第一篇:征信信息安全实施细则
信息安全实施细则
第一章 总 则
为加强征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法(暂行)》、《中国人民银行关于进一步加强征信信息安全管理的通知》等有关规定,结合实际,制定本细则。
第二条
本细则所称征信信息安全,是指从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全。
第三条
本细则所称征信系统,是指按人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为个人和企业提供信用报告查询服务的数据库系统。
第四条
本细则所称借款人,是指向及辖内机构申请办理信贷业务的企(事)业法人、其他组织、个体工商户和自然人。
第五条
本细则所称的担保人,是指为办理信贷业务的借款人提供担保的企(事)业法人、其他组织、个体工商户和自然人。
第六条
本细则所称信贷业务,是指贷款(含委托贷款)、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公 开授信等业务以及与其相关的担保业务。
第七条
本细则所称客户信用信息,是指能够反映个人、企(事)业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企(事)业法人或其他组织信用状况的其他信息。
第二章 部门职责
第八条
征信业务管理工作,实行统一领导、分工负责的原则。
第九条
成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作。领导小组由主管信贷领导担任组长,成员由信贷部组成。领导小组办公室设置在信贷部。
第十条
征信信息安全工作领导小组负责协调征信系统运行管理、查询使用和数据报送等工作;建立健全相关管理制度,指导、培训检查各社征信业务;对接收到的人民银行或上级机构反馈的错误数据及时交有关机构进行修改;开展不同层次、不同岗位的人员的征信培训工作;做好信用报告异议处理的协调与处理工作;做好征信系统用户管理工作,按照人民银行要求及时上报征信管理员、查询员,异议元,做好用户备案工作;管理好用信工作,杜绝泄露、出售等客户的征信报告。
基层机构负责客户基本信息的录入,确保核心业务系统和信贷管理系统中客户信息和账务处理信息数据的真实、准确、完整,符合人民银行报送要求;保证征信业务合规合法,确保客户信用 信息不被泄露。
第三章 系统与用户管理
第十一条
在征信系统中建立用户体系,其中联社由市联社设立管理员用户,基层社由联社设立征信查询用户。
第十二条
用户代码是用户在征信系统中的身份标识,具有唯一性,不得设置公用代码、一人分配多个代码。检查查询员用户统一由系统管理员设置。
第十三条
用户密码是用户登录征信系统的安全保证,由数字和字母组合构成。首次登录时,必须更改密码,以后每月至少更改一次。
第十四条
管理员用户不得随意增加、修改用户及用户的权限。
第十五条
管理员用户不得随意重置用户密码,下列情况除外:
(一)用户遗忘登录密码,向管理员用户提出书面申请的;
(二)管理员用户发现用户密码被盗用,且无法及时通知用户更改密码的;
(三)其他特殊情况。
第四章 安全管理
第十六条
基层机构要确保客户信息在查询使用、异议处理等过程中的完整性和保密性,严格遵循《征信业管理条例》、人民银行和相关规定,确保数据不被泄露。第十七条
基层机构在查询、打印企(事)业法人、其他组织、个体工商户和自然人的信用报告时须获得客户书面授权。除下述情况外,不得以任何理由查询客户信用报告。
(一)审核客户信贷业务申请的;
(二)审核担保人主体资格的;
(三)受理法人或其他组织的贷款申请或其作为担保人,需查询其法定代表人及出资人信用状况的;
(四)对已发生信贷业务进行风险跟踪管理的;
(五)处理异议和投诉的;
(六)法律规定可以查询的其他情况
第十八条上级定期组织开展征信工作检查,对用户设置、信息查询和使用、异议处理、档案管理、信息安全以及相关内控制度建设、执行情况进行检查,提高制度执行力,保证征信业务严格遵循《征信业管理条例》、人民银行和相关规定,并将检查结果及时报告及当地人民银行。
第十九条
通过征信系统查询、打印的信用报告和相关资料属内部重要信贷业务资料,不得外泄。
第二十条
除本办法规定的情况外,任何单位和个人不得将征信系统查询结果和信用报告用于其它目的。
第二十一条
用于征信系统运行的计算机实行专机专用,不得下载或安装与系统无关的软件;定期进行病毒检查和网络访问安全监测,做好系统日常维护工作。
第五章 附 则
第二十二条
本办法自下发之日起施行,由市农村信用合作联社负责制订、解释、修改。
第二篇:征信机构信息安全规范
征信机构信息安全规范
一、总则
1.1标准适用范围
标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义
(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求
本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。
