7.金融信用信息基础数据库用户管理规范(银发2014-323号)
《金融信用信息基础数据库用户管理规范》
银发[2014]323号 2014.11.17
1. 范围
本标准规定了金融信用信息基础数据库管理员用户、数据报送用户、查询用户、异议处理用户等各类用户管理的一般原则。
本标准适用于金融信用信息基础数据库运行机构、向金融信用信息基础数据库报送或查询信息的机构进行用户设置与管理,并为各类机构建立内部审计和培训机制提供指导。
2. 术语与定义
2.1 下列术语和定义适用于本标准
信用信息:能够反映个人、企业或其他组织信用状况的信息,包括基本信息、信贷交易信息以及反映信息主体信用状况的其他信息等。
2.2 征信业务
对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。
2.3 用户机构
金融信用信息基础库的各类用户所在机构。
2.3.1
中国人民银行征信中心:金融信用信息基础数据库运行机构,负责金融信用信息基础数据库的建设、运行和维护。
2.3.2
中国人民银行各级查询网点:设在中国人民银行上海总部、各分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行、地市中心支行和县支行的查询网点,提供对外查询、异议处理服务。
2.3.3
从事信贷业务的机构:接入金融信用信息基础数据库的银行业金融机构和信托公司、财务公司、汽车金融公司、金融租赁公司、消费金融公司等非银行金融机构以及小额贷款公司、融资性担保公司、住房公积金中心等非金融机构。
从事信贷业务的机构按照《征信业管理条例》规定向金融信用信息基础数据库报送信贷信息,通过金融信用信息基础数据库查询信息主体的信用信息。
金融监管部门:银行业、证券业、保险业监督管理部门。
金融监管部门与中国人民银行协商一致后,通过接入方式从金融信用信息基础数据库获取信贷信息,用于防范金融风险,履行金融监督管理职责。
2.4 用户
各类机构管理、使用金融信用信息基础数据库的用户,包括管理员用户、报送用户、查询用户、异议处理用户。
2.4.1管理员用户:金融信用信息基础数据库设置的高级用户,用于设置和管理下级用户。2.4.1.1 超级管理员用户:金融信用信息基础数据库的系统内置初始用户,负责管理征信中心的一般管理员用户。
2.4.1.2 一般管理员用户:征信中心、从事信贷业务的机构、中国人民银行各级查询网点负责管理数据报送用户、查询用户、异议处理用户和下级一般管理员用户的管理员用户。2.4.2 数据报送用户:从事信贷业务的机构负责向金融信用信息基础数据库报送本单位信贷信息的用户。
2.4.3 查询用户:查询金融信用信息基础数据库信用信息的各类用户。
2.4.3.1 业务查询用户:从事信贷业务的机构为自身业务需要查询金融信用信息基础数据库信用信息的用户。
2.4.3.2 窗口查询用户:征信中心、中国人民银行各级查询网点为信息主体、法律规定有权查询的国家机关提供查询服务的用户。
2.4.3.3 金融监管查询用户:金融监管部门为防范金融风险查询信息主体信用信息的用户。
2.4.4 异议处理用户:征信中心、从事信贷业务的机构、中国人民银行各级查询网点处理信息主体提出的异议的用户。
2.5 国务院征信业监督管理部门及其派出机构
中国人民银行及其分支机构,依照《征信业管理条例》的规定,对征信中心、向金融信用信息基础数据库报送或者查询信息的机构的征信业务及其相关活动进行监督管理。
3. 管理原则
3.1 权限控制原则
各类用户的权限应与其职责相适应,机构应对用户权限严格控制,明确规定各类用户的权限和岗位职责,为用户分配权限时,应遵循权限最小化原则。用户岗位调整时,及时调整
3.2 监督制约原则
通过对各类用户权限的合理分配,建立不同用户之间权力制衡机制,形成各类用户相互制约、相互监督。
3.3 责任落实原则
用户机构应确保对报送、查询信息、处理异议的人员的业务操作行为做到可追溯,责任可落实,用户操作痕迹均保存在日志中,各类用户及其操作行为均不能删除:用户机构的业务操作行为应与其具体用户相对应,操作记录不因用户离职离岗等原因删除:用户机构发现本机构各类用户有违规行为,应及时予以处理。
3.4 信息安全保护原则
各类用户应依照《征信业管理条例》等法律法规的规定,查询信息主体的信息,对知悉的信息主体信息在合法合规的范围内使用。不得泄露、违规使用,不得违法向第三方提供。
各类用户应妥善保管自己的系统密码,依照金融信用信息基础数据库的系统功能设置定期更改;因密码保管不善、密码更改不及时而导致信息安全事故的,泄露密码的用户及其所在单位应承担相应的责任。
4. 制度建设
用户机构应按照法律法规、中国人民银行管理要求,根据自身业务特点、技术水平以及组织架构等情况,制定与本机构实际情况相适应的内控制度。内控制度应当涵盖用户及其权限管理、数据加工、信息报送、信息查询及使用、异议处理、信息安全等各项工作。
5. 中国人民银行征信中心用户管理
5.1 超级管理员用户
5.1.1用户职责
负责征信中心一般管理员用户的管理。
5.1.2 用户管理
5.1.2.1 用户创建
超级管理员用户是金融信用信息基础数据库内置的初始化用户,由征信中心指定专人管理。
5.1.2.2管理人变更
超级管理员用户不停用,超级管理员用户实际管理人发生改变的。应经征信中心负责人审批同意。
5.1.2.3用户操作
根据系统设置,在权限范围内对本人登陆密码进行设置和修改。
审查征信中心一般管理员用户的申请:符合条件的,设置用户信息,赋予其相应枳限。应征信中心一般管理员用户的申请维护用户信息、重置用户密码和停用用户。
超级管理员用户不得擅自创建一般管理员用户、修改所创建的一般管理员用户的基本信息,不得创建除征信中心一般管理员用户以外的其他用户。
超级管理员用户不得直接访问金融信用信息基础数据库的信用信息。
5.2 一般管理员用户
5.2.1 用户职责
管理征信中心窗口查询用户和异议处理用户。
管理中国人民银行副省级城市中心支行以上分支机构查询网点、从事信贷业务的机构总部一般管理员用户,在需要的情况下,也可直接管理上述机构的查询用户、异议处理用户。
管理金融监管部门的查询用户。
一般管理员用户不得随意创建用户、修改所创建用户的基本信息、增加或删除用户权限。一般管理员用户和窗口查询用户、异议处理用户不得兼任。
5.2.2用户管理
5.2.2.1用户创建
征信中心一般管理员用户需经征信中心分管负责人批准,由超级管理员用户创建,设置在征信中心相关业务部门。
5.2.2.2用户操作
审查设置征信中心窗口查询用户和异议处理用户、中国人民银行副省级城市中心支行以上分支机构查询网点和从事信贷业务的机构总部一般管理员用户的申请,以及由征信中心直接管理的上述机构的查询用户、异议处理用户等非一般管理员用户的申请:符合条件的,设置用户信息,赋予其相应权限。
应上述用户的申请维护用户信息、重置用户密码、变更用户权限和停用用户。
