征信合规与信息安全问责制度
第一章总则
第一条为加强公司合规管理工作,增强自我约束能力,促进公司业务规范、持续、稳健发展,有效防范合规风险,根据《中国人民共和国证券法》、《证券、期货投资咨询管理暂行办法》、《证券投资顾问业务暂行规定》和其他有关规定,制定本制度。
第二条本制度所称合规,是指公司的经营管理活动和员工的执业行为应符合国家的法律、法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章制度,以及行业公认并普遍遵守的职业道德和行为准则(以下统称“法律、法规和准则”)。
第三条本制度所称合规风险,是指公司或员工的经营管理或执业行为违反法律、法规或准则而使公司受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险。
第四条本制度所称合规管理人员,是指合规总监、合规部门工作人员及各部门、各分支机构的专职或兼职合规风控专员。
合规管理人员应恪尽职守,全面、审慎地履行岗位职责,并承担履职尽职责任。
第五条合规管理原则:
(一)全员全面合规原则:公司在制度建设和业务流程设计上,通过完善相关合规管理制度与机制,使合规管理体系覆盖公司所有业务、各个部门和分支机构、公司董事、监事、高级管理人员和公司所有员工,贯穿决策、执行、监督、反馈等各个环节。
(二)实用有效原则:公司合规管理的实施应从公司的业务规模、组织结构、发展状况、公司文化等实际出发,兼顾成本与效率,强化相关合规管理制度、流程设计的可操作性,提高合规管理的有效性。
(三)独立性原则:公司合规管理体系与经营管理体系相互独立;合规总监、合规部门按照法律、法规与准则独立履行合规管理职责,任何部门、机构和个人不得防碍、阻挠合规管理人员履行职责。
(四)科学创新原则:在公司已形成的管理方法和合规文化的基础上,积极借鉴国内外同行的先进经验,科学地通过制度性与灵活性的结合,对公司合规管理的定位、组织、机制、方法、手段等进行创新,以更好地为公司健康发展提供支持。
第六条公司合规管理工作的目标是:
(一)通过合规管理体系的建设,使合规管理适应公司发展战略需求,并持续有效符合外部监管要求。
(二)形成公司内部约束长效机制,在全公司范围内营造全员“主动合规、人人合规、违规必罚”的合规氛围和机制。
(三)培育“合规从高层做起、全员全面合规、合规创造价值”的合规文化。
第二章合规管理架构体系及合规职责
第七条公司建立公司领导(风险控制委员会)——合规总监——合规部门——各部门分支机构专职及兼职合规风控专员四个层次的合规管理组织架构,负责对公司经营管理活动的合规风险进行识别、评估和管理。
公司领导、公司经营管理层依照法律、法规和公司章程的规定,
履行与合规管理有关的职责,对公司合规管理的有效性承担最终责任。
公司高级管理人员依照法律、法规和公司章程的规定,履行与合规管理有关的职责,对公司合规管理的有效性承担领导责任。
公司各部门和分支机构负责人应当加强对本部门和分支机构员工职业行为合规性的监督管理,对本部门和分支机构合规管理的有效性承担第一责任;
公司的全体员工都应当熟知与其执业行为有关的法律、法规和准则,主动识别、控制其执业行为的合规风险,并对其执业行为的合规性承担直接责任。
公司设立合规总监和合规部门,对公司及员工的经营管理和执业行为的合规性进行审查、监督和检查,履行合规监督检查、审查、咨询、教育培训等合规支持和合规控制职能。
第一节公司领导及公司经营管理层
第八条公司领导及公司经营管理层是公司合规管理的最高决策机构,具体履行以下合规职责:
(一)审议批准公司的合规管理基本政策,并监督其实施;
(二)领导并监督经营管理层合法合规经营管理;
(三)保证所负责的经营管理活动符合有关法律、法规和准则的要求;
(四)审议批准公司向中国证监会提交的公司半年度、年度合规报告;
(五)应和证券监管机构就公司合规管理和监管的相关问题进行动态、持续和双向的信息交流及行动协调。
(六)决定合规总监的聘任、解聘及报酬事项;
(七)保障合规总监及合规部门拥有充分的知情权和独立调查权。
(八)决定公司合规管理部门的设置及其职能;
(九)法律、法规或公司章程规定的其他合规职责。
第二节合规总监的合规职责
第九条合规总监是公司高级管理人员,向公司领导负责,对公司及工作人员的经营管理和执业行为的合规性进行审查、监督和检查。
公司解聘合规总监应当有正当理由,并自解聘之日起3个工作日内将解聘的事实和理由书面报告公司住所地证监局。
合规总监不能履行职责或者缺位时,公司经营管理层应当指定一名高级管理人员代行其职责,并自指定之日起3个工作日内向公司住所地证监局做出书面报告。代行合规总监职责的人员不得分管与合规管理职责相冲突的部门,代行职责的时间不得超过六个月。公司应当在六个月内聘请符合任职条件的人员担任合规总监。
第十条合规总监不得兼任与合规管理职责相冲突的职务,不得分管与合规管理职责相冲突的部门,不对具体经营管理活动进行决策。
第十一条合规总监履行以下工作职责:
(一)组织拟订公司合规管理的基本制度,制订相关工作规则;
(二)督导公司各部门、分支机构根据法律、法规的变化,评估、制定、修改、完善内部管理制度和业务流程;
(三)对公司重大决策、新产品和新业务等进行合审查;
(四)为公司经营管理层、各部门及分支机构提供合规建议及咨询,对其经营管理行为和业务活动的合法合规性进行监督。
(五)拟订年度合规工作计划,制订年度合规费用预算和人员编制计划。
(六)领导合规部门工作,组织、指导、督促合规部门履行合规职责,对合规部门的工作进行考核,统筹管理合规管理人员的任免、薪酬及奖惩;
(七)对员工行为的合规性和遵守职业操守的情况进行监督;
(八) 对公司和员工的违法违规行为进行质询、调查,提出处理意见,督促整改度按规定报告;
(九)处理涉及公司和员工违法违规行为的投诉、举报;
(十一)向台领导提交定期合规报告和临时合规报告;
(十二)制定合规手册,组织合规培训;
(十三)及时处理证券监管机构和自律组织要求调查的事项,配合证券监管机构和自律组织对公司的检查和调查,跟踪和评估监管意见和监管要求的落实情况;
(十四)与监管部门进行日常联系沟通,对监管部门要求出具意
见的材料及信息等进行合规审查并出具意见,履行向监管部门的报告义务。
(十五)法律、法规、规范性文件及台领导授予的其他职责。
第三节合规部门的合规职责
第十二条合规部门是合规工作的日常管理部门,向合规总监负责,在合规总监的领导下协助经营管理层有效识别和管理公司合规风险并对公司经营管理活动的合规性进行监督。
第十三条合规部门履行以下职责:
(一)协助合规总监制订、修订公司的合规制度和年度合规工作计划,并推动其贯彻落实;
(二)为业务和管理部门提供法律、合规咨询,当相关法律、法规发生变化时,对时对有关制度、经营管理活动进行合规性研究,提出合规建议及法律支持;
(三)对公司制度、操作流程和业务规则进行合规性审查,协助建立完善的制度体系。
(四)对公司重大决策及新产品、新业务进行合规性审查,并提出相关合规建议;
(五)防范利益冲突,组织或督促“信息隔离墙”制度的有效实施,在必要的时候对特殊交易进行审查;
(六)针对不同业务、不同部门进行合规检测、检查,对不合规事项进行调查、处理;
(七)对公司的合规风险进行识别、评估,并持续跟踪公司合规
风险的变化,定期向公司经营管理层进行合规风险信息通报;
(八)组织建设合规管理信息技术平台;
(九)组织合规培训及法律宣传教育,制定合规手册;
(十)及时处理违规事项的举报;
(十一)组织协调公司开展反洗钱工作;
(十二)审核合同及制定标准示范文本;
