第一篇:征信機構信息安全規范
征信機構信息安全規范
一、總則
1.1標準適用范圍
標準規定了不同安全保護等級征信系統的安全要求,包括安全管理、安全技術和業務運作三個方面。
標準適用于征信機構信息系統的建設、運行和維護,也可作為各單位開展安全檢查和內部審計的安全依據。接入征信機構信息系統的信息提供者、信息使用者也可以參照與本機構有關條款執行,標準還可作為專業檢測機構開展檢測、認證的依據。
1.2相關定義
(一)征信系統:征信機構與信息提供者協議約定,或者通過互聯網、政府信息公開等渠道,對分散在社會各領域的企業和個人信用信息,進行采集、整理、保存和加工而形成的信用信息數據庫及相關系統。
(二)敏感信息:影響征信系統安全的密碼、密鑰以及業務敏感數據等信息。
1、密碼包括但不限與查詢密碼、登錄密碼、證書的PIN等。
2、密鑰包括但不限與用于確保通訊安全、報告完整性的密鑰。
3、業務敏感數據包括但不限于信息主體的身份信息、婚姻狀況以及銀行賬戶信息等涉及個人隱私的數據。
(三)客戶端程序:征信機構開發的、通過瀏覽器訪問征信系統并為征信系統其他功能(如數據采集)的程序,并提供必需功能的組件,包括但不限于:可執行文件、控件、瀏覽器插件、靜態鏈接庫、動態鏈接庫等(不包括IE等通用瀏覽器);或信息提供者、信息使用者以獨立開發的軟件接入征信系統的客戶端程序。
(四)通訊網絡:通訊網絡指的是由客戶端、服務器以及相關網絡基礎設施組建的網絡連接。征信系統通過互聯玩或網絡專線等方式與信息提供者、信息使用者相連,征信系統安全設計應在考慮建設成本、網絡便利性等因素的同時,采取必要的技術防護措施,有效應對網絡通訊安全威脅。
(五)服務器端:服務器端指用于提供征信系統核心業務處理和應用服務的服務器設備及安裝的相關軟件程序,征信機構應充分利用有效的物理安全技術、網絡安全技術、主機安全技術、應用安全技術及數據安全與備份恢復技術等,在外部威脅和受保護的資源間建立多道嚴密的安全防線。
1.3總體要求
本標準從安全管理、安全技術和業務運作三個方面提出征信系統的安全要求。
(一)安全管理從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面提出要求。
(二)安全技術從客戶端、通訊網絡、服務器端等方面提出要求。
(三)業務運作從系統接入、系統注銷、用戶管理、信息采集和處理、信息加工、信息保存、信息查詢、異議處理、信息跨境流動、研究分析、安全檢查與評估等方面提出要求。
二、安全管理
2.1安全管理制度
征信機構根據征信系統的建設、運行和管理情況,建立和完善信息安全管理制度,并定期進行評審和修訂。2.1.1內部管理制度 基本要求:
(一)應制定信息安全工作的總體方針和安全策略,說明本機構安全工作的總體原則、目標、范圍和安全框架等;
(二)應建立征信系統建設和運維管理制度,對機房管理、資金安全、設備管理,網絡安全和系統安全等方面做出明確規定。
(三)應建立征信系統安全審批流程,系統投入運行、網路系統接入等重大事項由信息安全管理負責人審批,并確認簽字。
(四)應對安全管理人員及操作人員執行的重要操作建立操作規程,并進行定期培訓。
(五)應建立日常故障處理流程,重要崗位應建立雙人負責制。
(六)應建立軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則。
(七)應建立數據庫管理制度,對數據的存儲、訪問、使用、展示、備份與恢復、傳輸及樣本數據處理等進行規范。
(八)應建立外包服務管理、外部人員訪問等方面的管理制度,對外部人員對本機構內的活動進行規范化管理。
(九)應建立突發事件及重大事項報告制度,對外部人員在本機構內的活動進行規范化管理。
(十)應建立突發事件應急預案制度,有效避免事故造成的危害。
(十一)應建立信息安全檢查制度,定期或者根據需要(如可能存在安全隱患時)不定期開展安全自查工作,主動接受和配合中國人民銀行及其派出所機構的安全檢查。增強要求:
(一)應建立征信系統建設工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。
(二)應建立密碼使用、變更管理及數據備份與恢復等方面的管理制度,對系統運行維護過程中重要環節的審批與操作等作出的明確規定。
(三)應按照ISO/IEC 27001:2013的相關要求建立完善的信息安全管理體系。2.1.2安全審計制度 基本要求:
(一)應建立信息安全內部審計制度,定期可能帶來信息安全風險的因素進行審計和評估,個人征信機構每年至少1次,企業征信機構每年至少1次。
(二)應對安全管理制度的制定和執行情況進行審計,審計內容包括是否按照法律法規和中國人民銀行的相關規定建立信息安全管理制度,安全管理制度的執行情況,是否定期對制度進行評審和修訂。
(三)應對網絡安全、主機安全、應用安全和數據安全等技術安全進行審計,審計內容包括安全配置、設備運行情況、網絡流量、重要用戶行為、系統異常事件及重要系統命令的使用等。
(四)應對業務操作進行審計,審計內容包括系統接入和注銷、用戶管理、信息采集和處理、信息加工、信息保存、異議處理、信息跨境流動等。
(五)審計記錄應包括事件的日期和時間、用戶、時間類型、時間是否成功及其他與審計相關的信息;應保護系統中的審計記錄,避免收到未預期的刪除、修改或覆蓋等,保存期至少半年;紙質版審計記錄保存期應不少于三年。增強要求:
