征信机构信息安全规范_第1页
征信机构信息安全规范_第2页
征信机构信息安全规范_第3页
征信机构信息安全规范_第4页
征信机构信息安全规范_第5页
已阅读5页,还剩10页未读 继续免费阅读

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、征信机构信息安全规范一、总则标准适用范围标准规定了不同安全保护等级征信系统的安全要求, 包括安全管理、安全技术和业务运作三个方面。标准适用于征信机构信息系统的建设、运行和维护, 也可作为各单位开展安全检查和内部审计的安全依据。接 入征信机构信息系统的信息提供者、信息使用者也可以参 照与本机构有关条款执行,标准还可作为专业检测机构开 展检测、认证的依据。2相关定义(一)征信系统:征信机构与信息提供者协议约定,或者 通过互联网、政府信息公开等渠道,对分散在社会各领域 的企业和个人信用信息,进行采集、整理、保存和加工而 形成的信用信息数据库及相关系统。(二)敏感信息:影响征信系统安全的密码、密钥以及

2、业 务敏感数据等信息。1、密码包括但不限与查询密码、登录密码、证书的PIN2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。3、业务敏感数据包括但不限于信息主体的身份信息、婚姻 状况以及银行账户信息等涉及个人隐私的数据。(三)客户端程序:征信机构开发的、通过浏览器访问征 信系统并为征信系统其他功能(如数据采集)的程序,并 提 供 必 需 功 能 的 组 件 ,包 括 但 不 限 于 :可 执 行 文 件 、控 件、浏览器插件、静态链接库、动态链接库等(不包括 IE 等通用浏览器) ;或信息提供者、信息使用者以独立开发的 软件接入征信系统的客户端程序。(四)通讯网络:通讯网络指的是由客户端

3、、服务器以及 相关网络基础设施组建的网络连接。征信系统通过互联玩 或网络专线等方式与信息提供者、信息使用者相连,征信 系统安全设计应在考虑建设成本、网络便利性等因素的同 时,采取必要的技术防护措施,有效应对网络通讯安全威 胁。(五)服务器端:服务器端指用于提供征信系统核心业务 处理和应用服务的服务器设备及安装的相关软件程序,征 信机构应充分利用有效的物理安全技术、网络安全技术、 主机安全技术、应用安全技术及数据安全与备份恢复技术 等,在外部威胁和受保护的资源间建立多道严密的安全防 线。1.3总体要求本标准从安全管理、安全技术和业务运作三个方面提出征 信系统的安全要求。(一)安全管理从安全管理制

4、度、安全管理机构、人员安 全管理、系统建设管理、系统运维管理等方面提出要求。(二)安全技术从客户端、通讯网络、服务器端等方面提 出要求。(三)业务运作从系统接入、系统注销、用户管理、信息 采集和处理、信息加工、信息保存、信息查询、异议处 理、信息跨境流动、研究分析、安全检查与评估等方面提 出要求。二、安全管理2.1安全管理制度征信机构根据征信系统的建设、运行和管理情况,建 立和完善信息安全管理制度,并定期进行评审和修订。2.1.1内部管理制度基本要求:(一)应制定信息安全工作的总体方针和安全策略,说明 本机构安全工作的总体原则、目标、范围和安全框架等;( 二 )应 建 立 征 信 系 统 建

5、设 和 运 维 管 理 制 度 ,对 机 房 管 理、资金安全、设备管理,网络安全和系统安全等方面做 出明确规定。(三)应建立征信系统安全审批流程,系统投入运行、网 路系统接入等重大事项由信息安全管理负责人审批,并确 认签字。(四)应对安全管理人员及操作人员执行的重要操作建立 操作规程,并进行定期培训。(五)应建立日常故障处理流程,重要岗位应建立双人负 责制。(六)应建立软件开发管理制度,明确说明开发过程的控 制方法和人员行为准则。(七)应建立数据库管理制度,对数据的存储、访问、使用 、展 示 、备 份 与 恢 复 、传 输 及 样 本 数 据 处 理 等 进 行 规 范。(八)应建立外包服务

6、管理、外部人员访问等方面的管理 制度,对外部人员对本机构内的活动进行规范化管理。(九)应建立突发事件及重大事项报告制度,对外部人员 在本机构内的活动进行规范化管理。(十)应建立突发事件应急预案制度,有效避免事故造成 的危害。十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时 ) 不定期开展安全自查工作,主动接受 和配合中国人民银行及其派出所机构的安全检查。 增强要求:(一)应建立征信系统建设工程实施方面的管理制度,明 确说明实施过程的控制方法和人员行为准则。(二)应建立密码使用、变更管理及数据备份与恢复等方 面的管理制度,对系统运行维护过程中重要环节的审批与 操作等作出的明确

