第一篇：征信機(jī)構(gòu)信息系統(tǒng)安全及內(nèi)控機(jī)制

第 1 頁

征信機(jī)構(gòu)信息系統(tǒng)安全及內(nèi)控機(jī)制

—、征信機(jī)構(gòu)信息系統(tǒng)安全等級(一）征信系統(tǒng)的數(shù)據(jù)安全管理

電子數(shù)據(jù)安全是征信系統(tǒng)安全管理的重要組成部分需要構(gòu)建全方位、立體化的征信系統(tǒng)信息安全管理機(jī)制。

1.網(wǎng)絡(luò)訪問控制

目前，個人信用信息基礎(chǔ)數(shù)據(jù)庫和企業(yè)信用信息基礎(chǔ)數(shù)據(jù)庫等業(yè)務(wù)客戶端系統(tǒng)同其他大部分業(yè)務(wù)系統(tǒng)一樣，都支持Telnet協(xié)議的遠(yuǎn)程登錄方式。網(wǎng)絡(luò)中任意終端設(shè)備在安裝相對應(yīng)的客戶端后，理論上即具有遠(yuǎn)程登錄主機(jī)的條件。征信機(jī)構(gòu)實(shí)行互聯(lián)網(wǎng)、辦公網(wǎng)和業(yè)務(wù)網(wǎng)物理隔離的三網(wǎng)分離管理模式，網(wǎng)絡(luò)訪問控制清晰且嚴(yán)格，但同一網(wǎng)絡(luò)間存在計算機(jī)互訪的條件，如控制不當(dāng)將為遠(yuǎn)程入侵留下隱患，直接威脅到數(shù)據(jù)通信和數(shù)據(jù)存儲機(jī)密性的安全。加強(qiáng)網(wǎng)絡(luò)訪問控制，關(guān)鍵是阻止未授權(quán)終端接入。在各個使用征信系統(tǒng)業(yè)務(wù)終端的金融機(jī)構(gòu)的交換機(jī)和路由設(shè)備中設(shè)定多層訪問控制列表及劃定虛擬局域網(wǎng)，通過授權(quán)將指定的業(yè)務(wù)終端綁定。

2.加強(qiáng)身份認(rèn)證

身份認(rèn)證是登錄征信系統(tǒng)的必要程序，此要素出現(xiàn)缺陷，將直接影響到數(shù)據(jù)使用的 可控性。而強(qiáng)身份認(rèn)證則是在其基礎(chǔ)上貫徹強(qiáng)化原則，明確各項規(guī)章制度在安全管理方面的要求。首先，要強(qiáng)化用戶的資格管理。這是經(jīng)身份認(rèn)證并登錄系統(tǒng)進(jìn)行操作的基礎(chǔ)。用戶的建立須經(jīng)過崗前培訓(xùn)，具備相關(guān)從業(yè)資格，簽訂崗位安全責(zé)任狀、保密責(zé)任書及 協(xié)議等一系列制度要求的程序。其次，要強(qiáng)化用戶的口令管理。用戶代碼及口令是身份 認(rèn)證的體現(xiàn)方式，一個用戶代碼只限一個用戶使用，用戶在接到分配的用戶代碼后，應(yīng) 立即登錄系統(tǒng)并修改口令，勤更換，并僅限持有該用戶代碼的本人掌握。最后，要強(qiáng)化 用戶的制約管理。合理設(shè)定兼崗用戶，及時撤銷停止使用的用戶權(quán)限，負(fù)責(zé)保管密封口 令的管理人員不得擁有各級身份認(rèn)證權(quán)限。強(qiáng)身份認(rèn)證亦可通過安全證書、USB Key(硬 件數(shù)字證書載體）、智能卡芯片等方式實(shí)現(xiàn)，其作用不僅體現(xiàn)在有效防止用戶名及密碼被 盜用方面，更體現(xiàn)在對發(fā)生安全風(fēng)險的責(zé)任認(rèn)定方面。第 2 頁

3.數(shù)據(jù)通信機(jī)密性

征信系統(tǒng)采集的各類征信數(shù)據(jù)信息因與各個機(jī)構(gòu)分別進(jìn)行溝通協(xié)調(diào)，導(dǎo)致征信數(shù)據(jù) 信息在通信過程中的加密方式采取不同標(biāo)準(zhǔn)。采用密押設(shè)備來統(tǒng)一保證征信數(shù)據(jù)信息的 通信機(jī)密性。密押設(shè)備應(yīng)統(tǒng)一定制配發(fā)，擁有防撬檢測電路，確保密鑰及密碼算法不會 暴露于物理安全的環(huán)境之外。密押設(shè)備由各征信系統(tǒng)運(yùn)行部門指定專人配置、維護(hù)和保 管。可以說，密押設(shè)備的應(yīng)用能有效地保護(hù)征信數(shù)據(jù)信息的通信安全，并與網(wǎng)絡(luò)訪問控 制的安全要素息息相關(guān)。

4.數(shù)據(jù)存儲機(jī)密性

數(shù)據(jù)存儲是數(shù)據(jù)以某種格式記錄在計算機(jī)內(nèi)部或外部存儲介質(zhì)上。與其他安全管理 要素相比，強(qiáng)身認(rèn)證對其保護(hù)作用更加明顯。對存儲在計算機(jī)內(nèi)部的數(shù)據(jù)，主要是服 務(wù)器中的數(shù)據(jù)，要按規(guī)定將系統(tǒng)服務(wù)器主備機(jī)在中心機(jī)房安全擺放，設(shè)置雙M以上門禁； 未經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn)，非機(jī)房工作人員不得進(jìn)人機(jī)房。系統(tǒng)管理員進(jìn)行系統(tǒng)維護(hù)時，應(yīng)有業(yè)務(wù)主管或操作員在場，嚴(yán)格控制對數(shù)據(jù)庫的直接操作，并對維護(hù)內(nèi)容作詳細(xì)記錄。

對于存儲在計算機(jī)外部介質(zhì)中的數(shù)據(jù)，如磁盤、U盤、光盤、本地設(shè)備等，要嚴(yán)格 管理、妥善保存，并實(shí)行數(shù)據(jù)加密制度。征信系統(tǒng)及其導(dǎo)出數(shù)據(jù)使用的存儲介質(zhì)，應(yīng)進(jìn) 行嚴(yán)格的病毒檢査，防止計算機(jī)病毒侵入，禁止在征信系統(tǒng)終端設(shè)備上使用非征信系統(tǒng) 專用的存儲介質(zhì)，禁止在征信系統(tǒng)及其相關(guān)的設(shè)備上安裝與系統(tǒng)運(yùn)行無關(guān)的軟件，最大 限度地保證數(shù)據(jù)存儲機(jī)密性不受影響。

(二）我國《征信機(jī)構(gòu)管理辦法》對征信系統(tǒng)安全等級的規(guī)定根據(jù)《中華人民共和國中國人民銀行法》《征信業(yè)管理條例》等法律法規(guī)，中國人民 銀行制定了《征信機(jī)構(gòu)管理辦法》，自2013年12月20日起施行。《征信機(jī)構(gòu)管理辦法》 明確要求設(shè)立個人征信機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)中國人民銀行批準(zhǔn)，且信用信息系統(tǒng)應(yīng)當(dāng)符合國家 信息安全保護(hù)等級二級或二級以上標(biāo)準(zhǔn)。

根據(jù)我國《信息安全等級保護(hù)管理辦法》第二章，等級劃分與保護(hù)規(guī)定：第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社□第六章信息主體權(quán)益保護(hù) 第 3 頁

會秩序和公共利益造成損害，但不損害國家安全。對于第二級國家的監(jiān)督管理要求為，第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家 信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。

知識鏈接：中國金融新聞網(wǎng)—11315全國企業(yè)征信系統(tǒng)—我國社會征信新模式。我國信息安全等級保護(hù)等級劃分和監(jiān)管方式

1.信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中 的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和 其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p 害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國 家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者 對國家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。

2.信息系統(tǒng)運(yùn)營、使用單位依據(jù)《征信機(jī)構(gòu)管理辦法》和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng) 進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。

第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。第 4 頁

第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。

第四級信息系銃運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門 需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制 監(jiān)督、檢查。

需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。

二、征信機(jī)構(gòu)內(nèi)控機(jī)制

內(nèi)控機(jī)制建設(shè)就是一個組織為了實(shí)現(xiàn)既定目標(biāo)，防范和減少風(fēng)險的發(fā)生，由全體成 員共同參與，對內(nèi)部業(yè)務(wù)流程進(jìn)行全過程的介入和監(jiān)控，采取權(quán)力分解、相互制衡手段，制定出完備的制度保證的過程。征信機(jī)構(gòu)是征信體系建設(shè)的核心機(jī)構(gòu)，在信用體系的建 設(shè)中承擔(dān)重要的職責(zé)，其客觀公正的評估有賴于內(nèi)部有效的管理機(jī)制。

(一）我國征信機(jī)構(gòu)內(nèi)控機(jī)的相關(guān)規(guī)定 1.《征信業(yè)管理條例》相關(guān)規(guī)定

2013年3月15日開始實(shí)施的《征信業(yè)管理條例》第6條規(guī)定，設(shè)立經(jīng)營個人征信業(yè) 務(wù)的征信機(jī)構(gòu)，應(yīng)當(dāng)符合《中華人民共和國公司法》規(guī)定的公司設(shè)立條件和下列條件，并經(jīng)國務(wù)院征信業(yè)監(jiān)督管理部門批準(zhǔn)：（1)主要股東信譽(yù)良好，最近3年無重大違法違 規(guī)記錄；（2)注冊資本不少于人民幣5 000萬元；（3)有符合國務(wù)院征信業(yè)監(jiān)督管理部 門規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施；（4)擬任董事、監(jiān)事和高級管理人 員符合該條例第8條規(guī)定的任職條件；（5)國務(wù)院征信業(yè)監(jiān)督管理部門規(guī)定的其他審慎 性條件。第8條規(guī)定，經(jīng)營個人征信業(yè)務(wù)的征信機(jī)構(gòu)的董事、監(jiān)事和高級管理人員，應(yīng)當(dāng) 熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)，具有履行職責(zé)所需的征信業(yè)從業(yè)經(jīng)驗和管理能力，最近3年無重大違法違規(guī)記錄，并取得國務(wù)院征信業(yè)監(jiān)督管理部門核準(zhǔn)的任職資格。

2.《征信機(jī)構(gòu)管理辦法》 第 5 頁

2013年I2月20日起實(shí)施的《征信機(jī)構(gòu)管理辦法》第6條規(guī)定，設(shè)立個人征信機(jī)構(gòu)，除應(yīng)當(dāng)符合《征信業(yè)管理條例》第6條規(guī)定外，還應(yīng)當(dāng)具備以下條件：（1)有健全的組 織機(jī)構(gòu)；（2)有完善的業(yè)務(wù)操作、信息安全管理、合規(guī)性管理等內(nèi)控制度；（3)個人信 用信息系統(tǒng)符合國家信息安全保護(hù)等級二級或二級以上標(biāo)準(zhǔn)。

