公民個(gè)人電子信息保護(hù)制度

公民個(gè)人電子信息保護(hù)制度類別：一級(jí)管理制度

發(fā)布時(shí)間：4月30日

編碼：XX-13-103目錄TOC\o"1-5"\h\z\o"CurrentDocument"制定目的3\o"CurrentDocument"適用范圍3規(guī)范事項(xiàng)3\o"CurrentDocument"一、組織管理3（一）個(gè)人信息保護(hù)工作組織及職責(zé)3\o"CurrentDocument"（二）明確責(zé)任與分工4\o"CurrentDocument"（三）個(gè)人信息保護(hù)培訓(xùn)4\o"CurrentDocument"（四）人員管理4二、客戶信息收集與存儲(chǔ)4\o"CurrentDocument"（一）個(gè)人信息梳理4\o"CurrentDocument"（二）個(gè)人信息分類分級(jí)5\o"CurrentDocument"（三）信息采集管理5\o"CurrentDocument"（四）客戶授權(quán)5\o"CurrentDocument"（五）存儲(chǔ)管理5\o"CurrentDocument"三、客戶信息使用6（一）內(nèi)部使用6\o"CurrentDocument"（二）外部使用7（三）數(shù)據(jù)提取8四、安全保護(hù)管理8（一）技術(shù)安全保障8（二）安全測(cè)評(píng)管理8\o"CurrentDocument"五、合作方與外包人員管理8（一）合作方管理8（二）外包人員管理9\o"CurrentDocument"六、個(gè)人信息安全應(yīng)急管理9（一）數(shù)據(jù)備份9（二）風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警及應(yīng)急處置9（三）信息安全事件處置9七、內(nèi)部審計(jì)9\o"CurrentDocument"八、客戶敏感信息泄露風(fēng)險(xiǎn)排查9\o"CurrentDocument"（一）系統(tǒng)安全漏洞9（二）系統(tǒng)開發(fā)生命周期安全管控10\o"CurrentDocument"（三）客戶開戶信息核實(shí)工作10\o"CurrentDocument"九、建立客戶信息長(zhǎng)效保護(hù)機(jī)制10（一）嚴(yán)格落實(shí)網(wǎng)絡(luò)安全責(zé)任制10（二）切實(shí)履行“三道防線”職責(zé)10\o"CurrentDocument"（三）健全開發(fā)安全管理體系11\o"CurrentDocument"（四）做好客戶信息管控11（五）日常安全運(yùn)營(yíng)管理11（六）風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警與應(yīng)急管理11\o"CurrentDocument"（七）客戶重要信息質(zhì)量12\o"CurrentDocument"考核條款12附則13\o"CurrentDocument"（一）解釋權(quán)13（二）生效日期13附件14附件1：個(gè)人信息及個(gè)人敏感信息分類14制定目的為提高（以下簡(jiǎn)稱“”）客戶個(gè)人電子信息保護(hù)工作水平，有效保護(hù)客戶隱私，防止客戶信息泄露，維護(hù)客戶個(gè)人信息安全，保護(hù)客戶合法權(quán)益，保障各項(xiàng)業(yè)務(wù)的正常開展，依據(jù)《網(wǎng)絡(luò)安全法》、《個(gè)人信息安全規(guī)范GB/T35273-2020》、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范JR_T0171-2020》，制定本制度。適用范圍本制度適用于本公司存儲(chǔ)和處理用戶個(gè)人電子信息的相關(guān)信息系統(tǒng)。