工行抚州分行“四加强”个人客户信息安全管理工作

    为强化全行个人客户信息安全管理、健全个人客户信息保护机制，明确管理职责，工行抚州分行依据《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》（银发[2012]80号）、《中国人民银行金融消费者权益保护实施办法》（银发[2016]314号）加强个人客户信息安全管理工作。
    一、加强组织管理。该行按照“谁主管谁负责、谁使用谁负责”和“分级管理、逐级负责”原则，强化组织管理，加强全行个人客户信息安全管理力度，通过必要的信息安全技防措施确保个人客户信息安全。
    二、加强用户管理。一是建立用户申请审批机制，以“知所必需，最小授权”原则合理确定用户类型和相应权限。用户开立前要通过培训、签署承诺书或考试等必要方式确保申请人掌握本系统个人客户信息保护相关要求。二是建立本专业用户生命周期管理机制，对用户基本信息以及申请、变更、停用等情况进行记录，实施有效管理。用户离职离岗或超过6个月不使用系统的，要及时停用用户或冻结查询权限。三是切实做到一人一户，杜绝公共账户。用户要对本人的用户信息严格保密，严禁将本人用户借与他人使用。违规出借用户的，出借方和实际使用人要予以同等处罚。
    三、加强信息安全管理。一是个人客户信息系统要做到业务场景驱动信息查询，确保个人客户信息查询具有真实的业务背景。二是个人客户信息系统查询和信息输出模式要严格遵循“业务必需”原则进行设计，关闭无实际业务需求的查询结果复制、下载、打印功能。三是设置用户异常查询行为监测。对无业务需要的跨地域、跨机构、非工作时、非工作日、短期高频、大批量查询等行为要做到及时识别，并采取阻断查询、向系统管理员或用户直线管理者预警、事后质询等有效措施进行干预或核查追责。四是业务主管部门和业务应用部门要通过非现场监测、现场检查等方式对本专业个人客户信息安全管理工作情况进行自查自纠，并对发现的问题及时进行整改。五是业务活动中查询所获个人客户信息属于业务档案资料的，要严格按照档案管理相关要求妥善保管、到期销毁。
    四、加强应急管理。一是建立个人客户信息安全重大突发事件应急处理机制,有效预防和妥善处置相关事件，提高处理能力，最大程度减少经济损失并降低不良影响。二是发生或接报个人客户信息安全重大突发事件时，及时查明事件发生原因、过程、已经和可能产生的不良后果，确定事件涉及的行内人员、部门或机构、系统等。三是发生重大突发事件涉及负面舆情的，涉事机构相关责任部门要在本单位办公室指导下，及时采取有效措施，控制负面舆情发酵升级。四是定期开展重大突发事件应急演练，每2年至少进行1次。