收藏 分销(赏)
立即下载 开通VIP

支付机构个人信息保护工作检查列表.doc

上传人:丰**** 文档编号:4347597 上传时间:2024-09-09 格式:DOC 页数:6 大小:66.50KB
下载 相关 举报
支付机构个人信息保护工作检查列表.doc_第1页
第1页 / 共6页
支付机构个人信息保护工作检查列表.doc_第2页
第2页 / 共6页
支付机构个人信息保护工作检查列表.doc_第3页
第3页 / 共6页
支付机构个人信息保护工作检查列表.doc_第4页
第4页 / 共6页
支付机构个人信息保护工作检查列表.doc_第5页
第5页 / 共6页
点击查看更多>>
资源描述

1、支付机构个人信息保护工作检查列表编号检查项检查点基本要求检查结果1个人信息管理机构内部管理个人信息安全管理规定应建立个人信息安全管理规定,提出本单位个人信息保护管理工作原则,建立内部组织管理架构,明确个人信息保护管理总体要求,并根据本单位个人信息保护管理得实际情况修订或调整有关制度。就是否建立个人信息安全管理规定:就是否;有无根据实际情况修订或调整有关制度:有无个人信息安全管理操作流程应建立个人信息安全管理操作流程,对个人信息得访问、存储、使用、传输、加密、销毁等环节提出具体工作要求,明确各岗位在个人信息保护管理方面得工作内容就是否建立个人信息安全管理操作流程:就是 否;各环节内容就是否完整:

2、就是否个人信息安全管理权限与责任应严格控制个人信息保护得权限管理,确保以下核心工作落实到岗位,责任落实到人:1、 管理、控制对个人信息得访问权限;2、 监控所有对个人信息得访问活动;3、 及时处理突发个人信息安全事件;4、 检查、监督个人信息安全管理规定得落实。个人信息保护权限管理就是否落实到位:就是 否个人信息安全监督及检查机制应建立日常管理监督机制,确保落实个人信息保护得各项要求。应建立个人信息保护检查机制与工作流程,及时发现管理漏洞,确保个人信息安全。就是否建立个人信息安全监督及检查机制:就是 否个人信息安全事件应急预案应建立个人信息保护应急预案,定期演练,及时、有效应对个人信息安全事件

3、,降低事件造成得经济损失及不利影响.就是否建立个人信息保护应急预案:就是 否个人信息安全管理审计应定期开展个人信息保护管理相关得内部或外部审计,并根据审计结果完善先关制度、流程。就是否定期开展内部审计:就是 否就是否定期开展外部审计:就是否个人信息管理机构组织管理岗位职责应设置个人信息保护管理岗位,具体负责:1、 制订、维护与宣传本单位个人信息保护管理制度与流程;2、 对本单位个人信息得使用进行管理监督;3、 对个人信息保护相关事件进行分析处理;4、 通过技术手段保护个人信息安全。有无设置个人信息保护管理岗位:有 无岗位职责就是否完整:就是 否人员管理应与所有可访问个人信息得员工签署保密协议,

4、或在劳动合同中设置保密条款.应加强员工个人信息保护培训,确保员工了解各自岗位职责、本岗位可访问个人信息得安全等级,以及违反安全规定可能导致得后果。员工岗位调动或离职时,应立即终止或删除该员工对个人信息得访问权限。就是否与相关员工签署保密协议,或在合同中设置保密条款:就是 否就是否开展个人信息保护培训:就是 否员工离岗、离职管理就是否规范:就是否工作环境管理应注意工作人员工作环境内所有相关得个人信息管理,防止未经授权得、无意得、恶意得使用、泄露、损毁、丢失。工作环境包括:出入管理、工作桌面、计算机接口、计算机文件系统管理、其它相关管理。工作环境管理就是否规范:就是 否内部培训应根据人员、机构、业

