支付机构个人信息保护工作检查列表.doc

支付机构个人信息保护工作检查列表编号检查项检查点基本要求检查结果1个人信息管理机构内部管理个人信息安全管理规定应建立个人信息安全管理规定,提出本单位个人信息保护管理工作原则,建立内部组织管理架构,明确个人信息保护管理总体要求,并根据本单位个人信息保护管理的实际情况修订或调整有关制度。是否建立个人信息安全管理规定:□是□否;有无根据实际情况修订或调整有关制度:□有□无个人信息安全管理操作流程应建立个人信息安全管理操作流程,对个人信息的访问、存储、使用、传输、加密、销毁等环节提出具体工作要求,明确各岗位在个人信息保护管理方面的工作内容是否建立个人信息安全管理操作流程:□是□否;各环节内容是否完整:□是□否个人信息安全管理权限和责任应严格控制个人信息保护的权限管理,确保以下核心工作落实到岗位,责任落实到人:管理、控制对个人信息的访问权限;监控所有对个人信息的访问活动;个人信息保护权限管理是否落实到位:□是□否编号检查项检查点基本要求检查结果及时处理突发个人信息安全事件;检查、监督个人信息安全管理规定的落实。个人信息安全监督及检查机制应建立日常管理监督机制,确保落实个人信息保护的各项要求。应建立个人信息保护检查机制和工作流程,及时发现管理漏洞,确保个人信息安全。是否建立个人信息安全监督及检查机制:□是□否个人信息安全事件应急预案应建立个人信息保护应急预案,定期演练,及时、有效应对个人信息安全事件,降低事件造成的经济损失及不利影响。是否建立个人信息保护应急预案:□是□否个人信息安全管理审计应定期开展个人信息保护管理相关的内部或外部审计,并根据审计结果完善先关制度、流程。是否定期开展内部审计:□是□否是否定期开展外部审计:□是□否2个人信息管理机构组织管理岗位职责应设置个人信息保护管理岗位,具体负责:制订、维护和宣传本单位个人信息保护管理制度与流程;对本单位个人信息的使用进行管理监督;有无设置个人信息保护管理岗位:□有□无岗位职责是否完整:□是□否编号检查项检查点基本要求检查结果对个人信息保护相关事件进行分析处理;通过技术手段保护个人信息安全。人员管理应与所有可访问个人信息的员工签署保密协议,或在劳动合同中设置保密条款。应加强员工个人信息保护培训,确保员工了解各自岗位职责、本岗位可访问个人信息的安全等级,以及违反安全规定可能导致的后果。员工岗位调动或离职时,应立即终止或删除该员工对个人信息的访问权限。是否与相关员工签署保密协议,或在合同中设置保密条款:□是□否是否开展个人信息保护培训:□是□否员工离岗、离职管理是否规范:□是□否工作环境管理应注意工作人员工作环境内所有相关的个人信息管理,防止未经授权的、无意的、恶意的使用、泄露、损毁、丢失。工作环境包括:出入管理、工作桌面、计算机接口、计算机文件系统管理、其它相关管理。工作环境管理是否规范:□是□否内部培训应根据人员、机构、业务、需求等实际情况,制定个人信息管理相关的培训和教育制度,适时开展相关的培训。有无个人信息管理相关的培训和教育制度:□有□无编号检查项检查点基本要求检查结果有无开展相关培训:□有□无个人信息管理文档应在个人信息管理过程中记录与个人信息相关活动和行为的目的、时间、范围、对象、方式方法、效果、反馈等信息。这些活动和行为包括体系建立、宣传、培训教育、安全管理、过程改进、内审等。应建立与个人信息管理相关的规章、文件、记录、合同等文档的备案管理制度,并持续改进和完善。个人信息管理过程中是否有记录:□有□无有无建立与个人信息管理相关的备案管理制度:□有□无3访问控制基本功能权限管理根据“业务需要”原则,严格控制访问和使用个人信息,任何人都只能访问其开展业务所必需的个人信息。应根据“双人控制”原则,对访问权限进行分配。是否根据“业务需求”原则控制访问和使用个人信息:□是□否是否根据“双人控制”原则对访问权限进行分配:□是□否身份验证应至少采用下列一种方式验证访问个人信息的人员身份:密码、令牌(如证书等)、生物特征、其它符合要求的鉴别手段。是否采用有效的身份验证方式:□是□否_________________逻辑访问控制用户账号管理应分配唯一的用户账号给每个有权访问个人信息的用户,并采取以下管理措施:用户账号管理是否规范:□是□否编号检查项检查点基本要求检查结果在添加、修改、删除用户账号或者操作权限前,应履行严格的审批手续;对于连续90天未使用的账号应予以权限冻结;冻结后30天仍未使用,应予以注销;用户间不得共用同一个访问账号及密码。用户密码管理应对用户密码管理采取下列措施,降低用户密码遭窃取或泄露风险:用户密码长度不得少于6位,应由数字或字符共同组成,不得设置简单密码;系统应强制要求用户定期更改登录密码,修改周期最长不得超过90天,否则将予以登录限制;应对密码进行加密保护,密码明文