征信信息安全管理工作汇报发言提纲征信管理工作总结范文报告精编5篇
【导读预览】此篇优秀范文“征信信息安全管理工作汇报发言提纲征信管理工作总结范文报告精编5篇”由阿拉题库网友为您整理分享,以供您参考学习之用,希望此篇资料对您有所帮助,喜欢就复制下载支持吧!
征信信息安全管理工作汇报发言提纲征信管理工作总结报告篇1
第1章
总则
第1条 为防止客户征信信息泄露,确保信息完整和安全,科学、高效地保管和利用客户征信信息,特制定本制度。
第2条 本制度适用于客户征信信息相关人员的工作。
第2章 客户征信信息归档
第3条 客户开发专员每发展、接触一个新客户,均应及时在客户征信信息专员处建立客户档案,客户档案应标准化、规范化。
第4条 客户征信信息专员负责企业所有客户征信信息、客户征信信息报表的发送、收集、汇总、整理。
第5条 为方便查找,应为客户档案设置索引。
第6条 客户档案按风险控制部的要求分类摆放,按从左至右、自上而下的顺序排列。第7条 客户征信信息的载体(包括纸张、软件等)应选用质量好、便于长期保管的材料。信息书写应选用耐久性强、不易褪色的材料,如碳素墨水或蓝黑墨水,避免使用圆珠笔、铅笔等。
第3章 客户征信信息报告
第8条 客户征信信息专员对客户征信信息进行分析、整理,编制客户征信信息报告。第9条 其他部门若因工作需要,要求客户征信信息专员提供有关客户征信信息资料及定期统计报告的,须经风险控制部经理的审查同意,并经总经理批准。
第10条 客户征信信息报告如有个别项需要修改时,应报总经理批准,由风险控制部备案,不必再办理审批手续。
第11条 客户征信信息专员编制的各种客户征信信息资料报告必须根据实际业务工作需要,统一印刷、保管及发放。
第12条 为确保客户征信信息报告中数据资料的正确性,客户征信信息主管、风险控制部经理应对上报或分发的报告进行认真审查。
第4章 客户档案的检查
第13条 每半年对客户征信档案的保管状况进行一次全面检查,做好检查记录。第14条 发现客户征信档案字迹变色或材料破损要及时修复。第15条 定期检查客户征信档案的保管环境,防潮、防霉等工作一定要做好。
第5章 客户征信信息的使用
第16条 建立客户征信信息档案查阅权限制度,未经许可,任何人不得随意查阅客户征信信息档案。
第17条 查阅客户征信信息档案的具体规定如下。
1.由申请查阅者提交查阅申请,在申请中写明查阅的对象、目的、理由、查阅人概况等情况。
2.由申请查阅者所在单位(部门)盖章,负责人签字。
3.由风险控制部对查阅申请进行审核,若理由充分、手续齐全,则予以批准。 第18条 客户征信信息资料安全的具体规定如下。
1.任何处室和个人不得以任何借口分散保管客户征信资料和将客户征信资料据为己有。
2.借阅者提交借阅申请,内容与查阅申请相似。
3.借阅申请由借阅者所在单位(部门)盖章,负责人签字。 4.风险控制部门对借阅申请进行审核、批准。
第6章 客户征信信息的保密
第19条 风险控制部各级管理人员和征信信息管理人员要相互配合,自觉遵守客户征信信息保密制度。
第20条 凡属“机密”、“绝密”的客户资料,登记造册时,必须在检索工具备注栏写上“机密”、“绝密”字样,必须单独存放、专人管理,其他人员未经许可不得查阅。
第21条 各类重要的文件、资料必须采取以下保密措施。
1.非经总经理、客户征信信息主管或风险控制部门经理批准,不得复制和摘抄。 2.其收发、传递和外出携带由指定人员负责,并采取必要的安全措施。
第22条 企业相关人员在对外交往与合作中如果需要提供客户资料时,应事先获得客户征信信息主管和风险控制部经理的批准。
第23条 对保管期满,失去保存价值的客户征信资料要按规定销毁,不得当作废纸出售。第24条 客户征信信息管理遵循“三不准”规定,其具体内容如下。1.不准在私人交往中泄露客户征信信息。2.不准在公共场所谈论客户征信信息。
3.不准在普通电话、明码电报和私人通信中泄露客户征信信息。 第25条 企业工作人员发现客户征信信息已经泄露或者可能泄露时,应当立即采取补救措施,并及时报告客户征信信息主管及风险控制部经理。相关人员接到报告后,应立即处理。
第7章 附则
第26条 本制度由风险控制部负责解释、修订和补充。第27条 本制度呈报总经理审批后,自颁布之日起执行。
征信信息安全管理工作汇报发言提纲征信管理工作总结报告篇2
一、指导思想
