征信机构信息安全系统规范.pdf

征信机构信息安全系统规范--第1页

标准实用文案

征信机构信息安全规范

一、总则

1.1标准适用范围

标准规定了不同安全保护等级征信系统的安全要求，包

括安全管理、安全技术和业务运作三个方面。

标准适用于征信机构信息系统的建设、运行和维护，也

可作为各单位开展安全检查和内部审计的安全依据。接入征

信机构信息系统的信息提供者、信息使用者也可以参照与本

机构有关条款执行，标准还可作为专业检测机构开展检测、

认证的依据。

1.2相关定义

（一）征信系统：征信机构与信息提供者协议约定，或者通

过互联网、政府信息公开等渠道，对分散在社会各领域的企

业和个人信用信息，进行采集、整理、保存和加工而形成的

信用信息数据库及相关系统。

（二）敏感信息：影响征信系统安全的密码、密钥以及业务

敏感数据等信息。

1、密码包括但不限与查询密码、登录密码、证书的PIN等。

文档

征信机构信息安全系统规范--第1页

征信机构信息安全系统规范--第2页

标准实用文案

2、密钥包括但不限与用于确保通讯安全、报告完整性的密

钥。

3、业务敏感数据包括但不限于信息主体的身份信息、婚姻

状况以及银行账户信息等涉及个人隐私的数据。

（三）客户端程序：征信机构开发的、通过浏览器访问征信

系统并为征信系统其他功能（如数据采集）的程序，并提供

必需功能的组件，包括但不限于：可执行文件、控件、浏览

器插件、静态链接库、动态链接库等（不包括IE等通用浏览

器）；或信息提供者、信息使用者以独立开发的软件接入征

信系统的客户端程序。

（四）通讯网络：通讯网络指的是由客户端、服务器以及相

关网络基础设施组建的网络连接。征信系统通过互联玩或网

络专线等方式与信息提供者、信息使用者相连，征信系统安

全设计应在考虑建设成本、网络便利性等因素的同时，采取

必要的技术防护措施，有效应对网络通讯安全威胁。

（五）服务器端：服务器端指用于提供征信系统核心业务处

理和应用服务的服务器设备及安装的相关软件程序，征信机

构应充分利用有效的物理安全技术、网络安全技术、主机安

全技术、应用安全技术及数据安全与备份恢复技术等，在外

部威胁和受保护的资源间建立多道严密的安全防线。

文档

征信机构信息安全系统规范--第2页

征信机构信息安全系统规范--第3页

标准实用文案

1.3总体要求

本标准从安全管理、安全技术和业务运作三个方面提出征信

系统的安全要求。

（一）安全管理从安全管理制度、安全管理机构、人员安全

管理、系统建设管理、系统运维管理等方面提出要求。

（二）安全技术从客户端、通讯网络、服务器端等方面提出

要求。

（三）业务运作从系统接入、系统注销、用户管理、信息采

集和处理、信息加工、信息保存、信息查询、异议处理、信

息跨境流动、研究分析、安全检查与评估等方面提出要求。

二、安全管理

2.1安全管理制度

征信机构根据征信系统的建设、运行和管理情况，建立

和完善信息安全管理制度，并定期进行评审和修订。

2.1.1内部管理制度

基本要求：

（一）应制定信息安全工作的总体方针和安全策略，说明本

机构安全工作的总体原则、目标、范围和安全框架等；

文档

征信机构信息安全系统规范--第3页

征信机