第一篇:個(gè)人征信機(jī)構(gòu)準(zhǔn)入申請材料
個(gè)人征信機(jī)構(gòu)準(zhǔn)入申請材料
一、《征信業(yè)管理?xiàng)l例》及《征信機(jī)構(gòu)管理辦法》第六條規(guī)定包括:
(一)主要股東信譽(yù)良好,最近3年無重大違法違規(guī)記錄;
(二)注冊資本不少于人民幣5000萬元;
(三)有符合中國人民銀行規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施;
(四)擬任董事、監(jiān)事和高級(jí)管理人員,應(yīng)當(dāng)熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī),具有履行職責(zé)所需的征信業(yè)從業(yè)經(jīng)驗(yàn)和管理能力,最近3年無重大違法違規(guī)記錄;
(五)有健全的組織機(jī)構(gòu);
(六)有完善的業(yè)務(wù)操作、信息安全管理、合規(guī)性管理等內(nèi)控制度;
(七)個(gè)人信用信息系統(tǒng)符合國家信息安全保護(hù)等級(jí)二級(jí)或二級(jí)以上標(biāo)準(zhǔn)。第一項(xiàng)所稱主要股東是指出資額占公司資本總額5%以上或者持股占公司股份5%以上的股東。
二、申請?jiān)O(shè)立個(gè)人征信機(jī)構(gòu),應(yīng)當(dāng)向所在地人民銀行辦事機(jī)構(gòu)提交下列材料:
(一)個(gè)人征信機(jī)構(gòu)設(shè)立申請表;
(二)征信業(yè)務(wù)可行性研究報(bào)告,包括發(fā)展規(guī)劃、經(jīng)營策略等;
已成立的個(gè)人征信機(jī)構(gòu)提交征信業(yè)務(wù)經(jīng)營報(bào)告,包括發(fā)展規(guī)劃、經(jīng)營策略等。
(三)公司章程;
(四)股東關(guān)聯(lián)關(guān)系和實(shí)際控制人說明;
(五)主要股東最近3年無重大違法違規(guī)行為的聲明以及主要股東的信用報(bào)告;
(六)擬任董事、監(jiān)事和高級(jí)管理人員任職資格證明;
(七)組織機(jī)構(gòu)設(shè)置以及人員基本構(gòu)成說明;
(八)已經(jīng)建立的內(nèi)控制度,包括業(yè)務(wù)操作、安全管理、合規(guī)性管理等;
(九)具有國家信息安全等級(jí)保護(hù)測評(píng)資質(zhì)的機(jī)構(gòu)出具的個(gè)人信用信息系統(tǒng)安全測評(píng)報(bào)告,關(guān)于信息安全保障措施的說明和相關(guān)安全保障制度;
(十)營業(yè)場所所有權(quán)或者使用權(quán)證明文件;
(十一)工商行政管理部門出具的企業(yè)名稱預(yù)先核準(zhǔn)通知書復(fù)印件。已成立的個(gè)人征信機(jī)構(gòu)提交營業(yè)執(zhí)照。
第二篇:個(gè)人征信查詢申請授權(quán)書
查 詢 授 權(quán) 書
(金融機(jī)構(gòu)名稱):
本人授權(quán)貴行在辦理以下涉及到本人的業(yè)務(wù)時(shí),可以向中國人民銀行個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫查詢本人(如有需要□可以/□不可以查詢本人配偶)的信用報(bào)告,并將包括本人的個(gè)人基本信息、信貸交易信息等相關(guān)信息向中國人民銀行個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫報(bào)送:
□ 審核貸款申請;
□ 審核貸記卡、準(zhǔn)貸記卡申請;
□ 審核本人作為擔(dān)保人;
□ 對已發(fā)放的個(gè)人信貸進(jìn)行貸后風(fēng)險(xiǎn)管理;
□ 受理法人或其他組織的貸款申請或其作為擔(dān)保人,需要查詢其法定代表人及出資人信用狀況。
□ 對公業(yè)務(wù)貸后管理需查詢法定代表人及出資人信用狀況。
若信貸業(yè)務(wù)未獲批準(zhǔn),本人的授權(quán)書、個(gè)人信用報(bào)告等資料一律不退回。
特此授權(quán)。
授權(quán)人(簽字):
身份證件類型:
證件號(hào)碼:
授權(quán)日期:年月日
(為保護(hù)您的合法權(quán)益,以上空白處請?zhí)顚懲暾#?/p>
第三篇:個(gè)人征信
信用信息查詢報(bào)送授權(quán)書(2013年版)
(適用于自然人)
由于(名稱)向中國銀行股份有限公司申請業(yè)務(wù),根據(jù)《征信業(yè)管理?xiàng)l例》等法律法規(guī)、監(jiān)管規(guī)定,本人(姓名)(身份證號(hào))同意中國銀行股份有限公司在下列情形時(shí),通過金融信用信息基礎(chǔ)數(shù)據(jù)庫查詢本人的信用報(bào)告,供中國銀行股份有限公司敘做上述業(yè)務(wù)使用:
(1)審核本人提供擔(dān)保的申請;
(2)對本人提供的擔(dān)保進(jìn)行授后管理;
(3)受理法人或其他組織的授信或提供擔(dān)保申請,需要查詢本人作為法定代表人、出資人、實(shí)際控制人或管理團(tuán)隊(duì)主要成員的信用狀況的;
(4)對法人或其他組織的授信或所提供的擔(dān)保進(jìn)行授后管理,需要查詢本人作為法定代表人、出資人、實(shí)際控制人或管理團(tuán)隊(duì)主要成員的信用狀況的;
(5)其他。
本人同時(shí)授權(quán)中國銀行股份有限公司向金融信用信息基礎(chǔ)數(shù)據(jù)庫報(bào)送本人信用信息。
2、本人知悉并理解上述授權(quán)條款內(nèi)容,上述授權(quán)自本人簽字之日起生效并有效至上述申請敘做的業(yè)務(wù)終止或結(jié)清之日。中國銀行股份有限公司超出上述授權(quán)查詢的一切后果及法律責(zé)任由其承擔(dān)。
出具人(簽字):年月日
第四篇:征信機(jī)構(gòu)管理辦法征求意見稿
征信機(jī)構(gòu)管理辦法(征求意見稿)
第一章 總則
第一條 為加強(qiáng)對征信機(jī)構(gòu)的監(jiān)督管理,促進(jìn)征信業(yè)健康發(fā)展,根據(jù)《中華人民共和國中國人民銀行法》、《征信業(yè)管理?xiàng)l例》等法律法規(guī),制定本辦法。
第二條 本辦法所稱征信機(jī)構(gòu),是指依法設(shè)立,主要經(jīng)營征信業(yè)務(wù)的機(jī)構(gòu)。
第三條 中國人民銀行依法履行對征信機(jī)構(gòu)的監(jiān)督管理職責(zé),中國人民銀行分支機(jī)構(gòu)在總行的授權(quán)范圍內(nèi),履行對轄內(nèi)征信機(jī)構(gòu)的監(jiān)督管理職責(zé)。
