征信机构信息安全规范
机构征信管理制度范本
一、总则第一条为加强本机构征信管理,规范征信业务操作,保障征信信息安全,防范征信风险,根据《征信业管理条例》及相关法律法规,制定本制度。
第二条本制度适用于本机构及其下属单位从事征信业务的员工。
第三条本制度遵循合法、合规、安全、高效的原则。
二、征信业务管理第四条征信业务操作人员应具备征信业务知识、职业道德和业务技能,经考核合格后方可上岗。
第五条征信业务操作人员应严格按照征信业务流程操作,确保征信数据的准确性、完整性和及时性。
第六条征信业务操作人员应妥善保管征信资料,不得泄露、篡改、损毁征信信息。
第七条征信业务操作人员应定期参加征信业务培训,提高业务水平。
第八条征信业务操作人员应主动接受上级和相关部门的监督和检查。
三、征信信息安全管理第九条本机构应建立健全征信信息安全管理制度,确保征信信息安全。
第十条征信信息存储、传输、处理和使用过程中,应采取加密、隔离等技术措施,防止信息泄露、篡改和损毁。
第十一条征信业务操作人员应遵守征信信息安全保密规定,不得将征信信息用于与征信业务无关的用途。
第十二条本机构应定期对征信信息安全进行检查,发现问题及时整改。
四、征信风险管理第十三条本机构应建立健全征信风险管理体系,防范征信风险。
第十四条征信业务操作人员应按照风险控制要求,对征信业务进行风险评估,制定相应的风险控制措施。
第十五条征信业务操作人员应定期对征信风险进行监测,发现风险隐患及时报告。
第十六条本机构应定期对征信风险管理体系进行评估,完善风险控制措施。
五、监督与检查第十七条本机构应设立征信管理部门,负责征信业务的监督与检查。
第十八条征信管理部门应定期对征信业务进行自查,发现问题及时整改。
第十九条征信管理部门应接受上级和相关部门的监督和检查。
六、附则第二十条本制度由本机构征信管理部门负责解释。
第二十一条本制度自发布之日起实施。
七、其他(一)本机构应建立健全征信业务档案,保存期限不少于5年。
(二)本机构应定期对征信业务进行统计分析,为决策提供依据。
PJCB-QC-XG-326:征信信息安全管理规定
征信信息安全管理规定第一章总则第一条目的为规范XX银行(以下简称“本行”)征信活动,增强征信信息安全管理意识,强化征信信息安全责任,依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》等法规,制定本规定。
第二条范围本规定明确了本行个人/企业信用信息基础数据库的安全管理。
第三条政策与原则(一)从事征信业务及相关活动,应当遵守法律法规,诚实守信,不得危害国家秘密,不得侵犯商业秘密和个人隐私。
(二)本行征信业务人员应当为在工作中知悉的信用信息保密。
第二章职责与权限第四条信贷管理部负责征信业务的管理和指导工作。
企业贷款、个人贷款、担保等范围的个人/企业征信系统各级用户的管理、信息查询和使用以及异议处理,指导错误数据修改等。
配合人民银行做好信用信息的数据核对、核查工作,指定专门人员负责个人信贷业务征信日常工作的开展。
对各支行征信相关人员每年培训一次征信业务知识。
第五条公司银行部、小微企业经营中心、个贷经营中心(以下简称经办业务部门)负责企业贷款、个人贷款、担保等范围的信用信息基础数据的采集和录入、信用信息的查询和使用、信用信息的异议处理核查、征信系统的安全管理等。
配合信贷管理部做好信贷客户的信用信息数据核对、核查等工作。
指定专门人员负责征信各项日常业务的开展。
第三章安全管理第六条本行征信工作各级负责人和征信业务人员要充分认识征信合规运作的严肃性、重要性、紧迫性,增强合规意识,加强征信合规操作,提升征信合规安全管理水平,确保依法合规开展征信业务。
第七条本行应当根据中国人民银行的有关规定,制定相关信用信息报送、查询、使用、异议处理、安全管理等方面的内部管理制度和操作规程,并报当地人民银行备案。
第八条定期向当地人民银行报送异常查询、违规查询、非法提供、违规使用、信用报告泄漏等征信信息安全情况统计表。
未发生征信信息安全风险事件的,采用零报告制度。
第九条本行于每月4日内上报上月征信信息安全情况统计表。
第十条定期对征信业务人员进行保密、业务、纪律培训,确保查询账号安全。
征信安全管理制度
征信安全管理制度第一章总则第一条为维护征信市场的公平竞争秩序,保护征信主体的合法权益,并保障征信信息的安全和完整,制定本制度。
第二条征信安全管理制度是征信机构依法履行征信业务,保障征信信息安全的行为准则,是征信机构内部管理的基本法规。
第三条征信安全管理制度的适用范围:适用于我国征信机构的管理层、员工及与征信机构有关的内部人员。
第四条征信安全管理制度内容包括但不限于征信信息的采集、存储、处理、查询、使用等环节的管理制度。
第二章征信信息的采集管理第五条征信机构在进行征信信息采集时,应遵循以下原则:(一)依法合规,严格遵循相关法律法规的规定;(二)真实准确,确保征信信息的真实性和准确性;(三)保密安全,严格保护征信信息的安全性和保密性。
第六条征信信息的采集应当采取多种方式,包括但不限于公开征信信息、关联方信息、公共资料信息等。
第七条征信机构应当建立完善的征信信息采集管理制度,明确征信信息采集的程序、责任人及监督机制。
第八条征信机构应当对征信信息采集过程中可能存在的风险进行评估,采取相应措施应对,确保征信信息采集的安全性和完整性。
第三章征信信息的存储管理第九条征信机构应当建立完善的征信信息存储管理制度,明确征信信息的存储方式、存储周期及安全策略。
第十条征信信息应当存储在安全可靠的存储设备中,确保征信信息的完整性和保密性。
第十一条征信机构应当定期对存储设备进行维护和巡检,确保设备的正常运行。
第四章征信信息的处理管理第十二条征信机构在进行征信信息处理时,应遵循以下原则:(一)依法合规,确保征信信息的合法性和规范性;(二)安全可靠,采取有效措施确保征信信息的安全性;(三)及时准确,确保征信信息的准确性和及时性。
第十三条征信机构应当建立完善的征信信息处理管理制度,明确征信信息的处理流程和权限分配。
第十四条征信机构应当对征信信息处理过程中可能存在的风险进行评估,采取相应措施应对,确保征信信息处理的安全性和可靠性。
征信信息安全实施细则
