征信機構信息安全規(guī)范

1、征信機構信息安全規(guī)范一、總則1.1標準適用范圍標準規(guī)定了不同安全保護等級征信系統(tǒng)的安全要求，包 括安全管理、安全技術和業(yè)務運作三個方面。標準適用于征信機構信息系統(tǒng)的建設、運行和維護，也 可作為各單位開展安全檢查和內部審計的安全依據(jù)。接入征 信機構信息系統(tǒng)的信息提供者、信息使用者也可以參照與本 機構有關條款執(zhí)行，標準還可作為專業(yè)檢測機構開展檢測、 認證的依據(jù)。1.2相關定義（一）征信系統(tǒng)：征信機構與信息提供者協(xié)議約定，或者通 過互聯(lián)網(wǎng)、政府信息公開等渠道，對分散在社會各領域的企 業(yè)和個人信用信息，進行采集、整理、保存和加工而形成的 信用信息數(shù)據(jù)庫及相關系統(tǒng)。（二）敏感信息：影響征信系統(tǒng)安全的密碼

2、、密鑰以及業(yè)務 敏感數(shù)據(jù)等信息。1、密碼包括但不限與查詢密碼、 登錄密碼、證書的PIN等2、密鑰包括但不限與用于確保通訊安全、報告完整性的密鑰。3、業(yè)務敏感數(shù)據(jù)包括但不限于信息主體的身份信息、婚姻 狀況以及銀行賬戶信息等涉及個人隱私的數(shù)據(jù)。（三）客戶端程序：征信機構開發(fā)的、通過瀏覽器訪問征信 系統(tǒng)并為征信系統(tǒng)其他功能（如數(shù)據(jù)采集）的程序，并提供 必需功能的組件，包括但不限于：可執(zhí)行文件、控件、瀏覽器插件、靜態(tài)鏈接庫、動態(tài)鏈接庫等（不包括IE等通用瀏覽 器）；或信息提供者、信息使用者以獨立開發(fā)的軟件接入征 信系統(tǒng)的客戶端程序。（四）通訊網(wǎng)絡：通訊網(wǎng)絡指的是由客戶端、服務器以及相 關網(wǎng)絡基礎設施組

3、建的網(wǎng)絡連接。征信系統(tǒng)通過互聯(lián)玩或網(wǎng) 絡專線等方式與信息提供者、信息使用者相連，征信系統(tǒng)安 全設計應在考慮建設成本、網(wǎng)絡便利性等因素的同時，采取 必要的技術防護措施，有效應對網(wǎng)絡通訊安全威脅。（五）服務器端：服務器端指用于提供征信系統(tǒng)核心業(yè)務處 理和應用服務的服務器設備及安裝的相關軟件程序，征信機 構應充分利用有效的物理安全技術、網(wǎng)絡安全技術、主機安 全技術、應用安全技術及數(shù)據(jù)安全與備份恢復技術等，在外 部威脅和受保護的資源間建立多道嚴密的安全防線。1.3總體要求本標準從安全管理、安全技術和業(yè)務運作三個方面提出征信系統(tǒng)的安全要求。（一）安全管理從安全管理制度、安全管理機構、人員安全 管理、系統(tǒng)

4、建設管理、系統(tǒng)運維管理等方面提出要求。（二）安全技術從客戶端、通訊網(wǎng)絡、服務器端等方面提出 要求。（三）業(yè)務運作從系統(tǒng)接入、系統(tǒng)注銷、用戶管理、信息采 集和處理、信息加工、信息保存、信息查詢、異議處理、信 息跨境流動、研究分析、安全檢查與評估等方面提出要求。二、安全管理2.1安全管理制度征信機構根據(jù)征信系統(tǒng)的建設、運行和管理情況，建立 和完善信息安全管理制度，并定期進行評審和修訂。2.1.1內部管理制度基本要求：（一）應制定信息安全工作的總體方針和安全策略，說明本 機構安全工作的總體原則、目標、范圍和安全框架等；（二）應建立征信系統(tǒng)建設和運維管理制度，對機房管理、 資金安全、設備管理，網(wǎng)絡安全

