征信机构信息系统安全及内控机制

时间:2019-05-12 01:04:28下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《征信机构信息系统安全及内控机制》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《征信机构信息系统安全及内控机制》。

第一篇:征信机构信息系统安全及内控机制

第 1 页

征信机构信息系统安全及内控机制

—、征信机构信息系统安全等级(一)征信系统的数据安全管理

电子数据安全是征信系统安全管理的重要组成部分需要构建全方位、立体化的征信系统信息安全管理机制。

1.网络访问控制

目前,个人信用信息基础数据库和企业信用信息基础数据库等业务客户端系统同其他大部分业务系统一样,都支持Telnet协议的远程登录方式。网络中任意终端设备在安装相对应的客户端后,理论上即具有远程登录主机的条件。征信机构实行互联网、办公网和业务网物理隔离的三网分离管理模式,网络访问控制清晰且严格,但同一网络间存在计算机互访的条件,如控制不当将为远程入侵留下隐患,直接威胁到数据通信和数据存储机密性的安全。加强网络访问控制,关键是阻止未授权终端接入。在各个使用征信系统业务终端的金融机构的交换机和路由设备中设定多层访问控制列表及划定虚拟局域网,通过授权将指定的业务终端绑定。

2.加强身份认证

身份认证是登录征信系统的必要程序,此要素出现缺陷,将直接影响到数据使用的 可控性。而强身份认证则是在其基础上贯彻强化原则,明确各项规章制度在安全管理方面的要求。首先,要强化用户的资格管理。这是经身份认证并登录系统进行操作的基础。用户的建立须经过岗前培训,具备相关从业资格,签订岗位安全责任状、保密责任书及 协议等一系列制度要求的程序。其次,要强化用户的口令管理。用户代码及口令是身份 认证的体现方式,一个用户代码只限一个用户使用,用户在接到分配的用户代码后,应 立即登录系统并修改口令,勤更换,并仅限持有该用户代码的本人掌握。最后,要强化 用户的制约管理。合理设定兼岗用户,及时撤销停止使用的用户权限,负责保管密封口 令的管理人员不得拥有各级身份认证权限。强身份认证亦可通过安全证书、USB Key(硬 件数字证书载体)、智能卡芯片等方式实现,其作用不仅体现在有效防止用户名及密码被 盗用方面,更体现在对发生安全风险的责任认定方面。第 2 页

3.数据通信机密性

征信系统采集的各类征信数据信息因与各个机构分别进行沟通协调,导致征信数据 信息在通信过程中的加密方式采取不同标准。采用密押设备来统一保证征信数据信息的 通信机密性。密押设备应统一定制配发,拥有防撬检测电路,确保密钥及密码算法不会 暴露于物理安全的环境之外。密押设备由各征信系统运行部门指定专人配置、维护和保 管。可以说,密押设备的应用能有效地保护征信数据信息的通信安全,并与网络访问控 制的安全要素息息相关。

4.数据存储机密性

数据存储是数据以某种格式记录在计算机内部或外部存储介质上。与其他安全管理 要素相比,强身认证对其保护作用更加明显。对存储在计算机内部的数据,主要是服 务器中的数据,要按规定将系统服务器主备机在中心机房安全摆放,设置双M以上门禁; 未经主管部门领导批准,非机房工作人员不得进人机房。系统管理员进行系统维护时,应有业务主管或操作员在场,严格控制对数据库的直接操作,并对维护内容作详细记录。

对于存储在计算机外部介质中的数据,如磁盘、U盘、光盘、本地设备等,要严格 管理、妥善保存,并实行数据加密制度。征信系统及其导出数据使用的存储介质,应进 行严格的病毒检査,防止计算机病毒侵入,禁止在征信系统终端设备上使用非征信系统 专用的存储介质,禁止在征信系统及其相关的设备上安装与系统运行无关的软件,最大 限度地保证数据存储机密性不受影响。

(二)我国《征信机构管理办法》对征信系统安全等级的规定根据《中华人民共和国中国人民银行法》《征信业管理条例》等法律法规,中国人民 银行制定了《征信机构管理办法》,自2013年12月20日起施行。《征信机构管理办法》 明确要求设立个人征信机构,应当经中国人民银行批准,且信用信息系统应当符合国家 信息安全保护等级二级或二级以上标准。

根据我国《信息安全等级保护管理办法》第二章,等级划分与保护规定:第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社□第六章信息主体权益保护 第 3 页

会秩序和公共利益造成损害,但不损害国家安全。对于第二级国家的监督管理要求为,第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家 信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

知识链接:中国金融新闻网—11315全国企业征信系统—我国社会征信新模式。我国信息安全等级保护等级划分和监管方式

1.信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中 的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损 害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国 家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者 对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

2.信息系统运营、使用单位依据《征信机构管理办法》和相关技术标准对信息系统 进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第 4 页

第三級信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系铳运营、使用单位应当依据国家有关管理规范、技术标准和业务专门 需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制 监督、检查。

需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

二、征信机构内控机制

内控机制建设就是一个组织为了实现既定目标,防范和减少风险的发生,由全体成 员共同参与,对内部业务流程进行全过程的介入和监控,采取权力分解、相互制衡手段,制定出完备的制度保证的过程。征信机构是征信体系建设的核心机构,在信用体系的建 设中承担重要的职责,其客观公正的评估有赖于内部有效的管理机制。