为贯彻落实银发〔2018〕102号《中国人民银行关于进一步加强征信信息安全管理的通知》的文件精神,进一步增强征信信息安全意识、加强征信信息安全管理,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,切实防范违规查询和非法出售征信信息等行为的发生。我公司以“重规范、保安全”为工作理念,强化征信信息安全管理意识,明晰征信信息安全主体责任,完善征信内控问责机制,完备征信业务和征信信息安全操控流程,建立健全征信信息异议事件上报处理机制与安全事件应急处置机制。严防征信信息泄露风险,坚决维护客户征信信息安全,主动自觉加强我公司征信信息安全管理工作的部署和协调。
二、总体目标
1、加强征信管理,明确权责关系,提高征信人员思想认识。要清醒认识当前征信信息安全面临的严峻形势,切实增强征信信息安全管理意识。按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,明确领导层中分管征信工作的责任关系。
2、加强征信培训,提高征信人员业务水平。熟练掌握征信业务操作流程,提高征信信息安全管理水平。对征信各级管理人员和从业人员进行全员征信合规性教育培训,牢牢守住不发生征信信息安全风险的底线。
3、加强异议处理,提高异议回复质量。分级建立征信用户查询操作日核查机制,完善异常查询监控、处置与报告机制,优化和调整征信查询日核查与实时监控指标,不断提高本公司自查与自控的能力。
4、完善征信内控制度及问责制度,提高安全管理水平。结合自身情况对自身的内控制度及问责制度进行全面自建自查,查漏补缺、,补齐短板。
5、加强征信自纠自查,提高制度执行力。本公司将征信管理工作纳入常规管理,按规定执行查询操作、档案管理、信用报告使用、异议处理、安全管理等问题,明确人员责任,加大处罚力度,将相关制度落到实处,切实防范征信信息泄露风险。
三、
组织领导及工作任务为确保征信信息安全管理工作顺利推进,由征信信息安全工作领导小组组长为第一责任人,副组长为直接责任人,组员由征信录入人员及征信查询人员组成。
第二,明确征信信息安全工作领导小组成员岗位职责; 第三,建立征信合规与信息安全自查自纠制度; 第四,制定征信信息安全事件应急处理方案。
将上述四项制度及方案整理成文,在小组内部研讨学习,并监督落实情况。
2、小组副组长负责分配任务及推进工作,并组织组员学习领会中国人民银行银发〔2018〕102号文件精神。根据公司实际情况,负责本公司征信信息安全内部控制系统的运行、修订和维护工作。
落实征信信息安全问责制度及自查自纠制度的实施,并组织工作小组学习征信信息安全事件应急处置方案。负责应对各种征信合规与信息安全相关问题,必要时可上报组长,以及时准确解决相关问题。
3、小组成员中,征信录入人员及征信查询人员应全面领会征信岗位职责,明确征信信息安全内控制度及问责制度相关要求,合规合法开展征信工作。
四、工作措施
1、加强公司内部对征信管理重要性和必要性的认识,明确分配权责关系,提高小组全员重视度,切实加强小组成员对征信信息安全管理意识。
第一,由副组长认真研读银发〔2018〕102号文件,并梳理、提炼文件精神,组织全小组成员学习,并以学习报告的方式验收学习成果,确保文件精神深入人心,并可以指导日后征信信息安全工作的顺利推进。
第二,确保公司内部订立的征信安全相关岗位职责、内控制度和问责制度行之有效、切实落地。组长和副组长分级管理、逐级负责,小组成员谁使用谁负责。
第三,小组全员凝心聚力,确保征信信息安全管理工作顺利推进。2、强化小组成员征信录入及查询培训,确保征信人员业务水平到位。
第一,要求小组成员熟练掌握征信业务操作流程,提高征信信息安全管理水平。
第二,通过定期检查与不定期抽查方式考核征信录入人员与征信查询人员业务水平,并纳入公司考核制度,以敦促小组成员尽职尽责。
第三,对征信各级管理人员和从业人员进行全员征信合规性教育,提高征信工作人员思想觉悟,牢牢守住不发生征信信息安全风险的底线。
3、设立征信异常查询自查机制,妥善办理异议与投诉,设置异议处理流程及制度,提高异议回复与处理质量。优化和调整征信查询日核查与实时监控指标,不断提高本公司自查与自控的能力。
第一,将异议处理职责纳入小组成员岗位职责,切实达到责任到人,有责可依。并将异议处理结果纳入问责机制,以期妥善处理异议及投诉。
第二,严格遵守异议处理事件,规范异议处理流程,按规定出具相关文书,做好异议申请、处理资料的保管、归档。
第三,强化投诉办理,规范投诉流程,及时办理信息主体投诉,提高信息主体的满意度。第四,以异议和投诉为重要线索,对可能涉及的征信信息安全风险事件及时进行全面排查,及时发现问题和排除隐患。
4、不断完善征信内控制度及问责制度,以提高安全管理水平为目标,审视自身情况,对公司征信信息安全相关内控制度及问责制度进行由内到外、由表及里地自查自修,查找纰漏,补充缺口,健全制度体系,确保制度层次的稳健性和系统化。
第一,建立健全征信内控制度及问责制度,并及时向人民银行报备制度变更情况。