征信信息安全实施细则 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】信息安全实施细则第一章总则为加强征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法(暂行)》、《中国人民银行关于进一步加强征信信息安全管理的通知》等有关规定,结合实际,制定本细则。
第二条本细则所称征信信息安全,是指从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全。
第三条本细则所称征信系统,是指按人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为个人和企业提供信用报告查询服务的数据库系统。
第四条本细则所称借款人,是指向及辖内机构申请办理信贷业务的企(事)业法人、其他组织、个体工商户和自然人。
第五条本细则所称的担保人,是指为办理信贷业务的借款人提供担保的企(事)业法人、其他组织、个体工商户和自然人。
第六条本细则所称信贷业务,是指贷款(含委托贷款)、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公开授信等业务以及与其相关的担保业务。
第七条本细则所称客户信用信息,是指能够反映个人、企(事)业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企(事)业法人或其他组织信用状况的其他信息。
第二章部门职责第八条征信业务管理工作,实行统一领导、分工负责的原则。
第九条成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作。
领导小组由主管信贷领导担任组长,成员由信贷部组成。
领导小组办公室设置在信贷部。
第十条征信信息安全工作领导小组负责协调征信系统运行管理、查询使用和数据报送等工作;建立健全相关管理制度,指导、培训检查各社征信业务;对接收到的人民银行或上级机构反馈的错误数据及时交有关机构进行修改;开展不同层次、不同岗位的人员的征信培训工作;做好信用报告异议处理的协调与处理工作;做好征信系统用户管理工作,按照人民银行要求及时上报征信管理员、查询员,异议元,做好用户备案工作;管理好用信工作,杜绝泄露、出售等客户的征信报告。
征信数据保护与信息安全管理制度
征信数据保护与信息安全管理制度随着互联网和信息技术的迅速发展,个人信息保护问题日益引发广泛关注。
征信机构作为收集、整理和提供个人信用信息的组织,其数据的保护和信息安全管理至关重要。
为了确保征信数据的安全性和隐私性,征信机构需要建立和完善征信数据保护与信息安全管理制度。
首先,征信机构应建立健全的数据保护制度,包括收集、存储、处理和使用个人征信数据的规范。
这些规范应明确规定个人信息的收集范围、目的和用途,以及个人信息处理和使用的限制。
征信机构应遵循信息主体明确授权的原则,严格保护个人征信数据的完整性和保密性。
同时,征信机构应加强对数据相关操作人员的培训,提高其数据保护意识和技能,确保其遵守相关数据保护规定。
其次,征信机构应采取有效的技术手段保护征信数据的安全性。
包括但不限于加密技术、访问控制、安全审计等措施,以防止非法访问、篡改和泄露个人征信数据。
征信机构应建立健全的信息安全管理体系,定期进行安全风险评估和漏洞检测,及时修补系统漏洞和强化安全防护。
对于重要的征信数据,征信机构应备份和存储在安全可靠的地点,确保在数据丢失或灾难发生时能够及时恢复。
此外,征信机构还应加强对合作伙伴的管理,确保他们同样符合征信数据保护和信息安全管理的要求。
征信机构应与合作伙伴签订保密协议,约定保护个人征信数据的责任和义务,以及在数据泄露和安全事件发生时的应急处置措施。
同时,征信机构应定期审查合作伙伴的数据安全措施,确保其数据处理和存储的安全性。
另外,征信机构应加强与相关监管部门的沟通与合作,及时了解和适应法规和政策的变化。
征信机构应建立健全的内部监督机制,定期对数据保护和信息安全管理情况进行自查和评估,并配合相关部门的监督检查。
对于个人征信数据泄露和安全事件,征信机构应及时向相关主管部门和信息主体报告,并采取有效的措施进行应急处置和修复。
总之,征信数据保护与信息安全管理制度对于维护征信机构的声誉和用户信任至关重要。
征信机构应积极履行个人信息保护的法律责任,建立完善的数据保护制度和信息安全管理体系,加强与合作伙伴的合作,与监管部门保持紧密的沟通,以确保个人征信数据的安全性和隐私性。
企业征信信息安全管理制度
企业征信信息安全管理制度企业征信信息安全管理制度是一套系统性的规范,旨在保护企业征信系统中的客户信息和业务数据,并有效防止潜在的信息泄漏和数据风险。
同时,该制度也会确保企业在征信业务中依法合规运营,维护客户利益和社会秩序。
信息安全是当今互联网时代面临的一个重要挑战,企业征信机构作为信用评估和金融服务提供商,承载着大量客户的个人信息和财务数据。
因此,制定一套科学、完善的信息安全管理制度对于保障企业声誉和客户利益至关重要。
这篇文章将从以下几个方面详细描述企业征信信息安全管理制度的制定和实施步骤:第一步:制定管理制度的目标和原则。
制定管理制度的目标是实现信息安全管理,确保企业征信系统的稳定运行和客户数据的安全。
在制定目标时,应该明确信息安全的重要性,以及制度的合规性和可行性原则。
第二步:制定管理制度的组成部分。
企业征信信息安全管理制度主要由以下几个组成部分构成:风险评估,安全策略,安全技术措施,安全培训和意识提升等。
其中,风险评估是制定制度的基础,通过对系统中的潜在风险进行评估,确定后续的安全策略和技术措施。
第三步:制定信息安全管理流程。
信息安全管理流程是指为实施信息安全管理制度而制定的组织流程,主要包括:安全咨询与评审、安全目标与策略制定、安全配置与控制、风险评估与管理、安全培训与检查等环节。
通过制定详细的流程,能够确保信息安全管理制度的有效实施和监控。
第四步:制定技术安全规范和措施。
技术安全规范和措施是为了防范和抵御各类网络攻击而制定的。
包括建立防火墙、安全认证、权限管理、数据备份与恢复等技术措施。
制定技术安全规范和措施的过程中,应根据企业征信系统的实际情况,结合最新的网络安全技术和经验,确保数据和系统的安全。
