第一篇:个人征信机构准入申请材料
个人征信机构准入申请材料
一、《征信业管理条例》及《征信机构管理办法》第六条规定包括:
(一)主要股东信誉良好,最近3年无重大违法违规记录;
(二)注册资本不少于人民币5000万元;
(三)有符合中国人民银行规定的保障信息安全的设施、设备和制度、措施;
(四)拟任董事、监事和高级管理人员,应当熟悉与征信业务相关的法律法规,具有履行职责所需的征信业从业经验和管理能力,最近3年无重大违法违规记录;
(五)有健全的组织机构;
(六)有完善的业务操作、信息安全管理、合规性管理等内控制度;
(七)个人信用信息系统符合国家信息安全保护等级二级或二级以上标准。第一项所称主要股东是指出资额占公司资本总额5%以上或者持股占公司股份5%以上的股东。
二、申请设立个人征信机构,应当向所在地人民银行办事机构提交下列材料:
(一)个人征信机构设立申请表;
(二)征信业务可行性研究报告,包括发展规划、经营策略等;
已成立的个人征信机构提交征信业务经营报告,包括发展规划、经营策略等。
(三)公司章程;
(四)股东关联关系和实际控制人说明;
(五)主要股东最近3年无重大违法违规行为的声明以及主要股东的信用报告;
(六)拟任董事、监事和高级管理人员任职资格证明;
(七)组织机构设置以及人员基本构成说明;
(八)已经建立的内控制度,包括业务操作、安全管理、合规性管理等;
(九)具有国家信息安全等级保护测评资质的机构出具的个人信用信息系统安全测评报告,关于信息安全保障措施的说明和相关安全保障制度;
(十)营业场所所有权或者使用权证明文件;
(十一)工商行政管理部门出具的企业名称预先核准通知书复印件。已成立的个人征信机构提交营业执照。
第二篇:个人征信查询申请授权书
查 询 授 权 书
(金融机构名称):
本人授权贵行在办理以下涉及到本人的业务时,可以向中国人民银行个人信用信息基础数据库查询本人(如有需要□可以/□不可以查询本人配偶)的信用报告,并将包括本人的个人基本信息、信贷交易信息等相关信息向中国人民银行个人信用信息基础数据库报送:
□ 审核贷款申请;
□ 审核贷记卡、准贷记卡申请;
□ 审核本人作为担保人;
□ 对已发放的个人信贷进行贷后风险管理;
□ 受理法人或其他组织的贷款申请或其作为担保人,需要查询其法定代表人及出资人信用状况。
□ 对公业务贷后管理需查询法定代表人及出资人信用状况。
若信贷业务未获批准,本人的授权书、个人信用报告等资料一律不退回。
特此授权。
授权人(签字):
身份证件类型:
证件号码:
授权日期:年月日
(为保护您的合法权益,以上空白处请填写完整。)
第三篇:个人征信
信用信息查询报送授权书(2013年版)
(适用于自然人)
由于(名称)向中国银行股份有限公司申请业务,根据《征信业管理条例》等法律法规、监管规定,本人(姓名)(身份证号)同意中国银行股份有限公司在下列情形时,通过金融信用信息基础数据库查询本人的信用报告,供中国银行股份有限公司叙做上述业务使用:
(1)审核本人提供担保的申请;
(2)对本人提供的担保进行授后管理;
(3)受理法人或其他组织的授信或提供担保申请,需要查询本人作为法定代表人、出资人、实际控制人或管理团队主要成员的信用状况的;
(4)对法人或其他组织的授信或所提供的担保进行授后管理,需要查询本人作为法定代表人、出资人、实际控制人或管理团队主要成员的信用状况的;
(5)其他。
本人同时授权中国银行股份有限公司向金融信用信息基础数据库报送本人信用信息。
2、本人知悉并理解上述授权条款内容,上述授权自本人签字之日起生效并有效至上述申请叙做的业务终止或结清之日。中国银行股份有限公司超出上述授权查询的一切后果及法律责任由其承担。
出具人(签字):年月日
第四篇:征信机构管理办法征求意见稿
征信机构管理办法(征求意见稿)
第一章 总则
第一条 为加强对征信机构的监督管理,促进征信业健康发展,根据《中华人民共和国中国人民银行法》、《征信业管理条例》等法律法规,制定本办法。
第二条 本办法所称征信机构,是指依法设立,主要经营征信业务的机构。
第三条 中国人民银行依法履行对征信机构的监督管理职责,中国人民银行分支机构在总行的授权范围内,履行对辖内征信机构的监督管理职责。
第四条 征信机构应当遵守法律、行政法规和中国人民银行的规定,诚信经营,不得损害国家利益、社会公共利益,不得侵犯他人合法权益。
第二章 机构的设立、变更与终止
第五条 设立个人征信机构应当经中国人民银行批准。第六条 设立个人征信机构,除应当符合《征信业管理条例》第六条规定外,还应当具备以下条件:
(一)有健全的组织机构;
(二)有完善的业务操作、安全管理、合规性管理等内控制度;
(三)个人信用信息系统符合国家信息安全保护等级二级或二级以上标准。
《征信业管理条例》第六条第一项“主要股东”是指出资额占公司资本总额5%以上或者持股占公司股份5%以上的股东。
第七条 申请设立个人征信机构,应当向中国人民银行提交下列材料:
(一)个人征信机构设立申请表;
(二)征信业务可行性研究报告,包括发展规划、经营策略等;
(三)公司章程;
(四)依法设立的验资机构出具的验资证明;
(五)股东关联关系和实际控制人说明;
(六)主要股东最近3年无重大违法违规行为的证明,金融信用信息基础数据库出具的主要股东信用报告;
(七)拟任董事、监事和高级管理人员任职资格证明;
(八)组织机构设置及人员基本构成;
(九)已建立的内控制度,包括业务操作、安全管理、合规性管理等;
(十)具有国家级信息安全等级保护测评资质的机构出具的个人信用信息系统安全测评报告,关于信息安全保障措施的说明和相关安全保障制度;
(十一)营业场所所有权或使用权的证明文件;
(十二)工商行政管理部门出具的《企业名称预先核准通知书》复印件。
中国人民银行可以通过实地调查、面谈等方式对申请材料进行核实。
第八条 中国人民银行在受理个人征信机构设立申请后公示申请人的下列事项:
(一)拟设立征信机构的名称、营业场所、业务范围;
(二)注册资本;
(三)主要股东名单、持股比例;
(四)拟任董事、监事和高级管理人员名单。
第九条 中国人民银行自受理个人征信机构设立申请之日起60日内对申请事项进行审查,并根据有利于征信业公平竞争和健康发展的审慎性原则作出批准或者不予批准的决定。决定批准的,依法颁发《个人征信业务经营许可证》。
第十条 经批准设立的个人征信机构,凭《个人征信业务经营许可证》向公司登记机关办理登记,领取营业执照;个人征信机构登记后20日内,应当向中国人民银行提交营业执照复印件。
第十一条 个人征信机构拟合并或者分立的,应当向中国人民银行提出申请,说明变更事项和变更理由,并提交相关证明材料。
中国人民银行自受理申请之日起20日内,作出批准或
不予批准的书面决定。
第十二条 个人征信机构拟变更注册资本、主要股东的,应当向中国人民银行提出申请,说明变更事项和变更理由,并提交相关证明材料。
中国人民银行自受理之日起20日内,作出批准或不予批准的书面决定。
第十三条 个人征信机构拟设立分支机构,应当符合以下条件:
(一)提交申请前一年盈利;
(二)对拟设立分支机构的可行性已进行充分论证;
(三)最近3年无受重大行政处罚的记录。第十四条
个人征信机构申请设立分支机构,应当向中国人民银行提交下列材料:
(一)个人征信机构分支机构设立申请表;
(二)个人征信机构上一经审计的财务会计报告;
(三)分支机构设立的可行性论证报告,包括拟设分支机构3年业务发展规划、市场分析和经营方针等;
(四)针对设立分支机构所作出的内控制度安排和风险防范措施;
(五)个人征信机构最近3年无受重大行政处罚的证明;
(六)拟任职的分支机构高级管理人员的履历材料。第十五条 个人征信机构变更机构名称、营业场所、法
定代表人的,应当向中国人民银行申请变更《个人征信业务经营许可证》记载事项。《个人征信业务经营许可证》记载事项变更后,向公司登记机关申办变更登记,并于公司登记机关准予变更之日起20日内,向中国人民银行备案。
第十六条 《个人征信业务经营许可证》应当在营业场所的显著位置公示。
第十七条 个人征信机构应当妥善保管《个人征信业务经营许可证》,不得涂改、倒卖、出租、出借、转让。
第十八条 《个人征信业务经营许可证》有效期限为3年。有效期限届满需要延续的,应在有效期届满60日前向中国人民银行提出延续申请,换发《个人征信业务经营许可证》。
有效期届满不再延续的,个人征信机构应当在《个人征信业务经营许可证》有效期届满60日前向中国人民银行报告,并按照本办法第二十条的规定,妥善处理信息数据库,办理《个人征信业务经营许可证》注销手续;个人征信机构在《个人征信业务经营许可证》有效期届满60日前未提出延续申请的,中国人民银行可以在《个人征信业务经营许可证》有效期届满之日注销其《个人征信业务经营许可证》,并按照《征信业管理条例》第十二条的规定处理信息数据库。
第十九条 设立企业征信机构,应当符合《中华人民共和国公司法》规定的设立条件,并于公司登记机关准予登记
之日起30日内向所在地的中国人民银行省会(首府)城市中心支行以上分支机构办理备案,提交下列材料:
(一)企业征信机构备案表;
(二)营业执照复印件;
(三)股权结构,包括股东名册及其出资额或所持股份、依法设立的验资机构出具的验资证明;
(四)组织机构说明,包括机构部门设置和人员基本构成;
(五)业务范围和业务规则基本情况报告;
(六)业务系统的基本情况,包括企业信用信息系统建设情况报告;
(七)信息安全和风险防范措施,包括已建立的内控制度和安全管理制度。
备案事项发生变更的,应当自变更之日起30日内向原备案机构办理变更备案。
第二十条 个人征信机构因解散或者被依法宣告破产等原因拟终止征信业务的,应当在拟终止之日前60日向中国人民银行报告退出方案,并按照《征信业管理条例》第十二条第一款规定处理信息数据库。
个人征信机构终止征信业务的,应当自终止之日起20日内,在中国人民银行指定的媒体上公告,并办理《个人征信业务经营许可证》注销手续,将许可证缴回中国人民银行。
逾期不缴回的,中国人民银行将依法收缴。
第二十一条 企业征信机构因解散或者被依法宣告破产等原因拟终止征信业务的,应当在拟终止之日前60日向中国人民银行报告,并按照《征信业管理条例》第十二条第一款规定处理信息数据库。
第三章 高级任职人员管理
第二十二条 个人征信机构的董事、监事、高级管理人员,应当在任职前取得中国人民银行核准的任职资格。
第二十三条 取得个人征信机构董事、监事和高级管理人员任职资格,应当具备以下条件:
(一)正直诚实,品行良好;
(二)具有大专以上学历;
(三)从事征信工作3年以上或从事金融、法律、会计、经济工作5年以上;
(四)具有履行职责所需的管理能力;
(五)熟悉与征信业务相关的法律法规和与征信相关的专业知识,并通过中国人民银行组织的任职资格考试。
第二十四条 有下列情形之一的,不得担任个人征信机构董事、监事和高级管理人员:
(一)因贪污、贿赂、侵占财产、挪用财产或者破坏社会主义市场经济秩序,被判处刑罚,或者因犯罪被剥夺政治权利,执行期满未逾5年的;
(二)最近3年有重大违法违规记录的。
第二十五条
个人征信机构向中国人民银行申请核准董事、监事和高级管理人员的任职资格,应当提交下列材料:
(一)董事、监事和高级管理人员任职资格申请表;
(二)拟任职的董事、监事和高级管理人员的个人履历材料;
(三)拟任职的董事、监事和高级管理人员的学历证书复印件;
(四)拟任职的董事、监事和高级管理人员最近3年无重大违法违规记录的证明;
(五)金融信用信息基础数据库出具的拟任职的董事、监事和高级管理人员个人信用报告;
(六)中国人民银行组织的任职资格考试合格证书。个人征信机构应当如实提交前款规定的材料,个人征信机构以及拟任职的董事、监事和高级管理人员应当对材料的真实性、完整性负责。中国人民银行可以根据需要对材料的真实性进行核实,并对申请任职资格的董事、监事和高级管理人员进行考察或谈话。
第二十六条 中国人民银行依法对个人征信机构董事、监事和高级管理人员的任职资格进行审查,作出核准或不予核准的书面决定。
第二十七条 企业征信机构的董事、监事、高级管理人
员,应当由任职的征信机构在任命后20日内向所在地的中国人民银行省会(首府)城市中心支行以上分支机构备案,并提交下列材料:
(一)企业征信机构董事、监事、高级管理人员备案表;
(二)个人履历材料;
(三)学历证书复印件。
(四)备案材料真实性声明。
企业征信机构的董事、监事、高级管理人员发生变更的,应当自变更之日起20日内向原备案机构办理变更备案。
第四章 监督管理
第二十八条 个人征信机构应当在每年第一季度末,向中国人民银行报告上一征信业务开展情况。
企业征信机构应当在每年第一季度末,向其备案机构报告上一征信业务开展情况。
报告内容应当包括信用信息采集、征信产品开发、信用信息服务、异议处理以及信用信息系统建设情况、信息安全保障情况等。
第二十九条 个人征信机构应当按规定向中国人民银行报送征信业务统计报表、财务会计报告、审计报告等资料。
企业征信机构应当按规定向备案机构报送征信业务统计报表、财务会计报告、审计报告等资料。
征信机构应当对报送的报表和资料的真实性、准确性、完整性负责。
第三十条 征信机构应当按照国家信息安全保护等级测评标准,对信用信息系统的安全情况进行测评。
征信机构信用信息系统安全保护等级为二级的,应当每两年进行测评;信用信息系统安全保护等级为三级及以上的,应当每年进行测评。
测评机构出具测评报告后20日内,个人征信机构应当将测评报告报中国人民银行,企业征信机构应当将测评报告报备案机构。
第三十一条 征信机构有下列情形之一的,中国人民银行及其分支机构可以将其列为重点监管对象:
(一)上一发生严重违法违规行为的;
(二)出现可能发生信息泄露征兆的;
(三)出现财务状况异常或严重亏损的;
(四)被大量投诉的;
(五)中国人民银行认为需要重点监管的其他情形。征信机构被列为重点监管对象的,中国人民银行及其分支机构可以酌情缩短征信机构报告征信业务开展情况、进行信用信息系统安全情况测评的周期,并采取相应的监管措施,督促征信机构整改。
经整改,第一款中所列情形消除的,中国人民银行及其分支机构可不再将其列为重点监管对象。
第三十二条 中国人民银行及其分支机构可以根据监管需要,约谈征信机构董事、监事和高级管理人员,要求其就征信业务经营、风险控制、内部管理等有关重大事项做出说明。
第五章 罚则
第三十三条 申请设立个人征信机构的申请人隐瞒有关情况或者提供虚假材料的,中国人民银行可以按照《行政许可法》第七十八条进行处罚。
第三十四条 个人征信机构的个人信用信息系统未达到国家信息安全保护等级二级以上要求的,中国人民银行可以责令整顿;情节严重或拒不改正的,中国人民银行可以按照《征信业管理条例》第三十八条的规定,吊销其《个人征信业务经营许可证》。
第三十五条 申请个人征信机构的董事、监事、高级管理人员任职资格的申请人隐瞒有关情况或者提供虚假材料的,中国人民银行不予受理或不予核准其任职资格,并给予警告;已核准的,取消其任职资格。
中国人民银行可以禁止上述申请人一年至三年内再次申请任职资格。
第三十六条 个人征信机构任命未取得任职资格董事、监事、高级管理人员的,由中国人民银行责令改正并给予警告;情节严重的,处1万元以上3万元以下罚款。
企业征信机构任命董事、监事、高级管理人员未及时备案或变更备案,以及在备案中提供虚假材料的,由中国人民银行分支机构责令改正并给予警告;情节严重的,处1万元以上3万元以下罚款。
第三十七条 征信机构违反本办法第二十八条、第二十九条、第三十条规定的,由中国人民银行及其分支机构责令改正;情节严重的,处1万元以上3万元以下罚款;对有违法所得的,没收违法所得,并处违法所得1倍以上3倍以下罚款,但最高不得超过3万元;涉嫌犯罪的,依法移交司法机关追究其刑事责任。
第六章 附则
第三十八条 本办法由中国人民银行负责解释。第三十九条 本办法自 年 月 日起施行。
第五篇:征信机构信息安全规范
征信机构信息安全规范
一、总则
1.1标准适用范围
标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义
(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求
本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。
(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。
(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
二、安全管理
2.1安全管理制度
征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。2.1.1内部管理制度 基本要求:
(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;
(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。
(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。
(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。
(五)应建立日常故障处理流程,重要岗位应建立双人负责制。
(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。
(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。
(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。
(十)应建立突发事件应急预案制度,有效避免事故造成的危害。
(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。增强要求:
(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。
(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。2.1.2安全审计制度 基本要求:
(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。
(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。
(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。
(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。
(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。增强要求:
(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。
(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。
2.2安全管理机构
征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。2.2.1岗位设置 基本要求:
(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。
(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。
(三)除科技部门以外,其他部门应设置部门计算机安全员。增强要求:
(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。
(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。2.2.2人员配备 基本要求:
(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。
(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。
(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。增强要求:
关键事务岗位。如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。2.2.3授权和审批 基本要求:
(一)应根据各部门和岗位的职责明确授权审批部门和审批人。
(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。
(三)应记录审批过程并保存审批文档。增强要求:
应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。2.2.4沟通与合作 基本要求:
(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。
(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。增强要求:
(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。
(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。2.3人员管理
征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。2.3.1安全主管 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。
(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:
1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。
2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。
3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。
4、对征信机构内部其他信息安全相关管理事项进行审批。
(三)安全主管调岗位时。应办理交接手续,并履行其调离后的保密义务。增强要求:
安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。2.3.2信息安全管理员 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。
(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。
(三)信息安全管理员应履行以下职责:
1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。
2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。
3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。
4、负责本机构计算机系统部署上线前的安全自测试方案的审核。
5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。
6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。增强要求:
信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。2.3.3部门计算机安全员 基本要求:
(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。
(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。
(三)部门计算机安全员应履行以下职责:
1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。
2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。
(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。增强要求:
部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。2.2.4技术支持人员 基本要求:
(一)内部技术人员(本机构正式员工,负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员,若系统管理员、数据库管理员等)在落实征信系统建设和日产维护工作过程中,履行以下职责:
1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。
2、严格权限访问,未经业务部门书面授权和本部门领导批准,不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。
3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。
(二)外部技术人员(非本机构人员)应履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,严格遵守征信机构相关安全规定与操作规程。增强要求:
外部技术支持人员未经业务部门书面授权和所在部门领导批准,不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等,确需接触、查看或修改时,须取得业务部门书面授权和所在部门领导批准,并在内部技术人员在场陪同下,方可进行。2.2.5业务操作人员 基本要求:
(一)业务操作人员(指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员,包括业务管理员、一般业务操作员)应履行以下职责:
1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据,严禁各种违规操作。
2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据,防止征信信息外泄。
3、妥善保管好征信系统的账户和密码,并按要求定期更换密码,禁止将账户和密码提供给他人使用。
4、发现征信系统出现异常及时向部门计算机安全员报告。
5、定期清理业务操作终端业务数据,不得在业务操作终端上安装与支付业务无关的计算机软件和硬件,不得擅自修改征信系统的运行环境参数。
(二)业务操作按照“权限分设、互相制约”原则,严格进行操作角色划分和授权管理,技术支持人员不得兼任业务操作人员。增加要求:
业务操作人员应实现A、B角管理。2.2.6一般计算机用户 基本要求:
(一)一般计算机用户(指征信机构内部使用接入征信系统网络的计算机及外设的所有人员)应履行以下职责:
1、及时安装计算机病毒防治软件和客户端防护软件,按规定使用移动存储介质,自觉接受部门计算机安全员的指导与管理。
2、不得安装与工作无关的计算机软件和硬件,不得将征信系统相关计算机擅自接入未经授权的网络。
(二)未经信息安全管理部门批准和检测的计算机及外设不得接入征信系统网络。增强要求:
1、一般计算机用户不得私自改变计算机用途。
2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。
2.4系统建设管理
2.4.1系统顶级 基本要求:
(一)应明确信息系统的边界和安全保护等级。
(二)应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。增强要求:
应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。2.4.2安全方案设计 基本要求:
(一)应根据征信系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
(二)应以书面形式描述对征信系统的安全保护要求、策略和措施等内容,形成系统的安全方案。
(三)对安全方案进行细化,形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。
(四)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。增强要求:
(一)应制定和授权专门的部门对征信系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。
(二)应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。
(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。
(四)应定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。2.4.3安全产品采购
点击咨询 