(十三)代表公司处理涉及诉讼、仲裁、行政处罚等法律事务以及其他重大突发风险事件;
(十四)其他职责。
第十四条合规部门在履行合规管理职责时,经合规总监同意,可以公司名义聘请外部专业机构或人员协助工作。
第五节各部门、分支机构及合规风控专员的合规职责
第十五条各部、分支机构在合规管理工作上接受合规总监、合规部门的监督与指导,并履行以下合规职责:
(一)执行法律、法规和准则,监督管理本部门及员工执业行为的合规性,对本部门合规管理的有效性承担责任;
(二)自行或根据合规管理部的督导,评估、制定、修改和完善本部门内部管理制度和业务流程;
(三)定期对本部门合规管理制度及流程的有效性及合规管理的执行情况等进行自查和评价,并按规定向合规管理部报告;
(四)发现本部门违法违规行为或合规风险隐患时主动及时向合规总监或合规部门报告,并积极妥善处理,落实责任追究,整改完善相关制度和流程;
(五)组织本部门员工的合规培训;
(六)公司规定的其他合规职责。
第十六条公司在各部门及分支机构设立专职或兼职的合规风控专员,具体组织落实本部门的合规管理事宜。其主要职责如下:
(一)内控建设:监督本部门学习并执行外部立法与公司内部规范;协助并指导本部门的制度流程建设,组织落实合规风险的控制措施,并及时修订完善合规管理流程建设,组织落实合规风险的控制措施,并及时修订完善合规管理信息系统有关本部门的合规矩阵内容。
(二)合规检查:按照要求,做好本部门的日常合规检查和专项合规调查,并就可能存在的违规事项和潜在风险与相关责任人进行沟通并向合规部门汇报;协助合规部门或审计部门完成对本部门的检查工作,并对整改事项进行跟踪督导,督促本部门将整改结果及时反馈给合规及审计部门。
(三)监管沟通:协助本部门负责人做好与监管部门的沟通工作;配合监管部门的检查和调查等工作;及时了解监管动态,配合执行并向合规部门汇报。
(四)咨询审核:负责本部门日常合规咨询、审核,包括对外报告、合同审核,法律纠纷处理,协助办理司法冻结,以及对本部门上报合规部门的咨询或审查事项应先行审查并签署意见。
(五)反洗钱:充当本部门反洗钱工作专员的角色,督导或组织本部门开展反洗钱工作。
(六)合规文化建设:协助本部门负责人开展合规文化宣导与培训工作,推动合规文化建设。
(七)风险报告:就本部的合规风险管理情况及时向合规部门及本部门负责人报告;对于发现的合规风险事件或隐患,有权独立向合规总监和合规部门报告。
(八)完成合规部门安排的其他合规管理工作。
公司合规总监可以立法、监管环境的变化有公司发展实务适时调整风控专员的职责
第六节公司全体员工的合规职责
(一)熟知并严格遵守与其执业行为有关的法律、法规和准则;
(二)主动识别、控制其执业行为的合规风险;
(三)拒绝执行违规的经营管理及执业行为,并对发现的违法违规行为或合规风险隐患,主动、及时地向合规总监或合规管理部报告。
(四)对执业过程中遇到的难以判断的合规风险,应主动寻求合规咨询、合规审查等合规支持;
(五)公司规定的其他合规职责。
第三章合规管理常规事务
第十七条公司合规管理常规事务包括合规风险的主动识别与评估、合规咨询与审查、合规培训、合规监督检查与监控、合规提醒、警示与合规谈话、报告与反馈等一系列活动。
第一节合规风险的识别与评估
第十八条公司应当全面识别、评估公司所有业务活动的合规风险,主要包括但不限于以下事项:
(一)证券业务行为,包括投资顾问、研究咨询、私募基金发行与管理、客户服务、投诉与举报、广告宣传、新业务的开展、新业务方式的拓展等;
(二)重大决策事项,包括对外担保、融资、投资、重大资产的购置和处置、机构设立、变更、合并、撤销以及战略合作等行为;
(三)员工执业行为,如是否取得适当的从业资格、是否夸大销售、是否误导客户、是否承诺收益、是否损害客户利益和公司利益、是否存在利益冲突、是否涉嫌商业贿赂等行为。
第十九条在合规风险识别的基础上,应用一定的方法评估其对公司运营产生影响的程度,对合规风险做出评级和相应的控制措施。
第二十条公司的经营管理活动涉及到第十八条所列事项的,直接从事业务经营活动的部门或分支机构应主动进行尽职调查和合规风险的识别,并提出相应的控制措施,对需要咨询的事项应该及时咨询合规管理部。
合规总监认为法律、法规和准则的规定不明确,难以对公司及员工的经营管理和执业行为的合规性做出判断的,应及时向监管机构或自律组织咨询。
第二节合规咨询与合规审查
第二十一条公司各部门及员工应对经营管理及执业过程中涉及到的合规事项及时、主动寻求合规咨询或合规审查等合规支持。
各部门及员工应就下列事项在第一时间及时向合规管理部或合
规管理人员提出咨询或审查需求,合规管理部或合规管理人员应在合理的时间内作出回复或组织专项小组提前参与。
(一)开展新业务、推出新产品、拓展新的业务方式等重大业务决策时;
(二)拟谈判和签署金额巨大的合同前;
(三)所开展的业务是现有法律法规、准则和公司内部规章制度中没有明确规定或遇到其他难以判断的合规风险时;
(四)内部重要管理制度和业务流程的合规性审查;
(五)公司对外签署的合同等各种法律文件的合法合规性审查;
(六)监管机构明确要求出具合规意见的各类事项的审查;
(七)公司制度、流程中规定必须经合规审查的其他事项等。
第二十二条公司重大业务做出决策前,应经合规审查。对合规管理部或合规管理人员认为存在明显合规风险的事项,业务部门应及时进行整改;如合规管理部或合规管理人员与业务部门存在重大分歧,无法达成一致意见时,业务部门应立即暂停业务实施,并同时向上级管理部门报告,直至上级管理部门出具明确的意见。
第二十三条各级合规管理人员应持续关注法律、法规和准则的最新变动,组织和督促相关部门对相关内部规章制度或业务流程进行必要的改进,确保其合规性和有效性。
第三节合规培训
第二十四条公司合规管理部应当与人力资源部门建立协作机制,制订合规培训计划,开发有效的合规培训和教育项目,定期组织
合规培训工作。
合规培训应通过考试检测培训效果,对测试不合格的,要继续参加培训并记入当年绩效考核。员工新入司、中层干部新聘,应当接受合规培训,未经培训或培训不合格不得上岗。
第四节合规监督检查与监控
第二十五条合规监督检查工作的内容主要包括各部门遵循法律、法规及准则的情况、公司合规管理机制实际运行的有效性、违规事件的整改情况等。
第二十六条公司各部门负责人负责对本部门合规管理的有效性进行日常和定期的自我检查和评价,向合规管理部提供风险信息和提交定期合规报告。
第二十七条对在检查过程中发现的合规风险,合规管理部应向有关部门发出书面整改通知,有关部门应及时整改并回复;对检查过程中发现的重大风险或合规管理体系、制度中的重大缺陷等还应及时向合规总监和公司总裁做出书面汇报。
第二十八条合规监控的重点是监控公司的某些行为以发现潜在的违反法律、法规或准则的情况,主要包括反洗钱、反商业贿赂、利益冲突、信息隔离、市场监督、客户投诉、内部举报等。
第二十九条根据公司规定,合规管理部及合规管理人员有权对公司内部的违法违规行为或合规风险隐患进行调查,并就调查情况和调查结论作出报告,报送公司领导及公司经营层。
第三十条公司通过建立合规督办机制,对涉嫌违规事项或风险隐患进行跟踪、监控和督办,以及时化解合规风险。
第五节合规公告、合规警示和合规谈话提醒
第三十一条各级合规管理人员应持续关注法律法规、准则和外部监管规定的变化,根据公司各项业务的开展情况,及时提醒各部门及员工注意避免有可能产生的合规风险,提醒以公告的形式在公司范围内通知。
第三十二条合规管理部或合规管理人员通过合规检查、受理投诉举报、内控平台及其他系统监控等多种方式,对发现的违规事项或合规风险隐患向相关部门进行合规警示提醒。