第五步:制定安全培训和意识提升计划。
安全培训和意识提升计划是为了加强员工对信息安全的认知和理解。
通过定期的安全培训,使员工了解企业征信信息安全管理制度的相关规定和要求,掌握信息安全方面的实际操作技能,提高整体信息安全水平。
征信机构信息安全规范
征信机构信息安全规范一、总则1.1标准适用范围标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。
接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。
征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
征信查询机规章制度
征信查询机规章制度第一章总则第一条为加强征信查询机构管理,规范征信查询行为,保护个人信息安全,维护公平交易秩序,根据《中华人民共和国个人信息保护法》和《中华人民共和国征信业管理条例》,制定本规章制度。
第二条征信查询机构应当依法开展征信查询服务,确保查询行为合法、规范、安全、及时、准确。
任何组织和个人未经授权不得进行信用查询。
第三条征信查询机构应当加强员工教育和培训,提高员工的法律意识和业务素质,确保员工遵守相关法律法规和规章制度。
第四条征信查询机构应当建立健全信息安全管理体系,加强信息安全保护,防范信息泄露风险,确保客户信息安全。
第二章查询权限管理第五条征信查询机构应当依法获取客户的查询授权,未经客户同意不得查询其个人信用信息。
第六条征信查询机构应当对查询权限进行分类管理,确保不同级别的查询人员只能查询相应权限级别的信息。
第七条征信查询机构应当建立客户身份核验机制,对查询请求的身份进行核实,确保查询行为合法。
第八条征信查询机构应当建立查询日志记录制度,记录查询人员、查询时间、查询内容等信息,确保查询行为可追溯。
第三章信息查询规范第九条征信查询机构应当依法提供真实准确的信用信息,不得隐瞒、篡改、造假。
第十条征信查询机构应当保护查询结果的机密性,不得将查询结果泄露给未经授权的第三方。
第十一条征信查询机构应当及时更新信用信息,并及时通知客户查询结果。
第四章违规处罚第十二条对违反本规章制度的行为,征信查询机构应当给予相应的处罚,包括口头警告、书面警告、罚款等。
第十三条对严重违规行为,征信查询机构应当立即停止相关查询权限,取消相关人员的资格,并报相关部门处理。
第五章附则第十四条本规章制度由征信查询机构负责解释。
第十五条本规章制度自颁布之日起有效。
以上是征信查询机构规章制度的内容,征信查询机构应当严格遵守规章制度,依法开展工作,确保查询行为合法、规范、安全。
任何组织和个人未经授权不得进行信用查询,违法者将受到相应处罚。
征信机构信息系统安全及内控机制
征信机构信息系统安全及内控机制征信机构是金融行业中重要的一环,负责收集、整理和提供个人和企业的信用信息。
作为信用评估和风险管理的重要依据,征信机构的信息系统安全及内控机制至关重要。
以下是关于征信机构信息系统安全及内控机制的论述,共计1200字以上。
一、征信机构信息系统安全(一)信息系统安全的重要性信息系统安全对于征信机构而言至关重要,主要体现在以下几个方面:1.保护客户信息安全:征信机构收集和持有大量的个人和企业的信用信息,这些信息如果被未经授权的人员获取或利用,将对客户的权益和信用安全产生严重影响。
2.防范外部攻击和数据泄露:征信机构的信息系统往往面临来自黑客、病毒等外部威胁,为了防止这些威胁对系统和数据造成损害,需要建立有效的安全机制。
3.提高信息系统的可信度:征信机构的信用评估结果将对金融机构、企业和个人的重大决策产生影响,因此信息系统的安全性能直接关系到评估结果的可信度。
(二)信息系统安全的保障措施为了确保征信机构的信息系统安全,以下是几个常见的保障措施:1.完善的安全策略和制度:征信机构需要制定和实施完善的安全策略和制度,包括密码管理、权限控制、防火墙设置、网络流量监控等,确保系统操作的合法性和安全性。
2.强化系统的防护能力:采用各种先进的安全技术和措施,如反病毒软件、入侵检测系统、加密通信等,有效防范和抵御外部攻击。
3.数据备份和灾难恢复机制:建立完善的数据备份和灾难恢复机制,以应对出现系统故障、数据丢失或人为破坏等情况,保证数据的安全和业务的持续运行。
4.安全培训和意识教育:加强员工的信息安全培训和意识教育,提高他们对信息系统安全的重要性的认识和理解,避免发生内部员工疏忽或不当操作导致的信息泄露等问题。
二、征信机构内控机制(一)内控机制的定义与目的内控机制是指企业为实现保护企业财产安全、提高经营效率、完善信息披露和合规性控制等目标而制定和实施的各项管理制度和工作程序。
对于征信机构而言,内控机制的目的主要包括以下几个方面:1.确保准确和可靠的信用信息:通过建立内控机制,征信机构能够更好地管理和核实所收集的信用信息,保证数据的准确性和真实性,提高信用评估的可靠度。
征信信息安全内控制度
一、总则为加强征信信息安全管理工作,确保征信信息的安全、准确、完整,根据《中华人民共和国征信业管理条例》及相关法律法规,结合我单位实际情况,制定本制度。
二、适用范围本制度适用于我单位所有从事征信信息采集、处理、存储、使用、传输、披露等工作的部门和个人。
三、征信信息安全原则1. 隐私保护原则:征信信息采集、使用、披露等活动,必须尊重个人隐私,未经授权不得泄露个人信息。
2. 完整性原则:征信信息应保持完整、准确,不得篡改、伪造、删除。
3. 可用性原则:征信信息应确保在合理期限内可供查询、使用。
4. 安全性原则:征信信息系统应具备安全防护措施,防止信息泄露、损毁、篡改。
四、征信信息安全组织机构1. 成立征信信息安全领导小组,负责统筹协调征信信息安全工作。
2. 设立征信信息安全管理部门,负责征信信息安全制度的制定、实施、监督和检查。
3. 各部门设立征信信息安全负责人,负责本部门征信信息安全的日常管理工作。
五、征信信息安全管理制度1. 信息安全培训制度:对从事征信信息工作的员工进行信息安全培训,提高员工信息安全意识。
2. 信息安全责任制度:明确各部门、各岗位在征信信息安全工作中的职责和责任。
3. 信息安全审计制度:定期对征信信息系统进行安全审计,确保系统安全可靠。
4. 信息安全风险评估制度:定期对征信信息系统进行风险评估,及时发现和消除安全隐患。
