来源:《中国征信》杂志2015年第2期 作者 谢业华 ,感谢原创
2014年11月17日,征信行业标准《征信机构信息安全规范》(以下简称《规范》)颁布实施,这是人民银行继2013年颁布《征信机构管理办法》(以下简称《办法》)后,为贯彻实施《征信业管理条例》(以下简称《条例》)、促进征信市场健康发展而推出的又一举措。信息安全是征信机构赖以生存的基础,《规范》为征信机构信息安全管理提供了科学依据。
《规范》的出台背景
贯彻落实《条例》和《办法》的要求
《条例》和《办法》对征信机构信息安全作了原则性规定,要求征信机构建立健全并严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全。根据《条例》和《办法》规定,需要对征信机构的信息安全管理制度和措施进行细化,明确征信机构安全管理、技术安全和业务操作等方面的要求,逐步完善《条例》和《办法》的配套制度和实施细则,促进《条例》和《办法》的真正落实。
规范征信机构业务活动、促进征信业健康发展的需要
征信机构是专门从事信用信息服务的机构,其信息来源广泛,涉及信息主体和信息使用者众多。征信机构依托计算机技术和互联网,建立起覆盖经济社会各领域的信用信息网络,为信用交易和社会管理提供决策参考。鉴于征信业务活动的复杂性,需要建立和完善征信业信息安全等级保护制度,保障征信信息安全和征信系统服务的连续性,促进征信业健康规范发展。
保护信息主体合法权益的需要
在征信业务活动中,征信机构采集了大量个人和企业信息储存在征信系统中,如个人身份信息、信贷信息、信用交易信息、公共事业缴费信息,企业基本信息、财务信息、经营与决策信息、行政处罚信息等。一些新型征信机构还开始采集信息主体的消费信息、社交信息以及位置信息等。这些信息涉及信息主体社会经济生活的方方面面,一旦发生信息泄露,将会侵害信息主体权益,甚至危及社会稳定。因此,有必要制定《规范》,防范信息滥用和信息泄露事件发生,维护信息主体合法权益。
《规范》的编制原则
充分借鉴国外信息安全标准
发达国家征信业起步较早,在信息安全管理方面积累了有益经验。一些标准化组织、行业协会发布的信息安全标准,成为企业加强信息安全管理的重要依据,如国际标准化委员会和国际电工委员会于2005年发布了信息安全系列标准(ISO/IEC 27000系列)。另外,一些大型征信机构制定的信息安全标准也在行业内产生了深远的影响,如益佰利的《益百利全球安全条款和标准》。《规范》参考了国内外多个信息安全标准,吸收了国外征信机构信息安全管理的先进做法。
符合中国征信市场发展实际
中国征信业经过二十多年的发展,初步形成了金融信用信息基础数据库与社会征信机构并存的市场格局。在社会信用体系建设深入推进和《条例》颁布实施的背景下,民间资本对征信业表现出浓厚的兴趣,大数据公司、互联网企业和金融门户网站纷纷出资设立征信机构,部分原本从事其他行业的企业也尝试转型为征信机构,征信市场主体日趋多元化。《规范》充分考虑征信机构在发展历程、资本实力、业务规模、安全管理水平等方面的差异,兼顾个人和企业征信机构在系统和业务流程方面的异同,明确了不同征信系统的通用性安全要求。
与国家信息安全主管部门规定相衔接
国家信息安全主管部门先后出台了系列信息安全相关的法律制度和国家标准,建立了行业通用的信息安全等级保护制度,明确了信息系统的五级划分依据及不同等级信息系统所应达到的安全要求。《规范》在管理思路上与国家信息安全主管部门规定相一致,按照“定级备案—建设整改—等级测评—监督管理”流程对征信系统实行安全等级保护。《规范》还根据征信机构的特殊性,对信息安全国家标准的通用性规定进行了行业化处理,有针对性地增加了业务运作要求,既贯彻了国家信息安全主管部门规定,又体现了行业特色。
《规范》的适用范围
《规范》的适用主体包括征信机构、接入征信机构信息系统的信息提供者和信息使用者以及第三方测评机构。
征信机构
