征信機構(gòu)信息系統(tǒng)安全及內(nèi)控機制

征信機構(gòu)信息系統(tǒng)安全及內(nèi)控機制一、征信機構(gòu)信息系統(tǒng)安全等級（一）征信系統(tǒng)的數(shù)據(jù)安全管理電子數(shù)據(jù)安全是征信系統(tǒng)安全管理的重要組成部分需要構(gòu)建全方位、立體化的征信系統(tǒng)信息安全管理機制。網(wǎng)絡(luò)訪問控制目前，個人信用信息基礎(chǔ)數(shù)據(jù)庫和企業(yè)信用信息基礎(chǔ)數(shù)據(jù)庫等業(yè)務客戶端系統(tǒng)同其他大部分業(yè)務系統(tǒng)一樣，都支持Telnet協(xié)議的遠程登錄方式。網(wǎng)絡(luò)中任意終端設(shè)備在安裝相對應的客戶端后，理論上即具有遠程登錄主機的條件。征信機構(gòu)實行互聯(lián)網(wǎng)、辦公網(wǎng)和業(yè)務網(wǎng)物理隔離的三網(wǎng)分離管理模式，網(wǎng)絡(luò)訪問控制清晰且嚴格，但同一網(wǎng)絡(luò)間存在計算機互訪的條件，如控制不當將為遠程入侵留下隱患，直接威脅到數(shù)據(jù)通信和數(shù)據(jù)存儲機密性的安全。加強網(wǎng)絡(luò)訪問控制，關(guān)鍵是阻止未授權(quán)終端接入。在各個使用征信系統(tǒng)業(yè)務終端的金融機構(gòu)的交換機和路由設(shè)備中設(shè)定多層訪問控制列表及劃定虛擬局域網(wǎng)，通過授權(quán)將指定的業(yè)務終端綁定。加強身份認證身份認證是登錄征信系統(tǒng)的必要程序，此要素出現(xiàn)缺陷，將直接影響到數(shù)據(jù)使用的可控性。而強身份認證則是在其基礎(chǔ)上貫徹強化原則，明確各項規(guī)章制度在安全管理方面的要求。首先，要強化用戶的資格管理。這是經(jīng)身份認證并登錄系統(tǒng)進行操作的基礎(chǔ)。用戶的建立須經(jīng)過崗前培訓，具備相關(guān)從業(yè)資格，簽訂崗位安全責任狀、保密責任書及協(xié)議等一系列制度要求的程序。其次，要強化用戶的口令管理。用戶代碼及口令是身份認證的體現(xiàn)方式，一個用戶代碼只限一個用戶使用，用戶在接到分配的用戶代碼后，應立即登錄系統(tǒng)并修改口令，勤更換，并僅限持有該用戶代碼的本人掌握。最后，要強化用戶的制約管理。合理設(shè)定兼崗用戶，及時撤銷停止使用的用戶權(quán)限，負責保管密封口令的管理人員不得擁有各級身份認證權(quán)限。強身份認證亦可通過安全證書、USBKey（硬件數(shù)字證書載體）、智能卡芯片等方式實現(xiàn)，其作用不僅體現(xiàn)在有效防止用戶名及密碼被盜用方面，更體現(xiàn)在對發(fā)生安全風險的責任認定方面。數(shù)據(jù)通信機密性征信系統(tǒng)采集的各類征信數(shù)據(jù)信息因與各個機構(gòu)分別進行溝通協(xié)調(diào)，導致征信數(shù)據(jù)信息在通信過程中的加密方式采取不同標準。采用密押設(shè)備來統(tǒng)一保證征信數(shù)據(jù)信息的通信機密性。密押設(shè)備應統(tǒng)一定制配發(fā)，擁有防撬檢測電路，確保密鑰及密碼算法不會暴露于物理安全的環(huán)境之外。密押設(shè)備由各征信系統(tǒng)運行部門指定專人配置、維護和保管?？梢哉f，密押設(shè)備的應用能有效地保護征信數(shù)據(jù)信息的通信安全，并與網(wǎng)絡(luò)訪問控制的安全要素息息相關(guān)。數(shù)據(jù)存儲機密性數(shù)據(jù)存儲是數(shù)據(jù)以某種格式記錄在計算機內(nèi)部或外部存儲介質(zhì)上。與其他安全管理要素相比，強身認證對其保護作用更加明顯。對存儲在計算機內(nèi)部的數(shù)據(jù)，主要是服務器中的數(shù)據(jù)，要按規(guī)定將系統(tǒng)服務器主備機在中心機房安全擺放，設(shè)置雙M以上門禁；未經(jīng)主管部門領(lǐng)導批準，非機房工作人員不得進人機房。系統(tǒng)管理員進行系統(tǒng)維護時，應有業(yè)務主管或操作員在場，嚴格控制對數(shù)據(jù)庫的直接操作，并對維護內(nèi)容作詳細記錄。對于存儲在計算機外部介質(zhì)中的數(shù)據(jù)，如磁盤、U盤、光盤、本地設(shè)備等，要嚴格管理、妥善保存，并實行數(shù)據(jù)加密制度。征信系統(tǒng)及其導出數(shù)據(jù)使用的存儲介質(zhì)，應進行嚴格的病毒檢查，防止計算機病毒侵入，禁止在征信系統(tǒng)終端設(shè)備上使用非征信系統(tǒng)專用的存儲介質(zhì)，禁止在征信系統(tǒng)及其相關(guān)的設(shè)備上安裝與系統(tǒng)運行無關(guān)的軟件，最大限度地保證數(shù)據(jù)存儲機密性不受影響。（二）我國《征信機構(gòu)管理辦法》對征信系統(tǒng)安全等級的規(guī)定根據(jù)《中華人民共和國中國人民銀行法》《征信業(yè)管理條例》等法律法規(guī)，中國人民銀行制定了《征信機構(gòu)管理辦法》，自2013年12月20日起施行?！墩餍艡C構(gòu)管理辦法》明確要求設(shè)立個人征信機構(gòu)，應當經(jīng)中國人民銀行批準，且信用信息系統(tǒng)應當符合國家信息安全保護等級二級或二級以上標準。根據(jù)我國《信息安全等級保護管理辦法》第二章，等級劃分與保護規(guī)定：第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社□第六章信息主體權(quán)益保護會秩序和公共利益造成損害，但不損害國家安全。對于第二級國家的監(jiān)督管理要求為，第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。知識鏈接：中國金融新聞網(wǎng)一11315全國企業(yè)征信系統(tǒng)一我國社會征信新模式。我國信息安全等級保護等級劃分和監(jiān)管方式信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護等級分為以下五級:第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。信息系統(tǒng)運營、使用單位依據(jù)《征信機構(gòu)管理辦法》和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系銃運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。二、征信機構(gòu)內(nèi)控機制內(nèi)控機制建設(shè)就是一個組織為了實現(xiàn)既定目標，防范和減少風險的發(fā)生，由全體成員共同參與，對內(nèi)部業(yè)務流程進行全過程的介入和監(jiān)控，采取權(quán)力分解、相互制衡手段，制定出完備的制度保證的過程。征信機構(gòu)是征信體系建設(shè)的核心機構(gòu)，在信用體系的建設(shè)中承擔重要的職責，其客觀公正的評估有賴于內(nèi)部有效的管理機制。（一）我國征信機構(gòu)內(nèi)控機的相關(guān)規(guī)定1.《征信業(yè)管理條例》相關(guān)規(guī)定2013年3月15日開始實施的《征信業(yè)管理條例》第6條規(guī)定，設(shè)立經(jīng)營個人征信業(yè)務的征信機構(gòu)，應當符合《中華人民共和國公司法》規(guī)定的公司設(shè)立條件和下列條件，并經(jīng)國務院征信業(yè)監(jiān)督管理部門批準：（1）主要股東信譽良好，最近3年無重大違法違規(guī)記錄；（2）注冊資本不少于人民幣5000萬元；（3）有符合國務院征信業(yè)監(jiān)督管理部門規(guī)定的保障信息安全的設(shè)施、設(shè)備和制度、措施；（4）擬任董事、監(jiān)事和高級管理人員符合該條例第8條規(guī)定的任職條件；（5）國務院征信業(yè)監(jiān)督管理部門規(guī)定的其他審慎性條件。第8條規(guī)定，經(jīng)營個人征信業(yè)務的征信機構(gòu)的董事、監(jiān)事和高級管理人員，應當熟悉與征信業(yè)務相關(guān)的法律法規(guī)，具有履行職責所需的征信業(yè)從業(yè)經(jīng)驗和管理能力，最近3年無重大違法違規(guī)記錄，并取得國務院征信業(yè)監(jiān)督管理部門核準的任職資格。2.《征信機構(gòu)管理辦法》2013年I2月20日起實施的《征信機構(gòu)管理辦法》第6條規(guī)定，設(shè)立個人征信機構(gòu)，除應當符合《征信業(yè)管理條例》第6條規(guī)定外，還應當具備以下條件：（1）有健全的組織機構(gòu)；（2）有完善的業(yè)務操作、信息安全管理、合規(guī)性管理等內(nèi)控制度；（3）個人信用信息系統(tǒng)符合國家信息安全保護等級二級或二級以上標準。對于征信機構(gòu)的業(yè)務開拓以及跨域經(jīng)營等內(nèi)容，則充分尊重了企業(yè)的自主經(jīng)營權(quán)，促使征信機構(gòu)發(fā)揮經(jīng)營的積極性和主動性。（二）西方國際征信機構(gòu)內(nèi)控機制征信機構(gòu)運營模式可以大致劃分為兩種類型：以美、英為代表的市場主導型和歐洲大陸大多數(shù)國家所采納的政府主導型，其內(nèi)控機制和管理模式則呈現(xiàn)不同的特1.美國征信機構(gòu)的市場化的內(nèi)控模式美國征信機構(gòu)組織模式，是蝕立于政府之外的第三方私營機構(gòu)，將個人信息進行收集、加工后，有償提供給信息需求者，并且依據(jù)市場的需求來完善自己的經(jīng)營與管理模式，提升運營效率。具有以下幾個特點：首先，征信機構(gòu)私有化。個人征信機構(gòu)都是由私營的工商企業(yè)、征信專業(yè)公司、授信機構(gòu)共同發(fā)揮作用的征信主體。其次，獨立性強。征信機構(gòu)既與政府隔離，同時又與其拖市場主體相分離，作為真正意義上的第三方存在。最后，按市場化原則運作。征信機構(gòu)伴隨著信用交易的市場需求產(chǎn)生而產(chǎn)生，隨著市場信用交易規(guī)模的發(fā)展而發(fā)展。其公司機制為公司制形式，以營利為目的，以股東利益最大化為前提，股東出資比例決定公司投票權(quán)比例，一切決策按照商業(yè)化目的進行，服務的范圍不受限制。美國《公平信用報告法》規(guī)定，作為個人征信機構(gòu)，必須同時具備下列5項基本特征：A.消費者信用調(diào)查和生產(chǎn)調(diào)查報告時期日常業(yè)務；B.專門從事收集消費者信用調(diào)查或評價消費者信用價值；C.從事有償服務、以營利為目的；D.服務的目的是向第三方提供消費者信用調(diào)查報告；E.向全國市場提供公開的服務，不僅僅向關(guān)系企業(yè)提供報告服務。在全球征信機構(gòu)中，像益百利、環(huán)聯(lián)、鄧百氏等大型的征信機構(gòu)全部采用公司制的治理架構(gòu)，并且，有些征信公司已經(jīng)是上市公司。美國征信機構(gòu)市場化的運作機制，政府并沒有對其具體的內(nèi)控機制進行明確的法律規(guī)定。2.以德國為代表的征信機構(gòu)組織模式以德國為代表的公共征信模式又稱為政府主導的征信模式，即主要是依靠政府的力量建立征信機構(gòu)，政府通過行政手段強制要求個人或企業(yè)向征信機構(gòu)提供其信用信息或數(shù)據(jù)，從而