(一)應定期委托外部專業機構,有重點、有計劃的開展信息科技總體風險審計、征信系統專項審計。
(二)在內部審計和外部審計中發現的重大安全隱患應及時向中國人民銀行及其派出機構報告。
2.2安全管理機構
征信機構應成立有高級管理人員及相關部門負責人組成的信息安全領導小組,并制定專門的部門負責信息安全管理工作。2.2.1崗位設置 基本要求:
(一)應設立安全主管、信息安全管理崗位,明確安全主管和信息安全管理員的崗位職責。
(二)應設立安全管理員、網絡管理員、數據庫管理員等崗位,并定義各工作崗位的職責。
(三)除科技部門以外,其他部門應設置部門計算機安全員。增強要求:
(一)應通過制度明確安全管理機構各個部門和崗位的職責、分工和技能要求。
(二)應建立數據安全管理組織,明確數據安全管理責任人、數據資產管理人、明確數據安全管理的責任,確保有效落實和推進數據安全的相關工作。2.2.2人員配備 基本要求:
(一)應配備安全主管、信息安全管理員、系統管理員、網絡管理員、數據庫管理員等。
(二)安全主管不能兼任信息安全管理員、網絡管理員、系統管理員、數據庫管理員等。
(三)信息安全管理員不能兼任網絡信息管理員、系統管理員、數據庫管理員等。增強要求:
關鍵事務崗位。如信息安全管理員、數據庫管理員等,應配備至少兩人,且互為A、B角共同管理。2.2.3授權和審批 基本要求:
(一)應根據各部門和崗位的職責明確授權審批部門和審批人。
(二)應針對系統投入運行、網絡系統投入、系統變更、重要操作和重要資源的訪問等關鍵活動建立審批流程,由責任人審批后方可進行,對重要活動應建立逐級審批制度。
(三)應記錄審批過程并保存審批文檔。增強要求:
應每年審查審批事項,及時更新需授權和審批的項目、審批的部門和審批人等信息。2.2.4溝通與合作 基本要求:
(一)應加強各部門、各崗位之間以及信息安全職能部門內部的合作與溝通。
(二)應加強與同業機構、通訊服務商及監管部門的合作與溝通。增強要求:
(一)在信息安全管理部門應定期召開各職能部門、各崗位人員參加的協調會議,共同協作處理信息安全問題。
(二)應加強與供應商、業界專家、專業的安全公司、安全組織的合作與溝通。2.3人員管理
征信機構應加強人員安全管理,明確不同崗位的職責,規范人員錄用、離崗、考核和培訓等工作。2.3.1安全主管 基本要求:
(一)應派具有較高計算機水平、業務能力和法律素養的人員擔任安全主管。
(二)安全主管可由信息安全管理部門的相關領導擔任,也可指定專人擔任,主要履行以下職責:
1、組織落實監管部門信息安全相關管理規定和本機構信息安全保障工作。
2、將征信機構信息安全領導小組討論形成的安全決策,分解為安全任務部署落實。
3、對信息化建設中的安全建設方案、安全技術方案或其他安全方案進行審批。
4、對征信機構內部其他信息安全相關管理事項進行審批。
(三)安全主管調崗位時。應辦理交接手續,并履行其調離后的保密義務。增強要求:
安全主管應加強信息安全知識的學習和技能掌握,及時關注國內外信息安全動態,為加強和改進本機構的信息安全管理工作提供合理化建議。2.3.2信息安全管理員 基本要求:
(一)應派具有較高計算機水平、業務能力和法律素養的人員擔任信息安全管理員。
(二)信息安全管理員每年至少進行一次信息安全方面的技術和業務培訓。
(三)信息安全管理員應履行以下職責:
1、在安全主管的指導下,具體落實各項安全管理工作,并協調各部門計算機安全員開展工作。
2、在安全主管的指導下,組織相關人員審核本機構信息化建設項目中的安全方案,組織實施安全項目建設、維護、管理信息安全專用設施。
3、在計算機系統應用開發、技術方案設計和實施、集成等工作中提出安全技術方案并組織實施。
4、負責本機構計算機系統部署上線前的安全自測試方案的審核。
5、定期檢查網絡和征信系統的安全運行狀況,組織檢查運行操作、備份、機房環境與文檔等安全管理情況,發現問題,及時通報和預警,并提出整改意見,統計分析和協調處置信息安全事件。
6、定期組織信息安全宣傳教育活動,與相關部門配合開展信息安全檢查,(四)信息安全管理員調離崗位時,應辦理交接手續,并履行其調離后的保密義務。增強要求:
信息安全管理員應增加信息安全知識學習和技能掌握,及時關注國內外信息安全動態,為貫徹落實本機構的信息安全策略和方案提出合理化建議。2.3.3部門計算機安全員 基本要求:
(一)各部門的計算機安全員應由較熟悉計算機知識的人員擔,并報信息安全管理部備案,如有變更應及時通報信息安全管理部門。
(二)部門計算機安全員因積極配合信息安全管理員的工作,各部門應優先選派部門計算機安全員參加信息安全技術培訓。
(三)部門計算機安全員應履行以下職責:
1、負責配合信息安全管理部完成本部門計算機病毒防治、補丁升級、非法外聯防范,系統故障應急處理、移動存介質管控等工作。
2、全面負責本部門的信息安全管理工作。負責提出本部門的信息安全保障需求,及時與信息安全管理部門溝通本部門信息安全情況,做好信息安全通報工作,發現情況及時向信息安全管理部門報告,3、負責本部門相關文檔資料的安全管理工作。以及本部門國際互聯網、征信系統網絡的使用和計入安全管理,組織開展本部門信息安全自查,協助信息安全管理部門完成本機構的信息安全檢查工作。
(四)部門計算機安全員調離崗位時,辦理交接手續,并履行其調離后的保密義務。增強要求:
部門計算機安全員每年至少參加一次信息安全培訓,積極配合信息安全管理員做好本部門的信息安全管理和風險防范至少宣傳落實工作。2.2.4技術支持人員 基本要求:
(一)內部技術人員(本機構正式員工,負責參加與征信機構機房環境、網路、計算機系統等建設、運行、維護人員,若系統管理員、數據庫管理員等)在落實征信系統建設和日產維護工作過程中,履行以下職責:
1、嚴格遵守本機構各項安全保密規定和征信系統安全管理相關制度。
2、嚴格權限訪問,未經業務部門書面授權和本部門領導批準,不得擅自修改征信系統應用設置或修改系統生成的任何業務數據。
3、檢測和控制機房、網絡、安全設備、計算機系統的安全運行狀況,定期進行風險評估、應急演練,發現安全隱患或故障及時報告安全主管、信息安全管理員、并及時響應和處置。
(二)外部技術人員(非本機構人員)應履行服務外包合同(協議)中的各項安全承諾,在提供技術服務期間,嚴格遵守征信機構相關安全規定與操作規程。增強要求:
外部技術支持人員未經業務部門書面授權和所在部門領導批準,不得擅自接觸、查看或修改修改征信系統的應用設置或相關業務數據等,確需接觸、查看或修改時,須取得業務部門書面授權和所在部門領導批準,并在內部技術人員在場陪同下,方可進行。2.2.5業務操作人員 基本要求:
(一)業務操作人員(指征信機構內部直接使用征信系統進行業務處理的業務部門工作人員,包括業務管理員、一般業務操作員)應履行以下職責:
1、嚴格按照征信機構相關業務規程操作、使用征信系統及相關數據,嚴禁各種違規操作。
2、嚴格按照征信機構信息安全管理相關規定操作、使用征信系統的業務數據,防止征信信息外泄。
3、妥善保管好征信系統的賬戶和密碼,并按要求定期更換密碼,禁止將賬戶和密碼提供給他人使用。
4、發現征信系統出現異常及時向部門計算機安全員報告。
5、定期清理業務操作終端業務數據,不得在業務操作終端上安裝與支付業務無關的計算機軟件和硬件,不得擅自修改征信系統的運行環境參數。
(二)業務操作按照“權限分設、互相制約”原則,嚴格進行操作角色劃分和授權管理,技術支持人員不得兼任業務操作人員。增加要求:
業務操作人員應實現A、B角管理。2.2.6一般計算機用戶 基本要求:
(一)一般計算機用戶(指征信機構內部使用接入征信系統網絡的計算機及外設的所有人員)應履行以下職責:
1、及時安裝計算機病毒防治軟件和客戶端防護軟件,按規定使用移動存儲介質,自覺接受部門計算機安全員的指導與管理。
2、不得安裝與工作無關的計算機軟件和硬件,不得將征信系統相關計算機擅自接入未經授權的網絡。
(二)未經信息安全管理部門批準和檢測的計算機及外設不得接入征信系統網絡。增強要求:
1、一般計算機用戶不得私自改變計算機用途。
2、一般計算機用戶系統應統一安裝、統一升級及更新計算機病毒防治軟件。
2.4系統建設管理
2.4.1系統頂級 基本要求:
(一)應明確信息系統的邊界和安全保護等級。
(二)應應以書面形式說明信息系統確定為某個安全保護等級的方法和理由。增強要求:
應組織相關部門和有關安全技術專家對信息系統定級結果的合理性和正確性進行論證和審定。2.4.2安全方案設計 基本要求:
(一)應根據征信系統的安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施。
(二)應以書面形式描述對征信系統的安全保護要求、策略和措施等內容,形成系統的安全方案。
(三)對安全方案進行細化,形成能指導征信系統安全建設、安全產品采購和使用的詳細設計方案。
(四)應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定,并且經過征信機構相關領導批準后,正式組織實施。增強要求:
(一)應制定和授權專門的部門對征信系統的安全建設進行總體規劃,制定近期和遠期的安全建設工作計劃。
(二)應統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案,并形成配套文件。
(三)應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案等相關配套文件的合理性和正確性進行論證和審定,并且經過征信機構相關領導批準后,正式組織實施。
(四)應定期調整和修訂總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件。2.4.3安全產品采購
第二篇:征信信息安全實施細則
信息安全實施細則
第一章 總 則
為加強征信業務運行管理,規范征信業務組織、操作行為,有效防范道德風險、操作風險、聲譽風險,根據《征信業管理條例》、《個人信用信息基礎數據庫管理暫行辦法》、《個人信用信息基礎數據庫金融機構用戶管理辦法(暫行)》、《中國人民銀行關于進一步加強征信信息安全管理的通知》等有關規定,結合實際,制定本細則。
第二條
本細則所稱征信信息安全,是指從事與個人、企業和其他組織信用活動相關的業務,包括:向國家金融信用信息基礎數據庫報送個人和企業征信數據、從征信系統獲取客戶信用信息、使用客戶信用信息、處理信息主體異議等業務辦理或使用中,嚴格按照管理制度用信以及保證客戶征信信息安全。
第三條