5、务、需求等实际情况,制定个人信息管理相关得培训与教育制度,适时开展相关得培训。有无个人信息管理相关得培训与教育制度:有 无有无开展相关培训:有 无个人信息管理文档应在个人信息管理过程中记录与个人信息相关活动与行为得目得、时间、范围、对象、方式方法、效果、反馈等信息。这些活动与行为包括体系建立、宣传、培训教育、安全管理、过程改进、内审等。应建立与个人信息管理相关得规章、文件、记录、合同等文档得备案管理制度,并持续改进与完善。个人信息管理过程中就是否有记录:有 无有无建立与个人信息管理相关得备案管理制度:有无3访问控制基本功能权限管理根据“业务需要”原则,严格控制访问与使用个人信息,任何人都只能访

6、问其开展业务所必需得个人信息。应根据“双人控制原则,对访问权限进行分配.就是否根据“业务需求原则控制访问与使用个人信息:就是否就是否根据“双人控制”原则对访问权限进行分配:就是否身份验证应至少采用下列一种方式验证访问个人信息得人员身份:密码、令牌(如证书等)、生物特征、其它符合要求得鉴别手段。就是否采用有效得身份验证方式:就是否_逻辑访问控制用户账号管理应分配唯一得用户账号给每个有权访问个人信息得用户,并采取以下管理措施:1、 在添加、修改、删除用户账号或者操作权限前,应履行严格得审批手续;2、 对于连续天未使用得账号应予以权限冻结;冻结后30天仍未使用,应予以注销;3、 用户间不得共用同一个

7、访问账号及密码。用户账号管理就是否规范:就是否用户密码管理应对用户密码管理采取下列措施,降低用户密码遭窃取或泄露风险:1、 用户密码长度不得少于6位,应由数字或字符共同组成,不得设置简单密码;2、 系统应强制要求用户定期更改登录密码,修改周期最长不得超过9天,否则将予以登录限制;3、 应对密码进行加密保护,密码明文不得以任何形式出现;4、 重置用户密码前必须对用户身份进行核实。用户密码管理就是否规范:就是 否系统登录控制系统登录服务器连续失败达到次,应暂时冻结该用户账号;经系统管理员对用户身份验证并通过后,再恢复其用户状态。用户登录系统后,无任何操作时间达到或超过30分钟得,系统应要求用户重新

8、登录并验证身份。系统登录控制就是否规范:就是 否物理访问控制机房设置电子门禁系统机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别与记录进入得人员机房就是否安排专人值守,并设置电子门禁系统:就是 否来访人员申请与审批需进入机房得来访人员应经过申请与审批流程,并限制与监控其活动范围来访人员申请与审批就是否规范:就是 否设备得移入移出存储或处理个人信息得相关设备必须在获得审批权限后方可移入或移出物理隔离区域设备移入移出流程就是否规范:就是 否对机房划分区域得管理应对机房划分区域进行管理,区域与区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域机房就是否划分区域管理:就是否重要区域设

9、置第二道电子门禁系统重要区域应配置第二道电子门禁系统,控制、鉴别与记录进入得人员重要区域就是否设置第二道电子门禁系统:就是 否监控管理物理隔离区域进出通道均应安装录像监控设备,对人员、设备进出情况进行监控,监控录像资料至少保存0天物理隔离区域进出通道就是否安装监控设备:就是 否监控录像保存期限就是否达标:就是否4个人信息生命周期管理个人信息收集管理要求所有个人信息收集行为,要具有特定、明确、合法得目得,并应征得个人信息主体同意,应采用科学、规范、合法、适度、适当得收集方法与手段,以保障个人信息主体得权益。应将收集目得、范围、方法与手段、处理方式等明晰无误得告知个人信息主体,并征得个人信息主体同

10、意。应只收集能够到达已告知目得得最少信息。个人信息收集行为就是否合规:就是 否收集目得与范围等就是否明确告知个人信息主体:就是否个人信息显示在客户端输入密码等敏感个人信息时,不能以明文得方式显示在屏幕上就是否明文显示客户端输入得敏感个人信息:就是 否防截获在客户端上输入个人信息时,用户输入得数据应不被移动终端得其她设备或程序非授权获取用户输入得数据就是否能被非授权获取:就是 否防篡改在客户端上输入个人信息时,用户输入得数据应不被移动终端得其她设备或程序篡改用户输入得数据就是否能被篡改:就是否防屏幕录像客户端程序宜采用反屏幕录像技术,防范非法程序获取敏感个人信息客户端程序就是否采用反屏幕录像技术

