征信机构信息安全系统规范

标准标准文档文档征信机构信息安全标准标准适用范围

一、总则标准规定了不同安全保护等级征信系统的安全要求，包括安全治理、安全技术和业务运作三个方面。标准适用于征信机构信息系统的建设、运行和维护，也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息供给者、信息使用者也可以参照与本机构有关条款执行，标准还可作为专业检测机构开展检测、认证的依据。相关定义〔一〕征信系统：征信机构与信息供给者协议商定，或者通过互联网、政府信息公开等渠道，对分散在社会各领域的企业和个人信用信息，进展采集、整理、保存和加工而形成的信用信息数据库及相关系统。〔二〕敏感信息：影响征信系统安全的密码、密钥以及业务敏感数据等信息。1PIN2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。〔三〕客户端程序：征信机构开发的、通过扫瞄器访问征信系统并为征信系统其他功能〔如数据采集〕的程序，并供给必需功能的组件，包括但不限于：可执行文件、控件、扫瞄〔IE器；或信息供给者、信息使用者以独立开发的软件接入征信系统的客户端程序。〔四〕通讯网络：通讯网络指的是由客户端、效劳器以及相关网络根底设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息供给者、信息使用者相连，征信系统安全设计应在考虑建设本钱、网络便利性等因素的同时，实行必要的技术防护措施，有效应对网络通讯安全威逼。〔五〕效劳器端：效劳器端指用于供给征信系统核心业务处理和应用效劳的效劳器设备及安装的相关软件程序，征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等，在外部威逼和受保护的资源间建立多道严密的安全防线。总体要求本标准从安全治理、安全技术和业务运作三个方面提出征信系统的安全要求。〔一〕安全治理从安全治理制度、安全治理机构、人员安全治理、系统建设治理、系统运维治理等方面提出要求。〔二〕安全技术从客户端、通讯网络、效劳器端等方面提出要求。〔三〕业务运作从系统接入、系统注销、用户治理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流淌、争论分析、安全检查与评估等方面提出要求。二、安全治理安全治理制度征信机构依据征信系统的建设、运行和治理状况，建立和完善信息安全治理制度，并定期进展评审和修订。内部治理制度根本要求：〔一〕应制定信息安全工作的总体方针和安全策略，说明本机构安全工作的总体原则、目标、范围和安全框架等；〔二〕应建立征信系统建设和运维治理制度，对机房治理、资金安全、设备治理，网络安全和系统安全等方面做出明确规定。〔三〕应建立征信系统安全审批流程，系统投入运行、网路系统接入等重大事项由信息安全治理负责人审批，并确认签字。〔四〕应对安全治理人员及操作人员执行的重要操作建立操作规程，并进展定期培训。〔五〕应建立日常故障处理流程，重要岗位应建立双人负责制。〔六〕应建立软件开发治理制度，明确说明开发过程的把握方法和人员行为准则。〔七呈现、备份与恢复、传输及样本数据处理等进展标准。〔八〕应建立外包效劳治理、外部人员访问等方面的治理制度，对外部人员对本机构内的活动进展标准化治理。〔九〕应建立突发大事及重大事项报告制度，对外部人员在本机构内的活动进展标准化治理。〔十〕应建立突发大事应急预案制度，有效避开事故造成的危害。〔十一合中国人民银行及其派出所机构的安全检查。增加要求：〔一〕应建立征信系统建设工程实施方面的治理制度，明确说明实施过程的把握方法和人员行为准则。〔二〕应建立密码使用、变更治理及数据备份与恢复等方面的治理制度，对系统运行维护过程中重要环节的审批与操作等作出的明确规定。〔三〕ISO/IEC27001:2023信息安全治理体系。安全审计制度根本要求：〔一〕应建立信息安全内部审计制度，定期可能带来信息安1次，1〔二〕应对安全治理制度的制定和执行状况进展审计，审计内容包括是否依据法律法规和中国人民银行的相关规定建立信息安全治理制度，安全治理制度的执行状况，是否认期对制度进展评审和修订。〔三〕应对网络安全、主机安全、应用安全和数据安全等技术安全进展审计，审计内容包括安全配置、设备运行状况、网络流量、重要用户行为、系统特别大事及重要系统命令的使用等。