(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。
(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
二、安全管理
2.1安全管理制度
征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。2.1.1内部管理制度 基本要求:
(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;
(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。
(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。
(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。
(五)应建立日常故障处理流程,重要岗位应建立双人负责制。
(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。
(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。
(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。
(十)应建立突发事件应急预案制度,有效避免事故造成的危害。
(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。增强要求:
(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。
(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。2.1.2安全审计制度 基本要求:
(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。
(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。
(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。
(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。
(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。增强要求:
(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。
(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。
2.2安全管理机构
征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。2.2.1岗位设置 基本要求:
(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。
(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。
(三)除科技部门以外,其他部门应设置部门计算机安全员。增强要求:
(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。
(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。2.2.2人员配备 基本要求:
(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。
(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。
(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。增强要求:
关键事务岗位。如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。2.2.3授权和审批 基本要求:
(一)应根据各部门和岗位的职责明确授权审批部门和审批人。
(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。
(三)应记录审批过程并保存审批文档。增强要求:
应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。2.2.4沟通与合作 基本要求:
(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。
(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。增强要求:
(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。
(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。2.3人员管理
征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。2.3.1安全主管 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。
(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:
1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。
2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。
3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。
4、对征信机构内部其他信息安全相关管理事项进行审批。
(三)安全主管调岗位时。应办理交接手续,并履行其调离后的保密义务。增强要求:
安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。2.3.2信息安全管理员 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。
(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。
(三)信息安全管理员应履行以下职责:
1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。
2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。
3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。
4、负责本机构计算机系统部署上线前的安全自测试方案的审核。
5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。
6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。增强要求:
信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。2.3.3部门计算机安全员 基本要求:
(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。
(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。
(三)部门计算机安全员应履行以下职责:
1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。
2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。
(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。增强要求:
部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。2.2.4技术支持人员 基本要求:
(一)内部技术人员(本机构正式员工,负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员,若系统管理员、数据库管理员等)在落实征信系统建设和日产维护工作过程中,履行以下职责:
1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。
2、严格权限访问,未经业务部门书面授权和本部门领导批准,不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。
3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。
(二)外部技术人员(非本机构人员)应履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,严格遵守征信机构相关安全规定与操作规程。增强要求:
外部技术支持人员未经业务部门书面授权和所在部门领导批准,不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等,确需接触、查看或修改时,须取得业务部门书面授权和所在部门领导批准,并在内部技术人员在场陪同下,方可进行。2.2.5业务操作人员 基本要求:
(一)业务操作人员(指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员,包括业务管理员、一般业务操作员)应履行以下职责:
1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据,严禁各种违规操作。
2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据,防止征信信息外泄。