发现所创建的用户存在异常操作时,应及时向用户所在机构和当地征信业监督管理部门报告,提请用户所在机构或当地征信业监督管理部门进行核查,必要时经征信中心负责人同意,宜停止其操作权限,同时报国务院征信业监督管理部门。
根据国务院征信业监督管理部门的通知,停止从事信贷业务的机构或其某一分支机构的查询权限。
一般管理员用户不得访问金融信用信息基础数据库的信用信息。
5.2.2.3 用户停止
一般管理员用户因离职、离岗或其他原因不再担任管理员用户岗位的,经所在部门负责人审核后,报征信中心分管负责人同意后,停用其用户,同时创建新的一般管理员用户。5.3 窗口查询用户
5.3.1 用户职责
征信中心应设立窗口查询用户,对外提供查询服务。
接受信息主体的申请.为其提供金融信用信息基础数据库查询服务。
接受法律规定有查询权的国家机关的申请,为其提供金融信用信息基础数据库查询服务。
5.3.2用户管理
5.3.2.1用户创建
创建窗口查询用户,应经窗口查询用户所在部门负责人批准后,向一般管理员用户所在部门提出申请,由一般管理员用户创建。
5.3.2.2用户操作
窗口查询用户受理的查询业务必须通过查询专机办理。查询专机应指定专人负责管理,必须与互联网实现物理隔离。
限定查询专机使用时间。应在工作时间受理查询,非工作时间不得查询,查询专机使用时间应与对外受理查询时间一致。
窗口查询用户接受信息主体提交的查询申请时,需审核信息主体查询申请是否符合规定,查询申请表各要素是否填写齐全,审核合格后,窗口查询用户进行查询业务操作。
窗口查询用户接受国家机关按照法律规定提交的查询申请时,应审查其相应的法律文书、查询申请表、保密承诺书等材料,符合条件,予以查询:不符合条件的,不得受理查询申请,并说明原因。
建立查询申请材料复核归档制度,防止材料遗失、确保申请材料和系统日志相一致,核对无误后的查询申请材料应及时归档。
5.3.2.3用户停止
窗口查询用户因离职或离岗等原因不再承担窗口查询职责的,由征信中心一般管理员用户停用。
窗口查询用户未经信息主体授权查询信用信息的,违反规定向国家机关提供查询服务
的,将查询的信用信息用于规定用途以外的,违反用户管理和信用信息保密规定的,窗口查询用户所在部门应通知一般管理员用户停止其查询权限,并报征信中心主管领导。
一般管理员发现窗口查询用户有违规查询行为或查询异常的,应暂停其查询权限,通知窗口查询用户所在部门核查。
5.4 异议处理用户
5.4.1用户职责
接受信息主体提出的异议申请,核实、处理、答复异议申请,汇总异议处理信息。
负责与异议核实部门的沟通,协调其他部门处理异议。
异议处理用户不得篡改金融信用信息基础数据库中的信息主体信息。
5.4.2用户管理
5.4.2.1用户创建
异议处理用户由同级一般管理员用户负责创建。
申请创建异议处理用户,应由异议处理用户所在业务部门负责人批准后,向一般管理员用户所在部门申请,经一般管理员用户所在部门负责人审核后,由一般管理员用户创建。5.4.2.2用户操作
受理信息主体提出的异议申请,对信息主体提出的异议进行登记,在金融信用信息基础数据库中进行异议标注。
查看信息主体在金融信用信息基础数据库中的信息,提请征信中心相关业务部门进行核实,确认属于征信中心内部数据处理错误的,通知相关部门改正,并报中心主管领导。
异议内容不属于征信中心内部数据处理错误的,提请从事信贷业务的机构进行核查,督促从事信贷业务的机构按时回复。
经核查,异议数据没有错误的,取消异议标注;不能确认的,对核查情况和异议内容予以记载。
对信息主体添加个人声明的申请,异议处理用户应在金融信用信息基础数据库中为其添加个人声明。
定期汇总统计异议处理情况。
异议处理用户无权修改信息主体在金融信用信息基础数据库中的信息。
5.4.2.3用户停止
因离职、离岗等原因不再承担异议处理职能,由所在部门提出申请,由一般管理员用户停用。
有违规操作行为,泄露、篡改信息主体信息的,由一般管理员用户停止其权限,并通知异议处理用户所在部门按照规定处理。
●6. 中国人民银行各级查询网点用户管理
6.1 一般管理员用户
6.1.1 用户职责
管理窗口查询用户、异议处理用户和下级一般管理员用户。
审核设置用户的申请.创建相应用户.对创建用户的操作行为进行监测。
一般管理员用户不得兼任窗口查询用户。
6.1.2用户管理
6.1.2.1用户创建
申请创建中国人民银行副省级城市中心支行以上分支机构查询网点一般管理员用户,由其所在部门向征信中心提出申请,由征信中心一般管理员负责创建。
申请创建地市中心支行查询网点一般管理员用户,由其所在部门向上级行查询部门提出申请,经上级行查询部门负责人批准后,由上级行一般管理员用户创建。
所辖地市中心支行较少的省会城市中心支行、分行查询网点,可不设置地市中心支行查询网点一般管理员用户;县支行查询网点不设置一般管理员用户。
6.1.2.2用户操作
审查设置查询用户、异议处理用户和下级管理员用户的申请:设置用户信息,赋予其相应权限。
监测所创建的查询用户、异议处理用户的业务操作行为,发现所创建的用户存在异常操作时,及时报本单位主管部门进行核查.必要时经本查询网点负责人同意,宜先停止该用户的权限。
6.1.2.3用户停止
副省级城市中心支行以上分支机构查询网点一般管理员用户因离职、离岗等原因不再担任管理员职责的,由其所在部门通知征信中心,申请创建新管理员用户,同时停止使用原管理员用户。
地市中心支行查询网点一般管理员用户因离职、离岗等原因不再担任管理员职责的,由其所在部门向上级行查询部门报告,申请创建新的管理员用户,同时停止使用原管理员用户。6.2 窗口查询用户
6.2.1 用户职责
接受信息主体的申请,为其提供金融信用信息基础数据库查询服务。
接受具有法律规定查询权的国家机关的申请,为其提供金融信用信息基础数据库查询服务。
6.2.2用户管理
6.2.2.1 用户创建
窗口查询用户经本部门负责人批准后,由同级或上级管理员用户创建。
6.2.2.2用户操作
中国人民银行各级分支机构查询网点受理的所有个人征信信息查询业务必须通过查询专机办理,查询专机应指定对应的窗口查询用户专人负责管理,查询专机必须与互联网实现物理隔离。
窗口查询用户接受信息主体提交的查询申请时,需审核信息主体查询申请是否符合规定,查询申请表各要素是否填写齐全,审核合格后,窗口查询用户进行查询业务操作。
窗口查询用户接受国家机关按照法律规定提交的查询申请时,应审查其相应的法律文书、查询申请表、保密承诺书等材料,符合条件,予以查询;不符合条件的,不得受理查询申请,并说明原因。
建立查询申请材料复核归档制度,防止材料遗失、确保申请材料和系统日志相一致,核对无误后的查询申请材料应及时归档。
●中国人民银行分支机构行领导、其他业务部门通过本单位查询网点窗口查询用户查询个人或企业信用信息的,按照国家机关查询规定办理查询申请。
中国人民银行分支机构查询网点为国家机关查询提供服务中出现异常查询的,暂停其向国家机关提供查询服务的权限。
6.2.2.3用户停止
窗口查询用户因离职或离岗等原因不再承担窗口查询职责的,经本部门负责人批准,由同级或上级管理员用户对其实施停止使用操作。
