公民个人电子信息保护制度

和谐健康保险股份有限公司规章制度管理制度第公民个人电子信息保护制度类别：一级管理制度发布时间：4月30日编码：XX-13-103目录制定目的 3适用范围 3规范事项 3一、组织管理 3（一）个人信息保护工作组织及职责 3（二）明确责任与分工 4（三）个人信息保护培训 4（四）人员管理 4二、客户信息收集与存储 4（一）个人信息梳理 4（二）个人信息分类分级 5（三）信息采集管理 5（四）客户授权 5（五）存储管理 5三、客户信息使用 6（一）内部使用 6（二）外部使用 7（三）数据提取 8四、安全保护管理 8（一）技术安全保障 8（二）安全测评管理 8五、合作方与外包人员管理 8（一）合作方管理 8（二）外包人员管理 9六、个人信息安全应急管理 9（一）数据备份 9（二）风险监测、预警及应急处置 9（三）信息安全事件处置 9七、内部审计 9八、客户敏感信息泄露风险排查 10（一）系统安全漏洞 10（二）系统开发生命周期安全管控 10（三）客户开户信息核实工作 10九、建立客户信息长效保护机制 11（一）严格落实网络安全责任制 11（二）切实履行“三道防线”职责 11（三）健全开发安全管理体系 11（四）做好客户信息管控 12（五）日常安全运营管理 12（六）风险监测预警与应急管理 13（七）客户重要信息质量 13考核条款 13附则 14（一）解释权 14（二）生效日期 14附件 15附件1：个人信息及个人敏感信息分类 15

制定目的为提高（以下简称“”）客户个人电子信息保护工作水平，有效保护客户隐私，防止客户信息泄露，维护客户个人信息安全，保护客户合法权益，保障各项业务的正常开展，依据《网络安全法》、《个人信息安全规范GB/T35273-2020》、《个人金融信息保护技术规范JR_T0171-2020》，制定本制度。适用范围本制度适用于本公司存储和处理用户个人电子信息的相关信息系统。规范事项组织管理个人信息保护工作组织及职责公司信息化管理委员会下属信息安全委员会主任是个人电子信息保护主管领导和责任人，信息安全委员会是个人电子信息保护的工作机构，负责个人电子信息安全工作，其职责包括但不限于：全面统筹实施组织内部的个人信息安全工作，对个人电子信息安全负直接责任；组织制定个人电子信息保护工作计划并督促落实；制定、签发、实施、定期更新个人电子信息保护政策和相关章程；建立、维护和更新组织所持有的个人电子信息清单（包括个人电子信息的类型、数量、来源、接收方等）和授权访问策略；开展个人电子信息安全影响评估，提出个人电子信息保护的对策建议，督促整改安全隐患；组织开展个人电子信息安全培训；公布投诉，举报方式等信息并及时受理投诉举报；与监督、管理部门保持沟通，通报或报告个人电子信息保护和事件处置等情况。法律合规中心负责对客户信息采集、内部使用、外部使用进行法律风险评估，并制定、及时更新客户授权条款、审核隐私政策。明确责任与分工总公司各部门IT联络岗、各分公司IT岗是各部门、各分分支机构的个人信息保护管理员，岗位职责文件和操作规程中，应包括但不限于以下职责：负责对本部门、本机构进行个人电子信息安全宣导。负责个人电子信息保护工作在本部门、本机构内的执行落实。与总公司信息中心保持沟通，配合处置、通报或报告个人电子信息保护和事件处置等情况。个人信息保护培训个人电子信息保护责任人、管理员定期参加有关单位的个人信息保护培训。公司全体人员必须接受个人电子信息保护培训。人员管理各相关部门围绕客户信息采集、存储、使用、审核、管理、技术维护等环节，应明确本部门接触客户信息的岗位人员，并签订保密协议。客户信息收集与存储个人信息梳理根据《个人信息安全规范GB/T35273-2020》的标准，对公司现有的数据资产中涉及个人信息的数据进行盘点、梳理、标识。个人信息分类分级在个人信息梳理的基础上，对个人信息进行分类分级。详细分级分类见附件1个人信息及个人敏感信息分类。信息采集管理在销售、出单、理赔、服务等环节，通过个人媒介采集的客户信息要在信息采集结束后两个工作日内录入到公司系统进行统一管理，系统留存客户信息后，个人媒介上的客户信息要同步进行不可恢复删除。通过第三方平台采集客户相关信息时，应签订包含保密条款的合作协议，明确会采集哪些个人信息以及个人信息使用范围。应对客户信息采集人员开展安全培训，在内部产品和业务流程设计上进行风险提示，明确约定涉及客户资料交接的对外合作保密条款，消除信息泄露隐患。客户授权主动采集客户信息时，应向客户明示采集、使用的目的、方式和范围，并获得个人信息主体清晰明确的授权同意。间接获取客户信息的，应要求个人信息提供方提供个人信息来源的合法性证明。存储管理信息系统中的客户信息下载功能应谨慎设计，严格控制访问权限，禁止信息系统提供非本人/本单位客户信息下载功能。