對于征信機(jī)構(gòu)的業(yè)務(wù)開拓以及跨域經(jīng)營等內(nèi)容，則充分尊重了企業(yè)的自主經(jīng)營權(quán)，促使征信機(jī)構(gòu)發(fā)揮經(jīng)營的積極性和主動性。

(二）西方國際征信機(jī)構(gòu)內(nèi)控機(jī)制

征信機(jī)構(gòu)運(yùn)營模式可以大致劃分為兩種類型：以美、英為代表的市場主導(dǎo)型和歐洲 大陸大多數(shù)國家所采納的政府主導(dǎo)型，其內(nèi)控機(jī)制和管理模式則呈現(xiàn)不同的特點(diǎn)。

1.美國征信機(jī)構(gòu)的市場化的內(nèi)控模式

美國征信機(jī)構(gòu)組織模式，是蝕立于政府之外的第三方私營機(jī)構(gòu)，將個人信息進(jìn)行收集、加工后，有償提供給信息需求者，并且依據(jù)市場的需求來完善自己的經(jīng)營與管理模 式，提升運(yùn)營效率。具有以下幾個特點(diǎn)：首先，征信機(jī)構(gòu)私有化。個人征信機(jī)構(gòu)都是由 私營的工商企業(yè)、征信專業(yè)公司、授信機(jī)構(gòu)共同發(fā)揮作用的征信主體。其次，獨(dú)立性強(qiáng)。征信機(jī)構(gòu)既與政府隔離，同時又與其拖市場主體相分離，作為真正意義上的第三方存在。最后，按市場化原則運(yùn)作。征信機(jī)構(gòu)伴隨著信用交易的市場需求產(chǎn)生而產(chǎn)生，隨著市場 信用交易規(guī)模的發(fā)展而發(fā)展。其公司機(jī)制為公司制形式，以營利為目的，以股東利益最 大化為前提，股東出資比例決定公司投票權(quán)比例，一切決策按照商業(yè)化目的進(jìn)行，服務(wù) 的范圍不受限制。

美國《公平信用報告法》規(guī)定，作為個人征信機(jī)構(gòu)，必須同時具備下列5項基本特 征：A.消費(fèi)者信用調(diào)查和生產(chǎn)調(diào)查報告時期日常業(yè)務(wù)；B.專門從事收集消費(fèi)者信用調(diào)查 或評價消費(fèi)者信用價值；C.從事有償服務(wù)、以營利為目的；D.服務(wù)的目的是向第三方提 供消費(fèi)者信用調(diào)查報告；E.向全國市場提供公開的服務(wù)，不僅僅向關(guān)系企業(yè)提供報告 服務(wù)。第 6 頁

在全球征信機(jī)構(gòu)中，像益百利、環(huán)聯(lián)、鄧百氏等大型的征信機(jī)構(gòu)全部采用公司制的 治理架構(gòu)，并且，有些征信公司已經(jīng)是上市公司。美國征信機(jī)構(gòu)市場化的運(yùn)作機(jī)制，政 府并沒有對其具體的內(nèi)控機(jī)制進(jìn)行明確的法律規(guī)定。

2.以德國為代表的征信機(jī)構(gòu)組織模式

以德國為代表的公共征信模式又稱為政府主導(dǎo)的征信模式，即主要是依靠政府的力 量建立征信機(jī)構(gòu)，政府通過行政手段強(qiáng)制要求個人或企業(yè)向征信機(jī)構(gòu)提供其信用信息或 數(shù)據(jù)，從而建立個人信用信息數(shù)據(jù)庫，并通過法律形式保障信息或數(shù)據(jù)的真實(shí)性。其特 點(diǎn)如下：A.具有一定的強(qiáng)制性。通過法律與決議的形式保證個人信用信息的可得性與真 實(shí)性。B.公私征信機(jī)構(gòu)并存。公共與私營征信機(jī)構(gòu)并立，且互為補(bǔ)充。C.壟斷與競爭并 存。既有公共征信機(jī)構(gòu)對個人基本信用信息的壟斷，又有私營機(jī)構(gòu)間的競爭。

政府主導(dǎo)的征信機(jī)構(gòu)征信模式，雖然體現(xiàn)政府對于征信機(jī)構(gòu)數(shù)據(jù)的來源和分享有一 定的強(qiáng)制性，但是對征信機(jī)構(gòu)的日常運(yùn)行管理，則干預(yù)較少。

第二篇：征信機(jī)構(gòu)信息安全規(guī)范

征信機(jī)構(gòu)信息安全規(guī)范

一、總則

1.1標(biāo)準(zhǔn)適用范圍

標(biāo)準(zhǔn)規(guī)定了不同安全保護(hù)等級征信系統(tǒng)的安全要求，包括安全管理、安全技術(shù)和業(yè)務(wù)運(yùn)作三個方面。

標(biāo)準(zhǔn)適用于征信機(jī)構(gòu)信息系統(tǒng)的建設(shè)、運(yùn)行和維護(hù)，也可作為各單位開展安全檢查和內(nèi)部審計的安全依據(jù)。接入征信機(jī)構(gòu)信息系統(tǒng)的信息提供者、信息使用者也可以參照與本機(jī)構(gòu)有關(guān)條款執(zhí)行，標(biāo)準(zhǔn)還可作為專業(yè)檢測機(jī)構(gòu)開展檢測、認(rèn)證的依據(jù)。

1.2相關(guān)定義

（一）征信系統(tǒng)：征信機(jī)構(gòu)與信息提供者協(xié)議約定，或者通過互聯(lián)網(wǎng)、政府信息公開等渠道，對分散在社會各領(lǐng)域的企業(yè)和個人信用信息，進(jìn)行采集、整理、保存和加工而形成的信用信息數(shù)據(jù)庫及相關(guān)系統(tǒng)。

（二）敏感信息：影響征信系統(tǒng)安全的密碼、密鑰以及業(yè)務(wù)敏感數(shù)據(jù)等信息。

1、密碼包括但不限與查詢密碼、登錄密碼、證書的PIN等。

2、密鑰包括但不限與用于確保通訊安全、報告完整性的密鑰。

3、業(yè)務(wù)敏感數(shù)據(jù)包括但不限于信息主體的身份信息、婚姻狀況以及銀行賬戶信息等涉及個人隱私的數(shù)據(jù)。

（三）客戶端程序：征信機(jī)構(gòu)開發(fā)的、通過瀏覽器訪問征信系統(tǒng)并為征信系統(tǒng)其他功能（如數(shù)據(jù)采集）的程序，并提供必需功能的組件，包括但不限于：可執(zhí)行文件、控件、瀏覽器插件、靜態(tài)鏈接庫、動態(tài)鏈接庫等（不包括IE等通用瀏覽器）；或信息提供者、信息使用者以獨(dú)立開發(fā)的軟件接入征信系統(tǒng)的客戶端程序。

（四）通訊網(wǎng)絡(luò)：通訊網(wǎng)絡(luò)指的是由客戶端、服務(wù)器以及相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施組建的網(wǎng)絡(luò)連接。征信系統(tǒng)通過互聯(lián)玩或網(wǎng)絡(luò)專線等方式與信息提供者、信息使用者相連，征信系統(tǒng)安全設(shè)計應(yīng)在考慮建設(shè)成本、網(wǎng)絡(luò)便利性等因素的同時，采取必要的技術(shù)防護(hù)措施，有效應(yīng)對網(wǎng)絡(luò)通訊安全威脅。

（五）服務(wù)器端：服務(wù)器端指用于提供征信系統(tǒng)核心業(yè)務(wù)處理和應(yīng)用服務(wù)的服務(wù)器設(shè)備及安裝的相關(guān)軟件程序，征信機(jī)構(gòu)應(yīng)充分利用有效的物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、應(yīng)用安全技術(shù)及數(shù)據(jù)安全與備份恢復(fù)技術(shù)等，在外部威脅和受保護(hù)的資源間建立多道嚴(yán)密的安全防線。

1.3總體要求

本標(biāo)準(zhǔn)從安全管理、安全技術(shù)和業(yè)務(wù)運(yùn)作三個方面提出征信系統(tǒng)的安全要求。

（一）安全管理從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面提出要求。

（二）安全技術(shù)從客戶端、通訊網(wǎng)絡(luò)、服務(wù)器端等方面提出要求。

（三）業(yè)務(wù)運(yùn)作從系統(tǒng)接入、系統(tǒng)注銷、用戶管理、信息采集和處理、信息加工、信息保存、信息查詢、異議處理、信息跨境流動、研究分析、安全檢查與評估等方面提出要求。

二、安全管理

2.1安全管理制度

征信機(jī)構(gòu)根據(jù)征信系統(tǒng)的建設(shè)、運(yùn)行和管理情況，建立和完善信息安全管理制度，并定期進(jìn)行評審和修訂。2.1.1內(nèi)部管理制度 基本要求：

（一）應(yīng)制定信息安全工作的總體方針和安全策略，說明本機(jī)構(gòu)安全工作的總體原則、目標(biāo)、范圍和安全框架等；

（二）應(yīng)建立征信系統(tǒng)建設(shè)和運(yùn)維管理制度，對機(jī)房管理、資金安全、設(shè)備管理，網(wǎng)絡(luò)安全和系統(tǒng)安全等方面做出明確規(guī)定。

（三）應(yīng)建立征信系統(tǒng)安全審批流程，系統(tǒng)投入運(yùn)行、網(wǎng)路系統(tǒng)接入等重大事項由信息安全管理負(fù)責(zé)人審批，并確認(rèn)簽字。

（四）應(yīng)對安全管理人員及操作人員執(zhí)行的重要操作建立操作規(guī)程，并進(jìn)行定期培訓(xùn)。

（五）應(yīng)建立日常故障處理流程，重要崗位應(yīng)建立雙人負(fù)責(zé)制。

（六）應(yīng)建立軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則。

（七）應(yīng)建立數(shù)據(jù)庫管理制度，對數(shù)據(jù)的存儲、訪問、使用、展示、備份與恢復(fù)、傳輸及樣本數(shù)據(jù)處理等進(jìn)行規(guī)范。

（八）應(yīng)建立外包服務(wù)管理、外部人員訪問等方面的管理制度，對外部人員對本機(jī)構(gòu)內(nèi)的活動進(jìn)行規(guī)范化管理。