第三十三条各级合规管理人员发现公司部门或员工存在以下情形,或认为确有必要时,可以提出合规谈话建议,由相关部门负责人或合规总监约请相关人员进行谈话:
(一)部门或员工涉嫌违反国家法律、法规、监管机构或公司相关规定的;
(二)部门或员工行为可能损害公司声誉的;
(三)部门或员工行为损害员工利益的;
(四)公司规定的其他情形。
部门负责人约请相关责任人谈话时,合规管理人员必须在场。
第三十四条合规警示和合规谈话纳入公司对各部门的合规管理绩效考核范围。
第六节信息隔离墙
第三十五条信息隔离墙是指通过对公司投资银行、经纪、自营、资产管理、研究咨询等主要业务部门之间,在人员、业务、物理
空间、信息系统、资金、账户等方面的独立运作、分开管理,控制或者隔离内幕信息和保密信息在公司内部的流动,防止内幕交易行为,保障公司合法合规运营的内部控制措施。
第三十六条合规总监、合规部门负责组织实施公司信息隔离墙制度。
公司各部门及分支机构为保障公司信息隔离墙制度的实施,应当根据部门职责和实际业务需要制定并有效实施有关内幕信息和保密信息的监控和管理细则。
第三十七条公司应当切实防范公司与客户、客户与客户之间的利益冲突。在公司与客户之间发生利益冲突时,应当遵循“客户优先”的原则审慎处理;在公司不同客户之间发生利益冲突时,应当遵循“公平对待”的原则处理。对于难以避免的利益冲突,公司应当及时向客户披露有关信息和风险。
第三十八条全部部门利用风险监控系统、合规管理信息系统等工具,以以下信息隔离内容进行管理及检测:
(一)限制清单、观察清单的建立和维护;
(二)对跨墙行为进行审批,采取跨墙后的限制措施,检测员工静默期规定遵守的情况;
(三)员工行为检测
(四)内幕信息知情人证券帐户申报管理;
(五)其他信息隔离墙检测。
第七节合规报告与反馈
第三十九条合规报告包括定期合规报告和不定期合规报告。
定期合规报告包括各部门定期向合规管理部提交的合规报告和公司向中国证监会提交的公司中期合规报告和年度合规报告。
公司领导、公司经营管理层应当对公司的中期合规报告与年度合规报告签署确认意见,保证报告的内容真实、准确、完整;对报告内容持有异议的,应当注明自己的意见和理由。
不定期合规报告包括一般合规风险和重大合规风险报告。
第四十条定期合规报告的报告人是公司各部门和负责履行合规管理职责的归口部门或岗位。不定期合规风险报告的报告人可以是公司所有部门和员工。
第四十一条就特定合规事项,各级合规管理人员原则上应首先向本部门或本层级负责人报告,同时报告上级合规管理部门。
根据公司相关规定,也可在同时报告的基础上,向更高层级管理人员或外部监管机构进行跨级报告,跨级报告只能向上逐级跨越。
第四十二条出现下列情形之一,合规总监可向监管机构跨级报告:
(一)公司出现重大违法违规行为或合规风险隐患;
(二)已报告的合规风险没有得到公司领导、公司经营管理层的有效处理;
(三)监管机构认为有必要上报时。
第四十三条出现下列情形之一,各级合规管理人员可在分级报告的同时跨级上报:
(一)发现突发紧急事件,已超出部门处置能力,不同时跨级上报可能会造成更严重后果的;
(二)对本部门违规操作,同级管理人员在规定期限内未及时纠正;
(三)发生重大有争议事件,部门内部意见存在分歧,需要上级管理部门进行决策的;
(四)上一级管理层指定要求上报的;
(五)国家法律、法规、公司规章制度认为需跨级报告的事项。
第四十四条定期合规报告或不定期合规报告应按照公司合规报告制度的规定进行报送。
第八节合规管理的档案与留痕
第四十五条公司建立合规档案的全方位留痕和档案管理制度。合规总监与合规管理部应将出具的合规审查意见、提供的合规咨询意见、合规监督文档、合规总监签署的公司文件、合规检查工作底稿、投诉举报记录等与履行职责有关的文件、资料存档备查,并对履行职责的情况作出记录。
第四章合规管理人员管理规范与履职保障
第四十六条合规总监应当具备良好的道德情操和职业操守,勤勉尽责,严守商业秘密和工作纪律。合规总监应当符合法律法规和监管部门规定的任职条件,依法履行任职手续。
第四十七条合规总监不能履行职责或者缺位时,公司公司领导及公司经营管理层可以召开临时会议指定一名高级管理人员代为履行职务,代行合规总监的人员不得分管与合规管理职责相冲突的部
门,代为履行职务的时间不得超过6个月。
第四十八条合规管理人员应当符合以下要求:
(一)合规管理人员应当具备履行职责所必需的专业素质,能够正确理解法律、法规和行业准则。
(二)合规管理人员应当通过持续、系统的教育和培训,提高执业素质。
(三)合规管理人员应当具备正直、敬业的精神,不得屈服于任何机构和个人的压力或不当影响,对于侵犯客户及公司利益的指令或者授意应当予以拒绝,对公司经营管理的合规情况做出独立、客观的判断。
(四)合规管理人员应当具有必要的业务经验,了解证券业务运作,并具有分析、沟通和处理问题的能力与技巧。
(五)合规管理人员履行职责过程中,对与本人利益冲突的事项应当主动回避。
(六)合规管理人员应当保留工作底稿和工作记录,出具的报告应当事实清楚、依据从分、建议合理。
(七)合规管理人员应当严格遵守保密制度,对履行职责中掌握的非公开信息负有保密义务,不得违反规定向其他机构、人员泄露非公开信息。
第四十九条公司根据合规管理需要,应配备充足数量的合规管理人员,建立合规管理人员定期交流换岗和培训制度,确保各级合规管理人员具备与履行合规管理职责相适应的专业知识和工作职级。合规管理人员的薪酬待遇应不低于公司同级别管理人员的平均水平。
公司应当为合规总监和合规部门开展工作提供足够的费用支持,保障合规工作的正常进行。
第五十条公司主要业务部门或公司指定部门的合规风控专员可专员或兼职,但不得担任与合规管理职责相冲突的职责,实行派出制并接受合规管理部门和合规总监的垂直管理和考核。
第五十一条合规总监及合规部门在对合规风控专员进行合规考核或者合规评价时,有合理理由认为合规风控专员的合规工作不称职的,可以要求合规风控专员限期自查并纠正,或者直接撤换合规风控专员。
第五十二条各部门或分支机构更换合规风控专员的,应在作出决定的两个工作日内将解聘理由以及拟聘合规风控专员的简历与履职情况书面报合规部门备案,合规总监或合规部门如对各部门或分支机构解聘合规风控专员或拟聘合规风控专员的资质条件有异议的,应在五个工作日内提出反馈意见,各部门或分支机构应据此作出合理解释或重新作出决定。
第五十三条合规管理人员在履职中享有以下权利:
(一)知情权。有权参加或列席与履行职责相关的会议,调阅相关文件资料,获取必要的信息,公司相关部门和员工应当给予密切配合。
(二)检查与调查权。根据履行职责的需要,有权开展常规合规检查,有权对违规事项及合规风险隐患进行调查,经营管理层,各部门及员工应予以配合。
(三)报告权。合规总监有权按照法律法规的规定直接向公司领导、公司经营管理层、监管部门及自律组织报告;合规风控专员有
权直接向合规总监或合规部门报告。
(四)合规考核权。通过对各部门或人员的合规情况的综合评价,有权对其进行合规考核,并纳入公司绩效考核体系中。
(五)处理建议权。根据公司合规问责等有关规定,对于合规风险事件及相关责任部门、人员有权提出处理意见和整改建议,并跟踪监督、检查整改措施的制定和落实情况。
第五章合规问责、举报与绩效考核
第五十四条本制度所称“合规问责”是指公司对不履行或不正确履行应负的合规职责而导致公司受到或可能受到法律制裁、监管处罚、重大财务损失、声誉损失等严重后果及其他合规风险的行为进行责任追究。
第五十五条公司遵循“谁主管,谁负责;谁运营,谁负责”的理念,建立明确的合规问责机制,规定和落实公司各级各岗位人员的合规职责,明确调查处理和责任认定的程序,确保发现、处理违规行为时责任明确、措施及时有效。