7、规定。(三)应按照 ISO/IEC 27001:2013 的相关要求建立完善的 信息安全管理体系。2.1.2 安全审计制度基本要求:(一)应建立信息安全内部审计制度,定期可能带来信息 安全风险的因素进行审计和评估,个人征信机构每年至少 1 次,企业征信机构每年至少 1 次。(二)应对安全管理制度的制定和执行情况进行审计,审 计内容包括是否按照法律法规和中国人民银行的相关规定 建立信息安全管理制度,安全管理制度的执行情况,是否 定期对制度进行评审和修订。(三)应对网络安全、主机安全、应用安全和数据安全等 技术安全进行审计,审计内容包括安全配置、设备运行情 况、网络流量、重要用户行为、系统异常事件

8、及重要系统 命令的使用等。(四)应对业务操作进行审计,审计内容包括系统接入和 注销、用 户管理、信 息 采 集 和处理、信 息加工、信 息保 存、异议处理、信息跨境流动等。(五)审计记录应包括事件的日期和时间、用户、时间类 型、时间是否成功及其他与审计相关的信息;应保护系统 中的审计记录,避免收到未预期的删除、修改或覆盖等, 保存期至少半年;纸质版审计记录保存期应不少于三年。 增强要求:(一)应定期委托外部专业机构,有重点、有计划的开展 信息科技总体风险审计、征信系统专项审计。(二)在内部审计和外部审计中发现的重大安全隐患应及 时向中国人民银行及其派出机构报告。2.2 安全管理机构征信机构应成

9、立有高级管理人员及相关部门负责人组 成的信息安全领导小组,并制定专门的部门负责信息安全 管理工作。2.2.1 岗位设置基本要求:一)应设立安全主管、信息安全管理岗位,明确安全主 管和信息安全管理员的岗位职责。(二)应设立安全管理员、网络管理员、数据库管理员等 岗位,并定义各工作岗位的职责。(三)除科技部门以外,其他部门应设置部门计算机安全员。 增强要求:(一)应通过制度明确安全管理机构各个部门和岗位的职 责、分工和技能要求。(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有 效落实和推进数据安全的相关工作。2.2.2 人员配备基本要求:(一)应

10、配备安全主管、信息安全管理员、系统管理员、 网络管理员、数据库管理员等。(二)安全主管不能兼任信息安全管理员、网络管理员、 系统管理员、数据库管理员等。(三)信息安全管理员不能兼任网络信息管理员、系统管 理员、数据库管理员等。增强要求:关 键 事 务 岗 位 。如 信 息 安 全 管 理 员 、数 据 库 管 理 员等,应配备至少两人,且互为 A、B角共同管理2.2.3 授权和审批基本要求:(一)应根据各部门和岗位的职责明确授权审批部门和审 批人。(二)应针对系统投入运行、网络系统投入、系统变更、 重要操作和重要资源的访问等关键活动建立审批流程,由 责任人 审批后方可进行,对重要活动应建立逐级

11、审批制 度。(三)应记录审批过程并保存审批文档。增强要求:应 每年审查审批事项,及时更 新需授 权和审 批的项 目、审批的部门和审批人等信息。2.2.4 沟通与合作基本要求:(一)应加强各部门、各岗位之间以及信息安全职能部门 内部的合作与沟通。(二)应加强与同业机构、通讯服务商及监管部门的合作 与沟通。增强要求: (一)在信息安全管理部门应定期召开各职能部门、各岗 位人员参加的协调会议,共同协作处理信息安全问题。(二)应加强与供应商、业界专家、专业的安全公司、安 全组织的合作与沟通。2.3 人员管理征 信 机 构 应 加 强 人 员 安 全 管 理 ,明 确 不 同 岗 位 的 职 责,规范人

12、员录用、离岗、考核和培训等工作。2.3.1 安全主管基本要求: (一)应派具有较高计算机水平、业务能力和法律素养的 人员担任安全主管。(二)安全主管可由信息安全管理部门的相关领导担任, 也可指定专人担任,主要履行以下职责:1、组织落实监管部门信息安全相关管理规定和本机构信息 安全保障工作。2、将征信机构信息安全领导小组讨论形成的安全决策,分 解为安全任务部署落实。3、对信息化建设中的安全建设方案、安全技术方案或其他 安全方案进行审批。4、对征信机构内部其他信息安全相关管理事项进行审批。三)安全主管调岗位时。应办理交接手续,并履行其调 离后的保密义务。增强要求: 安全主管应加强信息安全知识的学习

13、和技能掌握,及 时关注国内外信息安全动态,为加强和改进本机构的信息 安全管理工作提供合理化建议。2.3.2 信息安全管理员基本要求:(一)应派具有较高计算机水平、业务能力和法律素养的 人员担任信息安全管理员。(二)信息安全管理员每年至少进行一次信息安全方面的 技术和业务培训。(三)信息安全管理员应履行以下职责:1、在安全主管的指导下,具体落实各项安全管理工作,并 协调各部门计算机安全员开展工作。2、在安全主管的指导下,组织相关人员审核本机构信息化 建设项目中的安全方案,组织实施安全项目建设、维护、 管理信息安全专用设施。3、在计算机系统应用开发、技术方案设计和实施、集成等 工作中提出安全技术方

