银行ⅩⅩ分行个人客户信息泄露突发事件应急预案文档格式.docx

1、产品持有信息、客户往来信息、客户营销信息。第四条工作原则。（一）合法合规原则。个人客户信息保护的方法、流程，个人客户信息出现泄露后的应急处理流程和方法都需严格遵守本预案第二条所列的法律法规。（二）分级管理原则。根据个人客户信息泄露事件的特点和影响，将突发事件分级管理，针对不同等级的突发事件釆取不同的应急处理流程。（三）事前防范原则。根据个人客户信息泄露的易发、高发问题，制定针对性的事前防范监控体系，尽量避免突发事件发生。（四）高效处置原则。当出现个人客户信息泄露等突发事件后，要明确责任，高效处置，在最短时间内处理因客户信息泄露可能带来的风险和客户损失。（五）维护权益原则。当出现个人客户信息泄露

2、等突发事件后，要切实保护客户利益，釆取一切积极有效措施，尽量减少客户损失。第二章组织指挥体系与职责第五条成立交行分行个人客户信息保护应急领导小组（以下简称领导小组），领导小组是处理交行分行个人客户信息保护和突发事件处置的决策机构。领导小组组长由分行零售业务分管行长担任，分行零售业务部、营运管理部、电子银行部、授信与风险管理部等涉及个人客户信息管理和使用的部门负责人为领导小组成员，领导小组的日常办公机构设在分行零售业务部。第六条分行相关部门职责：（一）根据分行领导小组的指示或分行业务部门的要求，做好本单位个人客户信息泄露突发事件的现场处置和情况上报；（二）制定分行个人客户信息泄露突发事件应急处理

3、的细化流程，定期组织预案的演练；（三）负责检查、指导网点个人客户信息泄露突发事件的应急管理工作。第三章事件的分级第七条根据个人信息泄露突发事件的性质、影响和危害，划分为三个级别：重大突发事件，较大突发事件和一般突发事件。第八条重大突发事件是指造成特别严重影响或破坏的个人客户信息泄露事件。重大突发事件的影响范围在一千名客户（含）以上，波及各省直分行，泄露信息内容包括客户姓名、联系方式、账号、密码等敏感信息，严重损害交行个人客户利益，严重影响交行声誉和利益。第九条较大突发事件是指造成较严重影响或破坏的个人客户信息泄露事件。较大突发事件的影响范围在一百名客户（含）以上，波及一个或多个省直分行，泄露信

4、息内容包括客户姓名、联系方式、账号、密码等敏感信息，影响到交行个人客户利益，影响到交行声誉和利益。第十条一般突发事件是指影响范围和严重程度有限的个人客户信息泄露事件。一般突发事件的影响范围在一百名客户以下，波及一个省直分行或省辖分行网点，泄露信息内容不涉及客户姓名、联系方式、账号、密码等敏感信息，对交行个人客户利益基本不造成损害，对交行声誉和利益基本没有影响或者影响较小。第四章报告制度第十一条当出现个人客户信息泄露突发事件后，应及时提交个人客户信息泄露突发事件紧急报告以下简称紧急报告）、个人客户信息泄露突发事件跟踪报告（以下简称跟踪报告）和个人客户信息泄露突发事件处置报告（以下简称处置报告）。

5、紧急报告的内容应包括突发事件涉及的主管部门或单位名称、事发时间、涉及客户数量（列出客户清单及泄露信息范围）、突发事件应急处理联系人等情况；跟踪报告的内容应包括突发事件的原因分析、事态发展趋势、事件影响程度和范围、可能造成的损失、巳经进行的先期紧急处理工作、拟进一步釆取的措施及其他与本事件有关的情况；处置报告的内容应报告突发事件情况简述、突发事件原因分析、突发事件相关人员/责任及处罚情况、后续整改措施和落实推进计划等。第十二条个人客户信息泄露突发事件报告线路与时限。（一）个人客户信息泄露重大突发事件的直接管辖部门或单位须在事发后2小时内直接向分行领导小组、分行零售业务部和分行相关业务部门同时提交

6、紧急报告，并及时向所在地银监会派出机构报告。至突发事件处理完毕前，每周向分行领导小组、分行零售业务部和分行相关业务部门同时提交跟踪报告。突发事件处理结束后一个月内，向分行领导小组、分行零售业务部和分行相关业务部门同时提交处置报告。（二）个人客户信息泄露较大突发事件的直接管辖部门或单位须在事发后4小时向分行零售业务部和分行相关业务部门同时提交紧急报告，分行零售业务部接报后酌情报呈分行领导小组。至突发事件处理完毕前，每两周向分行零售业务部和分行相关业务部门同时提交跟踪报告。突发事件处理结束后一个月内，向分行零售业务部和分行相关业务部门同时提交处置报告。（三）个人客户信息泄露一般突发事件的直接管辖部

7、门或单位须在事发后一天内向分行零售业务部和分行相关业务部门同时提交紧急报告，分行零售业务部接报后酌情报呈内蒙古区分行零售业务部。突发事件处理结束后一个月内，向内蒙古区分行零售业务部和分行相关业务部门同时提交处置报告。第五章应急处理第十三条个人客户信息泄露突发事件的应急处理。（一）个人客户信息泄露重大突发事件由分行领导小组直接组织处理，具体处理流程如下：1.分行领导小组召开紧急会议，审议提出处理方案，明确相关部门及分行工作职责； 分行各相关部门根据各自职责开展应急处理工作； 事发支行及对应业务部门根据分行领导小组的处置方案展开应急处理，避免客户信息泄露范围的进一步扩大； 事发支行及对应业务部门及