合规问责的对象包括公司各级合规管理人员、各级管理人员及公司员工。
第五十六条公司对违法违规行为进行严格的责任追究。违法违规行为的责任追究工作,由公司合规部门等相关部门单独或联合组成调查组进行调查核实并进行定性分析,经公司认定后由公司人力资源部门会合规部门等相关部门提出合规问责处理意见,报公司审批后执行。
第五十七条各部门、分支机构对合规部门等相关部门进行的合规问责调查等事项应予以积极配合,并按要求提供相关的信息资料。
第五十八条对于隐瞒合规风险事件的,以及被合规问责后仍再犯或未按规定整改的,公司予以从严处理;对于主动报告合规风险并主动纠正整改以及部门内部严肃处罚的,公司视情况给予主动报告部门或人员从轻、减轻或免除处罚.
第五十九条公司建立违规举报制度,保障每一位员工都能够正常行使举报违法违规行为的权利。
第六十条公司将合规管理的有效性和执业行为的合规性,纳入高级管理人员、各部门和分支机构及其工作人员的绩效考核范围。
合规管理部协助合规总监,对公司各部门和分支机构日常的合规管理能力和合规状况进行跟踪评价并计入考核。
第六章合规评价
第六十一条公司每年应委托外部专业机构对公司合规管理有效性进行全面评价。必要时,也可由公司聘请熟悉证券行业合规管理工作的外部专业机构或专家协助开展评估工作。
第六十二条合规有效性评估应充分考虑合规管理环境、合规风险识别与评估、合规管理控制措施、合规管理信息沟通与反馈、合规管理监督等要素,不能因偶然出现违规事件或被采取监管措施,而全盘否定公司合规管理的有效性;也不能因公司一段时间内未发生违规事件或未被采取监管措施而简单认定其合规管理是有效的。
第六十三条评价工作结束后,公司应向公司领导和经营管理层提交评估报告,并向广东证监局报关合规有效性评价报告。
第六十四条对于评价中发现的问题,公司相关部门应及时制定整改方案、明确整改责任人和整改时间表,认真抓好整改。合规总监应督促相关部门适时推进整改落实工作,以不断完善公司合规管理体
安全生产问责制度 第一章总则 第一条为认真贯彻落实《安全生产法》、《矿山安全生产法》、《生产安全事故报告和调查处理条例》(国务院493号令)等法律法规和集团《安全管理制度》、《安全生产责任制度》等规章制度,落实各级领导干部安全生产责任,严肃追究安全生产事故的行政责任,有效防止和减少安全生产事故的发生,特制定本制度。 第二条本制度适用于集团各子(分)公司、各职能部门。 第三条本制度所称安全生产问责(以下简称问责),是指安全生产责任单位负责人对本单位安全生产工作不履行或不正确履行职责,导致发生重大生产安全事故,造成不良社会影响和后果的行为,对责任单位及其负责人采取行政问责。 第四条本制度突出对重大生产安全事故责任单位和主要责任人的问责,是集团《安全生产奖罚制度》的延伸。 第二章问责的范围和措施 第五条问责针对的是对重大生产安全事故负有主要领导责任的队、站、车间、项目部副职以上管理人员和职能部门副职以上管理人员 第六条行政问责措施有以下两项: (一)对事故单位给予经济处罚; (二)对责任人给予留用查看、降职、撤职或开除的行政处分。 留用查看:在事故中负有领导责任,能主动承担责任的,保留原岗位继续任用,留用期为三个月,留用期结束,经考查合格,可继续任职;
降职:在事故中负有领导责任,不适合担任现职的,降职任用,且一年内(连续12个月)不得担任同级别以上职务; 撤职:在事故中负有主要领导责任,情节严重的,予以撤职处分,且三年内不得担任管理岗位工作; 开除:在事故中负有主要领导责任的管理人员或负主要事故责任的岗位员工,给企业造成重大的经济损失,或较大的社会影响者,予以开除(解除劳动合同)处分,且不得再次录用。 第三章问责程序 第八条问责工作由集团安全生产委员会直接领导,重大事故问责由集团安委会组成的事故处理小组实施,在发生重大以上各类事故时启动。事故责任单位人员必须配合事故调查,提供相关资料,事故处理小组应在30日内做出问责决定,报集团安委会批准。 第九条问责工作原则: (一)依据事故调查结论,分清事故责任,要明确责任人具体过错,是谁的责任由谁来承担; (二)重点追问负有主要领导责任的领导者; (三)要将责任人问责与制度问责结合,同时进行,要查找制度漏洞,改进完善安全生产管理规章制度。 第十条事故处理小组在做出问责处理决定上报之前,应当通知并听取问责当事人的陈述和申辩。 第十一条问责当事人对问责处理决定不服的,可以自收到处理决定之日起7日内向集团申请复核。在复核期间,问责处理决定不停止执行,复核中发现处理错误,应当及时纠正。
征信知识测试 姓名: 一、单选题 1.下面哪个单位是国务院征信业监管部门?(A) A、中国人民银行 B、银监会 C、证监会 D、保监会 2.设立经营企业征信业务的征信机构,应自公司登记机关准予登记之日起(C)日内向所在地的国务院征信业监督管理部门派出机构办理备案。 A、10 B、20 C、30 D、40 3.征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为(B)年。 A、3 B、5 C、7 D、10 4.个人信息主体有权每年(A)次免费获取本人的信用报告。 A、2 B、4 C、6 D、8 5.对申请设立经营个人征信业务的征信机构提交的材料,国务院征信业监督管理部门自受理申请之日起(D)日内作出批准或者不予批准。 A、20 B、40 C、50 D、60
6.经营个人征信业务的征信机构的主要股东需信誉良好,最近(A)年无重大违法违规记录。 A、3 B、5 C、7 D、10 7.申请设立经营个人征信业务的征信机构,其注册资本不少于人民币(C)万元。 A、1000 B、3000 C、5000 D、7000 8.《征信业管理条例》从(D)正式施行。 A、2011年7月22日 B、2012年12月26日 C、2013年1月21日 D、2013年3月15日 9. 负面记录的保存期限从什么时候开始计算?( C ) A、从还款日的第二日开始计算 B、从宽限期结束之日计算 C、从该笔贷款还清之日开始计算 D、从银行催款日开始计算 10.下列属于《征信业管理条例》中明确规定禁止征信机构采集的个人信息是(B)。 A、收入和存款 B、基因 C、有价证劵 D、不动产信息 11.以下说法不正确的是(D) A、国家设立金融信用信息基础数据库,为防范金融风险、促进金融业发展提供相关信息服务; B、金融信用信息基础数据库由专业运行机构建设、运行和维护;
信息安全管理办法 第一章总则 第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 第四条IT中心工作职责 1、IT中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度,承担信息安全保障 建设、信息安全日常管理职能,提供信息安全技术保障。 4、负责各中心、分公司、专(兼)职信息管理员信 息安全指导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员,负责协助 IT中心开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。
2、负责落实相关信息安全管理工作在部门内的实施。 3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作,提高 人员的信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。 第八条新增网络设备入网时,网络管理员应按照《网络设备安全配置检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。 第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。 第十条当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案,技术文档包
