征信机构保护信息安全要求.pdfVIP

征信机构信息安全规范

一、总则

11原则合用范围

原则规定了不一样安全保护等级征信系统日勺安全规定,包

括安全管理、安全技术和业务运作三个方面。

原则合用于征信机构信息系统日勺建设、运行和维护，也可

作为各单位开展安全检查和内部审计日勺安全根据。接入征信机

构信息系统日勺信息提供者、信息使用者也可以参照与本机构有

关条款执行，原则还可作为专业检测机构开展检测、认证日勺根

据。

1.2有关定义

（一）征信系统：征信机构与信息提供者协议约定，或者通过互

联网、政府信息公开等渠道，对分散在社会各领域的企业和个人信

用信息，进行采集、整顿、保留和加工而形成日勺信用信息数据库

及有关系统。

（二）敏感信息：影响征信系统安全的密码、密钥以及业务敏感

数据等信息。

1、密码包括但不限与查询密码、登录密码、证书日勺PIN等。

2、密钥包括但不限与用于保证通讯安全、汇报完整性的密钥。

3、业务敏感数据包括但不限于信息主体日勺身份信息、婚姻状况

以及银行账户信息等波及个人隐私日勺数据。

（三）客户端程序：征信机构开发时、通过浏览器访问征信系统

并为征信系统其他功能（如数据采集）的程序，并提供必需功能日

勺组件，包括但不限于：可执行文献、控件、浏览器插件、静态链

IE

接库、动态链接库等（不包括等通用浏览器）；或信息提供者、

信息使用者以独立开发的软件接入征信系统日勺客户端程序。

（四）通讯网络：通讯网络指的是由客户端、服务器以及有关网

络基础设施组建的网络连接。征信系统通过互联玩或网络专线等

方式与信息提供者、信息使用者相连，征信系统安全设计应在考虑

建设成本、网络便利性等原因日勺同步，采用必要日勺技术防护措

施，有效应对网络通讯安全威胁。

（五）服务器端：服务器端指用于提供征信系统关键业务处理和

应用服务的服务器设备及安装的有关软件程序，征信机构应充足

运用有效日勺物理安全技术、网络安全技术、主机安全技术、应用

安全技术及数据安全与备份恢复技术等，在外部威胁和受保护日

勺资源间建立多道严密日勺安全防线。

1.3总体规定

本原则从安全管理、安全技术和业务运作三个方面提出征信系统

日勺安全规定。

（一）安全管理从安全管理制度、安全管理机构、人员安全管理、

系统建设管理、系统运维管理等方面提出规定。

（二）安全技术从客户端、通讯网络、服务器端等方面提出规定。

（三）业务运作从系统接入、系统注销、顾客管理、信息采集和

处理、信息加工、信息保留、信息查询、异议处理、信息跨境流动、

研究分析、安全检查与评估等方面提出规定。

二、安全管理

2.1安全管理制度

征信机构根据征信系统的建设、运行和管理状况，建立和完

善信息安全管理制度，并定期进行评审和修订。

2.1.1内部管理制度

基本规定：

（一）应制定信息安全工作日勺总体方针和安全方略，阐明本机

构安全工作的总体原则、目日勺、范围和安全框架等；

（二）应建立征信系统建设和运维管理制度，对机房管理、资金

安全、设备管理，网络安全和系统安全等方面做出明确规定。

（三）应建立征信系统安全审批流程，系统投入运行、网路系统

接入等重大事项由信息安全管理负责人审批，并确认签字。

（四）应对安全管理人员及操作人员执行的重要操作建立操作规

程，并进行定期培训。

（五）应建立平常故障处理流程，重要岗位应建立双人负责制。

（六）应建立软件开发管理制度，明确阐明开发过程的控制措施

和人员行为准则。

（七）应建立数据库管理制度，对数据日勺存储、访问、使用、

展示、备份与恢复、传播及样本数据处理等进行规范。

（A）应建立外包服务管理、外部人员访问等方面日勺管理制度，

对外部人员对本机构内的活动进行规范化管理。

（九）应建立突发事件及重大事项汇报制度，对外部人员在本机

构内日勺活动进行规范化管理。

（十）应建立突发事件应急预案制度，有效防止事故导致日勺危

害。

（十一）应建立信息安全检查制度，定期或者根据需要（如也许

存在安全隐患时）不定期开展安全自查工作，积极接受和配合中国

人民银行及其派出所机构日勺安全检查。

增强规定：

（