公民个人电子信息保护制度.docx

和谐健康保险股份有限公司规章制度管理制度 第PAGE 1 公民个人电子信息保护制度 类 别： 一级管理制度 发布时间： 4 月30 日 编 码： XX-13-103 目录 TOC \o 1-3 \h \z \u 制定目的 3 适用范围 3 规范事项 3 一、 组织管理 3 （一） 个人信息保护工作组织及职责 3 （二） 明确责任与分工 4 （三） 个人信息保护培训 4 （四） 人员管理 4 二、 客户信息收集与存储 4 （一） 个人信息梳理 4 （二） 个人信息分类分级 5 （三） 信息采集管理 5 （四） 客户授权 5 （五） 存储管理 5 三、 客户信息使用 6 （一） 内部使用 6 （二） 外部使用 7 （三） 数据提取 8 四、 安全保护管理 8 （一） 技术安全保障 8 （二） 安全测评管理 8 五、 合作方与外包人员管理 8 （一） 合作方管理 8 （二） 外包人员管理 9 六、 个人信息安全应急管理 9 （一） 数据备份 9 （二） 风险监测、预警及应急处置 9 （三） 信息安全事件处置 9 七、 内部审计 9 八、 客户敏感信息泄露风险排查 10 （一） 系统安全漏洞 10 （二） 系统开发生命周期安全管控 10 （三） 客户开户信息核实工作 10 九、建立客户信息长效保护机制 11 （一） 严格落实网络安全责任制 11 （二） 切实履行“三道防线”职责 11 （三） 健全开发安全管理体系 11 （四） 做好客户信息管控 12 （五） 日常安全运营管理 12 （六） 风险监测预警与应急管理 13 （七） 客户重要信息质量 13 考核条款 13 附则 14 （一）解释权 14 （二）生效日期 14 附件 15 附件1：个人信息及个人敏感信息分类 15  制定目的 为提高 （以下简称“ ”）客户个人电子信息保护工作水平，有效保护客户隐私，防止客户信息泄露，维护客户个人信息安全，保护客户合法权益，保障各项业务的正常开展，依据《网络安全法》、《个人信息安全规范 GB/T 35273-2020》、《个人金融信息保护技术规范 JR_T 0171-2020》，制定本制度。 适用范围 本制度适用于本公司存储和处理用户个人电子信息的相关信息系统。 规范事项 组织管理 个人信息保护工作组织及职责 公司信息化管理委员会下属信息安全委员会主任是个人电子信息保护主管领导和责任人，信息安全委员会是个人电子信息保护的工作机构，负责个人电子信息安全工作，其职责包括但不限于： 全面统筹实施组织内部的个人信息安全工作，对个人电子信息安全负直接责任； 组织制定个人电子信息保护工作计划并督促落实； 制定、签发、实施、定期更新个人电子信息保护政策和相关章程； 建立、维护和更新组织所持有的个人电子信息清单（包括个人电子信息的类型、数量、来源、接收方等）和授权访问策略； 开展个人电子信息安全影响评估，提出个人电子信息保护的对策建议，督促整改安全隐患； 组织开展个人电子信息安全培训； 公布投诉，举报方式等信息并及时受理投诉举报； 与监督、管理部门保持沟通，通报或报告个人电子信息保护和事件处置等情况。 法律合规中心负责对客户信息采集、内部使用、外部使用进行法律风险评估，并制定、及时更新客户授权条款、审核隐私政策。 明确责任与分工 总公司各部门IT联络岗、各分公司IT岗是各部门、各分分支机构的个人信息保护管理员，岗位职责文件和操作规程中，应包括但不限于以下职责： 负责对本部门、本机构进行个人电子信息安全宣导。 负责个人电子信息保护工作在本部门、本机构内的执行落实。 与总公司信息中心保持沟通，配合处置、通报或报告个人电子信息保护和事件处置等情况。 个人信息保护培训 个人电子信息保护责任人、管理员定期参加有关单位的个人信息保护培训。公司全体人员必须接受个人电子信息保护培训。 人员管理 各相关部门围绕客户信息采集、存储、使用、审核、管理、技术维护等环节，应明确本部门接触客户信息的岗位人员，并签订保密协议。 客户信息收集与存储 个人信息梳理 根据《个人信息安全规范GB/T 35273-2020》的标准，对公司现有的数据资产中涉及个人信息的数据进行盘点、梳理、标识。 个人信息分类分级 在个人信息梳理的基础上，对个人信息进行分类分级。详细分级分类见附件1 个人信息及个人敏感信息分类。 信息采