(一)我国征信机构内控机的相关规定 1.《征信业管理条例》相关规定

2013年3月15日开始实施的《征信业管理条例》第6条规定,设立经营个人征信业 务的征信机构,应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准:(1)主要股东信誉良好,最近3年无重大违法违 规记录;(2)注册资本不少于人民币5 000万元;(3)有符合国务院征信业监督管理部 门规定的保障信息安全的设施、设备和制度、措施;(4)拟任董事、监事和高级管理人 员符合该条例第8条规定的任职条件;(5)国务院征信业监督管理部门规定的其他审慎 性条件。第8条规定,经营个人征信业务的征信机构的董事、监事和高级管理人员,应当 熟悉与征信业务相关的法律法规,具有履行职责所需的征信业从业经验和管理能力,最近3年无重大违法违规记录,并取得国务院征信业监督管理部门核准的任职资格。

2.《征信机构管理办法》 第 5 页

2013年I2月20日起实施的《征信机构管理办法》第6条规定,设立个人征信机构,除应当符合《征信业管理条例》第6条规定外,还应当具备以下条件:(1)有健全的组 织机构;(2)有完善的业务操作、信息安全管理、合规性管理等内控制度;(3)个人信 用信息系统符合国家信息安全保护等级二级或二级以上标准。

对于征信机构的业务开拓以及跨域经营等内容,则充分尊重了企业的自主经营权,促使征信机构发挥经营的积极性和主动性。

(二)西方国际征信机构内控机制

征信机构运营模式可以大致划分为两种类型:以美、英为代表的市场主导型和欧洲 大陆大多数国家所采纳的政府主导型,其内控机制和管理模式则呈现不同的特点。

1.美国征信机构的市场化的内控模式

美国征信机构组织模式,是蝕立于政府之外的第三方私营机构,将个人信息进行收集、加工后,有偿提供给信息需求者,并且依据市场的需求来完善自己的经营与管理模 式,提升运营效率。具有以下几个特点:首先,征信机构私有化。个人征信机构都是由 私营的工商企业、征信专业公司、授信机构共同发挥作用的征信主体。其次,独立性强。征信机构既与政府隔离,同时又与其拖市场主体相分离,作为真正意义上的第三方存在。最后,按市场化原则运作。征信机构伴随着信用交易的市场需求产生而产生,随着市场 信用交易规模的发展而发展。其公司机制为公司制形式,以营利为目的,以股东利益最 大化为前提,股东出资比例决定公司投票权比例,一切决策按照商业化目的进行,服务 的范围不受限制。

美国《公平信用报告法》规定,作为个人征信机构,必须同时具备下列5项基本特 征:A.消费者信用调查和生产调查报告时期日常业务;B.专门从事收集消费者信用调查 或评价消费者信用价值;C.从事有偿服务、以营利为目的;D.服务的目的是向第三方提 供消费者信用调查报告;E.向全国市场提供公开的服务,不仅仅向关系企业提供报告 服务。第 6 页

在全球征信机构中,像益百利、环联、邓百氏等大型的征信机构全部采用公司制的 治理架构,并且,有些征信公司已经是上市公司。美国征信机构市场化的运作机制,政 府并没有对其具体的内控机制进行明确的法律规定。

2.以德国为代表的征信机构组织模式

以德国为代表的公共征信模式又称为政府主导的征信模式,即主要是依靠政府的力 量建立征信机构,政府通过行政手段强制要求个人或企业向征信机构提供其信用信息或 数据,从而建立个人信用信息数据库,并通过法律形式保障信息或数据的真实性。其特 点如下:A.具有一定的强制性。通过法律与决议的形式保证个人信用信息的可得性与真 实性。B.公私征信机构并存。公共与私营征信机构并立,且互为补充。C.垄断与竞争并 存。既有公共征信机构对个人基本信用信息的垄断,又有私营机构间的竞争。

政府主导的征信机构征信模式,虽然体现政府对于征信机构数据的来源和分享有一 定的强制性,但是对征信机构的日常运行管理,则干预较少。

第二篇:征信机构信息安全规范

征信机构信息安全规范

一、总则

1.1标准适用范围

标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。

标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。

1.2相关定义

(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。

(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。

1、密码包括但不限与查询密码、登录密码、证书的PIN等。

2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。

3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。

(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。

(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。

(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。

1.3总体要求

本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。

(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。

(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。

(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。

二、安全管理

2.1安全管理制度

征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。2.1.1内部管理制度 基本要求:

(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;

(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。

(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。

(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。

(五)应建立日常故障处理流程,重要岗位应建立双人负责制。

(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。

(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。

(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。

(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。

(十)应建立突发事件应急预案制度,有效避免事故造成的危害。

(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。增强要求:

(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。

(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。

(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。2.1.2安全审计制度 基本要求:

(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。

(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。

(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。

(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。

(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。增强要求:

(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。

(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。

2.2安全管理机构

征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。2.2.1岗位设置 基本要求:

(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。

(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。

(三)除科技部门以外,其他部门应设置部门计算机安全员。增强要求:

(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。

(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。2.2.2人员配备 基本要求:

(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。

(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。

(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。增强要求:

关键事务岗位。如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。2.2.3授权和审批 基本要求:

(一)应根据各部门和岗位的职责明确授权审批部门和审批人。

(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。

(三)应记录审批过程并保存审批文档。增强要求:

应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。2.2.4沟通与合作 基本要求:

(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。

(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。增强要求:

(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。

(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。2.3人员管理

征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。2.3.1安全主管 基本要求:

(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。

(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:

1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。

2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。

3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。

4、对征信机构内部其他信息安全相关管理事项进行审批。

(三)安全主管调岗位时。应办理交接手续,并履行其调离后的保密义务。增强要求:

安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。2.3.2信息安全管理员 基本要求:

(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。

(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。

(三)信息安全管理员应履行以下职责:

1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。

2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。

3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。

4、负责本机构计算机系统部署上线前的安全自测试方案的审核。

5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。

6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。增强要求:

信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。2.3.3部门计算机安全员 基本要求:

(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。

(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。

(三)部门计算机安全员应履行以下职责:

1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。

2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。

(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。增强要求:

部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。2.2.4技术支持人员 基本要求:

(一)内部技术人员(本机构正式员工,负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员,若系统管理员、数据库管理员等)在落实征信系统建设和日产维护工作过程中,履行以下职责:

1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。

2、严格权限访问,未经业务部门书面授权和本部门领导批准,不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。

3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。

(二)外部技术人员(非本机构人员)应履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,严格遵守征信机构相关安全规定与操作规程。增强要求:

外部技术支持人员未经业务部门书面授权和所在部门领导批准,不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等,确需接触、查看或修改时,须取得业务部门书面授权和所在部门领导批准,并在内部技术人员在场陪同下,方可进行。2.2.5业务操作人员 基本要求:

(一)业务操作人员(指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员,包括业务管理员、一般业务操作员)应履行以下职责:

1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据,严禁各种违规操作。

2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据,防止征信信息外泄。

3、妥善保管好征信系统的账户和密码,并按要求定期更换密码,禁止将账户和密码提供给他人使用。

4、发现征信系统出现异常及时向部门计算机安全员报告。

5、定期清理业务操作终端业务数据,不得在业务操作终端上安装与支付业务无关的计算机软件和硬件,不得擅自修改征信系统的运行环境参数。

(二)业务操作按照“权限分设、互相制约”原则,严格进行操作角色划分和授权管理,技术支持人员不得兼任业务操作人员。增加要求:

业务操作人员应实现A、B角管理。2.2.6一般计算机用户 基本要求:

(一)一般计算机用户(指征信机构内部使用接入征信系统网络的计算机及外设的所有人员)应履行以下职责:

1、及时安装计算机病毒防治软件和客户端防护软件,按规定使用移动存储介质,自觉接受部门计算机安全员的指导与管理。

2、不得安装与工作无关的计算机软件和硬件,不得将征信系统相关计算机擅自接入未经授权的网络。

(二)未经信息安全管理部门批准和检测的计算机及外设不得接入征信系统网络。增强要求:

1、一般计算机用户不得私自改变计算机用途。

2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。

2.4系统建设管理

2.4.1系统顶级 基本要求:

(一)应明确信息系统的边界和安全保护等级。

(二)应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。增强要求:

应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。2.4.2安全方案设计 基本要求:

(一)应根据征信系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。

(二)应以书面形式描述对征信系统的安全保护要求、策略和措施等内容,形成系统的安全方案。

(三)对安全方案进行细化,形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。

(四)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。增强要求:

(一)应制定和授权专门的部门对征信系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。

(二)应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。

(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。

(四)应定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。2.4.3安全产品采购

第三篇:国家税务局内控机制工作信息

武威市国家税务局内控机制全面运行

经过市、县两级国税机关近半年的有效工作,内控机制建设的各项工作基本完成,工作目标基本实现,截止10月中旬,全市国税系统内控机制已全面运行。

一、推行内控机制建设的基本做法

(一)党组高度重视,深入宣传发动。市局党组把推行内控机制建设做为新形势下全面提升全系统税收执法和行政管理水平,积极应对税收执法和行政管理权力运行中的各类风险,保证权力的正确行使的一项极为重要的、具有战略意义的工作提上党组工作日程,进行了专门研究部署;市局党组主要领导撰写了题为《推行内控机制建设 保证“两权”正确运行”》专题调研文章,主抓内控机制建设工作的领导撰写了题为《对构建风险管理导向型税收执法体制的思考》专题调研文章,以指导全系统内控机制建设工作的开展;市、县(区)两级国税机关分别召开中层干部会议和职工大会,认真传达学习总局领导、省局领导关于推行内控机制建设的讲话精神和调研文章,深入宣传动员,广泛开展了以“熟悉内控、理解内控、掌握内控”为主题的宣传动员活动,统一思想认识,增强了干部职工参与内控机制建设的积极性和主动性。

(二)理清工作思路,明确工作责任。在认真学习、广泛动员的基础上,市、县(区)两级制定了《内控机制建设实施意见》,市局排出了《内控机制建设工作推进日程表》,明确了推行内控机制建设的指导思想、工作定位、工作内容、目标任务、方法步骤和时间要求;市、县(区)两级成立了主要领导任组长、党组成员任副组长、机关部门负责人为成员的“内控机制建设工作领导小组”,下设由监察室、法规科、人事科、办公室有关人员组成的办公室,并签订了内控机制建设责任书,通过领导机制和工作机制的建立,明确了领导层、各职能部门和下属单位在内控机制建设工作中的职责和任务,使内控机制建设延伸到各个层次、岗位和业务环节,确保工作的有序开展。

(三)梳理权力事项,优化运行流程。内控机制建设工作推开以后,市局、县(区)机关各部门、各单位、各基层分局对各类权力事项进行了一次系统的清理、确认,尤其是对税收执法权的关键环节、重点部位、重点岗位以及内部行政管理的人、财、物各环节的权力进行了进一步的科学界定,明确权力行使的依据、权力运行的规则和范围。在此基础上形成了《武威市国家税务局部门岗位职权职责一览表》和《武威市国家税务局机关部门工作流程图》两个内控文本,通过对岗位职责的规范和完善,对部门权力运行轨迹进行了全面系统的规范和明晰,明确各岗位在处理有关业务时所具有的