規(guī)范事項(xiàng)一、組織管理（一）個(gè)人信息保護(hù)工作組織及職責(zé)公司信息化管理委員會(huì)下屬信息安全委員會(huì)主任是個(gè)人電子信息保護(hù)主管領(lǐng)導(dǎo)和責(zé)任人，信息安全委員會(huì)是個(gè)人電子信息保護(hù)的工作機(jī)構(gòu)，負(fù)責(zé)個(gè)人電子信息安全工作，其職責(zé)包括但不限于：全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作，對(duì)個(gè)人電子信息安全負(fù)直接責(zé)任；組織制定個(gè)人電子信息保護(hù)工作計(jì)劃并督促落實(shí)；制定、簽發(fā)、實(shí)施、定期更新個(gè)人電子信息保護(hù)政策和相關(guān)章程；建立、維護(hù)和更新組織所持有的個(gè)人電子信息清單（包括個(gè)人電子信息的類型、數(shù)量、來源、接收方等）和授權(quán)訪問策略；開展個(gè)人電子信息安全影響評(píng)估，提出個(gè)人電子信息保護(hù)的對(duì)策建議，督促整改安全隱患；組織開展個(gè)人電子信息安全培訓(xùn)；公布投訴，舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào)；與監(jiān)督、管理部門保持溝通，通報(bào)或報(bào)告?zhèn)€人電子信息保護(hù)和事件處置等情況。法律合規(guī)中心負(fù)責(zé)對(duì)客戶信息采集、內(nèi)部使用、外部使用進(jìn)行法律風(fēng)險(xiǎn)評(píng)估，并制定、及時(shí)更新客戶授權(quán)條款、審核隱私政策。（二）明確責(zé)任與分工總公司各部門IT聯(lián)絡(luò)崗、各分公司IT崗是各部門、各分分支機(jī)構(gòu)的個(gè)人信息保護(hù)管理員，崗位職責(zé)文件和操作規(guī)程中，應(yīng)包括但不限于以下職責(zé)負(fù)責(zé)對(duì)本部門、本機(jī)構(gòu)進(jìn)行個(gè)人電子信息安全宣導(dǎo)。負(fù)責(zé)個(gè)人電子信息保護(hù)工作在本部門、本機(jī)構(gòu)內(nèi)的執(zhí)行落實(shí)。與總公司信息中心保持溝通，配合處置、通報(bào)或報(bào)告?zhèn)€人電子信息保護(hù)和事件處置等情況。（三）個(gè)人信息保護(hù)培訓(xùn)個(gè)人電子信息保護(hù)責(zé)任人、管理員定期參加有關(guān)單位的個(gè)人信息保護(hù)培訓(xùn)。公司全體人員必須接受個(gè)人電子信息保護(hù)培訓(xùn)。（四）人員管理各相關(guān)部門圍繞客戶信息采集、存儲(chǔ)、使用、審核、管理、技術(shù)維護(hù)等環(huán)節(jié)，應(yīng)明確本部門接觸客戶信息的崗位人員，并簽訂保密協(xié)議。二、客戶信息收集與存儲(chǔ)（一）個(gè)人信息梳理根據(jù)《個(gè)人信息安全規(guī)范GB/T35273-2020》的標(biāo)準(zhǔn)，對(duì)公司現(xiàn)有的數(shù)據(jù)資產(chǎn)中涉及個(gè)人信息的數(shù)據(jù)進(jìn)行盤點(diǎn)、梳理、標(biāo)識(shí)。（二）個(gè)人信息分類分級(jí)在個(gè)人信息梳理的基礎(chǔ)上，對(duì)個(gè)人信息進(jìn)行分類分級(jí)。詳細(xì)分級(jí)分類見附件1個(gè)人信息及個(gè)人敏感信息分類。（三）信息采集管理在銷售、出單、理賠、服務(wù)等環(huán)節(jié)，通過個(gè)人媒介采集的客戶信息要在信息采集結(jié)束后兩個(gè)工作日內(nèi)錄入到公司系統(tǒng)進(jìn)行統(tǒng)一管理，系統(tǒng)留存客戶信息后，個(gè)人媒介上的客戶信息要同步進(jìn)行不可恢復(fù)刪除。