為加強徵信業務執行管理,規範徵信業務組織、操作行為,有效防範道德風險、操作風險、聲譽風險,根據《徵信業管理條例》、《個人信用資訊基礎資料庫管理暫行辦法》、《個人信用資訊基礎資料庫金融機構使用者管理辦法(暫行)》、《華人民銀行關於進一步加強徵信資訊保安管理的通知》等有關規定,結合實際,制定本細則。
第二條
本細則所稱徵信資訊保安,是指從事與個人、企業和其他組織信用活動相關的業務,包括:向國家金融信用資訊基礎資料庫報送個人和企業徵信資料、從徵信系統獲取客戶信用資訊、使用客戶信用資訊、處理資訊主體異議等業務辦理或使用中,嚴格按照管理制度用信以及保證客戶徵信資訊保安。
第三條
本細則所稱徵信系統,是指按人民銀行相關規定建立的,用於採集、儲存、加工、整理個人、企業和其他組織的,為個人和企業提供信用報告查詢服務的資料庫系統。
第四條
本細則所稱借款人,是指向及轄內機構申請辦理信貸業務的企(事)業法人、其他組織、個體工商戶和自然人。
第五條
本細則所稱的擔保人,是指為辦理信貸業務的借款人提供擔保的企(事)業法人、其他組織、個體工商戶和自然人。
第六條
本細則所稱信貸業務,是指貸款(含委託貸款)、銀行承兌匯票、信用證、保函、票據貼現、貿易融資、保理、公
1 開授信等業務以及與其相關的擔保業務。
第七條
本細則所稱客戶信用資訊,是指能夠反映個人、企(事)業法人或其他組織信用狀況的資訊,包括身份識別資訊、信用交易資訊以及反映個人、企(事)業法人或其他組織信用狀況的其他資訊。
第二章 部門職責
第八條
徵信業務管理工作,實行統一領導、分工負責的原則。
第九條
成立徵信資訊保安工作領導小組,統一領導全行個人和企業徵信業務的有關工作。領導小組由主管信貸領導擔任組長,成員由信貸部組成。領導小組辦公室設定在信貸部。
第十條
徵信資訊保安工作領導小組負責協調徵信系統執行管理、查詢使用和資料報送等工作;建立健全相關管理制度,指導、培訓檢查各社徵信業務;對接收到的人民銀行或上級機構反饋的錯誤資料及時交有關機構進行修改;開展不同層次、不同崗位的人員的徵信培訓工作;做好信用報告異議處理的協調與處理工作;做好徵信系統使用者管理工作,按照人民銀行要求及時上報徵信管理員、查詢員,異議元,做好使用者備案工作;管理好用信工作,杜絕洩露、出售等客戶的徵信報告。
基層機構負責客戶基本資訊的錄入,確保核心業務系統和信貸管理系統中客戶資訊和賬務處理資訊資料的真實、準確、完整,符合人民銀行報送要求;保證徵信業務合規合法,確保客戶信用
2 資訊不被洩露。
第三章 系統與使用者管理
第十一條
在徵信系統中建立使用者體系,其中聯社由市聯社設立管理員使用者,基層社由聯社設立徵信查詢使用者。
第十二條
使用者程式碼是使用者在徵信系統中的身份標識,具有唯一性,不得設定公用程式碼、一人分配多個程式碼。檢查查詢員使用者統一由系統管理員設定。
第十三條
使用者密碼是使用者登入徵信系統的安全保證,由數字和字母組合構成。首次登入時,必須更改密碼,以後每月至少更改一次。
第十四條
管理員使用者不得隨意增加、修改使用者及使用者的許可權。
第十五條
管理員使用者不得隨意重置使用者密碼,下列情況除外:
(一)使用者遺忘登入密碼,向管理員使用者提出書面申請的;
(二)管理員使用者發現使用者密碼被盜用,且無法及時通知使用者更改密碼的;
(三)其他特殊情況。
第四章 安全管理
第十六條
基層機構要確保客戶資訊在查詢使用、異議處理等過程中的完整性和保密性,嚴格遵循《徵信業管理條例》、人民銀行和相關規定,確保資料不被洩露。
3 第十七條
基層機構在查詢、列印企(事)業法人、其他組織、個體工商戶和自然人的信用報告時須獲得客戶書面授權。除下述情況外,不得以任何理由查詢客戶信用報告。
(一)稽核客戶信貸業務申請的;
(二)稽核擔保人主體資格的;
(三)受理法人或其他組織的貸款申請或其作為擔保人,需查詢其法定代表人及出資人信用狀況的;
(四)對已發生信貸業務進行風險跟蹤管理的;
(五)處理異議和投訴的;
(六)法律規定可以查詢的其他情況
第十八條上級定期組織開展徵信工作檢查,對使用者設定、資訊查詢和使用、異議處理、檔案管理、資訊保安以及相關內控制度建設、執行情況進行檢查,提高制度執行力,保證徵信業務嚴格遵循《徵信業管理條例》、人民銀行和相關規定,並將檢查結果及時報告及當地人民銀行。
第十九條
透過徵信系統查詢、列印的信用報告和相關資料屬內部重要信貸業務資料,不得外洩。