（九）應(yīng)建立突發(fā)事件及重大事項報告制度，對外部人員在本機(jī)構(gòu)內(nèi)的活動進(jìn)行規(guī)范化管理。

（十）應(yīng)建立突發(fā)事件應(yīng)急預(yù)案制度，有效避免事故造成的危害。

（十一）應(yīng)建立信息安全檢查制度，定期或者根據(jù)需要(如可能存在安全隱患時)不定期開展安全自查工作，主動接受和配合中國人民銀行及其派出所機(jī)構(gòu)的安全檢查。增強(qiáng)要求：

（一）應(yīng)建立征信系統(tǒng)建設(shè)工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。

（二）應(yīng)建立密碼使用、變更管理及數(shù)據(jù)備份與恢復(fù)等方面的管理制度，對系統(tǒng)運(yùn)行維護(hù)過程中重要環(huán)節(jié)的審批與操作等作出的明確規(guī)定。

（三）應(yīng)按照ISO/IEC 27001:2013的相關(guān)要求建立完善的信息安全管理體系。2.1.2安全審計制度 基本要求：

（一）應(yīng)建立信息安全內(nèi)部審計制度，定期可能帶來信息安全風(fēng)險的因素進(jìn)行審計和評估，個人征信機(jī)構(gòu)每年至少1次，企業(yè)征信機(jī)構(gòu)每年至少1次。

（二）應(yīng)對安全管理制度的制定和執(zhí)行情況進(jìn)行審計，審計內(nèi)容包括是否按照法律法規(guī)和中國人民銀行的相關(guān)規(guī)定建立信息安全管理制度，安全管理制度的執(zhí)行情況，是否定期對制度進(jìn)行評審和修訂。

（三）應(yīng)對網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等技術(shù)安全進(jìn)行審計，審計內(nèi)容包括安全配置、設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、重要用戶行為、系統(tǒng)異常事件及重要系統(tǒng)命令的使用等。

（四）應(yīng)對業(yè)務(wù)操作進(jìn)行審計，審計內(nèi)容包括系統(tǒng)接入和注銷、用戶管理、信息采集和處理、信息加工、信息保存、異議處理、信息跨境流動等。

（五）審計記錄應(yīng)包括事件的日期和時間、用戶、時間類型、時間是否成功及其他與審計相關(guān)的信息；應(yīng)保護(hù)系統(tǒng)中的審計記錄，避免收到未預(yù)期的刪除、修改或覆蓋等，保存期至少半年；紙質(zhì)版審計記錄保存期應(yīng)不少于三年。增強(qiáng)要求：

（一）應(yīng)定期委托外部專業(yè)機(jī)構(gòu)，有重點(diǎn)、有計劃的開展信息科技總體風(fēng)險審計、征信系統(tǒng)專項審計。

（二）在內(nèi)部審計和外部審計中發(fā)現(xiàn)的重大安全隱患應(yīng)及時向中國人民銀行及其派出機(jī)構(gòu)報告。

2.2安全管理機(jī)構(gòu)

征信機(jī)構(gòu)應(yīng)成立有高級管理人員及相關(guān)部門負(fù)責(zé)人組成的信息安全領(lǐng)導(dǎo)小組，并制定專門的部門負(fù)責(zé)信息安全管理工作。2.2.1崗位設(shè)置 基本要求：

（一）應(yīng)設(shè)立安全主管、信息安全管理崗位，明確安全主管和信息安全管理員的崗位職責(zé)。

（二）應(yīng)設(shè)立安全管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等崗位，并定義各工作崗位的職責(zé)。

（三）除科技部門以外，其他部門應(yīng)設(shè)置部門計算機(jī)安全員。增強(qiáng)要求：

（一）應(yīng)通過制度明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。

（二）應(yīng)建立數(shù)據(jù)安全管理組織，明確數(shù)據(jù)安全管理責(zé)任人、數(shù)據(jù)資產(chǎn)管理人、明確數(shù)據(jù)安全管理的責(zé)任，確保有效落實(shí)和推進(jìn)數(shù)據(jù)安全的相關(guān)工作。2.2.2人員配備 基本要求：

（一）應(yīng)配備安全主管、信息安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等。

（二）安全主管不能兼任信息安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。

（三）信息安全管理員不能兼任網(wǎng)絡(luò)信息管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。增強(qiáng)要求：

關(guān)鍵事務(wù)崗位。如信息安全管理員、數(shù)據(jù)庫管理員等，應(yīng)配備至少兩人，且互為A、B角共同管理。2.2.3授權(quán)和審批 基本要求：

（一）應(yīng)根據(jù)各部門和崗位的職責(zé)明確授權(quán)審批部門和審批人。

（二）應(yīng)針對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)投入、系統(tǒng)變更、重要操作和重要資源的訪問等關(guān)鍵活動建立審批流程，由責(zé)任人審批后方可進(jìn)行，對重要活動應(yīng)建立逐級審批制度。

（三）應(yīng)記錄審批過程并保存審批文檔。增強(qiáng)要求：

應(yīng)每年審查審批事項，及時更新需授權(quán)和審批的項目、審批的部門和審批人等信息。2.2.4溝通與合作 基本要求：

（一）應(yīng)加強(qiáng)各部門、各崗位之間以及信息安全職能部門內(nèi)部的合作與溝通。

（二）應(yīng)加強(qiáng)與同業(yè)機(jī)構(gòu)、通訊服務(wù)商及監(jiān)管部門的合作與溝通。增強(qiáng)要求：

（一）在信息安全管理部門應(yīng)定期召開各職能部門、各崗位人員參加的協(xié)調(diào)會議，共同協(xié)作處理信息安全問題。

（二）應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。2.3人員管理

征信機(jī)構(gòu)應(yīng)加強(qiáng)人員安全管理，明確不同崗位的職責(zé)，規(guī)范人員錄用、離崗、考核和培訓(xùn)等工作。2.3.1安全主管 基本要求：

（一）應(yīng)派具有較高計算機(jī)水平、業(yè)務(wù)能力和法律素養(yǎng)的人員擔(dān)任安全主管。

（二）安全主管可由信息安全管理部門的相關(guān)領(lǐng)導(dǎo)擔(dān)任，也可指定專人擔(dān)任，主要履行以下職責(zé)：

1、組織落實(shí)監(jiān)管部門信息安全相關(guān)管理規(guī)定和本機(jī)構(gòu)信息安全保障工作。

2、將征信機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組討論形成的安全決策，分解為安全任務(wù)部署落實(shí)。

3、對信息化建設(shè)中的安全建設(shè)方案、安全技術(shù)方案或其他安全方案進(jìn)行審批。

4、對征信機(jī)構(gòu)內(nèi)部其他信息安全相關(guān)管理事項進(jìn)行審批。

（三）安全主管調(diào)崗位時。應(yīng)辦理交接手續(xù)，并履行其調(diào)離后的保密義務(wù)。增強(qiáng)要求：

安全主管應(yīng)加強(qiáng)信息安全知識的學(xué)習(xí)和技能掌握，及時關(guān)注國內(nèi)外信息安全動態(tài)，為加強(qiáng)和改進(jìn)本機(jī)構(gòu)的信息安全管理工作提供合理化建議。2.3.2信息安全管理員 基本要求：

（一）應(yīng)派具有較高計算機(jī)水平、業(yè)務(wù)能力和法律素養(yǎng)的人員擔(dān)任信息安全管理員。

（二）信息安全管理員每年至少進(jìn)行一次信息安全方面的技術(shù)和業(yè)務(wù)培訓(xùn)。

（三）信息安全管理員應(yīng)履行以下職責(zé)：

1、在安全主管的指導(dǎo)下，具體落實(shí)各項安全管理工作，并協(xié)調(diào)各部門計算機(jī)安全員開展工作。

2、在安全主管的指導(dǎo)下，組織相關(guān)人員審核本機(jī)構(gòu)信息化建設(shè)項目中的安全方案，組織實(shí)施安全項目建設(shè)、維護(hù)、管理信息安全專用設(shè)施。

3、在計算機(jī)系統(tǒng)應(yīng)用開發(fā)、技術(shù)方案設(shè)計和實(shí)施、集成等工作中提出安全技術(shù)方案并組織實(shí)施。

4、負(fù)責(zé)本機(jī)構(gòu)計算機(jī)系統(tǒng)部署上線前的安全自測試方案的審核。

5、定期檢查網(wǎng)絡(luò)和征信系統(tǒng)的安全運(yùn)行狀況，組織檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預(yù)警，并提出整改意見，統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。

6、定期組織信息安全宣傳教育活動，與相關(guān)部門配合開展信息安全檢查，（四）信息安全管理員調(diào)離崗位時，應(yīng)辦理交接手續(xù)，并履行其調(diào)離后的保密義務(wù)。增強(qiáng)要求：

信息安全管理員應(yīng)增加信息安全知識學(xué)習(xí)和技能掌握，及時關(guān)注國內(nèi)外信息安全動態(tài)，為貫徹落實(shí)本機(jī)構(gòu)的信息安全策略和方案提出合理化建議。2.3.3部門計算機(jī)安全員 基本要求：

（一）各部門的計算機(jī)安全員應(yīng)由較熟悉計算機(jī)知識的人員擔(dān)，并報信息安全管理部備案，如有變更應(yīng)及時通報信息安全管理部門。

（二）部門計算機(jī)安全員因積極配合信息安全管理員的工作，各部門應(yīng)優(yōu)先選派部門計算機(jī)安全員參加信息安全技術(shù)培訓(xùn)。

（三）部門計算機(jī)安全員應(yīng)履行以下職責(zé)：

1、負(fù)責(zé)配合信息安全管理部完成本部門計算機(jī)病毒防治、補(bǔ)丁升級、非法外聯(lián)防范，系統(tǒng)故障應(yīng)急處理、移動存介質(zhì)管控等工作。

2、全面負(fù)責(zé)本部門的信息安全管理工作。負(fù)責(zé)提出本部門的信息安全保障需求，及時與信息安全管理部門溝通本部門信息安全情況，做好信息安全通報工作，發(fā)現(xiàn)情況及時向信息安全管理部門報告，3、負(fù)責(zé)本部門相關(guān)文檔資料的安全管理工作。以及本部門國際互聯(lián)網(wǎng)、征信系統(tǒng)網(wǎng)絡(luò)的使用和計入安全管理，組織開展本部門信息安全自查，協(xié)助信息安全管理部門完成本機(jī)構(gòu)的信息安全檢查工作。

（四）部門計算機(jī)安全員調(diào)離崗位時，辦理交接手續(xù)，并履行其調(diào)離后的保密義務(wù)。增強(qiáng)要求：

部門計算機(jī)安全員每年至少參加一次信息安全培訓(xùn)，積極配合信息安全管理員做好本部門的信息安全管理和風(fēng)險防范至少宣傳落實(shí)工作。2.2.4技術(shù)支持人員 基本要求：