通過第三方平臺(tái)采集客戶相關(guān)信息時(shí)，應(yīng)簽訂包含保密條款的合作協(xié)議，明確會(huì)采集哪些個(gè)人信息以及個(gè)人信息使用范圍。應(yīng)對(duì)客戶信息采集人員開展安全培訓(xùn)，在內(nèi)部產(chǎn)品和業(yè)務(wù)流程設(shè)計(jì)上進(jìn)行風(fēng)險(xiǎn)提示，明確約定涉及客戶資料交接的對(duì)外合作保密條款，消除信息泄露隱患。（四）客戶授權(quán)主動(dòng)采集客戶信息時(shí)，應(yīng)向客戶明示采集、使用的目的、方式和范圍，并獲得個(gè)人信息主體清晰明確的授權(quán)同意。間接獲取客戶信息的，應(yīng)要求個(gè)人信息提供方提供個(gè)人信息來源的合法性證明。（五）存儲(chǔ)管理信息系統(tǒng)中的客戶信息下載功能應(yīng)謹(jǐn)慎設(shè)計(jì)，嚴(yán)格控制訪問權(quán)限，禁止信息系統(tǒng)提供非本人/本單位客戶信息下載功能。傳輸、存儲(chǔ)個(gè)人敏感信息時(shí)，應(yīng)采用加密等安全措施。采集個(gè)人信息后，應(yīng)立即進(jìn)行去標(biāo)識(shí)化處理，并采取技術(shù)和管理方面的措施，將可用于恢復(fù)識(shí)別個(gè)人的信息與去標(biāo)識(shí)化后的信息分開存儲(chǔ)并加強(qiáng)訪問和使用的權(quán)限管理；個(gè)人生物識(shí)別信息應(yīng)與個(gè)人身份信息分開存儲(chǔ)；在使用面部識(shí)別特征、指紋掌紋、虹膜等實(shí)現(xiàn)識(shí)別身份、認(rèn)證等功能后刪除可提取個(gè)人生物識(shí)別信息的原始圖像。個(gè)人信息存儲(chǔ)系統(tǒng)應(yīng)符合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)要求；禁止將客戶信息存儲(chǔ)在公司業(yè)務(wù)系統(tǒng)之外的其他服務(wù)器。個(gè)人信息存儲(chǔ)超出期限后，應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。三、客戶信息使用應(yīng)加強(qiáng)對(duì)客戶信息使用人員的培訓(xùn)管理，在內(nèi)部產(chǎn)品和業(yè)務(wù)流程設(shè)計(jì)上進(jìn)行風(fēng)險(xiǎn)提示，明確約定涉及客戶資料交接的對(duì)外合作保密條款，消除信息泄露隱患。（一）內(nèi)部使用只能給予申請(qǐng)使用人員最小的權(quán)限，并按照“除非明確允許，否則一律禁止”的原則設(shè)置訪問控制權(quán)限，開通權(quán)限時(shí)，必須經(jīng)過審批。禁止在用戶界面開發(fā)客戶信息清單下載功能。如因業(yè)務(wù)特別需要開發(fā)脫敏客戶信息下載功能或未脫敏客戶信息清單下載功能，應(yīng)逐項(xiàng)完成審批后實(shí)施。功能開發(fā)時(shí)，應(yīng)設(shè)定嚴(yán)格的數(shù)據(jù)下載篩選查詢條件或下載信息審批流程或業(yè)務(wù)操作環(huán)節(jié)，下載篩選查詢清單的時(shí)間區(qū)間及下載數(shù)量必須符合公司要求。數(shù)據(jù)使用部門對(duì)下載數(shù)據(jù)的安全負(fù)責(zé)，應(yīng)明確由特定的崗位人員在特定業(yè)務(wù)環(huán)節(jié)操作并設(shè)定系統(tǒng)登錄權(quán)限，禁止下載使用的客戶信息脫離公司辦公環(huán)境（國(guó)家法律法規(guī)及監(jiān)管政策另有規(guī)定的除外），并要求使用后立即刪除銷毀或按規(guī)定妥善保管；要求系統(tǒng)屬主部門結(jié)合業(yè)務(wù)實(shí)際需求嚴(yán)格按崗控制下載用戶權(quán)限配置，防止權(quán)限過大造成信息泄露。