第一篇:征信信息安全實施細則
信息安全實施細則
第一章 總 則
為加強征信業務運行管理,規范征信業務組織、操作行為,有效防范道德風險、操作風險、聲譽風險,根據《征信業管理條例》、《個人信用信息基礎數據庫管理暫行辦法》、《個人信用信息基礎數據庫金融機構用戶管理辦法(暫行)》、《中國人民銀行關于進一步加強征信信息安全管理的通知》等有關規定,結合實際,制定本細則。
第二條
本細則所稱征信信息安全,是指從事與個人、企業和其他組織信用活動相關的業務,包括:向國家金融信用信息基礎數據庫報送個人和企業征信數據、從征信系統獲取客戶信用信息、使用客戶信用信息、處理信息主體異議等業務辦理或使用中,嚴格按照管理制度用信以及保證客戶征信信息安全。
第三條
本細則所稱征信系統,是指按人民銀行相關規定建立的,用于采集、保存、加工、整理個人、企業和其他組織的,為個人和企業提供信用報告查詢服務的數據庫系統。
第四條
本細則所稱借款人,是指向及轄內機構申請辦理信貸業務的企(事)業法人、其他組織、個體工商戶和自然人。
第五條
本細則所稱的擔保人,是指為辦理信貸業務的借款人提供擔保的企(事)業法人、其他組織、個體工商戶和自然人。
第六條
本細則所稱信貸業務,是指貸款(含委托貸款)、銀行承兌匯票、信用證、保函、票據貼現、貿易融資、保理、公 開授信等業務以及與其相關的擔保業務。
第七條
本細則所稱客戶信用信息,是指能夠反映個人、企(事)業法人或其他組織信用狀況的信息,包括身份識別信息、信用交易信息以及反映個人、企(事)業法人或其他組織信用狀況的其他信息。
第二章 部門職責
第八條
征信業務管理工作,實行統一領導、分工負責的原則。
第九條
成立征信信息安全工作領導小組,統一領導全行個人和企業征信業務的有關工作。領導小組由主管信貸領導擔任組長,成員由信貸部組成。領導小組辦公室設置在信貸部。
第十條
征信信息安全工作領導小組負責協調征信系統運行管理、查詢使用和數據報送等工作;建立健全相關管理制度,指導、培訓檢查各社征信業務;對接收到的人民銀行或上級機構反饋的錯誤數據及時交有關機構進行修改;開展不同層次、不同崗位的人員的征信培訓工作;做好信用報告異議處理的協調與處理工作;做好征信系統用戶管理工作,按照人民銀行要求及時上報征信管理員、查詢員,異議元,做好用戶備案工作;管理好用信工作,杜絕泄露、出售等客戶的征信報告。
基層機構負責客戶基本信息的錄入,確保核心業務系統和信貸管理系統中客戶信息和賬務處理信息數據的真實、準確、完整,符合人民銀行報送要求;保證征信業務合規合法,確保客戶信用 信息不被泄露。
第三章 系統與用戶管理
第十一條
在征信系統中建立用戶體系,其中聯社由市聯社設立管理員用戶,基層社由聯社設立征信查詢用戶。
第十二條
用戶代碼是用戶在征信系統中的身份標識,具有唯一性,不得設置公用代碼、一人分配多個代碼。檢查查詢員用戶統一由系統管理員設置。
第十三條
用戶密碼是用戶登錄征信系統的安全保證,由數字和字母組合構成。首次登錄時,必須更改密碼,以后每月至少更改一次。
第十四條
管理員用戶不得隨意增加、修改用戶及用戶的權限。
第十五條
管理員用戶不得隨意重置用戶密碼,下列情況除外:
(一)用戶遺忘登錄密碼,向管理員用戶提出書面申請的;
(二)管理員用戶發現用戶密碼被盜用,且無法及時通知用戶更改密碼的;
(三)其他特殊情況。
第四章 安全管理
第十六條
基層機構要確保客戶信息在查詢使用、異議處理等過程中的完整性和保密性,嚴格遵循《征信業管理條例》、人民銀行和相關規定,確保數據不被泄露。第十七條
基層機構在查詢、打印企(事)業法人、其他組織、個體工商戶和自然人的信用報告時須獲得客戶書面授權。除下述情況外,不得以任何理由查詢客戶信用報告。
(一)審核客戶信貸業務申請的;
(二)審核擔保人主體資格的;
(三)受理法人或其他組織的貸款申請或其作為擔保人,需查詢其法定代表人及出資人信用狀況的;
(四)對已發生信貸業務進行風險跟蹤管理的;
(五)處理異議和投訴的;
(六)法律規定可以查詢的其他情況
第十八條上級定期組織開展征信工作檢查,對用戶設置、信息查詢和使用、異議處理、檔案管理、信息安全以及相關內控制度建設、執行情況進行檢查,提高制度執行力,保證征信業務嚴格遵循《征信業管理條例》、人民銀行和相關規定,并將檢查結果及時報告及當地人民銀行。
第十九條
通過征信系統查詢、打印的信用報告和相關資料屬內部重要信貸業務資料,不得外泄。
第二十條
除本辦法規定的情況外,任何單位和個人不得將征信系統查詢結果和信用報告用于其它目的。
第二十一條
用于征信系統運行的計算機實行專機專用,不得下載或安裝與系統無關的軟件;定期進行病毒檢查和網絡訪問安全監測,做好系統日常維護工作。