传输、存储个人敏感信息时，应采用加密等安全措施。采集个人信息后，应立即进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理；个人生物识别信息应与个人身份信息分开存储；在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。个人信息存储系统应符合国家网络安全等级保护要求；禁止将客户信息存储在公司业务系统之外的其他服务器。个人信息存储超出期限后，应对个人信息进行删除或匿名化处理。客户信息使用应加强对客户信息使用人员的培训管理，在内部产品和业务流程设计上进行风险提示，明确约定涉及客户资料交接的对外合作保密条款，消除信息泄露隐患。内部使用只能给予申请使用人员最小的权限，并按照“除非明确允许，否则一律禁止”的原则设置访问控制权限，开通权限时，必须经过审批。禁止在用户界面开发客户信息清单下载功能。如因业务特别需要开发脱敏客户信息下载功能或未脱敏客户信息清单下载功能，应逐项完成审批后实施。功能开发时，应设定严格的数据下载筛选查询条件或下载信息审批流程或业务操作环节，下载筛选查询清单的时间区间及下载数量必须符合公司要求。数据使用部门对下载数据的安全负责，应明确由特定的岗位人员在特定业务环节操作并设定系统登录权限，禁止下载使用的客户信息脱离公司办公环境（国家法律法规及监管政策另有规定的除外），并要求使用后立即删除销毁或按规定妥善保管；要求系统属主部门结合业务实际需求严格按岗控制下载用户权限配置，防止权限过大，造成信息泄露。包含客户个人身份信息、银行账户信息、联系信息等客户敏感信息或者客户个人隐私信息的用户页面，必须按最小原则进行显示，并且有数据保护措施，如截屏保护等。数据使用应按照系统访问审批流程完成使用审批及备案。必须按照“最小授权”原则设置客户信息访问查询条件，对敏感信息进行脱敏处理。应定期对各系统僵尸账号进行清理，及时调整与工作权限不符的账号权限。用户在线使用客户信息时，必须禁止通过任何手段使客户信息脱离应用系统。用户帐户及权限申请应当与个人岗位匹配，要求按照系统密码规则和要求定期更改密码，不得使用初始密码，并且用户个人帐户不得借于或授权他人使用。外部使用各类网站、APP、微信公众号等互联网业务系统属于公司信息系统的客户敏感信息安全管理范畴，应重点保护。禁止客户信息离线传输（国家法律法规、监管政策另有规定的除外）。使用人和使用部门严格按照审批批准的权限执行数据外发操作，外发客户信息前是否征得客户同意授权，并在客户授权范围内开展客户信息应用。按照“最小授权”原则，由使用部门确定传送业务必传字段；客户身份证、通讯地址、联系方式、账户信息等敏感信息原则上不传或加密、脱敏后传输。使用部门必须明确外发客户信息的使用期限，到期后关闭数据传输通道。使用部门负责对数据外部使用的监督管理责任，对外发客户信息采用公司指定的安全保护措施，并明确第三方系统的安全配置和防护标准，做好数据安全传输，数据安全评估检查等。业务合作方采集的客户信息，必须要求外部业务合作机构做好客户信息共享授权，在获得客户信息共享授权后加密传输至本公司系统保存。涉及数据外部使用需求的，必须进行逐级审批，并备案存档。第三方机构为公司关联方的，如构成关联交易，应履行关联交易相关审批及披露程序。数据提取对涉及导出及提取客户个人信息的情况，应制定数据提取办法，有完整的审批流程，根据使用需求对客户敏感信息进行必要的数据漂白处理或*化显示控制。安全保护管理应加强对维护人员的安全培训管理，在内部产品和业务流程设计上落实客户信息安全控制，消除信息泄露隐患。技术安全保障建立客户个人电子信息安全技术保障体系，是否有包括对客户敏感信息风险识别、监控、预警、攻击追踪溯源等在内具体的实施技术保障方案，是否落实客户信息安全技术管控措施。安全测评管理应开展个人信息保护测评、系统安全定级、个人信息保护检查和风险评估工作。合作方与外包人员管理合作方管理与第三方机构签订安全保密协议或在业务合作协议中约定保密义务，明确第三方对本公司客户信息的安全管理责任。公司系统与合作方系统对接时，应通过相应技术手段对系统内部进行安全防护。与合作方系统对接，仅允许合作方查询通过其承保的业务情况。对合作方进行系统访问时，必须设置安全边界及访问控制策略。外包人员管理应按照外包人员管理制度，签订外包人员保密协议，进行安全培训。个人信息安全应急管理数据备份应制定备份策略并定期进行备份。风险监测、预警及应急处置应制定详细的应急处置预案，并进行演练。信息安全监测系统中应具备客户个人电子信息保护风险相关功能，能及时监测发现非法操作、异常行为，并能进行有效的限制。应能及时监测发现网络攻击等安全威胁，有效识别客户信息泄露风险，并能快速定位问题并阻断网络攻击行为。