第二十條
除本辦法規定的情況外,任何單位和個人不得將徵信系統查詢結果和信用報告用於其它目的。
第二十一條
用於徵信系統執行的計算機實行專機專用,不得下載或安裝與系統無關的軟體;定期進行病毒檢查和網路訪問安全監測,做好系統日常維護工作。
4
第五章 附 則
第二十二條
本辦法自下發之日起施行,由市農村信用合作聯社負責制訂、解釋、修改。
5
第二篇:徵信資訊保安實施細則
資訊保安實施細則
第一章 總 則
第三篇:徵信機構資訊保安規範
徵信機構資訊保安規範
一、總則
1.1標準適用範圍
標準規定了不同安全保護等級徵信系統的安全要求,包括安全管理、安全技術和業務運作三個方面。
標準適用於徵信機構資訊系統的建設、執行和維護,也可作為各單位開展安全檢查和內部審計的安全依據。接入徵信機構資訊系統的資訊提供者、資訊使用者也可以參照與本機構有關條款執行,標準還可作為專業檢測機構開展檢測、認證的依據。
1.2相關定義
(一)徵信系統:徵信機構與資訊提供者協議約定,或者透過網際網路、政府資訊公開等渠道,對分散在社會各領域的企業和個人信用資訊,進行採集、整理、儲存和加工而形成的信用資訊資料庫及相關係統。
(二)敏感資訊:影響徵信系統安全的密碼、金鑰以及業務敏感資料等資訊。
1、密碼包括但不限與查詢密碼、登入密碼、證書的PIN等。
2、金鑰包括但不限與用於確保通訊安全、報告完整性的金鑰。
3、業務敏感資料包括但不限於資訊主體的身份資訊、婚姻狀況以及銀行賬戶資訊等涉及個人隱私的資料。
(三)客戶端程式:徵信機構開發的、透過瀏覽器訪問徵信系統併為徵信系統其他功能(如資料採集)的程式,並提供必需功能的元件,包括但不限於:可執行檔案、控制元件、瀏覽器外掛、靜態連結庫、動態連結庫等(不包括IE等通用瀏覽器);或資訊提供者、資訊使用者以獨立開發的軟體接入徵信系統的客戶端程式。
(四)通訊網路:通訊網路指的是由客戶端、伺服器以及相關網路基礎設施組建的網路連線。徵信系統透過互聯玩或網路專線等方式與資訊提供者、資訊使用者相連,徵信系統安全設計應在考慮建設成本、網路便利性等因素的同時,採取必要的技術防護措施,有效應對網路通訊安全威脅。
(五)伺服器端:伺服器端指用於提供徵信系統核心業務處理和應用服務的伺服器裝置及安裝的相關軟體程式,徵信機構應充分利用有效的物理安全技術、網路安全技術、主機安全技術、應用安全技術及資料安全與備份恢復技術等,在外部威脅和受保護的資源間建立多道嚴密的安全防線。
1.3總體要求
本標準從安全管理、安全技術和業務運作三個方面提出徵信系統的安全要求。
(一)安全管理從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面提出要求。
(二)安全技術從客戶端、通訊網路、伺服器端等方面提出要求。
(三)業務運作從系統接入、系統登出、使用者管理、資訊採集和處理、資訊加工、資訊儲存、資訊查詢、異議處理、資訊跨境流動、研究分析、安全檢查與評估等方面提出要求。
二、安全管理
2.1安全管理制度
徵信機構根據徵信系統的建設、執行和管理情況,建立和完善資訊保安管理制度,並定期進行評審和修訂。 2.1.1內部管理制度 基本要求:
(一)應制定資訊保安工作的總體方針和安全策略,說明本機構安全工作的總體原則、目標、範圍和安全框架等;
(二)應建立徵信系統建設和運維管理制度,對機房管理、資金安全、裝置管理,網路安全和系統安全等方面做出明確規定。
(三)應建立徵信系統安全審批流程,系統投入執行、網路系統接入等重大事項由資訊保安管理負責人審批,並確認簽字。
(四)應對安全管理人員及操作人員執行的重要操作建立操作規程,並進行定期培訓。
(五)應建立日常故障處理流程,重要崗位應建立雙人負責制。
(六)應建立軟體開發管理制度,明確說明開發過程的控制方法和人員行為準則。
(七)應建立資料庫管理制度,對資料的儲存、訪問、使用、展示、備份與恢復、傳輸及樣本資料處理等進行規範。
(八)應建立外包服務管理、外部人員訪問等方面的管理制度,對外部人員對本機構內的活動進行規範化管理。
(九)應建立突發事件及重大事項報告制度,對外部人員在本機構內的活動進行規範化管理。
(十)應建立突發事件應急預案制度,有效避免事故造成的危害。
(十一)應建立資訊保安檢查制度,定期或者根據需要(如可能存在安全隱患時)不定期開展安全自查工作,主動接受和配合華人民銀行及其派出所機構的安全檢查。 增強要求:
(一)應建立徵信系統建設工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。
(二)應建立密碼使用、變更管理及資料備份與恢復等方面的管理制度,對系統執行維護過程中重要環節的審批與操作等作出的明確規定。
(三)應按照ISO/IEC 27001:2013的相關要求建立完善的資訊保安管理體系。 2.1.2安全審計制度 基本要求:
(一)應建立資訊保安內部審計制度,定期可能帶來資訊保安風險的因素進行審計和評估,個人徵信機構每年至少1次,企業徵信機構每年至少1次。
(二)應對安全管理制度的制定和執行情況進行審計,審計內容包括是否按照法律法規和華人民銀行的相關規定建立資訊保安管理制度,安全管理制度的執行情況,是否定期對制度進行評審和修訂。
(三)應對網路安全、主機安全、應用安全和資料安全等技術安全進行審計,審計內容包括安全配置、裝置執行情況、網路流量、重要使用者行為、系統異常事件及重要系統命令的使用等。
(四)應對業務操作進行審計,審計內容包括系統接入和登出、使用者管理、資訊採集和處理、資訊加工、資訊儲存、異議處理、資訊跨境流動等。
(一)應定期委託外部專業機構,有重點、有計劃的開展資訊科技總體風險審計、徵信系統專項審計。
(二)在內部審計和外部審計中發現的重大安全隱患應及時向華人民銀行及其派出機構報告。
2.2安全管理機構
徵信機構應成立有高階管理人員及相關部門負責人組成的資訊保安領導小組,並制定專門的部門負責資訊保安管理工作。 2.2.1崗位設定 基本要求:
(一)應設立安全主管、資訊保安管理崗位,明確安全主管和資訊保安管理員的崗位職責。
(二)應設立安全管理員、網路管理員、資料庫管理員等崗位,並定義各工作崗位的職責。
(三)除科技部門以外,其他部門應設定部門計算機安全員。增強要求:
(一)應透過制度明確安全管理機構各個部門和崗位的職責、分工和技能要求。
(二)應建立資料安全管理組織,明確資料安全管理責任人、資料資產管理人、明確資料安全管理的責任,確保有效落實和推進資料安全的相關工作。 2.2.2人員配備 基本要求:
(一)應配備安全主管、資訊保安管理員、系統管理員、網路管理員、資料庫管理員等。
(二)安全主管不能兼任資訊保安管理員、網路管理員、系統管理員、資料庫管理員等。
(三)資訊保安管理員不能兼任網路資訊管理員、系統管理員、資料庫管理員等。 增強要求:
關鍵事務崗位。如資訊保安管理員、資料庫管理員等,應配備至少兩人,且互為A、B角共同管理。 2.2.3授權和審批 基本要求:
(一)應根據各部門和崗位的職責明確授權審批部門和審批人。
(二)應針對系統投入執行、網路系統投入、系統變更、重要操作和重要資源的訪問等關鍵活動建立審批流程,由責任人審批後方可進行,對重要活動應建立逐級審批制度。
(三)應記錄審批過程並儲存審批文件。 增強要求:
應每年審查審批事項,及時更新需授權和審批的專案、審批的部門和審批人等資訊。 2.2.4溝通與合作 基本要求:
(一)應加強各部門、各崗位之間以及資訊保安職能部門內部的合作與溝通。
(二)應加強與同業機構、通訊服務商及監管部門的合作與溝通。 增強要求:
(一)在資訊保安管理部門應定期召開各職能部門、各崗位人員參加的協調會議,共同協作處理資訊保安問題。
(二)應加強與供應商、業界專家、專業的安全公司、安全組織的合作與溝通。 2.3人員管理
徵信機構應加強人員安全管理,明確不同崗位的職責,規範人員錄用、離崗、考核和培訓等工作。 2.3.1安全主管 基本要求:
(一)應派具有較高計算機水平、業務能力和法律素養的人員擔任安全主管。
(二)安全主管可由資訊保安管理部門的相關領導擔任,也可指定專人擔任,主要履行以下職責:
1、組織落實監管部門資訊保安相關管理規定和本機構資訊保安保障工作。
3、對資訊化建設中的安全建設方案、安全技術方案或其他安全方案進行審批。
4、對徵信機構內部其他資訊保安相關管理事項進行審批。
(三)安全主管調崗位時。應辦理交接手續,並履行其調離後的保密義務。 增強要求:
安全主管應加強資訊保安知識的學習和技能掌握,及時關注國內外資訊保安動態,為加強和改進本機構的資訊保安管理工作提供合理化建議。 2.3.2資訊保安管理員 基本要求:
(一)應派具有較高計算機水平、業務能力和法律素養的人員擔任資訊保安管理員。
