征信機(jī)構(gòu)信息系統(tǒng)安全及內(nèi)控機(jī)制

1、-作者xxxx-日期xxxx征信機(jī)構(gòu)信息系統(tǒng)安全及內(nèi)控機(jī)制【精品文檔】征信機(jī)構(gòu)信息系統(tǒng)安全及內(nèi)控機(jī)制 、征信機(jī)構(gòu)信息系統(tǒng)安全等級(jí)(一）征信系統(tǒng)的數(shù)據(jù)安全管理電子數(shù)據(jù)安全是征信系統(tǒng)安全管理的重要組成部分需要構(gòu)建全方位、立體化的征信系統(tǒng)信息安全管理機(jī)制。目前，個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫和企業(yè)信用信息基礎(chǔ)數(shù)據(jù)庫等業(yè)務(wù)客戶端系統(tǒng)同其他大部分業(yè)務(wù)系統(tǒng)一樣，都支持Telnet協(xié)議的遠(yuǎn)程登錄方式。網(wǎng)絡(luò)中任意終端設(shè)備在安裝相對(duì)應(yīng)的客戶端后，理論上即具有遠(yuǎn)程登錄主機(jī)的條件。征信機(jī)構(gòu)實(shí)行互聯(lián)網(wǎng)、辦公網(wǎng)和業(yè)務(wù)網(wǎng)物理隔離的三網(wǎng)分離管理模式，網(wǎng)絡(luò)訪問控制清晰且嚴(yán)格，但同一網(wǎng)絡(luò)間存在計(jì)算機(jī)互訪的條件，如控制不當(dāng)將為遠(yuǎn)程入侵留

2、下隱患，直接威脅到數(shù)據(jù)通信和數(shù)據(jù)存儲(chǔ)機(jī)密性的安全。加強(qiáng)網(wǎng)絡(luò)訪問控制，關(guān)鍵是阻止未授權(quán)終端接入。在各個(gè)使用征信系統(tǒng)業(yè)務(wù)終端的金融機(jī)構(gòu)的交換機(jī)和路由設(shè)備中設(shè)定多層訪問控制列表及劃定虛擬局域網(wǎng)，通過授權(quán)將指定的業(yè)務(wù)終端綁定。2.加強(qiáng)身份認(rèn)證身份認(rèn)證是登錄征信系統(tǒng)的必要程序，此要素出現(xiàn)缺陷，將直接影響到數(shù)據(jù)使用的 可控性。而強(qiáng)身份認(rèn)證則是在其基礎(chǔ)上貫徹強(qiáng)化原則，明確各項(xiàng)規(guī)章制度在安全管理方面的要求。首先，要強(qiáng)化用戶的資格管理。這是經(jīng)身份認(rèn)證并登錄系統(tǒng)進(jìn)行操作的基礎(chǔ)。 用戶的建立須經(jīng)過崗前培訓(xùn)，具備相關(guān)從業(yè)資格，簽訂崗位安全責(zé)任狀、保密責(zé)任書及 協(xié)議等一系列制度要求的程序。其次，要強(qiáng)化用戶的口令管理。用

3、戶代碼及口令是身份 認(rèn)證的體現(xiàn)方式，一個(gè)用戶代碼只限一個(gè)用戶使用，用戶在接到分配的用戶代碼后，應(yīng) 立即登錄系統(tǒng)并修改口令，勤更換，并僅限持有該用戶代碼的本人掌握。最后，要強(qiáng)化 用戶的制約管理。合理設(shè)定兼崗用戶，及時(shí)撤銷停止使用的用戶權(quán)限，負(fù)責(zé)保管密封口 令的管理人員不得擁有各級(jí)身份認(rèn)證權(quán)限。強(qiáng)身份認(rèn)證亦可通過安全證書、USB Key (硬 件數(shù)字證書載體）、智能卡芯片等方式實(shí)現(xiàn)，其作用不僅體現(xiàn)在有效防止用戶名及密碼被 盜用方面，更體現(xiàn)在對(duì)發(fā)生安全風(fēng)險(xiǎn)的責(zé)任認(rèn)定方面。征信系統(tǒng)采集的各類征信數(shù)據(jù)信息因與各個(gè)機(jī)構(gòu)分別進(jìn)行溝通協(xié)調(diào)，導(dǎo)致征信數(shù)據(jù) 信息在通信過程中的加密方式采取不同標(biāo)準(zhǔn)。采用密押設(shè)備來統(tǒng)