5. 信息安全事件报告制度:建立健全信息安全事件报告机制,确保信息安全事件得到及时处理。
6. 信息安全应急预案:制定信息安全应急预案,确保在发生信息安全事件时能够迅速应对。
六、征信信息安全操作规范1. 信息采集:严格按照法律法规和业务需求采集征信信息,不得非法收集、使用个人信息。
2. 信息存储:对征信信息进行分类存储,确保信息的安全性和保密性。
3. 信息传输:采用加密技术传输征信信息,防止信息泄露。
4. 信息使用:遵循授权原则,严格按照授权范围使用征信信息。
5. 信息披露:严格遵守法律法规,未经授权不得披露征信信息。
征信合规安全管理制度
一、总则为加强征信合规与信息安全管理工作,确保征信数据的安全、准确、完整,防止征信信息泄露、滥用和误用,根据《征信业管理条例》、《征信业务管理办法》等法律法规,结合本行实际情况,制定本制度。
二、征信合规管理1. 征信从业人员应严格遵守国家法律法规,遵循征信业务规范,诚信经营,确保征信数据的真实性、准确性、完整性和及时性。
2. 征信从业人员应加强征信业务知识学习,提高业务水平,确保在征信工作中正确执行法律法规和业务规定。
3. 征信从业人员应严格执行征信查询、使用、保存、处理和销毁等操作规程,确保征信数据的安全、合规。
4. 征信从业人员应加强征信信息保密,不得泄露、传播征信信息,不得利用征信信息谋取不正当利益。
5. 征信从业人员应积极配合监管部门和审计部门开展征信合规检查,及时整改发现的问题。
三、信息安全管理制度1. 信息安全组织架构(1)成立征信信息安全工作领导小组,负责统筹协调征信信息安全管理工作。
(2)设立信息安全管理部门,负责征信信息安全的日常管理、监督和检查。
2. 信息安全管理制度(1)制定征信信息安全管理制度,明确信息安全责任、权限和操作规程。
(2)建立健全征信信息安全管理流程,确保征信信息在采集、存储、传输、使用、处理和销毁等环节的安全。
(3)制定征信信息保密制度,明确保密范围、保密措施和责任。
3. 信息安全防护措施(1)采用物理隔离、网络安全、数据加密等技术手段,确保征信信息的安全。
(2)定期对征信信息系统进行安全检查,及时发现和修复安全隐患。
(3)对征信信息系统进行备份,确保数据安全。
4. 信息安全事件处理(1)建立信息安全事件报告制度,确保信息安全事件得到及时处理。
(2)对信息安全事件进行调查、分析、评估和整改,防止类似事件再次发生。
四、培训与宣传1. 定期组织征信从业人员进行征信合规与信息安全培训,提高其合规意识和安全意识。
2. 通过内部刊物、网络平台等多种渠道,宣传征信合规与信息安全知识,营造良好的信息安全氛围。
征信业务安全管理制度
第一章总则第一条为加强征信业务安全管理,确保征信数据安全、准确、完整,保护个人和企业的合法权益,根据《中华人民共和国征信业管理条例》、《征信业务管理办法》等法律法规,制定本制度。
第二条本制度适用于从事征信业务的机构(以下简称“征信机构”),包括但不限于征信公司、信用评级机构、信息咨询服务机构等。
第三条征信业务安全管理应遵循以下原则:(一)合法性原则:征信机构应依法开展征信业务,遵守国家法律法规和行业规范。
(二)真实性原则:征信机构应确保征信数据的真实性、准确性和完整性。
(三)安全性原则:征信机构应采取有效措施,确保征信数据的安全性和保密性。
(四)责任原则:征信机构应明确各部门、岗位的职责,确保征信业务安全管理的落实。
第二章组织架构与职责第四条征信机构应设立征信业务安全管理领导小组,负责制定、修订和监督实施征信业务安全管理制度。
第五条征信业务安全管理领导小组的职责:(一)组织制定征信业务安全管理制度,并组织实施。
(二)审核征信业务安全管理制度执行情况,及时发现和解决安全隐患。
(三)组织开展征信业务安全培训和考核。
(四)监督征信机构内部审计、风险评估等工作。
第六条征信机构应设立征信业务安全管理部门,负责征信业务安全管理的具体工作。
第七条征信业务安全管理部门的职责:(一)制定征信业务安全管理制度,并组织实施。
(二)监督征信业务安全管理制度执行情况,及时发现和解决安全隐患。
(三)负责征信数据安全管理,包括数据采集、存储、使用、传输和销毁等环节。
(四)组织开展征信业务安全培训和考核。
第三章征信数据安全管理第八条征信机构应建立健全征信数据管理制度,确保征信数据的真实性、准确性和完整性。
第九条征信数据采集、使用、存储、传输和销毁等环节应遵循以下原则:(一)合法合规:征信机构应依法采集、使用、存储、传输和销毁征信数据。
(二)最小化原则:征信机构应仅采集、使用、存储、传输和销毁与征信业务相关的必要数据。
(三)保密性原则:征信机构应采取有效措施,确保征信数据的保密性。
征信安全规范化管理制度
一、总则为保障征信信息安全,防止信息泄露、篡改和滥用,维护信息主体的合法权益,根据《中华人民共和国个人信息保护法》、《征信业管理条例》等法律法规,结合我国征信行业实际情况,制定本制度。
二、征信信息安全管理制度1. 信息收集与使用(1)征信机构在收集个人信息时,应明确告知信息主体收集目的、使用范围、保存期限等信息,并取得信息主体的同意。
(2)征信机构不得收集与征信目的无关的个人信息。
(3)征信机构使用个人信息时,应遵循合法、正当、必要的原则,不得超出收集时的目的和使用范围。
2. 信息存储与处理(1)征信机构应采用安全可靠的技术手段,对征信信息进行存储、处理和传输,确保信息不被泄露、篡改或滥用。
(2)征信机构应建立健全信息存储管理制度,对存储的信息进行分类、加密和访问控制。
(3)征信机构应定期对征信信息进行备份,确保信息在发生故障或事故时能够及时恢复。
3. 信息共享与披露(1)征信机构应严格按照法律法规规定,与信息提供者、信息使用者和测评机构共享征信信息。
(2)征信机构在披露征信信息时,应遵循合法、正当、必要的原则,不得泄露信息主体的个人信息。
(3)征信机构应建立健全信息共享与披露审批制度,对共享与披露的信息进行审核,确保信息真实、准确、完整。
4. 信息安全事件处理(1)征信机构应建立健全信息安全事件报告、调查、处理和通报制度。
(2)发生信息安全事件时,征信机构应及时采取应急措施,防止事件扩大,并按规定向有关部门报告。