（一）內(nèi)部技術(shù)人員（本機(jī)構(gòu)正式員工，負(fù)責(zé)參加與征信機(jī)構(gòu)機(jī)房環(huán)境、網(wǎng)路、計算機(jī)系統(tǒng)等建設(shè)、運(yùn)行、維護(hù)人員，若系統(tǒng)管理員、數(shù)據(jù)庫管理員等）在落實(shí)征信系統(tǒng)建設(shè)和日產(chǎn)維護(hù)工作過程中，履行以下職責(zé)：

1、嚴(yán)格遵守本機(jī)構(gòu)各項安全保密規(guī)定和征信系統(tǒng)安全管理相關(guān)制度。

2、嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)部門書面授權(quán)和本部門領(lǐng)導(dǎo)批準(zhǔn)，不得擅自修改征信系統(tǒng)應(yīng)用設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。

3、檢測和控制機(jī)房、網(wǎng)絡(luò)、安全設(shè)備、計算機(jī)系統(tǒng)的安全運(yùn)行狀況，定期進(jìn)行風(fēng)險評估、應(yīng)急演練，發(fā)現(xiàn)安全隱患或故障及時報告安全主管、信息安全管理員、并及時響應(yīng)和處置。

（二）外部技術(shù)人員（非本機(jī)構(gòu)人員）應(yīng)履行服務(wù)外包合同（協(xié)議）中的各項安全承諾，在提供技術(shù)服務(wù)期間，嚴(yán)格遵守征信機(jī)構(gòu)相關(guān)安全規(guī)定與操作規(guī)程。增強(qiáng)要求：

外部技術(shù)支持人員未經(jīng)業(yè)務(wù)部門書面授權(quán)和所在部門領(lǐng)導(dǎo)批準(zhǔn)，不得擅自接觸、查看或修改修改征信系統(tǒng)的應(yīng)用設(shè)置或相關(guān)業(yè)務(wù)數(shù)據(jù)等，確需接觸、查看或修改時，須取得業(yè)務(wù)部門書面授權(quán)和所在部門領(lǐng)導(dǎo)批準(zhǔn)，并在內(nèi)部技術(shù)人員在場陪同下，方可進(jìn)行。2.2.5業(yè)務(wù)操作人員 基本要求：

（一）業(yè)務(wù)操作人員（指征信機(jī)構(gòu)內(nèi)部直接使用征信系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)部門工作人員，包括業(yè)務(wù)管理員、一般業(yè)務(wù)操作員）應(yīng)履行以下職責(zé)：

1、嚴(yán)格按照征信機(jī)構(gòu)相關(guān)業(yè)務(wù)規(guī)程操作、使用征信系統(tǒng)及相關(guān)數(shù)據(jù)，嚴(yán)禁各種違規(guī)操作。

2、嚴(yán)格按照征信機(jī)構(gòu)信息安全管理相關(guān)規(guī)定操作、使用征信系統(tǒng)的業(yè)務(wù)數(shù)據(jù)，防止征信信息外泄。

3、妥善保管好征信系統(tǒng)的賬戶和密碼，并按要求定期更換密碼，禁止將賬戶和密碼提供給他人使用。

4、發(fā)現(xiàn)征信系統(tǒng)出現(xiàn)異常及時向部門計算機(jī)安全員報告。

5、定期清理業(yè)務(wù)操作終端業(yè)務(wù)數(shù)據(jù)，不得在業(yè)務(wù)操作終端上安裝與支付業(yè)務(wù)無關(guān)的計算機(jī)軟件和硬件，不得擅自修改征信系統(tǒng)的運(yùn)行環(huán)境參數(shù)。

（二）業(yè)務(wù)操作按照“權(quán)限分設(shè)、互相制約”原則，嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理，技術(shù)支持人員不得兼任業(yè)務(wù)操作人員。增加要求：

業(yè)務(wù)操作人員應(yīng)實(shí)現(xiàn)A、B角管理。2.2.6一般計算機(jī)用戶 基本要求：

（一）一般計算機(jī)用戶（指征信機(jī)構(gòu)內(nèi)部使用接入征信系統(tǒng)網(wǎng)絡(luò)的計算機(jī)及外設(shè)的所有人員）應(yīng)履行以下職責(zé)：

1、及時安裝計算機(jī)病毒防治軟件和客戶端防護(hù)軟件，按規(guī)定使用移動存儲介質(zhì)，自覺接受部門計算機(jī)安全員的指導(dǎo)與管理。

2、不得安裝與工作無關(guān)的計算機(jī)軟件和硬件，不得將征信系統(tǒng)相關(guān)計算機(jī)擅自接入未經(jīng)授權(quán)的網(wǎng)絡(luò)。

（二）未經(jīng)信息安全管理部門批準(zhǔn)和檢測的計算機(jī)及外設(shè)不得接入征信系統(tǒng)網(wǎng)絡(luò)。增強(qiáng)要求：

1、一般計算機(jī)用戶不得私自改變計算機(jī)用途。

2、一般計算機(jī)用戶系統(tǒng)應(yīng)統(tǒng)一安裝、統(tǒng)一升級及更新計算機(jī)病毒防治軟件。

2.4系統(tǒng)建設(shè)管理

2.4.1系統(tǒng)頂級 基本要求：

（一）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級。

（二）應(yīng)應(yīng)以書面形式說明信息系統(tǒng)確定為某個安全保護(hù)等級的方法和理由。增強(qiáng)要求：

應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定。2.4.2安全方案設(shè)計 基本要求：

（一）應(yīng)根據(jù)征信系統(tǒng)的安全保護(hù)等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補(bǔ)充和調(diào)整安全措施。

（二）應(yīng)以書面形式描述對征信系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案。

（三）對安全方案進(jìn)行細(xì)化，形成能指導(dǎo)征信系統(tǒng)安全建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計方案。

（四）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過征信機(jī)構(gòu)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)后，正式組織實(shí)施。增強(qiáng)要求：

（一）應(yīng)制定和授權(quán)專門的部門對征信系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃。

（二）應(yīng)統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案，并形成配套文件。

（三）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過征信機(jī)構(gòu)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)后，正式組織實(shí)施。

（四）應(yīng)定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。2.4.3安全產(chǎn)品采購

第三篇：國家稅務(wù)局內(nèi)控機(jī)制工作信息

武威市國家稅務(wù)局內(nèi)控機(jī)制全面運(yùn)行

經(jīng)過市、縣兩級國稅機(jī)關(guān)近半年的有效工作，內(nèi)控機(jī)制建設(shè)的各項工作基本完成，工作目標(biāo)基本實(shí)現(xiàn)，截止10月中旬，全市國稅系統(tǒng)內(nèi)控機(jī)制已全面運(yùn)行。

一、推行內(nèi)控機(jī)制建設(shè)的基本做法

（一）黨組高度重視，深入宣傳發(fā)動。市局黨組把推行內(nèi)控機(jī)制建設(shè)做為新形勢下全面提升全系統(tǒng)稅收執(zhí)法和行政管理水平，積極應(yīng)對稅收執(zhí)法和行政管理權(quán)力運(yùn)行中的各類風(fēng)險，保證權(quán)力的正確行使的一項極為重要的、具有戰(zhàn)略意義的工作提上黨組工作日程，進(jìn)行了專門研究部署；市局黨組主要領(lǐng)導(dǎo)撰寫了題為《推行內(nèi)控機(jī)制建設(shè) 保證“兩權(quán)”正確運(yùn)行”》專題調(diào)研文章，主抓內(nèi)控機(jī)制建設(shè)工作的領(lǐng)導(dǎo)撰寫了題為《對構(gòu)建風(fēng)險管理導(dǎo)向型稅收執(zhí)法體制的思考》專題調(diào)研文章，以指導(dǎo)全系統(tǒng)內(nèi)控機(jī)制建設(shè)工作的開展；市、縣（區(qū)）兩級國稅機(jī)關(guān)分別召開中層干部會議和職工大會，認(rèn)真?zhèn)鬟_(dá)學(xué)習(xí)總局領(lǐng)導(dǎo)、省局領(lǐng)導(dǎo)關(guān)于推行內(nèi)控機(jī)制建設(shè)的講話精神和調(diào)研文章，深入宣傳動員，廣泛開展了以“熟悉內(nèi)控、理解內(nèi)控、掌握內(nèi)控”為主題的宣傳動員活動，統(tǒng)一思想認(rèn)識，增強(qiáng)了干部職工參與內(nèi)控機(jī)制建設(shè)的積極性和主動性。

（二）理清工作思路，明確工作責(zé)任。在認(rèn)真學(xué)習(xí)、廣泛動員的基礎(chǔ)上，市、縣（區(qū)）兩級制定了《內(nèi)控機(jī)制建設(shè)實(shí)施意見》，市局排出了《內(nèi)控機(jī)制建設(shè)工作推進(jìn)日程表》，明確了推行內(nèi)控機(jī)制建設(shè)的指導(dǎo)思想、工作定位、工作內(nèi)容、目標(biāo)任務(wù)、方法步驟和時間要求；市、縣（區(qū)）兩級成立了主要領(lǐng)導(dǎo)任組長、黨組成員任副組長、機(jī)關(guān)部門負(fù)責(zé)人為成員的“內(nèi)控機(jī)制建設(shè)工作領(lǐng)導(dǎo)小組”，下設(shè)由監(jiān)察室、法規(guī)科、人事科、辦公室有關(guān)人員組成的辦公室，并簽訂了內(nèi)控機(jī)制建設(shè)責(zé)任書，通過領(lǐng)導(dǎo)機(jī)制和工作機(jī)制的建立，明確了領(lǐng)導(dǎo)層、各職能部門和下屬單位在內(nèi)控機(jī)制建設(shè)工作中的職責(zé)和任務(wù)，使內(nèi)控機(jī)制建設(shè)延伸到各個層次、崗位和業(yè)務(wù)環(huán)節(jié)，確保工作的有序開展。

（三）梳理權(quán)力事項，優(yōu)化運(yùn)行流程。內(nèi)控機(jī)制建設(shè)工作推開以后，市局、縣（區(qū)）機(jī)關(guān)各部門、各單位、各基層分局對各類權(quán)力事項進(jìn)行了一次系統(tǒng)的清理、確認(rèn)，尤其是對稅收執(zhí)法權(quán)的關(guān)鍵環(huán)節(jié)、重點(diǎn)部位、重點(diǎn)崗位以及內(nèi)部行政管理的人、財、物各環(huán)節(jié)的權(quán)力進(jìn)行了進(jìn)一步的科學(xué)界定，明確權(quán)力行使的依據(jù)、權(quán)力運(yùn)行的規(guī)則和范圍。在此基礎(chǔ)上形成了《武威市國家稅務(wù)局部門崗位職權(quán)職責(zé)一覽表》和《武威市國家稅務(wù)局機(jī)關(guān)部門工作流程圖》兩個內(nèi)控文本，通過對崗位職責(zé)的規(guī)范和完善，對部門權(quán)力運(yùn)行軌跡進(jìn)行了全面系統(tǒng)的規(guī)范和明晰，明確各崗位在處理有關(guān)業(yè)務(wù)時所具有的