第二,建立征信信息安全情况报告制度。每月5日前向市人民银行报送异常查询、违规查询、非法提供、违规使用、信用报告泄露等征信信息安全情况统计表。及时未发生征信信息安全风险事件,亦采取玲报告制度。
第三,建立征信合规与信息安全自查自纠制度及报告制度。建立分级监控、专项核查的工作机制,按照征信内控制度的规定,对日常监测发现的风险线索以及异常查询线索,与对应的信贷业务进行逐笔核实,从授权、审核、查询、使用、存储等各个环节梳理是否存在征信违规风险隐患。按季度开展内部征信合规和信息安全自查自纠,并将自查自纠情况向人民银行书面报告。
5、不断加强本公司征信信息安全的自纠自查能力,提高全体小组成员的制度执行力,加大违反制度的惩罚力度。
第二,按规定执行查询操作、档案管理、信用报告使用、异议处理、安全管理等问题,明确人员责任,加大处罚力度,将相关制度落到实处,切实防范征信信息泄露风险。
五、工作要求
1、统一认识,提高认识。统一全体小组成员的思想认识,深刻把握开展征信信息安全管理的重要意义,深刻理解银发〔2018〕102号文件的精神实质,强化全员的能动意识,人人明确岗位责任制,激发全员参与强化征信信息安全管理工作的积极性,主动性和创造性。
2、抓住重点,解决问题。针对文件精神、内控制度、问责制度、岗位职责、自查制度、应急机制和异议处理机制等内容和要求,进一步结合公司加强征信信息安全管理方面的需要,在小组内全面系统地开展自我诊断工作,找准导致公司产生征信信息安全风险的主要问题,在深入实施观察,充分论证的基础上,重点攻关,狠抓落实,确保客户信息得到有效保护,做好新时代征信信息安全维护工作,切实保护客户的合法权益,为提升人民群众在征信领域的幸福感和安全感不懈努力。
3、明确责任,抓好落实。细化工作任务、明确责任、强化考评,从严管理,全面落实各项制度规章及岗位职责,推动征信信息安全管理工作地深入开展,确保征信信息安全工作取得实效。
4、有序推进,合理安排。要集中力量解决征信信息安全工作中的瓶颈和主要矛盾,优先解决紧迫的、急的、需要快速处理的问题,对于长期的问题要制订出长期的解决措施,形成短、中、长兼顾,立体式的有序推进机制。在市人民银行的正确引导下,在完备的内控制度的有力制约下,为我国征信信息系统不断趋于完善添砖加瓦。
5、固化成果,不断进步。及时
总结
提炼征信信息安全管理工作经验,促进工作创新成果的有效转化,以执行制度、贯彻精神的行动理念保障工作成果,以完善标准、修订制度的方式方法固化工作成果,以服从引导、积极配合的实际行动显现工作成果。我公司征信信息安全工作领导小组将严格执行本工作方案,落实关于加强征信信息安全管理的各项方针要求,积极配合市人民银行的相关工作,高度重视此次征信信息安全管理工作。领会并掌握文件精神;修订并完善自身制度;具备并提升工作自觉性;认识并强化沟通交流;建立并完善审核报送机制。为提升人民群众在征信领域的幸福感和安全感做出应有贡献!
法定代表人:
xxx有限责任公司
征信信息安全管理工作汇报发言提纲征信管理工作总结报告篇3
第一章 总 则
为加强征信业务运行管理,规范征信业务组织、操作行为,有效防范道德风险、操作风险、声誉风险,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法(暂行)》、《中国人民银行关于进一步加强征信信息安全管理的通知》等有关规定,结合实际,制定本细则。
第二条
本细则所称征信信息安全,是指从事与个人、企业和其他组织信用活动相关的业务,包括:向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中,严格按照管理制度用信以及保证客户征信信息安全。
第三条
本细则所称征信系统,是指按人民银行相关规定建立的,用于采集、保存、加工、整理个人、企业和其他组织的,为个人和企业提供信用报告查询服务的数据库系统。
第四条
本细则所称借款人,是指向及辖内机构申请办理信贷业务的企(事)业法人、其他组织、个体工商户和自然人。
第五条
本细则所称的担保人,是指为办理信贷业务的借款人提供担保的企(事)业法人、其他组织、个体工商户和自然人。
第六条
1 开授信等业务以及与其相关的担保业务。
第七条
本细则所称客户信用信息,是指能够反映个人、企(事)业法人或其他组织信用状况的信息,包括身份识别信息、信用交易信息以及反映个人、企(事)业法人或其他组织信用状况的其他信息。
第二章 部门职责
第八条
征信业务管理工作,实行统一领导、分工负责的原则。
第九条
成立征信信息安全工作领导小组,统一领导全行个人和企业征信业务的有关工作。领导小组由主管信贷领导担任组长,成员由信贷部组成。领导小组办公室设置在信贷部。