胜利石油 安全生产事故问责制度 编制: 审核: 批准: 胜利石油化工 二0一三年三月十四日
第一条为贯彻落实安全生产责任制,严肃安全生产事故责任追究,有效防止和减少事故的发生,确保安全生产,将安全生产责任落实到每一位员工,根据《胜利石油。。。。。。。。。问责制度(修订)》(胜油建。。。。。),结合分公司实际,特制定本制度。 第二条按照“四不放过”和“谁主管、谁负责”、“谁雇佣、谁负责”的原则,坚持实事求是、严肃认真、依责论处、惩教结合的方针,进行安全生产事故问责。 第三条本制度适用于分公司各基层单位、分公司项目部、施工班组和分公司相关科室(部门)。 第四条根据干部管理权限,由分公司党委和分公司根据事故原因分析和责任认定情况对分公司所属基层单位、分公司项目部、分公司相关科室(部门)负责人、基层中队负责人、班组长及基层操作工人依据本制度进行责任追究。对分公司相关领导及有关人员(书记、经理、副经理、工会主席、主任工程师、主管工程师、安全总监)的责任追究由公司按照《胜利石油化工。。。。。。。事故问责制度(修订)》相关规定进行。 第五条分公司安全监管部门依据公司和分公司有关规定,对事故的责任追究进行监管。 第六条本制度中安全生产事故是指工业事故、交通事故、未遂事件、严重违反《胜利油田安全生产禁令》的事件。
第七条各级管理人员(基层队、项目部、班组)在生产经营活动中,因未落实安全职责而发生安全生产责任事故(以下简称事故)的,要严肃追究其责任。构成犯罪的,由司法机关依法追究刑事责任。 第八条责任追究分为:视情节严重上报公司给予罚款、通报批评、警告、记过、记大过、降职(降级)、撤职。职工在受处分期限内不得晋升职务、职级,不享受效益工资。其中受记过、记大过、降职、撤职处分的,不得晋升工资。 第九条发生工业事故的责任追究 1、轻微以下事故的责任追究: 对发生事故的基层单位主要负责人、副队长、项目经理、安全员、兼职安全员、班组长、职工,区分责任情况,分别给予通报批评,并分别处以200—600元罚款,同时对该单位罚款1000—3000元。 2、轻微事故的责任追究: 对发生事故的基层单位主要负责人、副队长、项目经理、安全员、班组长、职工,区分责任情况,分别给予警告处分,并分别处以300—600元罚款,同时对该单位罚款2000—4000元。 3、对一般事故进行责任追究: 发生一次重伤2人的事故,或直接经济损失5万元(含)以上10万元以下的事故。对发生事故的单位党政负责人、副队长、项目经理、安全员、班组长、职工,区分责任情况,分别给予降职直至撤职处分,并分别处以500—2000元罚款,同时对该单位罚款3000—6000元;对
最新整理银行征信信息安全调研报告银行征信信息安全调研报告1 一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。 二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。 并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。 三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。 六、对个人贷款户进行贷款后管理查询,严格按照主管授权制度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则办理查询业务。 调研人:xx 银行征信信息安全调研报告2 **分行个人金融部客户个人金融信息保护调研报告为加强我行客户信息及相关数据库安全管理,按照人民银行**支行《关于转发《关于金融机构进一步做好客户个人金融信息保护工作的通知》的通知》** 1号)和省分行(《关于开展客户个人金融信息保护调研工作的通知》**( 2号)要求,我行高度重视,对照调研方案,按照“边查边改”的原则,积极在辖内组织开展个人客户信息安全调研工作。现将调研情况报告如下 一、调研工作的组织情况
接到省行开展客户个人金融信息保护调研工作部署的通知后,个人金融部主任立即组织相关人员对文件进行了学习,提出了工作要求和时间安排,并成立了以分管行长为组长,部门正副主任为副组长,个金部风险经理、产品经理;各网点负责人及辖内16个营业网点的业务经理为成员的调研工作小组,按照相关要求,重点对全辖理财经理、消贷客户经理的履职及管理、X-PAD系统、CRM系统、个人征信系统、银行卡业务个人客户信息管理等涉及客户信息保管与使用等环节中是否存在安全隐患,泄露客户信息等问题开展全面调研工作。 二、调研基本情况 (一)制度建设方面1、我行领导历来就十分重视保密工作,在组织机构建设方1面,按照《中国银行股份有限公司保密管理办法》的相关要求,设立了保密工作委员会,成立了以行长为组长,副行长为副组长,各部门主任为成员的信息保密工作领导小组,负责领导全行保密工作,领导小组下设办公室,对全行的保密工作进行进行检查、指导,督促信息保密工作的落实,并且我行保密部门及关键岗位的工作人员均按要求签订了保密协议,自觉遵守和执行保密工作方针政策和法律法规。 2、我行规章制度健全,从每个环节做起,保密观念强,措施得力,落实较好。比如:档案室制定档案工作人员保密职责,查阅、借阅档案手续齐备;机密文件、内部资料的传递、回收、都严格按照相关规定办理,保密干部有变动后,均及时作出调整并上报省分行。 (二)系统管理情况我行健全内部控制制度,通过权限管理设置,加强对X-PAD系统、CRM系统、个人征信信息系统的管理,系统的使用人员都经过了严格的审批程序,并明确了管理责任,确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露和盗用。今年以来,我行通过对个人客户经理的风险排
会员信息安全管理办法 第一条为规范会员信息的采集、传递和使用,确保会员信息的安全,避免与控制会员信息的外泄及不正当使用可能给公司带来的风险,结合本公司实际情况,特制定本办法。 第二条本办法所称会员是指在认可《会员规约》或《积分卡会员规约》(以下简称“两规约”)的前提下,按照相关手续,持有联名卡或会员 卡,并享有一定服务优先权的顾客。 第三条根据两规约,会员自愿同意向本公司及本公司所属商场内的经营业主提供或交换会员信息,并同意本公司向会员寄送各种宣传制品。相关责任人不得将会员信息作除此之外的其他用途。 第四条本部(店铺)营销各部及广告企划部门设定会员信息管理专员(必须为主任以上人员),当部门有会员信息需求时,由部门会员信息管 理专员负责执行申请程序。 第五条本部(店铺)营销各部的《会员消费特征信息采集申请表》应先提交本部广告企划部(店铺POP)进行审核,由本部广告企划部(店铺POP)提交IT信息部(店铺财务资产科-IT)实施信息采集。 第六条IT信息部(店铺财务资产科-IT)担当在收到申请部门负责人、广告企划部(店铺POP)、会员管理部门负责人签字完整的《会员消费特 征信息采集申请表》后才能在会员系统中进行会员信息采集,根据会员系统功能权限的设置实施操作。 第七条《会员消费特征信息采集申请表》中申请的会员信息仅限于会员手机号码;需要寄送DM的,仅限于会员地址、邮编、姓名。