第五章 附 則
第二十二條
本辦法自下發之日起施行,由市農村信用合作聯社負責制訂、解釋、修改。
第二篇:征信機構信息安全規范
征信機構信息安全規范
一、總則
1.1標準適用范圍
標準規定了不同安全保護等級征信系統的安全要求,包括安全管理、安全技術和業務運作三個方面。
標準適用于征信機構信息系統的建設、運行和維護,也可作為各單位開展安全檢查和內部審計的安全依據。接入征信機構信息系統的信息提供者、信息使用者也可以參照與本機構有關條款執行,標準還可作為專業檢測機構開展檢測、認證的依據。
1.2相關定義
(一)征信系統:征信機構與信息提供者協議約定,或者通過互聯網、政府信息公開等渠道,對分散在社會各領域的企業和個人信用信息,進行采集、整理、保存和加工而形成的信用信息數據庫及相關系統。
(二)敏感信息:影響征信系統安全的密碼、密鑰以及業務敏感數據等信息。
1、密碼包括但不限與查詢密碼、登錄密碼、證書的PIN等。
2、密鑰包括但不限與用于確保通訊安全、報告完整性的密鑰。
3、業務敏感數據包括但不限于信息主體的身份信息、婚姻狀況以及銀行賬戶信息等涉及個人隱私的數據。
(三)客戶端程序:征信機構開發的、通過瀏覽器訪問征信系統并為征信系統其他功能(如數據采集)的程序,并提供必需功能的組件,包括但不限于:可執行文件、控件、瀏覽器插件、靜態鏈接庫、動態鏈接庫等(不包括IE等通用瀏覽器);或信息提供者、信息使用者以獨立開發的軟件接入征信系統的客戶端程序。
(四)通訊網絡:通訊網絡指的是由客戶端、服務器以及相關網絡基礎設施組建的網絡連接。征信系統通過互聯玩或網絡專線等方式與信息提供者、信息使用者相連,征信系統安全設計應在考慮建設成本、網絡便利性等因素的同時,采取必要的技術防護措施,有效應對網絡通訊安全威脅。
(五)服務器端:服務器端指用于提供征信系統核心業務處理和應用服務的服務器設備及安裝的相關軟件程序,征信機構應充分利用有效的物理安全技術、網絡安全技術、主機安全技術、應用安全技術及數據安全與備份恢復技術等,在外部威脅和受保護的資源間建立多道嚴密的安全防線。
1.3總體要求
本標準從安全管理、安全技術和業務運作三個方面提出征信系統的安全要求。
(一)安全管理從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面提出要求。
(二)安全技術從客戶端、通訊網絡、服務器端等方面提出要求。
(三)業務運作從系統接入、系統注銷、用戶管理、信息采集和處理、信息加工、信息保存、信息查詢、異議處理、信息跨境流動、研究分析、安全檢查與評估等方面提出要求。
二、安全管理
2.1安全管理制度
征信機構根據征信系統的建設、運行和管理情況,建立和完善信息安全管理制度,并定期進行評審和修訂。2.1.1內部管理制度 基本要求:
(一)應制定信息安全工作的總體方針和安全策略,說明本機構安全工作的總體原則、目標、范圍和安全框架等;
(二)應建立征信系統建設和運維管理制度,對機房管理、資金安全、設備管理,網絡安全和系統安全等方面做出明確規定。
(三)應建立征信系統安全審批流程,系統投入運行、網路系統接入等重大事項由信息安全管理負責人審批,并確認簽字。
(四)應對安全管理人員及操作人員執行的重要操作建立操作規程,并進行定期培訓。
(五)應建立日常故障處理流程,重要崗位應建立雙人負責制。
(六)應建立軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則。
(七)應建立數據庫管理制度,對數據的存儲、訪問、使用、展示、備份與恢復、傳輸及樣本數據處理等進行規范。
(八)應建立外包服務管理、外部人員訪問等方面的管理制度,對外部人員對本機構內的活動進行規范化管理。
(九)應建立突發事件及重大事項報告制度,對外部人員在本機構內的活動進行規范化管理。
(十)應建立突發事件應急預案制度,有效避免事故造成的危害。
(十一)應建立信息安全檢查制度,定期或者根據需要(如可能存在安全隱患時)不定期開展安全自查工作,主動接受和配合中國人民銀行及其派出所機構的安全檢查。增強要求:
(一)應建立征信系統建設工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。
(二)應建立密碼使用、變更管理及數據備份與恢復等方面的管理制度,對系統運行維護過程中重要環節的審批與操作等作出的明確規定。
(三)應按照ISO/IEC 27001:2013的相關要求建立完善的信息安全管理體系。2.1.2安全審計制度 基本要求:
(一)應建立信息安全內部審計制度,定期可能帶來信息安全風險的因素進行審計和評估,個人征信機構每年至少1次,企業征信機構每年至少1次。