(二)資訊保安管理員每年至少進行一次資訊保安方面的技術和業務培訓。
(三)資訊保安管理員應履行以下職責:
1、在安全主管的指導下,具體落實各項安全管理工作,並協調各部門計算機安全員開展工作。
2、在安全主管的指導下,組織相關人員稽核本機構資訊化建設專案中的安全方案,組織實施安全專案建設、維護、管理資訊保安專用設施。
3、在計算機系統應用開發、技術方案設計和實施、整合等工作中提出安全技術方案並組織實施。
4、負責本機構計算機系統部署上線前的安全自測試方案的稽核。
5、定期檢查網路和徵信系統的安全執行狀況,組織檢查執行操作、備份、機房環境與文件等安全管理情況,發現問題,及時通報和預警,並提出整改意見,統計分析和協調處置資訊保安事件。
6、定期組織資訊保安宣傳教育活動,與相關部門配合開展資訊保安檢查,
(四)資訊保安管理員調離崗位時,應辦理交接手續,並履行其調離後的保密義務。 增強要求:
資訊保安管理員應增加資訊保安知識學習和技能掌握,及時關注國內外資訊保安和方案提出合理化建議。 2.3.3部門計算機安全員 基本要求:
(一)各部門的計算機安全員應由較熟悉計算機知識的人員擔,並報資訊保安管理部備案,如有變更應及時通報資訊保安管理部門。
(二)部門計算機安全員因積極配合資訊保安管理員的工作,各部門應優先選派部門計算機安全員參加資訊保安技術培訓。
(三)部門計算機安全員應履行以下職責:
1、負責配合資訊保安管理部完成本部門計算機病毒防治、補丁升級、非法外聯防範,系統故障應急處理、移動存介質管控等工作。
2、全面負責本部門的資訊保安管理工作。負責提出本部門的資訊保安保障需求,及時與資訊保安管理部門溝通本部門資訊保安情況,做好資訊保安通報工作,發現情況及時向資訊保安管理部門報告,
3、負責本部門相關文件資料的安全管理工作。以及本部門國際網際網路、徵信系統網路的使用和計入安全管理,組織開展本部門資訊保安自查,協助資訊保安管理部門完成本機構的資訊保安檢查工作。
為加強徵信業務執行管理,規範徵信業務組織、操作行為,有效防範道德風險、操作風險、聲譽風險,根據《徵信業管理條例》、《個人信用資訊基礎資料庫管理暫行辦法》、《個人信用資訊基礎資料庫金融機構使用者管理辦法(暫行)》、《華人民銀行關於進一步加強徵信資訊保安管理的通知》等有關規定,結合實際,制定本細則。
第二條
本細則所稱徵信資訊保安,是指從事與個人、企業和其他組織信用活動相關的業務,包括:向國家金融信用資訊基礎資料庫報送個人和企業徵信資料、從徵信系統獲取客戶信用資訊、使用客戶信用資訊、處理資訊主體異議等業務辦理或使用中,嚴格按照管理制度用信以及保證客戶徵信資訊保安。
第三條
本細則所稱徵信系統,是指按人民銀行相關規定建立的,用於採集、儲存、加工、整理個人、企業和其他組織的,為個人和企業提供信用報告查詢服務的資料庫系統。
第四條
本細則所稱借款人,是指向及轄內機構申請辦理信貸業務的企(事)業法人、其他組織、個體工商戶和自然人。
第五條
本細則所稱的擔保人,是指為辦理信貸業務的借款人提供擔保的企(事)業法人、其他組織、個體工商戶和自然人。
第六條
本細則所稱信貸業務,是指貸款(含委託貸款)、銀行承兌匯票、信用證、保函、票據貼現、貿易融資、保理、公
1 開授信等業務以及與其相關的擔保業務。
第七條
本細則所稱客戶信用資訊,是指能夠反映個人、企(事)業法人或其他組織信用狀況的資訊,包括身份識別資訊、信用交易資訊以及反映個人、企(事)業法人或其他組織信用狀況的其他資訊。
第二章 部門職責
第八條
徵信業務管理工作,實行統一領導、分工負責的原則。
第九條
成立徵信資訊保安工作領導小組,統一領導全行個人和企業徵信業務的有關工作。領導小組由主管信貸領導擔任組長,成員由信貸部組成。領導小組辦公室設定在信貸部。
第十條
徵信資訊保安工作領導小組負責協調徵信系統執行管理、查詢使用和資料報送等工作;建立健全相關管理制度,指導、培訓檢查各社徵信業務;對接收到的人民銀行或上級機構反饋的錯誤資料及時交有關機構進行修改;開展不同層次、不同崗位的人員的徵信培訓工作;做好信用報告異議處理的協調與處理工作;做好徵信系統使用者管理工作,按照人民銀行要求及時上報徵信管理員、查詢員,異議元,做好使用者備案工作;管理好用信工作,杜絕洩露、出售等客戶的徵信報告。
基層機構負責客戶基本資訊的錄入,確保核心業務系統和信貸管理系統中客戶資訊和賬務處理資訊資料的真實、準確、完整,符合人民銀行報送要求;保證徵信業務合規合法,確保客戶信用