第八条IT信息部(店铺财务资产科-IT)担当将采集的会员信息文件加密后通过社内网发送给广告企划部(店铺POP)会员信息管理专员,由本部广告企划部(店铺POP)统一安排短信或DM的发送。 第九条本部广告企划部(店铺POP)会员信息管理专员只能将获取的会员信息提供给短信及邮件发送、DM寄送的外包公司,用于各类促销活动信息的会员告知。 第十条所有有权限查询会员相关信息的工作人员及在会员信息的申请、采集、传递和使用的过程中相关责任人必须遵守、保护会员个人信息的隐秘,有稳妥的安全保密措施。不能以职务之便泄漏会员相关信息,一旦出现有泄漏秘密或违反本办法相关规定的情况,将视情节轻重追究责任人的相关责任。 第十一条本管理办法从2011年7月12日开始施行。 第十二条本管理办法最终解释权归公司所有。 I T信息部 2011年7月11日
银行征信信息安全自查汇报 银行征信信息安全自查报告1 一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。 二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。 并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。 三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。 四、现我行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。五、对其查询的个人与单位征信,本着全面、客观、合理的原则对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征信系统存在负面数据为由,正确使用征信系统,合规开展征信业务。 六、对个人贷款户进行贷款后管理查询,严格按照主管授权制 度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则
办理查询业务。 自查人:xx (二)系统管理情况我行健全内部控制制度, 通过权限管理设置, 加强对X-PAD 系统、CRM系统、个人征信信息系统的管理,系统的使用人员都经过了严格的审批程序,并明确了管理责任, 确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露和盗用。今年以来,我行通过对个人客户经理的风险排查和对基层网点常规业务检查对涉及个人金融信息的保密环节进行了自查和检查,目前尚未发现个人信息泄漏的情况。 (三)重点业务和关键环节的检查情况2 为强化内部控制,加强个人金融业务操作风险管理,促进个人金融业务又好又快发展,预防和遏制由于内部监督控制不力、违规操作而导致的重大风险,个金部将重点业务和关键环节的检查均纳入检查计划作为常规检查项目,认真开展个人金融业务的检查。 1 、银行卡业务管理 (1)在发卡审核环节,对所有申请进件进行了100%电核,对有疑问的或批量进件由风险人员和直销领队上门核实包括真实性,所有进件均实行了“三亲见”制度,并通过身份联网核查和人行征信系统进行了身份核查和征信调查。 (2)我行严把特约商户准入关。按照各级监管部门的有关规定, 正确使用和设置特约商户的结算账户。落实特约商户实名制,在充分了解核实商户相关信息的同时,在人民银行联网核查系统和中国银联的不良信息系统核实商户法定代表人或负责人、授权经办人的个人身份和资信。严格执行商户调
编订:__________________ 单位:__________________ 时间:__________________ 公司安全生产行政问责追究制度(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-2552-36 公司安全生产行政问责追究制度(正 式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 第一条、指导思想 为加强安全生产监督管理,落实安全生产责任制,强化责任追究,促使各单位依法履行职责,结合单位实际,制定本制度。 第二条、问责原则 1、安全生产问责坚持有错必究与责任相适应、教育与惩戒相结合; 2、遵循“公开、公平、公正”和“四不放过”(事件原因未查明不放过,责任人未处理不放过,整改措施未落实不放过,有关人员未受教育不放过)的原则。 第三条问责范围 1、问责方式分为生产安全事故问责和交通事故问责,对安全隐患产生单位、事故单位和责任人进行行
政问责。 2、问责范围为公司所属各单位、责任单位负责人、事故相关责任人和按照“一岗双责”原则负有责任的相关责任人。 第四条、问责内容 1、贯彻执行安全生产方针政策、法律法规、规章规程和标准情况,包括机构人员设置、安全生产责任制、安全操作规程、安全生产管理规章制度、安全宣传教育培训、安全检查、安全投入以及隐患整改等方面基本制度建设和贯彻执行情况。 2、事故现场应急救援、事故原因分析、责任人员处理、吸取事故教训、采取防范措施,强化安全生产责任等情况。 第五条、对责任人的问责追究方式: 1、责令作出书面检查、通报批评; 2、停职检查 3、调整工作岗位 4、留用查看
银行 信息安全管理办法 第一章总则 第一条为加强*** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安
【最新整理,下载后即可编辑】 信息安全管理办法 1.概述 1.1目的 为指导安全等级保护相关工作,做好的信息安全保障工作。1.2范围 为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富,为等级保护工作的开展提供指导。 1.3术语 1.敏感数据 敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据,包括但不限于: 1.用户敏感数据,如用户口令、密钥; 2.系统敏感数据,如系统的密钥、关键的系统管理数据; 3.其它需要保密的敏感业务数据; 4.关键性的操作指令; 5.系统主要配置文件; 6.其他需要保密的数据。 2.风险 某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失
或破坏的可能性。 3.安全策略 主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 4.安全需求 为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 5.完整性 包括数据完整性和系统完整性。数据完整性表征数据所具有的特征,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。 6.可用性 表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。 7.弱口令 指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。 2.信息安全保障框架
2.1 信息安全保障总体框架 2.2 信息安全管理体系框架
2.3 安全管理内容 3.信息安全管理规范 3.1 物理安全 3.1.1.物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