窗口查询用户未经信息主体授权查询信用信息的,违反规定向国家机关提供查询服务的,将查询的信用信息用于规定用途以外的,违反用户管理和信用信息保密规定的,一般管理员停止其查询权限,并报查询网点负责人。
一般管理员发现窗口查询用户有违规查询行为或接到征信中心异常查询提示的,应暂时停止窗口查询用户查询权限,并报查询网点负责人。
6.3 异议处理用户
接受信息主体提出的异议申请,答复异议申请,汇总异议处理信息。
负责与异议核实部门的沟通,协调相关部门处理异议。
异议处理用户不得篡改金融信用信息基础数据库中的信息主体信息。
6.3.2用户管理
6.3.2.1用户创建
异议处理用户经本部门负责人批准后,由同级或上级管理员用户创建。
6.3.2.2用户操作
受理信息主体提出的异议申请,对信息主体提出的异议进行登记,按照金融信用信息基础数据库系统功能设置进行异议标注。
查看信息主体在金融信用信息基础数据库中的信息,对异议内容提请征信中心进行核实。
对信息主体要求添加个人声明的,异议处理用户应当按照金融信用信息基础数据库功能设置为其添加。
定期汇总统计异议处理情况。
异议处理用户无权修改信息主体在金融信用信息基础数据库中的信息。
6.3.2.3用户停止
异议处理用户因离职、离岗等原因不再承担查询职能的,经本部门负责人批准.由同级或上级管理员用户对其实施停用操作。
异议处理用户有违规查询行为,泄露、篡改信息主体信息的,一般管理员用户应立即停止其权限,同时提请所在单位负责人进行审查。
7. 从事信贷业务的机构用户管理
7.1 一般管理员用户
7.1.1用户职责
管理本级业务查询用户、异议处理用户、数据报送用户和下级机构一般管理员用户。审核设置用户的申请,创建相应用户,对所创建用户的业务操作行为进行监测。
一般管理员用户可根据需要,直接管理下级机构的业务查询用户、异议处理用户和数据报送用户。
一般管理员用户不得擅自创建用户、修改所创建用户的基本信息、增加或删除用户权限。
一般管理员用户不得兼任业务查询用户。
7.1.2.1 用户创建
从事信贷业务的机构的总部一般管理员用户由征信中心一般管理员用户负责创建,宜设在总部牵头征信业务活动的部门或负责本单位征信业务活动管理的部门。
下级机构一般管理员用户由上级机构一般管理员用户创建,下级机构业务查询用户、异议处理用户较少的,可不设一般管理员用户。
同级机构业务查询用户、异议处理用户较多的.一般管理员用户可在同级其他部门设置下级一般管理员用户。
7.1.2.2用户操作
审查设置数据报送用户、业务查询用户、异议处理用户和下级一般管理员用户的申请,符合条件的,设置用户信息,赋予其相应权限。
监测所创建的数据报送用户、业务查询用户、异议处理用户的业务操作行为,发现所创建的用户存在异常操作时,及时提请违规用户所在机构或部门进行核查,必要时宜先停止该用户的操作权限。
一般管理员用户不得擅自创建用户、增加或删除用户权限、修改所创建用户的基本信息。7.1.2.3用户停止
总部一般管理员用户因离职、离岗等原因不再担任管理员用户的,征信业务牵头部门或负责本单位征信业务活动管理的部门应立即通知征信中心,将该管理员用户停用,同时申请创建新的管理员用户。
下级管理员用户因离职、离岗等原因不再担任一般管理员用户时,由所在部门向上级一般管理员用户报告,将该管理员用户停用,同时申请创建新的管理员用户。
7.2 数据报送用户
7.2.1用户职责
负责向金融信用信息基础数据库报送报文,下载反馈报文,处理反馈报文及错误数据。7.2.2用户管理
7.2.2.1用户创建
数据报送用户由同级管理员用户创建。
数据报送用户不得兼任业务查询用户。
通过页面方式报送数据的机构,应专人专户;通过专用传输工具报送数据的机构,可设置统一报送用户,但数据报送职责要落实到具体人员。
7.2.2.2用户操作
数据报送用户确认数据报文符合金融信用信息基础数据库系统设置规范后,向金融信用信息基础数据库传输数据报文。
数据报送用户如发现数据报送过程异常时,应及时通知技术及数据部门进行分析处理:对已经报送的问题报文,应及时通知征信中心调整报文加载顺序、暂停或取消报文加载。
数据报送用户应在数据提交后及时跟踪金融信用信息基础数据库报文处理进程,一旦发现金融信用信息基础数据库报文加载调度停滞、遗漏、顺序错误的,应联系征信中心及时处理。
数据报送用户收到金融信用信息基础数据库反馈的校验出错信息,应及时加载记录在本机构数据管理系统中并提供给技术人员分析,属于程序性错误的,由技术部门进行分析整改;属于信贷业务数据本身不满足报送条件的,由信贷业务经办机构或管理部门进行处理。
数据报送用户不得对数据进行篡改或对外泄露。
7.2.2.3用户停止
数据报送用户专人专户的,报送人员因离职、离岗等原因不再承担数据报送功能时,应由所在部门提出申请,由同级一般管理员用户停止其报送数据权限,重新创建新的数据报送专户,采用专用传输工具及统一报送用户报送数据的,应做好数据报送人员离职、离岗前的脱密处理。
数据报送人员有篡改数据、泄露数据等违规操作行为的,一般管理员用户应停止其数据报送权限,并通知数据报送用户所在部门处理。
7.3业务查询用户
7.3.1 用户职责
根据本机构业务办理的需要,查询使用金融信用信息基础数据库中的信息。
7.3.2用户管理
7.3.2.1用户创建
业务查询用户一般由同级机构的管理员用户创建。本级机构查询用户较少的.宜由上级机构的一般管理员用户创建;从事信贷业务的机构查询用户较少的,也可由征信中心一般管理员用户创建。
申请创建业务查询用户,应由用户本人申请.由业务查询用户所在部门负责人批准后,向一般管理员用户所在部门申请,经一股管理员用户所在部门负责人或其授权人员审核后.由一般管理员用户创建。
查询用户的创建应当与其岗位职责相适应,一般管理员用户应根据业务查询用户的级别、业务职能、所在地区设置不同层级的查询权限。
从事信贷业务的机构实施单笔页面查询的,业务查询用户实行一人一户、实名制,不得多人共用一个查询用户。
从事信贷业务的机构实施接口或批量查询的,可以设置统一查询用户,但接口或批量查询系统设置应确保后台发起查询或使用查询结果的具体人员操作有记录、可定位、可追溯。
从事信贷业务的机构无论采用单笔页面查询还是接口查询或批量查询的,都应保证征信业监督管理部门能够提取本机构的查询明细,不得以统一查询用户为名拒绝提供查询明细。7.3.2.2用户操作
查询金融信用信息基础数据库中的信息主体信息,应取得信息主体的书面同意;查询个人信息的,还应当约定查询用途。
查询用户应审查信息主体是否同意查询、是否在授权期限内、个人信息是否约定用途范围。相关资料完备的,通过金融信用信息基础数据库查询信息主体信息。
信息主体的申请材料、授权同意查询的文本、查询所形成的信用报告等档案资料,应按照本单位档案管理规定妥善保管。
7.3.2.3用户停止
业务查询用户因离职、离岗等原因不再承担查询职能,由所在部门提出申请,由同级或上级一般管理员用户停止其查询权限。
业务查询用户有违规查询行为的,一般管理员用户应停止其查询权限。