(3)征信机构应配合有关部门对信息安全事件进行调查和处理。
三、人员安全管理1. 征信机构应建立健全人员管理制度,明确岗位职责,加强员工培训,提高员工信息安全意识。
2. 征信机构应对员工进行背景调查,确保员工具备良好的职业道德和业务素质。
3. 征信机构应加强员工权限管理,对员工操作权限进行限制,防止信息泄露。
四、监督检查1. 征信机构应定期对征信信息安全管理制度执行情况进行自查,确保制度落实到位。
征信基础信息系统安全管理制度
征信基础信息系统安全管理制度第一章总则第一条为了保障征信基础信息系统的安全性和稳定性,规范系统的使用和管理,提高信息安全运营水平,制定本制度。
第二条本制度适用于征信机构的征信基础信息系统管理及相关人员。
第三条征信基础信息系统应遵循“安全、合法、规范、高效”的原则,确保信息系统的安全可靠、有序运行。
第四条征信基础信息系统包括系统硬件设备、软件系统和相关网络设备。
第五条征信机构应建立完善的征信基础信息安全管理制度和责任体系,并定期对其进行评估和改进。
第六条征信机构应对系统用户进行安全教育培训,确保其了解和遵守本制度内容。
第七条征信机构应定期对系统进行安全评估和漏洞扫描,及时修复发现的安全漏洞。
第二章安全管理第八条征信机构应制定和完善安全管理制度,确保系统数据的保密性、完整性和可用性。
第九条征信机构应对系统进行分类管理,建立不同级别的安全保障措施,按照系统重要性和风险等级制定适当的安全措施。
第十条征信机构应制定系统用户权限管理制度,对用户权限进行合理划分和管理。
用户权限应根据岗位职责和工作需要确定,并定期进行审计和调整。
第十一条征信机构应建立系统操作日志管理制度,保留系统操作日志,并对日志进行审计和检查。
第十二条征信机构应对系统进行备份和恢复管理,确保数据的安全性和完整性。
第十三条征信机构应建立风险管理制度,及时发现和处理系统风险,防范系统安全事件发生。
第三章网络安全第十四条征信机构应建立网络安全管理制度,规定对系统网络进行安全检查和加固。
第十五条征信机构应建立网络防火墙和入侵检测系统,确保网络的安全性和稳定性。
第十六条征信机构应制定网络安全事件应急响应预案,及时处理和处置网络安全事件。
第十七条征信机构应定期对系统网络进行安全检测和漏洞扫描,及时修复发现的漏洞。
第四章数据保护第十八条征信机构应建立数据保护管理制度,确保系统数据的安全和完整性。
第十九条征信机构应对系统数据进行加密和备份,确保数据在传输和存储过程中的安全性。
征信合规与信息安全问责制度
征信合规与信息安全问责制度引言:随着信息技术的迅猛发展和互联网的普及,个人信息和征信数据的保护问题日益受到关注。
为了保障个人信息的安全和维护征信市场的良好秩序,征信机构必须建立健全征信合规与信息安全问责制度。
一、征信合规问责制度1.建立健全内部合规机制:征信机构应设立合规部门,负责制定征信业务的合规方针和政策,并组织相关培训,确保员工了解并遵守相关法律法规和业界规范。
3.设立合规风险防范机制:征信机构应建立合规风险防范体系,制定合规风险评估和防范措施,保障征信业务的安全和合规运行。
4.加强对第三方征信机构的管理:征信机构应建立对第三方征信机构的管理机制,对其合规性进行审查和监督,确保其业务操作符合法律法规的要求。
5.加强合规培训和宣传:征信机构应加强合规培训和宣传工作,提高员工的合规意识和能力,加强对外界的合规宣传,提高公众对征信合规性的认识和信任。
1.建立健全信息安全管理机构:征信机构应设立信息安全管理机构,负责制定信息安全方针和政策,并组织相关人员进行安全意识培训。
2.制定信息安全管理规定:征信机构应制定信息安全管理规定,明确信息安全的责任分工和工作流程,并建立信息安全保护措施和应急预案。
3.加强信息安全技术和设备保障:征信机构应投入足够的资源,采用先进的信息安全技术和设备,保障个人信息和征信数据的安全。
4.建立信息安全监控与审计机制:征信机构应建立信息安全监控与审计机制,对信息系统进行实时监控和日志审计,及时发现和防范信息安全风险。
5.加强信息泄露防范与处置:征信机构应建立信息泄露防范和处置机制,做好个人信息和征信数据的加密保护,制定应急预案并定期演练。
结论:征信合规与信息安全问责制度的建立对于维护征信市场秩序和保障个人信息安全具有重要意义。
征信机构应建立健全内部合规机制,加强合规监督与审核,设立合规风险防范机制,加强对第三方征信机构的管理,加强合规培训和宣传。
同时,征信机构还应建立健全信息安全管理机构,制定信息安全管理规定,加强信息安全技术和设备保障,建立信息安全监控与审计机制,加强信息泄露防范与处置。
征信机构信息安全规范
征信机构信息安全规范一、总则标准适用范围标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。
接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
「2相关定义(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE 等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。
征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
征信信息安全实施细则