权力和责任,实现权力、岗位、责任的有机结合,形成完备的权责体系。

(四)排查运行风险,完善制度体系。在梳理权力事项、优化运行流程的基础上,市局、县(区)从领导班子权力运行、部门权力权力运行、岗位权力运行、基层分局权力运行四个层面,认真排查确定了每一项权力运行中存在的制度机制风险、决策制定风险、税源监管风险、岗位职责风险、业务操作风险、纪律廉政风险等各方面的隐患和风险点,形成了《武威市国税局权力运行内部控制风险源点及防范控措施一览表

(一)》、《武威市国家税务局重点内控职位廉政风险及防控措施一览表

(二)》、《武威市国家税务局重点内控项目责任风险及防控措施一览表

(三)》三个内控文本,从每个岗位、重点职位、重点项目三个方面各有侧重地进行了风险排查,并有针对性地制定出防范措施。在进行全面排查风险的基础上,对本系统税收规范性文件和相关制度进行了一次系统地清理、审定、规范、修订。

二、内控机制建设的主要特点

我局内控机制建设工作始终坚持学习借鉴、立足实际、体现特点、注重实效、推进管理的原则进行。

(一)三级机关同步推进。市局党组确定了推行内控机制建设以“预警在先,防范在前”为首要工作理念和以“最大限度地减少权力不规范运行及权力运行中监督制约缺失的

可能和条件”为主要出发点的总体指导思想,全系统全面动员,共同参与,市局机关、县(区)局机关、基层分局同步推进,以达到内控机制建设延伸到各个层次、岗位和业务环节,预控风险覆盖权力运行全过程、各个环节、全方位的目标。各区县局在推行工作中,各有特点。民勤县国税局采取自己找、互相帮、领导提、集中评、组织审等方法认真排查风险,注重构建前期预防防线、中期监控防线、后期管理防线,并将风险点逐级签字确认,明确防控责任,形成岗位有风险,风险有人控,人人内控,人人受控的内控预防体系;天祝县国税局以《工作流程图》为基本内容,制作了《科室(分局)工作轨迹图》、《岗位风险提示卡》、形成“一册一图一卡三单”为特色的内控文本。

(二)抓实两个基础环节。一是抓实优化运行程序这一基础环节。在内部行政管理权运行流程上,侧重体现出下一道程序对上一道程序的控制,每道程序之间互相制衡;在税收执法权运行流程上,全市国税系统从为纳税人减负,提升运行效率的原则出发,按照“简化流程、减少环节、精减资料、缩短时间、统一表单”的要求,共清理兼并各类业务流程41个,减少审批环节24个,减少报送资料79份,缩短办理时限的业务18种,统一表证单书85种,形成严密高效的权力运行流程。二是抓实风险排查这一基础环节。引入风险管理是内控机制建设的核心理念之一。因此,我们在推行工

作中,贯彻全面排查、突出重点的原则。首先从领导班子、职能部门、履职岗位、权力事项四个方位进行廉政风险和责任风险的基础性排查,形成《武威市国税局权力运行内部控制风险源点及防范控措施一览表

(一)》;完成基础性排查后,把党组成员、中层领导、分局长做为重点职位进行重点排查,形成表

(二)文本;再围绕对决策权、自由裁量权、行政审批权、人事权、财务管理权、税收管理权和税收稽查权等方面确定出27个重点内控项目进行重点排查,形成表

(三)文本,体现出按部门、分岗位、按职位、分项目全面排查、突出重点的原则。全系统共排查确定“两权”运行风险点583个,其中:税收执法风险点398个,行政管理风险点185个;市局机关排查确定一级风险点55个,二级风险点50个;县区局排查确定一级风险点139个,二级风险点166个;三级风险点173个。

(三)突出一个核心环节。良好的内控机制最终要通过科学的制度体系表现出来。因此,我们在推行工作中,党组高度重视,突出了制度建设这个核心环节。按照促生内在的制约力的要求,市局机关对本系统税收规范性文件和相关制度进行了一次系统地清理、审定、规范、修订,经过对口科室修订、有关部门审核、分管领导把关、有关会议讨论、局长办公会议审定的程序运行后,将原来95项制度审定为44项,提高了制度文本的规范性、可行性,以提高制度的执行

力,形成了新的内控制度体系。三县一区国税局也高度重视,对本级制定的规章制度进行了系统地清理修定。

(四)凸现一个重点领域。市局党组清醒地认识到,内控的根本目的是最大限度地减少权力不规范运行及权力运行中监督制约缺失的可能和条件,而国税系统“两权”运行的重点主体是两级领导班子和领导干部。因此,我们在推行内控机制建设工作时,把领导班子和领导干部的权力运行做为重点领域进行控制,一是在排查风险时,把市、县两级领导班子权力运行做为一个重点对象进行排查,从行政决策、税收执法、行政管理、廉政自律4个大类18个项目进行排查,做为一级防控风险,并确定直接防控责任人员和协助防控部门。二是把把党组成员、中层领导、分局长做为重点职位进行重点排查和重点防控。三是把决策、审批、处罚、人事、财务、资产等权力事项做为关键节点凸现出来。

二、内控机制建设取得的主要成效

(一)更新了管理理念。内控机制建设工作的推行,首先使全市国税系统的领导层认识到,推行内控机制建设是全面提升国税系统税收执法和行政管理水平的重要举措,并确定了实行风险导向型管理的重要理念。其次,全系统干部职工认识风险、防范风险的意识大大提高,广大干部职工清楚地意识到风险就在身边,防范风险就是对自己最好的保护,干部职工主动认识风险、认真排查风险、积极规避化解风险 的意识和能力明显增强。

