征信机构信息安全规范
机构征信管理制度范本
一、总则第一条为加强本机构征信管理,规范征信业务操作,保障征信信息安全,防范征信风险,根据《征信业管理条例》及相关法律法规,制定本制度。
第二条本制度适用于本机构及其下属单位从事征信业务的员工。
第三条本制度遵循合法、合规、安全、高效的原则。
二、征信业务管理第四条征信业务操作人员应具备征信业务知识、职业道德和业务技能,经考核合格后方可上岗。
第五条征信业务操作人员应严格按照征信业务流程操作,确保征信数据的准确性、完整性和及时性。
第六条征信业务操作人员应妥善保管征信资料,不得泄露、篡改、损毁征信信息。
第七条征信业务操作人员应定期参加征信业务培训,提高业务水平。
第八条征信业务操作人员应主动接受上级和相关部门的监督和检查。
三、征信信息安全管理第九条本机构应建立健全征信信息安全管理制度,确保征信信息安全。
第十条征信信息存储、传输、处理和使用过程中,应采取加密、隔离等技术措施,防止信息泄露、篡改和损毁。
第十一条征信业务操作人员应遵守征信信息安全保密规定,不得将征信信息用于与征信业务无关的用途。
第十二条本机构应定期对征信信息安全进行检查,发现问题及时整改。
四、征信风险管理第十三条本机构应建立健全征信风险管理体系,防范征信风险。
第十四条征信业务操作人员应按照风险控制要求,对征信业务进行风险评估,制定相应的风险控制措施。
第十五条征信业务操作人员应定期对征信风险进行监测,发现风险隐患及时报告。
第十六条本机构应定期对征信风险管理体系进行评估,完善风险控制措施。
五、监督与检查第十七条本机构应设立征信管理部门,负责征信业务的监督与检查。
第十八条征信管理部门应定期对征信业务进行自查,发现问题及时整改。
第十九条征信管理部门应接受上级和相关部门的监督和检查。
六、附则第二十条本制度由本机构征信管理部门负责解释。
第二十一条本制度自发布之日起实施。
七、其他(一)本机构应建立健全征信业务档案,保存期限不少于5年。
(二)本机构应定期对征信业务进行统计分析,为决策提供依据。
PJCB-QC-XG-326:征信信息安全管理规定
征信信息安全管理规定第一章总则第一条目的为规范XX银行(以下简称“本行”)征信活动,增强征信信息安全管理意识,强化征信信息安全责任,依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》等法规,制定本规定。
第二条范围本规定明确了本行个人/企业信用信息基础数据库的安全管理。
第三条政策与原则(一)从事征信业务及相关活动,应当遵守法律法规,诚实守信,不得危害国家秘密,不得侵犯商业秘密和个人隐私。
(二)本行征信业务人员应当为在工作中知悉的信用信息保密。
第二章职责与权限第四条信贷管理部负责征信业务的管理和指导工作。
企业贷款、个人贷款、担保等范围的个人/企业征信系统各级用户的管理、信息查询和使用以及异议处理,指导错误数据修改等。
配合人民银行做好信用信息的数据核对、核查工作,指定专门人员负责个人信贷业务征信日常工作的开展。
对各支行征信相关人员每年培训一次征信业务知识。
第五条公司银行部、小微企业经营中心、个贷经营中心(以下简称经办业务部门)负责企业贷款、个人贷款、担保等范围的信用信息基础数据的采集和录入、信用信息的查询和使用、信用信息的异议处理核查、征信系统的安全管理等。
配合信贷管理部做好信贷客户的信用信息数据核对、核查等工作。
指定专门人员负责征信各项日常业务的开展。
第三章安全管理第六条本行征信工作各级负责人和征信业务人员要充分认识征信合规运作的严肃性、重要性、紧迫性,增强合规意识,加强征信合规操作,提升征信合规安全管理水平,确保依法合规开展征信业务。
第七条本行应当根据中国人民银行的有关规定,制定相关信用信息报送、查询、使用、异议处理、安全管理等方面的内部管理制度和操作规程,并报当地人民银行备案。
第八条定期向当地人民银行报送异常查询、违规查询、非法提供、违规使用、信用报告泄漏等征信信息安全情况统计表。
未发生征信信息安全风险事件的,采用零报告制度。
第九条本行于每月4日内上报上月征信信息安全情况统计表。
第十条定期对征信业务人员进行保密、业务、纪律培训,确保查询账号安全。
征信安全管理制度
征信安全管理制度第一章总则第一条为维护征信市场的公平竞争秩序,保护征信主体的合法权益,并保障征信信息的安全和完整,制定本制度。
第二条征信安全管理制度是征信机构依法履行征信业务,保障征信信息安全的行为准则,是征信机构内部管理的基本法规。
第三条征信安全管理制度的适用范围:适用于我国征信机构的管理层、员工及与征信机构有关的内部人员。
第四条征信安全管理制度内容包括但不限于征信信息的采集、存储、处理、查询、使用等环节的管理制度。
第二章征信信息的采集管理第五条征信机构在进行征信信息采集时,应遵循以下原则:(一)依法合规,严格遵循相关法律法规的规定;(二)真实准确,确保征信信息的真实性和准确性;(三)保密安全,严格保护征信信息的安全性和保密性。
第六条征信信息的采集应当采取多种方式,包括但不限于公开征信信息、关联方信息、公共资料信息等。
第七条征信机构应当建立完善的征信信息采集管理制度,明确征信信息采集的程序、责任人及监督机制。
第八条征信机构应当对征信信息采集过程中可能存在的风险进行评估,采取相应措施应对,确保征信信息采集的安全性和完整性。
第三章征信信息的存储管理第九条征信机构应当建立完善的征信信息存储管理制度,明确征信信息的存储方式、存储周期及安全策略。
第十条征信信息应当存储在安全可靠的存储设备中,确保征信信息的完整性和保密性。
第十一条征信机构应当定期对存储设备进行维护和巡检,确保设备的正常运行。
第四章征信信息的处理管理第十二条征信机构在进行征信信息处理时,应遵循以下原则:(一)依法合规,确保征信信息的合法性和规范性;(二)安全可靠,采取有效措施确保征信信息的安全性;(三)及时准确,确保征信信息的准确性和及时性。
第十三条征信机构应当建立完善的征信信息处理管理制度,明确征信信息的处理流程和权限分配。