第十条
征信信息安全工作领导小组负责协调征信系统运行管理、查询使用和数据报送等工作;建立健全相关管理制度,指导、培训检查各社征信业务;对接收到的人民银行或上级机构反馈的错误数据及时交有关机构进行修改;开展不同层次、不同岗位的人员的征信培训工作;做好信用报告异议处理的协调与处理工作;做好征信系统用户管理工作,按照人民银行要求及时上报征信管理员、查询员,异议元,做好用户备案工作;管理好用信工作,杜绝泄露、出售等客户的征信报告。
2 信息不被泄露。
第三章 系统与用户管理
第十一条
在征信系统中建立用户体系,其中联社由市联社设立管理员用户,基层社由联社设立征信查询用户。
第十二条
用户代码是用户在征信系统中的身份标识,具有唯一性,不得设置公用代码、一人分配多个代码。检查查询员用户统一由系统管理员设置。
第十三条
用户密码是用户登录征信系统的安全保证,由数字和字母组合构成。首次登录时,必须更改密码,以后每月至少更改一次。
第十四条
管理员用户不得随意增加、修改用户及用户的权限。
第十五条
管理员用户不得随意重置用户密码,下列情况除外:
(一)用户遗忘登录密码,向管理员用户提出书面申请的;
(二)管理员用户发现用户密码被盗用,且无法及时通知用户更改密码的;
(三)其他特殊情况。
第四章 安全管理
第十六条
基层机构要确保客户信息在查询使用、异议处理等过程中的完整性和保密性,严格遵循《征信业管理条例》、人民银行和相关规定,确保数据不被泄露。
3 第十七条
基层机构在查询、打印企(事)业法人、其他组织、个体工商户和自然人的信用报告时须获得客户书面授权。除下述情况外,不得以任何理由查询客户信用报告。
(一)审核客户信贷业务申请的;
(二)审核担保人主体资格的;
(四)对已发生信贷业务进行风险跟踪管理的;
(五)处理异议和投诉的;
(六)法律规定可以查询的其他情况
第十八条上级定期组织开展征信工作检查,对用户设置、信息查询和使用、异议处理、档案管理、信息安全以及相关内控制度建设、执行情况进行检查,提高制度执行力,保证征信业务严格遵循《征信业管理条例》、人民银行和相关规定,并将检查结果及时报告及当地人民银行。
第十九条
通过征信系统查询、打印的信用报告和相关资料属内部重要信贷业务资料,不得外泄。
第二十条
除本办法规定的情况外,任何单位和个人不得将征信系统查询结果和信用报告用于其它目的。
第二十一条
用于征信系统运行的计算机实行专机专用,不得下载或安装与系统无关的软件;定期进行病毒检查和网络访问安全监测,做好系统日常维护工作。
第五章 附 则
第二十二条
本办法自下发之日起施行,由市农村信用合作联社负责制订、解释、修改。
征信信息安全管理工作汇报发言提纲征信管理工作总结报告篇4
第一章 总则
第一条 根据《中国人民银行关于加强征信合规管理工作的通知》(银发2016300号)、《中国人民银行关于进一步加强征信信息安全管理的通知》(银发2018102号)等要求,结合本评级机构工作需要,特制定本制度。
第二章 组织与职责
第三条 为确保征信信息安全管理工作顺利推进,本评级机构建立征信信息安全工作领导小组,健全征信信息安全管理的体制和机制,强化征信信息安全主体职责。
第四条 本评级机构合理设置信息系统的人员权限,建立信息系统长效监控机制,对信息系统用户的使用行为进行监控,对不合理的信息使用行为进行控制。
第五条 征信管理监测系统的录入和相关操作人员应确保录入信息的准确、完整、及时。
第六条 征信管理监测系统的录入和相关操作人员不得以个人名义向征信管理监测系统录入和上报信息,所有信息的录入和上报都必须遵守监管要求和本评级机构的内部制度。
1 第七条 本评级机构的任何人不得私自泄露征信保密信息,或利用该信息为自己或他人谋取利益。
第八条 信息技术管理中心的专业人员负责对相关软、硬件设备进行维护。
第三章 安全保障
第九条 本评级机构建立信息系统安全防范措施,例如日志留存、安全认证、实时监控、防黑客、防病毒等。
第十条 本评级机构建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
第十一条 本评级机构进行机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并根据情况及时报警。
第十二条 本评级机构加强信息系统用户的法律意识和网络安全意识教育,提高其安全意识和防范能力。
第四章 自查自纠与报告
第十三条 本评级机构组织合规、信息技术等相关人员根据中国人民银行的相关要求对征信合规与信息安全开展自查自纠,并将自查自纠情况向监管部门书面报告。
2 患。