(二)新建了一个管理机制。内控机制建设工作中,针对排查确定的风险源点,对国税系统“两权”运行实行风险预警管理机制。市局制定印发了《武威市国家税务局税收执法权和行政管理权监督制约预警报告办法》,对“两权”运行中4类事项实行预警上报,37种事项实行预警告知,明确风险防控的主体和责任,建立起了有效的风险防御和化解机制;区、县国税局建立了以预警信息员定期采集上报预警信息为主要特征的风险预警管理机制。通过对风险预警信息的上报和告知,建立起日常的风险发现、处置、化解机制,体现出以风险导向型管理机制为目标的管理理念的重大转变。

(三)健全了三个机制。一是健全了对权力运行的控制机制。通过优化运行流程、重建制度体系,使每一项权力的运行轨迹都按照“决策—执行—监督”、“审批—办理—监管”的要求运行,确保每项权力不重复、不交叉,环环相扣,过程控制。二是健全加强了权力运行的监督制约机制。市局党组注重把合理分权、超前防范、监控制约、相互监督,制度之间相互衔接、相互配套的内控要求体现在制度构建上,把监督制约首先落实在制度上;在此基础上,市局党组着力营造领导班子重视监督、欢迎监督、接受监督,干部群众敢于监督、愿意监督的监督氛围,建立了畅通的信息反馈收集机制,改进政务公开和监督的方式渠道,在内部网站设立“政

务公开栏”,改进了“局长信箱”的运行流程,开展了“我为税收建言献策”活动,广开言路,畅通渠道,确保让干部职工的意见和建议随时直达决策层,充分保障干部职工的知情权、建议权、监督权,切实保护群众参与政务、参与监督的积极性,着力改变单纯的上级监督下级、少数人监督多数人的局面;在税收执法权监督上,通过建立《武威市国税局税收执法回访工作制度》等措施的落实,拓宽外部监督渠道,实施税收执法权监督主体的重心外移。三是建立了良好的执行力保障机制。通过制定《武威市国税局机关内控机制运行考核评价办法(试行)》、《武威市国家税务局绩效考核管理办法》、《执法责任考核办法》、《执法过错责任追究办法》、《武威市国家税务局纪检监察案件调查处理工作规程》,加大评价考核和问责问效,增强机关各部门、各单位防控“两权”运行风险的责任心,以切实提高全系统“两权”运行内控机制的执行力。

四、需不断完善之处

由于内控机制建设工作是一项复杂系统的工作,没有固定的模式,没有成熟的经验,仍需要在实践中不断完善,探索创新。

(一)需要不断进行动态校正。特别是查找风险源点、风险描述、预警指标设置、预警信息的发现、处置等是一个动态的过程,不是一成不变的,尚需根据税收工作环境的不

断变化尤其是各方面工作考核评价要求的变化定期或不定期地进行动态校正,以保证准确性和可行性。

(二)必须着力构建内控的长效机制。内控机制建设的目的在于形成具有内生制约力的管理机制,这是一项长期的、系统的、复杂的工作过程,不可能一蹴而就,需要把制度、资源、执行力等各方面统一整合,不断优化,经过前期、中期、后期的持续改进,才能真正形成配置科学、程序严密、运行高效、制约有力的权力运行机制,才能真正为提升管理水平发挥效能和作用。

(三)重在抓好机制运行。内控机制,制度体系是支撑,实时监控是核心,关联制约是重点,风险管理是抓手,执行力是手段。因此,如何制定更为科学的、切实可行的内控机制运行考核评价办法,提高执行力,确保内控机制的长效运行是一个难点,需要不断探索研究,加以完善。

二〇一〇年十月九日

第四篇:征信机构管理办法征求意见稿

征信机构管理办法(征求意见稿)

第一章 总则

第一条 为加强对征信机构的监督管理,促进征信业健康发展,根据《中华人民共和国中国人民银行法》、《征信业管理条例》等法律法规,制定本办法。

第二条 本办法所称征信机构,是指依法设立,主要经营征信业务的机构。

第三条 中国人民银行依法履行对征信机构的监督管理职责,中国人民银行分支机构在总行的授权范围内,履行对辖内征信机构的监督管理职责。

第四条 征信机构应当遵守法律、行政法规和中国人民银行的规定,诚信经营,不得损害国家利益、社会公共利益,不得侵犯他人合法权益。

第二章 机构的设立、变更与终止

第五条 设立个人征信机构应当经中国人民银行批准。第六条 设立个人征信机构,除应当符合《征信业管理条例》第六条规定外,还应当具备以下条件:

(一)有健全的组织机构;

(二)有完善的业务操作、安全管理、合规性管理等内控制度;

(三)个人信用信息系统符合国家信息安全保护等级二级或二级以上标准。

《征信业管理条例》第六条第一项“主要股东”是指出资额占公司资本总额5%以上或者持股占公司股份5%以上的股东。

第七条 申请设立个人征信机构,应当向中国人民银行提交下列材料:

(一)个人征信机构设立申请表;

(二)征信业务可行性研究报告,包括发展规划、经营策略等;

(三)公司章程;

(四)依法设立的验资机构出具的验资证明;

(五)股东关联关系和实际控制人说明;

(六)主要股东最近3年无重大违法违规行为的证明,金融信用信息基础数据库出具的主要股东信用报告;

(七)拟任董事、监事和高级管理人员任职资格证明;

(八)组织机构设置及人员基本构成;

(九)已建立的内控制度,包括业务操作、安全管理、合规性管理等;

(十)具有国家级信息安全等级保护测评资质的机构出具的个人信用信息系统安全测评报告,关于信息安全保障措施的说明和相关安全保障制度;

(十一)营业场所所有权或使用权的证明文件;

(十二)工商行政管理部门出具的《企业名称预先核准通知书》复印件。

中国人民银行可以通过实地调查、面谈等方式对申请材料进行核实。

第八条 中国人民银行在受理个人征信机构设立申请后公示申请人的下列事项:

(一)拟设立征信机构的名称、营业场所、业务范围;

(二)注册资本;

(三)主要股东名单、持股比例;

(四)拟任董事、监事和高级管理人员名单。

第九条 中国人民银行自受理个人征信机构设立申请之日起60日内对申请事项进行审查,并根据有利于征信业公平竞争和健康发展的审慎性原则作出批准或者不予批准的决定。决定批准的,依法颁发《个人征信业务经营许可证》。

第十条 经批准设立的个人征信机构,凭《个人征信业务经营许可证》向公司登记机关办理登记,领取营业执照;个人征信机构登记后20日内,应当向中国人民银行提交营业执照复印件。

第十一条 个人征信机构拟合并或者分立的,应当向中国人民银行提出申请,说明变更事项和变更理由,并提交相关证明材料。

中国人民银行自受理申请之日起20日内,作出批准或

不予批准的书面决定。

第十二条 个人征信机构拟变更注册资本、主要股东的,应当向中国人民银行提出申请,说明变更事项和变更理由,并提交相关证明材料。

中国人民银行自受理之日起20日内,作出批准或不予批准的书面决定。

第十三条 个人征信机构拟设立分支机构,应当符合以下条件:

(一)提交申请前一年盈利;

(二)对拟设立分支机构的可行性已进行充分论证;

(三)最近3年无受重大行政处罚的记录。第十四条

个人征信机构申请设立分支机构,应当向中国人民银行提交下列材料:

(一)个人征信机构分支机构设立申请表;

(二)个人征信机构上一经审计的财务会计报告;

(三)分支机构设立的可行性论证报告,包括拟设分支机构3年业务发展规划、市场分析和经营方针等;

(四)针对设立分支机构所作出的内控制度安排和风险防范措施;

(五)个人征信机构最近3年无受重大行政处罚的证明;

(六)拟任职的分支机构高级管理人员的履历材料。第十五条 个人征信机构变更机构名称、营业场所、法

定代表人的,应当向中国人民银行申请变更《个人征信业务经营许可证》记载事项。《个人征信业务经营许可证》记载事项变更后,向公司登记机关申办变更登记,并于公司登记机关准予变更之日起20日内,向中国人民银行备案。

第十六条 《个人征信业务经营许可证》应当在营业场所的显著位置公示。

第十七条 个人征信机构应当妥善保管《个人征信业务经营许可证》,不得涂改、倒卖、出租、出借、转让。

第十八条 《个人征信业务经营许可证》有效期限为3年。有效期限届满需要延续的,应在有效期届满60日前向中国人民银行提出延续申请,换发《个人征信业务经营许可证》。

有效期届满不再延续的,个人征信机构应当在《个人征信业务经营许可证》有效期届满60日前向中国人民银行报告,并按照本办法第二十条的规定,妥善处理信息数据库,办理《个人征信业务经营许可证》注销手续;个人征信机构在《个人征信业务经营许可证》有效期届满60日前未提出延续申请的,中国人民银行可以在《个人征信业务经营许可证》有效期届满之日注销其《个人征信业务经营许可证》,并按照《征信业管理条例》第十二条的规定处理信息数据库。

第十九条 设立企业征信机构,应当符合《中华人民共和国公司法》规定的设立条件,并于公司登记机关准予登记

之日起30日内向所在地的中国人民银行省会(首府)城市中心支行以上分支机构办理备案,提交下列材料:

(一)企业征信机构备案表;

(二)营业执照复印件;

(三)股权结构,包括股东名册及其出资额或所持股份、依法设立的验资机构出具的验资证明;

(四)组织机构说明,包括机构部门设置和人员基本构成;

(五)业务范围和业务规则基本情况报告;

(六)业务系统的基本情况,包括企业信用信息系统建设情况报告;

(七)信息安全和风险防范措施,包括已建立的内控制度和安全管理制度。

备案事项发生变更的,应当自变更之日起30日内向原备案机构办理变更备案。

第二十条 个人征信机构因解散或者被依法宣告破产等原因拟终止征信业务的,应当在拟终止之日前60日向中国人民银行报告退出方案,并按照《征信业管理条例》第十二条第一款规定处理信息数据库。

个人征信机构终止征信业务的,应当自终止之日起20日内,在中国人民银行指定的媒体上公告,并办理《个人征信业务经营许可证》注销手续,将许可证缴回中国人民银行。

逾期不缴回的,中国人民银行将依法收缴。

第二十一条 企业征信机构因解散或者被依法宣告破产等原因拟终止征信业务的,应当在拟终止之日前60日向中国人民银行报告,并按照《征信业管理条例》第十二条第一款规定处理信息数据库。

第三章 高级任职人员管理

第二十二条 个人征信机构的董事、监事、高级管理人员,应当在任职前取得中国人民银行核准的任职资格。

第二十三条 取得个人征信机构董事、监事和高级管理人员任职资格,应当具备以下条件:

(一)正直诚实,品行良好;

(二)具有大专以上学历;

(三)从事征信工作3年以上或从事金融、法律、会计、经济工作5年以上;

(四)具有履行职责所需的管理能力;

(五)熟悉与征信业务相关的法律法规和与征信相关的专业知识,并通过中国人民银行组织的任职资格考试。

第二十四条 有下列情形之一的,不得担任个人征信机构董事、监事和高级管理人员:

(一)因贪污、贿赂、侵占财产、挪用财产或者破坏社会主义市场经济秩序,被判处刑罚,或者因犯罪被剥夺政治权利,执行期满未逾5年的;