8、时通知对应客户相关情况，引导客户修改涉密信息。（二）个人客户信息泄露较大突发事件由分行零售业务部协调分行各相关部门处理或酌情提交分行领导小组组织处理，具体处理流程如下： 分行零售业务部召集相关业务部门召开紧急会议，评估突发事件影响，审议提出处理方案，明确相关部门及分行工作职责; 事发支行及对应业务部门根据分行处置方案展开应急处理，避免客户信息泄露范围的进一步扩大；（三）个人客户信息泄露一般突发事件由分行零售业务部协调分行各相关部门处理或酌情提交内蒙古区分行个人金融业务部协助处理，具体处理流程如下： 事发单位根据分行处置方案展开应急处理，避免客户信息泄露范围的进一步扩大；4.事发单位及时通知对应

9、客户相关情况，引导客户修改涉密信息。第十四条个人客户信息泄露突发事件的处理过程分为先期处理、应急处理、后期处理三个阶段。（一）先期处理。个人客户信息管理和使用相关的单位和部门要建立健全的个人客户信息泄露突发事件的预警机制，定期开展风险评估，做到早发现、早报告、早处理。（二）应急处理。 个人客户信息管理和使用相关的单位和部门，要按照应急预案和损失最小化原则，先行紧急处置。在紧急处置过程中，要按照“客户损失最小化，尽快恢复经营管理秩序、最大限度降低事件影响”等原则，开展各项工作。 按照个人客户信息泄露突发事件报告制度要求及时、准确、全面的向上级单位报告，根据事件级别原则上由分行酌情报告内蒙古区分行

10、个人金融业务部及相关业务部门，遇重大事件可直接报告分行领导小组。 通过新闻媒体报道的个人客户信息泄露突发事件，由分行综合管理部牵头负责协调相关报道的后续处理工作。（三）后期处信息泄露事件扩大化，最大限度减少客户的损失。分行相关业务部门按照管理职责和范围，指导各支行做好善后工作，尽快恢复正常经营秩序。2.总结与评估。个人客户信息泄露突发事件的直属管理机构负责对突发事件的起因、经过、结果、经验教训和预警措施等进行总结。重大突发事件须在分行领导小组会议上汇报。分行领导小组应针对重大突发事件反映出的问题予以回应和总结，并对相关业务部门和责任人提出整改和处理意见，并督促相关单位进一步完善监管措施和风险预

11、警机制。3.信息发布与声誉风险管理。分行综合管理部根据总行相关规定做好个人客户信息泄露突发事件的信息发布和声誉风险管理工作。第六章培训与演练第十五条宣传与培训。分行零售业务部、分行相关业务部门要通过网络、宣传栏、编制手册等多种途径，加强对个人客户信息保护及信息泄露应急预案的宣传和培训，普及预警知识，提升全行员工对个人客户信息保护的意识和对个人客户信息泄露事件的应急处理能力。第十六条应急演练。各单位要结合实际，有计划、有重点地组织开展突发客户个人信息泄露应急预案的演练。第十七条定期检查。分行要定期开展个人客户信息保护相关检查，并将检查结果上报内蒙古区分行个人金融业务部。第七章监控与预警第十八条监

12、控机制。分行应建立风险监控机制，对本分行、本部门的客户个人信息的储存系统和使用管理进行重点监控，做到对重大信息泄露事件的事前监控和及时预防，根据监控到的可能存在的个人客户信息泄露情况及时向内蒙古区分行个人金融业务部报告。第十九条预警机制。对可能引起个人客户信息泄露事件的监控情况，经分行零售业务部分析和评估后，发出相应等级的预警，预警由高至低划分为红色预警、橙色预警和蓝色预警三类。（一）红色预警：对可能引起个人客户信息泄露重大突发事件的情况，或可能引起个人客户信息泄露较大突发事件且经两次橙色预警后，相关支行或部门仍未釆取有效改进措施，也未给予合理解释的情况，经分行零售业务部评估并报请内蒙古区分行

13、领导小组后，可定为红色预警事件。（二）橙色预警：对可能引起个人客户信息泄露较大突发事件的情况，或可能引起个人客户信息泄露一般突发事件且经两次橙色预警后，相关支行或部门仍未釆取有效改进措施，也未给予合理解释的情况，经分行零售业务部评估后，可定为橙色预警事件。（三）蓝色预警：对可能引起个人客户信息泄露一般突发事件的，经分行零售业务部评估后，可定为蓝色预警事件，并报送内蒙古区分行个人金融业务部。第二十条预警反馈和解除。接到预警的相关单位，应在预警发出的3个工作日内，反馈解决相关冋题的完整方案和完成时限。若该事件在有效时限内得到解决，则预警解除；否则，分行零售业务部将再次发出预警。第八章附则第二十一条各单位可根据本预案制定实施细则。第二十二条本预案由分行零售业务部负责解释和修订。第二十三条本预案自印发之日起施行。