级的突发事件采取不同的应急处理流程。（三）高效处置原则。对突发事件应快速响应，高效处置，最大限度的化解风险、减少损失。第二章突发事件的分级第五条突发事件根据性质、影响和危害，划分为特别重大突发事件（I级）、重大突发事件（II级）和较大突发事件（III级）。事件等级分级标准特别重大突发事件（I级）重大突发事件（II级）较大突发事级）影响和危害程度对客户或我行利益及声誉造成特别重大损害；对我行业务秩序造成特别重大影响。对客户或我行利益及声誉造成重大损害；对我行业务秩序造成重大影响。对客户或我行利益及声誉造成较大损害；对我行业务秩序造成较大影响。信息技术故障1．两个（含）以上的一级分行或总行部门因同一原因丢失、泄露、损毁重要敏感信息。2．一级分行或总行部门丢失、泄露、损毁重要敏感信息1000条（含）以上或客户其他信息5000条（含）以上的。一级分行或总行部门丢失、泄露、损毁重要敏感信息200条（含）以上或客户其他信息1000条（含）以上的。一级分行或总行部门丢失、泄露、损毁客户信息的自然灾害或其他突发事件丢失、泄露、损毁重要敏感信息1000条（含）以上或客户其他信息5000条（含）以上的。。丢失、泄露、损毁重要敏感信息200条（含）以上或客户其他信息1000条（含）以上的。丢失、泄露、损毁客户信息的人为因素1．我行员工非法获取、1．我行员工非法获我行员工因操作不出售、对外提供重要敏感信息50条（含）以上或客户其他信息500条（含）以上；2．我行员工因操作不当意外泄露、篡改、不当使用重要敏感信息200条（含）以上或客户其他信息1000条（含）以上。取、出售、对外提供重要敏感信息或客户其他信息的；2．我行员工因操作不当意外泄露、篡改、不当使用重要敏感信息50条（含）以上或客户其他信息200条（含）以上。当意外泄露、篡改、不当使用重要敏感信息或客户其他信息的第六条当突发事件同时满足多个级别的定级条件时，按最高级别确定事件等级。突发事件随时间推移升级后，按照升级后的级别进行处理。第三章组织体系与职责分工第七条成立X银行客户个人信息保护应急领导小组。应急领导小组是处理突发事件的决策机构，组长由总行零售业务分管行长兼任，总行个人金融部、办公室、人力资源部、法律事务部、内控合规部、信息科技部、财富管理部、风险管理部、业务营运部、保卫部、消费金融事业部、金融科技事业部、信用卡事业部等涉及客户个人信息管理和使用的部门负责人为领导小组成员。应急领导小组办公室设在总行个人金融部，办公室负责人由总行个人金融部负责人担任，上述成员单位各派1名业务骨干作为办公室成员。第八条特别重大突发事件（以下简称I级事件）的处置由应急领导小组统一指挥；重大突发事件（以下简称II级事件）由应急办公室负责处置并向应急领导小组报告；较大突发事件（以下简称III级事件）由事发分行或总行部直接处置，并将处置结果报应急办公室备案。第九条突发事件应急领导小组职责：（一）审议和批准客户个人信息保护突发事件应急预案；（二）领导和指挥I级事件的应急处置；（三）决定I级事件的对外报告和公告；（四）负责其他重要应急处置事项的决策。第十条突发事件应急办公室职责：（一）编制、修订客户个人信息保护突发事件应急预案；（二）接收总行部门和一级分行I、II级事件的报告；（三）向应急领导小组报告I级事件；按照应急领导小组指令，推动应急方案的落实；收集汇总和报告突发事件处置情况；（四）组织协调应急办公室成员单位，制定和实施II级事件应急处置方案，并向应急领导小组汇报处置结果；（五）组织、协调总行应急预案的演练；（六）负责突发事件应急工作资料档案的归集和保管；（七）应急领导小组交办的其他事项。第十一条 应急领导小组各成员部门职责部门名称工作职责总行应急领导小组全部成员部门（含以下各部门）1．及时报告本部门发生和发现的I、II级事件；2．在职责范围内对I、II级事件提出处置建议；执行应急领导小组和应急办公室的指令；3．处置本部门发生的III级事件，将处置结果报应急办公室备案；4．指导、协助分行的应急处置工作；5．不断提高本部门职责范围内个人客户信息保护风险预警能力和防控能力；6．制定本部门职责范围内的突发事件应急措施；落实应急演练工作。个人金融部7．具体承办应急办公室日常工作，向应急领导小组报告突发事件及处置情况，传达应急领导小组指令，召集应急办公室会议。内控部8．负责审核客户个人信息保护突发事件应急预案；总行办公室9．密切关注突发事件的舆情状况，适时启动重大舆情应急预案，做好负面舆情处置和报告工作。法律事务部10．为突发事件应急处置措施的合法性提供建议；11．为使用法律手段提供建议，指导协助履行司法程序。信息科技部12．负责生产设备及应用系统的运行，参与突发事件的技术处置。人力资源部13．对突发事件相关责任人进行责任追究。