第四條 征信機(jī)構(gòu)應(yīng)當(dāng)遵守法律、行政法規(guī)和中國人民銀行的規(guī)定,誠信經(jīng)營,不得損害國家利益、社會(huì)公共利益,不得侵犯他人合法權(quán)益。
第二章 機(jī)構(gòu)的設(shè)立、變更與終止
第五條 設(shè)立個(gè)人征信機(jī)構(gòu)應(yīng)當(dāng)經(jīng)中國人民銀行批準(zhǔn)。第六條 設(shè)立個(gè)人征信機(jī)構(gòu),除應(yīng)當(dāng)符合《征信業(yè)管理?xiàng)l例》第六條規(guī)定外,還應(yīng)當(dāng)具備以下條件:
(一)有健全的組織機(jī)構(gòu);
(二)有完善的業(yè)務(wù)操作、安全管理、合規(guī)性管理等內(nèi)控制度;
(三)個(gè)人信用信息系統(tǒng)符合國家信息安全保護(hù)等級(jí)二級(jí)或二級(jí)以上標(biāo)準(zhǔn)。
《征信業(yè)管理?xiàng)l例》第六條第一項(xiàng)“主要股東”是指出資額占公司資本總額5%以上或者持股占公司股份5%以上的股東。
第七條 申請?jiān)O(shè)立個(gè)人征信機(jī)構(gòu),應(yīng)當(dāng)向中國人民銀行提交下列材料:
(一)個(gè)人征信機(jī)構(gòu)設(shè)立申請表;
(二)征信業(yè)務(wù)可行性研究報(bào)告,包括發(fā)展規(guī)劃、經(jīng)營策略等;
(三)公司章程;
(四)依法設(shè)立的驗(yàn)資機(jī)構(gòu)出具的驗(yàn)資證明;
(五)股東關(guān)聯(lián)關(guān)系和實(shí)際控制人說明;
(六)主要股東最近3年無重大違法違規(guī)行為的證明,金融信用信息基礎(chǔ)數(shù)據(jù)庫出具的主要股東信用報(bào)告;
(七)擬任董事、監(jiān)事和高級(jí)管理人員任職資格證明;
(八)組織機(jī)構(gòu)設(shè)置及人員基本構(gòu)成;
(九)已建立的內(nèi)控制度,包括業(yè)務(wù)操作、安全管理、合規(guī)性管理等;
(十)具有國家級(jí)信息安全等級(jí)保護(hù)測評(píng)資質(zhì)的機(jī)構(gòu)出具的個(gè)人信用信息系統(tǒng)安全測評(píng)報(bào)告,關(guān)于信息安全保障措施的說明和相關(guān)安全保障制度;
(十一)營業(yè)場所所有權(quán)或使用權(quán)的證明文件;
(十二)工商行政管理部門出具的《企業(yè)名稱預(yù)先核準(zhǔn)通知書》復(fù)印件。
中國人民銀行可以通過實(shí)地調(diào)查、面談等方式對申請材料進(jìn)行核實(shí)。
第八條 中國人民銀行在受理個(gè)人征信機(jī)構(gòu)設(shè)立申請后公示申請人的下列事項(xiàng):
(一)擬設(shè)立征信機(jī)構(gòu)的名稱、營業(yè)場所、業(yè)務(wù)范圍;
(二)注冊資本;
(三)主要股東名單、持股比例;
(四)擬任董事、監(jiān)事和高級(jí)管理人員名單。
第九條 中國人民銀行自受理個(gè)人征信機(jī)構(gòu)設(shè)立申請之日起60日內(nèi)對申請事項(xiàng)進(jìn)行審查,并根據(jù)有利于征信業(yè)公平競爭和健康發(fā)展的審慎性原則作出批準(zhǔn)或者不予批準(zhǔn)的決定。決定批準(zhǔn)的,依法頒發(fā)《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》。
第十條 經(jīng)批準(zhǔn)設(shè)立的個(gè)人征信機(jī)構(gòu),憑《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》向公司登記機(jī)關(guān)辦理登記,領(lǐng)取營業(yè)執(zhí)照;個(gè)人征信機(jī)構(gòu)登記后20日內(nèi),應(yīng)當(dāng)向中國人民銀行提交營業(yè)執(zhí)照復(fù)印件。
第十一條 個(gè)人征信機(jī)構(gòu)擬合并或者分立的,應(yīng)當(dāng)向中國人民銀行提出申請,說明變更事項(xiàng)和變更理由,并提交相關(guān)證明材料。
中國人民銀行自受理申請之日起20日內(nèi),作出批準(zhǔn)或
不予批準(zhǔn)的書面決定。
第十二條 個(gè)人征信機(jī)構(gòu)擬變更注冊資本、主要股東的,應(yīng)當(dāng)向中國人民銀行提出申請,說明變更事項(xiàng)和變更理由,并提交相關(guān)證明材料。
中國人民銀行自受理之日起20日內(nèi),作出批準(zhǔn)或不予批準(zhǔn)的書面決定。
第十三條 個(gè)人征信機(jī)構(gòu)擬設(shè)立分支機(jī)構(gòu),應(yīng)當(dāng)符合以下條件:
(一)提交申請前一年盈利;
(二)對擬設(shè)立分支機(jī)構(gòu)的可行性已進(jìn)行充分論證;
(三)最近3年無受重大行政處罰的記錄。第十四條
個(gè)人征信機(jī)構(gòu)申請?jiān)O(shè)立分支機(jī)構(gòu),應(yīng)當(dāng)向中國人民銀行提交下列材料:
(一)個(gè)人征信機(jī)構(gòu)分支機(jī)構(gòu)設(shè)立申請表;
(二)個(gè)人征信機(jī)構(gòu)上一經(jīng)審計(jì)的財(cái)務(wù)會(huì)計(jì)報(bào)告;
(三)分支機(jī)構(gòu)設(shè)立的可行性論證報(bào)告,包括擬設(shè)分支機(jī)構(gòu)3年業(yè)務(wù)發(fā)展規(guī)劃、市場分析和經(jīng)營方針等;
(四)針對設(shè)立分支機(jī)構(gòu)所作出的內(nèi)控制度安排和風(fēng)險(xiǎn)防范措施;
(五)個(gè)人征信機(jī)構(gòu)最近3年無受重大行政處罰的證明;
(六)擬任職的分支機(jī)構(gòu)高級(jí)管理人員的履歷材料。第十五條 個(gè)人征信機(jī)構(gòu)變更機(jī)構(gòu)名稱、營業(yè)場所、法
定代表人的,應(yīng)當(dāng)向中國人民銀行申請變更《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》記載事項(xiàng)。《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》記載事項(xiàng)變更后,向公司登記機(jī)關(guān)申辦變更登記,并于公司登記機(jī)關(guān)準(zhǔn)予變更之日起20日內(nèi),向中國人民銀行備案。