本細則所稱征信系統,是指按人民銀行相關規定建立的,用于采集、保存、加工、整理個人、企業和其他組織的,為個人和企業提供信用報告查詢服務的數據庫系統。
第四條
本細則所稱借款人,是指向及轄內機構申請辦理信貸業務的企(事)業法人、其他組織、個體工商戶和自然人。
第五條
本細則所稱的擔保人,是指為辦理信貸業務的借款人提供擔保的企(事)業法人、其他組織、個體工商戶和自然人。
第六條
本細則所稱信貸業務,是指貸款(含委托貸款)、銀行承兌匯票、信用證、保函、票據貼現、貿易融資、保理、公 開授信等業務以及與其相關的擔保業務。
第七條
本細則所稱客戶信用信息,是指能夠反映個人、企(事)業法人或其他組織信用狀況的信息,包括身份識別信息、信用交易信息以及反映個人、企(事)業法人或其他組織信用狀況的其他信息。
第二章 部門職責
第八條
征信業務管理工作,實行統一領導、分工負責的原則。
第九條
成立征信信息安全工作領導小組,統一領導全行個人和企業征信業務的有關工作。領導小組由主管信貸領導擔任組長,成員由信貸部組成。領導小組辦公室設置在信貸部。
第十條
征信信息安全工作領導小組負責協調征信系統運行管理、查詢使用和數據報送等工作;建立健全相關管理制度,指導、培訓檢查各社征信業務;對接收到的人民銀行或上級機構反饋的錯誤數據及時交有關機構進行修改;開展不同層次、不同崗位的人員的征信培訓工作;做好信用報告異議處理的協調與處理工作;做好征信系統用戶管理工作,按照人民銀行要求及時上報征信管理員、查詢員,異議元,做好用戶備案工作;管理好用信工作,杜絕泄露、出售等客戶的征信報告。
基層機構負責客戶基本信息的錄入,確保核心業務系統和信貸管理系統中客戶信息和賬務處理信息數據的真實、準確、完整,符合人民銀行報送要求;保證征信業務合規合法,確保客戶信用 信息不被泄露。
第三章 系統與用戶管理
第十一條
在征信系統中建立用戶體系,其中聯社由市聯社設立管理員用戶,基層社由聯社設立征信查詢用戶。
第十二條
用戶代碼是用戶在征信系統中的身份標識,具有唯一性,不得設置公用代碼、一人分配多個代碼。檢查查詢員用戶統一由系統管理員設置。
第十三條
用戶密碼是用戶登錄征信系統的安全保證,由數字和字母組合構成。首次登錄時,必須更改密碼,以后每月至少更改一次。
第十四條
管理員用戶不得隨意增加、修改用戶及用戶的權限。
第十五條
管理員用戶不得隨意重置用戶密碼,下列情況除外:
(一)用戶遺忘登錄密碼,向管理員用戶提出書面申請的;
(二)管理員用戶發現用戶密碼被盜用,且無法及時通知用戶更改密碼的;
(三)其他特殊情況。
第四章 安全管理
第十六條
基層機構要確保客戶信息在查詢使用、異議處理等過程中的完整性和保密性,嚴格遵循《征信業管理條例》、人民銀行和相關規定,確保數據不被泄露。第十七條
基層機構在查詢、打印企(事)業法人、其他組織、個體工商戶和自然人的信用報告時須獲得客戶書面授權。除下述情況外,不得以任何理由查詢客戶信用報告。
(一)審核客戶信貸業務申請的;
(二)審核擔保人主體資格的;
(三)受理法人或其他組織的貸款申請或其作為擔保人,需查詢其法定代表人及出資人信用狀況的;
(四)對已發生信貸業務進行風險跟蹤管理的;
(五)處理異議和投訴的;
(六)法律規定可以查詢的其他情況
第十八條上級定期組織開展征信工作檢查,對用戶設置、信息查詢和使用、異議處理、檔案管理、信息安全以及相關內控制度建設、執行情況進行檢查,提高制度執行力,保證征信業務嚴格遵循《征信業管理條例》、人民銀行和相關規定,并將檢查結果及時報告及當地人民銀行。
第十九條
通過征信系統查詢、打印的信用報告和相關資料屬內部重要信貸業務資料,不得外泄。
第二十條
除本辦法規定的情況外,任何單位和個人不得將征信系統查詢結果和信用報告用于其它目的。
第二十一條
用于征信系統運行的計算機實行專機專用,不得下載或安裝與系統無關的軟件;定期進行病毒檢查和網絡訪問安全監測,做好系統日常維護工作。
第五章 附 則
第二十二條
本辦法自下發之日起施行,由市農村信用合作聯社負責制訂、解釋、修改。
第三篇:征信信息安全管理工作方案
xxx有限責任公司
關于加強征信信息安全管理的工作方案
一、指導思想
為貫徹落實銀發〔2018〕102號《中國人民銀行關于進一步加強征信信息安全管理的通知》的文件精神,進一步增強征信信息安全意識、加強征信信息安全管理,切實保護信息主體合法權益,提升人民群眾在征信領域的幸福感和安全感,切實防范違規查詢和非法出售征信信息等行為的發生。我公司以“重規范、保安全”為工作理念,強化征信信息安全管理意識,明晰征信信息安全主體責任,完善征信內控問責機制,完備征信業務和征信信息安全操控流程,建立健全征信信息異議事件上報處理機制與安全事件應急處置機制。嚴防征信信息泄露風險,堅決維護客戶征信信息安全,主動自覺加強我公司征信信息安全管理工作的部署和協調。
二、總體目標
1、加強征信管理,明確權責關系,提高征信人員思想認識。要清醒認識當前征信信息安全面臨的嚴峻形勢,切實增強征信信息安全管理意識。按照“分級管理、逐級負責”和“誰主管誰負責、誰使用誰負責”的原則,明確領導層中分管征信工作的責任關系。
2、加強征信培訓,提高征信人員業務水平。熟練掌握征信業務操作流程,提高征信信息安全管理水平。對征信各級管理人員和從業人員進行全員征信合規性教育培訓,牢牢守住不發生征信信息安全風險的底線。