14、案并组织实施。4、负责本机构计算机系统部署上线前的安全自测试方案的 审核。5、定期检查网络和征信系统的安全运行状况,组织检查运 行操作、备份、机房环境与文档等安全管理情况,发现问 题,及时通报和预警,并提出整改意见,统计分析和协调 处置信息安全事件。6、定期组织信息安全宣传教育活动,与相关部门配合开展 信息安全检查,(四)信息安全管理员调离岗位时,应办理交接手续,并 履行其调离后的保密义务。增强要求:信息安全管理员应增加信息安全知识学习和技能 掌握,及时关注国内外信息安全动态,为贯彻落实本机构的 信息安全策略和方案提出合理化建议。2.3.3 部门计算机安全员基本要求:(一)各部门的计算机安全员

15、应由较熟悉计算机知识的人 员担,并报信息安全管理部备案,如有变更应及时通报信 息安全管理部门。(二)部门计算机安全员因积极配合信息安全管理员的工 作,各部门应优先选派部门计算机安全员参加信息安全技 术培训。(三)部门计算机安全员应履行以下职责:1、负责配合信息安全管理部完成本部门计算机病毒防治、 补丁升级、非法外联防范,系统故障应急处理、移动存介 质管控等工作。2、全面负责本部门的信息安全管理工作。负责提出本部门 的信息安全保障需求,及时与信息安全管理部门沟通本部 门信息安全情况,做好信息安全通报工作,发现情况及时 向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。以及本部门

16、国际互联网、征信系统网络的使用和计入安全管理,组织 开展本部门信息安全自查,协助信息安全管理部门完成本 机构的信息安全检查工作。(四)部门计算机安全员调离岗位时,办理交接手续,并 履行其调离后的保密义务。增强要求:部门计算机安全员每年至少参加一次信息安全培训,积极 配合信息安全管理员做好本部门的信息安全管理和风险防 范至少宣传落实工作。2.2.4 技术支持人员基本要求:(一)内部技术人员(本机构正式员工,负责参加与征信 机构机房环境、网路、计算机系统等建设、运行、维护人 员,若系统管理员、数据库管理员等)在落实征信系统建 设和日产维护工作过程中,履行以下职责:1、严格遵守本机构各项安全保密规定

17、和征信系统安全管理 相关制度。2、严格权限访问,未经业务部门书面授权和本部门领导批 准,不得擅自修改征信系统应用设置或修改系统生成的任 何业务数据。3、检测和控制机房、网络、安全设备、计算机系统的安全 运行状况,定期进行风险评估、应急演练,发现安全隐患 或故障及时报告安全主管、信息安全管理员、并及时响应 和处置。(二)外部技术人员(非本机构人员)应履行服务外包合 同(协议)中的各项安全承诺,在提供技术服务期间,严 格遵守征信机构相关安全规定与操作规程。增强要求:外部技术支持人员未经业务部门书面授权和所在部门 领导批准,不得擅自接触、查看或修改修改征信系统的应 用设置或相关业务数据等,确需接触、

18、查看或修改时,须 取得业务部门书面授权和所在部门领导批准,并在内部技 术人员在场陪同下,方可进行。2.2.5 业务操作人员基本要求:(一)业务操作人员(指征信机构内部直接使用征信系统 进行业务处理的业务部门工作人员,包括业务管理员、一 般业务操作员)应履行以下职责:1、严格按照征信机构相关业务规程操作、使用征信系统及 相关数据,严禁各种违规操作。2、严格按照征信机构信息安全管理相关规定操作、使用征 信系统的业务数据,防止征信信息外泄。3、妥善保管好征信系统的账户和密码,并按要求定期更换 密码,禁止将账户和密码提供给他人使用。4、发现征信系统出现异常及时向部门计算机安全员报告。5、定期清理业务操

19、作终端业务数据,不得在业务操作终端 上安装与支付业务无关的计算机软件和硬件,不得擅自修 改征信系统的运行环境参数。(二)业务操作按照“ 权限分设、互相制约 ”原则,严格 进行操作角色划分和授权管理,技术支持人员不得兼任业 务操作人员。增加要求:业务操作人员应实现 A、B 角管理。2.2.6 一般计算机用户 基本要求:(一)一般计算机用户(指征信机构内部使用接入征信系 统网络的计算机及外设的所有人员)应履行以下职责: 1、及时安装计算机病毒防治软件和客户端防护软件,按规 定使用移动存储介质,自觉接受部门计算机安全员的指导 与管理。2、不得安装与工作无关的计算机软件和硬件,不得将征信 系统相关计算机擅自接入未经授权的网络。(二)未经信息安全管理部门批准和检测的计算机及外设 不得接入征信系统网络。增强要求:1、一般计算机用户不得私自改变计算机用途。2、一般计算机用户系统应统一安装、统一升级及更新计算 机病毒防治软件。2.4

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论