3、妥善保管好征信系统的账户和密码,并按要求定期更换密码,禁止将账户和密码提供给他人使用。
4、发现征信系统出现异常及时向部门计算机安全员报告。
5、定期清理业务操作终端业务数据,不得在业务操作终端上安装与支付业务无关的计算机软件和硬件,不得擅自修改征信系统的运行环境参数。
(二)业务操作按照“权限分设、互相制约”原则,严格进行操作角色划分和授权管理,技术支持人员不得兼任业务操作人员。增加要求:
业务操作人员应实现A、B角管理。2.2.6一般计算机用户 基本要求:
(一)一般计算机用户(指征信机构内部使用接入征信系统网络的计算机及外设的所有人员)应履行以下职责:
1、及时安装计算机病毒防治软件和客户端防护软件,按规定使用移动存储介质,自觉接受部门计算机安全员的指导与管理。
2、不得安装与工作无关的计算机软件和硬件,不得将征信系统相关计算机擅自接入未经授权的网络。
(二)未经信息安全管理部门批准和检测的计算机及外设不得接入征信系统网络。增强要求:
1、一般计算机用户不得私自改变计算机用途。
2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。
2.4系统建设管理
2.4.1系统顶级 基本要求:
(一)应明确信息系统的边界和安全保护等级。
(二)应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。增强要求:
应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。2.4.2安全方案设计 基本要求:
(一)应根据征信系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
(二)应以书面形式描述对征信系统的安全保护要求、策略和措施等内容,形成系统的安全方案。
(三)对安全方案进行细化,形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。
(四)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。增强要求:
(一)应制定和授权专门的部门对征信系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。
(二)应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。
(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。
(四)应定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。2.4.3安全产品采购
第三篇:征信信息安全管理工作方案
xxx有限责任公司
关于加强征信信息安全管理的工作方案
一、指导思想
为贯彻落实银发〔2018〕102号《中国人民银行关于进一步加强征信信息安全管理的通知》的文件精神,进一步增强征信信息安全意识、加强征信信息安全管理,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,切实防范违规查询和非法出售征信信息等行为的发生。我公司以“重规范、保安全”为工作理念,强化征信信息安全管理意识,明晰征信信息安全主体责任,完善征信内控问责机制,完备征信业务和征信信息安全操控流程,建立健全征信信息异议事件上报处理机制与安全事件应急处置机制。严防征信信息泄露风险,坚决维护客户征信信息安全,主动自觉加强我公司征信信息安全管理工作的部署和协调。
二、总体目标
1、加强征信管理,明确权责关系,提高征信人员思想认识。要清醒认识当前征信信息安全面临的严峻形势,切实增强征信信息安全管理意识。按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,明确领导层中分管征信工作的责任关系。
2、加强征信培训,提高征信人员业务水平。熟练掌握征信业务操作流程,提高征信信息安全管理水平。对征信各级管理人员和从业人员进行全员征信合规性教育培训,牢牢守住不发生征信信息安全风险的底线。
3、加强异议处理,提高异议回复质量。分级建立征信用户查询操作日核查机制,完善异常查询监控、处置与报告机制,优化和调整征信查询日核查与实时监控指标,不断提高本公司自查与自控的能力。
4、完善征信内控制度及问责制度,提高安全管理水平。结合自身情况对自身的内控制度及问责制度进行全面自建自查,查漏补缺、,补齐短板。
5、加强征信自纠自查,提高制度执行力。本公司将征信管理工作纳入常规管理,按规定执行查询操作、档案管理、信用报告使用、异议处理、安全管理等问题,明确人员责任,加大处罚力度,将相关制度落到实处,切实防范征信信息泄露风险。
三、组织领导及工作任务
为确保征信信息安全管理工作顺利推进,由征信信息安全工作领导小组组长为第一责任人,副组长为直接责任人,组员由征信录入人员及征信查询人员组成。
1、小组组长负责全面部署此次工作,并督查工作进度。第一,保证公司关于征信合规与信息安全内控制度及问责制度有效、全面且具备可执行性;
