征信機構信息系統(tǒng)安全及內控機制6頁

1、第 6 頁征信機構信息系統(tǒng)安全及內控機制 、征信機構信息系統(tǒng)安全等級(一）征信系統(tǒng)的數(shù)據(jù)安全管理電子數(shù)據(jù)安全是征信系統(tǒng)安全管理的重要組成部分需要構建全方位、立體化的征信系統(tǒng)信息安全管理機制。1.網(wǎng)絡訪問控制目前，個人信用信息基礎數(shù)據(jù)庫和企業(yè)信用信息基礎數(shù)據(jù)庫等業(yè)務客戶端系統(tǒng)同其他大部分業(yè)務系統(tǒng)一樣，都支持Telnet協(xié)議的遠程登錄方式。網(wǎng)絡中任意終端設備在安裝相對應的客戶端后，理論上即具有遠程登錄主機的條件。征信機構實行互聯(lián)網(wǎng)、辦公網(wǎng)和業(yè)務網(wǎng)物理隔離的三網(wǎng)分離管理模式，網(wǎng)絡訪問控制清晰且嚴格，但同一網(wǎng)絡間存在計算機互訪的條件，如控制不當將為遠程入侵留下隱患，直接威脅到數(shù)據(jù)通信和數(shù)據(jù)存儲機密性的

2、安全。加強網(wǎng)絡訪問控制，關鍵是阻止未授權終端接入。在各個使用征信系統(tǒng)業(yè)務終端的金融機構的交換機和路由設備中設定多層訪問控制列表及劃定虛擬局域網(wǎng)，通過授權將指定的業(yè)務終端綁定。2.加強身份認證身份認證是登錄征信系統(tǒng)的必要程序，此要素出現(xiàn)缺陷，將直接影響到數(shù)據(jù)使用的 可控性。而強身份認證則是在其基礎上貫徹強化原則，明確各項規(guī)章制度在安全管理方面的要求。首先，要強化用戶的資格管理。這是經(jīng)身份認證并登錄系統(tǒng)進行操作的基礎。 用戶的建立須經(jīng)過崗前培訓，具備相關從業(yè)資格，簽訂崗位安全責任狀、保密責任書及 協(xié)議等一系列制度要求的程序。其次，要強化用戶的口令管理。用戶代碼及口令是身份 認證的體現(xiàn)方式，一個用戶

3、代碼只限一個用戶使用，用戶在接到分配的用戶代碼后，應 立即登錄系統(tǒng)并修改口令，勤更換，并僅限持有該用戶代碼的本人掌握。最后，要強化 用戶的制約管理。合理設定兼崗用戶，及時撤銷停止使用的用戶權限，負責保管密封口 令的管理人員不得擁有各級身份認證權限。強身份認證亦可通過安全證書、USB Key (硬 件數(shù)字證書載體）、智能卡芯片等方式實現(xiàn)，其作用不僅體現(xiàn)在有效防止用戶名及密碼被 盜用方面，更體現(xiàn)在對發(fā)生安全風險的責任認定方面。3.數(shù)據(jù)通信機密性征信系統(tǒng)采集的各類征信數(shù)據(jù)信息因與各個機構分別進行溝通協(xié)調，導致征信數(shù)據(jù) 信息在通信過程中的加密方式采取不同標準。采用密押設備來統(tǒng)一保證征信數(shù)據(jù)信息的 通信

4、機密性。密押設備應統(tǒng)一定制配發(fā)，擁有防撬檢測電路，確保密鑰及密碼算法不會 暴露于物理安全的環(huán)境之外。密押設備由各征信系統(tǒng)運行部門指定專人配置、維護和保 管。可以說，密押設備的應用能有效地保護征信數(shù)據(jù)信息的通信安全，并與網(wǎng)絡訪問控 制的安全要素息息相關。4.數(shù)據(jù)存儲機密性數(shù)據(jù)存儲是數(shù)據(jù)以某種格式記錄在計算機內部或外部存儲介質上。與其他安全管理 要素相比，強身認證對其保護作用更加明顯。對存儲在計算機內部的數(shù)據(jù)，主要是服 務器中的數(shù)據(jù)，要按規(guī)定將系統(tǒng)服務器主備機在中心機房安全擺放，設置雙M以上門禁； 未經(jīng)主管部門領導批準，非機房工作人員不得進人機房。系統(tǒng)管理員進行系統(tǒng)維護時， 應有業(yè)務主管或操作員在

5、場，嚴格控制對數(shù)據(jù)庫的直接操作，并對維護內容作詳細記錄。對于存儲在計算機外部介質中的數(shù)據(jù)，如磁盤、U盤、光盤、本地設備等，要嚴格 管理、妥善保存，并實行數(shù)據(jù)加密制度。征信系統(tǒng)及其導出數(shù)據(jù)使用的存儲介質，應進 行嚴格的病毒檢査，防止計算機病毒侵入，禁止在征信系統(tǒng)終端設備上使用非征信系統(tǒng) 專用的存儲介質，禁止在征信系統(tǒng)及其相關的設備上安裝與系統(tǒng)運行無關的軟件，最大 限度地保證數(shù)據(jù)存儲機密性不受影響。(二）我國征信機構管理辦法對征信系統(tǒng)安全等級的規(guī)定根據(jù)中華人民共和國中國人民銀行法征信業(yè)管理條例等法律法規(guī)，中國人民 銀行制定了征信機構管理辦法，自2013年12月20日起施行。征信機構管理辦法 明確要

6、求設立個人征信機構，應當經(jīng)中國人民銀行批準，且信用信息系統(tǒng)應當符合國家 信息安全保護等級二級或二級以上標準。根據(jù)我國信息安全等級保護管理辦法第二章，等級劃分與保護規(guī)定：第二級， 信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社第六章信息主體權益保護會秩序和公共利益造成損害，但不損害國家安全。對于第二級國家的監(jiān)督管理要求為， 第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家 信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。知識鏈接：中國金融新聞網(wǎng)11315全國企業(yè)征信系統(tǒng)我國社會征信新模式。我國信息安全等級保護等級劃分和監(jiān)管方式

7、1.信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中 的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和 其他組織的合法權益的危害程度等因素確定。信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害， 但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損 害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國 家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩

8、序和公共利益造成特別嚴重損害，或者 對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。2.信息系統(tǒng)運營、使用單位依據(jù)征信機構管理辦法和相關技術標準對信息系統(tǒng) 進行保護，國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。 國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。 國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作

9、進行監(jiān)督、檢查。第四級信息系銃運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門 需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制 監(jiān)督、檢查。需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、 檢查。 二、征信機構內控機制內控機制建設就是一個組織為了實現(xiàn)既定目標，防范和減少風險的發(fā)生，由全體成 員共同參與，對內部業(yè)務流程進行全過程的介入和監(jiān)控，采取權力分解、相互制衡手段， 制定出完備的制度保證的過程。征信機構是征信體系建設的核心機構，在信用體系的建 設中承擔重要的職責，其客觀公正的評估有賴于內部有效的管理機制。(一）我國征信機構

10、內控機的相關規(guī)定1.征信業(yè)管理條例相關規(guī)定2013年3月15日開始實施的征信業(yè)管理條例第6條規(guī)定，設立經(jīng)營個人征信業(yè) 務的征信機構，應當符合中華人民共和國公司法規(guī)定的公司設立條件和下列條件， 并經(jīng)國務院征信業(yè)監(jiān)督管理部門批準：（1)主要股東信譽良好，最近3年無重大違法違 規(guī)記錄；（2)注冊資本不少于人民幣5 000萬元；（3)有符合國務院征信業(yè)監(jiān)督管理部 門規(guī)定的保障信息安全的設施、設備和制度、措施；（4)擬任董事、監(jiān)事和高級管理人 員符合該條例第8條規(guī)定的任職條件；（5)國務院征信業(yè)監(jiān)督管理部門規(guī)定的其他審慎 性條件。第8條規(guī)定，經(jīng)營個人征信業(yè)務的征信機構的董事、監(jiān)事和高級管理人員，應當 熟

11、悉與征信業(yè)務相關的法律法規(guī)，具有履行職責所需的征信業(yè)從業(yè)經(jīng)驗和管理能力，最 近3年無重大違法違規(guī)記錄，并取得國務院征信業(yè)監(jiān)督管理部門核準的任職資格。2.征信機構管理辦法2013年I2月20日起實施的征信機構管理辦法第6條規(guī)定，設立個人征信機構， 除應當符合征信業(yè)管理條例第6條規(guī)定外，還應當具備以下條件：（1)有健全的組 織機構；（2)有完善的業(yè)務操作、信息安全管理、合規(guī)性管理等內控制度；（3)個人信 用信息系統(tǒng)符合國家信息安全保護等級二級或二級以上標準。對于征信機構的業(yè)務開拓以及跨域經(jīng)營等內容，則充分尊重了企業(yè)的自主經(jīng)營權， 促使征信機構發(fā)揮經(jīng)營的積極性和主動性。(二）西方國際征信機構內控機制

12、征信機構運營模式可以大致劃分為兩種類型：以美、英為代表的市場主導型和歐洲 大陸大多數(shù)國家所采納的政府主導型，其內控機制和管理模式則呈現(xiàn)不同的特點。1.美國征信機構的市場化的內控模式美國征信機構組織模式，是蝕立于政府之外的第三方私營機構，將個人信息進行收集、加工后，有償提供給信息需求者，并且依據(jù)市場的需求來完善自己的經(jīng)營與管理模 式，提升運營效率。具有以下幾個特點：首先，征信機構私有化。個人征信機構都是由 私營的工商企業(yè)、征信專業(yè)公司、授信機構共同發(fā)揮作用的征信主體。其次，獨立性強。 征信機構既與政府隔離，同時又與其拖市場主體相分離，作為真正意義上的第三方存在。 最后，按市場化原則運作。征信機構

13、伴隨著信用交易的市場需求產(chǎn)生而產(chǎn)生，隨著市場 信用交易規(guī)模的發(fā)展而發(fā)展。其公司機制為公司制形式，以營利為目的，以股東利益最 大化為前提，股東出資比例決定公司投票權比例，一切決策按照商業(yè)化目的進行，服務 的范圍不受限制。美國公平信用報告法規(guī)定，作為個人征信機構，必須同時具備下列5項基本特 征：A.消費者信用調查和生產(chǎn)調查報告時期日常業(yè)務；B.專門從事收集消費者信用調查 或評價消費者信用價值；C.從事有償服務、以營利為目的；D.服務的目的是向第三方提 供消費者信用調查報告；E.向全國市場提供公開的服務，不僅僅向關系企業(yè)提供報告 服務。在全球征信機構中，像益百利、環(huán)聯(lián)、鄧百氏等大型的征信機構全部采用公司制的 治理架構，并且，有些征信公司已經(jīng)是上市公司。美國征信機構市場化的運作機制，政 府并沒有對其具體的內控機制進行明確的法律規(guī)定。2.以德國為代表的征信機構組織模式以德國為代表的公共征信模式又稱為政府主導的征信模式，即主要是依靠政府的力 量建立征信機構，政府通過行政手段強制要求個人或企業(yè)向征信機構提供其信用信息或 數(shù)據(jù)，從而