(二)最近3年有重大违法违规记录的。

第二十五条

个人征信机构向中国人民银行申请核准董事、监事和高级管理人员的任职资格,应当提交下列材料:

(一)董事、监事和高级管理人员任职资格申请表;

(二)拟任职的董事、监事和高级管理人员的个人履历材料;

(三)拟任职的董事、监事和高级管理人员的学历证书复印件;

(四)拟任职的董事、监事和高级管理人员最近3年无重大违法违规记录的证明;

(五)金融信用信息基础数据库出具的拟任职的董事、监事和高级管理人员个人信用报告;

(六)中国人民银行组织的任职资格考试合格证书。个人征信机构应当如实提交前款规定的材料,个人征信机构以及拟任职的董事、监事和高级管理人员应当对材料的真实性、完整性负责。中国人民银行可以根据需要对材料的真实性进行核实,并对申请任职资格的董事、监事和高级管理人员进行考察或谈话。

第二十六条 中国人民银行依法对个人征信机构董事、监事和高级管理人员的任职资格进行审查,作出核准或不予核准的书面决定。

第二十七条 企业征信机构的董事、监事、高级管理人

员,应当由任职的征信机构在任命后20日内向所在地的中国人民银行省会(首府)城市中心支行以上分支机构备案,并提交下列材料:

(一)企业征信机构董事、监事、高级管理人员备案表;

(二)个人履历材料;

(三)学历证书复印件。

(四)备案材料真实性声明。

企业征信机构的董事、监事、高级管理人员发生变更的,应当自变更之日起20日内向原备案机构办理变更备案。

第四章 监督管理

第二十八条 个人征信机构应当在每年第一季度末,向中国人民银行报告上一征信业务开展情况。

企业征信机构应当在每年第一季度末,向其备案机构报告上一征信业务开展情况。

报告内容应当包括信用信息采集、征信产品开发、信用信息服务、异议处理以及信用信息系统建设情况、信息安全保障情况等。

第二十九条 个人征信机构应当按规定向中国人民银行报送征信业务统计报表、财务会计报告、审计报告等资料。

企业征信机构应当按规定向备案机构报送征信业务统计报表、财务会计报告、审计报告等资料。

征信机构应当对报送的报表和资料的真实性、准确性、完整性负责。

第三十条 征信机构应当按照国家信息安全保护等级测评标准,对信用信息系统的安全情况进行测评。

征信机构信用信息系统安全保护等级为二级的,应当每两年进行测评;信用信息系统安全保护等级为三级及以上的,应当每年进行测评。

测评机构出具测评报告后20日内,个人征信机构应当将测评报告报中国人民银行,企业征信机构应当将测评报告报备案机构。

第三十一条 征信机构有下列情形之一的,中国人民银行及其分支机构可以将其列为重点监管对象:

(一)上一发生严重违法违规行为的;

(二)出现可能发生信息泄露征兆的;

(三)出现财务状况异常或严重亏损的;

(四)被大量投诉的;

(五)中国人民银行认为需要重点监管的其他情形。征信机构被列为重点监管对象的,中国人民银行及其分支机构可以酌情缩短征信机构报告征信业务开展情况、进行信用信息系统安全情况测评的周期,并采取相应的监管措施,督促征信机构整改。

经整改,第一款中所列情形消除的,中国人民银行及其分支机构可不再将其列为重点监管对象。

第三十二条 中国人民银行及其分支机构可以根据监管需要,约谈征信机构董事、监事和高级管理人员,要求其就征信业务经营、风险控制、内部管理等有关重大事项做出说明。

第五章 罚则

第三十三条 申请设立个人征信机构的申请人隐瞒有关情况或者提供虚假材料的,中国人民银行可以按照《行政许可法》第七十八条进行处罚。

第三十四条 个人征信机构的个人信用信息系统未达到国家信息安全保护等级二级以上要求的,中国人民银行可以责令整顿;情节严重或拒不改正的,中国人民银行可以按照《征信业管理条例》第三十八条的规定,吊销其《个人征信业务经营许可证》。

第三十五条 申请个人征信机构的董事、监事、高级管理人员任职资格的申请人隐瞒有关情况或者提供虚假材料的,中国人民银行不予受理或不予核准其任职资格,并给予警告;已核准的,取消其任职资格。

中国人民银行可以禁止上述申请人一年至三年内再次申请任职资格。

第三十六条 个人征信机构任命未取得任职资格董事、监事、高级管理人员的,由中国人民银行责令改正并给予警告;情节严重的,处1万元以上3万元以下罚款。

企业征信机构任命董事、监事、高级管理人员未及时备案或变更备案,以及在备案中提供虚假材料的,由中国人民银行分支机构责令改正并给予警告;情节严重的,处1万元以上3万元以下罚款。

第三十七条 征信机构违反本办法第二十八条、第二十九条、第三十条规定的,由中国人民银行及其分支机构责令改正;情节严重的,处1万元以上3万元以下罚款;对有违法所得的,没收违法所得,并处违法所得1倍以上3倍以下罚款,但最高不得超过3万元;涉嫌犯罪的,依法移交司法机关追究其刑事责任。

第六章 附则

第三十八条 本办法由中国人民银行负责解释。第三十九条 本办法自 年 月 日起施行。

第五篇:客户征信信息管理制度

客户征信信息管理制度

第1章

总则

第1条 为防止客户征信信息泄露,确保信息完整和安全,科学、高效地保管和利用客户征信信息,特制定本制度。

第2条 本制度适用于客户征信信息相关人员的工作。

第2章 客户征信信息归档

第3条 客户开发专员每发展、接触一个新客户,均应及时在客户征信信息专员处建立客户档案,客户档案应标准化、规范化。

第4条 客户征信信息专员负责企业所有客户征信信息、客户征信信息报表的发送、收集、汇总、整理。

第5条 为方便查找,应为客户档案设置索引。

第6条 客户档案按风险控制部的要求分类摆放,按从左至右、自上而下的顺序排列。第7条 客户征信信息的载体(包括纸张、软件等)应选用质量好、便于长期保管的材料。信息书写应选用耐久性强、不易褪色的材料,如碳素墨水或蓝黑墨水,避免使用圆珠笔、铅笔等。