第二,明确征信信息安全工作领导小组成员岗位职责; 第三,建立征信合规与信息安全自查自纠制度; 第四,制定征信信息安全事件应急处理方案。
将上述四项制度及方案整理成文,在小组内部研讨学习,并监督落实情况。
2、小组副组长负责分配任务及推进工作,并组织组员学习领会中国人民银行银发〔2018〕102号文件精神。根据公司实际情况,负责本公司征信信息安全内部控制系统的运行、修订和维护工作。
落实征信信息安全问责制度及自查自纠制度的实施,并组织工作小组学习征信信息安全事件应急处置方案。负责应对各种征信合规与信息安全相关问题,必要时可上报组长,以及时准确解决相关问题。
3、小组成员中,征信录入人员及征信查询人员应全面领会征信岗位职责,明确征信信息安全内控制度及问责制度相关要求,合规合法开展征信工作。
四、工作措施
1、加强公司内部对征信管理重要性和必要性的认识,明确分配权责关系,提高小组全员重视度,切实加强小组成员对征信信息安全管理意识。
第一,由副组长认真研读银发〔2018〕102号文件,并梳理、提炼文件精神,组织全小组成员学习,并以学习报告的方式验收学习成果,确保文件精神深入人心,并可以指导日后征信信息安全工作的顺利推进。
第二,确保公司内部订立的征信安全相关岗位职责、内控制度和问责制度行之有效、切实落地。组长和副组长分级管理、逐级负责,小组成员谁使用谁负责。
第三,小组全员凝心聚力,确保征信信息安全管理工作顺利推进。
2、强化小组成员征信录入及查询培训,确保征信人员业务水平到位。
第一,要求小组成员熟练掌握征信业务操作流程,提高征信信息安全管理水平。
第二,通过定期检查与不定期抽查方式考核征信录入人员与征信查询人员业务水平,并纳入公司考核制度,以敦促小组成员尽职尽责。
第三,对征信各级管理人员和从业人员进行全员征信合规性教育,提高征信工作人员思想觉悟,牢牢守住不发生征信信息安全风险的底线。
3、设立征信异常查询自查机制,妥善办理异议与投诉,设置异议处理流程及制度,提高异议回复与处理质量。优化和调整征信查询日核查与实时监控指标,不断提高本公司自查与自控的能力。
第一,将异议处理职责纳入小组成员岗位职责,切实达到责任到人,有责可依。并将异议处理结果纳入问责机制,以期妥善处理异议及投诉。
第二,严格遵守异议处理事件,规范异议处理流程,按规定出具相关文书,做好异议申请、处理资料的保管、归档。
第三,强化投诉办理,规范投诉流程,及时办理信息主体投诉,提高信息主体的满意度。第四,以异议和投诉为重要线索,对可能涉及的征信信息安全风险事件及时进行全面排查,及时发现问题和排除隐患。
4、不断完善征信内控制度及问责制度,以提高安全管理水平为目标,审视自身情况,对公司征信信息安全相关内控制度及问责制度进行由内到外、由表及里地自查自修,查找纰漏,补充缺口,健全制度体系,确保制度层次的稳健性和系统化。
第一,建立健全征信内控制度及问责制度,并及时向人民银行报备制度变更情况。
第二,建立征信信息安全情况报告制度。每月5日前向市人民银行报送异常查询、违规查询、非法提供、违规使用、信用报告泄露等征信信息安全情况统计表。及时未发生征信信息安全风险事件,亦采取玲报告制度。
第三,建立征信合规与信息安全自查自纠制度及报告制度。建立分级监控、专项核查的工作机制,按照征信内控制度的规定,对日常监测发现的风险线索以及异常查询线索,与对应的信贷业务进行逐笔核实,从授权、审核、查询、使用、存储等各个环节梳理是否存在征信违规风险隐患。按季度开展内部征信合规和信息安全自查自纠,并将自查自纠情况向人民银行书面报告。
5、不断加强本公司征信信息安全的自纠自查能力,提高全体小组成员的制度执行力,加大违反制度的惩罚力度。
第一,切实将征信管理工作纳入公司日常考核管理。
第二,按规定执行查询操作、档案管理、信用报告使用、异议处理、安全管理等问题,明确人员责任,加大处罚力度,将相关制度落到实处,切实防范征信信息泄露风险。
五、工作要求
1、统一认识,提高认识。统一全体小组成员的思想认识,深刻把握开展征信信息安全管理的重要意义,深刻理解银发〔2018〕102号文件的精神实质,强化全员的能动意识,人人明确岗位责任制,激发全员参与强化征信信息安全管理工作的积极性,主动性和创造性。
2、抓住重点,解决问题。针对文件精神、内控制度、问责制度、岗位职责、自查制度、应急机制和异议处理机制等内容和要求,进一步结合公司加强征信信息安全管理方面的需要,在小组内全面系统地开展自我诊断工作,找准导致公司产生征信信息安全风险的主要问题,在深入实施观察,充分论证的基础上,重点攻关,狠抓落实,确保客户信息得到有效保护,做好新时代征信信息安全维护工作,切实保护客户的合法权益,为提升人民群众在征信领域的幸福感和安全感不懈努力。
3、明确责任,抓好落实。细化工作任务、明确责任、强化考评,从严管理,全面落实各项制度规章及岗位职责,推动征信信息安全管理工作地深入开展,确保征信信息安全工作取得实效。
4、有序推进,合理安排。要集中力量解决征信信息安全工作中的瓶颈和主要矛盾,优先解决紧迫的、急的、需要快速处理的问题,对于长期的问题要制订出长期的解决措施,形成短、中、长兼顾,立体式的有序推进机制。在市人民银行的正确引导下,在完备的内控制度的有力制约下,为我国征信信息系统不断趋于完善添砖加瓦。
