征信机构信息安全综合规范

征信机构信息安全 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 一、总则1.1原则合用范畴原则规定了不同安全保护级别征信系统安全规定，涉及 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 、安全技术和业务运作三个方面。原则合用于征信机构信息系统建设、运营和维护，也可作为各单位开展安全检查和内部审计安全根据。接入征信机构信息系统信息提供者、信息使用者也可以参照与本机构关于条款执行，原则还可作为专业检测机构开展检测、认证根据。1.2有关定义（一）征信系统：征信机构与信息提供者 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 商定，或者通过互联网、政府信息公开等渠道，对分散在社会各领域公司和个人信用信息，进行采集、整顿、保存和加工而形成信用信息数据库及有关系统。（二）敏感信息：影响征信系统安全密码、密钥以及业务敏感数据等信息。1、密码涉及但不限与查询密码、登录密码、证书PIN等。2、密钥涉及但不限与用于保证通讯安全、报告完整性密钥。3、业务敏感数据涉及但不限于信息主体身份信息、婚姻状况以及银行账户信息等涉及个人隐私数据。（三）客户端程序：征信机构开发、通过浏览器访问征信系统并为征信系统其她功能（如数据采集）程序，并提供必须功能组件，涉及但不限于：可执行文献、控件、浏览器插件、静态链接库、动态链接库等（不涉及IE等通用浏览器）；或信息提供者、信息使用者以独立开发软件接入征信系统客户端程序。（四）通讯网络：通讯网络指是由客户端、服务器以及有关网络基本设施组建网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连，征信系统安全设计应在考虑建设成本、网络便利性等因素同步，采用必要技术防护办法，有效应对网络通讯安全威胁。（五）服务器端：服务器端指用于提供征信系统核心业务解决和应用服务服务器设备及安装有关软件程序，征信机构应充分运用有效物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等，在外部威胁和受保护资源间建立多道严密安全防线。1.3总体规定本原则从安全管理、安全技术和业务运作三个方面提出征信系统安全规定。（一）安全管理从安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出规定。（二）安全技术从客户端、通讯网络、服务器端等方面提出规定。（三）业务运作从系统接入、系统注销、顾客管理、信息采集和解决、信息加工、信息保存、信息查询、异议解决、信息跨境流动、研究分析、安全检查与评估等方面提出规定。二、安全管理2.1安全管理 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 征信机构依照征信系统建设、运营和管理状况，建立和完善信息安全管理制度，并定期进行评审和修订。2.1.1内部管理制度基本规定：（一）应制定信息安全工作总体方针和安全方略，阐明本机构安全工作总体原则、目的、范畴和安全框架等；（二）应建立征信系统建设和运维管理制度，对机房管理、资金安全、设备管理，网络安全和系统安全等方面做出明确规定。（三）应建立征信系统安全审批流程，系统投入运营、网路系统接入等重大事项由信息安全管理负责人审批，并确认签字。（四）应对安全管理人员及操作人员执行重要操作建立操作规程，并进行定期培训。（五）应建立寻常故障解决流程，重要岗位应建立双人负责制。（六）应建立软件开发管理制度，明确阐明开发过程控制办法和人员行为准则。（七）应建立数据库管理制度，对数据存储、访问、使用、展示、备份与恢复、传播及样本数据解决等进行规范。（八）应建立外包服务管理、外部人员访问等方面管理制度，对外部人员对本机构内活动进行规范化管理。（九）应建立突发事件及重大事项报告制度，对外部人员在本机构内活动进行规范化管理。（十）应建立突发事件应急预案制度，有效避免事故导致危害。（十一）应建立信息安全检查制度，定期或者依照需要(如也许存在安全隐患时)不定期开展安全自查工作，积极接受和配合中华人民共和国人民银行及其派出所机构安全检查。增强规定：（一）应建立征信系统建设工程实行方面管理制度，明确阐明实行过程控制办法和人员行为准则。（二）应建立密码使用、变更管理及数据备份与恢复等方面管理制度，对系统运营维护过程中重要环节审批与操作等作出明确规定。（三）应按照ISO/IEC27001:有关规定建立完善信息安全管理体系。2.1.2安全审计制度基本规定：（一）应建立信息安全内部审计制度，定期也许带来信息安全风险因素进行审计和评估，个人征信机构每年至少1次，公司征信机构每年至少1次。（二）应对安全管理制度制定和执行状况进行审计，审计内容涉及与否按照法律法规和中华人民共和国人民银行有关规定建立信息安全管理制度，安全管理制度执行状况，与否定期对制度进行评审和修订。