3、加強異議處理,提高異議回復質量。分級建立征信用戶查詢操作日核查機制,完善異常查詢監控、處置與報告機制,優化和調整征信查詢日核查與實時監控指標,不斷提高本公司自查與自控的能力。
4、完善征信內控制度及問責制度,提高安全管理水平。結合自身情況對自身的內控制度及問責制度進行全面自建自查,查漏補缺、,補齊短板。
5、加強征信自糾自查,提高制度執行力。本公司將征信管理工作納入常規管理,按規定執行查詢操作、檔案管理、信用報告使用、異議處理、安全管理等問題,明確人員責任,加大處罰力度,將相關制度落到實處,切實防范征信信息泄露風險。
三、組織領導及工作任務
為確保征信信息安全管理工作順利推進,由征信信息安全工作領導小組組長為第一責任人,副組長為直接責任人,組員由征信錄入人員及征信查詢人員組成。
1、小組組長負責全面部署此次工作,并督查工作進度。第一,保證公司關于征信合規與信息安全內控制度及問責制度有效、全面且具備可執行性;
第二,明確征信信息安全工作領導小組成員崗位職責; 第三,建立征信合規與信息安全自查自糾制度; 第四,制定征信信息安全事件應急處理方案。
將上述四項制度及方案整理成文,在小組內部研討學習,并監督落實情況。
2、小組副組長負責分配任務及推進工作,并組織組員學習領會中國人民銀行銀發〔2018〕102號文件精神。根據公司實際情況,負責本公司征信信息安全內部控制系統的運行、修訂和維護工作。
落實征信信息安全問責制度及自查自糾制度的實施,并組織工作小組學習征信信息安全事件應急處置方案。負責應對各種征信合規與信息安全相關問題,必要時可上報組長,以及時準確解決相關問題。
3、小組成員中,征信錄入人員及征信查詢人員應全面領會征信崗位職責,明確征信信息安全內控制度及問責制度相關要求,合規合法開展征信工作。
四、工作措施
1、加強公司內部對征信管理重要性和必要性的認識,明確分配權責關系,提高小組全員重視度,切實加強小組成員對征信信息安全管理意識。
第一,由副組長認真研讀銀發〔2018〕102號文件,并梳理、提煉文件精神,組織全小組成員學習,并以學習報告的方式驗收學習成果,確保文件精神深入人心,并可以指導日后征信信息安全工作的順利推進。
第二,確保公司內部訂立的征信安全相關崗位職責、內控制度和問責制度行之有效、切實落地。組長和副組長分級管理、逐級負責,小組成員誰使用誰負責。
第三,小組全員凝心聚力,確保征信信息安全管理工作順利推進。
2、強化小組成員征信錄入及查詢培訓,確保征信人員業務水平到位。
第一,要求小組成員熟練掌握征信業務操作流程,提高征信信息安全管理水平。
第二,通過定期檢查與不定期抽查方式考核征信錄入人員與征信查詢人員業務水平,并納入公司考核制度,以敦促小組成員盡職盡責。
第三,對征信各級管理人員和從業人員進行全員征信合規性教育,提高征信工作人員思想覺悟,牢牢守住不發生征信信息安全風險的底線。
3、設立征信異常查詢自查機制,妥善辦理異議與投訴,設置異議處理流程及制度,提高異議回復與處理質量。優化和調整征信查詢日核查與實時監控指標,不斷提高本公司自查與自控的能力。
第一,將異議處理職責納入小組成員崗位職責,切實達到責任到人,有責可依。并將異議處理結果納入問責機制,以期妥善處理異議及投訴。
第二,嚴格遵守異議處理事件,規范異議處理流程,按規定出具相關文書,做好異議申請、處理資料的保管、歸檔。
第三,強化投訴辦理,規范投訴流程,及時辦理信息主體投訴,提高信息主體的滿意度。第四,以異議和投訴為重要線索,對可能涉及的征信信息安全風險事件及時進行全面排查,及時發現問題和排除隱患。
4、不斷完善征信內控制度及問責制度,以提高安全管理水平為目標,審視自身情況,對公司征信信息安全相關內控制度及問責制度進行由內到外、由表及里地自查自修,查找紕漏,補充缺口,健全制度體系,確保制度層次的穩健性和系統化。
第一,建立健全征信內控制度及問責制度,并及時向人民銀行報備制度變更情況。
第二,建立征信信息安全情況報告制度。每月5日前向市人民銀行報送異常查詢、違規查詢、非法提供、違規使用、信用報告泄露等征信信息安全情況統計表。及時未發生征信信息安全風險事件,亦采取玲報告制度。
第三,建立征信合規與信息安全自查自糾制度及報告制度。建立分級監控、專項核查的工作機制,按照征信內控制度的規定,對日常監測發現的風險線索以及異常查詢線索,與對應的信貸業務進行逐筆核實,從授權、審核、查詢、使用、存儲等各個環節梳理是否存在征信違規風險隱患。按季度開展內部征信合規和信息安全自查自糾,并將自查自糾情況向人民銀行書面報告。
5、不斷加強本公司征信信息安全的自糾自查能力,提高全體小組成員的制度執行力,加大違反制度的懲罰力度。
第一,切實將征信管理工作納入公司日常考核管理。
第二,按規定執行查詢操作、檔案管理、信用報告使用、異議處理、安全管理等問題,明確人員責任,加大處罰力度,將相關制度落到實處,切實防范征信信息泄露風險。
五、工作要求
1、統一認識,提高認識。統一全體小組成員的思想認識,深刻把握開展征信信息安全管理的重要意義,深刻理解銀發〔2018〕102號文件的精神實質,強化全員的能動意識,人人明確崗位責任制,激發全員參與強化征信信息安全管理工作的積極性,主動性和創造性。