信息安全实施细则第一章总则为加强征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据征信业管理条例、个人信用信息基础数据库管理暂行办法、个人信用信息基础数据库金融机构用户管理办法暂行、中国人民银行关于进一步加强征信信息安全管理的通知等有关规定,结合实际,制定本细则;第二条本细则所称征信信息安全,是指从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全;第三条本细则所称征信系统,是指按人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为个人和企业提供信用报告查询服务的数据库系统;第四条本细则所称借款人,是指向及辖内机构申请办理信贷业务的企事业法人、其他组织、个体工商户和自然人;第五条本细则所称的担保人,是指为办理信贷业务的借款人提供担保的企事业法人、其他组织、个体工商户和自然人;第六条本细则所称信贷业务,是指贷款含委托贷款、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公开授信等业务以及与其相关的担保业务;第七条本细则所称客户信用信息,是指能够反映个人、企事业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企事业法人或其他组织信用状况的其他信息;第二章部门职责第八条征信业务管理工作,实行统一领导、分工负责的原则;第九条成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作;领导小组由主管信贷领导担任组长,成员由信贷部组成;领导小组办公室设置在信贷部;第十条征信信息安全工作领导小组负责协调征信系统运行管理、查询使用和数据报送等工作;建立健全相关管理制度,指导、培训检查各社征信业务;对接收到的人民银行或上级机构反馈的错误数据及时交有关机构进行修改;开展不同层次、不同岗位的人员的征信培训工作;做好信用报告异议处理的协调与处理工作;做好征信系统用户管理工作,按照人民银行要求及时上报征信管理员、查询员,异议元,做好用户备案工作;管理好用信工作,杜绝泄露、出售等客户的征信报告;基层机构负责客户基本信息的录入,确保核心业务系统和信贷管理系统中客户信息和账务处理信息数据的真实、准确、完整,符合人民银行报送要求;保证征信业务合规合法,确保客户信用信息不被泄露;第三章系统与用户管理第十一条在征信系统中建立用户体系,其中联社由市联社设立管理员用户,基层社由联社设立征信查询用户;第十二条用户代码是用户在征信系统中的身份标识,具有唯一性,不得设置公用代码、一人分配多个代码;检查查询员用户统一由系统管理员设置;第十三条用户密码是用户登录征信系统的安全保证,由数字和字母组合构成;首次登录时,必须更改密码,以后每月至少更改一次;第十四条管理员用户不得随意增加、修改用户及用户的权限;第十五条管理员用户不得随意重置用户密码,下列情况除外:一用户遗忘登录密码,向管理员用户提出书面申请的;二管理员用户发现用户密码被盗用,且无法及时通知用户更改密码的;三其他特殊情况;第四章安全管理第十六条基层机构要确保客户信息在查询使用、异议处理等过程中的完整性和保密性,严格遵循征信业管理条例、人民银行和相关规定,确保数据不被泄露;第十七条基层机构在查询、打印企事业法人、其他组织、个体工商户和自然人的信用报告时须获得客户书面授权;除下述情况外,不得以任何理由查询客户信用报告;一审核客户信贷业务申请的;二审核担保人主体资格的;三受理法人或其他组织的贷款申请或其作为担保人,需查询其法定代表人及出资人信用状况的;四对已发生信贷业务进行风险跟踪管理的;五处理异议和投诉的;六法律规定可以查询的其他情况第十八条上级定期组织开展征信工作检查,对用户设置、信息查询和使用、异议处理、档案管理、信息安全以及相关内控制度建设、执行情况进行检查,提高制度执行力,保证征信业务严格遵循征信业管理条例、人民银行和相关规定,并将检查结果及时报告及当地人民银行;第十九条通过征信系统查询、打印的信用报告和相关资料属内部重要信贷业务资料,不得外泄;第二十条除本办法规定的情况外,任何单位和个人不得将征信系统查询结果和信用报告用于其它目的;第二十一条用于征信系统运行的计算机实行专机专用,不得下载或安装与系统无关的软件;定期进行病毒检查和网络访问安全监测,做好系统日常维护工作;第五章附则第二十二条本办法自下发之日起施行,由市农村信用合作联社负责制订、解释、修改;。
征信管理条例
征信管理条例征信管理条例第一章总则第一条为了规范个人征信业务活动,加强个人征信机构的管理,保障个人信息安全,维护公民个人隐私权和公共利益,制定本条例。
第二条本条例所称个人征信,是指个人征信机构通过搜集、整理和加工个人信用信息,提供征信查询、评估、咨询等个人信用管理服务的行为。
第三条个人征信机构应当具备以下条件:(一)依法设立,具有独立的法人资格;(二)具备相应的设施和专业技术人员,可以保障征信信息的安全、准确、完整;(三)可以依法运营和提供征信咨询、评估和查询等服务。
第四条个人征信机构应当在其管理和服务活动中遵守法律法规和国家有关规定,保障公民个人隐私权和公共利益。
第五条个人征信机构应当遵守以下原则:(一)法律、公正、诚信原则;(二)信息最小化原则;(三)安全性原则;(四)自由选择原则;(五)公众监督原则。
第六条个人征信机构应当建立健全内部管理制度和业务流程,确保其信息安全、准确、完整。
第二章信息安全管理第七条个人征信机构应当建立科学的信息安全管理体系,并定期评估风险,采取相应的信息安全措施,保障征信信息安全。
第八条个人征信机构应当采取技术措施加强信息安全管理,包括:(一)数据备份和恢复管理;(二)访问控制和身份验证管理;(三)安全事件响应管理;(四)信息加密和保密管理等。
第九条个人征信机构应当建立完善的操作流程,对征信查询、评估、咨询等业务活动进行管控,防止信息泄露。
第十条个人征信机构应当采取有效的风险评估措施,评估征信查询、评估、咨询等业务活动中的潜在风险,防范风险事件的发生,并建立风险防范和应急预案。
第三章征信查询第十一条个人征信机构提供的查询服务应当符合公民个人权利保护和信息安全要求。
第十二条个人征信机构应当采取有效措施,防止未经授权的征信查询。
第十三条公民和单位可以通过个人征信机构查询本人或者所需了解的单位信用信息,但应当依照法律法规和国家有关规定申请查询,提供真实、准确的相关证件材料。
征信信息安全管理制度全文
第一章总则第一条为加强征信信息安全管理,保护信息主体合法权益,根据《征信业管理条例》、《征信机构信息安全规范》等法律法规,结合本机构实际情况,制定本制度。
第二条本制度适用于本机构所有涉及征信信息管理的岗位、部门和人员。
第三条本制度旨在规范征信信息采集、存储、使用、传输、共享、删除等环节,确保征信信息安全,防范征信信息安全风险。
第二章征信信息安全管理职责第四条本机构设立征信信息安全管理部门,负责征信信息安全管理工作的组织、协调和监督。