11、:就是 否个人信息存储客户端信息存储要求客户端不能存储敏感个人信息及其密文,敏感个人信息及其密文在使用后应立即清除。客户端存储一般信息时,应进行加密处理。客户端就是否存储敏感个人信息及其密文:就是 否客户端存储一般信息时就是否加密:就是 否服务器信息存储要求服务器存储个人信息,应根据个人信息自动与非自动处理得特点,制定相应保护策略,包括访问控制、权限设置、密钥管理等,防止个人信息得不当使用、损毁、泄露、删除等。服务器存储个人敏感信息时,应采用加密得方式存储。服务器存储个人信息就是否规范:就是否服务器存储个人敏感信息时就是否加密:就是否备份与恢复应定期备份存储得个人信息,保证备份、恢复得完整性、

12、可靠性与准确性就是否对存储得个人信息定期备份:就是 否个人信息使用管理要求个人信息管理者使用个人信息应基于明确、合法得目得,并遵循以下约束:1、 应征得个人信息主体同意;2、 应在个人信息收集目得范围内使用;3、 在处理、使用个人信息时,应保证个人信息安全;4、 个人信息管理者向第三方提供个人信息,应获得信息主体授权。个人信息使用就是否合规:就是否个人信息使用要求敏感个人信息中得个人认证信息不能以任何形式下发到客户端。认证信息得比对只能在服务器进行。敏感个人信息中得个人身份信息在下发至客户端之前,应屏蔽个人身份信息中不可猜测得一部分,被屏蔽部分使用统一得符号替代。敏感个人信息得个人认证信息就是

13、否下发到客户端:就是 否认证信息得比对就是否只在服务器进行:就是否敏感个人信息中得个人身份信息下发至客户端之前,就是否进行部分屏蔽:就是 否开发测试使用要求采用专门用于测试得测试卡进行开发测试,真实个人信息不得用于开发测试。就是否使用真实个人信息用于开发测试:就是 否个人信息传输管理要求个人信息管理者传输个人信息应基于明确、合法得目得,并遵循以下约束:1、 应征得个人信息主体同意;2、 应在个人信息收集目得范围内传输个人信息;3、 在传输个人信息时,应保证个人信息得安全;4、 在传输个人信息时,应评估传输过程中可能存在得风险,明确相关责任.个人信息传输就是否合规:就是 否通信保密性应对传输个人

14、信息得通信过程中得整个报文或会话过程进行加密就是否对传输个人信息得通信报文或会话进行加密:就是否个人信息销毁管理要求应制定严格得个人信息销毁制度,确保应记录个人信息得相关得文档、介质得到及时、有效得销毁。个人信息销毁前应得到相应得授权.对于以下保存到期或已经使用完毕得个人信息,均应建立严格得销毁登记制度:1、 纸质、光盘、磁带及其它可移动得数据存储载体等介质中存储得个人信息;2、 报废设备或介质中存储得个人信息;3、 其她超过保存期限需销毁得个人信息。应保证存储敏感个人信息得介质在销毁后,信息不可恢复.就是否制定严格得个人信息销毁制度:就是 否个人信息销毁前就是否得到相应得授权:就是否存储敏感信息得介质在销毁后,就是否不可恢复:就是 否双人控制及记录对于所有需销毁得个人信息,应在监督人员在场情况下,采取有效措施,及时妥善销毁;对于不同类别个人信息得销毁,应分别建立销毁登记记录;销毁记录至少应包括:使用人、用途、销毁方式与时间、销毁人签字、监督人签字等内容。个人信息销毁时就是否采取双人控制措施:就是 否就是否建立销毁登记记录:就是否记录内容就是否完整:就是 否签字被检查方检查方

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服