征信机构信息安全规范

征信机构信息安全规范

一、总则

1.1

标准适用范围

标准规定了不同安全保护等级征信系统的安全要求，

包括安全管理、安全技术和业务运作三个方面。

标准适用于征信机构信息系统的建设、运行和维护，

也可作为各单位开展安全检查和内部审计的安全依据。接

入征信机构信息系统的信息提供者、信息使用者也可以参

照与本机构有关条款执行，标准还可作为专业检测机构开

展检测、认证的依据。

1.2

相关定义

（一）征信系统：征信机构与信息提供者协议约定，或者

通过互联网、政府信息公开等渠道，对分散在社会各领域

的企业和个人信用信息，进行采集、整理、保存和加工而

形成的信用信息数据库及相关系统。

（二）敏感信息：影响征信系统安全的密码、密钥以及业

务敏感数据等信息。

1、密码包括但不限与查询密码、登录密码、证书的PI

等。

2、密钥包括但不限与用于确保通讯安全、报告完整性的密

钥。

3、业务敏感数据包括但不限于信息主体的身份信息、婚姻

状况以及银行账户信息等涉及个人隐私的数据。

（三）客户端程序：征信机构开发的、通过浏览器访问征

信系统并为征信系统其他功能（如数据采集）的程序，并

提供必需功能的组件，包括但不限于：可执行文件、控

件、浏览器插件、静态链接库、动态链接库等（不包括IE

等通用浏览器）；或信息提供者、信息使用者以独立开发的

软件接入征信系统的客户端程序。

（四）通讯网络：通讯网络指的是由客户端、服务器以及

相关网络基础设施组建的网络连接。征信系统通过互联玩

或网络专线等方式与信息提供者、信息使用者相连，征信

系统安全设计应在考虑建设成本、网络便利性等因素的同

时，采取必要的技术防护措施，有效应对网络通讯安全威

胁。

（五）服务器端：服务器端指用于提供征信系统核心业务

处理和应用服务的服务器设备及安装的相关软件程序，征

信机构应充分利用有效的物理安全技术、网络安全技术、

主机安全技术、应用安全技术及数据安全与备份恢复技术

等，在外部威胁和受保护的资源间建立多道严密的安全防

线。

1.3

总体要求

本标准从安全管理、安全技术和业务运作三个方面提出征

信系统的安全要求。

（一）安全管理从安全管理制度、安全管理机构、人员安

全管理、系统建设管理、系统运维管理等方面提出要求。

（二）安全技术从客户端、通讯网络、服务器端等方面提

出要求。

（三）业务运作从系统接入、系统注销、用户管理、信息

采集和处理、信息加工、信息保存、信息查询、异议处

理、信息跨境流动、研究分析、安全检查与评估等方面提

出要求。

二、安全管理

2.1

安全管理制度

征信机构根据征信系统的建设、运行和管理情况，建

立和完善信息安全管理制度，并定期进行评审和修订。

2.1.1

内部管理制度

基本要求：

（一）应制定信息安全工作的总体方针和安全策略，说明

本机构安全工作的总体原则、目标、范围和安全框架等；

（二）应建立征信系统建设和运维管理制度，对机房管

理、资金安全、设备管理，网络安全和系统安全等方面做

出明确规定。

（三）应建立征信系统安全审批流程，系统投入运行、网

路系统接入等重大事项由信息安全管理负责人审批，并确

认签字。

（四）应对安全管理人员及操作人员执行的重要操作建立

操作规程，并进行定期培训。

（五）应建立日常故障处理流程，重要岗位应建立双人负

责制。

（六）应建立软件开发管理制度，明确说明开发过程的控

制方法和人员行为准则。

（七）应建立数据库管理制度，对数据的存储、访问、使

用、展示、备份与恢复、传输及样本数据处理等进行规

范。

（八）应建立外包服务管理、外部人员访问等方面的管理

制度，对外部人员对本机构内的活动进行规范化管理。

（九）应建立突发事件及重大事项报告制度，对外部人员

在本机构内的活动进行规范化管理。

（十）应建立突发事件应急预案制度，有效避免事故造成

的危害。

（十一）应建立信息安全检查制度，定期或者根据需要(如

可能存在安全隐患时)不定期开展安全自查工作，主动接受

和配合中国人民银行及其派出所机构的安全检查。

增强要求：

（一）应建立征信系统建设工程实施方面的管理制度，明

确说明实施过程的控制方法和人员行为准则。

（二）应建立密码使用、变更管理及数据备份与恢复等方

面的管理制度，对系统运行维护过程中重要环节的审批与

操作等作出的明确规定。

（三）应按照ISO/IEC27001:2013的相关要求建立完善的

信息安全管理体系。

2.1.2

安全审计制度

基本要求：

（一）应建立信息安全内部审计制度，定期可能带来信息

安全风险的因素进行审计和评估，个人征信机构每年至少

1次，企业征信机构每年至少1次。

（二）应对安全管理制度的制定和执行情况进行审计，审

计内容包括是否按照法律法规和中国人民银行的相关规定

建立信息安全管理制度，安全管理制度的执行情况，是否

定期对制度进行评审和修订。

（三）应对网络安全、主机安全、应用安全和数据安全等

技术安全进行审计，审计内容包括安全配置、设备运行情

况、网络流量、重要用户行为、系统异常事件及重要系统

命令的使用等。

（四）应对业务操作进行审计，审计内容包括系统接入和

注销、用户管理、信息采集和处理、信息加工、信息保

存、异议处理、信息跨境流动等。

（五）审计记录应包括事件的日期和时间、用户、时间类

型、时间是否成功及其他与审计相关的信息；应保护系统

中的审计记录，避免收到未预期的删除、修改或覆盖等，

保存期至少半年；纸质版审计记录保存期应不少于三年。

增强要求：

（一）应定期委托外部专业机构，有重点、有计划的开展

信息科技总体风险审计、征信系统专项审计。

（二）在内部审计和外部审计中发现的重大安全隐患应及

时向中国人民银行及其派出机构报告。

2.2

安全管理机构

征信机构应成立有高级管理人员及相关部门负责人组

成的信息安全领导小组，并制定专门的部门负责信息安全

管理工作。

2.2.1

岗位设置

基本要求：

（一）应设立安全主管、信息安全管理岗位，明确安全主

管和信息安全管理员的岗位职责。

（二）应设立安全管理员、网络管理员、数据库管理员等

岗位，并定义各工作岗位的职责。

（三）除科技部门以外，其他部门应设置部门计算机安全

员。增强要求：

（一）应通过制度明确安全管理机构各个部门和岗位的职

责、分工和技能要求。

（二）应建立数据安全管理组织，明确数据安全管理责任

人、数据资产管理人、明确数据安全管理的责任，确保有

效落实和推进数据安全的相关工作。

2.2.2

人员配备

基本要求：

（一）应配备安全主管、信息安全管理员、系统管理员、

网络管理员、数据库管理员等。

（二）安全主管不能兼任信息安全管理员、网络管理员、

系统管理员、数据库管理员等。

（三）信息安全管理员不能兼任网络信息管理员、系统管

理员、数据库管理员等。

增强要求：

关键事务岗位。如信息安全管理员、数据库管理员

等，应配备至少两人，且互为A、B角共同管理。

2.2.3

授权和审批

基本要求：

（一）应根据各部门和岗位的职责明确授权审批部门和审

批人。

（二）应针对系统投入运行、网络系统投入、系统变更、

重要操作和重要资源的访问等关键活动建立审批流程，由

责任人审批后方可进行，对重要活动应建立逐级审批制

度。

（三）应记录审批过程并保存审批文档。

增强要求：

应每年审查审批事项，及时更新需授权和审批的项

目、审批的部门和审批人等信息。

2.2.4

沟通与合作

基本要求：

（一）应加强各部门、各岗位之间以及信息安全职能部门

内部的合作与沟通。

（二）应加强与同业机构、通讯服务商及监管部门的合作

与沟通。

增强要求：

（一）在信息安全管理部门应定期召开各职能部门、各岗

位人员参加的协调会议，共同协作处理信息安全问题。

（二）应加强与供应商、业界专家、专业的安全公司、安

全组织的合作与沟通。

2.3

人员管理

征信机构应加强人员安全管理，明确不同岗位的职

责，规范人员录用、离岗、考核和培训等工作。

2.3.1

安全主管

基本要求：

（一）应派具有较高计算机水平、业务能力和法律素养的

人员担任安全主管。

（二）安全主管可由信息安全管理部门的相关领导担任，

也可指定专人担任，主要履行以下职责：

1、组织落实监管部门信息安全相关管理规定和本机构信息

安全保障工作。

2、将征信机构信息安全领导小组讨论形成的安全决策，分

解为安全任务部署落实。

3、对信息化建设中的安全建设方案、安全技术方案或其他

安全方案进行审批。

4、对征信机构内部其他信息安全相关管理事项进行审批。

（三）安全主管调岗位时。应办理交接手续，并履行其调

离后的保密义务。

增强要求：

安全主管应加强信息安全知识的学习和技能掌握，及

时关注国内外信息安全动态，为加强和改进本机构的信息

安全管理工作提供合理化建议。

2.3.2

信息安全管理员

基本要求：

（一）应派具有较高计算机水平、业务能力和法律素养的

人员担任信息安全管理员。

（二）信息安全管理员每年至少进行一次信息安全方面的

技术和业务培训。

（三）信息安全管理员应履行以下职责：

1、在安全主管的指导下，具体落实各项安全管理工作，并

协调各部门计算机安全员开展工作。

2、在安全主管的指导下，组织相关人员审核本机构信息化

建设项目中的安全方案，组织实施安全项目建设、维护、

管理信息安全专用设施。

3、在计算机系统应用开发、技术方案设计和实施、集成等

工作中提出安全技术方案并组织实施。

4、负责本机构计算机系统部署上线前的安全自测试方案的

审核。

5、定期检查网络和征信系统的安全运行状况，组织检查运

行操作、备份、机房环境与文档等安全管理情况，发现问

题，及时通报和预警，并提出整改意见，统计分析和协调

处置信息安全事件。

6、定期组织信息安全宣传教育活动，与相关部门配合开展

信息安全检查，

（四）信息安全管理员调离岗位时，应办理交接手续，并

履行其调离后的保密义务。

增强要求：

信息安全管理员应增加信息安全知识学习和技能

掌

握，及时关注国内外信息安全动态，为贯彻落实本机构的

信息安全策略和方案提出合理化建议。

2.3.3

部门计算机安全员

基本要求：

（一）各部门的计算机安全员应由较熟悉计算机知识的人

员担，并报信息安全管理部备案，如有变更应及时通报信

息安全管理部门。

（二）部门计算机安全员因积极配合信息安全管理员的工

作，各部门应优先选派部门计算机安全员参加信息安全技

术培训。

（三）部门计算机安全员应履行以下职责：

1、负责配合信息安全管理部完成本部门计算机病毒防治、

补丁升级、非法外联防范，系统故障应急处理、移动存介

质管控等工作。

2、全面负责本部门的信息安全管理工作。负责提出本部门

的信息安全保障需求，及时与信息安全管理部门沟通本部

门信息安全情况，做好信息安全通报工作，发现情况及时

向信息安全管理部门报告，

3、负责本部门相关文档资料的安全管理工作。以及本部门

国际互联网、征信系统网络的使用和计入安全管理，组织

开展本部门信息安全自查，协助信息安全管理部门完成本

机构的信息安全检查工作。

（四）部门计算机安全员调离岗位时，办理交接手续，并

履行其调离后的保密义务。

增强要求：

部门计算机安全员每年至少参加一次信息安全培训，积极

配合信息安全管理员做好本部门的信息安全管理和风险防

范至少宣传落实工作。

2.2.4

技术支持人员

基本要求：

（一）内部技术人员（本机构正式员工，负责参加与征信

机构机房环境、网路、计算机系统等建设、运行、维护人

员，若系统管理员、数据库管理员等）在落实征信系统建

设和日产维护工作过程中，履行以下职责：

1、严格遵守本机构各项安全保密规定和征信系统安全管理

相关制度。

2、严格权限访问，未经业务部门书面授权和本部门领导批