第十六條 《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》應(yīng)當(dāng)在營業(yè)場所的顯著位置公示。
第十七條 個(gè)人征信機(jī)構(gòu)應(yīng)當(dāng)妥善保管《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》,不得涂改、倒賣、出租、出借、轉(zhuǎn)讓。
第十八條 《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》有效期限為3年。有效期限屆滿需要延續(xù)的,應(yīng)在有效期屆滿60日前向中國人民銀行提出延續(xù)申請,換發(fā)《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》。
有效期屆滿不再延續(xù)的,個(gè)人征信機(jī)構(gòu)應(yīng)當(dāng)在《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》有效期屆滿60日前向中國人民銀行報(bào)告,并按照本辦法第二十條的規(guī)定,妥善處理信息數(shù)據(jù)庫,辦理《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》注銷手續(xù);個(gè)人征信機(jī)構(gòu)在《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》有效期屆滿60日前未提出延續(xù)申請的,中國人民銀行可以在《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》有效期屆滿之日注銷其《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》,并按照《征信業(yè)管理?xiàng)l例》第十二條的規(guī)定處理信息數(shù)據(jù)庫。
第十九條 設(shè)立企業(yè)征信機(jī)構(gòu),應(yīng)當(dāng)符合《中華人民共和國公司法》規(guī)定的設(shè)立條件,并于公司登記機(jī)關(guān)準(zhǔn)予登記
之日起30日內(nèi)向所在地的中國人民銀行省會(huì)(首府)城市中心支行以上分支機(jī)構(gòu)辦理備案,提交下列材料:
(一)企業(yè)征信機(jī)構(gòu)備案表;
(二)營業(yè)執(zhí)照復(fù)印件;
(三)股權(quán)結(jié)構(gòu),包括股東名冊及其出資額或所持股份、依法設(shè)立的驗(yàn)資機(jī)構(gòu)出具的驗(yàn)資證明;
(四)組織機(jī)構(gòu)說明,包括機(jī)構(gòu)部門設(shè)置和人員基本構(gòu)成;
(五)業(yè)務(wù)范圍和業(yè)務(wù)規(guī)則基本情況報(bào)告;
(六)業(yè)務(wù)系統(tǒng)的基本情況,包括企業(yè)信用信息系統(tǒng)建設(shè)情況報(bào)告;
(七)信息安全和風(fēng)險(xiǎn)防范措施,包括已建立的內(nèi)控制度和安全管理制度。
備案事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)自變更之日起30日內(nèi)向原備案機(jī)構(gòu)辦理變更備案。
第二十條 個(gè)人征信機(jī)構(gòu)因解散或者被依法宣告破產(chǎn)等原因擬終止征信業(yè)務(wù)的,應(yīng)當(dāng)在擬終止之日前60日向中國人民銀行報(bào)告退出方案,并按照《征信業(yè)管理?xiàng)l例》第十二條第一款規(guī)定處理信息數(shù)據(jù)庫。
個(gè)人征信機(jī)構(gòu)終止征信業(yè)務(wù)的,應(yīng)當(dāng)自終止之日起20日內(nèi),在中國人民銀行指定的媒體上公告,并辦理《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》注銷手續(xù),將許可證繳回中國人民銀行。
逾期不繳回的,中國人民銀行將依法收繳。
第二十一條 企業(yè)征信機(jī)構(gòu)因解散或者被依法宣告破產(chǎn)等原因擬終止征信業(yè)務(wù)的,應(yīng)當(dāng)在擬終止之日前60日向中國人民銀行報(bào)告,并按照《征信業(yè)管理?xiàng)l例》第十二條第一款規(guī)定處理信息數(shù)據(jù)庫。
第三章 高級(jí)任職人員管理
第二十二條 個(gè)人征信機(jī)構(gòu)的董事、監(jiān)事、高級(jí)管理人員,應(yīng)當(dāng)在任職前取得中國人民銀行核準(zhǔn)的任職資格。
第二十三條 取得個(gè)人征信機(jī)構(gòu)董事、監(jiān)事和高級(jí)管理人員任職資格,應(yīng)當(dāng)具備以下條件:
(一)正直誠實(shí),品行良好;
(二)具有大專以上學(xué)歷;
(三)從事征信工作3年以上或從事金融、法律、會(huì)計(jì)、經(jīng)濟(jì)工作5年以上;
(四)具有履行職責(zé)所需的管理能力;
(五)熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)和與征信相關(guān)的專業(yè)知識(shí),并通過中國人民銀行組織的任職資格考試。
第二十四條 有下列情形之一的,不得擔(dān)任個(gè)人征信機(jī)構(gòu)董事、監(jiān)事和高級(jí)管理人員:
(一)因貪污、賄賂、侵占財(cái)產(chǎn)、挪用財(cái)產(chǎn)或者破壞社會(huì)主義市場經(jīng)濟(jì)秩序,被判處刑罰,或者因犯罪被剝奪政治權(quán)利,執(zhí)行期滿未逾5年的;
(二)最近3年有重大違法違規(guī)記錄的。
第二十五條
個(gè)人征信機(jī)構(gòu)向中國人民銀行申請核準(zhǔn)董事、監(jiān)事和高級(jí)管理人員的任職資格,應(yīng)當(dāng)提交下列材料:
(一)董事、監(jiān)事和高級(jí)管理人員任職資格申請表;
(二)擬任職的董事、監(jiān)事和高級(jí)管理人員的個(gè)人履歷材料;
(三)擬任職的董事、監(jiān)事和高級(jí)管理人員的學(xué)歷證書復(fù)印件;
(四)擬任職的董事、監(jiān)事和高級(jí)管理人員最近3年無重大違法違規(guī)記錄的證明;
(五)金融信用信息基礎(chǔ)數(shù)據(jù)庫出具的擬任職的董事、監(jiān)事和高級(jí)管理人員個(gè)人信用報(bào)告;