征信机构信息安全规范 一、总则 1.1标准适用范围 标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。 标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。 1.2相关定义 (一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。 (二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的PIN等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密
钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。 (三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。 (四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。 1.3总体要求 本标准从安全管理、安全技术和业务运作三个方面提出征信
安全生产问责追究制度 为认真落实安全生产责任,促进岗位规范,严肃责任追究,依照国家有关法律法规和地方行政法规以及集团(股份)公司有关规定,结合本公司实际情况,制定本制度。 本制度适用于公司全体员工。 一、公司成立安全生产问责领导组,负责安全生产问责的领导工作。领导组组长由公司总经理担任,副组长由分管安全工作的班子成员担任,成员包括物业管理部、储运部、纸张加工部员工。 二、问责范围及对象 凡在生产作业过程中由于不履行职责或履行职责不认真,导致加工现场或储运仓库现场出现安全隐患、安全事故、及三级以上非人身安全事故的,必须对相关责任人进行问责。 三、问责的基本原则 1、安全生产问责坚持有错必究、与责任相适应、教育与惩罚相结合; 2、遵循“公开、公平、公正”和“四不放过”原则,即:事件(隐患)原因未查明不放过,责任人未处理不放过,整改措施未落实不放过,有关人员未受教育不放过; 3、坚持事后追究为事前追究,事后问责为事前问责的原则。 四、需要问责事项的确认 1、一般安全隐患,由包括公司物业管理部、公司各级安全生产管理人员在内的各级安全检查人员、部门依照有关一般安全生产隐患检查认定标准确认; 2、重大生产安全隐患,由公司及集团(股份)公司、行业监管部门排查,依照重大生产安全隐患认定标准确认; 3、非人身安全事故,由公司各部门依照非人身安全事故等级划分标准确认; 4、人身安全事故中的轻伤、重伤、伤亡事故,按照专业机构判定的伤害程度确认。 五、安全生产问责的信息来源 1、上级公司、行业监管部门、公司内部的全面检查和专项检查,物业管理部的日常检查,现场检查结果; 2、分管安全工作班子成员的监督意见; 3、职工举报经查属实的信息; 4、其它渠道获取的需要问责经查属实的信息。 六、问责及处理方式
公司IT信息安全管理制度4 富世康公司IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、SERVER2008、WINDOWS7等)软件。 第三条职责 1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购定型、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司计算机使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、计算机等硬件设备由公司统一配置并定位,任何部门和个人不得允许私自挪 用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报审计部,在征得公司领导同意后,由信息部负责进行添置。 4、电脑操作应按规定的程序进行。 (1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
安顺市接入机构征信信息安全事件应急处 置方案 第一章总则 第一条为建立安顺市接入机构征信信息安全事件应急处置机制,及时有效地处置征信信息安全风险事件,依据《征信业管理条例》、《人民银行法》、《个人信用信息基础数据库管理暂行办法》、《中国人民银行突发事件应急预案管理办法》、《贵州省征信信息安全事件应急处置方案(试行)》等法律法规的规定,按照《中国人民银行关于进一步加强征信信息安全管理的通知》(银发【】号)的要求,结合我市工作实际,制定本方案。 第二条本方案适用于辖内各接入机构因各种原因而引发的征信信息安全风险事件。 本方案所指接入机构征信信息安全风险事件是指各接入机构发生的、严重影响或可能严重影响个人、企业信息安全,造成不良社会影响、需要立即处置的风险事件。 第二章组织机构 第三条成立安顺市接入机构征信信息安全事件应急处置工作小组(以下简称工作小组),负责辖内接入机构发生征信信息安全事件应急处置的指挥、部署、协调工作。工作小组组长由安顺中支行长担任,分管金融稳定工作的行领导任副组长。成员由办公室、金融稳定科、保卫科、科技科等有关部门负责人组成。 工作小组下设办公室在中支金融稳定科,办公室主任由中支
金融稳定科主要负责人担任。 第三章职责分工 第四条工作小组是全市接入机构发生征信信息安全事件处置工作的领导和协调机构。主要职责有: (一)向中支党委汇报辖内接入机构发生征信信息安全事件情况,决定是否启动、终止本方案。 (二)确定各成员部门在应急处置过程中的具体职责及分工。 (三)统一协调成员部门落实应急措施和实行信息共享。 (四)将接入机构发生征信信息安全事件性质、造成影响、事态发展、处置结果等情况,及时向上级行和安顺市人民政府报告。 (五)负责与宣传部、公安局、接入机构等市内有关单位的联系和协调工作,组织制定落实接入机构发生征信信息安全事件措施。 (六)组织做好接入机构发生征信信息安全事件的其他工作。 第五条工作小组办公室(金融稳定科)主要职责有: (一)收集、整理、上报有关信息资料。 (二)在接到接入机构发生征信信息安全事件信息后,第一时间(小时内)向工作小组汇报,提出初步的处置意见,制定执行方案,供工作小组审定。 (三)督促成员部门落实应急措施。 (四)负责接入机构发生征信信息安全事件处置信息的档案
安全生产问责制度 为认真落实安全生产责任,促进岗位规范,严肃责任追究,依照国家有关法律法规和地方行政法规以及公司有关规定,结合本项目实际情况,制定本制度。本制度适用于项目各级管理人员、特殊工种及一般作业人员等全部在职人员。 一、项目成立安全生产问责领导组,负责安全生产问责的领导工作。领导组组长由项目经理薛龙显担任,副组长由执行经理顾金中、安全主管孙克响担任,成员包括生产、技术、机电、土建负责人等领导班子成员。 二、问责范围及对象凡在生产作业过程中由于不履行职责或履行职责不认真,导致生产作业现场出现安全隐患、安全事故及三级以上非人身安全事故的,必须对相关责任人进行问责。 三、问责的基本原则 1、安全生产问责坚持有错必究、与责任相适应、教育与惩罚相结合; 2、遵循“公开、公平、公正”和“四不放过”原则,即。事件(隐患)原因未查明不放过,责任人未处理不放过,整改措施未落实不放过,有关人员未受教育不放过。 3、坚持事后追究为事前追究,事后问责为事前问责的原则。 四、需要问责事项的确认 1、一般安全隐患,由包括项目安全组、生产组、现场栋号长、项目安全检查人员依照有关一般安全生产隐患检查认定标准