4、一保證征信數(shù)據(jù)信息的 通信機(jī)密性。密押設(shè)備應(yīng)統(tǒng)一定制配發(fā)，擁有防撬檢測電路，確保密鑰及密碼算法不會(huì) 暴露于物理安全的環(huán)境之外。密押設(shè)備由各征信系統(tǒng)運(yùn)行部門指定專人配置、維護(hù)和保 管?？梢哉f，密押設(shè)備的應(yīng)用能有效地保護(hù)征信數(shù)據(jù)信息的通信安全，并與網(wǎng)絡(luò)訪問控 制的安全要素息息相關(guān)。數(shù)據(jù)存儲(chǔ)是數(shù)據(jù)以某種格式記錄在計(jì)算機(jī)內(nèi)部或外部存儲(chǔ)介質(zhì)上。與其他安全管理 要素相比，強(qiáng)身認(rèn)證對(duì)其保護(hù)作用更加明顯。對(duì)存儲(chǔ)在計(jì)算機(jī)內(nèi)部的數(shù)據(jù)，主要是服 務(wù)器中的數(shù)據(jù)，要按規(guī)定將系統(tǒng)服務(wù)器主備機(jī)在中心機(jī)房安全擺放，設(shè)置雙M以上門禁； 未經(jīng)主管部門領(lǐng)導(dǎo)批準(zhǔn)，非機(jī)房工作人員不得進(jìn)人機(jī)房。系統(tǒng)管理員進(jìn)行系統(tǒng)維護(hù)時(shí)， 應(yīng)有業(yè)務(wù)主管或

5、操作員在場，嚴(yán)格控制對(duì)數(shù)據(jù)庫的直接操作，并對(duì)維護(hù)內(nèi)容作詳細(xì)記錄。對(duì)于存儲(chǔ)在計(jì)算機(jī)外部介質(zhì)中的數(shù)據(jù)，如磁盤、U盤、光盤、本地設(shè)備等，要嚴(yán)格 管理、妥善保存，并實(shí)行數(shù)據(jù)加密制度。征信系統(tǒng)及其導(dǎo)出數(shù)據(jù)使用的存儲(chǔ)介質(zhì)，應(yīng)進(jìn) 行嚴(yán)格的病毒檢査，防止計(jì)算機(jī)病毒侵入，禁止在征信系統(tǒng)終端設(shè)備上使用非征信系統(tǒng) 專用的存儲(chǔ)介質(zhì)，禁止在征信系統(tǒng)及其相關(guān)的設(shè)備上安裝與系統(tǒng)運(yùn)行無關(guān)的軟件，最大 限度地保證數(shù)據(jù)存儲(chǔ)機(jī)密性不受影響。(二）我國征信機(jī)構(gòu)管理辦法對(duì)征信系統(tǒng)安全等級(jí)的規(guī)定根據(jù)中華人民共和國中國人民銀行法征信業(yè)管理?xiàng)l例等法律法規(guī)，中國人民 銀行制定了征信機(jī)構(gòu)管理辦法，自2013年12月20日起施行。征信機(jī)構(gòu)管理辦法

6、 明確要求設(shè)立個(gè)人征信機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)中國人民銀行批準(zhǔn)，且信用信息系統(tǒng)應(yīng)當(dāng)符合國家 信息安全保護(hù)等級(jí)二級(jí)或二級(jí)以上標(biāo)準(zhǔn)。根據(jù)我國信息安全等級(jí)保護(hù)管理辦法第二章，等級(jí)劃分與保護(hù)規(guī)定：第二級(jí)， 信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社第六章信息主體權(quán)益保護(hù)會(huì)秩序和公共利益造成損害，但不損害國家安全。對(duì)于第二級(jí)國家的監(jiān)督管理要求為， 第二級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家 信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。知識(shí)鏈接：中國金融新聞網(wǎng)11315全國企業(yè)征信系統(tǒng)我國社會(huì)征信新模式。我國信息安全等級(jí)保護(hù)等級(jí)劃分和

7、監(jiān)管方式1.信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中 的重要程度，信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和 其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害， 但不損害國家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p 害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國 家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)

8、對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者 對(duì)國家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。2.信息系統(tǒng)運(yùn)營、使用單位依據(jù)征信機(jī)構(gòu)管理辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng) 進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。第一級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。 國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。 國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)

9、保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系銃運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門 需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制 監(jiān)督、檢查。需求進(jìn)行保護(hù)。國家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、 檢查。 二、征信機(jī)構(gòu)內(nèi)控機(jī)制內(nèi)控機(jī)制建設(shè)就是一個(gè)組織為了實(shí)現(xiàn)既定目標(biāo)，防范和減少風(fēng)險(xiǎn)的發(fā)生，由全體成 員共同參與，對(duì)內(nèi)部業(yè)務(wù)流程進(jìn)行全過程的介入和監(jiān)控，采取權(quán)力分解、相互制衡手段， 制定出完備的制度保證的過程。征信機(jī)構(gòu)是征信體系建設(shè)的核心機(jī)構(gòu)，在信用體系的建 設(shè)中承擔(dān)重要的職責(zé)，其客觀公正的評(píng)估有賴于內(nèi)部有效的管理機(jī)制。(一）我國

10、征信機(jī)構(gòu)內(nèi)控機(jī)的相關(guān)規(guī)定1.征信業(yè)管理?xiàng)l例相關(guān)規(guī)定2013年3月15日開始實(shí)施的征信業(yè)管理?xiàng)l例第6條規(guī)定，設(shè)立經(jīng)營個(gè)人征信業(yè) 務(wù)的征信機(jī)構(gòu)，應(yīng)當(dāng)符合中華人民共和國公司法規(guī)定的公司設(shè)立條件和下列條件， 并經(jīng)國務(wù)院征信業(yè)監(jiān)督管理部門批準(zhǔn)：（1)主要股東信譽(yù)良好，最近3年無重大違法違 規(guī)記錄；（2)注冊(cè)資本不少于人民幣5 000萬元；（3)有符合國務(wù)院征信業(yè)監(jiān)督管理部 門規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施；（4)擬任董事、監(jiān)事和高級(jí)管理人 員符合該條例第8條規(guī)定的任職條件；（5)國務(wù)院征信業(yè)監(jiān)督管理部門規(guī)定的其他審慎 性條件。第8條規(guī)定，經(jīng)營個(gè)人征信業(yè)務(wù)的征信機(jī)構(gòu)的董事、監(jiān)事和高級(jí)管理人員，

11、應(yīng)當(dāng) 熟悉與征信業(yè)務(wù)相關(guān)的法律法規(guī)，具有履行職責(zé)所需的征信業(yè)從業(yè)經(jīng)驗(yàn)和管理能力，最 近3年無重大違法違規(guī)記錄，并取得國務(wù)院征信業(yè)監(jiān)督管理部門核準(zhǔn)的任職資格。2.征信機(jī)構(gòu)管理辦法2013年I2月20日起實(shí)施的征信機(jī)構(gòu)管理辦法第6條規(guī)定，設(shè)立個(gè)人征信機(jī)構(gòu)， 除應(yīng)當(dāng)符合征信業(yè)管理?xiàng)l例第6條規(guī)定外，還應(yīng)當(dāng)具備以下條件：（1)有健全的組 織機(jī)構(gòu)；（2)有完善的業(yè)務(wù)操作、信息安全管理、合規(guī)性管理等內(nèi)控制度；（3)個(gè)人信 用信息系統(tǒng)符合國家信息安全保護(hù)等級(jí)二級(jí)或二級(jí)以上標(biāo)準(zhǔn)。對(duì)于征信機(jī)構(gòu)的業(yè)務(wù)開拓以及跨域經(jīng)營等內(nèi)容，則充分尊重了企業(yè)的自主經(jīng)營權(quán)， 促使征信機(jī)構(gòu)發(fā)揮經(jīng)營的積極性和主動(dòng)性。(二）西方國際征信機(jī)構(gòu)

12、內(nèi)控機(jī)制征信機(jī)構(gòu)運(yùn)營模式可以大致劃分為兩種類型：以美、英為代表的市場主導(dǎo)型和歐洲 大陸大多數(shù)國家所采納的政府主導(dǎo)型，其內(nèi)控機(jī)制和管理模式則呈現(xiàn)不同的特點(diǎn)。美國征信機(jī)構(gòu)組織模式，是蝕立于政府之外的第三方私營機(jī)構(gòu)，將個(gè)人信息進(jìn)行收集、加工后，有償提供給信息需求者，并且依據(jù)市場的需求來完善自己的經(jīng)營與管理模 式，提升運(yùn)營效率。具有以下幾個(gè)特點(diǎn)：首先，征信機(jī)構(gòu)私有化。個(gè)人征信機(jī)構(gòu)都是由 私營的工商企業(yè)、征信專業(yè)公司、授信機(jī)構(gòu)共同發(fā)揮作用的征信主體。其次，獨(dú)立性強(qiáng)。 征信機(jī)構(gòu)既與政府隔離，同時(shí)又與其拖市場主體相分離，作為真正意義上的第三方存在。 最后，按市場化原則運(yùn)作。征信機(jī)構(gòu)伴隨著信用交易的市場需求產(chǎn)

13、生而產(chǎn)生，隨著市場 信用交易規(guī)模的發(fā)展而發(fā)展。其公司機(jī)制為公司制形式，以營利為目的，以股東利益最 大化為前提，股東出資比例決定公司投票權(quán)比例，一切決策按照商業(yè)化目的進(jìn)行，服務(wù) 的范圍不受限制。美國公平信用報(bào)告法規(guī)定，作為個(gè)人征信機(jī)構(gòu)，必須同時(shí)具備下列5項(xiàng)基本特 征：A.消費(fèi)者信用調(diào)查和生產(chǎn)調(diào)查報(bào)告時(shí)期日常業(yè)務(wù)；B.專門從事收集消費(fèi)者信用調(diào)查 或評(píng)價(jià)消費(fèi)者信用價(jià)值；C.從事有償服務(wù)、以營利為目的；D.服務(wù)的目的是向第三方提 供消費(fèi)者信用調(diào)查報(bào)告；E.向全國市場提供公開的服務(wù)，不僅僅向關(guān)系企業(yè)提供報(bào)告 服務(wù)。在全球征信機(jī)構(gòu)中，像益百利、環(huán)聯(lián)、鄧百氏等大型的征信機(jī)構(gòu)全部采用公司制的 治理架構(gòu)，并且，有些征信公司已經(jīng)是上市公司。美國征信機(jī)構(gòu)市場化的運(yùn)作機(jī)制，政 府并沒有對(duì)其具體的內(nèi)控機(jī)制進(jìn)行明確的法律規(guī)定。以德國為代表的公共征信模式又稱為政府主導(dǎo)的征信模式，即主要是依靠政府的力 量建立征信機(jī)構(gòu)，政府通過行政手段強(qiáng)制要求個(gè)人或企業(yè)向征信機(jī)構(gòu)提供其信用信息或 數(shù)據(jù)，從而建立個(gè)人信用信