信息安全事件处置按照信息安全事件处置流程，发生事件后作相关记录，进行报告，并采取积极合理的措施进行处置。内部审计应将涉及个人信息安全管理的所有内容纳入年度信息安全审计计划，定期对个人信息数据全生命周期各个环节进行技术审计、制度审计以及合规审计。客户敏感信息泄露风险排查系统安全漏洞应排查是否存在越权查询等安全漏洞。应排查是否提供未经身份认证的个人信息查询功能。应排查是否对查询数据范围进行限制。应排查是否对敏感信息字段进行加密或者脱敏显示。应排查是否对客户查询页面进行时效、操作频度进行控制。应排查是否存在其他可能导致客户敏感信息泄露的安全漏洞或风险隐患。系统开发生命周期安全管控系统的开发设计方案必须经过安全人员评审，在评审过程中应关注逻辑设计、权限控制等方面。互联网系统上线前必须开展网络安全测试，包括但不限于代码审计、渗透测试，并有工作开展的相关文档、记录、总结。安全测试发现的问题必须在投产上线前进行了有效处置，防止“带病上线”。系统上线后必须定期开展安全评估，及时发现并修补重大安全漏洞。客户开户信息核实工作应对现有客户开户信息进行全面核实。对已变更的客户重要信息（如手机号码等）应及时更新。九、建立客户信息长效保护机制严格落实网络安全责任制应建立网络安全责任制，明确网络安全第一责任人，董事会、高管层要切实承担网络安全治理的主体责任。切实履行“三道防线”职责信息科技部门应严格按照软件开发生命周期安全管控要求进行安全设计、评审、研发、测试等，在系统开发的各个阶段把好安全关口。风险管理部门应定期深入开展信息科技风险评估，及时排查发现互联网业务系统存在的重大安全漏洞，严防工作流于形式。审计部门应定期开展互联网业务系统信息安全专项审计，全面识别风险隐患，督促问题整改。健全开发安全管理体系应建立互联网业务系统开发设计方案评审机制，安全岗位人员应参与评审相关工作，要对功能的流程设计进行充分考量，及时发现潜在的设计缺陷，避免出现逻辑漏洞。应制定并落实安全需求、设计、编码规范，减少应用安全漏洞。所有互联网业务系统均须经过严格的网络安全评审和充分的网络安全测试后方可投产运行，包括但不限于代码审计、渗透测试、漏洞扫描等，识别可能存在的后门程序、恶意代码、逻辑缺陷和安全漏洞，禁止系统“带病上线”。做好客户信息管控应建立健全客户信息保护管理体系，制定客户信息分类和分级标准，针对不同等级的信息提出并落实与之相匹配的保护要求。应分层分级设计数据接口，针对存储和处理敏感客户信息的互联网业务系统，要严格实施访问控制。按照"最小必要"原则规范敏感客户信息的网络传输、客户端信息展示、数据共享等过程，采取必要的加密、身份鉴别、数据脱敏、屏蔽展示等措施。日常安全运营管理要健全完善日常安全运营管理机制，定期对互联网业务系统开展渗透测试工作，及时发现和修补业务流程设计缺陷和安全漏洞，确保互联网业务系统安全。应按照国家网络安全等级保护制度对重要信息系统进行定级备案，并定期进行等级保护测评。原则上，面向互联网提供金融服务的信息系统应至少定为三级。风险监测预警与应急管理应建设客户敏感信息风险监测预警体系，强化风险识别和监控，通过异常行为监测、攻击追踪溯源等手段，及时准确定位网络攻击威胁。制定客户个人信息泄露、遭受网络攻击等事件场景的应急预案，并定期组织开展培训和演练，确保能够第一时间开展应急处置、采取风险防控措施。客户重要信息质量应完善有关制度，建立客户重要信息（如手机号、地址等）管理和更新机制，采取有效的管理和技术措施，提升和保障客户信息的准确性和完整性；应在制度中明确客户重要信息准确性、完整性保障，信息更新等相关要求。用于发送提示短信、动态验证码等信息的客户预留手机号码，以及通讯地址变更时应符合下列要求之一：1）客户持有效身份证件到柜台办理；2）客户通过网上渠道变更保单预留的手机号码或地址，只能通过保险公司官网或官方APP进行变更，应采取双因素身份认证验证用户的真实身份，并通过验证发向原预留手机号码的短信验证码等可靠的方式，请求客户本人对预留手机号码变更操作进行确认。应采取数字证书、电子签名等技术手段确保客户对重要信息变更的抗抵赖。考核条款（一）严重违反本制度，造成重大信息安全事件，对公司业务及公司形象造成严重影响的，按《行政管理办法》甲类（开除）进行考核。（二）违反本制度，造成普通信息安全事件，对公司业务及公司形象造成轻微影响的，按《行政管理办法》乙类（当月绩效）进行考核。（三）违反本制度，未造成信息安全事件，视违反行为情节严重程度，按《行政管理办法》丙类（50%）、丁类（月绩效20%）、戊类（月绩效10%）进行考核。附则（一）解释权本制度由信息中心负责解释。（二）生效日期本制度自发布之日起实施。信息中心4月

附件附件1：个人信息及个人敏感信息分类个人基本资料£个人姓名£生日£性别£民族£国籍£家庭关系