5、固化成果,不断进步。及时总结提炼征信信息安全管理工作经验,促进工作创新成果的有效转化,以执行制度、贯彻精神的行动理念保障工作成果,以完善标准、修订制度的方式方法固化工作成果,以服从引导、积极配合的实际行动显现工作成果。
我公司征信信息安全工作领导小组将严格执行本工作方案,落实关于加强征信信息安全管理的各项方针要求,积极配合市人民银行的相关工作,高度重视此次征信信息安全管理工作。领会并掌握文件精神;修订并完善自身制度;具备并提升工作自觉性;认识并强化沟通交流;建立并完善审核报送机制。为提升人民群众在征信领域的幸福感和安全感做出应有贡献!
法定代表人:
xxx有限责任公司 2018年5月15日
第四篇:安全监理实施细
重庆市园博园巴渝园工程
安 全 监 理 实 施 细 则
重庆联盛建设项目管理有限公司
园博园项目监理部
一、安全监理的依据:
1.《建筑工程安全生产管理条例》; 2.已批准的《监理规划》; 3.施工组织设计。
二、安全监理的具体工作:
1.严格执行《建筑工程安全生产管理条例》,贯彻执行国家现行的安全生产的法律、法规,建设行政主管部门的安全生产的规章制度和建设工程强制性标准;
2.督促施工单位落实安全生产的组织保证体系,建立健全安全生产责任制; 3.督促施工单位对工人进行安全生产教育及分部分项工程的安全技术交底;
4.审核施工方案及安全技术措施;
5.检查并督促施工单位,按照建筑施工安全技术标准和规范要求,落实分部、分项工程或各工序的安全防护措施;
6.监督检查施工现场的消防工作、冬季防寒、夏季防暑、文明施工、卫生防疫等各项工作;
7.进行质量安全综合检查。发现违章冒险作业的要责令其停止作业,发现安全隐患的应要求施工单位整改,情况严重的,应责令停工整改并及时报告建设单位;
8.施工单位拒不整改或者不停止施工的,监理人员应及时向建设行政主管部门报告。
三、施工阶段安全监理的程序
1.审查施工单位的有关安全生产的文件: ⑴《营业执照》; ⑵《施工许可证》; ⑶《安全资质证书》; ⑷《建筑施工安全监督书》;
⑸ 安全生产管理机构的设置及安全专业人员的配备等; ⑹ 安全生产责任制及管理体系; ⑺ 安全生产规章制度;
⑻ 特种作业人员的上岗证及管理情况; ⑼ 各工种的安全生产操作规程;
⑽ 主要施工机械、设备的技术性能及安全条件。
2.审核施工单位的安全资质和证明文件(总包单位要统一管理分包单位的安全生产工作);
3.审查施工单位的施工组织设计中的安全技术措施或者专项施工方案: ⑴ 审核施工组织设计中安全技术措施的编写、审批: ① 安全技术措施应由施工企业工程技术人员编写;
② 安全技术措施应由施工企业技术、质量、安全、工会、设备等有关部门进行联合会审;
③ 安全技术措施应由具有法人资格的施工企业技术负责人批准; ④ 安全技术措施应由施工企业报建设单位审批认可;
⑤ 安全技术措施变更或修改时,应按原程序由原编制审批人员批准。⑵ 审核施工组织设计中安全技术措施或专项施工方案是否符合工程建设强制性标准: ① 土方工程:
A 地上障碍物的防护措施是否齐全完整; B 地下隐蔽物的保护措施是否齐全完整; C 相临建筑物的保护措施是否齐全完整; D 场区的排水防洪措施是否齐全完整;
E 土方开挖时的施工组织及施工机械的安全生产措施是否齐全完整; F 基坑的边坡的稳定支护措施和计算书是否齐全完整; G 基坑四周的安全防护措施是否齐全完整。② 脚手架:
A 脚手架设计方案(图)是否齐全完整可行; B 脚手架设计验算书是否正确齐全完整; C 脚手架施工方案及验收方案是否齐全完整; D 脚手架使用安全措施是否齐全完整; E 脚手架拆除方案是否齐全完整。③ 模板施工;
A 模板结构设计计算书的荷载取值是否符合工程实际,计算方法是否正确; B 模板设计应包过支撑系统自身及支撑模板的楼、地面承受能力的强度等; C 模板设计图包过结构构件大样及支撑系统体系,连接件等的设计是否安全合理,图纸是否齐全; D 模板设计中安全措施是否周全。④高处作业:
A 临边作业的防护措施是否齐全完整; B 洞口作业的防护措施是否齐全完整; C 悬空作业的安全防护措施是否齐全完整。⑤ 交叉作业:
A 交叉作业时的安全防护措施是否齐全完整; B 安全防护棚的设置是否满足安全要求; C 安全防护棚的搭设方案是否完整齐全。⑥ 临时用电:
A 电源的进线、总配电箱的装设位置和线路走向是否合理; B 负荷计算是否正确完整;
C 选择的导线截面和电气设备的类型规格是否正确; D 电气平面图、接线系统图是否正确完整; E 施工用电是否采用TN-S接零保护系统;
F 是否实行“一机一闸”制,是否满足分级分段漏电保护; G 照明用电措施是否满足安全要求。⑦安全文明管理:
检查现场挂牌制度、封闭管理制度、现场围挡措施、总平面布置、现场宿舍、生活设施、保健急救、垃圾污水、放火、宣传等安全文明施工措施是否符合安全文明施工的要求。
4.审核安全管理体系和安全专业管理人员资格;
5.审核新工艺、新技术、新材料、新结构的使用安全技术方案及安全措施; 6.审核安全设施和施工机械、设备的安全控制措施; 施工单位应提供安全设施的产地、厂址以及出厂合格证书 7.严格依照法律、法规和工程建设强制性标准实施监理;