（三）应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计，审计内容涉及安全配备、设备运营状况、网络流量、重要顾客行为、系统异常事件及重要系统命令使用等。（四）应对业务操作进行审计，审计内容涉及系统接入和注销、顾客管理、信息采集和解决、信息加工、信息保存、异议解决、信息跨境流动等。（五）审计记录应涉及事件日期和时间、顾客、时间类型、时间与否成功及其她与审计有关信息；应保护系统中审计记录，避免收到未预期删除、修改或覆盖等，保存期至少半年；纸质版审计记录保存期应不少于三年。增强规定：（一）应定期委托外部专业机构，有重点、有筹划开展信息科技总体风险审计、征信系统专项审计。（二）在内部审计和外部审计中发现重大安全隐患应及时向中华人民共和国人民银行及其派出机构报告。2.2安全管理机构征信机构应成立有高档管理人员及有关部门负责人构成信息安全领导小组，并制定专门部门负责信息安全管理工作。2.2.1岗位设立基本规定：（一）应设立安全主管、信息安全管理岗位，明确安全主管和信息安全管理员岗位职责。（二）应设立安全管理员、网络管理员、数据库管理员等岗位，并定义各工作岗位职责。（三）除科技部门以外，其她部门应设立部门计算机安全员。增强规定：（一）应通过制度明确安全管理机构各个部门和岗位职责、分工和技能规定。（二）应建立数据安全管理组织，明确数据安全管理负责人、数据资产管理人、明确数据安全管理责任，保证有效贯彻和推动数据安全有关工作。2.2.2人员配备基本规定：（一）应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。（二）安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。（三）信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。增强规定：核心事务岗位。如信息安全管理员、数据库管理员等，应配备至少两人，且互为A、B角共同管理。2.2.3授权和审批基本规定：（一）应依照各部门和岗位职责明确授权审批部门和审批人。（二）应针对系统投入运营、网络系统投入、系统变更、重要操作和重要资源访问等核心活动建立审批流程，由负责人审批后方可进行，对重要活动应建立逐级审批制度。（三）应记录审批过程并保存审批文档。增强规定：应每年审查审批事项，及时更新需授权和审批项目、审批部门和审批人等信息。2.2.4沟通与合伙基本规定：（一）应加强各部门、各岗位之间以及信息安全职能部门内部合伙与沟通。（二）应加强与同业机构、通讯服务商及监管部门合伙与沟通。增强规定：（一）在信息安全管理部门应定期召开各职能部门、各岗位人员参加协调会议，共同协作解决信息安全问题。（二）应加强与供应商、业界专家、专业安全公司、安全组织合伙与沟通。2.3人员管理征信机构应加强人员安全管理，明确不同岗位职责，规范人员录取、离岗、考核和培训等工作。2.3.1安全主管基本规定：（一）应派具备较高计算机水平、业务能力和法律素养人员担任安全主管。（二）安全主管可由信息安全管理部门有关领导担任，也可指定专人担任，重要履行如下职责：1、组织贯彻监管部门信息安全有关管理规定和本机构信息安全保障工作。2、将征信机构信息安全领导小组讨论形成安全决策，分解为安全任务布置贯彻。3、对信息化建设中安全建设方案、安全技术方案或其她安全方案进行审批。4、对征信机构内部其她信息安全有关管理事项进行审批。（三）安全主管调岗位时。应办理交接手续，并履行其调离后保密义务。增强规定：安全主管应加强信息安全知识学习和技能掌握，及时关注国内外信息安全动态，为加强和改进本机构信息安全管理工作提供合理化建议。2.3.2信息安全管理员基本规定：（一）应派具备较高计算机水平、业务能力和法律素养人员担任信息安全管理员。（二）信息安全管理员每年至少进行一次信息安全面技术和业务培训。（三）信息安全管理员应履行如下职责：1、在安全主管指引下，详细贯彻各项安全管理工作，并协调各部门计算机安全员开展工作。2、在安全主管指引下，组织有关人员审核本机构信息化建设项目中安全方案，组织实行安全项目建设、维护、管理信息安全专用设施。3、在计算机系统应用开发、技术方案设计和实行、集成等工作中提出安全技术方案并组织实行。4、负责本机构计算机系统布置上线前安全自测试方案审核。5、定期检查网络和征信系统安全运营状况，组织检查运营操作、备份、机房环境与文档等安全管理状况，发现问题，及时通报和预警，并提出整治意见，记录分析和协调处置信息安全事件。6、定期组织信息安全宣教活动，与有关部门配合开展信息安全检查，（四）信息安全管理员调离岗位时，应办理交接手续，并履行其调离后保密义务。增强规定：信息安全管理员应增长信息安全知识学习和技能掌握，及时关注国内外信息安全动态，为贯彻贯彻本机构信息安全方略和方案提出合理化建议。2.3.3部门计算机安全员基本规定：（一）各部门计算机安全员应由较熟悉计算机知识人员担，并报信息安全管理部备案，如有变更应及时通报信息安全管理部门。