(二)應對安全管理制度的制定和執行情況進行審計,審計內容包括是否按照法律法規和中國人民銀行的相關規定建立信息安全管理制度,安全管理制度的執行情況,是否定期對制度進行評審和修訂。
(三)應對網絡安全、主機安全、應用安全和數據安全等技術安全進行審計,審計內容包括安全配置、設備運行情況、網絡流量、重要用戶行為、系統異常事件及重要系統命令的使用等。
(四)應對業務操作進行審計,審計內容包括系統接入和注銷、用戶管理、信息采集和處理、信息加工、信息保存、異議處理、信息跨境流動等。
(五)審計記錄應包括事件的日期和時間、用戶、時間類型、時間是否成功及其他與審計相關的信息;應保護系統中的審計記錄,避免收到未預期的刪除、修改或覆蓋等,保存期至少半年;紙質版審計記錄保存期應不少于三年。增強要求:
(一)應定期委托外部專業機構,有重點、有計劃的開展信息科技總體風險審計、征信系統專項審計。
(二)在內部審計和外部審計中發現的重大安全隱患應及時向中國人民銀行及其派出機構報告。
2.2安全管理機構
征信機構應成立有高級管理人員及相關部門負責人組成的信息安全領導小組,并制定專門的部門負責信息安全管理工作。2.2.1崗位設置 基本要求:
(一)應設立安全主管、信息安全管理崗位,明確安全主管和信息安全管理員的崗位職責。
(二)應設立安全管理員、網絡管理員、數據庫管理員等崗位,并定義各工作崗位的職責。
(三)除科技部門以外,其他部門應設置部門計算機安全員。增強要求:
(一)應通過制度明確安全管理機構各個部門和崗位的職責、分工和技能要求。
(二)應建立數據安全管理組織,明確數據安全管理責任人、數據資產管理人、明確數據安全管理的責任,確保有效落實和推進數據安全的相關工作。2.2.2人員配備 基本要求:
(一)應配備安全主管、信息安全管理員、系統管理員、網絡管理員、數據庫管理員等。
(二)安全主管不能兼任信息安全管理員、網絡管理員、系統管理員、數據庫管理員等。
(三)信息安全管理員不能兼任網絡信息管理員、系統管理員、數據庫管理員等。增強要求:
關鍵事務崗位。如信息安全管理員、數據庫管理員等,應配備至少兩人,且互為A、B角共同管理。2.2.3授權和審批 基本要求:
(一)應根據各部門和崗位的職責明確授權審批部門和審批人。
(二)應針對系統投入運行、網絡系統投入、系統變更、重要操作和重要資源的訪問等關鍵活動建立審批流程,由責任人審批后方可進行,對重要活動應建立逐級審批制度。
(三)應記錄審批過程并保存審批文檔。增強要求:
應每年審查審批事項,及時更新需授權和審批的項目、審批的部門和審批人等信息。2.2.4溝通與合作 基本要求:
(一)應加強各部門、各崗位之間以及信息安全職能部門內部的合作與溝通。
(二)應加強與同業機構、通訊服務商及監管部門的合作與溝通。增強要求:
(一)在信息安全管理部門應定期召開各職能部門、各崗位人員參加的協調會議,共同協作處理信息安全問題。
(二)應加強與供應商、業界專家、專業的安全公司、安全組織的合作與溝通。2.3人員管理
征信機構應加強人員安全管理,明確不同崗位的職責,規范人員錄用、離崗、考核和培訓等工作。2.3.1安全主管 基本要求:
(一)應派具有較高計算機水平、業務能力和法律素養的人員擔任安全主管。
(二)安全主管可由信息安全管理部門的相關領導擔任,也可指定專人擔任,主要履行以下職責:
1、組織落實監管部門信息安全相關管理規定和本機構信息安全保障工作。
2、將征信機構信息安全領導小組討論形成的安全決策,分解為安全任務部署落實。
3、對信息化建設中的安全建設方案、安全技術方案或其他安全方案進行審批。
4、對征信機構內部其他信息安全相關管理事項進行審批。
(三)安全主管調崗位時。應辦理交接手續,并履行其調離后的保密義務。增強要求:
安全主管應加強信息安全知識的學習和技能掌握,及時關注國內外信息安全動態,為加強和改進本機構的信息安全管理工作提供合理化建議。2.3.2信息安全管理員 基本要求:
(一)應派具有較高計算機水平、業務能力和法律素養的人員擔任信息安全管理員。
(二)信息安全管理員每年至少進行一次信息安全方面的技術和業務培訓。
(三)信息安全管理員應履行以下職責:
1、在安全主管的指導下,具體落實各項安全管理工作,并協調各部門計算機安全員開展工作。
2、在安全主管的指導下,組織相關人員審核本機構信息化建設項目中的安全方案,組織實施安全項目建設、維護、管理信息安全專用設施。
3、在計算機系統應用開發、技術方案設計和實施、集成等工作中提出安全技術方案并組織實施。
4、負責本機構計算機系統部署上線前的安全自測試方案的審核。
5、定期檢查網絡和征信系統的安全運行狀況,組織檢查運行操作、備份、機房環境與文檔等安全管理情況,發現問題,及時通報和預警,并提出整改意見,統計分析和協調處置信息安全事件。