一般管理员用户发现业务查询用户有异常查询情况时,或接到上级管理员用户或征信中心一般管理员用户发出的异常查询提示时,可暂时停止异常查询用户的查询权限,并通知业务查询用户所在部门进行核查。
7.4 异议处理用户
7.4.1 用户职责
接受信息主体提出的异议申请,核实、处理、答复异议申请.汇总异议处理信息。
负责与异议核实部门的沟通,协调相关部门处理异议。
7.4.2用户管理
7.4.2.1 用户创建
异议处理用户由同级或上级管理员用户负责创建。
申请创建异议处理用户,应由异议处理用户提出申请,经所在业务部门负责人批准后,
向同级或上级一般管理员用户所在部门申请,经一般管理员用户所在部门负责人或其授权人员审核后,由一般管理员用户创建。
7.4.2.2用户操作
受理信息主体提出的异议申请,对信息主体提出的异议进行登记,按照金融信用信息基础数据库系统功能设置进行异议标注。
查看信息主体在金融信用信息基础数据库中的信息,对异议内容提请有关部门进行核实。
对信息主体要求添加个人声明的,异议处理用户应按照金融信用信息基础数据库功能设置为其添加。
定期汇总统计异议处理情况。
7.4.2.3用户停止
因离职、离岗等原因不再承担异议处理职能,由所在部门提出申请,由同级或上级一般管理员用户停止该异议处理用户的权限。有违规行为的,管理员用户可不经申请,立即停止其权限。
一般管理员用户发现异议处理用户有异常查询情况时,或接到上级管理员或金融信用信息基础数据库运行机构管理员发出的异常查询提示时,可先暂停异议处理用户查询权限。
8. 金融监管部门用户管理
8.1 用户职责
根据本单位防范金融风险的需要,查询金融信用信息基础数据库的企业信息。
8.2 用户管理
8.2.1用户创建
金融监管部门只设立金融监管查询用户。
金融监管部门的查询用户由征信中心或中国人民银行同级查询网点一般管理员用户创建。
8.2.2用户操作
根据金融监管部门制定的内部管理制度和流程,查询金融信用信息基础数据库企业信息。
对信用信息查询档案资料进行整理归档。
8.2.3 用户停止
金融监管部门查询用户离职或离岗的,应由其所在单位通知征信中心一般管理员用户或
中国人民银行同级查询网点一般管理员用户停止使用操作;一般管理员用户发现金融监管部门查询用户未按照规定查询信用信息的,将查询的信息用于本单位业务之外的,有权停止其查询权限,同时通知查询用户所在部门。
9. 信息反馈
征信中心应当在金融信用信息基础数据库中设置相关监测和统计功能,汇总金融信用信息基础数据库用户设置情况、用户查询情况。各用户所在机构应当根据征信中心提供的信息,核查本机构用户的设置是否与其职责、岗位相适应,用户查询量是否符合其业务办理状况。
征信中心应建立异常查询预警机制,对出现异常查询的用户,应及时反馈用户所在机构和所在地中国人民银行分支机构征信管理部门。用户所在机构收到征信中心的反馈后,应对该用户的业务办理情况进行核实,审查其是否与业务办理需要相适应,核查结束后,应将核查结果反馈征信中心和所在地中国人民银行分支机构;中国人民银行分支机构收到反馈后,可以对异常用户所在机构的查询情况进行核查,确有违规行为的,按照《征信业管理条例》规定处理。
10. 内控检查
10.1检查内容
从事信贷业务机构的征信工作牵头部门应定期开展征信工作检查,对用户设置、本机构数据报送、信息查询和使用、信息安全以及相关内控制度建设、执行情况进行检查,防范违规行为的发生。
征信中心应定期对本机构各级用户的设置、用户权限、金融信用信息基础数据库的信息安全、本机构用户查询金融信用信息基础数据库的情况以及相关内控制度的建设、执行情况进行检查。
10.2检查处置
从事信贷业务的机构、征信中心每年至少检查一次,对检查过程中发现的问题,应积极整改。检查报告报所在地中国人民银行分支机构,全国性从事信贷业务的机构和征信中心的检查报告应报中国人民银行总行。
11. 用户培训
用户机构应建立征倍业务培训机制,对辖内各类用户,每年至少开展一次金融信用信息基础数据库信息合规操作、征信信息合规使用、保障信息主体权益的专项培训。
各类在岗用户应参加中国人民银行征信管理部门、征信中心或本单位征信业务牵头部门、征信业务活动管理部门组织的培训,充分掌握征信业务知识和工作技能,避免因操作风
险而产生信息安全事故。
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
研发部门数据库管理规范标准
版/次:2015.11.19 数据库管理规 编制:钱凌杰 审核: 批准: 分发号: XXX信息科技 2015年11月
目录 一、总则 (3) 二、适用围 (3) 三、数据库管理员主要职责 (3) 四、数据库的日常管理工作 (3) 4.1每日的管理工作 (3) 4.2数据库管理的每月工作 (4) 4.3数据库管理的每年工作 (4) 五、数据库的安全管理 (5) 5.1数据库环境安全 (5) 5.2数据库系统安装、启动与更新时的安全规定 (5) 5.3安全和口令策略 (6) 5.4访问控制 (8) 5.5紧急事故的处理 (8) 5.6数据库文件管理 (9) 5.7数据库安全管理 (9) 六、备份与恢复 (9) 6.1备份方式及策略 (10) 6.2备份要求 (10) 6.3恢复的管理 (11) 6.4对长期保存的备份进行校验 (12) 6.5异地容灾备份 (12) 七、日志及监控审计 (12) 7.1审计围 (12) 7.2日志保存 (12) 7.3日志访问 (13) 7.4安全审计 (13) 八、数据存放、归档管理 (13) 九、附则 (14)
一、总则 为规XXX信息科技(以下简称“公司”)信息系统的数据库管理和配置方法,保障信息系统稳定安全地运行,特制订本办法。 二、适用围 本规中所定义的数据管理容,特指存放在信息系统数据库中的数据,对于存放在其他介质的数据管理,参照相关管理办法执行。 三、数据库管理员主要职责 1、负责对数据库系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。负责数据库的安全运行。 2、负责定期对所管辖的数据库系统的配置进行可用性,可靠性,性能以及安全检查。 3、负责定期对所管辖的数据库系统的可用性,可靠性,性能以及安全的配置方法进行修订和完善。 4、负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 5、负责对所管辖数据库系统的数据一致性和完整性,并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 6、负责做好数据库系统及数据的备份和恢复工作。 四、数据库的日常管理工作 4.1每日的管理工作 数据库管理员每天登录到服务器操作系统,进行如下检查工作:
数据安全管理办法 解读