2 資訊不被洩露。
第三章 系統與使用者管理
第十一條
在徵信系統中建立使用者體系,其中聯社由市聯社設立管理員使用者,基層社由聯社設立徵信查詢使用者。
第十二條
使用者程式碼是使用者在徵信系統中的身份標識,具有唯一性,不得設定公用程式碼、一人分配多個程式碼。檢查查詢員使用者統一由系統管理員設定。
第十三條
使用者密碼是使用者登入徵信系統的安全保證,由數字和字母組合構成。首次登入時,必須更改密碼,以後每月至少更改一次。
第十四條
管理員使用者不得隨意增加、修改使用者及使用者的許可權。
第十五條
管理員使用者不得隨意重置使用者密碼,下列情況除外:
(一)使用者遺忘登入密碼,向管理員使用者提出書面申請的;
(二)管理員使用者發現使用者密碼被盜用,且無法及時通知使用者更改密碼的;
(三)其他特殊情況。
第四章 安全管理
第十六條
基層機構要確保客戶資訊在查詢使用、異議處理等過程中的完整性和保密性,嚴格遵循《徵信業管理條例》、人民銀行和相關規定,確保資料不被洩露。
3 第十七條
基層機構在查詢、列印企(事)業法人、其他組織、個體工商戶和自然人的信用報告時須獲得客戶書面授權。除下述情況外,不得以任何理由查詢客戶信用報告。
(一)稽核客戶信貸業務申請的;
(二)稽核擔保人主體資格的;
(三)受理法人或其他組織的貸款申請或其作為擔保人,需查詢其法定代表人及出資人信用狀況的;
(四)對已發生信貸業務進行風險跟蹤管理的;
(五)處理異議和投訴的;
(六)法律規定可以查詢的其他情況
第十八條上級定期組織開展徵信工作檢查,對使用者設定、資訊查詢和使用、異議處理、檔案管理、資訊保安以及相關內控制度建設、執行情況進行檢查,提高制度執行力,保證徵信業務嚴格遵循《徵信業管理條例》、人民銀行和相關規定,並將檢查結果及時報告及當地人民銀行。
第十九條
透過徵信系統查詢、列印的信用報告和相關資料屬內部重要信貸業務資料,不得外洩。
第二十條
除本辦法規定的情況外,任何單位和個人不得將徵信系統查詢結果和信用報告用於其它目的。
第二十一條
用於徵信系統執行的計算機實行專機專用,不得下載或安裝與系統無關的軟體;定期進行病毒檢查和網路訪問安全監測,做好系統日常維護工作。
4
第五章 附 則
第二十二條
本辦法自下發之日起施行,由市農村信用合作聯社負責制訂、解釋、修改。
5
第二篇:徵信資訊保安實施細則
資訊保安實施細則
第一章 總 則
為加強徵信業務執行管理,規範徵信業務組織、操作行為,有效防範道德風險、操作風險、聲譽風險,根據《徵信業管理條例》、《個人信用資訊基礎資料庫管理暫行辦法》、《個人信用資訊基礎資料庫金融機構使用者管理辦法(暫行)》、《華人民銀行關於進一步加強徵信資訊保安管理的通知》等有關規定,結合實際,制定本細則。
第二條
本細則所稱徵信資訊保安,是指從事與個人、企業和其他組織信用活動相關的業務,包括:向國家金融信用資訊基礎資料庫報送個人和企業徵信資料、從徵信系統獲取客戶信用資訊、使用客戶信用資訊、處理資訊主體異議等業務辦理或使用中,嚴格按照管理制度用信以及保證客戶徵信資訊保安。
第三條
本細則所稱徵信系統,是指按人民銀行相關規定建立的,用於採集、儲存、加工、整理個人、企業和其他組織的,為個人和企業提供信用報告查詢服務的資料庫系統。
第四條
本細則所稱借款人,是指向及轄內機構申請辦理信貸業務的企(事)業法人、其他組織、個體工商戶和自然人。
第五條
本細則所稱的擔保人,是指為辦理信貸業務的借款人提供擔保的企(事)業法人、其他組織、個體工商戶和自然人。
第六條
本細則所稱信貸業務,是指貸款(含委託貸款)、銀行承兌匯票、信用證、保函、票據貼現、貿易融資、保理、公
1 開授信等業務以及與其相關的擔保業務。
第七條
本細則所稱客戶信用資訊,是指能夠反映個人、企(事)業法人或其他組織信用狀況的資訊,包括身份識別資訊、信用交易資訊以及反映個人、企(事)業法人或其他組織信用狀況的其他資訊。
第二章 部門職責
第八條
徵信業務管理工作,實行統一領導、分工負責的原則。
第九條
成立徵信資訊保安工作領導小組,統一領導全行個人和企業徵信業務的有關工作。領導小組由主管信貸領導擔任組長,成員由信貸部組成。領導小組辦公室設定在信貸部。
第十條