第五条征信信息安全管理部门的主要职责包括:(一)建立健全征信信息安全管理制度,制定相关操作规程和应急预案;(二)组织开展征信信息安全培训,提高全员征信信息安全意识;(三)对征信信息采集、存储、使用、传输、共享、删除等环节进行监督检查;(四)对征信信息安全事件进行调查处理,及时报告有关部门;(五)与征信机构、合作方等加强沟通与合作,共同维护征信信息安全。
第三章征信信息安全管理措施第六条征信信息采集(一)严格按照法律法规和业务需求采集征信信息,不得非法采集、使用征信信息;(二)采集征信信息时,告知信息主体信息采集的目的、范围和方式,取得信息主体的同意。
第七条征信信息存储(一)采用安全可靠的存储设施和设备,确保征信信息存储的安全性;(二)对存储的征信信息进行分类管理,采取物理隔离、访问控制等措施,防止信息泄露。
第八条征信信息使用(一)征信信息仅限于本机构内部合法使用,不得非法提供、泄露征信信息;(二)使用征信信息时,应当遵守法律法规和业务规定,不得滥用征信信息。
第九条征信信息传输(一)采用加密技术传输征信信息,确保传输过程中的安全性;(二)对传输的征信信息进行实时监控,防止信息泄露。
第十条征信信息共享(一)征信信息共享应当遵循合法、必要、最小化原则,经信息主体同意后方可共享;(二)共享征信信息时,应当签订保密协议,明确双方的权利和义务。
第十一条征信信息删除(一)征信信息删除应当遵循法律法规和业务规定,确保信息主体合法权益;(二)删除征信信息时,应当采取技术措施,确保删除后的信息无法恢复。
征信公司的信息收集与处理规范
征信公司的信息收集与处理规范随着互联网技术的发展和金融行业的不断创新,征信公司作为金融服务的重要组成部分,承担着信息收集和处理的重要责任。
为了保护个人隐私和提供可靠的信用评估,征信公司需要遵守一定的信息收集与处理规范。
信息收集是征信公司的基础工作,其核心任务是收集和管理个人的信用相关信息。
根据相关法律法规的要求,征信机构必须确保信息收集的合法合规。
首先,征信机构在收集信息时应当遵循用户知情同意原则,明确告知用户收集信息的目的、范围和使用方式,以及可能涉及的风险和权益。
其次,征信机构应当围绕信用评估的需要,只收集与信用评估相关的信息,避免收集不必要的个人敏感信息。
此外,征信机构还应当确保信息的准确性和完整性,及时更新和修正不准确或过时的信息。
信息处理是征信公司的核心业务,其目的是从收集到的信息中提取有用的信用评估指标,并生成个人信用报告。
在信息处理过程中,征信机构需要确保数据安全和隐私保护。
首先,征信机构应当建立健全的信息安全管理制度,确保保护用户的个人信息不被非法获取、使用或泄露。
其次,征信机构应当采取合理的技术手段,加密存储和传输信息,防止信息被恶意篡改或非法访问。
此外,征信机构还应当对员工进行信息安全教育培训,提高其保密意识和技能。
除了信息安全外,征信机构在信息处理过程中还应当遵守严格的数据分析规范。
首先,征信机构应当确保数据使用的合法性和合规性,严禁将信息用于非法用途或超出约定范围。
其次,征信机构应当采用技术手段和数据模型,确保数据处理的客观和公正。
数据模型应当建立在大量真实且具有代表性的数据基础上,避免因个别数据或其他不合理因素对评估结果产生偏颇。
此外,征信机构还应当对数据源和算法进行公开和透明,接受社会和监管机构的监督和审查。
除了信息收集与处理规范,征信公司还应当确保个人参与和知情权的保障。
征信机构应当为个人提供查询自身信息的权利,并提供方便和快捷的查询途径。
同时,征信机构还应当及时处理用户的异议和纠正请求,确保用户的个人权益得到有效保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
征信机构信息安全规范一、总则1.1标准适用范围标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。
接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。
征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。
(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。
(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
二、安全管理2.1安全管理制度征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。
2.1.1内部管理制度基本要求:(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。
(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。
(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。
(五)应建立日常故障处理流程,重要岗位应建立双人负责制。
(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。
(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。
(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。
(十)应建立突发事件应急预案制度,有效避免事故造成的危害。
(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。
增强要求:(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。
(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。
2.1.2安全审计制度基本要求:(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。
(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。
(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。