包含客戶個(gè)人身份信息、銀行賬戶信息、聯(lián)系信息等客戶敏感信息或者客戶個(gè)人隱私信息的用戶頁(yè)面，必須按最小原則進(jìn)行顯示，并且有數(shù)據(jù)保護(hù)措施，如截屏保護(hù)等。數(shù)據(jù)使用應(yīng)按照系統(tǒng)訪問審批流程完成使用審批及備案。必須按照“最小授權(quán)”原則設(shè)置客戶信息訪問查詢條件，對(duì)敏感信息進(jìn)行脫敏處理。應(yīng)定期對(duì)各系統(tǒng)僵尸賬號(hào)進(jìn)行清理，及時(shí)調(diào)整與工作權(quán)限不符的賬號(hào)權(quán)限。用戶在線使用客戶信息時(shí)，必須禁止通過任何手段使客戶信息脫離應(yīng)用系統(tǒng)。用戶帳戶及權(quán)限申請(qǐng)應(yīng)當(dāng)與個(gè)人崗位匹配，要求按照系統(tǒng)密碼規(guī)則和要求定期更改密碼，不得使用初始密碼，并且用戶個(gè)人帳戶不得借于或授權(quán)他人使用。（二）外部使用各類網(wǎng)站、APP、微信公眾號(hào)等互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)屬于公司信息系統(tǒng)的客戶敏感信息安全管理范疇，應(yīng)重點(diǎn)保護(hù)。禁止客戶信息離線傳輸（國(guó)家法律法規(guī)、監(jiān)管政策另有規(guī)定的除外）。使用人和使用部門嚴(yán)格按照審批批準(zhǔn)的權(quán)限執(zhí)行數(shù)據(jù)外發(fā)操作，外發(fā)客戶信息前是否征得客戶同意授權(quán)，并在客戶授權(quán)范圍內(nèi)開展客戶信息應(yīng)用。按照“最小授權(quán)”原則，由使用部門確定傳送業(yè)務(wù)必傳字段；客戶身份證、通訊地址、聯(lián)系方式、賬戶信息等敏感信息原則上不傳或加密、脫敏后傳輸。使用部門必須明確外發(fā)客戶信息的使用期限，到期后關(guān)閉數(shù)據(jù)傳輸通道。使用部門負(fù)責(zé)對(duì)數(shù)據(jù)外部使用的監(jiān)督管理責(zé)任，對(duì)外發(fā)客戶信息采用公司指定的安全保護(hù)措施，并明確第三方系統(tǒng)的安全配置和防護(hù)標(biāo)準(zhǔn)，做好數(shù)據(jù)安全傳輸，數(shù)據(jù)安全評(píng)估檢查等。業(yè)務(wù)合作方采集的客戶信息，必須要求外部業(yè)務(wù)合作機(jī)構(gòu)做好客戶信息共享授權(quán)，在獲得客戶信息共享授權(quán)后加密傳輸至本公司系統(tǒng)保存。涉及數(shù)據(jù)外部使用需求的，必須進(jìn)行逐級(jí)審批，并備案存檔。第三方機(jī)構(gòu)為公司關(guān)聯(lián)方的，如構(gòu)成關(guān)聯(lián)交易，應(yīng)履行關(guān)聯(lián)交易相關(guān)審批及披露程序。（三）數(shù)據(jù)提取對(duì)涉及導(dǎo)出及提取客戶個(gè)人信息的情況，應(yīng)制定數(shù)據(jù)提取辦法，有完整的審批流程，根據(jù)使用需求對(duì)客戶敏感信息進(jìn)行必要的數(shù)據(jù)漂白處理或*化顯示控制。四、安全保護(hù)管理應(yīng)加強(qiáng)對(duì)維護(hù)人員的安全培訓(xùn)管理，在內(nèi)部產(chǎn)品和業(yè)務(wù)流程設(shè)計(jì)上落實(shí)客戶信息安全控制，消除信息泄露隱患。（一）技術(shù)安全保障建立客戶個(gè)人電子信息安全技術(shù)保障體系，是否有包括對(duì)客戶敏感信息風(fēng)險(xiǎn)識(shí)別、監(jiān)控、預(yù)警、攻擊追蹤溯源等在內(nèi)具體的實(shí)施技術(shù)保障方案，是否落實(shí)客戶信息安全技術(shù)管控措施。