第五章 征信信息安全事件应急处置
第十五条 本评级机构坚持积极防御、综合预防和控制风险,在发生征信信息安全事件时最大程度地减少损失,尽快使网络和系统恢复正常,及时上报,做好网络和信息安全保障工作。
第十六条 本评级机构建立征信信息安全事件应急处置小组,当征信信息安全事件发生时做到快速报告、及时处置。
第十七条 征信信息安全事件发生后,监控人员应立即向应急处置小组和上级报告,同时应立即与网络隔离,防止影响扩大。
第十八条 应急处置小组接到征信信息安全事件的报告后,应立即召开征信信息安全事件处置专项会议,制定处置实施步骤,部署开展相关工作,同时按要求及时向监管部门报告。
第十九条 应急处置期间,各参与人员应保持通讯通畅,时刻待命,积极执行本评级机构的各项安排,遇到情况时应第一时间联系相关责任人员,不得无故中断与其他参与人员的通讯联系。
第二十条 应急处置参与人员应对征信信息安全事件可能涉及的次生、衍生事件做出评估,采取相关措施。
第二十一条 应急处置结束后,应急处置小组做好后续安排,并对处置工作做出评价,总结处置工作的经验与教训,将相关文件、资料及档案进行归档管理。
第六章 责任追究
6.在征信信息安全事件处置中存在工作疏漏,造成不利结果的; 7.监管机构及本评级机构认定的其他违规行为。
第七章 附则
第二十三条 本制度自发布之日起实施。
征信信息安全管理工作汇报发言提纲征信管理工作总结报告篇5
一、总则
标准适用范围
标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
相关定义
(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的pin等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括ie等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
总体要求
本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。
(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。
(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
二、安全管理
安全管理制度
(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。
(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。
(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。
(五)应建立日常故障处理流程,重要岗位应建立双人负责制。
(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。
(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。
(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。
(十)应建立突发事件应急预案制度,有效避免事故造成的危害。
(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。
(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。
(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。
(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。
(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。
(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。
(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。
安全管理机构
(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。
(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。
(三)除科技部门以外,其他部门应设置部门计算机安全员。增强要求:
(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。
(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。
(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。
(一)应根据各部门和岗位的职责明确授权审批部门和审批人。
(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。
(三)应记录审批过程并保存审批文档。 增强要求:
(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。
(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。
2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。
3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。
(三)信息安全管理员应履行以下职责:
1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。
2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。
3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。
4、负责本机构计算机系统部署上线前的安全自测试方案的审核。
5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。
(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。
(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。
(三)部门计算机安全员应履行以下职责:
1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。
2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。
2、严格权限访问,未经业务部门书面授权和本部门领导批准,不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。
3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。
1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据,严禁各种违规操作。
2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据,防止征信信息外泄。
3、妥善保管好征信系统的账户和密码,并按要求定期更换密码,禁止将账户和密码提供给他人使用。
5、定期清理业务操作终端业务数据,不得在业务操作终端上安装与支付业务无关的计算机软件和硬件,不得擅自修改征信系统的运行环境参数。
1、及时安装计算机病毒防治软件和客户端防护软件,按规定使用移动存储介质,自觉接受部门计算机安全员的指导与管理。
2、不得安装与工作无关的计算机软件和硬件,不得将征信系统相关计算机擅自接入未经授权的网络。
1、一般计算机用户不得私自改变计算机用途。
2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。
系统建设管理
系统顶级 基本要求:
(一)应明确信息系统的边界和安全保护等级。
(一)应根据征信系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
(二)应以书面形式描述对征信系统的安全保护要求、策略和措施等内容,形成系统的安全方案。
(三)对安全方案进行细化,形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。
(一)应制定和授权专门的部门对征信系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。
(二)应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。
(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。