6、定期組織信息安全宣傳教育活動,與相關部門配合開展信息安全檢查,(四)信息安全管理員調離崗位時,應辦理交接手續,并履行其調離后的保密義務。增強要求:
信息安全管理員應增加信息安全知識學習和技能掌握,及時關注國內外信息安全動態,為貫徹落實本機構的信息安全策略和方案提出合理化建議。2.3.3部門計算機安全員 基本要求:
(一)各部門的計算機安全員應由較熟悉計算機知識的人員擔,并報信息安全管理部備案,如有變更應及時通報信息安全管理部門。
(二)部門計算機安全員因積極配合信息安全管理員的工作,各部門應優先選派部門計算機安全員參加信息安全技術培訓。
(三)部門計算機安全員應履行以下職責:
1、負責配合信息安全管理部完成本部門計算機病毒防治、補丁升級、非法外聯防范,系統故障應急處理、移動存介質管控等工作。
2、全面負責本部門的信息安全管理工作。負責提出本部門的信息安全保障需求,及時與信息安全管理部門溝通本部門信息安全情況,做好信息安全通報工作,發現情況及時向信息安全管理部門報告,3、負責本部門相關文檔資料的安全管理工作。以及本部門國際互聯網、征信系統網絡的使用和計入安全管理,組織開展本部門信息安全自查,協助信息安全管理部門完成本機構的信息安全檢查工作。
(四)部門計算機安全員調離崗位時,辦理交接手續,并履行其調離后的保密義務。增強要求:
部門計算機安全員每年至少參加一次信息安全培訓,積極配合信息安全管理員做好本部門的信息安全管理和風險防范至少宣傳落實工作。2.2.4技術支持人員 基本要求:
(一)內部技術人員(本機構正式員工,負責參加與征信機構機房環境、網路、計算機系統等建設、運行、維護人員,若系統管理員、數據庫管理員等)在落實征信系統建設和日產維護工作過程中,履行以下職責:
1、嚴格遵守本機構各項安全保密規定和征信系統安全管理相關制度。
2、嚴格權限訪問,未經業務部門書面授權和本部門領導批準,不得擅自修改征信系統應用設置或修改系統生成的任何業務數據。
3、檢測和控制機房、網絡、安全設備、計算機系統的安全運行狀況,定期進行風險評估、應急演練,發現安全隱患或故障及時報告安全主管、信息安全管理員、并及時響應和處置。
(二)外部技術人員(非本機構人員)應履行服務外包合同(協議)中的各項安全承諾,在提供技術服務期間,嚴格遵守征信機構相關安全規定與操作規程。增強要求:
外部技術支持人員未經業務部門書面授權和所在部門領導批準,不得擅自接觸、查看或修改修改征信系統的應用設置或相關業務數據等,確需接觸、查看或修改時,須取得業務部門書面授權和所在部門領導批準,并在內部技術人員在場陪同下,方可進行。2.2.5業務操作人員 基本要求:
(一)業務操作人員(指征信機構內部直接使用征信系統進行業務處理的業務部門工作人員,包括業務管理員、一般業務操作員)應履行以下職責:
1、嚴格按照征信機構相關業務規程操作、使用征信系統及相關數據,嚴禁各種違規操作。
2、嚴格按照征信機構信息安全管理相關規定操作、使用征信系統的業務數據,防止征信信息外泄。
3、妥善保管好征信系統的賬戶和密碼,并按要求定期更換密碼,禁止將賬戶和密碼提供給他人使用。
4、發現征信系統出現異常及時向部門計算機安全員報告。
5、定期清理業務操作終端業務數據,不得在業務操作終端上安裝與支付業務無關的計算機軟件和硬件,不得擅自修改征信系統的運行環境參數。
(二)業務操作按照“權限分設、互相制約”原則,嚴格進行操作角色劃分和授權管理,技術支持人員不得兼任業務操作人員。增加要求:
業務操作人員應實現A、B角管理。2.2.6一般計算機用戶 基本要求:
(一)一般計算機用戶(指征信機構內部使用接入征信系統網絡的計算機及外設的所有人員)應履行以下職責:
1、及時安裝計算機病毒防治軟件和客戶端防護軟件,按規定使用移動存儲介質,自覺接受部門計算機安全員的指導與管理。
2、不得安裝與工作無關的計算機軟件和硬件,不得將征信系統相關計算機擅自接入未經授權的網絡。
(二)未經信息安全管理部門批準和檢測的計算機及外設不得接入征信系統網絡。增強要求:
1、一般計算機用戶不得私自改變計算機用途。
2、一般計算機用戶系統應統一安裝、統一升級及更新計算機病毒防治軟件。
2.4系統建設管理
2.4.1系統頂級 基本要求:
(一)應明確信息系統的邊界和安全保護等級。
(二)應應以書面形式說明信息系統確定為某個安全保護等級的方法和理由。增強要求:
應組織相關部門和有關安全技術專家對信息系統定級結果的合理性和正確性進行論證和審定。2.4.2安全方案設計 基本要求:
(一)應根據征信系統的安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施。
