公民个人电子信息保护制度.docx

《公民个人电子信息保护制度.docx》由会员分享，可在线阅读，更多相关《公民个人电子信息保护制度.docx（16页珍藏版）》请在第一文库网上搜索。

1、公民个人电子信息保护制度类别：一级管理制度发布时间：4月30日编码：XX-13-103目录制定目的3适用范围3规范事项3一、 组织管理3（一）个人信息保护工作组织及职责3（二）明确责任与分工4（三）个人信息保护培训4（四）人员管理4二、 客户信息收集与存储4（一）个人信息梳理4（二）个人信息分类分级5（三）信息采集管理5（四）客户授权5（五）存储管理5三、客户信息使用6（一）内部使用6（二）外部使用7（三）数据提取8四、安全保护管理8（一）技术安全保障8（二）安全测评管理8五、合作方与外包人员管理8（一）合作方管理8（二）外包人员管理9六、个人信息安全应急管理9（一）数据备份9（二）风险监测、

2、预警及应急处置9（三）信息安全事件处置9七、内部审计9八、客户敏感信息泄露风险排查9（一）系统安全漏洞9（二）系统开发生命周期安全管控10（三）客户开户信息核实工作10九、建立客户信息长效保护机制10（一）严格落实网络安全责任制10（二）切实履行“三道防线”职责10（三）健全开发安全管理体系11（四）做好客户信息管控11（五）日常安全运营管理11（六）风险监测预警与应急管理11（七）客户重要信息质量12考核条款12附则13（一）解释权13（二）生效日期13附件14附件1:个人信息及个人敏感信息分类14制定目的为提高（以下简称“”）客户个人电子信息保护工作水平，有效保护客户隐私，防止客户信息泄露

3、，维护客户个人信息安全，保护客户合法权益,保障各项业务的正常开展，依据网络安全法、个人信息安全规范GB/T35273-2023、个人金融信息保护技术规范JR_T0171-2023,制定本制度。适用范围本制度适用于本公司存储和处理用户个人电子信息的相关信息系统。规范事项一、组织管理（一）个人信息保护工作组织及职责公司信息化管理委员会下属信息安全委员会主任是个人电子信息保护主管领导和责任人，信息安全委员会是个人电子信息保护的工作机构，负责个人电子信息安全工作，其职责包括但不限于：1 .全面统筹实施组织内部的个人信息安全工作，对个人电子信息安全负直接责任；2 .组织制定个人电子信息保护工作计划并督促

4、落实；3 .制定、签发、实施、定期更新个人电子信息保护政策和相关章程；4 .建立、维护和更新组织所持有的个人电子信息清单（包括个人电子信息的类型、数量、来源、接收方等）和授权访问策略；5 .开展个人电子信息安全影响评估，提出个人电子信息保护的对策建议，督促整改安全隐患；6 .组织开展个人电子信息安全培训;7 .公布投诉，举报方式等信息并及时受理投诉举报；8 .与监督、管理部门保持沟通，通报或报告个人电子信息保护和事件处置等情况。法律合规中心负责对客户信息采集、内部使用、外部使用进行法律风险评估，并制定、及时更新客户授权条款、审核隐私政策。（二）明确责任与分工总公司各部门IT联络岗、各分公司IT

5、岗是各部门、各分分支机构的个人信息保护管理员，岗位职责文件和操作规程中，应包括但不限于以下职责:1 .负责对本部门、本机构进行个人电子信息安全宣导。2 .负责个人电子信息保护工作在本部门、本机构内的执行落实。3 .与总公司信息中心保持沟通，配合处置、通报或报告个人电子信息保护和事件处置等情况。（三）个人信息保护培训个人电子信息保护责任人、管理员定期参加有关单位的个人信息保护培训。公司全体人员必须接受个人电子信息保护培训。（四）人员管理各相关部门围绕客户信息采集、存储、使用、审核、管理、技术维护等环节，应明确本部门接触客户信息的岗位人员，并签订保密协议。二、客户信息收集与存储（-）个人信息梳理根