徵信資訊保安工作領導小組負責協調徵信系統執行管理、查詢使用和資料報送等工作;建立健全相關管理制度,指導、培訓檢查各社徵信業務;對接收到的人民銀行或上級機構反饋的錯誤資料及時交有關機構進行修改;開展不同層次、不同崗位的人員的徵信培訓工作;做好信用報告異議處理的協調與處理工作;做好徵信系統使用者管理工作,按照人民銀行要求及時上報徵信管理員、查詢員,異議元,做好使用者備案工作;管理好用信工作,杜絕洩露、出售等客戶的徵信報告。
基層機構負責客戶基本資訊的錄入,確保核心業務系統和信貸管理系統中客戶資訊和賬務處理資訊資料的真實、準確、完整,符合人民銀行報送要求;保證徵信業務合規合法,確保客戶信用
2 資訊不被洩露。
第三章 系統與使用者管理
第十一條
在徵信系統中建立使用者體系,其中聯社由市聯社設立管理員使用者,基層社由聯社設立徵信查詢使用者。
第十二條
使用者程式碼是使用者在徵信系統中的身份標識,具有唯一性,不得設定公用程式碼、一人分配多個程式碼。檢查查詢員使用者統一由系統管理員設定。
第十三條
使用者密碼是使用者登入徵信系統的安全保證,由數字和字母組合構成。首次登入時,必須更改密碼,以後每月至少更改一次。
第十四條
管理員使用者不得隨意增加、修改使用者及使用者的許可權。
第十五條
管理員使用者不得隨意重置使用者密碼,下列情況除外:
(一)使用者遺忘登入密碼,向管理員使用者提出書面申請的;
(二)管理員使用者發現使用者密碼被盜用,且無法及時通知使用者更改密碼的;
(三)其他特殊情況。
第四章 安全管理
第十六條
基層機構要確保客戶資訊在查詢使用、異議處理等過程中的完整性和保密性,嚴格遵循《徵信業管理條例》、人民銀行和相關規定,確保資料不被洩露。
3 第十七條
基層機構在查詢、列印企(事)業法人、其他組織、個體工商戶和自然人的信用報告時須獲得客戶書面授權。除下述情況外,不得以任何理由查詢客戶信用報告。
(一)稽核客戶信貸業務申請的;
(二)稽核擔保人主體資格的;
(三)受理法人或其他組織的貸款申請或其作為擔保人,需查詢其法定代表人及出資人信用狀況的;
(四)對已發生信貸業務進行風險跟蹤管理的;
(五)處理異議和投訴的;
(六)法律規定可以查詢的其他情況
第十八條上級定期組織開展徵信工作檢查,對使用者設定、資訊查詢和使用、異議處理、檔案管理、資訊保安以及相關內控制度建設、執行情況進行檢查,提高制度執行力,保證徵信業務嚴格遵循《徵信業管理條例》、人民銀行和相關規定,並將檢查結果及時報告及當地人民銀行。
第十九條
透過徵信系統查詢、列印的信用報告和相關資料屬內部重要信貸業務資料,不得外洩。
第二十條
除本辦法規定的情況外,任何單位和個人不得將徵信系統查詢結果和信用報告用於其它目的。
第二十一條
用於徵信系統執行的計算機實行專機專用,不得下載或安裝與系統無關的軟體;定期進行病毒檢查和網路訪問安全監測,做好系統日常維護工作。
4
第五章 附 則
第二十二條
本辦法自下發之日起施行,由市農村信用合作聯社負責制訂、解釋、修改。
5
第三篇:徵信機構資訊保安規範
徵信機構資訊保安規範
一、總則
1.1標準適用範圍
標準規定了不同安全保護等級徵信系統的安全要求,包括安全管理、安全技術和業務運作三個方面。
標準適用於徵信機構資訊系統的建設、執行和維護,也可作為各單位開展安全檢查和內部審計的安全依據。接入徵信機構資訊系統的資訊提供者、資訊使用者也可以參照與本機構有關條款執行,標準還可作為專業檢測機構開展檢測、認證的依據。
1.2相關定義
(一)徵信系統:徵信機構與資訊提供者協議約定,或者透過網際網路、政府資訊公開等渠道,對分散在社會各領域的企業和個人信用資訊,進行採集、整理、儲存和加工而形成的信用資訊資料庫及相關係統。
(二)敏感資訊:影響徵信系統安全的密碼、金鑰以及業務敏感資料等資訊。
1、密碼包括但不限與查詢密碼、登入密碼、證書的PIN等。
2、金鑰包括但不限與用於確保通訊安全、報告完整性的金鑰。
3、業務敏感資料包括但不限於資訊主體的身份資訊、婚姻狀況以及銀行賬戶資訊等涉及個人隱私的資料。
(三)客戶端程式:徵信機構開發的、透過瀏覽器訪問徵信系統併為徵信系統其他功能(如資料採集)的程式,並提供必需功能的元件,包括但不限於:可執行檔案、控制元件、瀏覽器外掛、靜態連結庫、動態連結庫等(不包括IE等通用瀏覽器);或資訊提供者、資訊使用者以獨立開發的軟體接入徵信系統的客戶端程式。