数据安全管理办法解读 第一章总则 第一条为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。 第二条在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。 法律、行政法规另有规定的,从其规定。 第三条国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。 第四条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用等,依法惩治危害数据安全的违法犯罪活动。 第五条在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。 地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。
第六条网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。 第二章数据收集 第七条网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。 第八条收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容:(一)网络运营者基本信息; (二)网络运营者主要负责人、数据安全责任人的姓名及联系方式; (三)收集使用个人信息的目的、种类、数量、频度、方式、范围等; (四)个人信息保存地点、期限及到期后的处理方式; (五)向他人提供个人信息的规则,如果向他人提供的; (六)个人信息安全保护策略等相关信息; (七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法; (八)投诉、举报渠道和方法等; (九)法律、行政法规规定的其他内容。
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
Oracle数据库安全配置规范华为
目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 .......................................................................................................... 错误!未定义书签。 1.3外部引用说明 .............................................................................................................. 错误!未定义书签。 1.4术语和定义 .................................................................................................................. 错误!未定义书签。 1.5符号和缩略语 (2) 2ORACLE安全配置要求 (2) 2.1账号 (2) 2.2口令 (7) 2.3日志 (11) 2.4其他 (13)
1概述 1.1适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求,在未特别说明的情况下,均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能、安全日志功能,和其他自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能,并应满足以下各项要求。 2.1.1按用户分配帐号
数据库运行管理规范
数据库运行管理规范
目录 1.总则 (3) 2.适用范围 (3) 3.数据库管理员主要职责 (3) 4.数据库的日常管理工作 (3) 5.数据库的安全管理 (5) 6.备份与恢复 (10) 7.日志及监控审计 (13) 8.数据存放、归档管理 (14)
1.总则 1.1为规范我司信息系统的数据库管理和配置方法,保障信息系统稳定安全地运行,特制订本办法。 2.适用范围 本规范中所定义的数据管理内容,特指存放在信息系统数据库中的数据,对于存放在其他介质的数据管理,参照相关管理办法执行。 3.数据库管理员主要职责 3.1负责对数据库系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。负责数据库的安全运行。 3.2负责定期对所管辖的数据库系统的配置进行可用性,可靠性,性能以及安全检查。 3.3负责定期对所管辖的数据库系统的可用性,可靠性,性能以及安全的配置方法进行修订和完善。 3.4负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 3.5负责对所管辖数据库系统的数据一致性和完整性,并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 3.6负责做好数据库系统及数据的备份和恢复工作。 4.数据库的日常管理工作 4.1每日的管理工作 4.1.1数据库管理员每天登录到服务器操作系统,进行如下检查工
作: (1)检查所有的数据库实例状态以及所有与数据库相关的后台进程。 (2)检查数据库网络的连通与否,比如查看监听器(listener)的状态、网络能否ping通其它的计算机、应用系统的客户端能否连通服务器等等。 (3)检查磁盘空间的使用情况。如果剩余的空间不足 20% ,需要删除不用的文 件以释放空间。 (4)查看告警文件有无异常。 (5)根据数据库系统的特点,检查其它的日志文件中的内容,发现异常要及时 加以处理。 (6)检查CPU、内存及IO等的状态。 (7)检查备份日志文件以及网络备份软件的监控记录,确定自动备份成功完成。对于数据库的脱机备份,要确信备份是在数据库关闭之后才开始的,备份内容是否齐全。运行在归档模式下的数据库,既要注意归档日志文件的清除,以免磁盘空间被占满,也必须注意归档日志文件的保留,以备恢复时使用。 (8)每天运行数据库管理控制台,检查数据存储空间的使用情况、剩余情况, 必要时,增大数据存储空间容量。对于使用量增加快的表空间要特别关注。 4.2数据库管理的每月工作 (1)收集数据库的性能统计数据,检查高速缓存区命中率、资源争用等统计信息,若不理想,设法加以分析改善。 (2)检查数据对象存储空间碎片情况,必要时加以调整。 (3)比较分析数据库系统和操作系统的CPU,内存,网络,及硬盘的利用率, 以此确定出近期将可能出现的资源争夺趋势,必要时加以调整,以避免系统资源的争夺,如果调整还达不到要求,须考虑增加新资源。 (4)检查每日数据库管理工作的执行情况,用户、数据对象存储空间增加删改 的记录是否齐全,备份记录、维护记录是否齐全,不足的及时补上。
数据安全管理规范标准[详]
业务平台安全管理制度 —数据安全管理规范
XXXXXXXXXXX公司网络运行维护事业部 目录 一. 概述 (1) 二. 数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三. 数据信息重要性评估 (5) 3.1数据信息分级原则 (5) 3.2数据信息分级 (5) 四. 数据信息完整性安全规范 (7)