6、据个人信息安全规范GB/T35273-2023的标准，对公司现有的数据资产中涉及个人信息的数据进行盘点、梳理、标识。（二）个人信息分类分级在个人信息梳理的基础上，对个人信息进行分类分级。详细分级分类见附件1个人信息及个人敏感信息分类。（三）信息采集管理在销售、出单、理赔、服务等环节，通过个人媒介采集的客户信息要在信息采集结束后两个工作日内录入到公司系统进行统一管理，系统留存客户信息后，个人媒介上的客户信息要同步进行不可恢复删除。通过第三方平台采集客户相关信息时，应签订包含保密条款的合作协议，明确会采集哪些个人信息以及个人信息使用范围。应对客户信息采集人员开展安全培训，在内部产品和业务流程设计上

7、进行风险提示，明确约定涉及客户资料交接的对外合作保密条款，消除信息泄露隐患。（四）客户授权主动采集客户信息时，应向客户明示采集、使用的目的、方式和范围，并获得个人信息主体清晰明确的授权同意。间接获取客户信息的，应要求个人信息提供方提供个人信息来源的合法性证明。（五）存储管理信息系统中的客户信息下载功能应谨慎设计，严格控制访问权限，禁止信息系统提供非本人/本单位客户信息下载功能。传输、存储个人敏感信息时，应采用加密等安全措施。采集个人信息后，应立即进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理;个人生物识别信息应与个人

8、身份信息分开存储；在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。个人信息存储系统应符合国家网络安全等级保护要求；禁止将客户信息存储在公司业务系统之外的其他服务器。个人信息存储超出期限后，应对个人信息进行删除或匿名化处理。三、客户信息使用应加强对客户信息使用人员的培训管理，在内部产品和业务流程设计上进行风险提示，明确约定涉及客户资料交接的对外合作保密条款，消除信息泄露隐患。（一）内部使用只能给予申请使用人员最小的权限，并按照“除非明确允许，否则一律禁止”的原则设置访问控制权限，开通权限时，必须经过审批。禁止在用户界面开发客户信息清单下载功能

9、。如因业务特别需要开发脱敏客户信息下载功能或未脱敏客户信息清单下载功能，应逐项完成审批后实施。功能开发时，应设定严格的数据下载筛选查询条件或下载信息审批流程或业务操作环节，下载筛选查询清单的时间区间及下载数量必须符合公司要求。数据使用部门对下载数据的安全负责，应明确由特定的岗位人员在特定业务环节操作并设定系统登录权限，禁止下载使用的客户信息脱离公司办公环境（国家法律法规及监管政策另有规定的除外），并要求使用后立即删除销毁或按规定妥善保管；要求系统属主部门结合业务实际需求严格按岗控制下载用户权限配置，防止权限过大,造成信息泄露。包含客户个人身份信息、银行账户信息、联系信息等客户敏感信息或者客户个

10、人隐私信息的用户页面，必须按最小原则进行显示，并且有数据保护措施，如截屏保护等。数据使用应按照系统访问审批流程完成使用审批及备案。必须按照“最小授权”原则设置客户信息访问查询条件，对敏感信息进行脱敏处理。应定期对各系统僵尸账号进行清理，及时调整与工作权限不符的账号权限。用户在线使用客户信息时，必须禁止通过任何手段使客户信息脱离应用系统。用户帐户及权限申请应当与个人岗位匹配，要求按照系统密码规则和要求定期更改密码，不得使用初始密码，并且用户个人帐户不得借于或授权他人使用。（二）外部使用各类网站、APP、微信公众号等互联网业务系统属于公司信息系统的客户敏感信息安全管理范畴，应重点保护。禁止客户信息