〔四〕应对业务操作进展审计，审计内容包括系统接入和注销、用户治理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流淌等。〔五时间是否成功及其他与审计相关的信息；应保护系统中的审计记录，避开收到未预期的删除、修改或掩盖等，保存期至少半年；纸质版审计记录保存期应不少于三年。增加要求：〔一〕应定期托付外部专业机构，有重点、有打算的开展信息科技总体风险审计、征信系统专项审计。〔二〕在内部审计和外部审计中觉察的重大安全隐患应准时向中国人民银行及其派出机构报告。安全治理机构征信机构应成立有高级治理人员及相关部门负责人组成的信息安全领导小组，并制定特地的部门负责信息安全管理工作。岗位设置根本要求：〔一〕应设立安全主管、信息安全治理岗位，明确安全主管和信息安全治理员的岗位职责。〔二〕应设立安全治理员、网络治理员、数据库治理员等岗位，并定义各工作岗位的职责。〔三增加要求：〔一〕应通过制度明确安全治理机构各个部门和岗位的职责、分工和技能要求。〔二数据资产治理人、明确数据安全治理的责任，确保有效落实和推动数据安全的相关工作。人员配备根本要求：〔一〕应配备安全主管、信息安全治理员、系统治理员、网络治理员、数据库治理员等。〔二〕安全主管不能兼任信息安全治理员、网络治理员、系统治理员、数据库治理员等。〔三〕信息安全治理员不能兼任网络信息治理员、系统治理员、数据库治理员等。增加要求：关键事务岗位。如信息安全治理员、数据库治理员等，A、B授权和审批根本要求：〔一〕应依据各部门和岗位的职责明确授权审批部门和审批人。〔二〕应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程，由责任人审批前方可进展，对重要活动应建立逐级审批制度。〔三〕应记录审批过程并保存审批文档。增加要求：应每年审查审批事项，准时更需授权和审批的工程、审批的部门和审批人等信息。沟通与合作根本要求：〔一〕应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。〔二〕应加强与同业机构、通讯效劳商及监管部门的合作与沟通。增加要求：〔一〕在信息安全治理部门应定期召开各职能部门、各岗位人员参与的协调会议，共同协作处理信息安全问题。〔二〕应加强与供给商、业界专家、专业的安全公司、安全组织的合作与沟通。人员治理征信机构应加强人员安全治理，明确不同岗位的职责，标准人员录用、离岗、考核和培训等工作。安全主管根本要求：〔一〕应派具有较高计算机水平、业务力气和法律素养的人员担当安全主管。〔二〕安全主管可由信息安全治理部门的相关领导担当，也可指定专人担当，主要履行以下职责：1、组织落实监管部门信息安全相关治理规定和本机构信息安全保障工作。2、将征信机构信息安全领导小组争论形成的安全决策，分解为安全任务部署落实。3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进展审批。4、对征信机构内部其他信息安全相关治理事项进展审批。〔三〕安全主管调岗位时。应办理交接手续，并履行其调离后的保密义务。增加要求：安全主管应加强信息安全学问的学习和技能把握，准时关注国内外信息安全动态，为加强和改进本机构的信息安全治理工作供给合理化建议。信息安全治理员根本要求：〔一〕应派具有较高计算机水平、业务力气和法律素养的人员担当信息安全治理员。〔二〕信息安全治理员每年至少进展一次信息安全方面的技术和业务培训。〔三〕信息安全治理员应履行以下职责：1、在安全主管的指导下，具体落实各项安全治理工作，并协调各部门计算机安全员开展工作。2、在安全主管的指导下，组织相关人员审核本机构信息化建设工程中的安全方案，组织实施安全工程建设、维护、管理信息安全专用设施。3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。4、负责本机构计算机系统部署上线前的安全自测试方案的审核。5、定期检查网络和征信系统的安全运行状况，组织检查运准时通报和预警，并提出整改意见，统计分析和协调处置信息安全大事。6、定期组织信息安全宣传教育活动，与相关部门协作开展信息安全检查，〔四〕信息安全治理员调离岗位时，应办理交接手续，并履行其调离后的保密义务。增加要求：信息安全治理员应增加信息安全学问学习和技能把握，准时关注国内外信息安全动态，为贯彻落实本机构的信息安全策略和方案提出合理化建议。部门计算机安全员根本要求：〔一〕各部门的计算机安全员应由较生疏计算机学问的人员担，并报信息安全治理部备案，如有变更应准时通报信息安全治理部门。