五. 数据信息保密性安全规范 (8) 5.1密码安全 (8) 5.2密钥安全 (9) 六. 数据信息备份与恢复 (11) 6.1数据信息备份要求 (11) 6.1.1 备份要求 (11) 6.1.2 备份执行与记录 (11) 6.2备份恢复管理 (12)
一. 概述 数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
二. 数据信息安全管理制度 2.1 数据信息安全存储要求 数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定: ◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 ◆删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留 信息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填 入无用的信息进行覆盖。 ◆任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。 2.2 数据信息传输安全要求 ◆在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择 和应用加密技术时,应符合以下规范: ?必须符合国家有关加密技术的法律法规; ?根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用 密钥的长度;
大数据安全运维服务
大数据安全运维服务 服务方式及内容: 以驻场服务的方式派驻技术人员在客户现场提供服务,以规范化的安全运维工作流程和标准规范为基础,帮助用户从安全防护及检测、事件响应和安全改进三方面控制安全风险,积极开展落实日常安全工作。 一、安全防护运维服务 1.1安全设备巡检 信息系统运行过程中,可能面临安全产品运行异常、安全事件的发生等情况,为有效应对这些情况的出现需要开展长期的安全产品运行监测工作,以及时发现并按照流程有效处理。定期对用户已有安全设备的规则库、策略库和日志进行巡检,出具巡检分析对比报告,提供相关的策略优化建议等。 1.2策略配置 通过全面落实安全策略、合理配置安全产品防护规则,对来自各网络区域的网络攻击行为进行防护规则库升级 1.3产品升级设及策略备份 定期对安全设备的软件版本、特征库进行升级,确保安全设备的安全稳定运行的同时,也确保安全设备规则的最新。 1.4信息安全预警通告 信息安全预警通告服务通过收集最新的信息安全咨询,为用户提供全面、准确的信息安全预警通告服务 1.5漏洞扫描 定期对用户的服务器、网络设备、数据库和应用进行扫描,发现信息系统中存在的安全隐患,并提供相关的解决方案,协助用户对漏洞进行修补。 二、安全事件响应服务 2.1、安全事件处置 配合客户对日常安全运维中发现的各类安全事件进行处置,对客户单位的各类信息安全相关工作提供安全技术支持等。 2.2、重要时期保障 根据客户提出的重要时期保障工作要求,确认工作内容,并详细了解客户现
场环境,为保障工作做准备。加强驻场和二线人力保障。 2.3安全应急演练 配合用户开展应急演练工作,通过应急演练工作验证应急流程的经济性、合理性和可操作性,评估各方面人员应对安全突发事件的组织指挥能力和应急处置能力,提高应急人员应急工作熟练程度,提升全员安全意识 三、协助落实安全工作 3.1协助安全检查 协助制定安全自查计划并开展自查工作,在安全自查和安全整改以及国家相关部门的信息安全检查期间提供全过程的技术支持,帮助客户全面掌握信息安全现状,及时发现安全问题并进行完善性修复,切实提高信息安全保障水平,顺利通过安全检查工作。 3.2协助处置通报 在接到主管单位的内部通报后,驻场人员对通报内容进行分析,以通报内容为线索,对全厅网络进行检查,追溯溯源,通报的内容包括但不限于: 1. 信息安全事件 2. 病毒通报 3. 漏洞通报 4. 其他安全工作 3.3其他定制化的安全服务 根据用户自身的需求,配合用户完成相关定制化的服务 2018年3月20日
数据库运行管理规范——【信息安全管理体系文件】
数据库运行管理规范 1总则 1.1为规范XX公司信息通信分公司(以下简称“公司”)信息系统的数据库管理和配置方法,保障信息系统稳定安全地运行,特制订本办法。 2适用范围 本规范中所定义的数据管理内容,特指存放在信息系统数据库中的数据,对于存放在其他介质的数据管理,参照相关管理办法执行。 3数据库管理员主要职责 3.1负责对数据库系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。负责数据库的安全运行。 3.2负责定期对所管辖的数据库系统的配置进行可用性,可靠性,性能以及安全检查。 3.3负责定期对所管辖的数据库系统的可用性,可靠性,性能以及安全的配置方法进行修订和完善。 3.4负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 1
3.5负责对所管辖数据库系统的数据一致性和完整性,并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 3.6负责做好数据库系统及数据的备份和恢复工作。 4数据库的日常管理工作 4.1每日的管理工作 4.1.1数据库管理员每天登录到服务器操作系统,进行如下检查工 作: (1)检查所有的数据库实例状态以及所有与数据库相关的后台进程。 (2)检查数据库网络的连通与否,比如查看监听器(listener)的状态、网络能否ping通其它的计算机、应用系统的客户端能否连通服务器等等。 (3)检查磁盘空间的使用情况。如果剩余的空间不足 20% ,需要删除不用的文件以释放空间。 (4)查看告警文件有无异常。 (5)根据数据库系统的特点,检查其它的日志文件中的内容,发现异常要及时加以处理。 1
(6)检查cpu、内存及IO等的状态。 (7)检查备份日志文件以及网络备份软件的监控记录,确定自动备份有无成功完成。对于数据库的脱机备份,要确信备份是在数据库关闭之后才开始的,备份内容是否齐全。运行在归档模式下的数据库,既要注意归档日志文件的清除,以免磁盘空间被占满,也必须注意归档日志文件的保留,以备恢复时使用。 (8)每天运行数据库管理控制台,检查数据存储空间的使用情况、剩余情况,必要时,增大数据存储空间容量。对于使用量增加快的表空间要特别关注。 4.2数据库管理的每月工作 (1)收集数据库的性能统计数据,检查高速缓存区命中率、资源争用等统计信息,若不理想,设法加以分析改善。 (2)检查数据对象存储空间碎片情况,必要时加以调整。 (3)比较分析数据库系统和操作系统的CPU,内存,网络,及硬盘的利用率,以此确定出近期将可能出现的资源争夺趋势,必要时加以调整,以避免系统资源的争夺,如果调整还达不到要求,须考虑增加新资源。 (4)检查每日数据库管理工作的执行情况,用户、数据对象存储空间增加删改的记录是否齐全,备份记录、维护记录是否齐全,不足的及时补上。 4.3数据库管理的每年工作 1