（二）安全測(cè)評(píng)管理應(yīng)開展個(gè)人信息保護(hù)測(cè)評(píng)、系統(tǒng)安全定級(jí)、個(gè)人信息保護(hù)檢查和風(fēng)險(xiǎn)評(píng)估工作。五、合作方與外包人員管理（一）合作方管理與第三方機(jī)構(gòu)簽訂安全保密協(xié)議或在業(yè)務(wù)合作協(xié)議中約定保密義務(wù)，明確第三方對(duì)本公司客戶信息的安全管理責(zé)任。公司系統(tǒng)與合作方系統(tǒng)對(duì)接時(shí)，應(yīng)通過相應(yīng)技術(shù)手段對(duì)系統(tǒng)內(nèi)部進(jìn)行安全防護(hù)。與合作方系統(tǒng)對(duì)接，僅允許合作方查詢通過其承保的業(yè)務(wù)情況。對(duì)合作方進(jìn)行系統(tǒng)訪問時(shí)，必須設(shè)置安全邊界及訪問控制策略。（二）外包人員管理應(yīng)按照外包人員管理制度，簽訂外包人員保密協(xié)議，進(jìn)行安全培訓(xùn)。六、個(gè)人信息安全應(yīng)急管理（一）數(shù)據(jù)備份應(yīng)制定備份策略并定期進(jìn)行備份。（二）風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警及應(yīng)急處置應(yīng)制定詳細(xì)的應(yīng)急處置預(yù)案，并進(jìn)行演練。信息安全監(jiān)測(cè)系統(tǒng)中應(yīng)具備客戶個(gè)人電子信息保護(hù)風(fēng)險(xiǎn)相關(guān)功能，能及時(shí)監(jiān)測(cè)發(fā)現(xiàn)非法操作、異常行為，并能進(jìn)行有效的限制。應(yīng)能及時(shí)監(jiān)測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊等安全威脅，有效識(shí)別客戶信息泄露風(fēng)險(xiǎn)并能快速定位問題并阻斷網(wǎng)絡(luò)攻擊行為。（三）信息安全事件處置按照信息安全事件處置流程，發(fā)生事件后作相關(guān)記錄，進(jìn)行報(bào)告，并采取積極合理的措施進(jìn)行處置。七、內(nèi)部審計(jì)應(yīng)將涉及個(gè)人信息安全管理的所有內(nèi)容納入年度信息安全審計(jì)計(jì)劃，定期對(duì)個(gè)人信息數(shù)據(jù)全生命周期各個(gè)環(huán)節(jié)進(jìn)行技術(shù)審計(jì)、制度審計(jì)以及合規(guī)審計(jì)。八、客戶敏感信息泄露風(fēng)險(xiǎn)排查（一）系統(tǒng)安全漏洞應(yīng)排查是否存在越權(quán)查詢等安全漏洞。應(yīng)排查是否提供未經(jīng)身份認(rèn)證的個(gè)人信息查詢功能。應(yīng)排查是否對(duì)查詢數(shù)據(jù)范圍進(jìn)行限制。應(yīng)排查是否對(duì)敏感信息字段進(jìn)行加密或者脫敏顯示。應(yīng)排查是否對(duì)客戶查詢頁(yè)面進(jìn)行時(shí)效、操作頻度進(jìn)行控制。應(yīng)排查是否存在其他可能導(dǎo)致客戶敏感信息泄露的安全漏洞或風(fēng)險(xiǎn)隱患。（二）系統(tǒng)開發(fā)生命周期安全管控系統(tǒng)的開發(fā)設(shè)計(jì)方案必須經(jīng)過安全人員評(píng)審，在評(píng)審過程中應(yīng)關(guān)注邏輯設(shè)計(jì)、權(quán)限控制等方面?；ヂ?lián)網(wǎng)系統(tǒng)上線前必須開展網(wǎng)絡(luò)安全測(cè)試，包括但不限于代碼審計(jì)、滲透測(cè)試，并有工作開展的相關(guān)文檔、記錄、總結(jié)。