權(quán)力和責(zé)任，實(shí)現(xiàn)權(quán)力、崗位、責(zé)任的有機(jī)結(jié)合，形成完備的權(quán)責(zé)體系。

（四）排查運(yùn)行風(fēng)險，完善制度體系。在梳理權(quán)力事項、優(yōu)化運(yùn)行流程的基礎(chǔ)上，市局、縣（區(qū)）從領(lǐng)導(dǎo)班子權(quán)力運(yùn)行、部門權(quán)力權(quán)力運(yùn)行、崗位權(quán)力運(yùn)行、基層分局權(quán)力運(yùn)行四個層面，認(rèn)真排查確定了每一項權(quán)力運(yùn)行中存在的制度機(jī)制風(fēng)險、決策制定風(fēng)險、稅源監(jiān)管風(fēng)險、崗位職責(zé)風(fēng)險、業(yè)務(wù)操作風(fēng)險、紀(jì)律廉政風(fēng)險等各方面的隱患和風(fēng)險點(diǎn)，形成了《武威市國稅局權(quán)力運(yùn)行內(nèi)部控制風(fēng)險源點(diǎn)及防范控措施一覽表

（一）》、《武威市國家稅務(wù)局重點(diǎn)內(nèi)控職位廉政風(fēng)險及防控措施一覽表

（二）》、《武威市國家稅務(wù)局重點(diǎn)內(nèi)控項目責(zé)任風(fēng)險及防控措施一覽表

（三）》三個內(nèi)控文本，從每個崗位、重點(diǎn)職位、重點(diǎn)項目三個方面各有側(cè)重地進(jìn)行了風(fēng)險排查，并有針對性地制定出防范措施。在進(jìn)行全面排查風(fēng)險的基礎(chǔ)上，對本系統(tǒng)稅收規(guī)范性文件和相關(guān)制度進(jìn)行了一次系統(tǒng)地清理、審定、規(guī)范、修訂。

二、內(nèi)控機(jī)制建設(shè)的主要特點(diǎn)

我局內(nèi)控機(jī)制建設(shè)工作始終堅持學(xué)習(xí)借鑒、立足實(shí)際、體現(xiàn)特點(diǎn)、注重實(shí)效、推進(jìn)管理的原則進(jìn)行。

（一）三級機(jī)關(guān)同步推進(jìn)。市局黨組確定了推行內(nèi)控機(jī)制建設(shè)以“預(yù)警在先，防范在前”為首要工作理念和以“最大限度地減少權(quán)力不規(guī)范運(yùn)行及權(quán)力運(yùn)行中監(jiān)督制約缺失的

可能和條件”為主要出發(fā)點(diǎn)的總體指導(dǎo)思想，全系統(tǒng)全面動員，共同參與，市局機(jī)關(guān)、縣（區(qū)）局機(jī)關(guān)、基層分局同步推進(jìn)，以達(dá)到內(nèi)控機(jī)制建設(shè)延伸到各個層次、崗位和業(yè)務(wù)環(huán)節(jié)，預(yù)控風(fēng)險覆蓋權(quán)力運(yùn)行全過程、各個環(huán)節(jié)、全方位的目標(biāo)。各區(qū)縣局在推行工作中，各有特點(diǎn)。民勤縣國稅局采取自己找、互相幫、領(lǐng)導(dǎo)提、集中評、組織審等方法認(rèn)真排查風(fēng)險，注重構(gòu)建前期預(yù)防防線、中期監(jiān)控防線、后期管理防線，并將風(fēng)險點(diǎn)逐級簽字確認(rèn)，明確防控責(zé)任，形成崗位有風(fēng)險，風(fēng)險有人控，人人內(nèi)控，人人受控的內(nèi)控預(yù)防體系；天祝縣國稅局以《工作流程圖》為基本內(nèi)容，制作了《科室（分局）工作軌跡圖》、《崗位風(fēng)險提示卡》、形成“一冊一圖一卡三單”為特色的內(nèi)控文本。

（二）抓實(shí)兩個基礎(chǔ)環(huán)節(jié)。一是抓實(shí)優(yōu)化運(yùn)行程序這一基礎(chǔ)環(huán)節(jié)。在內(nèi)部行政管理權(quán)運(yùn)行流程上，側(cè)重體現(xiàn)出下一道程序?qū)ι弦坏莱绦虻目刂疲康莱绦蛑g互相制衡；在稅收執(zhí)法權(quán)運(yùn)行流程上，全市國稅系統(tǒng)從為納稅人減負(fù)，提升運(yùn)行效率的原則出發(fā)，按照“簡化流程、減少環(huán)節(jié)、精減資料、縮短時間、統(tǒng)一表單”的要求，共清理兼并各類業(yè)務(wù)流程41個，減少審批環(huán)節(jié)24個，減少報送資料79份，縮短辦理時限的業(yè)務(wù)18種，統(tǒng)一表證單書85種，形成嚴(yán)密高效的權(quán)力運(yùn)行流程。二是抓實(shí)風(fēng)險排查這一基礎(chǔ)環(huán)節(jié)。引入風(fēng)險管理是內(nèi)控機(jī)制建設(shè)的核心理念之一。因此，我們在推行工

作中，貫徹全面排查、突出重點(diǎn)的原則。首先從領(lǐng)導(dǎo)班子、職能部門、履職崗位、權(quán)力事項四個方位進(jìn)行廉政風(fēng)險和責(zé)任風(fēng)險的基礎(chǔ)性排查，形成《武威市國稅局權(quán)力運(yùn)行內(nèi)部控制風(fēng)險源點(diǎn)及防范控措施一覽表

（一）》；完成基礎(chǔ)性排查后，把黨組成員、中層領(lǐng)導(dǎo)、分局長做為重點(diǎn)職位進(jìn)行重點(diǎn)排查，形成表

（二）文本；再圍繞對決策權(quán)、自由裁量權(quán)、行政審批權(quán)、人事權(quán)、財務(wù)管理權(quán)、稅收管理權(quán)和稅收稽查權(quán)等方面確定出27個重點(diǎn)內(nèi)控項目進(jìn)行重點(diǎn)排查，形成表

（三）文本，體現(xiàn)出按部門、分崗位、按職位、分項目全面排查、突出重點(diǎn)的原則。全系統(tǒng)共排查確定“兩權(quán)”運(yùn)行風(fēng)險點(diǎn)583個，其中：稅收執(zhí)法風(fēng)險點(diǎn)398個，行政管理風(fēng)險點(diǎn)185個；市局機(jī)關(guān)排查確定一級風(fēng)險點(diǎn)55個，二級風(fēng)險點(diǎn)50個；縣區(qū)局排查確定一級風(fēng)險點(diǎn)139個，二級風(fēng)險點(diǎn)166個；三級風(fēng)險點(diǎn)173個。

（三）突出一個核心環(huán)節(jié)。良好的內(nèi)控機(jī)制最終要通過科學(xué)的制度體系表現(xiàn)出來。因此，我們在推行工作中，黨組高度重視，突出了制度建設(shè)這個核心環(huán)節(jié)。按照促生內(nèi)在的制約力的要求，市局機(jī)關(guān)對本系統(tǒng)稅收規(guī)范性文件和相關(guān)制度進(jìn)行了一次系統(tǒng)地清理、審定、規(guī)范、修訂，經(jīng)過對口科室修訂、有關(guān)部門審核、分管領(lǐng)導(dǎo)把關(guān)、有關(guān)會議討論、局長辦公會議審定的程序運(yùn)行后，將原來95項制度審定為44項，提高了制度文本的規(guī)范性、可行性，以提高制度的執(zhí)行

力，形成了新的內(nèi)控制度體系。三縣一區(qū)國稅局也高度重視，對本級制定的規(guī)章制度進(jìn)行了系統(tǒng)地清理修定。

（四）凸現(xiàn)一個重點(diǎn)領(lǐng)域。市局黨組清醒地認(rèn)識到，內(nèi)控的根本目的是最大限度地減少權(quán)力不規(guī)范運(yùn)行及權(quán)力運(yùn)行中監(jiān)督制約缺失的可能和條件，而國稅系統(tǒng)“兩權(quán)”運(yùn)行的重點(diǎn)主體是兩級領(lǐng)導(dǎo)班子和領(lǐng)導(dǎo)干部。因此，我們在推行內(nèi)控機(jī)制建設(shè)工作時，把領(lǐng)導(dǎo)班子和領(lǐng)導(dǎo)干部的權(quán)力運(yùn)行做為重點(diǎn)領(lǐng)域進(jìn)行控制，一是在排查風(fēng)險時，把市、縣兩級領(lǐng)導(dǎo)班子權(quán)力運(yùn)行做為一個重點(diǎn)對象進(jìn)行排查，從行政決策、稅收執(zhí)法、行政管理、廉政自律4個大類18個項目進(jìn)行排查，做為一級防控風(fēng)險，并確定直接防控責(zé)任人員和協(xié)助防控部門。二是把把黨組成員、中層領(lǐng)導(dǎo)、分局長做為重點(diǎn)職位進(jìn)行重點(diǎn)排查和重點(diǎn)防控。三是把決策、審批、處罰、人事、財務(wù)、資產(chǎn)等權(quán)力事項做為關(guān)鍵節(jié)點(diǎn)凸現(xiàn)出來。

二、內(nèi)控機(jī)制建設(shè)取得的主要成效

（一）更新了管理理念。內(nèi)控機(jī)制建設(shè)工作的推行，首先使全市國稅系統(tǒng)的領(lǐng)導(dǎo)層認(rèn)識到，推行內(nèi)控機(jī)制建設(shè)是全面提升國稅系統(tǒng)稅收執(zhí)法和行政管理水平的重要舉措，并確定了實(shí)行風(fēng)險導(dǎo)向型管理的重要理念。其次，全系統(tǒng)干部職工認(rèn)識風(fēng)險、防范風(fēng)險的意識大大提高，廣大干部職工清楚地意識到風(fēng)險就在身邊，防范風(fēng)險就是對自己最好的保護(hù)，干部職工主動認(rèn)識風(fēng)險、認(rèn)真排查風(fēng)險、積極規(guī)避化解風(fēng)險 的意識和能力明顯增強(qiáng)。

（二）新建了一個管理機(jī)制。內(nèi)控機(jī)制建設(shè)工作中，針對排查確定的風(fēng)險源點(diǎn)，對國稅系統(tǒng)“兩權(quán)”運(yùn)行實(shí)行風(fēng)險預(yù)警管理機(jī)制。市局制定印發(fā)了《武威市國家稅務(wù)局稅收執(zhí)法權(quán)和行政管理權(quán)監(jiān)督制約預(yù)警報告辦法》，對“兩權(quán)”運(yùn)行中4類事項實(shí)行預(yù)警上報，37種事項實(shí)行預(yù)警告知，明確風(fēng)險防控的主體和責(zé)任，建立起了有效的風(fēng)險防御和化解機(jī)制；區(qū)、縣國稅局建立了以預(yù)警信息員定期采集上報預(yù)警信息為主要特征的風(fēng)險預(yù)警管理機(jī)制。通過對風(fēng)險預(yù)警信息的上報和告知，建立起日常的風(fēng)險發(fā)現(xiàn)、處置、化解機(jī)制，體現(xiàn)出以風(fēng)險導(dǎo)向型管理機(jī)制為目標(biāo)的管理理念的重大轉(zhuǎn)變。

（三）健全了三個機(jī)制。一是健全了對權(quán)力運(yùn)行的控制機(jī)制。通過優(yōu)化運(yùn)行流程、重建制度體系，使每一項權(quán)力的運(yùn)行軌跡都按照“決策—執(zhí)行—監(jiān)督”、“審批—辦理—監(jiān)管”的要求運(yùn)行，確保每項權(quán)力不重復(fù)、不交叉，環(huán)環(huán)相扣，過程控制。二是健全加強(qiáng)了權(quán)力運(yùn)行的監(jiān)督制約機(jī)制。市局黨組注重把合理分權(quán)、超前防范、監(jiān)控制約、相互監(jiān)督，制度之間相互銜接、相互配套的內(nèi)控要求體現(xiàn)在制度構(gòu)建上，把監(jiān)督制約首先落實(shí)在制度上；在此基礎(chǔ)上，市局黨組著力營造領(lǐng)導(dǎo)班子重視監(jiān)督、歡迎監(jiān)督、接受監(jiān)督，干部群眾敢于監(jiān)督、愿意監(jiān)督的監(jiān)督氛圍，建立了暢通的信息反饋收集機(jī)制，改進(jìn)政務(wù)公開和監(jiān)督的方式渠道，在內(nèi)部網(wǎng)站設(shè)立“政

務(wù)公開欄”，改進(jìn)了“局長信箱”的運(yùn)行流程，開展了“我為稅收建言獻(xiàn)策”活動，廣開言路，暢通渠道，確保讓干部職工的意見和建議隨時直達(dá)決策層，充分保障干部職工的知情權(quán)、建議權(quán)、監(jiān)督權(quán)，切實(shí)保護(hù)群眾參與政務(wù)、參與監(jiān)督的積極性，著力改變單純的上級監(jiān)督下級、少數(shù)人監(jiān)督多數(shù)人的局面；在稅收執(zhí)法權(quán)監(jiān)督上，通過建立《武威市國稅局稅收執(zhí)法回訪工作制度》等措施的落實(shí)，拓寬外部監(jiān)督渠道，實(shí)施稅收執(zhí)法權(quán)監(jiān)督主體的重心外移。三是建立了良好的執(zhí)行力保障機(jī)制。通過制定《武威市國稅局機(jī)關(guān)內(nèi)控機(jī)制運(yùn)行考核評價辦法（試行）》、《武威市國家稅務(wù)局績效考核管理辦法》、《執(zhí)法責(zé)任考核辦法》、《執(zhí)法過錯責(zé)任追究辦法》、《武威市國家稅務(wù)局紀(jì)檢監(jiān)察案件調(diào)查處理工作規(guī)程》，加大評價考核和問責(zé)問效，增強(qiáng)機(jī)關(guān)各部門、各單位防控“兩權(quán)”運(yùn)行風(fēng)險的責(zé)任心，以切實(shí)提高全系統(tǒng)“兩權(quán)”運(yùn)行內(nèi)控機(jī)制的執(zhí)行力。

四、需不斷完善之處

由于內(nèi)控機(jī)制建設(shè)工作是一項復(fù)雜系統(tǒng)的工作，沒有固定的模式，沒有成熟的經(jīng)驗，仍需要在實(shí)踐中不斷完善，探索創(chuàng)新。

（一）需要不斷進(jìn)行動態(tài)校正。特別是查找風(fēng)險源點(diǎn)、風(fēng)險描述、預(yù)警指標(biāo)設(shè)置、預(yù)警信息的發(fā)現(xiàn)、處置等是一個動態(tài)的過程，不是一成不變的，尚需根據(jù)稅收工作環(huán)境的不

斷變化尤其是各方面工作考核評價要求的變化定期或不定期地進(jìn)行動態(tài)校正，以保證準(zhǔn)確性和可行性。

（二）必須著力構(gòu)建內(nèi)控的長效機(jī)制。內(nèi)控機(jī)制建設(shè)的目的在于形成具有內(nèi)生制約力的管理機(jī)制，這是一項長期的、系統(tǒng)的、復(fù)雜的工作過程，不可能一蹴而就，需要把制度、資源、執(zhí)行力等各方面統(tǒng)一整合，不斷優(yōu)化，經(jīng)過前期、中期、后期的持續(xù)改進(jìn)，才能真正形成配置科學(xué)、程序嚴(yán)密、運(yùn)行高效、制約有力的權(quán)力運(yùn)行機(jī)制，才能真正為提升管理水平發(fā)揮效能和作用。

（三）重在抓好機(jī)制運(yùn)行。內(nèi)控機(jī)制，制度體系是支撐，實(shí)時監(jiān)控是核心，關(guān)聯(lián)制約是重點(diǎn)，風(fēng)險管理是抓手，執(zhí)行力是手段。因此，如何制定更為科學(xué)的、切實(shí)可行的內(nèi)控機(jī)制運(yùn)行考核評價辦法，提高執(zhí)行力，確保內(nèi)控機(jī)制的長效運(yùn)行是一個難點(diǎn)，需要不斷探索研究，加以完善。

二〇一〇年十月九日

第四篇：征信機(jī)構(gòu)管理辦法征求意見稿

征信機(jī)構(gòu)管理辦法（征求意見稿）

第一章 總則

第一條 為加強(qiáng)對征信機(jī)構(gòu)的監(jiān)督管理，促進(jìn)征信業(yè)健康發(fā)展，根據(jù)《中華人民共和國中國人民銀行法》、《征信業(yè)管理條例》等法律法規(guī)，制定本辦法。

第二條 本辦法所稱征信機(jī)構(gòu)，是指依法設(shè)立，主要經(jīng)營征信業(yè)務(wù)的機(jī)構(gòu)。

第三條 中國人民銀行依法履行對征信機(jī)構(gòu)的監(jiān)督管理職責(zé)，中國人民銀行分支機(jī)構(gòu)在總行的授權(quán)范圍內(nèi)，履行對轄內(nèi)征信機(jī)構(gòu)的監(jiān)督管理職責(zé)。

第四條 征信機(jī)構(gòu)應(yīng)當(dāng)遵守法律、行政法規(guī)和中國人民銀行的規(guī)定，誠信經(jīng)營，不得損害國家利益、社會公共利益，不得侵犯他人合法權(quán)益。

第二章 機(jī)構(gòu)的設(shè)立、變更與終止

第五條 設(shè)立個人征信機(jī)構(gòu)應(yīng)當(dāng)經(jīng)中國人民銀行批準(zhǔn)。第六條 設(shè)立個人征信機(jī)構(gòu)，除應(yīng)當(dāng)符合《征信業(yè)管理條例》第六條規(guī)定外，還應(yīng)當(dāng)具備以下條件：

（一）有健全的組織機(jī)構(gòu)；

（二）有完善的業(yè)務(wù)操作、安全管理、合規(guī)性管理等內(nèi)控制度；

（三）個人信用信息系統(tǒng)符合國家信息安全保護(hù)等級二級或二級以上標(biāo)準(zhǔn)。

《征信業(yè)管理條例》第六條第一項“主要股東”是指出資額占公司資本總額5%以上或者持股占公司股份5%以上的股東。

第七條 申請設(shè)立個人征信機(jī)構(gòu)，應(yīng)當(dāng)向中國人民銀行提交下列材料：

（一）個人征信機(jī)構(gòu)設(shè)立申請表；

（二）征信業(yè)務(wù)可行性研究報告，包括發(fā)展規(guī)劃、經(jīng)營策略等；

（三）公司章程；

（四）依法設(shè)立的驗資機(jī)構(gòu)出具的驗資證明；

（五）股東關(guān)聯(lián)關(guān)系和實(shí)際控制人說明；

（六）主要股東最近3年無重大違法違規(guī)行為的證明，金融信用信息基礎(chǔ)數(shù)據(jù)庫出具的主要股東信用報告；

（七）擬任董事、監(jiān)事和高級管理人員任職資格證明；

（八）組織機(jī)構(gòu)設(shè)置及人員基本構(gòu)成；

（九）已建立的內(nèi)控制度，包括業(yè)務(wù)操作、安全管理、合規(guī)性管理等；

（十）具有國家級信息安全等級保護(hù)測評資質(zhì)的機(jī)構(gòu)出具的個人信用信息系統(tǒng)安全測評報告，關(guān)于信息安全保障措施的說明和相關(guān)安全保障制度；

（十一）營業(yè)場所所有權(quán)或使用權(quán)的證明文件；

（十二）工商行政管理部門出具的《企業(yè)名稱預(yù)先核準(zhǔn)通知書》復(fù)印件。

中國人民銀行可以通過實(shí)地調(diào)查、面談等方式對申請材料進(jìn)行核實(shí)。

第八條 中國人民銀行在受理個人征信機(jī)構(gòu)設(shè)立申請后公示申請人的下列事項：

（一）擬設(shè)立征信機(jī)構(gòu)的名稱、營業(yè)場所、業(yè)務(wù)范圍；

（二）注冊資本；

（三）主要股東名單、持股比例；

（四）擬任董事、監(jiān)事和高級管理人員名單。

第九條 中國人民銀行自受理個人征信機(jī)構(gòu)設(shè)立申請之日起60日內(nèi)對申請事項進(jìn)行審查，并根據(jù)有利于征信業(yè)公平競爭和健康發(fā)展的審慎性原則作出批準(zhǔn)或者不予批準(zhǔn)的決定。決定批準(zhǔn)的，依法頒發(fā)《個人征信業(yè)務(wù)經(jīng)營許可證》。

第十條 經(jīng)批準(zhǔn)設(shè)立的個人征信機(jī)構(gòu)，憑《個人征信業(yè)務(wù)經(jīng)營許可證》向公司登記機(jī)關(guān)辦理登記，領(lǐng)取營業(yè)執(zhí)照；個人征信機(jī)構(gòu)登記后20日內(nèi)，應(yīng)當(dāng)向中國人民銀行提交營業(yè)執(zhí)照復(fù)印件。

第十一條 個人征信機(jī)構(gòu)擬合并或者分立的，應(yīng)當(dāng)向中國人民銀行提出申請，說明變更事項和變更理由，并提交相關(guān)證明材料。

中國人民銀行自受理申請之日起20日內(nèi)，作出批準(zhǔn)或

不予批準(zhǔn)的書面決定。

第十二條 個人征信機(jī)構(gòu)擬變更注冊資本、主要股東的，應(yīng)當(dāng)向中國人民銀行提出申請，說明變更事項和變更理由，并提交相關(guān)證明材料。

中國人民銀行自受理之日起20日內(nèi)，作出批準(zhǔn)或不予批準(zhǔn)的書面決定。

第十三條 個人征信機(jī)構(gòu)擬設(shè)立分支機(jī)構(gòu)，應(yīng)當(dāng)符合以下條件：

（一）提交申請前一年盈利；

（二）對擬設(shè)立分支機(jī)構(gòu)的可行性已進(jìn)行充分論證；

（三）最近3年無受重大行政處罰的記錄。第十四條

個人征信機(jī)構(gòu)申請設(shè)立分支機(jī)構(gòu)，應(yīng)當(dāng)向中國人民銀行提交下列材料：

（一）個人征信機(jī)構(gòu)分支機(jī)構(gòu)設(shè)立申請表；

（二）個人征信機(jī)構(gòu)上一經(jīng)審計的財務(wù)會計報告；

（三）分支機(jī)構(gòu)設(shè)立的可行性論證報告，包括擬設(shè)分支機(jī)構(gòu)3年業(yè)務(wù)發(fā)展規(guī)劃、市場分析和經(jīng)營方針等；

（四）針對設(shè)立分支機(jī)構(gòu)所作出的內(nèi)控制度安排和風(fēng)險防范措施；

（五）個人征信機(jī)構(gòu)最近3年無受重大行政處罰的證明；

（六）擬任職的分支機(jī)構(gòu)高級管理人員的履歷材料。第十五條 個人征信機(jī)構(gòu)變更機(jī)構(gòu)名稱、營業(yè)場所、法

定代表人的，應(yīng)當(dāng)向中國人民銀行申請變更《個人征信業(yè)務(wù)經(jīng)營許可證》記載事項。《個人征信業(yè)務(wù)經(jīng)營許可證》記載事項變更后，向公司登記機(jī)關(guān)申辦變更登記，并于公司登記機(jī)關(guān)準(zhǔn)予變更之日起20日內(nèi)，向中國人民銀行備案。

第十六條 《個人征信業(yè)務(wù)經(jīng)營許可證》應(yīng)當(dāng)在營業(yè)場所的顯著位置公示。

第十七條 個人征信機(jī)構(gòu)應(yīng)當(dāng)妥善保管《個人征信業(yè)務(wù)經(jīng)營許可證》，不得涂改、倒賣、出租、出借、轉(zhuǎn)讓。

第十八條 《個人征信業(yè)務(wù)經(jīng)營許可證》有效期限為3年。有效期限屆滿需要延續(xù)的，應(yīng)在有效期屆滿60日前向中國人民銀行提出延續(xù)申請，換發(fā)《個人征信業(yè)務(wù)經(jīng)營許可證》。

有效期屆滿不再延續(xù)的，個人征信機(jī)構(gòu)應(yīng)當(dāng)在《個人征信業(yè)務(wù)經(jīng)營許可證》有效期屆滿60日前向中國人民銀行報告，并按照本辦法第二十條的規(guī)定，妥善處理信息數(shù)據(jù)庫，辦理《個人征信業(yè)務(wù)經(jīng)營許可證》注銷手續(xù)；個人征信機(jī)構(gòu)在《個人征信業(yè)務(wù)經(jīng)營許可證》有效期屆滿60日前未提出延續(xù)申請的，中國人民銀行可以在《個人征信業(yè)務(wù)經(jīng)營許可證》有效期屆滿之日注銷其《個人征信業(yè)務(wù)經(jīng)營許可證》，并按照《征信業(yè)管理條例》第十二條的規(guī)定處理信息數(shù)據(jù)庫。

第十九條 設(shè)立企業(yè)征信機(jī)構(gòu)，應(yīng)當(dāng)符合《中華人民共和國公司法》規(guī)定的設(shè)立條件，并于公司登記機(jī)關(guān)準(zhǔn)予登記

之日起30日內(nèi)向所在地的中國人民銀行省會（首府）城市中心支行以上分支機(jī)構(gòu)辦理備案，提交下列材料：

（一）企業(yè)征信機(jī)構(gòu)備案表；

（二）營業(yè)執(zhí)照復(fù)印件；

（三）股權(quán)結(jié)構(gòu)，包括股東名冊及其出資額或所持股份、依法設(shè)立的驗資機(jī)構(gòu)出具的驗資證明；

（四）組織機(jī)構(gòu)說明，包括機(jī)構(gòu)部門設(shè)置和人員基本構(gòu)成；

（五）業(yè)務(wù)范圍和業(yè)務(wù)規(guī)則基本情況報告；

（六）業(yè)務(wù)系統(tǒng)的基本情況，包括企業(yè)信用信息系統(tǒng)建設(shè)情況報告；

（七）信息安全和風(fēng)險防范措施，包括已建立的內(nèi)控制度和安全管理制度。

備案事項發(fā)生變更的，應(yīng)當(dāng)自變更之日起30日內(nèi)向原備案機(jī)構(gòu)辦理變更備案。

第二十條 個人征信機(jī)構(gòu)因解散或者被依法宣告破產(chǎn)等原因擬終止征信業(yè)務(wù)的，應(yīng)當(dāng)在擬終止之日前60日向中國人民銀行報告退出方案，并按照《征信業(yè)管理條例》第十二條第一款規(guī)定處理信息數(shù)據(jù)庫。

個人征信機(jī)構(gòu)終止征信業(yè)務(wù)的，應(yīng)當(dāng)自終止之日起20日內(nèi)，在中國人民銀行指定的媒體上公告，并辦理《個人征信業(yè)務(wù)經(jīng)營許可證》注銷手續(xù)，將許可證繳回中國人民銀行。

逾期不繳回的，中國人民銀行將依法收繳。

第二十一條 企業(yè)征信機(jī)構(gòu)因解散或者被依法宣告破產(chǎn)等原因擬終止征信業(yè)務(wù)的，應(yīng)當(dāng)在擬終止之日前60日向中國人民銀行報告，并按照《征信業(yè)管理條例》第十二條第一款規(guī)定處理信息數(shù)據(jù)庫。

第三章 高級任職人員管理

第二十二條 個人征信機(jī)構(gòu)的董事、監(jiān)事、高級管理人員，應(yīng)當(dāng)在任職前取得中國人民銀行核準(zhǔn)的任職資格。

第二十三條 取得個人征信機(jī)構(gòu)董事、監(jiān)事和高級管理人員任職資格，應(yīng)當(dāng)具備以下條件：

（一）正直誠實(shí)，品行良好；

（二）具有大專以上學(xué)歷；

（三）從事征信工作3年以上或從事金融、法律、會計、經(jīng)濟(jì)工作5年以上；

（四）具有履行職責(zé)所需的管理能力；

（五）熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)和與征信相關(guān)的專業(yè)知識，并通過中國人民銀行組織的任職資格考試。

第二十四條 有下列情形之一的，不得擔(dān)任個人征信機(jī)構(gòu)董事、監(jiān)事和高級管理人員：

（一）因貪污、賄賂、侵占財產(chǎn)、挪用財產(chǎn)或者破壞社會主義市場經(jīng)濟(jì)秩序，被判處刑罰，或者因犯罪被剝奪政治權(quán)利，執(zhí)行期滿未逾5年的；

（二）最近3年有重大違法違規(guī)記錄的。

第二十五條

個人征信機(jī)構(gòu)向中國人民銀行申請核準(zhǔn)董事、監(jiān)事和高級管理人員的任職資格，應(yīng)當(dāng)提交下列材料：

（一）董事、監(jiān)事和高級管理人員任職資格申請表；

（二）擬任職的董事、監(jiān)事和高級管理人員的個人履歷材料；

（三）擬任職的董事、監(jiān)事和高級管理人員的學(xué)歷證書復(fù)印件；

（四）擬任職的董事、監(jiān)事和高級管理人員最近3年無重大違法違規(guī)記錄的證明；

（五）金融信用信息基礎(chǔ)數(shù)據(jù)庫出具的擬任職的董事、監(jiān)事和高級管理人員個人信用報告；

（六）中國人民銀行組織的任職資格考試合格證書。個人征信機(jī)構(gòu)應(yīng)當(dāng)如實(shí)提交前款規(guī)定的材料，個人征信機(jī)構(gòu)以及擬任職的董事、監(jiān)事和高級管理人員應(yīng)當(dāng)對材料的真實(shí)性、完整性負(fù)責(zé)。中國人民銀行可以根據(jù)需要對材料的真實(shí)性進(jìn)行核實(shí)，并對申請任職資格的董事、監(jiān)事和高級管理人員進(jìn)行考察或談話。

第二十六條 中國人民銀行依法對個人征信機(jī)構(gòu)董事、監(jiān)事和高級管理人員的任職資格進(jìn)行審查，作出核準(zhǔn)或不予核準(zhǔn)的書面決定。

第二十七條 企業(yè)征信機(jī)構(gòu)的董事、監(jiān)事、高級管理人

員，應(yīng)當(dāng)由任職的征信機(jī)構(gòu)在任命后20日內(nèi)向所在地的中國人民銀行省會（首府）城市中心支行以上分支機(jī)構(gòu)備案，并提交下列材料：

（一）企業(yè)征信機(jī)構(gòu)董事、監(jiān)事、高級管理人員備案表；

（二）個人履歷材料；

（三）學(xué)歷證書復(fù)印件。

（四）備案材料真實(shí)性聲明。

企業(yè)征信機(jī)構(gòu)的董事、監(jiān)事、高級管理人員發(fā)生變更的，應(yīng)當(dāng)自變更之日起20日內(nèi)向原備案機(jī)構(gòu)辦理變更備案。

第四章 監(jiān)督管理

第二十八條 個人征信機(jī)構(gòu)應(yīng)當(dāng)在每年第一季度末，向中國人民銀行報告上一征信業(yè)務(wù)開展情況。

企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)在每年第一季度末，向其備案機(jī)構(gòu)報告上一征信業(yè)務(wù)開展情況。

報告內(nèi)容應(yīng)當(dāng)包括信用信息采集、征信產(chǎn)品開發(fā)、信用信息服務(wù)、異議處理以及信用信息系統(tǒng)建設(shè)情況、信息安全保障情況等。

第二十九條 個人征信機(jī)構(gòu)應(yīng)當(dāng)按規(guī)定向中國人民銀行報送征信業(yè)務(wù)統(tǒng)計報表、財務(wù)會計報告、審計報告等資料。

企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)按規(guī)定向備案機(jī)構(gòu)報送征信業(yè)務(wù)統(tǒng)計報表、財務(wù)會計報告、審計報告等資料。

征信機(jī)構(gòu)應(yīng)當(dāng)對報送的報表和資料的真實(shí)性、準(zhǔn)確性、完整性負(fù)責(zé)。

第三十條 征信機(jī)構(gòu)應(yīng)當(dāng)按照國家信息安全保護(hù)等級測評標(biāo)準(zhǔn)，對信用信息系統(tǒng)的安全情況進(jìn)行測評。

征信機(jī)構(gòu)信用信息系統(tǒng)安全保護(hù)等級為二級的，應(yīng)當(dāng)每兩年進(jìn)行測評；信用信息系統(tǒng)安全保護(hù)等級為三級及以上的，應(yīng)當(dāng)每年進(jìn)行測評。

測評機(jī)構(gòu)出具測評報告后20日內(nèi)，個人征信機(jī)構(gòu)應(yīng)當(dāng)將測評報告報中國人民銀行，企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)將測評報告報備案機(jī)構(gòu)。

第三十一條 征信機(jī)構(gòu)有下列情形之一的，中國人民銀行及其分支機(jī)構(gòu)可以將其列為重點(diǎn)監(jiān)管對象：

（一）上一發(fā)生嚴(yán)重違法違規(guī)行為的；

（二）出現(xiàn)可能發(fā)生信息泄露征兆的；

（三）出現(xiàn)財務(wù)狀況異常或嚴(yán)重虧損的；

（四）被大量投訴的；

（五）中國人民銀行認(rèn)為需要重點(diǎn)監(jiān)管的其他情形。征信機(jī)構(gòu)被列為重點(diǎn)監(jiān)管對象的，中國人民銀行及其分支機(jī)構(gòu)可以酌情縮短征信機(jī)構(gòu)報告征信業(yè)務(wù)開展情況、進(jìn)行信用信息系統(tǒng)安全情況測評的周期，并采取相應(yīng)的監(jiān)管措施，督促征信機(jī)構(gòu)整改。

經(jīng)整改，第一款中所列情形消除的，中國人民銀行及其分支機(jī)構(gòu)可不再將其列為重點(diǎn)監(jiān)管對象。

第三十二條 中國人民銀行及其分支機(jī)構(gòu)可以根據(jù)監(jiān)管需要，約談?wù)餍艡C(jī)構(gòu)董事、監(jiān)事和高級管理人員，要求其就征信業(yè)務(wù)經(jīng)營、風(fēng)險控制、內(nèi)部管理等有關(guān)重大事項做出說明。

第五章 罰則

第三十三條 申請設(shè)立個人征信機(jī)構(gòu)的申請人隱瞞有關(guān)情況或者提供虛假材料的，中國人民銀行可以按照《行政許可法》第七十八條進(jìn)行處罰。

第三十四條 個人征信機(jī)構(gòu)的個人信用信息系統(tǒng)未達(dá)到國家信息安全保護(hù)等級二級以上要求的，中國人民銀行可以責(zé)令整頓；情節(jié)嚴(yán)重或拒不改正的，中國人民銀行可以按照《征信業(yè)管理條例》第三十八條的規(guī)定，吊銷其《個人征信業(yè)務(wù)經(jīng)營許可證》。

第三十五條 申請個人征信機(jī)構(gòu)的董事、監(jiān)事、高級管理人員任職資格的申請人隱瞞有關(guān)情況或者提供虛假材料的，中國人民銀行不予受理或不予核準(zhǔn)其任職資格，并給予警告；已核準(zhǔn)的，取消其任職資格。

中國人民銀行可以禁止上述申請人一年至三年內(nèi)再次申請任職資格。

第三十六條 個人征信機(jī)構(gòu)任命未取得任職資格董事、監(jiān)事、高級管理人員的，由中國人民銀行責(zé)令改正并給予警告；情節(jié)嚴(yán)重的，處1萬元以上3萬元以下罰款。

企業(yè)征信機(jī)構(gòu)任命董事、監(jiān)事、高級管理人員未及時備案或變更備案，以及在備案中提供虛假材料的，由中國人民銀行分支機(jī)構(gòu)責(zé)令改正并給予警告；情節(jié)嚴(yán)重的，處1萬元以上3萬元以下罰款。

第三十七條 征信機(jī)構(gòu)違反本辦法第二十八條、第二十九條、第三十條規(guī)定的，由中國人民銀行及其分支機(jī)構(gòu)責(zé)令改正；情節(jié)嚴(yán)重的，處1萬元以上3萬元以下罰款；對有違法所得的，沒收違法所得，并處違法所得1倍以上3倍以下罰款，但最高不得超過3萬元；涉嫌犯罪的，依法移交司法機(jī)關(guān)追究其刑事責(zé)任。

第六章 附則

第三十八條 本辦法由中國人民銀行負(fù)責(zé)解釋。第三十九條 本辦法自 年 月 日起施行。

第五篇：客戶征信信息管理制度

客戶征信信息管理制度

第1章

總則

第1條 為防止客戶征信信息泄露，確保信息完整和安全，科學(xué)、高效地保管和利用客戶征信信息，特制定本制度。

第2條 本制度適用于客戶征信信息相關(guān)人員的工作。

第2章 客戶征信信息歸檔

第3條 客戶開發(fā)專員每發(fā)展、接觸一個新客戶，均應(yīng)及時在客戶征信信息專員處建立客戶檔案，客戶檔案應(yīng)標(biāo)準(zhǔn)化、規(guī)范化。

第4條 客戶征信信息專員負(fù)責(zé)企業(yè)所有客戶征信信息、客戶征信信息報表的發(fā)送、收集、匯總、整理。

第5條 為方便查找，應(yīng)為客戶檔案設(shè)置索引。

第6條 客戶檔案按風(fēng)險控制部的要求分類擺放，按從左至右、自上而下的順序排列。第7條 客戶征信信息的載體（包括紙張、軟件等）應(yīng)選用質(zhì)量好、便于長期保管的材料。信息書寫應(yīng)選用耐久性強(qiáng)、不易褪色的材料，如碳素墨水或藍(lán)黑墨水，避免使用圓珠筆、鉛筆等。

第3章 客戶征信信息報告

第8條 客戶征信信息專員對客戶征信信息進(jìn)行分析、整理，編制客戶征信信息報告。第9條 其他部門若因工作需要，要求客戶征信信息專員提供有關(guān)客戶征信信息資料及定期統(tǒng)計報告的，須經(jīng)風(fēng)險控制部經(jīng)理的審查同意，并經(jīng)總經(jīng)理批準(zhǔn)。

第10條 客戶征信信息報告如有個別項需要修改時，應(yīng)報總經(jīng)理批準(zhǔn)，由風(fēng)險控制部備案，不必再辦理審批手續(xù)。

第11條 客戶征信信息專員編制的各種客戶征信信息資料報告必須根據(jù)實(shí)際業(yè)務(wù)工作需要，統(tǒng)一印刷、保管及發(fā)放。

第12條 為確保客戶征信信息報告中數(shù)據(jù)資料的正確性，客戶征信信息主管、風(fēng)險控制部經(jīng)理應(yīng)對上報或分發(fā)的報告進(jìn)行認(rèn)真審查。

第4章 客戶檔案的檢查

第13條 每半年對客戶征信檔案的保管狀況進(jìn)行一次全面檢查，做好檢查記錄。第14條 發(fā)現(xiàn)客戶征信檔案字跡變色或材料破損要及時修復(fù)。第15條 定期檢查客戶征信檔案的保管環(huán)境，防潮、防霉等工作一定要做好。

第5章 客戶征信信息的使用

第16條 建立客戶征信信息檔案查閱權(quán)限制度，未經(jīng)許可，任何人不得隨意查閱客戶征信信息檔案。

第17條 查閱客戶征信信息檔案的具體規(guī)定如下。

1.由申請查閱者提交查閱申請，在申請中寫明查閱的對象、目的、理由、查閱人概況等情況。

2.由申請查閱者所在單位（部門）蓋章，負(fù)責(zé)人簽字。

3.由風(fēng)險控制部對查閱申請進(jìn)行審核，若理由充分、手續(xù)齊全，則予以批準(zhǔn)。第18條 客戶征信信息資料安全的具體規(guī)定如下。

1.任何處室和個人不得以任何借口分散保管客戶征信資料和將客戶征信資料據(jù)為己有。

2.借閱者提交借閱申請，內(nèi)容與查閱申請相似。

3.借閱申請由借閱者所在單位（部門）蓋章，負(fù)責(zé)人簽字。4.風(fēng)險控制部門對借閱申請進(jìn)行審核、批準(zhǔn)。

第6章 客戶征信信息的保密

第19條 風(fēng)險控制部各級管理人員和征信信息管理人員要相互配合，自覺遵守客戶征信信息保密制度。

第20條 凡屬“機(jī)密”、“絕密”的客戶資料，登記造冊時，必須在檢索工具備注欄寫上“機(jī)密”、“絕密”字樣，必須單獨(dú)存放、專人管理，其他人員未經(jīng)許可不得查閱。

第21條 各類重要的文件、資料必須采取以下保密措施。

1.非經(jīng)總經(jīng)理、客戶征信信息主管或風(fēng)險控制部門經(jīng)理批準(zhǔn)，不得復(fù)制和摘抄。2.其收發(fā)、傳遞和外出攜帶由指定人員負(fù)責(zé)，并采取必要的安全措施。

第22條 企業(yè)相關(guān)人員在對外交往與合作中如果需要提供客戶資料時，應(yīng)事先獲得客戶征信信息主管和風(fēng)險控制部經(jīng)理的批準(zhǔn)。

第23條 對保管期滿，失去保存價值的客戶征信資料要按規(guī)定銷毀，不得當(dāng)作廢紙出售。第24條 客戶征信信息管理遵循“三不準(zhǔn)”規(guī)定，其具體內(nèi)容如下。1.不準(zhǔn)在私人交往中泄露客戶征信信息。2.不準(zhǔn)在公共場所談?wù)摽蛻粽餍判畔ⅰ?/p>

3.不準(zhǔn)在普通電話、明碼電報和私人通信中泄露客戶征信信息。第25條 企業(yè)工作人員發(fā)現(xiàn)客戶征信信息已經(jīng)泄露或者可能泄露時，應(yīng)當(dāng)立即采取補(bǔ)救措施，并及時報告客戶征信信息主管及風(fēng)險控制部經(jīng)理。相關(guān)人員接到報告后，應(yīng)立即處理。

第7章 附則

第26條 本制度由風(fēng)險控制部負(fù)責(zé)解釋、修訂和補(bǔ)充。第27條 本制度呈報總經(jīng)理審批后，自頒布之日起執(zhí)行。