征信機構信息安全系統(tǒng)規(guī)范

標準標準文檔文檔征信機構信息安全標準標準適用范圍

一、總則標準規(guī)定了不同安全保護等級征信系統(tǒng)的安全要求，包括安全治理、安全技術和業(yè)務運作三個方面。標準適用于征信機構信息系統(tǒng)的建設、運行和維護，也可作為各單位開展安全檢查和內(nèi)部審計的安全依據(jù)。接入征信機構信息系統(tǒng)的信息供給者、信息使用者也可以參照與本機構有關條款執(zhí)行，標準還可作為專業(yè)檢測機構開展檢測、認證的依據(jù)。相關定義〔一〕征信系統(tǒng)：征信機構與信息供給者協(xié)議商定，或者通過互聯(lián)網(wǎng)、政府信息公開等渠道，對分散在社會各領域的企業(yè)和個人信用信息，進展采集、整理、保存和加工而形成的信用信息數(shù)據(jù)庫及相關系統(tǒng)。〔二〕敏感信息：影響征信系統(tǒng)安全的密碼、密鑰以及業(yè)務敏感數(shù)據(jù)等信息。1PIN2、密鑰包括但不限與用于確保通訊安全、報告完整性的密鑰。3、業(yè)務敏感數(shù)據(jù)包括但不限于信息主體的身份信息、婚姻狀況以及銀行賬戶信息等涉及個人隱私的數(shù)據(jù)?！踩晨蛻舳顺绦颍赫餍艡C構開發(fā)的、通過掃瞄器訪問征信系統(tǒng)并為征信系統(tǒng)其他功能〔如數(shù)據(jù)采集〕的程序，并供給必需功能的組件，包括但不限于：可執(zhí)行文件、控件、掃瞄〔IE器；或信息供給者、信息使用者以獨立開發(fā)的軟件接入征信系統(tǒng)的客戶端程序?！菜摹惩ㄓ嵕W(wǎng)絡：通訊網(wǎng)絡指的是由客戶端、效勞器以及相關網(wǎng)絡根底設施組建的網(wǎng)絡連接。征信系統(tǒng)通過互聯(lián)玩或網(wǎng)絡專線等方式與信息供給者、信息使用者相連，征信系統(tǒng)安全設計應在考慮建設本錢、網(wǎng)絡便利性等因素的同時，實行必要的技術防護措施，有效應對網(wǎng)絡通訊安全威逼?！参濉承谄鞫耍盒谄鞫酥赣糜诠┙o征信系統(tǒng)核心業(yè)務處理和應用效勞的效勞器設備及安裝的相關軟件程序，征信機構應充分利用有效的物理安全技術、網(wǎng)絡安全技術、主機安全技術、應用安全技術及數(shù)據(jù)安全與備份恢復技術等，在外部威逼和受保護的資源間建立多道嚴密的安全防線?？傮w要求本標準從安全治理、安全技術和業(yè)務運作三個方面提出征信系統(tǒng)的安全要求?！惨弧嘲踩卫韽陌踩卫碇贫?、安全治理機構、人員安全治理、系統(tǒng)建設治理、系統(tǒng)運維治理等方面提出要求?！捕嘲踩夹g從客戶端、通訊網(wǎng)絡、效勞器端等方面提出要求。〔三〕業(yè)務運作從系統(tǒng)接入、系統(tǒng)注銷、用戶治理、信息采集和處理、信息加工、信息保存、信息查詢、異議處理、信息跨境流淌、爭論分析、安全檢查與評估等方面提出要求。二、安全治理安全治理制度征信機構依據(jù)征信系統(tǒng)的建設、運行和治理狀況，建立和完善信息安全治理制度，并定期進展評審和修訂。內(nèi)部治理制度根本要求：〔一〕應制定信息安全工作的總體方針和安全策略，說明本機構安全工作的總體原則、目標、范圍和安全框架等；〔二〕應建立征信系統(tǒng)建設和運維治理制度，對機房治理、資金安全、設備治理，網(wǎng)絡安全和系統(tǒng)安全等方面做出明確規(guī)定。〔三〕應建立征信系統(tǒng)安全審批流程，系統(tǒng)投入運行、網(wǎng)路系統(tǒng)接入等重大事項由信息安全治理負責人審批，并確認簽字?！菜摹硲獙Π踩卫砣藛T及操作人員執(zhí)行的重要操作建立操作規(guī)程，并進展定期培訓。〔五〕應建立日常故障處理流程，重要崗位應建立雙人負責制?！擦硲④浖_發(fā)治理制度，明確說明開發(fā)過程的把握方法和人員行為準則?！财叱尸F(xiàn)、備份與恢復、傳輸及樣本數(shù)據(jù)處理等進展標準。〔八〕應建立外包效勞治理、外部人員訪問等方面的治理制度，對外部人員對本機構內(nèi)的活動進展標準化治理?！簿拧硲⑼话l(fā)大事及重大事項報告制度，對外部人員在本機構內(nèi)的活動進展標準化治理?！彩硲⑼话l(fā)大事應急預案制度，有效避開事故造成的危害?！彩缓现袊嗣胥y行及其派出所機構的安全檢查。增加要求：〔一〕應建立征信系統(tǒng)建設工程實施方面的治理制度，明確說明實施過程的把握方法和人員行為準則?！捕硲⒚艽a使用、變更治理及數(shù)據(jù)備份與恢復等方面的治理制度，對系統(tǒng)運行維護過程中重要環(huán)節(jié)的審批與操作等作出的明確規(guī)定?！踩矷SO/IEC27001:2023信息安全治理體系。安全審計制度根本要求：〔一〕應建立信息安全內(nèi)部審計制度，定期可能帶來信息安1次，1〔二〕應對安全治理制度的制定和執(zhí)行狀況進展審計，審計內(nèi)容包括是否依據(jù)法律法規(guī)和中國人民銀行的相關規(guī)定建立信息安全治理制度，安全治理制度的執(zhí)行狀況，是否認期對制度進展評審和修訂。〔三〕應對網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全等技術安全進展審計，審計內(nèi)容包括安全配置、設備運行狀況、網(wǎng)絡流量、重要用戶行為、系統(tǒng)特別大事及重要系統(tǒng)命令的使用等?！菜摹硲獙I(yè)務操作進展審計，審計內(nèi)容包括系統(tǒng)接入和注銷、用戶治理、信息采集和處理、信息加工、信息保存、異議處理、信息跨境流淌等?！参鍟r間是否成功及其他與審計相關的信息；應保護系統(tǒng)中的審計記錄，避開收到未預期的刪除、修改或掩蓋等，保存期至少半年；紙質(zhì)版審計記錄保存期應不少于三年。增加要求：〔一〕應定期托付外部專業(yè)機構，有重點、有打算的開展信息科技總體風險審計、征信系統(tǒng)專項審計?！捕吃趦?nèi)部審計和外部審計中覺察的重大安全隱患應準時向中國人民銀行及其派出機構報告。安全治理機構征信機構應成立有高級治理人員及相關部門負責人組成的信息安全領導小組，并制定特地的部門負責信息安全管理工作。崗位設置根本要求：〔一〕應設立安全主管、信息安全治理崗位，明確安全主管和信息安全治理員的崗位職責。〔二〕應設立安全治理員、網(wǎng)絡治理員、數(shù)據(jù)庫治理員等崗位，并定義各工作崗位的職責?！踩黾右螅骸惨弧硲ㄟ^制度明確安全治理機構各個部門和崗位的職責、分工和技能要求。〔二數(shù)據(jù)資產(chǎn)治理人、明確數(shù)據(jù)安全治理的責任，確保有效落實和推動數(shù)據(jù)安全的相關工作。人員配備根本要求：〔一〕應配備安全主管、信息安全治理員、系統(tǒng)治理員、網(wǎng)絡治理員、數(shù)據(jù)庫治理員等?！捕嘲踩鞴懿荒芗嫒涡畔踩卫韱T、網(wǎng)絡治理員、系統(tǒng)治理員、數(shù)據(jù)庫治理員等?！踩承畔踩卫韱T不能兼任網(wǎng)絡信息治理員、系統(tǒng)治理員、數(shù)據(jù)庫治理員等。增加要求：關鍵事務崗位。如信息安全治理員、數(shù)據(jù)庫治理員等，A、B授權和審批根本要求：〔一〕應依據(jù)各部門和崗位的職責明確授權審批部門和審批人?！捕硲槍ο到y(tǒng)投入運行、網(wǎng)絡系統(tǒng)投入、系統(tǒng)變更、重要操作和重要資源的訪問等關鍵活動建立審批流程，由責任人審批前方可進展，對重要活動應建立逐級審批制度?！踩硲涗泴徟^程并保存審批文檔。增加要求：應每年審查審批事項，準時更需授權和審批的工程、審批的部門和審批人等信息。溝通與合作根本要求：〔一〕應加強各部門、各崗位之間以及信息安全職能部門內(nèi)部的合作與溝通?！捕硲訌娕c同業(yè)機構、通訊效勞商及監(jiān)管部門的合作與溝通。增加要求：〔一〕在信息安全治理部門應定期召開各職能部門、各崗位人員參與的協(xié)調(diào)會議，共同協(xié)作處理信息安全問題?！捕硲訌娕c供給商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。人員治理征信機構應加強人員安全治理，明確不同崗位的職責，標準人員錄用、離崗、考核和培訓等工作。安全主管根本要求：〔一〕應派具有較高計算機水平、業(yè)務力氣和法律素養(yǎng)的人員擔當安全主管?！捕嘲踩鞴芸捎尚畔踩卫聿块T的相關領導擔當，也可指定專人擔當，主要履行以下職責：1、組織落實監(jiān)管部門信息安全相關治理規(guī)定和本機構信息安全保障工作。2、將征信機構信息安全領導小組爭論形成的安全決策，分解為安全任務部署落實。3、對信息化建設中的安全建設方案、安全技術方案或其他安全方案進展審批。4、對征信機構內(nèi)部其他信息安全相關治理事項進展審批?！踩嘲踩鞴苷{(diào)崗位時。應辦理交接手續(xù)，并履行其調(diào)離后的保密義務。增加要求：安全主管應加強信息安全學問的學習和技能把握，準時關注國內(nèi)外信息安全動態(tài)，為加強和改進本機構的信息安全治理工作供給合理化建議。信息安全治理員根本要求：〔一〕應派具有較高計算機水平、業(yè)務力氣和法律素養(yǎng)的人員擔當信息安全治理員。〔二〕信息安全治理員每年至少進展一次信息安全方面的技術和業(yè)務培訓?！踩承畔踩卫韱T應履行以下職責：1、在安全主管的指導下，具體落實各項安全治理工作，并協(xié)調(diào)各部門計算機安全員開展工作。2、在安全主管的指導下，組織相關人員審核本機構信息化建設工程中的安全方案，組織實施安全工程建設、維護、管理信息安全專用設施。3、在計算機系統(tǒng)應用開發(fā)、技術方案設計和實施、集成等工作中提出安全技術方案并組織實施。4、負責本機構計算機系統(tǒng)部署上線前的安全自測試方案的審核。5、定期檢查網(wǎng)絡和征信系統(tǒng)的安全運行狀況，組織檢查運準時通報和預警，并提出整改意見，統(tǒng)計分析和協(xié)調(diào)處置信息安全大事。6、定期組織信息安全宣傳教育活動，與相關部門協(xié)作開展信息安全檢查，〔四〕信息安全治理員調(diào)離崗位時，應辦理交接手續(xù)，并履行其調(diào)離后的保密義務。增加要求：信息安全治理員應增加信息安全學問學習和技能把握，準時關注國內(nèi)外信息安全動態(tài)，為貫徹落實本機構的信息安全策略和方案提出合理化建議。部門計算機安全員根本要求：〔一〕各部門的計算機安全員應由較生疏計算機學問的人員擔，并報信息安全治理部備案，如有變更應準時通報信息安全治理部門?！捕巢块T計算機安全員因樂觀協(xié)作信息安全治理員的工作，各部門應優(yōu)先選派部門計算機安全員參與信息安全技術培訓?！踩巢块T計算機安全員應履行以下職責：1、負責協(xié)作信息安全治理部完本錢部門計算機病毒防治、補丁升級、非法外聯(lián)防范，系統(tǒng)故障應急處理、移動存介質(zhì)管控等工作。2、全面負責本部門的信息安全治理工作。負責提出本部門的信息安全保障需求，準時與信息安全治理部門溝通本部門信息安全狀況，做好信息安全通報工作，覺察狀況準時向信息安全治理部門報告，3、負責本部門相關文檔資料的安全治理工作。以及本部門國際互聯(lián)網(wǎng)、征信系統(tǒng)網(wǎng)絡的使用和計入安全治理，組織開展本部門信息安全自查，幫助信息安全治理部門完本錢機構的信息安全檢查工作。〔四〕部門計算機安全員調(diào)離崗位時，辦理交接手續(xù)，并履行其調(diào)離后的保密義務。增加要求：部門計算機安全員每年至少參與一次信息安全培訓，樂觀配合信息安全治理員做好本部門的信息安全治理和風險防范至少宣傳落實工作。