安全測(cè)試發(fā)現(xiàn)的問題必須在投產(chǎn)上線前進(jìn)行了有效處置，防止“帶病上線”。系統(tǒng)上線后必須定期開展安全評(píng)估，及時(shí)發(fā)現(xiàn)并修補(bǔ)重大安全漏洞。（三）客戶開戶信息核實(shí)工作應(yīng)對(duì)現(xiàn)有客戶開戶信息進(jìn)行全面核實(shí)。對(duì)已變更的客戶重要信息（如手機(jī)號(hào)碼等）應(yīng)及時(shí)更新。九、建立客戶信息長(zhǎng)效保護(hù)機(jī)制（一）嚴(yán)格落實(shí)網(wǎng)絡(luò)安全責(zé)任制應(yīng)建立網(wǎng)絡(luò)安全責(zé)任制，明確網(wǎng)絡(luò)安全第一責(zé)任人，董事會(huì)、高管層要切實(shí)承擔(dān)網(wǎng)絡(luò)安全治理的主體責(zé)任。（二）切實(shí)履行“三道防線”職責(zé)信息科技部門應(yīng)嚴(yán)格按照軟件開發(fā)生命周期安全管控要求進(jìn)行安全設(shè)計(jì)、評(píng)審、研發(fā)、測(cè)試等，在系統(tǒng)開發(fā)的各個(gè)階段把好安全關(guān)口。風(fēng)險(xiǎn)管理部門應(yīng)定期深入開展信息科技風(fēng)險(xiǎn)評(píng)估，及時(shí)排查發(fā)現(xiàn)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)存在的重大安全漏洞，嚴(yán)防工作流于形式。審計(jì)部門應(yīng)定期開展互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)信息安全專項(xiàng)審計(jì)，全面識(shí)別風(fēng)險(xiǎn)隱患，督促問題整改。（三）健全開發(fā)安全管理體系應(yīng)建立互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)開發(fā)設(shè)計(jì)方案評(píng)審機(jī)制，安全崗位人員應(yīng)參與評(píng)審相關(guān)工作，要對(duì)功能的流程設(shè)計(jì)進(jìn)行充分考量，及時(shí)發(fā)現(xiàn)潛在的設(shè)計(jì)缺陷，避免出現(xiàn)邏輯漏洞。應(yīng)制定并落實(shí)安全需求、設(shè)計(jì)、編碼規(guī)范，減少應(yīng)用安全漏洞。所有互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)均須經(jīng)過嚴(yán)格的網(wǎng)絡(luò)安全評(píng)審和充分的網(wǎng)絡(luò)安全測(cè)試后方可投產(chǎn)運(yùn)行，包括但不限于代碼審計(jì)、滲透測(cè)試、漏洞掃描等，識(shí)別可能存在的后門程序、惡意代碼、邏輯缺陷和安全漏洞，禁止系統(tǒng)“帶病上線”。（四）做好客戶信息管控應(yīng)建立健全客戶信息保護(hù)管理體系，制定客戶信息分類和分級(jí)標(biāo)準(zhǔn)，針對(duì)不同等級(jí)的信息提出并落實(shí)與之相匹配的保護(hù)要求。應(yīng)分層分級(jí)設(shè)計(jì)數(shù)據(jù)接口，針對(duì)存儲(chǔ)和處理敏感客戶信息的互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)，要嚴(yán)格實(shí)施訪問控制。按照"最小必要"原則規(guī)范敏感客戶信息的網(wǎng)絡(luò)傳輸、客戶端信息展示數(shù)據(jù)共享等過程，采取必要的加密、身份鑒別、數(shù)據(jù)脫敏、屏蔽展示等措施。