2、抓住重點,解決問題。針對文件精神、內控制度、問責制度、崗位職責、自查制度、應急機制和異議處理機制等內容和要求,進一步結合公司加強征信信息安全管理方面的需要,在小組內全面系統地開展自我診斷工作,找準導致公司產生征信信息安全風險的主要問題,在深入實施觀察,充分論證的基礎上,重點攻關,狠抓落實,確保客戶信息得到有效保護,做好新時代征信信息安全維護工作,切實保護客戶的合法權益,為提升人民群眾在征信領域的幸福感和安全感不懈努力。
3、明確責任,抓好落實。細化工作任務、明確責任、強化考評,從嚴管理,全面落實各項制度規章及崗位職責,推動征信信息安全管理工作地深入開展,確保征信信息安全工作取得實效。
4、有序推進,合理安排。要集中力量解決征信信息安全工作中的瓶頸和主要矛盾,優先解決緊迫的、急的、需要快速處理的問題,對于長期的問題要制訂出長期的解決措施,形成短、中、長兼顧,立體式的有序推進機制。在市人民銀行的正確引導下,在完備的內控制度的有力制約下,為我國征信信息系統不斷趨于完善添磚加瓦。
5、固化成果,不斷進步。及時總結提煉征信信息安全管理工作經驗,促進工作創新成果的有效轉化,以執行制度、貫徹精神的行動理念保障工作成果,以完善標準、修訂制度的方式方法固化工作成果,以服從引導、積極配合的實際行動顯現工作成果。
我公司征信信息安全工作領導小組將嚴格執行本工作方案,落實關于加強征信信息安全管理的各項方針要求,積極配合市人民銀行的相關工作,高度重視此次征信信息安全管理工作。領會并掌握文件精神;修訂并完善自身制度;具備并提升工作自覺性;認識并強化溝通交流;建立并完善審核報送機制。為提升人民群眾在征信領域的幸福感和安全感做出應有貢獻!
法定代表人:
xxx有限責任公司 2018年5月15日
第四篇:征信機構信息系統安全及內控機制
第 1 頁
征信機構信息系統安全及內控機制
—、征信機構信息系統安全等級(一)征信系統的數據安全管理
電子數據安全是征信系統安全管理的重要組成部分需要構建全方位、立體化的征信系統信息安全管理機制。
1.網絡訪問控制
目前,個人信用信息基礎數據庫和企業信用信息基礎數據庫等業務客戶端系統同其他大部分業務系統一樣,都支持Telnet協議的遠程登錄方式。網絡中任意終端設備在安裝相對應的客戶端后,理論上即具有遠程登錄主機的條件。征信機構實行互聯網、辦公網和業務網物理隔離的三網分離管理模式,網絡訪問控制清晰且嚴格,但同一網絡間存在計算機互訪的條件,如控制不當將為遠程入侵留下隱患,直接威脅到數據通信和數據存儲機密性的安全。加強網絡訪問控制,關鍵是阻止未授權終端接入。在各個使用征信系統業務終端的金融機構的交換機和路由設備中設定多層訪問控制列表及劃定虛擬局域網,通過授權將指定的業務終端綁定。
2.加強身份認證
身份認證是登錄征信系統的必要程序,此要素出現缺陷,將直接影響到數據使用的 可控性。而強身份認證則是在其基礎上貫徹強化原則,明確各項規章制度在安全管理方面的要求。首先,要強化用戶的資格管理。這是經身份認證并登錄系統進行操作的基礎。用戶的建立須經過崗前培訓,具備相關從業資格,簽訂崗位安全責任狀、保密責任書及 協議等一系列制度要求的程序。其次,要強化用戶的口令管理。用戶代碼及口令是身份 認證的體現方式,一個用戶代碼只限一個用戶使用,用戶在接到分配的用戶代碼后,應 立即登錄系統并修改口令,勤更換,并僅限持有該用戶代碼的本人掌握。最后,要強化 用戶的制約管理。合理設定兼崗用戶,及時撤銷停止使用的用戶權限,負責保管密封口 令的管理人員不得擁有各級身份認證權限。強身份認證亦可通過安全證書、USB Key(硬 件數字證書載體)、智能卡芯片等方式實現,其作用不僅體現在有效防止用戶名及密碼被 盜用方面,更體現在對發生安全風險的責任認定方面。第 2 頁
3.數據通信機密性
征信系統采集的各類征信數據信息因與各個機構分別進行溝通協調,導致征信數據 信息在通信過程中的加密方式采取不同標準。采用密押設備來統一保證征信數據信息的 通信機密性。密押設備應統一定制配發,擁有防撬檢測電路,確保密鑰及密碼算法不會 暴露于物理安全的環境之外。密押設備由各征信系統運行部門指定專人配置、維護和保 管。可以說,密押設備的應用能有效地保護征信數據信息的通信安全,并與網絡訪問控 制的安全要素息息相關。
4.數據存儲機密性
數據存儲是數據以某種格式記錄在計算機內部或外部存儲介質上。與其他安全管理 要素相比,強身認證對其保護作用更加明顯。對存儲在計算機內部的數據,主要是服 務器中的數據,要按規定將系統服務器主備機在中心機房安全擺放,設置雙M以上門禁; 未經主管部門領導批準,非機房工作人員不得進人機房。系統管理員進行系統維護時,應有業務主管或操作員在場,嚴格控制對數據庫的直接操作,并對維護內容作詳細記錄。
對于存儲在計算機外部介質中的數據,如磁盤、U盤、光盤、本地設備等,要嚴格 管理、妥善保存,并實行數據加密制度。征信系統及其導出數據使用的存儲介質,應進 行嚴格的病毒檢査,防止計算機病毒侵入,禁止在征信系統終端設備上使用非征信系統 專用的存儲介質,禁止在征信系統及其相關的設備上安裝與系統運行無關的軟件,最大 限度地保證數據存儲機密性不受影響。
(二)我國《征信機構管理辦法》對征信系統安全等級的規定根據《中華人民共和國中國人民銀行法》《征信業管理條例》等法律法規,中國人民 銀行制定了《征信機構管理辦法》,自2013年12月20日起施行。《征信機構管理辦法》 明確要求設立個人征信機構,應當經中國人民銀行批準,且信用信息系統應當符合國家 信息安全保護等級二級或二級以上標準。