(四)通訊網路:通訊網路指的是由客戶端、伺服器以及相關網路基礎設施組建的網路連線。徵信系統透過互聯玩或網路專線等方式與資訊提供者、資訊使用者相連,徵信系統安全設計應在考慮建設成本、網路便利性等因素的同時,採取必要的技術防護措施,有效應對網路通訊安全威脅。
(五)伺服器端:伺服器端指用於提供徵信系統核心業務處理和應用服務的伺服器裝置及安裝的相關軟體程式,徵信機構應充分利用有效的物理安全技術、網路安全技術、主機安全技術、應用安全技術及資料安全與備份恢復技術等,在外部威脅和受保護的資源間建立多道嚴密的安全防線。
1.3總體要求
本標準從安全管理、安全技術和業務運作三個方面提出徵信系統的安全要求。
(一)安全管理從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面提出要求。
(二)安全技術從客戶端、通訊網路、伺服器端等方面提出要求。
(三)業務運作從系統接入、系統登出、使用者管理、資訊採集和處理、資訊加工、資訊儲存、資訊查詢、異議處理、資訊跨境流動、研究分析、安全檢查與評估等方面提出要求。
二、安全管理
2.1安全管理制度
徵信機構根據徵信系統的建設、執行和管理情況,建立和完善資訊保安管理制度,並定期進行評審和修訂。 2.1.1內部管理制度 基本要求:
(一)應制定資訊保安工作的總體方針和安全策略,說明本機構安全工作的總體原則、目標、範圍和安全框架等;
(二)應建立徵信系統建設和運維管理制度,對機房管理、資金安全、裝置管理,網路安全和系統安全等方面做出明確規定。
(三)應建立徵信系統安全審批流程,系統投入執行、網路系統接入等重大事項由資訊保安管理負責人審批,並確認簽字。
(四)應對安全管理人員及操作人員執行的重要操作建立操作規程,並進行定期培訓。
(五)應建立日常故障處理流程,重要崗位應建立雙人負責制。
(六)應建立軟體開發管理制度,明確說明開發過程的控制方法和人員行為準則。
(七)應建立資料庫管理制度,對資料的儲存、訪問、使用、展示、備份與恢復、傳輸及樣本資料處理等進行規範。
(八)應建立外包服務管理、外部人員訪問等方面的管理制度,對外部人員對本機構內的活動進行規範化管理。
(九)應建立突發事件及重大事項報告制度,對外部人員在本機構內的活動進行規範化管理。
(十)應建立突發事件應急預案制度,有效避免事故造成的危害。
(十一)應建立資訊保安檢查制度,定期或者根據需要(如可能存在安全隱患時)不定期開展安全自查工作,主動接受和配合華人民銀行及其派出所機構的安全檢查。 增強要求:
(一)應建立徵信系統建設工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。
(二)應建立密碼使用、變更管理及資料備份與恢復等方面的管理制度,對系統執行維護過程中重要環節的審批與操作等作出的明確規定。
(三)應按照ISO/IEC 27001:2013的相關要求建立完善的資訊保安管理體系。 2.1.2安全審計制度 基本要求:
(一)應建立資訊保安內部審計制度,定期可能帶來資訊保安風險的因素進行審計和評估,個人徵信機構每年至少1次,企業徵信機構每年至少1次。
(二)應對安全管理制度的制定和執行情況進行審計,審計內容包括是否按照法律法規和華人民銀行的相關規定建立資訊保安管理制度,安全管理制度的執行情況,是否定期對制度進行評審和修訂。
(三)應對網路安全、主機安全、應用安全和資料安全等技術安全進行審計,審計內容包括安全配置、裝置執行情況、網路流量、重要使用者行為、系統異常事件及重要系統命令的使用等。
(四)應對業務操作進行審計,審計內容包括系統接入和登出、使用者管理、資訊採集和處理、資訊加工、資訊儲存、異議處理、資訊跨境流動等。
(一)應定期委託外部專業機構,有重點、有計劃的開展資訊科技總體風險審計、徵信系統專項審計。
(二)在內部審計和外部審計中發現的重大安全隱患應及時向華人民銀行及其派出機構報告。
2.2安全管理機構
徵信機構應成立有高階管理人員及相關部門負責人組成的資訊保安領導小組,並制定專門的部門負責資訊保安管理工作。 2.2.1崗位設定 基本要求:
(一)應設立安全主管、資訊保安管理崗位,明確安全主管和資訊保安管理員的崗位職責。
(二)應設立安全管理員、網路管理員、資料庫管理員等崗位,並定義各工作崗位的職責。
(三)除科技部門以外,其他部門應設定部門計算機安全員。增強要求:
(一)應透過制度明確安全管理機構各個部門和崗位的職責、分工和技能要求。