8.现场监督与检查,发现安全事故隐患时及时下达监理通知,要求施工单位整改或暂停施工:
① 日常现场跟踪监理,根据工程进展情况,监理人员对各工序安全情况进行跟踪监督、现场检查、验证施工人员是否按照安全技术防范措施和操作规程操作施工,发现安全隐患,及时下达监理通知,责令施工企业整改; ② 对主要结构、关键部位的安全状况,除日常跟踪检查外,视施工情况,必要时可做抽检和检测工作;
③ 每日将安全检查情况记录在《监理日记》;
④ 及时与建设行政主管部门进行沟通,汇报施工现场安全情况,必要时,以书面形式汇报,并作好汇报记录。
9.施工单位拒不整改或者不停止施工,及时向建设单位和建设行政主管部门报告。
四、如遇到下列情况,监理人员要直接下达暂停施工令,并及时向项目总监和建设单位汇报:
1.施工中出现安全异常,经提出后,施工单位未采取改进措施或改进措施不符合要求时;
2.对已发生的工程事故未进行有效处理而继续作业时; 3.安全措施未经自检而擅自使用时; 4.擅自变更设计图纸进行施工时; 5.使用没有合格证明的材料或擅自替换、变更工程材料时; 6.未经安全资质审查的分包单位的施工人员进入施工现场施工时; 7.出现安全事故时。
2010年12月1日
第五篇:客户征信信息管理制度
客户征信信息管理制度
第1章
总则
第1条 为防止客户征信信息泄露,确保信息完整和安全,科学、高效地保管和利用客户征信信息,特制定本制度。
第2条 本制度适用于客户征信信息相关人员的工作。
第2章 客户征信信息归档
第3条 客户开发专员每发展、接触一个新客户,均应及时在客户征信信息专员处建立客户档案,客户档案应标准化、规范化。
第4条 客户征信信息专员负责企业所有客户征信信息、客户征信信息报表的发送、收集、汇总、整理。
第5条 为方便查找,应为客户档案设置索引。
第6条 客户档案按风险控制部的要求分类摆放,按从左至右、自上而下的顺序排列。第7条 客户征信信息的载体(包括纸张、软件等)应选用质量好、便于长期保管的材料。信息书写应选用耐久性强、不易褪色的材料,如碳素墨水或蓝黑墨水,避免使用圆珠笔、铅笔等。
第3章 客户征信信息报告
第8条 客户征信信息专员对客户征信信息进行分析、整理,编制客户征信信息报告。第9条 其他部门若因工作需要,要求客户征信信息专员提供有关客户征信信息资料及定期统计报告的,须经风险控制部经理的审查同意,并经总经理批准。
第10条 客户征信信息报告如有个别项需要修改时,应报总经理批准,由风险控制部备案,不必再办理审批手续。
第11条 客户征信信息专员编制的各种客户征信信息资料报告必须根据实际业务工作需要,统一印刷、保管及发放。
第12条 为确保客户征信信息报告中数据资料的正确性,客户征信信息主管、风险控制部经理应对上报或分发的报告进行认真审查。
第4章 客户档案的检查
第13条 每半年对客户征信档案的保管状况进行一次全面检查,做好检查记录。第14条 发现客户征信档案字迹变色或材料破损要及时修复。第15条 定期检查客户征信档案的保管环境,防潮、防霉等工作一定要做好。
第5章 客户征信信息的使用
第16条 建立客户征信信息档案查阅权限制度,未经许可,任何人不得随意查阅客户征信信息档案。
第17条 查阅客户征信信息档案的具体规定如下。
1.由申请查阅者提交查阅申请,在申请中写明查阅的对象、目的、理由、查阅人概况等情况。
2.由申请查阅者所在单位(部门)盖章,负责人签字。
3.由风险控制部对查阅申请进行审核,若理由充分、手续齐全,则予以批准。第18条 客户征信信息资料安全的具体规定如下。
1.任何处室和个人不得以任何借口分散保管客户征信资料和将客户征信资料据为己有。
2.借阅者提交借阅申请,内容与查阅申请相似。
3.借阅申请由借阅者所在单位(部门)盖章,负责人签字。4.风险控制部门对借阅申请进行审核、批准。
第6章 客户征信信息的保密
第19条 风险控制部各级管理人员和征信信息管理人员要相互配合,自觉遵守客户征信信息保密制度。
第20条 凡属“机密”、“绝密”的客户资料,登记造册时,必须在检索工具备注栏写上“机密”、“绝密”字样,必须单独存放、专人管理,其他人员未经许可不得查阅。
第21条 各类重要的文件、资料必须采取以下保密措施。
1.非经总经理、客户征信信息主管或风险控制部门经理批准,不得复制和摘抄。2.其收发、传递和外出携带由指定人员负责,并采取必要的安全措施。
第22条 企业相关人员在对外交往与合作中如果需要提供客户资料时,应事先获得客户征信信息主管和风险控制部经理的批准。
第23条 对保管期满,失去保存价值的客户征信资料要按规定销毁,不得当作废纸出售。第24条 客户征信信息管理遵循“三不准”规定,其具体内容如下。1.不准在私人交往中泄露客户征信信息。2.不准在公共场所谈论客户征信信息。
3.不准在普通电话、明码电报和私人通信中泄露客户征信信息。第25条 企业工作人员发现客户征信信息已经泄露或者可能泄露时,应当立即采取补救措施,并及时报告客户征信信息主管及风险控制部经理。相关人员接到报告后,应立即处理。
第7章 附则
第26条 本制度由风险控制部负责解释、修订和补充。第27条 本制度呈报总经理审批后,自颁布之日起执行。