(六)中國人民銀行組織的任職資格考試合格證書。個(gè)人征信機(jī)構(gòu)應(yīng)當(dāng)如實(shí)提交前款規(guī)定的材料,個(gè)人征信機(jī)構(gòu)以及擬任職的董事、監(jiān)事和高級(jí)管理人員應(yīng)當(dāng)對材料的真實(shí)性、完整性負(fù)責(zé)。中國人民銀行可以根據(jù)需要對材料的真實(shí)性進(jìn)行核實(shí),并對申請任職資格的董事、監(jiān)事和高級(jí)管理人員進(jìn)行考察或談話。
第二十六條 中國人民銀行依法對個(gè)人征信機(jī)構(gòu)董事、監(jiān)事和高級(jí)管理人員的任職資格進(jìn)行審查,作出核準(zhǔn)或不予核準(zhǔn)的書面決定。
第二十七條 企業(yè)征信機(jī)構(gòu)的董事、監(jiān)事、高級(jí)管理人
員,應(yīng)當(dāng)由任職的征信機(jī)構(gòu)在任命后20日內(nèi)向所在地的中國人民銀行省會(huì)(首府)城市中心支行以上分支機(jī)構(gòu)備案,并提交下列材料:
(一)企業(yè)征信機(jī)構(gòu)董事、監(jiān)事、高級(jí)管理人員備案表;
(二)個(gè)人履歷材料;
(三)學(xué)歷證書復(fù)印件。
(四)備案材料真實(shí)性聲明。
企業(yè)征信機(jī)構(gòu)的董事、監(jiān)事、高級(jí)管理人員發(fā)生變更的,應(yīng)當(dāng)自變更之日起20日內(nèi)向原備案機(jī)構(gòu)辦理變更備案。
第四章 監(jiān)督管理
第二十八條 個(gè)人征信機(jī)構(gòu)應(yīng)當(dāng)在每年第一季度末,向中國人民銀行報(bào)告上一征信業(yè)務(wù)開展情況。
企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)在每年第一季度末,向其備案機(jī)構(gòu)報(bào)告上一征信業(yè)務(wù)開展情況。
報(bào)告內(nèi)容應(yīng)當(dāng)包括信用信息采集、征信產(chǎn)品開發(fā)、信用信息服務(wù)、異議處理以及信用信息系統(tǒng)建設(shè)情況、信息安全保障情況等。
第二十九條 個(gè)人征信機(jī)構(gòu)應(yīng)當(dāng)按規(guī)定向中國人民銀行報(bào)送征信業(yè)務(wù)統(tǒng)計(jì)報(bào)表、財(cái)務(wù)會(huì)計(jì)報(bào)告、審計(jì)報(bào)告等資料。
企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)按規(guī)定向備案機(jī)構(gòu)報(bào)送征信業(yè)務(wù)統(tǒng)計(jì)報(bào)表、財(cái)務(wù)會(huì)計(jì)報(bào)告、審計(jì)報(bào)告等資料。
征信機(jī)構(gòu)應(yīng)當(dāng)對報(bào)送的報(bào)表和資料的真實(shí)性、準(zhǔn)確性、完整性負(fù)責(zé)。
第三十條 征信機(jī)構(gòu)應(yīng)當(dāng)按照國家信息安全保護(hù)等級(jí)測評(píng)標(biāo)準(zhǔn),對信用信息系統(tǒng)的安全情況進(jìn)行測評(píng)。
征信機(jī)構(gòu)信用信息系統(tǒng)安全保護(hù)等級(jí)為二級(jí)的,應(yīng)當(dāng)每兩年進(jìn)行測評(píng);信用信息系統(tǒng)安全保護(hù)等級(jí)為三級(jí)及以上的,應(yīng)當(dāng)每年進(jìn)行測評(píng)。
測評(píng)機(jī)構(gòu)出具測評(píng)報(bào)告后20日內(nèi),個(gè)人征信機(jī)構(gòu)應(yīng)當(dāng)將測評(píng)報(bào)告報(bào)中國人民銀行,企業(yè)征信機(jī)構(gòu)應(yīng)當(dāng)將測評(píng)報(bào)告報(bào)備案機(jī)構(gòu)。
第三十一條 征信機(jī)構(gòu)有下列情形之一的,中國人民銀行及其分支機(jī)構(gòu)可以將其列為重點(diǎn)監(jiān)管對象:
(一)上一發(fā)生嚴(yán)重違法違規(guī)行為的;
(二)出現(xiàn)可能發(fā)生信息泄露征兆的;
(三)出現(xiàn)財(cái)務(wù)狀況異常或嚴(yán)重虧損的;
(四)被大量投訴的;
(五)中國人民銀行認(rèn)為需要重點(diǎn)監(jiān)管的其他情形。征信機(jī)構(gòu)被列為重點(diǎn)監(jiān)管對象的,中國人民銀行及其分支機(jī)構(gòu)可以酌情縮短征信機(jī)構(gòu)報(bào)告征信業(yè)務(wù)開展情況、進(jìn)行信用信息系統(tǒng)安全情況測評(píng)的周期,并采取相應(yīng)的監(jiān)管措施,督促征信機(jī)構(gòu)整改。
經(jīng)整改,第一款中所列情形消除的,中國人民銀行及其分支機(jī)構(gòu)可不再將其列為重點(diǎn)監(jiān)管對象。
第三十二條 中國人民銀行及其分支機(jī)構(gòu)可以根據(jù)監(jiān)管需要,約談?wù)餍艡C(jī)構(gòu)董事、監(jiān)事和高級(jí)管理人員,要求其就征信業(yè)務(wù)經(jīng)營、風(fēng)險(xiǎn)控制、內(nèi)部管理等有關(guān)重大事項(xiàng)做出說明。
第五章 罰則
第三十三條 申請?jiān)O(shè)立個(gè)人征信機(jī)構(gòu)的申請人隱瞞有關(guān)情況或者提供虛假材料的,中國人民銀行可以按照《行政許可法》第七十八條進(jìn)行處罰。
第三十四條 個(gè)人征信機(jī)構(gòu)的個(gè)人信用信息系統(tǒng)未達(dá)到國家信息安全保護(hù)等級(jí)二級(jí)以上要求的,中國人民銀行可以責(zé)令整頓;情節(jié)嚴(yán)重或拒不改正的,中國人民銀行可以按照《征信業(yè)管理?xiàng)l例》第三十八條的規(guī)定,吊銷其《個(gè)人征信業(yè)務(wù)經(jīng)營許可證》。
第三十五條 申請個(gè)人征信機(jī)構(gòu)的董事、監(jiān)事、高級(jí)管理人員任職資格的申請人隱瞞有關(guān)情況或者提供虛假材料的,中國人民銀行不予受理或不予核準(zhǔn)其任職資格,并給予警告;已核準(zhǔn)的,取消其任職資格。
中國人民銀行可以禁止上述申請人一年至三年內(nèi)再次申請任職資格。
第三十六條 個(gè)人征信機(jī)構(gòu)任命未取得任職資格董事、監(jiān)事、高級(jí)管理人員的,由中國人民銀行責(zé)令改正并給予警告;情節(jié)嚴(yán)重的,處1萬元以上3萬元以下罰款。
企業(yè)征信機(jī)構(gòu)任命董事、監(jiān)事、高級(jí)管理人員未及時(shí)備案或變更備案,以及在備案中提供虛假材料的,由中國人民銀行分支機(jī)構(gòu)責(zé)令改正并給予警告;情節(jié)嚴(yán)重的,處1萬元以上3萬元以下罰款。