根據我國《信息安全等級保護管理辦法》第二章,等級劃分與保護規定:第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社□第六章信息主體權益保護 第 3 頁
會秩序和公共利益造成損害,但不損害國家安全。對于第二級國家的監督管理要求為,第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家 信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。
知識鏈接:中國金融新聞網—11315全國企業征信系統—我國社會征信新模式。我國信息安全等級保護等級劃分和監管方式
1.信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中 的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和 其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損 害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國 家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者 對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
2.信息系統運營、使用單位依據《征信機構管理辦法》和相關技術標準對信息系統 進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。
第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。
第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。第 4 頁
第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。
第四級信息系銃運營、使用單位應當依據國家有關管理規范、技術標準和業務專門 需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制 監督、檢查。
需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。
二、征信機構內控機制
內控機制建設就是一個組織為了實現既定目標,防范和減少風險的發生,由全體成 員共同參與,對內部業務流程進行全過程的介入和監控,采取權力分解、相互制衡手段,制定出完備的制度保證的過程。征信機構是征信體系建設的核心機構,在信用體系的建 設中承擔重要的職責,其客觀公正的評估有賴于內部有效的管理機制。
(一)我國征信機構內控機的相關規定 1.《征信業管理條例》相關規定
2013年3月15日開始實施的《征信業管理條例》第6條規定,設立經營個人征信業 務的征信機構,應當符合《中華人民共和國公司法》規定的公司設立條件和下列條件,并經國務院征信業監督管理部門批準:(1)主要股東信譽良好,最近3年無重大違法違 規記錄;(2)注冊資本不少于人民幣5 000萬元;(3)有符合國務院征信業監督管理部 門規定的保障信息安全的設施、設備和制度、措施;(4)擬任董事、監事和高級管理人 員符合該條例第8條規定的任職條件;(5)國務院征信業監督管理部門規定的其他審慎 性條件。第8條規定,經營個人征信業務的征信機構的董事、監事和高級管理人員,應當 熟悉與征信業務相關的法律法規,具有履行職責所需的征信業從業經驗和管理能力,最近3年無重大違法違規記錄,并取得國務院征信業監督管理部門核準的任職資格。
2.《征信機構管理辦法》 第 5 頁
2013年I2月20日起實施的《征信機構管理辦法》第6條規定,設立個人征信機構,除應當符合《征信業管理條例》第6條規定外,還應當具備以下條件:(1)有健全的組 織機構;(2)有完善的業務操作、信息安全管理、合規性管理等內控制度;(3)個人信 用信息系統符合國家信息安全保護等級二級或二級以上標準。
對于征信機構的業務開拓以及跨域經營等內容,則充分尊重了企業的自主經營權,促使征信機構發揮經營的積極性和主動性。
(二)西方國際征信機構內控機制
征信機構運營模式可以大致劃分為兩種類型:以美、英為代表的市場主導型和歐洲 大陸大多數國家所采納的政府主導型,其內控機制和管理模式則呈現不同的特點。
1.美國征信機構的市場化的內控模式
美國征信機構組織模式,是蝕立于政府之外的第三方私營機構,將個人信息進行收集、加工后,有償提供給信息需求者,并且依據市場的需求來完善自己的經營與管理模 式,提升運營效率。具有以下幾個特點:首先,征信機構私有化。個人征信機構都是由 私營的工商企業、征信專業公司、授信機構共同發揮作用的征信主體。其次,獨立性強。征信機構既與政府隔離,同時又與其拖市場主體相分離,作為真正意義上的第三方存在。最后,按市場化原則運作。征信機構伴隨著信用交易的市場需求產生而產生,隨著市場 信用交易規模的發展而發展。其公司機制為公司制形式,以營利為目的,以股東利益最 大化為前提,股東出資比例決定公司投票權比例,一切決策按照商業化目的進行,服務 的范圍不受限制。
