征信机构信息安全规范 一、总则 1.1 标准适用范围 标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。 标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。 1.2 相关定义 (一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。 (二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的PIN 等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。 (三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括 IE 等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。 (四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。 (五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复 技术等,在外部 威胁和受 保 护的资 源 间 建立多 道 严 密 的安全防线。 1.3 总体要求 本标 准 从 安全管 理、安全技术和业务运 作 三个方面 提出 征信系统的安全要求。 (一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。 (二)安全技术从客户端、通讯网络、服务器端等方面提出要求。 (三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保...