确认; 2、重大生产安全隐患,由行业监管部门、公司及项目排查,依照重大生产安全隐患认定标准确认; 3、触及安全生产操作红线的行为,由包括项目安全组、安全生产现场管理人员依照项目安全红线管理制度或公司检查确认。触及安全管理红线的行为,按公司依照有关规定认定; 4、非人身安全事故,由项目安全组依照非人身安全事故等级划分标准确认; 5、人身安全事故中的轻伤、重伤、伤亡事故,按照专业机构判定的伤害程度确认。 五、安全生产问责的信息来源 1、公司、行业监管部门、项目内部的全面检查和专项检查,安全组的日常检查,现场检查结果; 2、生产作业班组的事故汇报及分析报告; 3、安全生产群众监督员的监督意见; 4、职工举报经查属实的信息; 5、其它渠道获取的需要问责经查属实的信息; 六、问责及处理方式 1、一般安全隐患责任的问责,由项目安全组按照项目有关规定给予责令改正(整改)、批评教育、建议停职、建议重新培训、通报批评,并依照公司《安全奖惩实施细则》给予经济处罚。 2、公司、行业监管部门提出的一般安全隐患,按照公司、
银行征信信息安全自查报告 银行征信信息安全自查报告 导语:信息是对人有用的、有时间价值的东西。为什么信息是对人有用的?因为人生存的世界乃至宇宙本身就包含无限的信息,只有那些被人们发现和掌握的信息才是有用的。以下小编为大家介绍银行征信信息安全自查报告文章,欢迎大家阅读参考! 银行征信信息安全自查报告1 一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。 二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。 并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。 三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。 四、现我行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。五、对其查询的个人与单位征信,本着全面、客观、合理的原则对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征信系统存在负面数据为由,正确使用征信系统,合规开展征信业务。 六、对个人贷款户进行贷款后管理查询,严格按照主管授权制度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则办理查询业务。 自查人:xx
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员, 配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员
第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处臵信息安全事件。 (五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。(二)负责提出本行信息安全保障需求。(三)负责组织开展本行信息安全检查工作。 第二节技术支持人员 第十五条本办法所称技术支持人员,是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄漏或引用工作中触及的任何敏感信息。 (二)严格权限访问,未经业务主管部室授权不得擅自改变系统设臵或修改系统生成的任何数据。 —4— (三)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部室主管领导,并及时响应、处臵。 (四)严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制
XXXXXX村镇银行 征信合规与信息安全管理办法 第一章总则 第一条为加强XXXXXX村镇银行(下文简称我行)征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法(暂行)》等有关规定,结合我行实际,制定本办法。 第二条本办法所称征信合规与信息安全,是指我行从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全。 第三条本办法所称征信系统,是指由征信中心按中国人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为银行业金融机构、个人和企业提供信用报告查询服务的数据库系统。
第四条本办法所称借款人,是指向我行申请办理信贷业务的企(事)业法人、其他组织、个体工商户和自然人。 第五条本办法所称的担保人,是指为办理信贷业务的借款人提供担保的企(事)业法人、其他组织、个体工商户和自然人。 第六条本办法所称信贷业务,是指贷款(含委托贷款)、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公开授信等业务以及与其相关的担保业务。 第七条本办法所称客户信用信息,是指能够反映个人、企(事)业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企(事)业法人或其他组织信用状况的其他信息。 第二章部门职责 第八条我行征信业务管理工作,实行统一领导、分工负责的原则。 第九条我行成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作。领导小组由主管征信工作的行长助理担任组长,成员由业务拓展部、风险管理部、内审合规部等职能的部
征信知识竞赛(2017年9月) 机构名称:姓名:得分: 一、单选题(每题1分,共30分,30题) 1、《征信业管理条例》于2012年12月26日国务院第228次常务会议通过,自( B )起施行。 A.2013年1月21日 B.2013年3月15日 C.2013年4月15日 D.2013年6月15日 2、对于《征信业管理条例》中的征信业务,表述正确是( C )A.是指在交易的一方承诺未来偿还的前提下,另一方为其提供商品或服务的行为 B.侧重于道德范畴,广泛应用于于人们的日常社会经济交往中C.是指市场经济中提供信用信息服务的活动 D.包括政府的信息公开活动 3、《征信业管理条例》的适用范围不包括( B ) A.在中国境内开展的征信业务及相关活动 B.国家机关及法律、法规授权的具有管理公共事务职能的组织依照法律.行政法规和国务院的规定,为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布的活动 C.信息提供者向征信机构提供信用信息的活动
D.国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供的活动 4、申请设立经营个人征信业务的征信机构,应当向( B )提交申请书和《征信业管理条例》规定的申请材料。 A工商行政管理部门 B国务院征信业监督管理部门 C国务院征信业监督管理部门的派出机构 D银行业监督管理部门5、征信机构禁止采集的个人信息有( B ) A.个人贷款、个人信用卡等信贷信息 B.宗教信仰、基因、指纹、血型、疾病和病史信息 C.个人的收入、存款和有价证券信息 D.商业保险、不动产的信息和纳税数额信息 6、向金融信用信息基础数据库提供或者查询信息的机构,未经同意查询个人信息或者企业的信贷信息的,由国务院征信业监督管理部门或者其派出机构责令限期改正,对直接负责的主管人员和其他直接责任人员处( B )的罚款。 A.1万元以上5万元以下 B.1万元以上10万元以下 C.2万元以上20万元以下 D.5万元以上50万元以下 7、信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉。