征信机构信息安全规范 一、总则 1.1 标准适用范围 标准规定了不同安全保护等级征信系统的安全要求，包 括安全管理、安全技术和业务运作三个方面。 m o c . 5 标准适用于征信机构信息系统的建设、运行和维护，也 可作为各单位开展安全检查和内部审计的安全依据。接入征 信机构信息系统的信息提供者、信息使用者也可以参照与本 b u 机构有关条款执行，标准还可作为专业检测机构开展检测、 认证的依据。 1.2 相关定义 h t i g （一）征信系统：征信机构与信息提供者协议约定，或者通 过互联网、政府信息公开等渠道，对分散在社会各领域的企 业和个人信用信息，进行采集、整理、保存和加工而形成的 信用信息数据库及相关系统。 （二）敏感信息：影响征信系统安全的密码、密钥以及业务 敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的 PIN 等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密 钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻 状况以及银行账户信息等涉及个人隐私的数据。 （三）客户端程序：征信机构开发的、通过浏览器访问征信 系统并为征信系统其他功能（如数据采集）的程序，并提供 必需功能的组件，包括但不限于：可执行文件、控件、浏览 器插件、静态链接库、动态链接库等（不包括 IE 等通用浏 m o c . 5 览器）；或信息提供者、信息使用者以独立开发的软件接入 征信系统的客户端程序。 （四）通讯网络：通讯网络指的是由客户端、服务器以及相 b u 关网络基础设施组建的网络连接。征信系统通过互联玩或网 h t i g 络专线等方式与信息提供者、信息使用者相连，征信系统安 全设计应在考虑建设成本、网络便利性等因素的同时，采取 必要的技术防护措施，有效应对网络通讯安全威胁。 （五）服务器端：服务器端指用于提供征信系统核心业务处 理和应用服务的服务器设备及安装的相关软件程序，征信机 构应充分利用有效的物理安全技术、网络安全技术、主机安 全技术、应用安全技术及数据安全与备份恢复技术等，在外 部威胁和受保护的资源间建立多道严密的安全防线。 1.3 总体要求 本标准从安全管理、安全技术和业务运作三个方面提出征信 系统的安全要求。 （一）安全管理从安全管理制度、安全管理机构、人员安全 管理、系统建设管理、系统运维管理等方面提出要求。 （二）安全技术从客户端、通讯网络、服务器端等方面提出 要求。 （三）业务运作从系统接入、系统注销、用户管理、信息采 集和处理、信息加工、信息保存、信息查询、异议处理、信 m o c . 5 息跨境流动、研究分析、安全检查与评估等方面提出要求。 二、安全管理 b u 2.1 安全管理制度 h t i g 征信机构根据征信系统的建设、运行和管理情况，建立 和完善信息安全管理制度，并定期进行评审和修订。 2.1.1 内部管理制度 基本要求： （一）应制定信息安全工作的总体方针和安全策略，说明本 机构安全工作的总体原则、目标、范围和安全框架等； （二）应建立征信系统建设和运维管理制度，对机房管理、 资金安全、设备管理，网络安全和系统安全等方面做出明确 规定。 （三）应建立征信系统安全审批流程，系统投入运行、网路 系统接入等重大事项由信息安全管理负责人审批，并确认签 字。 （四）应对安全管理人员及操作人员执行的重要操作建立操 作规程，并进行定期培训。 （五）应建立日常故障处理流程，重要岗位应建立双人负责 制。 （六）应建立软件开发管理制度，明确说明开发过程的控制 m o c . 5 方法和人员行为准则。 （七）应建立数据库管理制度，对数据的存储、访问、使用、 展示、备份与恢复、传输及样本数据处理等进行规范。 b u （八）应建立外包服务管理、外部人员访问等方面的管理制 h t i g 度，对外部人员对本机构内的活动进行规范化管理。 （九）应建立突发事件及重大事项报告制度，对外部人员在 本机构内的活动进行规范化管理。 （十）应建立突发事件应急预案制度，有效避免事故造成的 危害。 （十一）应建立信息安全检查制度，定期或者根据需要(如 可能存在安全隐患时)不定期开展安全自查工作，主动接受 和配合中国人民银行及其派出所机构的安全检查。 增强要求： （一）应建立征信系统建设工程实施方面的管理制度，明确 说明实施过程的控制方法和人员行为准则。 （二）应建立密码使用、变更管理及数据备份与恢复等方面 的管理制度，对系统运行维护过程中重要环节的审批与操作 等作出的明确规定。 （三）应按照 ISO/IEC 27001:2013 的相关要求建立完善的 信息安全管理体系。 2.1.2 安全审计制度 m o c . 5 基本要求： （一）应建立信息安全内部审计制度，定期可能带来信息安 全风险的因素进行审计和评估， 个人征信机构每年至少 1 次， b u 企业征信机构每年至少 1 次。 h t i g （二）应对安全管理制度的制定和执行情况进行审计，审计 内容包括是否按照法律法规和中国人民银行的相关规定建 立信息安全管理制度，安全管理制度的执行情况，是否定期 对制度进行评审和修订。 （三）应对网络安全、主机安全、应用安全和数据安全等技 术安全进行审计，审计内容包括安全配置、设备运行情况、 网络流量、重要用户行为、系统异常事件及重要系统命令的 使用等。 （四）应对业务操作进行审计，审计内容包括系统接入和注 销、用户管理、信息采集和处理、信息加工、信息保存、异 议处理、信息跨境流动等。 （五）审计记录应包括事件的日期和时间、用户、时间类型、 时间是否成功及其他与审计相关的信息；应保护系统中的审 计记录，避免收到未预期的删除、修改或覆盖等，保存期至 少半年；纸质版审计记录保存期应不少于三年。 增强要求： （一）应定期委托外部专业机构，有重点、有计划的开展信 息科技总体风险审计、征信系统专项审计。 m o c . 5 （二）在内部审计和外部审计中发现的重大安全隐患应及时 向中国人民银行及其派出机构报告。 b u 2.2 安全管理机构 h t i g 征信机构应成立有高级管理人员及相关部门负责人组 成的信息安全领导小组，并制定专门的部门负责信息安全管 理工作。 2.2.1 岗位设置 基本要求： （一）应设立安全主管、信息安全管理岗位，明确安全主管 和信息安全管理员的岗位职责。 （二）应设立安全管理员、网络管理员、数据库管理员等岗 位，并定义各工作岗位的职责。 （三）除科技部门以外，其他部门应设置部门计算机安全员。 增强要求： （一）应通过制度明确安全管理机构各个部门和岗位的职责、 分工和技能要求。 （二）应建立数据安全管理组织，明确数据安全管理责任人、 数据资产管理人、明确数据安全管理的责任，确保有效落实 和推进数据安全的相关工作。 m o c . 5 2.2.2 人员配备 基本要求： （一）应配备安全主管、信息安全管理员、系统管理员、网 b u 络管理员、数据库管理员等。 h t i g （二）安全主管不能兼任信息安全管理员、网络管理员、系 统管理员、数据库管理员等。 （三）信息安全管理员不能兼任网络信息管理员、系统管理 员、数据库管理员等。 增强要求： 关键事务岗位。如信息安全管理员、数据库管理员等， 应配备至少两人，且互为 A、B 角共同管理。 2.2.3 授权和审批 基本要求： （一）应根据各部门和岗位的职责明确授权审批部门和审批 人。 （二）应针对系统投入运行、网络系统投入、系统变更、重 要操作和重要资源的访问等关键活动建立审批流程，由责任 人审批后方可进行，对重要活动应建立逐级审批制度。 （三）应记录审批过程并保存审批文档。 增强要求： 应每年审查审批事项，及时更新需授权和审批的项目、 m o c . 5 审批的部门和审批人等信息。 2.2.4 沟通与合作 b u 基本要求： h t i g （一）应加强各部门、各岗位之间以及信息安全职能部门内 部的合作与沟通。 （二）应加强与同业机构、通讯服务商及监管部门的合作与 沟通。 增强要求： （一）在信息安全管理部门应定期召开各职能部门、各岗位 人员参加的协调会议，共同协作处理信息安全问题。 （二）应加强与供应商、业界专家、专业的安全公司、安全 组织的合作与沟通。 2.3 人员管理 征信机构应加强人员安全管理，明确不同岗位的职责， 规范人员录用、离岗、考核和培训等工作。 2.3.1 安全主管 基本要求： m o c . 5 （一）应派具有较高计算机水平、业务能力和法律素养的人 员担任安全主管。 （二）安全主管可由信息安全管理部门的相关领导担任，也 b u 可指定专人担任，主要履行以下职责： 1、组织落实监管部门信息安全相关管理规定和本机构信息 安全保障工作。 h t i g 2、将征信机构信息安全领导小组讨论形成的安全决策，分 解为安全任务部署落实。 3、对信息化建设中的安全建设方案、安全技术方案或其他 安全方案进行审批。 4、对征信机构内部其他信息安全相关管理事项进行审批。 （三）安全主管调岗位时。应办理交接手续，并履行其调离 后的保密义务。 增强要求： 安全主管应加强信息安全知识的学习和技能掌握，及 时关注国内外信息安全动态，为加强和改进本机构的信息安 全管理工作提供合理化建议。 2.3.2 信息安全管理员 基本要求： （一）应派具有较高计算机水平、业务能力和法律素养的人 员担任信息安全管理员。 m o c . 5 （二）信息安全管理员每年至少进行一次信息安全方面的技 术和业务培训。 （三）信息安全管理员应履行以下职责： b u 1、在安全主管的指导下，具体落实各项安全管理工作，并 h t i g 协调各部门计算机安全员开展工作。 2、在安全主管的指导下，组织相关人员审核本机构信息化 建设项目中的安全方案，组织实施安全项目建设、维护、管 理信息安全专用设施。 3、在计算机系统应用开发、技术方案设计和实施、集成等 工作中提出安全技术方案并组织实施。 4、负责本机构计算机系统部署上线前的安全自测试方案的 审核。 5、定期检查网络和征信系统的安全运行状况，组织检查运 行操作、备份、机房环境与文档等安全管理情况，发现问题， 及时通报和预警，并提出整改意见，统计分析和协调处置信 息安全事件。 6、定期组织信息安全宣传教育活动，与相关部门配合开展 信息安全检查， （四）信息安全管理员调离岗位时，应办理交接手续，并履 行其调离后的保密义务。 增强要求： 信息安全管理员应增加信息安全知识学习和技能掌握， m o c . 5 及时关注国内外信息安全动态，为贯彻落实本机构的信息安 全策略和方案