(二)應以書面形式描述對征信系統的安全保護要求、策略和措施等內容,形成系統的安全方案。
(三)對安全方案進行細化,形成能指導征信系統安全建設、安全產品采購和使用的詳細設計方案。
(四)應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定,并且經過征信機構相關領導批準后,正式組織實施。增強要求:
(一)應制定和授權專門的部門對征信系統的安全建設進行總體規劃,制定近期和遠期的安全建設工作計劃。
(二)應統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案,并形成配套文件。
(三)應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案等相關配套文件的合理性和正確性進行論證和審定,并且經過征信機構相關領導批準后,正式組織實施。
(四)應定期調整和修訂總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件。2.4.3安全產品采購
第三篇:征信信息安全管理工作方案
xxx有限責任公司
關于加強征信信息安全管理的工作方案
一、指導思想
為貫徹落實銀發〔2018〕102號《中國人民銀行關于進一步加強征信信息安全管理的通知》的文件精神,進一步增強征信信息安全意識、加強征信信息安全管理,切實保護信息主體合法權益,提升人民群眾在征信領域的幸福感和安全感,切實防范違規查詢和非法出售征信信息等行為的發生。我公司以“重規范、保安全”為工作理念,強化征信信息安全管理意識,明晰征信信息安全主體責任,完善征信內控問責機制,完備征信業務和征信信息安全操控流程,建立健全征信信息異議事件上報處理機制與安全事件應急處置機制。嚴防征信信息泄露風險,堅決維護客戶征信信息安全,主動自覺加強我公司征信信息安全管理工作的部署和協調。
二、總體目標
1、加強征信管理,明確權責關系,提高征信人員思想認識。要清醒認識當前征信信息安全面臨的嚴峻形勢,切實增強征信信息安全管理意識。按照“分級管理、逐級負責”和“誰主管誰負責、誰使用誰負責”的原則,明確領導層中分管征信工作的責任關系。
2、加強征信培訓,提高征信人員業務水平。熟練掌握征信業務操作流程,提高征信信息安全管理水平。對征信各級管理人員和從業人員進行全員征信合規性教育培訓,牢牢守住不發生征信信息安全風險的底線。
3、加強異議處理,提高異議回復質量。分級建立征信用戶查詢操作日核查機制,完善異常查詢監控、處置與報告機制,優化和調整征信查詢日核查與實時監控指標,不斷提高本公司自查與自控的能力。
4、完善征信內控制度及問責制度,提高安全管理水平。結合自身情況對自身的內控制度及問責制度進行全面自建自查,查漏補缺、,補齊短板。
5、加強征信自糾自查,提高制度執行力。本公司將征信管理工作納入常規管理,按規定執行查詢操作、檔案管理、信用報告使用、異議處理、安全管理等問題,明確人員責任,加大處罰力度,將相關制度落到實處,切實防范征信信息泄露風險。
三、組織領導及工作任務
為確保征信信息安全管理工作順利推進,由征信信息安全工作領導小組組長為第一責任人,副組長為直接責任人,組員由征信錄入人員及征信查詢人員組成。
1、小組組長負責全面部署此次工作,并督查工作進度。第一,保證公司關于征信合規與信息安全內控制度及問責制度有效、全面且具備可執行性;
第二,明確征信信息安全工作領導小組成員崗位職責; 第三,建立征信合規與信息安全自查自糾制度; 第四,制定征信信息安全事件應急處理方案。
將上述四項制度及方案整理成文,在小組內部研討學習,并監督落實情況。
2、小組副組長負責分配任務及推進工作,并組織組員學習領會中國人民銀行銀發〔2018〕102號文件精神。根據公司實際情況,負責本公司征信信息安全內部控制系統的運行、修訂和維護工作。
落實征信信息安全問責制度及自查自糾制度的實施,并組織工作小組學習征信信息安全事件應急處置方案。負責應對各種征信合規與信息安全相關問題,必要時可上報組長,以及時準確解決相關問題。
3、小組成員中,征信錄入人員及征信查詢人員應全面領會征信崗位職責,明確征信信息安全內控制度及問責制度相關要求,合規合法開展征信工作。
四、工作措施
1、加強公司內部對征信管理重要性和必要性的認識,明確分配權責關系,提高小組全員重視度,切實加強小組成員對征信信息安全管理意識。
第一,由副組長認真研讀銀發〔2018〕102號文件,并梳理、提煉文件精神,組織全小組成員學習,并以學習報告的方式驗收學習成果,確保文件精神深入人心,并可以指導日后征信信息安全工作的順利推進。