技術支持人員根本要求：〔一〕內(nèi)部技術人員〔本機構正式員工，負責參與與征信機構機房環(huán)境、網(wǎng)路、計算機系統(tǒng)等建設、運行、維護人員，假設系統(tǒng)治理員、數(shù)據(jù)庫治理員等〕在落實征信系統(tǒng)建設和日產(chǎn)維護工作過程中，履行以下職責：1、嚴格遵守本機構各項安全保密規(guī)定和征信系統(tǒng)安全治理相關制度。2、嚴格權限訪問，未經(jīng)業(yè)務部門書面授權和本部門領導批準，不得擅自修改征信系統(tǒng)應用設置或修改系統(tǒng)生成的任何業(yè)務數(shù)據(jù)。3、檢測和把握機房、網(wǎng)絡、安全設備、計算機系統(tǒng)的安全運行狀況，定期進展風險評估、應急演練，覺察安全隱患或故障準時報告安全主管、信息安全治理員、并準時響應和處置?！捕惩獠考夹g人員〔非本機構人員〕應履行效勞外包合同〔協(xié)議〕中的各項安全承諾，在供給技術效勞期間，嚴格遵守征信機構相關安全規(guī)定與操作規(guī)程。增加要求：外部技術支持人員未經(jīng)業(yè)務部門書面授權和所在部門領導批準，不得擅自接觸、查看或修改修改征信系統(tǒng)的應用設置或相關業(yè)務數(shù)據(jù)等，確需接觸、查看或修改時，須取得業(yè)務部門書面授權和所在部門領導批準，并在內(nèi)部技術人員在場伴隨下，方可進展。業(yè)務操作人員根本要求：〔一〕業(yè)務操作人員〔指征信機構內(nèi)部直接使用征信系統(tǒng)進行業(yè)務處理的業(yè)務部門工作人員，包括業(yè)務治理員、一般業(yè)務操作員〕應履行以下職責：1、嚴格依據(jù)征信機構相關業(yè)務規(guī)程操作、使用征信系統(tǒng)及相關數(shù)據(jù)，嚴禁各種違規(guī)操作。2、嚴格依據(jù)征信機構信息安全治理相關規(guī)定操作、使用征信系統(tǒng)的業(yè)務數(shù)據(jù)，防止征信信息外泄。3、妥當保管好征信系統(tǒng)的賬戶和密碼，并按要求定期更換密碼，制止將賬戶和密碼供給應他人使用。4、覺察征信系統(tǒng)消滅特別準時向部門計算機安全員報告。5、定期清理業(yè)務操作終端業(yè)務數(shù)據(jù)，不得在業(yè)務操作終端上安裝與支付業(yè)務無關的計算機軟件和硬件，不得擅自修改征信系統(tǒng)的運行環(huán)境參數(shù)。〔二〕業(yè)務操作依據(jù)“權限分設、相互制約”原則，嚴格進行操作角色劃分和授權治理，技術支持人員不得兼任業(yè)務操作人員。增加要求：A、B一般計算機用戶根本要求：〔一〕一般計算機用戶〔指征信機構內(nèi)部使用接入征信系統(tǒng)網(wǎng)絡的計算機及外設的全部人員〕應履行以下職責：1、準時安裝計算機病毒防治軟件和客戶端防護軟件，按規(guī)定使用移動存儲介質(zhì)，自覺承受部門計算機安全員的指導與治理。2、不得安裝與工作無關的計算機軟件和硬件，不得將征信系統(tǒng)相關計算機擅自接入未經(jīng)授權的網(wǎng)絡?！捕澄唇?jīng)信息安全治理部門批準和檢測的計算機及外設不得接入征信系統(tǒng)網(wǎng)絡。增加要求：1、一般計算機用戶不得私自轉變計算機用途。2、一般計算機用戶系統(tǒng)應統(tǒng)一安裝、統(tǒng)一升級及更計算機病毒防治軟件。系統(tǒng)建設治理系統(tǒng)頂級根本要求：〔一〕應明確信息系統(tǒng)的邊界和安全保護等級?！捕硲獞詴嫘问秸f明信息系統(tǒng)確定為某個安全保護等級的方法和理由。增加要求：應組織相關部門和有關安全技術專家對信息系統(tǒng)定級結果的合理性和正確性進展論證和審定。安全方案設計根本要求：〔一〕應依據(jù)征信系統(tǒng)的安全保護等級選擇根本安全措施，依據(jù)風險分析的結果補充和調(diào)整安全措施?！捕硲詴嫘问矫枋鰧φ餍畔到y(tǒng)的安全保護要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案?！踩踩a(chǎn)品選購和使用的具體設計方案?！菜摹硲M織相關部門和有關安全技術專家對安全設