1、村镇银行征信信息安全事件应急处置机制及应急处置方案 总则为完善村镇银行(以下简称“本行”)征信信息安全体系建设,保障征信工作的稳定运行,规范征信信息安全事件的处理行为,结合本行实际,制定本办法。 本办法适用于超出事发单位的处置能力,需要总行协调、处置的征信信息安全事件应对工作。本办法所称应急预案是指事先制定的,针对征信信息安全事件,明确规定处置工作的操作步骤和具体方法的方案。处置征信信息安全事件应坚持在总行统一领导下,按照分级负责、分类处置、快速高效、安全稳妥的原则进行。应急处置的组织机构及职责支行成立征信信息安全事件应急处置工作小组。由支行行行长任组长,征信工作分管领导任副组长,成员信贷部、
2、风险管理部、办公室。工作小组由应急领导组、应急指挥组、应急执行组、应急保障组组成。应急领导组由征信信息安全工作领导小组组长及分管征信工作的行领导组成。主要职责包括:负责征信信息安全事件的应急决策。审核并批准相关应急预案。向征信信息安全工作领导小组报告应急处置进展情况、应急恢复预案的实施情况等。明确新闻发布人,授权其在应急处置过程中统一对外信息发布口径。宣布启动应急恢复流程,并根据本预案的宣告流程通知各职能部门。应急指挥组为本行征信信息安全事件应急处置的指挥组织,组长由分管征信工作的行领导担任,成员信贷部负责人担任。主要职责包括:对征信信息安全事件的处置过程进行评估,分析影响,制定应对方案措施。
3、负责应急处置过程的总体指挥、组织协调和过程控制。负责应急处置过程中各部门的沟通协调、人员组织、资源调配。指导应急执行组进行应急处置与业务恢复。应急执行组由会计部负责人组成。主要职责包括:负责实施征信信息安全事件的业务应急处置措施与技术应急处置措施。对征信信息安全事件影响情况进行分析和评估。向应急指挥组报告应急处置进展情况和事态发展情况等。事件发生后业务功能和信息系统的恢复。事件发生后风险评估报告的撰写。应急保障组办公室负责人组成。主要职责包括:提供应急处置所需人力和物力等资源保障。做好对受影响客户的解释和安抚工作。做好舆论控制、秩序维护、安全保障、法律咨询和支援等工作。提供其他为降低信息科技突
4、发事件负面影响或损失的应急支持保障。征信信息安全事件分级根据征信信息安全事件的可控性、严重程度和影响范围,将征信信息安全事件分为四级:级(特别重大)、级(重大)、级(较大)、(一般)。具体分级明细如下:级(特别重大)因违法出售、系统故障、征信用户被盗用等原因,导致征信信息大量泄密。级(重大):因未按约定用途使用信用信息,或征信异议、投诉未妥善处理,造成重大不良影响(被监管部门通报、公安机关立案、2名以上客户投诉或者诉讼、新闻媒体负面报道等)。通过自查自纠、监管机构通知、客户投诉等发现我行可能存在严重征信信息安全事件。级(较大)征信用户被冒用、盗用,暂未造成信息泄露。查询笔数与本机构业务量不匹配
5、。因系统、网络等原因导致征信查询及征信数据报送等无法正常运行超过6小时,对我行造成一定损害的事件。(一般)未经信息主体同意,查询征信信息或向第三方提供征信信息,暂未造成不良影响。因系统、网络等原因导致征信查询及征信数据报送等无法正常运行超过2小时,对我行声誉造成轻微或无影响,不危害客户利益的事件。应急响应征信信息安全事件发生时,事发机构要立即开展处置工作,采取有效措施控制事态发展。应急执行组立即分析征信信息安全事件的影响程度,并立即报告应急指挥组进行应急指挥组。应急指挥组立即召开会议,分析征信信息安全事件的原因、影响,研究处置措施,上报应急领导组决策。根据应急领导组决策,应急指挥组负责传达启动
6、应急处置预案的命令,迅速落实信息传递、业务运转、技术保障、安全保障、法律保障和后勤保障等工作,确保处置工作有序开展,尽快控制事态发展。应急执行组接到命令后,负责按方案对征信信息安全事件进行处置。事发单位接到命令后,组织相关业务骨干实施处置方案,及时向应急指挥组反映处置过程中存在问题,提出建设,同时做好应急处置情况的报告工作。应急领导组可根据事件的蔓延情况,组织分析、评估当前事件是否会发展成为更高等级的突发事件,判断事件是否升级。应急领导组根据上报信息,做出分析、决策,确认应急处置结束时,发布结束命令。应急管理后续处置应急处置工作结束后,应急领导组应组织有关方面人员进行总结,分析事件发生的深层次
7、原因、评估事件带来的滞后影响,向征信信息安全工作领导小组提交突发事件处置工作总结报告,并按规定向监管部门报告。根据应急分析总结,进一步完善应急预案。征信信息安全事件如系行内系统、网络原因造成,科技部需认真总结事件的发生原因,并提出整改措施和方案,并向征信信息安全应急处置工作小组备案。征信事件如系操作不当引起(如客户信息保管不当、未授权查询、未妥善保管密码等),导致事件发生的分支机构和总行业务部门应认真总结事件的发生原因,并提出整改措施和方案,并向征信信息安全应急处置工作小组备案。责任追究与奖惩征信信息安全应急处置实行责任追究制,对发生下列情况的直接责任人和相关责任人进行责任追究,并对有关负责人进行问责:瞒报、迟报、漏报征信信息安全事件,导致应急处置延误的;违反规定或因渎职行为引发征信信息安全事件的;征信信息安全事件发生后未采取有效措施处置,导致事态扩大,影响恶劣的;应急处置工作小组未按照相关规定履行职责的行为;未严格执行保密制度,导致泄密、失密,导致事态扩大的;应急处置工作小组认定应追究责任的其他有关行为。对在应急处置工作中作出突出贡献的集中和个人给予表扬和奖励。附则本办法由村镇银行负责制定并解释。本办法自印发之日实施6