(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。
(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。
增强要求:(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。
(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。
2.2安全管理机构征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。
2.2.1岗位设置基本要求:(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。
(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。
(三)除科技部门以外,其他部门应设置部门计算机安全员。
增强要求:(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。
(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。
2.2.2人员配备基本要求:(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。
(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。
(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。
增强要求:关键事务岗位。
如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。
2.2.3授权和审批基本要求:(一)应根据各部门和岗位的职责明确授权审批部门和审批人。
(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。
(三)应记录审批过程并保存审批文档。
增强要求:应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。
2.2.4沟通与合作基本要求:(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。
(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。
增强要求:(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。
(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
2.3人员管理征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。
2.3.1安全主管基本要求:(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。
(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。
2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。
3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。
4、对征信机构内部其他信息安全相关管理事项进行审批。
(三)安全主管调岗位时。
应办理交接手续,并履行其调离后的保密义务。
增强要求:安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。
2.3.2信息安全管理员基本要求:(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。
(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。
(三)信息安全管理员应履行以下职责:1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。
2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。
3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。
4、负责本机构计算机系统部署上线前的安全自测试方案的审核。
5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。
6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。
增强要求:信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。
2.3.3部门计算机安全员基本要求:(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。
(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。
(三)部门计算机安全员应履行以下职责:1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。
2、全面负责本部门的信息安全管理工作。
负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。
以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。
(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。
增强要求:部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。