第十二条 分行职责：（一）明确分行客户信息保护应急处理的牵头部门，参照总行客户个人信息保护突发事件应急预案，结合属地监管部门的要求，制定分行客户个人信息保护突发事件应急预案；（二）根据总行应急领导小组或应急办公室的指令以及总行相关部门的要求，做好I、II级事件的现场处置和报告工作；（三）负责处置分行权限范围内的III级事件，并将处置结果报总行应急办公室备案；（四）不断加强分行客户个人信息保护工作，提高风险预警能力和防控能力；（五）负责检查、指导所辖机构突发事件的应急管理和应急演练工作。第四章 报告程序及要求第十三条一级分行所辖各机构在发生或发现突发事件时必须立即通过迅捷渠道逐级报告至一级分行应急处理牵头部门及总行业务主管部门，特别重大的I级事件可同时上报总行应急办公室。第十四条一级分行应急处理牵头部门必须在获悉发生I、II级事件后立即通过迅捷渠道报告总行应急办公室，并在1小时内提交简要书面报告。后续按照应急领导小组或应急办公室要求持续报告事件进展和处置情况。第十五条总行相关部门发生或发现I、II级事件时，必须立即通过迅捷渠道报告应急办公室，并在1小时内提交简要书面报告，后续按照应急领导小组或应急办公室要求持续报告突发事件进展和处置情况。第十六条突发事件报告内容（一）事件所涉及的机构和部门，涉及的员工人数及岗位；（二）事件发生时间，形成原因及经过；（三）事件涉及客户和客户信息数量，影响范围，危害程度，后续发展趋势等；（四）初步判断事件等级；（五）已采取和拟采取的应对措施。第五章 处置措施及流程第十七条处置措施应急处置可采用但不限于以下措施：（一）做好客户沟通安抚工作，正确解答客户疑问，妥善处置客户投诉；（二）按照规定程序向公众披露相关信息，或通过媒体报道对突发事件，引导社会舆论，妥善处置负面舆情，维护我行声誉；（三）维护营业办公场所秩序，保证客户和我行财产安全；（四）按照规定向监管部门、政府部门以及公安部门报送事件情况；（五）采取有效措施弥补系统漏洞，恢复系统运行，恢复正常营业秩序；（六）补录、修正客户个人信息；（七）运用法律手段维护客户和我行合法权益；（八）按照相关规定追究事件当事人和事发单位责任。第十八条 先期处置总行各部门、各分行应建立健全突发事件预警机制，定期开展风险评估，做到早发现、早报告、早处理。发生突发事件后，事发单位在按照程序报告的同时，要先行采取紧急处置措施，避免事态扩大、降低事件影响、减少我行和客户损失。第十九条 I级事件处置流程（一）事发单位在第一时间按照程序报告事件情况，直至总行应急办公室，同时进行先期处置。（二）总行应急办公室收到报告后，立即向应急领导小组组长汇报，并按指示召集应急领导小组会议，通报事件情况。（三）应急小组成员根据事件情况提出处置意见，经应急领导小组同意后，按照职责分工组织事发单位落实处置方案。（四）应急办公室全程跟进事件的处置过程，及时向应急领导小组汇报处置进程和事件发展状况，并根据需要再次召集应急领导小组会议。（五）突发事件处置完毕后，事发单位向应急领导小组提交完整的处置情况报告。（六）总行应急办公室记录事件处置过程，整理留存相关资料，建立I级突发事件档案。第二十条 II级事件处置流程（一）事发单位在第一时间按照程序报告事件情况，直至总行应急办公室，同时进行先期处置。（二）总行应急办公室收到报告后，立即召集应急办公室成员召开应急处理会议，通报事件情况。（三）应急办公室成员根据事件情况提出处置意见，经讨论通过后，按照职责分工组织事发单位落实处置方案。（四）应急办公室全程跟进事件的处置过程，及时向应急办公室成员通报处置进程和事件发展状况，并根据需要再次召开应急办公室成员会议。（五）突发事件处置完毕后，事发单位向应急办公室提交完整的处置情况报告。（六）总行应急办公室记录事件处置过程，整理留存相关资料，建立II级突发事件档案。第二十一条 III级事件处置流程（一）事发单位在第一时间按照程序报告事件情况，同时进行先期处置。（二）总行部门或一级分行牵头部门视事件程度及处理涉及部门情况，按照既定程序，采取有效措施进行处置。处置完毕后，将事件情况和处置方法和结果报总行应急办公室备案。（三）总行应急办公室审核备案资料，建立III级突发事件档案。第二十二条总结与整改事发单位应深入分析事件成因，采取有效措施弥补管理、制度、流程和系统上的漏洞，完善预警机制和监督检查措施，杜绝类似事件发生。参与事件处置的各单位和部门应对处置过程中进行总结，汲取教训，积累经验，不断提升突发事件反应速度，提高应对措施的针对性和有效性。第六章责任追究与奖惩第二十三条责任追究与处罚对在突发事件处置过程中存在以下行为的责任人，按照《X银行员工违规违纪行为处理办法》等有关规定追究责任，予以处罚：（一）迟报、谎报、瞒报、漏报客户信息保护突发事件；（二）未执行、迟缓执行或错误执行应急处置方案，致使事态恶化或升级；（三）擅自对外披露、扩大知悉范围，或夸大事件程度，对我行声誉造成不良影响；（四）在处置过程中存在其他失职、渎职行为。第二十四条表彰与奖励对突发事件应急处置过程中做出突出贡献的部门、机构和个人按照有关规定予以表彰和奖励。第七章培训与演练第二十五条宣传与培训总行相关部门及各分行