第3章 客户征信信息报告

第8条 客户征信信息专员对客户征信信息进行分析、整理,编制客户征信信息报告。第9条 其他部门若因工作需要,要求客户征信信息专员提供有关客户征信信息资料及定期统计报告的,须经风险控制部经理的审查同意,并经总经理批准。

第10条 客户征信信息报告如有个别项需要修改时,应报总经理批准,由风险控制部备案,不必再办理审批手续。

第11条 客户征信信息专员编制的各种客户征信信息资料报告必须根据实际业务工作需要,统一印刷、保管及发放。

第12条 为确保客户征信信息报告中数据资料的正确性,客户征信信息主管、风险控制部经理应对上报或分发的报告进行认真审查。

第4章 客户档案的检查

第13条 每半年对客户征信档案的保管状况进行一次全面检查,做好检查记录。第14条 发现客户征信档案字迹变色或材料破损要及时修复。第15条 定期检查客户征信档案的保管环境,防潮、防霉等工作一定要做好。

第5章 客户征信信息的使用

第16条 建立客户征信信息档案查阅权限制度,未经许可,任何人不得随意查阅客户征信信息档案。

第17条 查阅客户征信信息档案的具体规定如下。

1.由申请查阅者提交查阅申请,在申请中写明查阅的对象、目的、理由、查阅人概况等情况。

2.由申请查阅者所在单位(部门)盖章,负责人签字。

3.由风险控制部对查阅申请进行审核,若理由充分、手续齐全,则予以批准。第18条 客户征信信息资料安全的具体规定如下。

1.任何处室和个人不得以任何借口分散保管客户征信资料和将客户征信资料据为己有。

2.借阅者提交借阅申请,内容与查阅申请相似。

3.借阅申请由借阅者所在单位(部门)盖章,负责人签字。4.风险控制部门对借阅申请进行审核、批准。

第6章 客户征信信息的保密

第19条 风险控制部各级管理人员和征信信息管理人员要相互配合,自觉遵守客户征信信息保密制度。

第20条 凡属“机密”、“绝密”的客户资料,登记造册时,必须在检索工具备注栏写上“机密”、“绝密”字样,必须单独存放、专人管理,其他人员未经许可不得查阅。

第21条 各类重要的文件、资料必须采取以下保密措施。

1.非经总经理、客户征信信息主管或风险控制部门经理批准,不得复制和摘抄。2.其收发、传递和外出携带由指定人员负责,并采取必要的安全措施。

第22条 企业相关人员在对外交往与合作中如果需要提供客户资料时,应事先获得客户征信信息主管和风险控制部经理的批准。

第23条 对保管期满,失去保存价值的客户征信资料要按规定销毁,不得当作废纸出售。第24条 客户征信信息管理遵循“三不准”规定,其具体内容如下。1.不准在私人交往中泄露客户征信信息。2.不准在公共场所谈论客户征信信息。

3.不准在普通电话、明码电报和私人通信中泄露客户征信信息。第25条 企业工作人员发现客户征信信息已经泄露或者可能泄露时,应当立即采取补救措施,并及时报告客户征信信息主管及风险控制部经理。相关人员接到报告后,应立即处理。

第7章 附则

第26条 本制度由风险控制部负责解释、修订和补充。第27条 本制度呈报总经理审批后,自颁布之日起执行。

下载征信机构信息系统安全及内控机制word格式文档
下载征信机构信息系统安全及内控机制.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    征信信息安全实施细则

    信息安全实施细则 第一章 总 则 为加强征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据......

    信息系统安全

    数字签名过程 “发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给......

    个人信用信息征信体系中相关机构的赔偿责任

    个人信用信息征信体系中相关机构的赔偿责任 [案情] 近来,杭州出现一起“一美元的个人信用官司”,引起了媒体和社会大众的关注。2003年9月24日,沈某按照银行的催款单,提前一天归......

    征信信息安全管理工作方案

    xxx有限责任公司 关于加强征信信息安全管理的工作方案 一、指导思想 为贯彻落实银发〔2018〕102号《中国人民银行关于进一步加强征信信息安全管理的通知》的文件精神,进一步......

    个人征信信息查询授权委托书

    个人征信信息查询授权委托书 武汉农村商业银行: 本人(姓名:身份证号码:) 申请办理武汉农村商业银行现金分期信用卡,同意并授权贵行遵照《征信业管理条例》的规定,通过中国人民银......

    2012内控机制汇报材料范文

    淅川:2012年上半年防范权力风险内控机制运行情况 为了加强廉政建设和深化执法建设年,进一步有效防范内部风险,健全完善责任明晰、制约有力、监督到位的单位内控机制,从源头和机......

    征信宣传教育工作机制调研报告

    征信宣传教育工作机制调研报告 征信宣传工作是加强征信体系建设的重要内容之一,也是让社会公众了解征信的重要途径。我行针对此项工作开展了征信工作的专项宣传日活动,围绕活......

    个人征信机构准入申请材料5篇

    个人征信机构准入申请材料 一、《征信业管理条例》及《征信机构管理办法》第六条规定包括: (一)主要股东信誉良好,最近3年无重大违法违规记录; (二)注册资本不少于人民币5000万元; (......