第十四条征信机构应当对征信信息处理过程中可能存在的风险进行评估,采取相应措施应对,确保征信信息处理的安全性和可靠性。
征信信息安全实施细则
征信信息安全实施细则 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】信息安全实施细则第一章总则为加强征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法(暂行)》、《中国人民银行关于进一步加强征信信息安全管理的通知》等有关规定,结合实际,制定本细则。
第二条本细则所称征信信息安全,是指从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全。
第三条本细则所称征信系统,是指按人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为个人和企业提供信用报告查询服务的数据库系统。
第四条本细则所称借款人,是指向及辖内机构申请办理信贷业务的企(事)业法人、其他组织、个体工商户和自然人。
第五条本细则所称的担保人,是指为办理信贷业务的借款人提供担保的企(事)业法人、其他组织、个体工商户和自然人。
第六条本细则所称信贷业务,是指贷款(含委托贷款)、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公开授信等业务以及与其相关的担保业务。
第七条本细则所称客户信用信息,是指能够反映个人、企(事)业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企(事)业法人或其他组织信用状况的其他信息。
第二章部门职责第八条征信业务管理工作,实行统一领导、分工负责的原则。
第九条成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作。
领导小组由主管信贷领导担任组长,成员由信贷部组成。
领导小组办公室设置在信贷部。
第十条征信信息安全工作领导小组负责协调征信系统运行管理、查询使用和数据报送等工作;建立健全相关管理制度,指导、培训检查各社征信业务;对接收到的人民银行或上级机构反馈的错误数据及时交有关机构进行修改;开展不同层次、不同岗位的人员的征信培训工作;做好信用报告异议处理的协调与处理工作;做好征信系统用户管理工作,按照人民银行要求及时上报征信管理员、查询员,异议元,做好用户备案工作;管理好用信工作,杜绝泄露、出售等客户的征信报告。
征信数据保护与信息安全管理制度
征信数据保护与信息安全管理制度随着互联网和信息技术的迅速发展,个人信息保护问题日益引发广泛关注。
征信机构作为收集、整理和提供个人信用信息的组织,其数据的保护和信息安全管理至关重要。
为了确保征信数据的安全性和隐私性,征信机构需要建立和完善征信数据保护与信息安全管理制度。
首先,征信机构应建立健全的数据保护制度,包括收集、存储、处理和使用个人征信数据的规范。
这些规范应明确规定个人信息的收集范围、目的和用途,以及个人信息处理和使用的限制。
征信机构应遵循信息主体明确授权的原则,严格保护个人征信数据的完整性和保密性。
同时,征信机构应加强对数据相关操作人员的培训,提高其数据保护意识和技能,确保其遵守相关数据保护规定。
其次,征信机构应采取有效的技术手段保护征信数据的安全性。
包括但不限于加密技术、访问控制、安全审计等措施,以防止非法访问、篡改和泄露个人征信数据。
征信机构应建立健全的信息安全管理体系,定期进行安全风险评估和漏洞检测,及时修补系统漏洞和强化安全防护。
对于重要的征信数据,征信机构应备份和存储在安全可靠的地点,确保在数据丢失或灾难发生时能够及时恢复。
此外,征信机构还应加强对合作伙伴的管理,确保他们同样符合征信数据保护和信息安全管理的要求。
征信机构应与合作伙伴签订保密协议,约定保护个人征信数据的责任和义务,以及在数据泄露和安全事件发生时的应急处置措施。
同时,征信机构应定期审查合作伙伴的数据安全措施,确保其数据处理和存储的安全性。
另外,征信机构应加强与相关监管部门的沟通与合作,及时了解和适应法规和政策的变化。
征信机构应建立健全的内部监督机制,定期对数据保护和信息安全管理情况进行自查和评估,并配合相关部门的监督检查。
对于个人征信数据泄露和安全事件,征信机构应及时向相关主管部门和信息主体报告,并采取有效的措施进行应急处置和修复。
总之,征信数据保护与信息安全管理制度对于维护征信机构的声誉和用户信任至关重要。
征信机构应积极履行个人信息保护的法律责任,建立完善的数据保护制度和信息安全管理体系,加强与合作伙伴的合作,与监管部门保持紧密的沟通,以确保个人征信数据的安全性和隐私性。
企业征信信息安全管理制度
企业征信信息安全管理制度企业征信信息安全管理制度是一套系统性的规范,旨在保护企业征信系统中的客户信息和业务数据,并有效防止潜在的信息泄漏和数据风险。
同时,该制度也会确保企业在征信业务中依法合规运营,维护客户利益和社会秩序。
信息安全是当今互联网时代面临的一个重要挑战,企业征信机构作为信用评估和金融服务提供商,承载着大量客户的个人信息和财务数据。
因此,制定一套科学、完善的信息安全管理制度对于保障企业声誉和客户利益至关重要。
这篇文章将从以下几个方面详细描述企业征信信息安全管理制度的制定和实施步骤:第一步:制定管理制度的目标和原则。
制定管理制度的目标是实现信息安全管理,确保企业征信系统的稳定运行和客户数据的安全。
在制定目标时,应该明确信息安全的重要性,以及制度的合规性和可行性原则。
第二步:制定管理制度的组成部分。
企业征信信息安全管理制度主要由以下几个组成部分构成:风险评估,安全策略,安全技术措施,安全培训和意识提升等。
其中,风险评估是制定制度的基础,通过对系统中的潜在风险进行评估,确定后续的安全策略和技术措施。
第三步:制定信息安全管理流程。
信息安全管理流程是指为实施信息安全管理制度而制定的组织流程,主要包括:安全咨询与评审、安全目标与策略制定、安全配置与控制、风险评估与管理、安全培训与检查等环节。