11、离线传输（国家法律法规、监管政策另有规定的除外）。使用人和使用部门严格按照审批批准的权限执行数据外发操作，外发客户信息前是否征得客户同意授权，并在客户授权范围内开展客户信息应用。按照“最小授权”原则，由使用部门确定传送业务必传字段；客户身份证、通讯地址、联系方式、账户信息等敏感信息原则上不传或加密、脱敏后传输。使用部门必须明确外发客户信息的使用期限，到期后关闭数据传输通道。使用部门负责对数据外部使用的监督管理责任，对外发客户信息采用公司指定的安全保护措施，并明确第三方系统的安全配置和防护标准，做好数据安全传输，数据安全评估检查等。业务合作方采集的客户信息，必须要求外部业务合作机构做好客户信息共

12、享授权，在获得客户信息共享授权后加密传输至本公司系统保存Q涉及数据外部使用需求的，必须进行逐级审批，并备案存档。第三方机构为公司关联方的，如构成关联交易，应履行关联交易相关审批及披露程序。（三）数据提取对涉及导出及提取客户个人信息的情况，应制定数据提取办法，有完整的审批流程，根据使用需求对客户敏感信息进行必要的数据漂白处理或*化显示控制。四、安全保护管理应加强对维护人员的安全培训管理，在内部产品和业务流程设计上落实客户信息安全控制，消除信息泄露隐患。（一）技术安全保障建立客户个人电子信息安全技术保障体系，是否有包括对客户敏感信息风险识别、监控、预警、攻击追踪溯源等在内具体的实施技术保障方案，是

13、否落实客户信息安全技术管控措施。（二）安全测评管理应开展个人信息保护测评、系统安全定级、个人信息保护检查和风险评估工作。五、合作方与外包人员管理（-）合作方管理与第三方机构签订安全保密协议或在业务合作协议中约定保密义务，明确第三方对本公司客户信息的安全管理责任。公司系统与合作方系统对接时，应通过相应技术手段对系统内部进行安全防护。与合作方系统对接，仅允许合作方查询通过其承保的业务情况。对合作方进行系统访问时，必须设置安全边界及访问控制策略。（二）外包人员管理应按照外包人员管理制度，签订外包人员保密协议，进行安全培训。六、个人信息安全应急管理（-）数据备份应制定备份策略并定期进行备份。（二）风险

14、监测、预警及应急处置应制定详细的应急处置预案，并进行演练。信息安全监测系统中应具备客户个人电子信息保护风险相关功能，能及时监测发现非法操作、异常行为，并能进行有效的限制。应能及时监测发现网络攻击等安全威胁，有效识别客户信息泄露风险,并能快速定位问题并阻断网络攻击行为。（三）信息安全事件处置按照信息安全事件处置流程，发生事件后作相关记录，进行报告，并采取积极合理的措施进行处置。七、内部审计应将涉及个人信息安全管理的所有内容纳入年度信息安全审计计划，定期对个人信息数据全生命周期各个环节进行技术审计、制度审计以及合规审计。八、客户敏感信息泄露风险排查（一）系统安全漏洞1 .应排查是否存在越权查询等安

15、全漏洞。2 .应排查是否提供未经身份认证的个人信息查询功能。3 .应排查是否对查询数据范围进行限制。4 .应排查是否对敏感信息字段进行加密或者脱敏显示。5 .应排查是否对客户查询页面进行时效、操作频度进行控制。6 .应排查是否存在其他可能导致客户敏感信息泄露的安全漏洞或风险隐患。（二）系统开发生命周期安全管控系统的开发设计方案必须经过安全人员评审，在评审过程中应关注逻辑设计、权限控制等方面。互联网系统上线前必须开展网络安全测试，包括但不限于代码审计、渗透测试，并有工作开展的相关文档、记录、总结。安全测试发现的问题必须在投产上线前进行了有效处置，防止“带病上线”。系统上线后必须定期开展安全评估，及时发现并修补重大安全漏洞。（三）客户开户信息核实工作应对现有客户开户信息进行全面核实。对已变更的客户重要信息（如手机号码等）应及时更新。九、建立客户信息长效保护机制（一）严格落实网络安全责任制应建立网络安全责任制，明确网络安全第一责