美國《公平信用報告法》規定,作為個人征信機構,必須同時具備下列5項基本特 征:A.消費者信用調查和生產調查報告時期日常業務;B.專門從事收集消費者信用調查 或評價消費者信用價值;C.從事有償服務、以營利為目的;D.服務的目的是向第三方提 供消費者信用調查報告;E.向全國市場提供公開的服務,不僅僅向關系企業提供報告 服務。第 6 頁
在全球征信機構中,像益百利、環聯、鄧百氏等大型的征信機構全部采用公司制的 治理架構,并且,有些征信公司已經是上市公司。美國征信機構市場化的運作機制,政 府并沒有對其具體的內控機制進行明確的法律規定。
2.以德國為代表的征信機構組織模式
以德國為代表的公共征信模式又稱為政府主導的征信模式,即主要是依靠政府的力 量建立征信機構,政府通過行政手段強制要求個人或企業向征信機構提供其信用信息或 數據,從而建立個人信用信息數據庫,并通過法律形式保障信息或數據的真實性。其特 點如下:A.具有一定的強制性。通過法律與決議的形式保證個人信用信息的可得性與真 實性。B.公私征信機構并存。公共與私營征信機構并立,且互為補充。C.壟斷與競爭并 存。既有公共征信機構對個人基本信用信息的壟斷,又有私營機構間的競爭。
政府主導的征信機構征信模式,雖然體現政府對于征信機構數據的來源和分享有一 定的強制性,但是對征信機構的日常運行管理,則干預較少。
第五篇:客戶征信信息管理制度
客戶征信信息管理制度
第1章
總則
第1條 為防止客戶征信信息泄露,確保信息完整和安全,科學、高效地保管和利用客戶征信信息,特制定本制度。
第2條 本制度適用于客戶征信信息相關人員的工作。
第2章 客戶征信信息歸檔
第3條 客戶開發專員每發展、接觸一個新客戶,均應及時在客戶征信信息專員處建立客戶檔案,客戶檔案應標準化、規范化。
第4條 客戶征信信息專員負責企業所有客戶征信信息、客戶征信信息報表的發送、收集、匯總、整理。
第5條 為方便查找,應為客戶檔案設置索引。
第6條 客戶檔案按風險控制部的要求分類擺放,按從左至右、自上而下的順序排列。第7條 客戶征信信息的載體(包括紙張、軟件等)應選用質量好、便于長期保管的材料。信息書寫應選用耐久性強、不易褪色的材料,如碳素墨水或藍黑墨水,避免使用圓珠筆、鉛筆等。
第3章 客戶征信信息報告
第8條 客戶征信信息專員對客戶征信信息進行分析、整理,編制客戶征信信息報告。第9條 其他部門若因工作需要,要求客戶征信信息專員提供有關客戶征信信息資料及定期統計報告的,須經風險控制部經理的審查同意,并經總經理批準。
第10條 客戶征信信息報告如有個別項需要修改時,應報總經理批準,由風險控制部備案,不必再辦理審批手續。
第11條 客戶征信信息專員編制的各種客戶征信信息資料報告必須根據實際業務工作需要,統一印刷、保管及發放。
第12條 為確保客戶征信信息報告中數據資料的正確性,客戶征信信息主管、風險控制部經理應對上報或分發的報告進行認真審查。
第4章 客戶檔案的檢查
第13條 每半年對客戶征信檔案的保管狀況進行一次全面檢查,做好檢查記錄。第14條 發現客戶征信檔案字跡變色或材料破損要及時修復。第15條 定期檢查客戶征信檔案的保管環境,防潮、防霉等工作一定要做好。
第5章 客戶征信信息的使用
第16條 建立客戶征信信息檔案查閱權限制度,未經許可,任何人不得隨意查閱客戶征信信息檔案。
第17條 查閱客戶征信信息檔案的具體規定如下。
1.由申請查閱者提交查閱申請,在申請中寫明查閱的對象、目的、理由、查閱人概況等情況。
2.由申請查閱者所在單位(部門)蓋章,負責人簽字。
3.由風險控制部對查閱申請進行審核,若理由充分、手續齊全,則予以批準。第18條 客戶征信信息資料安全的具體規定如下。
1.任何處室和個人不得以任何借口分散保管客戶征信資料和將客戶征信資料據為己有。
2.借閱者提交借閱申請,內容與查閱申請相似。
3.借閱申請由借閱者所在單位(部門)蓋章,負責人簽字。4.風險控制部門對借閱申請進行審核、批準。
第6章 客戶征信信息的保密
第19條 風險控制部各級管理人員和征信信息管理人員要相互配合,自覺遵守客戶征信信息保密制度。
第20條 凡屬“機密”、“絕密”的客戶資料,登記造冊時,必須在檢索工具備注欄寫上“機密”、“絕密”字樣,必須單獨存放、專人管理,其他人員未經許可不得查閱。
第21條 各類重要的文件、資料必須采取以下保密措施。
1.非經總經理、客戶征信信息主管或風險控制部門經理批準,不得復制和摘抄。2.其收發、傳遞和外出攜帶由指定人員負責,并采取必要的安全措施。
第22條 企業相關人員在對外交往與合作中如果需要提供客戶資料時,應事先獲得客戶征信信息主管和風險控制部經理的批準。
第23條 對保管期滿,失去保存價值的客戶征信資料要按規定銷毀,不得當作廢紙出售。第24條 客戶征信信息管理遵循“三不準”規定,其具體內容如下。1.不準在私人交往中泄露客戶征信信息。2.不準在公共場所談論客戶征信信息。
3.不準在普通電話、明碼電報和私人通信中泄露客戶征信信息。第25條 企業工作人員發現客戶征信信息已經泄露或者可能泄露時,應當立即采取補救措施,并及時報告客戶征信信息主管及風險控制部經理。相關人員接到報告后,應立即處理。
第7章 附則
第26條 本制度由風險控制部負責解釋、修訂和補充。第27條 本制度呈報總經理審批后,自頒布之日起執行。
點擊咨詢 