(二)應建立資料安全管理組織,明確資料安全管理責任人、資料資產管理人、明確資料安全管理的責任,確保有效落實和推進資料安全的相關工作。 2.2.2人員配備 基本要求:
(一)應配備安全主管、資訊保安管理員、系統管理員、網路管理員、資料庫管理員等。
(二)安全主管不能兼任資訊保安管理員、網路管理員、系統管理員、資料庫管理員等。
(三)資訊保安管理員不能兼任網路資訊管理員、系統管理員、資料庫管理員等。 增強要求:
關鍵事務崗位。如資訊保安管理員、資料庫管理員等,應配備至少兩人,且互為A、B角共同管理。 2.2.3授權和審批 基本要求:
(一)應根據各部門和崗位的職責明確授權審批部門和審批人。
(二)應針對系統投入執行、網路系統投入、系統變更、重要操作和重要資源的訪問等關鍵活動建立審批流程,由責任人審批後方可進行,對重要活動應建立逐級審批制度。
(三)應記錄審批過程並儲存審批文件。 增強要求:
應每年審查審批事項,及時更新需授權和審批的專案、審批的部門和審批人等資訊。 2.2.4溝通與合作 基本要求:
(一)應加強各部門、各崗位之間以及資訊保安職能部門內部的合作與溝通。
(二)應加強與同業機構、通訊服務商及監管部門的合作與溝通。 增強要求:
(一)在資訊保安管理部門應定期召開各職能部門、各崗位人員參加的協調會議,共同協作處理資訊保安問題。
(二)應加強與供應商、業界專家、專業的安全公司、安全組織的合作與溝通。 2.3人員管理
徵信機構應加強人員安全管理,明確不同崗位的職責,規範人員錄用、離崗、考核和培訓等工作。 2.3.1安全主管 基本要求:
(一)應派具有較高計算機水平、業務能力和法律素養的人員擔任安全主管。
(二)安全主管可由資訊保安管理部門的相關領導擔任,也可指定專人擔任,主要履行以下職責:
1、組織落實監管部門資訊保安相關管理規定和本機構資訊保安保障工作。
3、對資訊化建設中的安全建設方案、安全技術方案或其他安全方案進行審批。
4、對徵信機構內部其他資訊保安相關管理事項進行審批。
(三)安全主管調崗位時。應辦理交接手續,並履行其調離後的保密義務。 增強要求:
安全主管應加強資訊保安知識的學習和技能掌握,及時關注國內外資訊保安動態,為加強和改進本機構的資訊保安管理工作提供合理化建議。 2.3.2資訊保安管理員 基本要求:
(一)應派具有較高計算機水平、業務能力和法律素養的人員擔任資訊保安管理員。
(二)資訊保安管理員每年至少進行一次資訊保安方面的技術和業務培訓。
(三)資訊保安管理員應履行以下職責:
1、在安全主管的指導下,具體落實各項安全管理工作,並協調各部門計算機安全員開展工作。
2、在安全主管的指導下,組織相關人員稽核本機構資訊化建設專案中的安全方案,組織實施安全專案建設、維護、管理資訊保安專用設施。
3、在計算機系統應用開發、技術方案設計和實施、整合等工作中提出安全技術方案並組織實施。
4、負責本機構計算機系統部署上線前的安全自測試方案的稽核。
5、定期檢查網路和徵信系統的安全執行狀況,組織檢查執行操作、備份、機房環境與文件等安全管理情況,發現問題,及時通報和預警,並提出整改意見,統計分析和協調處置資訊保安事件。
6、定期組織資訊保安宣傳教育活動,與相關部門配合開展資訊保安檢查,
(四)資訊保安管理員調離崗位時,應辦理交接手續,並履行其調離後的保密義務。 增強要求:
資訊保安管理員應增加資訊保安知識學習和技能掌握,及時關注國內外資訊保安和方案提出合理化建議。 2.3.3部門計算機安全員 基本要求:
(一)各部門的計算機安全員應由較熟悉計算機知識的人員擔,並報資訊保安管理部備案,如有變更應及時通報資訊保安管理部門。
(二)部門計算機安全員因積極配合資訊保安管理員的工作,各部門應優先選派部門計算機安全員參加資訊保安技術培訓。
(三)部門計算機安全員應履行以下職責:
1、負責配合資訊保安管理部完成本部門計算機病毒防治、補丁升級、非法外聯防範,系統故障應急處理、移動存介質管控等工作。
2、全面負責本部門的資訊保安管理工作。負責提出本部門的資訊保安保障需求,及時與資訊保安管理部門溝通本部門資訊保安情況,做好資訊保安通報工作,發現情況及時向資訊保安管理部門報告,
3、負責本部門相關文件資料的安全管理工作。以及本部門國際網際網路、徵信系統網路的使用和計入安全管理,組織開展本部門資訊保安自查,協助資訊保安管理部門完成本機構的資訊保安檢查工作。