通过制定详细的流程,能够确保信息安全管理制度的有效实施和监控。
第四步:制定技术安全规范和措施。
技术安全规范和措施是为了防范和抵御各类网络攻击而制定的。
包括建立防火墙、安全认证、权限管理、数据备份与恢复等技术措施。
制定技术安全规范和措施的过程中,应根据企业征信系统的实际情况,结合最新的网络安全技术和经验,确保数据和系统的安全。
第五步:制定安全培训和意识提升计划。
安全培训和意识提升计划是为了加强员工对信息安全的认知和理解。
通过定期的安全培训,使员工了解企业征信信息安全管理制度的相关规定和要求,掌握信息安全方面的实际操作技能,提高整体信息安全水平。
征信机构信息安全规范
征信机构信息安全规范一、总则1.1标准适用范围标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。
接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。
征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
征信查询机规章制度
征信查询机规章制度第一章总则第一条为加强征信查询机构管理,规范征信查询行为,保护个人信息安全,维护公平交易秩序,根据《中华人民共和国个人信息保护法》和《中华人民共和国征信业管理条例》,制定本规章制度。
第二条征信查询机构应当依法开展征信查询服务,确保查询行为合法、规范、安全、及时、准确。
任何组织和个人未经授权不得进行信用查询。
第三条征信查询机构应当加强员工教育和培训,提高员工的法律意识和业务素质,确保员工遵守相关法律法规和规章制度。
第四条征信查询机构应当建立健全信息安全管理体系,加强信息安全保护,防范信息泄露风险,确保客户信息安全。
第二章查询权限管理第五条征信查询机构应当依法获取客户的查询授权,未经客户同意不得查询其个人信用信息。
第六条征信查询机构应当对查询权限进行分类管理,确保不同级别的查询人员只能查询相应权限级别的信息。
第七条征信查询机构应当建立客户身份核验机制,对查询请求的身份进行核实,确保查询行为合法。
第八条征信查询机构应当建立查询日志记录制度,记录查询人员、查询时间、查询内容等信息,确保查询行为可追溯。
第三章信息查询规范第九条征信查询机构应当依法提供真实准确的信用信息,不得隐瞒、篡改、造假。
第十条征信查询机构应当保护查询结果的机密性,不得将查询结果泄露给未经授权的第三方。
第十一条征信查询机构应当及时更新信用信息,并及时通知客户查询结果。
第四章违规处罚第十二条对违反本规章制度的行为,征信查询机构应当给予相应的处罚,包括口头警告、书面警告、罚款等。
第十三条对严重违规行为,征信查询机构应当立即停止相关查询权限,取消相关人员的资格,并报相关部门处理。
第五章附则第十四条本规章制度由征信查询机构负责解释。
第十五条本规章制度自颁布之日起有效。
以上是征信查询机构规章制度的内容,征信查询机构应当严格遵守规章制度,依法开展工作,确保查询行为合法、规范、安全。
任何组织和个人未经授权不得进行信用查询,违法者将受到相应处罚。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
征信机构信息安全规范一、总则1.1标准适用范围标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。
接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。
征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。
(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。
(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
二、安全管理2.1安全管理制度征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。
2.1.1内部管理制度基本要求:(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。
(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。
(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。
(五)应建立日常故障处理流程,重要岗位应建立双人负责制。
(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。
(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。
(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。
(十)应建立突发事件应急预案制度,有效避免事故造成的危害。
(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。
增强要求:(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。
(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。
2.1.2安全审计制度基本要求:(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。
(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。
(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。
(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。