〔二〕部门计算机安全员因乐观协作信息安全治理员的工作，各部门应优先选派部门计算机安全员参与信息安全技术培训。〔三〕部门计算机安全员应履行以下职责：1、负责协作信息安全治理部完本钱部门计算机病毒防治、补丁升级、非法外联防范，系统故障应急处理、移动存介质管控等工作。2、全面负责本部门的信息安全治理工作。负责提出本部门的信息安全保障需求，准时与信息安全治理部门沟通本部门信息安全状况，做好信息安全通报工作，觉察状况准时向信息安全治理部门报告，3、负责本部门相关文档资料的安全治理工作。以及本部门国际互联网、征信系统网络的使用和计入安全治理，组织开展本部门信息安全自查，帮助信息安全治理部门完本钱机构的信息安全检查工作。〔四〕部门计算机安全员调离岗位时，办理交接手续，并履行其调离后的保密义务。增加要求：部门计算机安全员每年至少参与一次信息安全培训，乐观配合信息安全治理员做好本部门的信息安全治理和风险防范至少宣传落实工作。技术支持人员根本要求：〔一〕内部技术人员〔本机构正式员工，负责参与与征信机构机房环境、网路、计算机系统等建设、运行、维护人员，假设系统治理员、数据库治理员等〕在落实征信系统建设和日产维护工作过程中，履行以下职责：1、严格遵守本机构各项安全保密规定和征信系统安全治理相关制度。2、严格权限访问，未经业务部门书面授权和本部门领导批准，不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。3、检测和把握机房、网络、安全设备、计算机系统的安全运行状况，定期进展风险评估、应急演练，觉察安全隐患或故障准时报告安全主管、信息安全治理员、并准时响应和处置。〔二〕外部技术人员〔非本机构人员〕应履行效劳外包合同〔协议〕中的各项安全承诺，在供给技术效劳期间，严格遵守征信机构相关安全规定与操作规程。增加要求：外部技术支持人员未经业务部门书面授权和所在部门领导批准，不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等，确需接触、查看或修改时，须取得业务部门书面授权和所在部门领导批准，并在内部技术人员在场伴随下，方可进展。业务操作人员根本要求：〔一〕业务操作人员〔指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员，包括业务治理员、一般业务操作员〕应履行以下职责：1、严格依据征信机构相关业务规程操作、使用征信系统及相关数据，严禁各种违规操作。2、严格依据征信机构信息安全治理相关规定操作、使用征信系统的业务数据，防止征信信息外泄。3、妥当保管好征信系统的账户和密码，并按要求定期更换密码，制止将账户和密码供给应他人使用。4、觉察征信系统消灭特别准时向部门计算机安全员报告。5、定期清理业务操作终端业务数据，不得在业务操作终端上安装与支付业务无关的计算机软件和硬件，不得擅自修改征信系统的运行环境参数。〔二〕业务操作依据“权限分设、相互制约”原则，严格进行操作角色划分和授权治理，技术支持人员不得兼任业务操作人员。增加要求：A、B一般计算机用户根本要求：〔一〕一般计算机用户〔指征信机构内部使用接入征信系统网络的计算机及外设的全部人员〕应履行以下职责：1、准时安装计算机病毒防治软件和客户端防护软件，按规定使用移动存储介质，自觉承受部门计算机安全员的指导与治理。2、不得安装与工作无关的计算机软件和硬件，不得将征信系统相关计算机擅自接入未经授权的网络。〔二〕未经信息安全治理部门批准和检测的计算机及外设不得接入征信系统网络。增加要求：1、一般计算机用户不得私自转变计算机用途。2、一般计算机用户系统应统一安装、统一升级及更计算机病毒防治软件。系统建设治理系统顶级根本要求：〔一〕应明确信息系统的边界和安全保护等级。〔二〕应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。增加要求：应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进展论证和审定。安全方案设计根本要求：〔一〕应依据征信系统的安全保护等级选择根本安全措施，依据风险分析的结果补充和调整安全措施。〔二〕应以书面形式描述对征信系统的安全保护要求、策略和措施等内容，形成系统的安全方案。〔三安全产品选购和使用的具体设计方案。〔四〕应组织相关部门和有关安全技术专家对安全设