第三十七條 征信機(jī)構(gòu)違反本辦法第二十八條、第二十九條、第三十條規(guī)定的,由中國人民銀行及其分支機(jī)構(gòu)責(zé)令改正;情節(jié)嚴(yán)重的,處1萬元以上3萬元以下罰款;對有違法所得的,沒收違法所得,并處違法所得1倍以上3倍以下罰款,但最高不得超過3萬元;涉嫌犯罪的,依法移交司法機(jī)關(guān)追究其刑事責(zé)任。
第六章 附則
第三十八條 本辦法由中國人民銀行負(fù)責(zé)解釋。第三十九條 本辦法自 年 月 日起施行。
第五篇:征信機(jī)構(gòu)信息安全規(guī)范
征信機(jī)構(gòu)信息安全規(guī)范
一、總則
1.1標(biāo)準(zhǔn)適用范圍
標(biāo)準(zhǔn)規(guī)定了不同安全保護(hù)等級(jí)征信系統(tǒng)的安全要求,包括安全管理、安全技術(shù)和業(yè)務(wù)運(yùn)作三個(gè)方面。
標(biāo)準(zhǔn)適用于征信機(jī)構(gòu)信息系統(tǒng)的建設(shè)、運(yùn)行和維護(hù),也可作為各單位開展安全檢查和內(nèi)部審計(jì)的安全依據(jù)。接入征信機(jī)構(gòu)信息系統(tǒng)的信息提供者、信息使用者也可以參照與本機(jī)構(gòu)有關(guān)條款執(zhí)行,標(biāo)準(zhǔn)還可作為專業(yè)檢測機(jī)構(gòu)開展檢測、認(rèn)證的依據(jù)。
1.2相關(guān)定義
(一)征信系統(tǒng):征信機(jī)構(gòu)與信息提供者協(xié)議約定,或者通過互聯(lián)網(wǎng)、政府信息公開等渠道,對分散在社會(huì)各領(lǐng)域的企業(yè)和個(gè)人信用信息,進(jìn)行采集、整理、保存和加工而形成的信用信息數(shù)據(jù)庫及相關(guān)系統(tǒng)。
(二)敏感信息:影響征信系統(tǒng)安全的密碼、密鑰以及業(yè)務(wù)敏感數(shù)據(jù)等信息。
1、密碼包括但不限與查詢密碼、登錄密碼、證書的PIN等。
2、密鑰包括但不限與用于確保通訊安全、報(bào)告完整性的密鑰。
3、業(yè)務(wù)敏感數(shù)據(jù)包括但不限于信息主體的身份信息、婚姻狀況以及銀行賬戶信息等涉及個(gè)人隱私的數(shù)據(jù)。
(三)客戶端程序:征信機(jī)構(gòu)開發(fā)的、通過瀏覽器訪問征信系統(tǒng)并為征信系統(tǒng)其他功能(如數(shù)據(jù)采集)的程序,并提供必需功能的組件,包括但不限于:可執(zhí)行文件、控件、瀏覽器插件、靜態(tài)鏈接庫、動(dòng)態(tài)鏈接庫等(不包括IE等通用瀏覽器);或信息提供者、信息使用者以獨(dú)立開發(fā)的軟件接入征信系統(tǒng)的客戶端程序。
(四)通訊網(wǎng)絡(luò):通訊網(wǎng)絡(luò)指的是由客戶端、服務(wù)器以及相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施組建的網(wǎng)絡(luò)連接。征信系統(tǒng)通過互聯(lián)玩或網(wǎng)絡(luò)專線等方式與信息提供者、信息使用者相連,征信系統(tǒng)安全設(shè)計(jì)應(yīng)在考慮建設(shè)成本、網(wǎng)絡(luò)便利性等因素的同時(shí),采取必要的技術(shù)防護(hù)措施,有效應(yīng)對網(wǎng)絡(luò)通訊安全威脅。
(五)服務(wù)器端:服務(wù)器端指用于提供征信系統(tǒng)核心業(yè)務(wù)處理和應(yīng)用服務(wù)的服務(wù)器設(shè)備及安裝的相關(guān)軟件程序,征信機(jī)構(gòu)應(yīng)充分利用有效的物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、應(yīng)用安全技術(shù)及數(shù)據(jù)安全與備份恢復(fù)技術(shù)等,在外部威脅和受保護(hù)的資源間建立多道嚴(yán)密的安全防線。
1.3總體要求
本標(biāo)準(zhǔn)從安全管理、安全技術(shù)和業(yè)務(wù)運(yùn)作三個(gè)方面提出征信系統(tǒng)的安全要求。
(一)安全管理從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面提出要求。
(二)安全技術(shù)從客戶端、通訊網(wǎng)絡(luò)、服務(wù)器端等方面提出要求。
(三)業(yè)務(wù)運(yùn)作從系統(tǒng)接入、系統(tǒng)注銷、用戶管理、信息采集和處理、信息加工、信息保存、信息查詢、異議處理、信息跨境流動(dòng)、研究分析、安全檢查與評(píng)估等方面提出要求。
二、安全管理
2.1安全管理制度
征信機(jī)構(gòu)根據(jù)征信系統(tǒng)的建設(shè)、運(yùn)行和管理情況,建立和完善信息安全管理制度,并定期進(jìn)行評(píng)審和修訂。2.1.1內(nèi)部管理制度 基本要求:
(一)應(yīng)制定信息安全工作的總體方針和安全策略,說明本機(jī)構(gòu)安全工作的總體原則、目標(biāo)、范圍和安全框架等;
(二)應(yīng)建立征信系統(tǒng)建設(shè)和運(yùn)維管理制度,對機(jī)房管理、資金安全、設(shè)備管理,網(wǎng)絡(luò)安全和系統(tǒng)安全等方面做出明確規(guī)定。
(三)應(yīng)建立征信系統(tǒng)安全審批流程,系統(tǒng)投入運(yùn)行、網(wǎng)路系統(tǒng)接入等重大事項(xiàng)由信息安全管理負(fù)責(zé)人審批,并確認(rèn)簽字。
(四)應(yīng)對安全管理人員及操作人員執(zhí)行的重要操作建立操作規(guī)程,并進(jìn)行定期培訓(xùn)。
(五)應(yīng)建立日常故障處理流程,重要崗位應(yīng)建立雙人負(fù)責(zé)制。
(六)應(yīng)建立軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則。
(七)應(yīng)建立數(shù)據(jù)庫管理制度,對數(shù)據(jù)的存儲(chǔ)、訪問、使用、展示、備份與恢復(fù)、傳輸及樣本數(shù)據(jù)處理等進(jìn)行規(guī)范。
(八)應(yīng)建立外包服務(wù)管理、外部人員訪問等方面的管理制度,對外部人員對本機(jī)構(gòu)內(nèi)的活動(dòng)進(jìn)行規(guī)范化管理。
(九)應(yīng)建立突發(fā)事件及重大事項(xiàng)報(bào)告制度,對外部人員在本機(jī)構(gòu)內(nèi)的活動(dòng)進(jìn)行規(guī)范化管理。
(十)應(yīng)建立突發(fā)事件應(yīng)急預(yù)案制度,有效避免事故造成的危害。
(十一)應(yīng)建立信息安全檢查制度,定期或者根據(jù)需要(如可能存在安全隱患時(shí))不定期開展安全自查工作,主動(dòng)接受和配合中國人民銀行及其派出所機(jī)構(gòu)的安全檢查。增強(qiáng)要求:
(一)應(yīng)建立征信系統(tǒng)建設(shè)工程實(shí)施方面的管理制度,明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。
(二)應(yīng)建立密碼使用、變更管理及數(shù)據(jù)備份與恢復(fù)等方面的管理制度,對系統(tǒng)運(yùn)行維護(hù)過程中重要環(huán)節(jié)的審批與操作等作出的明確規(guī)定。
(三)應(yīng)按照ISO/IEC 27001:2013的相關(guān)要求建立完善的信息安全管理體系。2.1.2安全審計(jì)制度 基本要求:
(一)應(yīng)建立信息安全內(nèi)部審計(jì)制度,定期可能帶來信息安全風(fēng)險(xiǎn)的因素進(jìn)行審計(jì)和評(píng)估,個(gè)人征信機(jī)構(gòu)每年至少1次,企業(yè)征信機(jī)構(gòu)每年至少1次。
(二)應(yīng)對安全管理制度的制定和執(zhí)行情況進(jìn)行審計(jì),審計(jì)內(nèi)容包括是否按照法律法規(guī)和中國人民銀行的相關(guān)規(guī)定建立信息安全管理制度,安全管理制度的執(zhí)行情況,是否定期對制度進(jìn)行評(píng)審和修訂。
(三)應(yīng)對網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等技術(shù)安全進(jìn)行審計(jì),審計(jì)內(nèi)容包括安全配置、設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、重要用戶行為、系統(tǒng)異常事件及重要系統(tǒng)命令的使用等。
(四)應(yīng)對業(yè)務(wù)操作進(jìn)行審計(jì),審計(jì)內(nèi)容包括系統(tǒng)接入和注銷、用戶管理、信息采集和處理、信息加工、信息保存、異議處理、信息跨境流動(dòng)等。
(五)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、時(shí)間類型、時(shí)間是否成功及其他與審計(jì)相關(guān)的信息;應(yīng)保護(hù)系統(tǒng)中的審計(jì)記錄,避免收到未預(yù)期的刪除、修改或覆蓋等,保存期至少半年;紙質(zhì)版審計(jì)記錄保存期應(yīng)不少于三年。增強(qiáng)要求:
(一)應(yīng)定期委托外部專業(yè)機(jī)構(gòu),有重點(diǎn)、有計(jì)劃的開展信息科技總體風(fēng)險(xiǎn)審計(jì)、征信系統(tǒng)專項(xiàng)審計(jì)。
(二)在內(nèi)部審計(jì)和外部審計(jì)中發(fā)現(xiàn)的重大安全隱患應(yīng)及時(shí)向中國人民銀行及其派出機(jī)構(gòu)報(bào)告。
2.2安全管理機(jī)構(gòu)
征信機(jī)構(gòu)應(yīng)成立有高級(jí)管理人員及相關(guān)部門負(fù)責(zé)人組成的信息安全領(lǐng)導(dǎo)小組,并制定專門的部門負(fù)責(zé)信息安全管理工作。2.2.1崗位設(shè)置 基本要求:
(一)應(yīng)設(shè)立安全主管、信息安全管理崗位,明確安全主管和信息安全管理員的崗位職責(zé)。
(二)應(yīng)設(shè)立安全管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等崗位,并定義各工作崗位的職責(zé)。
(三)除科技部門以外,其他部門應(yīng)設(shè)置部門計(jì)算機(jī)安全員。增強(qiáng)要求:
(一)應(yīng)通過制度明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。
(二)應(yīng)建立數(shù)據(jù)安全管理組織,明確數(shù)據(jù)安全管理責(zé)任人、數(shù)據(jù)資產(chǎn)管理人、明確數(shù)據(jù)安全管理的責(zé)任,確保有效落實(shí)和推進(jìn)數(shù)據(jù)安全的相關(guān)工作。2.2.2人員配備 基本要求:
(一)應(yīng)配備安全主管、信息安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等。
(二)安全主管不能兼任信息安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。
(三)信息安全管理員不能兼任網(wǎng)絡(luò)信息管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。增強(qiáng)要求:
關(guān)鍵事務(wù)崗位。如信息安全管理員、數(shù)據(jù)庫管理員等,應(yīng)配備至少兩人,且互為A、B角共同管理。2.2.3授權(quán)和審批 基本要求:
(一)應(yīng)根據(jù)各部門和崗位的職責(zé)明確授權(quán)審批部門和審批人。
(二)應(yīng)針對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)投入、系統(tǒng)變更、重要操作和重要資源的訪問等關(guān)鍵活動(dòng)建立審批流程,由責(zé)任人審批后方可進(jìn)行,對重要活動(dòng)應(yīng)建立逐級(jí)審批制度。
(三)應(yīng)記錄審批過程并保存審批文檔。增強(qiáng)要求:
應(yīng)每年審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批的部門和審批人等信息。2.2.4溝通與合作 基本要求:
(一)應(yīng)加強(qiáng)各部門、各崗位之間以及信息安全職能部門內(nèi)部的合作與溝通。
(二)應(yīng)加強(qiáng)與同業(yè)機(jī)構(gòu)、通訊服務(wù)商及監(jiān)管部門的合作與溝通。增強(qiáng)要求:
(一)在信息安全管理部門應(yīng)定期召開各職能部門、各崗位人員參加的協(xié)調(diào)會(huì)議,共同協(xié)作處理信息安全問題。
(二)應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。2.3人員管理
征信機(jī)構(gòu)應(yīng)加強(qiáng)人員安全管理,明確不同崗位的職責(zé),規(guī)范人員錄用、離崗、考核和培訓(xùn)等工作。2.3.1安全主管 基本要求:
(一)應(yīng)派具有較高計(jì)算機(jī)水平、業(yè)務(wù)能力和法律素養(yǎng)的人員擔(dān)任安全主管。
(二)安全主管可由信息安全管理部門的相關(guān)領(lǐng)導(dǎo)擔(dān)任,也可指定專人擔(dān)任,主要履行以下職責(zé):
1、組織落實(shí)監(jiān)管部門信息安全相關(guān)管理規(guī)定和本機(jī)構(gòu)信息安全保障工作。
2、將征信機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組討論形成的安全決策,分解為安全任務(wù)部署落實(shí)。
3、對信息化建設(shè)中的安全建設(shè)方案、安全技術(shù)方案或其他安全方案進(jìn)行審批。
4、對征信機(jī)構(gòu)內(nèi)部其他信息安全相關(guān)管理事項(xiàng)進(jìn)行審批。
(三)安全主管調(diào)崗位時(shí)。應(yīng)辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。增強(qiáng)要求:
安全主管應(yīng)加強(qiáng)信息安全知識(shí)的學(xué)習(xí)和技能掌握,及時(shí)關(guān)注國內(nèi)外信息安全動(dòng)態(tài),為加強(qiáng)和改進(jìn)本機(jī)構(gòu)的信息安全管理工作提供合理化建議。2.3.2信息安全管理員 基本要求:
(一)應(yīng)派具有較高計(jì)算機(jī)水平、業(yè)務(wù)能力和法律素養(yǎng)的人員擔(dān)任信息安全管理員。
(二)信息安全管理員每年至少進(jìn)行一次信息安全方面的技術(shù)和業(yè)務(wù)培訓(xùn)。
(三)信息安全管理員應(yīng)履行以下職責(zé):
1、在安全主管的指導(dǎo)下,具體落實(shí)各項(xiàng)安全管理工作,并協(xié)調(diào)各部門計(jì)算機(jī)安全員開展工作。
2、在安全主管的指導(dǎo)下,組織相關(guān)人員審核本機(jī)構(gòu)信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施安全項(xiàng)目建設(shè)、維護(hù)、管理信息安全專用設(shè)施。
3、在計(jì)算機(jī)系統(tǒng)應(yīng)用開發(fā)、技術(shù)方案設(shè)計(jì)和實(shí)施、集成等工作中提出安全技術(shù)方案并組織實(shí)施。
4、負(fù)責(zé)本機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)部署上線前的安全自測試方案的審核。
5、定期檢查網(wǎng)絡(luò)和征信系統(tǒng)的安全運(yùn)行狀況,組織檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時(shí)通報(bào)和預(yù)警,并提出整改意見,統(tǒng)計(jì)分析和協(xié)調(diào)處置信息安全事件。
6、定期組織信息安全宣傳教育活動(dòng),與相關(guān)部門配合開展信息安全檢查,(四)信息安全管理員調(diào)離崗位時(shí),應(yīng)辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。增強(qiáng)要求:
信息安全管理員應(yīng)增加信息安全知識(shí)學(xué)習(xí)和技能掌握,及時(shí)關(guān)注國內(nèi)外信息安全動(dòng)態(tài),為貫徹落實(shí)本機(jī)構(gòu)的信息安全策略和方案提出合理化建議。2.3.3部門計(jì)算機(jī)安全員 基本要求:
(一)各部門的計(jì)算機(jī)安全員應(yīng)由較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān),并報(bào)信息安全管理部備案,如有變更應(yīng)及時(shí)通報(bào)信息安全管理部門。
(二)部門計(jì)算機(jī)安全員因積極配合信息安全管理員的工作,各部門應(yīng)優(yōu)先選派部門計(jì)算機(jī)安全員參加信息安全技術(shù)培訓(xùn)。
(三)部門計(jì)算機(jī)安全員應(yīng)履行以下職責(zé):
1、負(fù)責(zé)配合信息安全管理部完成本部門計(jì)算機(jī)病毒防治、補(bǔ)丁升級(jí)、非法外聯(lián)防范,系統(tǒng)故障應(yīng)急處理、移動(dòng)存介質(zhì)管控等工作。
2、全面負(fù)責(zé)本部門的信息安全管理工作。負(fù)責(zé)提出本部門的信息安全保障需求,及時(shí)與信息安全管理部門溝通本部門信息安全情況,做好信息安全通報(bào)工作,發(fā)現(xiàn)情況及時(shí)向信息安全管理部門報(bào)告,3、負(fù)責(zé)本部門相關(guān)文檔資料的安全管理工作。以及本部門國際互聯(lián)網(wǎng)、征信系統(tǒng)網(wǎng)絡(luò)的使用和計(jì)入安全管理,組織開展本部門信息安全自查,協(xié)助信息安全管理部門完成本機(jī)構(gòu)的信息安全檢查工作。
(四)部門計(jì)算機(jī)安全員調(diào)離崗位時(shí),辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。增強(qiáng)要求:
部門計(jì)算機(jī)安全員每年至少參加一次信息安全培訓(xùn),積極配合信息安全管理員做好本部門的信息安全管理和風(fēng)險(xiǎn)防范至少宣傳落實(shí)工作。2.2.4技術(shù)支持人員 基本要求:
(一)內(nèi)部技術(shù)人員(本機(jī)構(gòu)正式員工,負(fù)責(zé)參加與征信機(jī)構(gòu)機(jī)房環(huán)境、網(wǎng)路、計(jì)算機(jī)系統(tǒng)等建設(shè)、運(yùn)行、維護(hù)人員,若系統(tǒng)管理員、數(shù)據(jù)庫管理員等)在落實(shí)征信系統(tǒng)建設(shè)和日產(chǎn)維護(hù)工作過程中,履行以下職責(zé):
1、嚴(yán)格遵守本機(jī)構(gòu)各項(xiàng)安全保密規(guī)定和征信系統(tǒng)安全管理相關(guān)制度。
2、嚴(yán)格權(quán)限訪問,未經(jīng)業(yè)務(wù)部門書面授權(quán)和本部門領(lǐng)導(dǎo)批準(zhǔn),不得擅自修改征信系統(tǒng)應(yīng)用設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。
3、檢測和控制機(jī)房、網(wǎng)絡(luò)、安全設(shè)備、計(jì)算機(jī)系統(tǒng)的安全運(yùn)行狀況,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告安全主管、信息安全管理員、并及時(shí)響應(yīng)和處置。
(二)外部技術(shù)人員(非本機(jī)構(gòu)人員)應(yīng)履行服務(wù)外包合同(協(xié)議)中的各項(xiàng)安全承諾,在提供技術(shù)服務(wù)期間,嚴(yán)格遵守征信機(jī)構(gòu)相關(guān)安全規(guī)定與操作規(guī)程。增強(qiáng)要求:
外部技術(shù)支持人員未經(jīng)業(yè)務(wù)部門書面授權(quán)和所在部門領(lǐng)導(dǎo)批準(zhǔn),不得擅自接觸、查看或修改修改征信系統(tǒng)的應(yīng)用設(shè)置或相關(guān)業(yè)務(wù)數(shù)據(jù)等,確需接觸、查看或修改時(shí),須取得業(yè)務(wù)部門書面授權(quán)和所在部門領(lǐng)導(dǎo)批準(zhǔn),并在內(nèi)部技術(shù)人員在場陪同下,方可進(jìn)行。2.2.5業(yè)務(wù)操作人員 基本要求:
(一)業(yè)務(wù)操作人員(指征信機(jī)構(gòu)內(nèi)部直接使用征信系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)部門工作人員,包括業(yè)務(wù)管理員、一般業(yè)務(wù)操作員)應(yīng)履行以下職責(zé):
1、嚴(yán)格按照征信機(jī)構(gòu)相關(guān)業(yè)務(wù)規(guī)程操作、使用征信系統(tǒng)及相關(guān)數(shù)據(jù),嚴(yán)禁各種違規(guī)操作。
2、嚴(yán)格按照征信機(jī)構(gòu)信息安全管理相關(guān)規(guī)定操作、使用征信系統(tǒng)的業(yè)務(wù)數(shù)據(jù),防止征信信息外泄。
3、妥善保管好征信系統(tǒng)的賬戶和密碼,并按要求定期更換密碼,禁止將賬戶和密碼提供給他人使用。
4、發(fā)現(xiàn)征信系統(tǒng)出現(xiàn)異常及時(shí)向部門計(jì)算機(jī)安全員報(bào)告。
5、定期清理業(yè)務(wù)操作終端業(yè)務(wù)數(shù)據(jù),不得在業(yè)務(wù)操作終端上安裝與支付業(yè)務(wù)無關(guān)的計(jì)算機(jī)軟件和硬件,不得擅自修改征信系統(tǒng)的運(yùn)行環(huán)境參數(shù)。
(二)業(yè)務(wù)操作按照“權(quán)限分設(shè)、互相制約”原則,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理,技術(shù)支持人員不得兼任業(yè)務(wù)操作人員。增加要求:
業(yè)務(wù)操作人員應(yīng)實(shí)現(xiàn)A、B角管理。2.2.6一般計(jì)算機(jī)用戶 基本要求:
(一)一般計(jì)算機(jī)用戶(指征信機(jī)構(gòu)內(nèi)部使用接入征信系統(tǒng)網(wǎng)絡(luò)的計(jì)算機(jī)及外設(shè)的所有人員)應(yīng)履行以下職責(zé):
1、及時(shí)安裝計(jì)算機(jī)病毒防治軟件和客戶端防護(hù)軟件,按規(guī)定使用移動(dòng)存儲(chǔ)介質(zhì),自覺接受部門計(jì)算機(jī)安全員的指導(dǎo)與管理。
2、不得安裝與工作無關(guān)的計(jì)算機(jī)軟件和硬件,不得將征信系統(tǒng)相關(guān)計(jì)算機(jī)擅自接入未經(jīng)授權(quán)的網(wǎng)絡(luò)。
(二)未經(jīng)信息安全管理部門批準(zhǔn)和檢測的計(jì)算機(jī)及外設(shè)不得接入征信系統(tǒng)網(wǎng)絡(luò)。增強(qiáng)要求:
1、一般計(jì)算機(jī)用戶不得私自改變計(jì)算機(jī)用途。
2、一般計(jì)算機(jī)用戶系統(tǒng)應(yīng)統(tǒng)一安裝、統(tǒng)一升級(jí)及更新計(jì)算機(jī)病毒防治軟件。
2.4系統(tǒng)建設(shè)管理
2.4.1系統(tǒng)頂級(jí) 基本要求:
(一)應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)。
(二)應(yīng)應(yīng)以書面形式說明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由。增強(qiáng)要求:
應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定。2.4.2安全方案設(shè)計(jì) 基本要求:
(一)應(yīng)根據(jù)征信系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。
(二)應(yīng)以書面形式描述對征信系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容,形成系統(tǒng)的安全方案。
(三)對安全方案進(jìn)行細(xì)化,形成能指導(dǎo)征信系統(tǒng)安全建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計(jì)方案。
(四)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過征信機(jī)構(gòu)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)后,正式組織實(shí)施。增強(qiáng)要求:
(一)應(yīng)制定和授權(quán)專門的部門對征信系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃。
(二)應(yīng)統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案,并形成配套文件。
(三)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定,并且經(jīng)過征信機(jī)構(gòu)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)后,正式組織實(shí)施。
(四)應(yīng)定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。2.4.3安全產(chǎn)品采購
點(diǎn)擊咨詢 