（二）部门计算机安全员因积极配合信息安全管理员工作，各部门应优先选派部门计算机安全员参加信息安全技术培训。（三）部门计算机安全员应履行如下职责：1、负责配合信息安全管理部完毕本部门计算机病毒防治、补丁升级、非法外联防范，系统故障应急解决、移动存介质管控等工作。2、全面负责本部门信息安全管理工作。负责提出本部门信息安全保障需求，及时与信息安全管理部门沟通本部门信息安全状况，做好信息安全通报工作，发现状况及时向信息安全管理部门报告，3、负责本部门有关文档资料安全管理工作。以及本部门国际互联网、征信系统网络使用和计入安全管理，组织开展本部门信息安全自查，协助信息安全管理部门完毕本机构信息安全检查工作。（四）部门计算机安全员调离岗位时，办理交接手续，并履行其调离后保密义务。增强规定：部门计算机安全员每年至少参加一次信息安全培训，积极配合信息安全管理员做好本部门信息安全管理和风险防范至少宣传贯彻工作。2.2.4技术支持人员基本规定：（一）内部技术人员（本机构正式员工，负责参加与征信机构机房环境、网路、计算机系统等建设、运营、维护人员，若系统管理员、数据库管理员等）在贯彻征信系统建设和日产维护工作过程中，履行如下职责：1、严格遵守本机构各项安全保密规定和征信系统安全管理有关制度。2、严格权限访问，未经业务部门书面授权和本部门领导批准，不得擅自修改征信系统应用设立或修改系统生成任何业务数据。3、检测和控制机房、网络、安全设备、计算机系统安全运营状况，定期进行风险评估、应急演习，发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。（二）外部技术人员（非本机构人员）应履行服务外包合同（合同）中各项安全承诺，在提供技术服务期间，严格遵守征信机构有关安全规定与操作规程。增强规定：外部技术支持人员未经业务部门书面授权和所在部门领导批准，不得擅自接触、查看或修改修改征信系统应用设立或有关业务数据等，确需接触、查看或修改时，须获得业务部门书面授权和所在部门领导批准，并在内部技术人员在场陪伴下，方可进行。2.2.5业务操作人员基本规定：（一）业务操作人员（指征信机构内部直接使用征信系统进行业务解决业务部门工作人员，涉及业务管理员、普通业务操作员）应履行如下职责：1、严格按照征信机构有关业务规程操作、使用征信系统及有关数据，禁止各种违规操作。2、严格按照征信机构信息安全管理有关规定操作、使用征信系统业务数据，防止征信信息外泄。3、妥善保管好征信系统账户和密码，并按规定定期更换密码，禁止将账户和密码提供应她人使用。4、发现征信系统浮现异常及时向部门计算机安全员报告。5、定期清理业务操作终端业务数据，不得在业务操作终端上安装与支付业务无关计算机软件和硬件，不得擅自修改征信系统运营环境参数。（二）业务操作按照“权限分设、互相制约”原则，严格进行操作角色划分和授权管理，技术支持人员不得兼任业务操作人员。增长规定：业务操作人员应实现A、B角管理。2.2.6普通计算机顾客基本规定：（一）普通计算机顾客（指征信机构内部使用接入征信系统网络计算机及外设所有人员）应履行如下职责：1、及时安装计算机病毒防治软件和客户端防护软件，按规定使用移动存储介质，自觉接受部门计算机安全员指引与管理。2、不得安装与工作无关计算机软件和硬件，不得将征信系统有关计算机擅自接入未经授权网络。（二）未经信息安全管理部门批准和检测计算机及外设不得接入征信系统网络。增强规定：1、普通计算机顾客不得擅自变化计算机用途。2、普通计算机顾客系统应统一安装、统一升级及更新计算机病毒防治软件。2.4系统建设管理2.4.1系统顶级基本规定：（一）应明确信息系统边界和安全保护级别。（二）应应以书面形式阐明信息系统拟定为某个安全保护级别办法和理由。增强规定：应组织有关部门和关于安全技术专家对信息系统定级成果合理性和对的性进行论证和审定。2.4.2安全方案设计基本规定：（一）应依照征信系统安全保护级别选取基本安全办法，根据风险分析成果补充和调节安全办法。（二）应以书面形式描述对征信系统安全保护规定、方略和办法等内容，形成系统安全方案。（三）对安全方案进行细化，形成能指引征信系统安全建设、安全产品采购和使用详细设计方案。（四）应组织有关部门和关于安全技术专家对安全设计方案合理性和对的性进行论证和审定，并且通过征信机构有关领导批准后，正式组织实行。增强规定：（一）应制定和授权专门部门对征信系统安全建设进行总体规划，制定近期和远期安全建设工作筹划。（二）应统一考虑安全保障体系总体安全方略、安全技术框架、安全管理方略、总体建设规划和详细设计方案，并形成配套文献。（三）应组织有关部门和关于安全技术专家对总体安全方略、安全技术框架、安全管理方略、总体建设规划和详细设计方案等有关配套文献合理性和对的性进行论证和审定，并且通过征信机构有关领导批准后，正式组织实行。（四）应定期调节和修订总体安全方略、安全技术框架、安全管理方略、总体建设规划、详细设计方案等有关配套文献。2.4.3安全产品采购