5、和系統(tǒng)安全等方面做出明確 規(guī)定。（三）應建立征信系統(tǒng)安全審批流程，系統(tǒng)投入運行、網(wǎng)路 系統(tǒng)接入等重大事項由信息安全管理負責人審批，并確認簽 字。（四）應對安全管理人員及操作人員執(zhí)行的重要操作建立操作規(guī)程，并進行定期培訓。（五）應建立日常故障處理流程，重要崗位應建立雙人負責制。（六）應建立軟件開發(fā)管理制度，明確說明開發(fā)過程的控制 方法和人員行為準則。（七）應建立數(shù)據(jù)庫管理制度， 對數(shù)據(jù)的存儲、訪問、使用、 展示、備份與恢復、傳輸及樣本數(shù)據(jù)處理等進行規(guī)范。（八）應建立外包服務管理、外部人員訪問等方面的管理制度，對外部人員對本機構內的活動進行規(guī)范化管理。（九）應建立突發(fā)事件及重大事項報告制度，對外部

6、人員在 本機構內的活動進行規(guī)范化管理。（十）應建立突發(fā)事件應急預案制度，有效避免事故造成的危害。（十一）應建立信息安全檢查制度，定期或者根據(jù)需要（如可 能存在安全隱患時）不定期開展安全自查工作， 主動接受和配 合中國人民銀行及其派出所機構的安全檢查。增強要求：（一）應建立征信系統(tǒng)建設工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。（二）應建立密碼使用、變更管理及數(shù)據(jù)備份與恢復等方面 的管理制度，對系統(tǒng)運行維護過程中重要環(huán)節(jié)的審批與操作 等作出的明確規(guī)定。（三）應按照ISO/IEC 27001:2013 的相關要求建立完善的 信息安全管理體系。2.1.2安全審計制度基本要求：（

7、一）應建立信息安全內部審計制度，定期可能帶來信息安全風險的因素進行審計和評估， 個人征信機構每年至少 1次, 企業(yè)征信機構每年至少 1次。（二）應對安全管理制度的制定和執(zhí)行情況進行審計，審計 內容包括是否按照法律法規(guī)和中國人民銀行的相關規(guī)定建 立信息安全管理制度，安全管理制度的執(zhí)行情況，是否定期 對制度進行評審和修訂。（三）應對網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全等技術安全進行審計，審計內容包括安全配置、設備運行情況、 網(wǎng)絡流雖、重要用戶行為、系統(tǒng)異常事件及重要系統(tǒng)命令的 使用等。（四）應對業(yè)務操作進行審計，審計內容包括系統(tǒng)接入和注 銷、用戶管理、信息米集和處理、信息加工、信息保存、異 議處

8、理、信息跨境流動等。（五）審計記錄應包括事件的日期和時間、用戶、時間類型、時間是否成功及其他與審計相關的信息；應保護系統(tǒng)中的審 計記錄，避免收到未預期的刪除、修改或覆蓋等，保存期至 少半年；紙質版審計記錄保存期應不少于三年。增強要求：（一）應定期委托外部專業(yè)機構，有重點、有計劃的開展信 息科技總體風險審計、征信系統(tǒng)專項審計。（二）在內部審計和外部審計中發(fā)現(xiàn)的重大安全隱患應及時 向中國人民銀行及其派出機構報告。2.2安全管理機構征信機構應成立有高級管理人員及相關部門負責人組 成的信息安全領導小組，并制定專門的部門負責信息安全管 理工作。2.2.1崗位設置基本要求：（一）應設立安全主管、信息安全管

9、理崗位，明確安全主管 和信息安全管理員的崗位職責。（二）應設立安全管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員等崗 位，并定義各工作崗位的職責。（三）除科技部門以外，其他部門應設置部門計算機安全員。增強要求：（一）應通過制度明確安全管理機構各個部門和崗位的職責、 分工和技能要求。（二）應建立數(shù)據(jù)安全管理組織，明確數(shù)據(jù)安全管理責任人、 數(shù)據(jù)資產管理人、明確數(shù)據(jù)安全管理的責任，確保有效落實 和推進數(shù)據(jù)安全的相關工作。2.2.2人員配備基本要求：（一）應配備安全主管、信息安全管理員、系統(tǒng)管理員、網(wǎng) 絡管理員、數(shù)據(jù)庫管理員等。（二）安全主管不能兼任信息安全管理員、網(wǎng)絡管理員、系 統(tǒng)管理員、數(shù)據(jù)庫管理員等。（三）信

10、息安全管理員不能兼任網(wǎng)絡信息管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。增強要求：關鍵事務崗位。如信息安全管理員、數(shù)據(jù)庫管理員等， 應配備至少兩人，且互為 A、B角共同管理。2.2.3授權和審批 基本要求:（一）應根據(jù)各部門和崗位的職責明確授權審批部門和審批 人。（二）應針對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)投入、系統(tǒng)變更、重 要操作和重要資源的訪問等關鍵活動建立審批流程，由責任 人審批后方可進行，對重要活動應建立逐級審批制度。（三）應記錄審批過程并保存審批文檔。增強要求：應每年審查審批事項，及時更新需授權和審批的項目、 審批的部門和審批人等信息。2.2.4溝通與合作基本要求：（一）應加強各部門、各崗位之間以及信

11、息安全職能部門內 部的合作與溝通。（二）應加強與同業(yè)機構、通訊服務商及監(jiān)管部門的合作與 溝通。增強要求：（一）在信息安全管理部門應定期召開各職能部門、各崗位 人員參加的協(xié)調會議，共同協(xié)作處理信息安全問題。（二）應加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全 組織的合作與溝通。2.3人員管理征信機構應加強人員安全管理，明確不同崗位的職責， 規(guī)范人員錄用、離崗、考核和培訓等工作。2.3.1安全主管基本要求：（一）應派具有較高計算機水平、業(yè)務能力和法律素養(yǎng)的人 員擔任安全主管。（二）安全主管可由信息安全管理部門的相關領導擔任，也 可指定專人擔任，主要履行以下職責：1、組織落實監(jiān)管部門信息安全相關管理

12、規(guī)定和本機構信息 安全保障工作。2、將征信機構信息安全領導小組討論形成的安全決策，分 解為安全任務部署落實。3、對信息化建設中的安全建設方案、安全技術方案或其他 安全方案進行審批。4、對征信機構內部其他信息安全相關管理事項進行審批。（三）安全主管調崗位時。應辦理交接手續(xù)，并履行其調離 后的保密義務。增強要求：安全主管應加強信息安全知識的學習和技能掌握，及 時關注國內外信息安全動態(tài)，為加強和改進本機構的信息安 全管理工作提供合理化建議。2.3.2信息安全管理員基本要求：（一）應派具有較高計算機水平、業(yè)務能力和法律素養(yǎng)的人 員擔任信息安全管理員。（二）信息安全管理員每年至少進行一次信息安全方面的技

13、 術和業(yè)務培訓。（三）信息安全管理員應履行以下職責：1、在安全主管的指導下，具體落實各項安全管理工作，并 協(xié)調各部門計算機安全員開展工作。2、在安全主管的指導下，組織相關人員審核本機構信息化 建設項目中的安全方案，組織實施安全項目建設、維護、管 理信息安全專用設施。3、在計算機系統(tǒng)應用開發(fā)、技術方案設計和實施、集成等工作中提出安全技術方案并組織實施。4、負責本機構計算機系統(tǒng)部署上線前的安全自測試方案的 審核。5、定期檢查網(wǎng)絡和征信系統(tǒng)的安全運行狀況，組織檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題,及時通報和預警，并提出整改意見，統(tǒng)計分析和協(xié)調處置信息安全事件。6、定期組織信息安

14、全宣傳教育活動，與相關部門配合開展 信息安全檢查，（四）信息安全管理員調離崗位時，應辦理交接手續(xù)，并履 行其調離后的保密義務。增強要求：信息安全管理員應增加信息安全知識學習和技能掌握， 及時關注國內外信息安全動態(tài)，為貫徹落實本機構的信息安 全策略和方案提出合理化建議。2.3.3部門計算機安全員基本要求：（一）各部門的計算機安全員應由較熟悉計算機知識的人員 擔，并報信息安全管理部備案，如有變更應及時通報信息安 全管理部門。（二）部門計算機安全員因積極配合信息安全管理員的工作, 各部門應優(yōu)先選派部門計算機安全員參加信息安全技術培 訓。（三）部門計算機安全員應履行以下職責：1、負責配合信息安全管理部

15、完成本部門計算機病毒防治、 補丁升級、非法外聯(lián)防范，系統(tǒng)故障應急處理、移動存介質 管控等工作。2、全面負責本部門的信息安全管理工作。負責提出本部門 的信息安全保障需求，及時與信息安全管理部門溝通本部門 信息安全情況，做好信息安全通報工作，發(fā)現(xiàn)情況及時向信 息安全管理部門報告，3、負責本部門相關文檔資料的安全管理工作。以及本部門 國際互聯(lián)網(wǎng)、征信系統(tǒng)網(wǎng)絡的使用和計入安全管理，組織開 展本部門信息安全自查，協(xié)助信息安全管理部門完成本機構 的信息安全檢查工作。（四）部門計算機安全員調離崗位時，辦理交接手續(xù)，并履 行其調離后的保密義務。增強要求：部門計算機安全員每年至少參加一次信息安全培訓，積極配 合

16、信息安全管理員做好本部門的信息安全管理和風險防范 至少宣傳落實工作。2.2.4技術支持人員基本要求：（一）內部技術人員（本機構正式員工，負責參加與征信機 構機房環(huán)境、網(wǎng)路、計算機系統(tǒng)等建設、運行、維護人員， 若系統(tǒng)管理員、數(shù)據(jù)庫管理員等）在落實征信系統(tǒng)建設和日 產維護工作過程中，履行以下職責：1、嚴格遵守本機構各項安全保密規(guī)定和征信系統(tǒng)安全管理 相關制度。2、嚴格權限訪問，未經業(yè)務部門書面授權和本部門領導批 準，不得擅自修改征信系統(tǒng)應用設置或修改系統(tǒng)生成的任何 業(yè)務數(shù)據(jù)。3、檢測和控制機房、網(wǎng)絡、安全設備、計算機系統(tǒng)的安全 運行狀況，定期進行風險評估、應急演練，發(fā)現(xiàn)安全隱患或 故障及時報告安全

17、主管、信息安全管理員、并及時響應和處 置。（二）外部技術人員（非本機構人員）應履行服務外包合同 （協(xié)議）中的各項安全承諾，在提供技術服務期間，嚴格遵 守征信機構相關安全規(guī)定與操作規(guī)程。增強要求：外部技術支持人員未經業(yè)務部門書面授權和所在部門 領導批準，不得擅自接觸、查看或修改修改征信系統(tǒng)的應用 設置或相關業(yè)務數(shù)據(jù)等，確需接觸、查看或修改時，須取得 業(yè)務部門書面授權和所在部門領導批準，并在內部技術人員 在場陪同下，方可進行。2.2.5業(yè)務操作人員 基本要求：（一）業(yè)務操作人員（指征信機構內部直接使用征信系統(tǒng)進行業(yè)務處理的業(yè)務部門工作人員，包括業(yè)務管理員、一般業(yè) 務操作員）應履行以下職責：1、嚴格

18、按照征信機構相關業(yè)務規(guī)程操作、使用征信系統(tǒng)及 相關數(shù)據(jù)，嚴禁各種違規(guī)操作。2、嚴格按照征信機構信息安全管理相關規(guī)定操作、使用征 信系統(tǒng)的業(yè)務數(shù)據(jù)，防止征信信息外泄。3、妥善保管好征信系統(tǒng)的賬戶和密碼，并按要求定期更換 密碼，禁止將賬戶和密碼提供給他人使用。4、發(fā)現(xiàn)征信系統(tǒng)出現(xiàn)異常及時向部門計算機安全員報告。5、定期清理業(yè)務操作終端業(yè)務數(shù)據(jù)，不得在業(yè)務操作終端 上安裝與支付業(yè)務無關的計算機軟件和碩件，不得擅自修改 征信系統(tǒng)的運行環(huán)境參數(shù)。（二）業(yè)務操作按照“權限分設、互相制約”原則，嚴格進行 操作角色劃分和授權管理，技術支持人員不得兼任業(yè)務操作 人員。增加要求：業(yè)務操作人員應實現(xiàn) A、B角管理。2.2.6 一般計算機用戶基本要求：（一）一般計算機用戶（指征信機構內部使用接入征信系統(tǒng) 網(wǎng)絡的計算機及外設的所有人員）應履行以下職責：1、及時安裝計算機病毒防治軟件和客戶端防護軟件，按規(guī) 定使用移動存儲介質，自覺接受部門計算機安全員的指導與 管理。2、不得安裝與工作無關的計算機軟件和碩件，不得將征信 系統(tǒng)相關計算機擅自接入未經授權的網(wǎng)絡。（二）未經信息安全管理部門批準和檢測的計算機及外設不 得接入征信系統(tǒng)網(wǎng)絡。增強要求：1、一般計算機用戶不得私自改變計算機用途。2、一般計算機用戶系統(tǒng)應統(tǒng)一安裝、統(tǒng)一升級及更新計算 機病