准，不得擅自修改征信系统应用设置或修改系统生成的任

何业务数据。

3、检测和控制机房、网络、安全设备、计算机系统的安全

运行状况，定期进行风险评估、应急演练，发现安全隐患

或故障及时报告安全主管、信息安全管理员、并及时响应

和处置。

（二）外部技术人员（非本机构人员）应履行服务外包合

同（协议）中的各项安全承诺，在提供技术服务期间，严

格遵守征信机构相关安全规定与操作规程。

增强要求：

外部技术支持人员未经业务部门书面授权和所在部门

领导批准，不得擅自接触、查看或修改修改征信系统的应

用设置或相关业务数据等，确需接触、查看或修改时，须

取得业务部门书面授权和所在部门领导批准，并在内部技

术人员在场陪同下，方可进行。

2.2.5

业务操作人员

基本要求：

（一）业务操作人员（指征信机构内部直接使用征信系统

进行业务处理的业务部门工作人员，包括业务管理员、一

般业务操作员）应履行以下职责：

1、严格按照征信机构相关业务规程操作、使用征信系统及

相关数据，严禁各种违规操作。

2、严格按照征信机构信息安全管理相关规定操作、使用征

信系统的业务数据，防止征信信息外泄。

3、妥善保管好征信系统的账户和密码，并按要求定期更换

密码，禁止将账户和密码提供给他人使用。

4、发现征信系统出现异常及时向部门计算机安全员报告。

5、定期清理业务操作终端业务数据，不得在业务操作终端

上安装与支付业务无关的计算机软件和硬件，不得擅自修

改征信系统的运行环境参数。

（二）业务操作按照“权限分设、互相制约”原则，严格

进行操作角划分和授权管理，技术支持人员不得兼任业

务操作人员。

增加要求：

业务操作人员应实现A、B角管理。

2.2.6

一般计算机用户

基本要求：

（一）一般计算机用户（指征信机构内部使用接入征信系

统网络的计算机及外设的所有人员）应履行以下职责：

1、及时安装计算机病毒防治软件和客户端防护软件，按规

定使用移动存储介质，自觉接受部门计算机安全员的指导

与管理。

2、不得安装与工作无关的计算机软件和硬件，不得将征信

系统相关计算机擅自接入未经授权的网络。

（二）未经信息安全管理部门批准和检测的计算机及外设

不得接入征信系统网络。

增强要求：

1、一般计算机用户不得私自改变计算机用途。

2、一般计算机用户系统应统一安装、统一升级及更新计算

机病毒防治软件。

2.4

系统建设管理

2.4.1

系统顶级

基本要求：

（一）应明确信息系统的边界和安全保护等级。

（二）应应以书面形式说明信息系统确定为某个安全保护

等级的方法和理由。

增强要求：

应组织相关部门和有关安全技术专家对信息系统定级

结果的合理性和正确性进行论证和审定。

2.4.2

安全方案设计

基本要求：

（一）应根据征信系统的安全保护等级选择基本安全措

施，依据风险分析的结果补充和调整安全措施。

（二）应以书面形式描述对征信系统的安全保护要求、策

略和措施等内容，形成系统的安全方案。

（三）对安全方案进行细化，形成能指导征信系统安全建

设、安全产品采购和使用的详细设计方案。

（四）应组织相关部门和有关安全技术专家对安全设计方

案的合理性和正确性进行论证和审定，并且经过征信机构

相关领导批准后，正式组织实施。

增强要求：

（一）应制定和授权专门的部门对征信系统的安全建设进

行总体规划，制定近期和远期的安全建设工作计划。

（二）应统一考虑安全保障体系的总体安全策略、安全技

术框架、安全管理策略、总体建设规划和详细设计方案，

并形成配套文件。

（三）应组织相关部门和有关安全技术专家对总体安全策

略、安全技术框架、安全管理策略、总体建设规划和详细

设计方案等相关配套文件的合理性和正确性进行论证和审

定，并且经过征信机构相关领导批准后，正式组织实施。

（四）应定期调整和修订总体安全策略、安全技术框架、

安全管理策略、总体建设规划、详细设计方案等相关配套

文件。

2.4.3

安全产品采购