第二,確保公司內部訂立的征信安全相關崗位職責、內控制度和問責制度行之有效、切實落地。組長和副組長分級管理、逐級負責,小組成員誰使用誰負責。
第三,小組全員凝心聚力,確保征信信息安全管理工作順利推進。
2、強化小組成員征信錄入及查詢培訓,確保征信人員業務水平到位。
第一,要求小組成員熟練掌握征信業務操作流程,提高征信信息安全管理水平。
第二,通過定期檢查與不定期抽查方式考核征信錄入人員與征信查詢人員業務水平,并納入公司考核制度,以敦促小組成員盡職盡責。
第三,對征信各級管理人員和從業人員進行全員征信合規性教育,提高征信工作人員思想覺悟,牢牢守住不發生征信信息安全風險的底線。
3、設立征信異常查詢自查機制,妥善辦理異議與投訴,設置異議處理流程及制度,提高異議回復與處理質量。優化和調整征信查詢日核查與實時監控指標,不斷提高本公司自查與自控的能力。
第一,將異議處理職責納入小組成員崗位職責,切實達到責任到人,有責可依。并將異議處理結果納入問責機制,以期妥善處理異議及投訴。
第二,嚴格遵守異議處理事件,規范異議處理流程,按規定出具相關文書,做好異議申請、處理資料的保管、歸檔。
第三,強化投訴辦理,規范投訴流程,及時辦理信息主體投訴,提高信息主體的滿意度。第四,以異議和投訴為重要線索,對可能涉及的征信信息安全風險事件及時進行全面排查,及時發現問題和排除隱患。
4、不斷完善征信內控制度及問責制度,以提高安全管理水平為目標,審視自身情況,對公司征信信息安全相關內控制度及問責制度進行由內到外、由表及里地自查自修,查找紕漏,補充缺口,健全制度體系,確保制度層次的穩健性和系統化。
第一,建立健全征信內控制度及問責制度,并及時向人民銀行報備制度變更情況。
第二,建立征信信息安全情況報告制度。每月5日前向市人民銀行報送異常查詢、違規查詢、非法提供、違規使用、信用報告泄露等征信信息安全情況統計表。及時未發生征信信息安全風險事件,亦采取玲報告制度。
第三,建立征信合規與信息安全自查自糾制度及報告制度。建立分級監控、專項核查的工作機制,按照征信內控制度的規定,對日常監測發現的風險線索以及異常查詢線索,與對應的信貸業務進行逐筆核實,從授權、審核、查詢、使用、存儲等各個環節梳理是否存在征信違規風險隱患。按季度開展內部征信合規和信息安全自查自糾,并將自查自糾情況向人民銀行書面報告。
5、不斷加強本公司征信信息安全的自糾自查能力,提高全體小組成員的制度執行力,加大違反制度的懲罰力度。
第一,切實將征信管理工作納入公司日常考核管理。
第二,按規定執行查詢操作、檔案管理、信用報告使用、異議處理、安全管理等問題,明確人員責任,加大處罰力度,將相關制度落到實處,切實防范征信信息泄露風險。
五、工作要求
1、統一認識,提高認識。統一全體小組成員的思想認識,深刻把握開展征信信息安全管理的重要意義,深刻理解銀發〔2018〕102號文件的精神實質,強化全員的能動意識,人人明確崗位責任制,激發全員參與強化征信信息安全管理工作的積極性,主動性和創造性。
2、抓住重點,解決問題。針對文件精神、內控制度、問責制度、崗位職責、自查制度、應急機制和異議處理機制等內容和要求,進一步結合公司加強征信信息安全管理方面的需要,在小組內全面系統地開展自我診斷工作,找準導致公司產生征信信息安全風險的主要問題,在深入實施觀察,充分論證的基礎上,重點攻關,狠抓落實,確保客戶信息得到有效保護,做好新時代征信信息安全維護工作,切實保護客戶的合法權益,為提升人民群眾在征信領域的幸福感和安全感不懈努力。
3、明確責任,抓好落實。細化工作任務、明確責任、強化考評,從嚴管理,全面落實各項制度規章及崗位職責,推動征信信息安全管理工作地深入開展,確保征信信息安全工作取得實效。
4、有序推進,合理安排。要集中力量解決征信信息安全工作中的瓶頸和主要矛盾,優先解決緊迫的、急的、需要快速處理的問題,對于長期的問題要制訂出長期的解決措施,形成短、中、長兼顧,立體式的有序推進機制。在市人民銀行的正確引導下,在完備的內控制度的有力制約下,為我國征信信息系統不斷趨于完善添磚加瓦。
5、固化成果,不斷進步。及時總結提煉征信信息安全管理工作經驗,促進工作創新成果的有效轉化,以執行制度、貫徹精神的行動理念保障工作成果,以完善標準、修訂制度的方式方法固化工作成果,以服從引導、積極配合的實際行動顯現工作成果。
我公司征信信息安全工作領導小組將嚴格執行本工作方案,落實關于加強征信信息安全管理的各項方針要求,積極配合市人民銀行的相關工作,高度重視此次征信信息安全管理工作。領會并掌握文件精神;修訂并完善自身制度;具備并提升工作自覺性;認識并強化溝通交流;建立并完善審核報送機制。為提升人民群眾在征信領域的幸福感和安全感做出應有貢獻!
法定代表人:
xxx有限責任公司 2018年5月15日
第四篇:安全監理實施細
重慶市園博園巴渝園工程
安 全 監 理 實 施 細 則
重慶聯盛建設項目管理有限公司
園博園項目監理部
一、安全監理的依據:
1.《建筑工程安全生產管理條例》; 2.已批準的《監理規劃》; 3.施工組織設計。
二、安全監理的具體工作:
1.嚴格執行《建筑工程安全生產管理條例》,貫徹執行國家現行的安全生產的法律、法規,建設行政主管部門的安全生產的規章制度和建設工程強制性標準;
2.督促施工單位落實安全生產的組織保證體系,建立健全安全生產責任制; 3.督促施工單位對工人進行安全生產教育及分部分項工程的安全技術交底;
4.審核施工方案及安全技術措施;
5.檢查并督促施工單位,按照建筑施工安全技術標準和規范要求,落實分部、分項工程或各工序的安全防護措施;
6.監督檢查施工現場的消防工作、冬季防寒、夏季防暑、文明施工、衛生防疫等各項工作;
7.進行質量安全綜合檢查。發現違章冒險作業的要責令其停止作業,發現安全隱患的應要求施工單位整改,情況嚴重的,應責令停工整改并及時報告建設單位;
8.施工單位拒不整改或者不停止施工的,監理人員應及時向建設行政主管部門報告。
三、施工階段安全監理的程序
1.審查施工單位的有關安全生產的文件: ⑴《營業執照》; ⑵《施工許可證》; ⑶《安全資質證書》; ⑷《建筑施工安全監督書》;
⑸ 安全生產管理機構的設置及安全專業人員的配備等; ⑹ 安全生產責任制及管理體系; ⑺ 安全生產規章制度;
⑻ 特種作業人員的上崗證及管理情況; ⑼ 各工種的安全生產操作規程;
⑽ 主要施工機械、設備的技術性能及安全條件。
2.審核施工單位的安全資質和證明文件(總包單位要統一管理分包單位的安全生產工作);
3.審查施工單位的施工組織設計中的安全技術措施或者專項施工方案: ⑴ 審核施工組織設計中安全技術措施的編寫、審批: ① 安全技術措施應由施工企業工程技術人員編寫;
② 安全技術措施應由施工企業技術、質量、安全、工會、設備等有關部門進行聯合會審;
③ 安全技術措施應由具有法人資格的施工企業技術負責人批準; ④ 安全技術措施應由施工企業報建設單位審批認可;
⑤ 安全技術措施變更或修改時,應按原程序由原編制審批人員批準。⑵ 審核施工組織設計中安全技術措施或專項施工方案是否符合工程建設強制性標準: ① 土方工程:
A 地上障礙物的防護措施是否齊全完整; B 地下隱蔽物的保護措施是否齊全完整; C 相臨建筑物的保護措施是否齊全完整; D 場區的排水防洪措施是否齊全完整;
E 土方開挖時的施工組織及施工機械的安全生產措施是否齊全完整; F 基坑的邊坡的穩定支護措施和計算書是否齊全完整; G 基坑四周的安全防護措施是否齊全完整。② 腳手架:
A 腳手架設計方案(圖)是否齊全完整可行; B 腳手架設計驗算書是否正確齊全完整; C 腳手架施工方案及驗收方案是否齊全完整; D 腳手架使用安全措施是否齊全完整; E 腳手架拆除方案是否齊全完整。③ 模板施工;
A 模板結構設計計算書的荷載取值是否符合工程實際,計算方法是否正確; B 模板設計應包過支撐系統自身及支撐模板的樓、地面承受能力的強度等; C 模板設計圖包過結構構件大樣及支撐系統體系,連接件等的設計是否安全合理,圖紙是否齊全; D 模板設計中安全措施是否周全。④高處作業:
A 臨邊作業的防護措施是否齊全完整; B 洞口作業的防護措施是否齊全完整; C 懸空作業的安全防護措施是否齊全完整。⑤ 交叉作業:
A 交叉作業時的安全防護措施是否齊全完整; B 安全防護棚的設置是否滿足安全要求; C 安全防護棚的搭設方案是否完整齊全。⑥ 臨時用電:
A 電源的進線、總配電箱的裝設位置和線路走向是否合理; B 負荷計算是否正確完整;
C 選擇的導線截面和電氣設備的類型規格是否正確; D 電氣平面圖、接線系統圖是否正確完整; E 施工用電是否采用TN-S接零保護系統;
F 是否實行“一機一閘”制,是否滿足分級分段漏電保護; G 照明用電措施是否滿足安全要求。⑦安全文明管理:
檢查現場掛牌制度、封閉管理制度、現場圍擋措施、總平面布置、現場宿舍、生活設施、保健急救、垃圾污水、放火、宣傳等安全文明施工措施是否符合安全文明施工的要求。
4.審核安全管理體系和安全專業管理人員資格;
5.審核新工藝、新技術、新材料、新結構的使用安全技術方案及安全措施; 6.審核安全設施和施工機械、設備的安全控制措施; 施工單位應提供安全設施的產地、廠址以及出廠合格證書 7.嚴格依照法律、法規和工程建設強制性標準實施監理;
8.現場監督與檢查,發現安全事故隱患時及時下達監理通知,要求施工單位整改或暫停施工:
① 日常現場跟蹤監理,根據工程進展情況,監理人員對各工序安全情況進行跟蹤監督、現場檢查、驗證施工人員是否按照安全技術防范措施和操作規程操作施工,發現安全隱患,及時下達監理通知,責令施工企業整改; ② 對主要結構、關鍵部位的安全狀況,除日常跟蹤檢查外,視施工情況,必要時可做抽檢和檢測工作;
③ 每日將安全檢查情況記錄在《監理日記》;
④ 及時與建設行政主管部門進行溝通,匯報施工現場安全情況,必要時,以書面形式匯報,并作好匯報記錄。
9.施工單位拒不整改或者不停止施工,及時向建設單位和建設行政主管部門報告。
四、如遇到下列情況,監理人員要直接下達暫停施工令,并及時向項目總監和建設單位匯報:
1.施工中出現安全異常,經提出后,施工單位未采取改進措施或改進措施不符合要求時;
2.對已發生的工程事故未進行有效處理而繼續作業時; 3.安全措施未經自檢而擅自使用時; 4.擅自變更設計圖紙進行施工時; 5.使用沒有合格證明的材料或擅自替換、變更工程材料時; 6.未經安全資質審查的分包單位的施工人員進入施工現場施工時; 7.出現安全事故時。
2010年12月1日
第五篇:客戶征信信息管理制度
客戶征信信息管理制度
第1章
總則
第1條 為防止客戶征信信息泄露,確保信息完整和安全,科學、高效地保管和利用客戶征信信息,特制定本制度。
第2條 本制度適用于客戶征信信息相關人員的工作。
第2章 客戶征信信息歸檔
第3條 客戶開發專員每發展、接觸一個新客戶,均應及時在客戶征信信息專員處建立客戶檔案,客戶檔案應標準化、規范化。
第4條 客戶征信信息專員負責企業所有客戶征信信息、客戶征信信息報表的發送、收集、匯總、整理。
第5條 為方便查找,應為客戶檔案設置索引。
第6條 客戶檔案按風險控制部的要求分類擺放,按從左至右、自上而下的順序排列。第7條 客戶征信信息的載體(包括紙張、軟件等)應選用質量好、便于長期保管的材料。信息書寫應選用耐久性強、不易褪色的材料,如碳素墨水或藍黑墨水,避免使用圓珠筆、鉛筆等。
第3章 客戶征信信息報告
第8條 客戶征信信息專員對客戶征信信息進行分析、整理,編制客戶征信信息報告。第9條 其他部門若因工作需要,要求客戶征信信息專員提供有關客戶征信信息資料及定期統計報告的,須經風險控制部經理的審查同意,并經總經理批準。
第10條 客戶征信信息報告如有個別項需要修改時,應報總經理批準,由風險控制部備案,不必再辦理審批手續。
第11條 客戶征信信息專員編制的各種客戶征信信息資料報告必須根據實際業務工作需要,統一印刷、保管及發放。
第12條 為確保客戶征信信息報告中數據資料的正確性,客戶征信信息主管、風險控制部經理應對上報或分發的報告進行認真審查。
第4章 客戶檔案的檢查
第13條 每半年對客戶征信檔案的保管狀況進行一次全面檢查,做好檢查記錄。第14條 發現客戶征信檔案字跡變色或材料破損要及時修復。第15條 定期檢查客戶征信檔案的保管環境,防潮、防霉等工作一定要做好。
第5章 客戶征信信息的使用
第16條 建立客戶征信信息檔案查閱權限制度,未經許可,任何人不得隨意查閱客戶征信信息檔案。
第17條 查閱客戶征信信息檔案的具體規定如下。
1.由申請查閱者提交查閱申請,在申請中寫明查閱的對象、目的、理由、查閱人概況等情況。
2.由申請查閱者所在單位(部門)蓋章,負責人簽字。
3.由風險控制部對查閱申請進行審核,若理由充分、手續齊全,則予以批準。第18條 客戶征信信息資料安全的具體規定如下。
1.任何處室和個人不得以任何借口分散保管客戶征信資料和將客戶征信資料據為己有。
2.借閱者提交借閱申請,內容與查閱申請相似。
3.借閱申請由借閱者所在單位(部門)蓋章,負責人簽字。4.風險控制部門對借閱申請進行審核、批準。
第6章 客戶征信信息的保密
第19條 風險控制部各級管理人員和征信信息管理人員要相互配合,自覺遵守客戶征信信息保密制度。
第20條 凡屬“機密”、“絕密”的客戶資料,登記造冊時,必須在檢索工具備注欄寫上“機密”、“絕密”字樣,必須單獨存放、專人管理,其他人員未經許可不得查閱。
第21條 各類重要的文件、資料必須采取以下保密措施。
1.非經總經理、客戶征信信息主管或風險控制部門經理批準,不得復制和摘抄。2.其收發、傳遞和外出攜帶由指定人員負責,并采取必要的安全措施。
第22條 企業相關人員在對外交往與合作中如果需要提供客戶資料時,應事先獲得客戶征信信息主管和風險控制部經理的批準。
第23條 對保管期滿,失去保存價值的客戶征信資料要按規定銷毀,不得當作廢紙出售。第24條 客戶征信信息管理遵循“三不準”規定,其具體內容如下。1.不準在私人交往中泄露客戶征信信息。2.不準在公共場所談論客戶征信信息。
3.不準在普通電話、明碼電報和私人通信中泄露客戶征信信息。第25條 企業工作人員發現客戶征信信息已經泄露或者可能泄露時,應當立即采取補救措施,并及時報告客戶征信信息主管及風險控制部經理。相關人員接到報告后,應立即處理。
第7章 附則
第26條 本制度由風險控制部負責解釋、修訂和補充。第27條 本制度呈報總經理審批后,自頒布之日起執行。
點擊咨詢 