(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。
增强要求:(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。
(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。
2.2安全管理机构征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。
2.2.1岗位设置基本要求:(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。
(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。
(三)除科技部门以外,其他部门应设置部门计算机安全员。
增强要求:(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。
(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。
2.2.2人员配备基本要求:(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。
(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。
(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。
增强要求:关键事务岗位。
如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。
2.2.3授权和审批基本要求:(一)应根据各部门和岗位的职责明确授权审批部门和审批人。
(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。
(三)应记录审批过程并保存审批文档。
增强要求:应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。
2.2.4沟通与合作基本要求:(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。
(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。
增强要求:(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。
(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
2.3人员管理征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。
2.3.1安全主管基本要求:(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。
(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。
2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。
3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。
4、对征信机构内部其他信息安全相关管理事项进行审批。
(三)安全主管调岗位时。
应办理交接手续,并履行其调离后的保密义务。
增强要求:安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。
2.3.2信息安全管理员基本要求:(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。
(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。
(三)信息安全管理员应履行以下职责:1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。
2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。
3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。
4、负责本机构计算机系统部署上线前的安全自测试方案的审核。
5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。
6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。
增强要求:信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。
2.3.3部门计算机安全员基本要求:(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。
(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。
(三)部门计算机安全员应履行以下职责:1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。
2、全面负责本部门的信息安全管理工作。
负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。
以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。
(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。
增强要求:部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。