（五）日常安全運(yùn)營(yíng)管理要健全完善日常安全運(yùn)營(yíng)管理機(jī)制，定期對(duì)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)開展?jié)B透測(cè)試工作，及時(shí)發(fā)現(xiàn)和修補(bǔ)業(yè)務(wù)流程設(shè)計(jì)缺陷和安全漏洞，確?；ヂ?lián)網(wǎng)業(yè)務(wù)系統(tǒng)安全。應(yīng)按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度對(duì)重要信息系統(tǒng)進(jìn)行定級(jí)備案，并定期進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。原則上，面向互聯(lián)網(wǎng)提供金融服務(wù)的信息系統(tǒng)應(yīng)至少定為三級(jí)。（六）風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警與應(yīng)急管理應(yīng)建設(shè)客戶敏感信息風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警體系，強(qiáng)化風(fēng)險(xiǎn)識(shí)別和監(jiān)控，通過異常行為監(jiān)測(cè)、攻擊追蹤溯源等手段，及時(shí)準(zhǔn)確定位網(wǎng)絡(luò)攻擊威脅。制定客戶個(gè)人信息泄露、遭受網(wǎng)絡(luò)攻擊等事件場(chǎng)景的應(yīng)急預(yù)案，并定期組織開展培訓(xùn)和演練，確保能夠第一時(shí)間開展應(yīng)急處置、采取風(fēng)險(xiǎn)防控措施（七）客戶重要信息質(zhì)量應(yīng)完善有關(guān)制度，建立客戶重要信息（如手機(jī)號(hào)、地址等）管理和更新機(jī)制，采取有效的管理和技術(shù)措施，提升和保障客戶信息的準(zhǔn)確性和完整性應(yīng)在制度中明確客戶重要信息準(zhǔn)確性、完整性保障，信息更新等相關(guān)要求。用于發(fā)送提示短信、動(dòng)態(tài)驗(yàn)證碼等信息的客戶預(yù)留手機(jī)號(hào)碼，以及通訊地址變更時(shí)應(yīng)符合下列要求之一：1）客戶持有效身份證件到柜臺(tái)辦理；2）客戶通過網(wǎng)上渠道變更保單預(yù)留的手機(jī)號(hào)碼或地址，只能通過保險(xiǎn)公司官網(wǎng)或官方APP進(jìn)行變更，應(yīng)采取雙因素身份認(rèn)證驗(yàn)證用戶的真實(shí)身份，并通過驗(yàn)證發(fā)向原預(yù)留手機(jī)號(hào)碼的短信驗(yàn)證碼等可靠的方式，請(qǐng)求客戶本人對(duì)預(yù)留手機(jī)號(hào)碼變更操作進(jìn)行確認(rèn)。應(yīng)采取數(shù)字證書、電子簽名等技術(shù)手段確?？蛻魧?duì)重要信息變更的抗抵賴?？己藯l款（一）嚴(yán)重違反本制度，造成重大信息安全事件，對(duì)公司業(yè)務(wù)及公司形象造成嚴(yán)重影響的，按《行政管理辦法》甲類（開除）進(jìn)行考核。（二）違反本制度，造成普通信息安全事件，對(duì)公司業(yè)務(wù)及公司形象造成輕微影響的，按《行政管理辦法》乙類（當(dāng)月績(jī)效）進(jìn)行考核。（三）違反本制度，未造成信息安全事件，視違反行為情節(jié)嚴(yán)重程度，按《行政管理辦法》丙類（50%）、丁類（月績(jī)效20%）、戊類（月績(jī)效10%）進(jìn)行考核。附則（一）解釋權(quán)本制度由信息中心負(fù)責(zé)解釋（二）生效日期本制度自發(fā)布之日起實(shí)施。信息中心4月附件附件1：個(gè)人信息及個(gè)人敏感信息分類個(gè)人基本資料□個(gè)人姓名□生日□性