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
安全隐患数据库管理办法
安全隐患数据系统管理规定 为推动公司安全管理工作“公开化、透明化、规范化”,体现“齐抓共管,确保安全”的原则,安检部与信息中心联合开发了“安全生产隐患数据信息系统”,经过试运行,证明这种管理模式有助于全员参与查找不安全因素,最终达到彻底消除隐患之目的。 为确保此项工作落到实处,充分调动职工参与的积极性,规范安全管理人员的行为,制定如下管理办法。 一、管理规定 (一)公司任何一位员工,均有查找不安全隐患,并向安全隐患数据库填、录的权利和义务。在OA系统上未注册的人员,可借用已注册人员的OA登录,已注册人员不许拒绝。 (二)各公司主要负责人需经常关注该数据库系统的内容,对安全员提出的处理结果与完成时限进行审核,并提供大力支持,确保隐患按期整改完成。 (三)各公司安全员作为安全生产管理专职人员,负责对在周、月及不定时检查中发现的安全生产隐患及时录入数据库系统,各公司主管安全生产的经理对此负有监督、管理责任; (四)各公司安全员对隐患整改过程,负有监督、检查的权利和义务,对不能完成整改的,要说明原因,写出书面报告,报本公司经理,经理确认、签字后,上报安检部。 (五)各公司安全员应将安全隐患数据库的使用方法,宣贯到每一个职工,并鼓励和支持他们发现和填报安全生产隐患。
(六)各公司班组负责人对在日常工作当中发现的安全生产隐患,及时录入数据库系统,未及时录入的应承担相应责任,安全员对此负有监督、管理责任。 (七)总公司安检部是安全管理的职能部门,对各种隐患的处理结果与完成期限进行跟踪与监督,发现未按要求整改的,提出处理意见并上报总公司领导。 (八)总公司信息中心对数据库的正常运行提供技术支持和服务,及时解决运行中的问题。 二、奖惩规定 (一)对于积极参与查找不安全隐患,或及时发现重大隐患的员工与管理层人员按如下办法实施奖励: 1、员工提出不安全隐患,经确认属实,每月三处以上的,根据隐患风险程度给予50-500元的奖励;发现重大隐患的给予500-2000元的奖励;并以此作为评选安全先进单位和个人的前提条件; 2、管理层人员提出不安全隐患,或处理隐患方案合理、期限及时,经确认属实,适隐患风险程度给予50-200元的奖励;对重大隐患处理及时的给予200-1000元的奖励。 (二)对于各部门经理、分公司经理(副经理)、安全员、各部门主管,不履行安全生产职责,有下列情况之一的实施处罚: 1、对在日常工作中发现了安全生产隐患,故意隐瞒不向数据库系统填报的,罚款200元; 2、对已发现的安全生产隐患,不积极采取措施处理,或对下级报送的隐患不安排,置之不理的,罚款1000元;
数据库运维管理规范
数据库运维管理规范 龙信思源(北京)科技有限公司 一、总则 为规范公司生产系统的数据库管理与配置方法,保障信息系统稳定安全地运行,特制订本办法。 二、适用范围 本规范中所定义的数据管理内容,特指存放在系统数据库中的数据,对于存放在其她介质的数据管理,参照相关管理办法执行。 三、数据库管理员主要职责 3、1、负责对数据库系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。负责数据库的安全运行。 3、2、负责定期对所管辖的数据库系统的配置进行可用性,可靠性,性能以及安全检查。 3、3、负责定期对所管辖的数据库系统的可用性,可靠性,性能以及安全的配置方法进行修订与完善。
3、4、负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 3、5、负责对所管辖数据库系统的数据一致性与完整性,并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 3、6、负责做好数据库系统及数据的备份与恢复工作。 四、数据库的日常管理工作 4、1、数据库管理的每日工作 (1)检查所有的数据库实例状态以及所有与数据库相关的后台进程。 (2)检查数据库网络的连通与否,比如查瞧监听器(listener)的状态、网络能否ping通其它的计算机、应用系统的客户端能否连通服务器等等。 (3)检查磁盘空间的使用情况。如果剩余的空间不足 20% ,需要删除不用的文件以释放空间或申请添加磁盘。 (4)查瞧告警文件有无异常。 (5)根据数据库系统的特点,检查其它的日志文件中的内容,发现异常要及时加以处理。 (6)检查cpu、内存及IO等的状态。 (7)检查备份日志文件的监控记录,确定自动备份有无成功完成。对于数据库的脱机备份,要确信备份就是在数据库关闭之后才开始的,备份内容就是否齐全。运行在归档模式下的数据库,既要注意归档日志文件的清除,以免磁盘空间被占满,也必须注意归档日志文件的保留,以备恢复时使用。
信息安全事件管理规范
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
系统发布部署数据库管理规范
河南煜东信息技术有限公司部署文档发布部署注意事项 蒋莉 2017-5-3
注:此为以会展V3.3版本(2017.05.03)为案例编写,后期如已满足不了新的项目需求,需持续更新改动。 基本流程 本地 (本公司)测试服务器 项目提交拉取更新到最新版本,编译 发布 项目文件部署到服务器IIS 上(IIS7.0以上) 文件上传 本地测试阶段 将项目文件部署到用户测试服务器上 将通过的项目文件部署到用户正式服务器上 系统正式运营使用 开始 结束 用户测试,试运行阶段 顺利 否 是 测试合格 否 是 开发阶段结 束开发环境测试计算机运营服务器,正式运营 用户验收 发布后的项目文件 一般都分测试服务器和正式服务器 服务器目录规范
数据库规范 数据库分两个部分: 1.本地部署:开发库,测试库。 2.发布部署:正式库,测试库 命名规范: 开发库以业务命名即可,纯英文,不可出现中文。 测试库命名:业务名_Test 3.特别注意:所有库与库直接的更新同步以脚本形式操作!!!! 注意事项 3.发布部署过程中,操作流程要规范,文件不可乱压缩,乱存放,乱命名,违者一经发现 从严处理!!!!!(我们都是干净的孩子,做事情也要干干净净规规范范漂漂亮亮的!!)4.定期清理备份的项目文件,保留最新三个月内(目前)记录,可做一个计划任务让系统每 天在指定安全的时间段检查清理。(如果不做,那负责人只有手动去做) 5.负责人有必要做好系统发布部署的操作手册,以防离岗时,能有其他人替代你做。 6.服务器保持清洁,严禁在服务器上安装其他无关的软件,做好安全防护措施(基本的)预 防被攻击。 7.发布部署工作,安排1~2人专人值守。(如有特况,其他人也只能发布到本地测试),正 式服务器还需要负责人去负责,所以安排2人,以防止离岗,特况发生!
CCRC-ISV-C01:2018信息安全服务规范
文件编码:CCRC-ISV-C01:2018 信息安全服务规范 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心发布
目录 1. 适用范围 (1) 2. 规范性引用文件 (1) 3. 术语与定义 (1) 3.1. 信息安全服务 (1) 3.2. 信息安全风险评估 (1) 3.3. 信息安全应急处理 (1) 3.4. 信息系统安全集成 (1) 3.5. 信息系统灾难备份与恢复 (1) 3.6. 软件安全开发 (2) 3.7. 信息系统安全运维 (2) 3.8. 网络安全审计 .................................................................................. 错误!未定义书签。 3.9. 工业控制系统安全 (2) 4. 通用评价要求 (2) 4.1. 三级评价要求 (2) 4.1.1. 法律地位要求 (2) 4.1.2. 财务资信要求 (2) 4.1.3. 办公场所要求 (2) 4.1.4. 人员能力要求 (3) 4.1.5. 业绩要求 (3) 4.1.6. 服务管理要求 (3) 4.1.7. 服务技术要求 (3) 4.2. 二级评价要求 (3) 4.2.1. 法律地位要求 (4) 4.2.2. 财务资信要求 (4) 4.2.3. 办公场所要求 (4) 4.2.4. 人员能力要求 (4) 4.2.5. 业绩要求 (4) 4.2.6. 服务管理要求 (4) 4.2.7. 技术工具要求 (5) 4.2.8. 服务技术要求 (5) 4.3. 一级评价要求 (5) 4.3.1. 法律地位要求 (5) 4.3.2. 财务资信要求 (5)
大数据标准体系
附件1 大数据标准体系 序号一级分类二级分类国家标准编号标准名称状态 1 基础标准总则信息技术大数据标准化指南暂时空缺 2 术语信息技术大数据术语已申报 3 参考模型信息技术大数据参考模型已申报 4 数据处理数据整理GB/T 18142-2000 信息技术数据元素值格式记法已发布 5 GB/T 18391.1-2009 信息技术元数据注册系统(MDR)第1部分:框架已发布 6 GB/T 18391.2-2009 信息技术元数据注册系统(MDR)第2部分:分类已发布 7 GB/T 18391.3-2009 信息技术元数据注册系统(MDR)第3部分:注册系统元模型与基本属性已发布 8 GB/T 18391.4-2009 信息技术元数据注册系统(MDR)第4部分:数据定义的形成已发布 9 GB/T 18391.5-2009 信息技术元数据注册系统(MDR)第5部分:命名和标识原则已发布 10 GB/T 18391.6-2009 信息技术元数据注册系统(MDR)第6部分:注册已发布 11 GB/T 21025-2007 XML使用指南已发布 12 GB/T 23824.1-2009 信息技术实现元数据注册系统内容一致性的规程第1 部分:数据元已发布 13 GB/T 23824.3-2009 信息技术实现元数据注册系统内容一致性的规程第3 部分:值域已发布 14 20051294-T-339 信息技术元模型互操作性框架第1部分:参考模型已报批 15 20051295-T-339 信息技术元模型互操作性框架第2部分:核心模型已报批 16 20051296-T-339 信息技术元模型互操作性框架第3部分:本体注册的元模型已报批 17 20051297-T-339 信息技术元模型互操作性框架第4部分:模型映射的元模型已报批 18 20080046-T-469 信息技术元数据模块(MM) 第1 部分:框架已报批
信息安全管理规范 通用版
信息安全管理规范及保密制度(通用版) ****年**月**日*****部制定 第一章总则 第1条为明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。 第2条本制度适用于公司所有员工。 第二章电子邮件管理制度 第3条行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。 第4条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第5条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第6条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相
关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第7条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意, (若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第8条员工离职时,根据需要交由部门专人监管一个月,后由行政人 力部注销。 第9条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元,并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理制度 第10条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度予以严肃查处。 第11条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第12条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。
数据安全管理规范
业务平台安全管理制度 —数据安全管理规范xxxxxxxxxXK司网络运行维护事业部
目录 一.概述 (1) 二.数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三.数据信息重要性评估 (4) 3.1数据信息分级原则 (4) 3.2数据信息分级 (4) 四.数据信息完整性安全规范 (5) 五.数据信息保密性安全规范 (6) 5.1 密码安全 (6) 5.2密钥安全 (6) 六.数据信息备份与恢复 (8) 6.1数据信息备份要求 (8) 6.1.1 备份要求 (8) 6.1.2 备份执行与记录 (8) 6.2备份恢复管理 (8)
概述 数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的 保障。 为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
数据信息安全管理制度 2.1数据信息安全存储要求 数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定: 包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信息,应该对 介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。 任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。 2.2数据信息传输安全要求 在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和 应用加密技术时,应符合以下规范: 必须符合国家有关加密技术的法律法规; 根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密 钥的长度; 听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称 加密。 机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数 字签名时应符合以下规范: 充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。 采取保护公钥完整性的安全措施,例如使用公钥证书;确定签名算法的类型、属性以及所 用密钥长度;用于数字签名的密钥应不同于用来加密内容的密钥。 2.3 数据信息安全等级变更要求 数据信息安全等级经常需要变更. 一般地,数据信息安全等级变更需要由数据资产的所有者进行,然