征信机构是《规范》的适用主体。征信机构应当按照《规范》要求开展信息安全等级保护工作。征信系统安全等级保护主要包括三个方面:一是定级备案,二是建设整改,三是等级测评。中国人民银行依法对征信机构信息系统安全等级保护工作情况进行监督检查。《规范》还可作为征信机构开展安全检查和内部审计的安全性依据。
信息提供者和信息使用者
接入征信机构信息系统的信息提供者和信息使用者可参照《规范》中与本机构相关的条款执行。一是征信机构应当要求接入征信系统的信息提供者、信息使用者建立完善的数据报送和查询管理制度、用户管理制度,符合《规范》关于客户端安全和通讯网络安全的规定;二是部分金融机构建立了内部征信管理系统,存储和处理从征信机构获取的信用信息。这些金融机构应当参照《规范》,完善内部管理制度和业务操作流程,采取有效技术措施,保障信用信息安全。
测评机构
第三方测评机构可以将《规范》作为开展征信系统测评和认证的依据。一是测评机构应当取得国家信息安全主管部门认可的测评资质;二是测评机构在人员安全、过程安全、测评对象安全、工具安全等方面应符合国家信息安全主管部门的有关规定;三是征信系统测评应当以《规范》明确的安全要求为测评和认证依据。
《规范》的总体要求
《规范》以建立征信业信息安全等级保护制度为目的,要求征信机构对信息系统进行定级备案、建设整改以及等级测评,并明确不同安全保护等级征信系统所应达到的安全要求。
定级备案
《信息安全等级保护管理办法》(公通字﹝2007﹞43号)将信息系统安全保护等级分为五级,级别越高则安全保护要求越高。《规范》对征信系统的定级建议为第一级到第四级,征信机构可依据有关规定对业务信息安全和征信系统服务安全分别定级,征信系统的安全保护等级由二者中等级较高者决定。基于当前我国征信市场所处的发展阶段和征信机构信息安全管理实际,《规范》以第二级和第三级的征信系统为规范重点。征信系统安全保护等级确定后,应按照《规范》要求报中国人民银行备案。
建设整改
征信系统安全保护等级确定后,征信机构应当按照《规范》明确的管理、技术和业务运作要求,使用符合国家有关规定、满足征信系统安全保护等级需求的信息技术产品,开展征信系统安全建设或改建工作。《规范》根据《办法》规定,对个人征信系统的安全保护等级规定应达到二级或以上。对企业征信系统,《规范》允许征信机构自行确定企业征信系统的安全保护等级。同时,《规范》鼓励征信机构根据业务范围、服务对象、信息规模的发展变化,提高征信系统的安全保护等级。
等级测评
征信机构应通过自评估或委托评估方式,对征信系统是否符合《规范》要求进行测评。《办法》规定,征信机构在申请个人征信业务经营许可或者办理企业征信业务备案时,应提交第三方测评机构出具的测评报告。《规范》进一步明确,征信机构应定期对征信系统安全等级状况开展测评,第二级征信系统应每两年进行一次测评,第三级征信系统应每年进行一次测评。其中,个人征信系统应选择具有国家信息安全等级保护测评资质的机构进行测评,第二级以上的企业征信系统也应委托专业测评机构进行测评,第二级以下(含二级)的企业征信系统可由征信机构自主测评。
《规范》的主要内容
《规范》从安全管理、安全技术和业务运作三个方面明确了不同安全保护等级征信系统的安全要求。
安全管理
安全管理与征信系统中各种角色参与的活动有关,通过从政策、制度、规范、流程以及记录等各方面作出规定,来控制各种角色的活动。《规范》从五个方面明确了安全管理要求:一是征信机构应当建立和完善的各项安全管理制度,包括信息安全工作的总体方针和安全策略、系统建设和运维管理制度、数据管理制度等;二是征信机构应当设置的安全管理岗位,配备的安全管理人员,对重要的信息安全管理事项应进行授权审批;三是安全主管、信息安全管理员、部门计算机安全员、技术支持人员、业务操作人员和一般计算机用户等六类人员的安全职责和行为规范;四是征信系统建设管理,包括安全方案设计、产品采购与使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、外包及安全服务商管理等内容;五是征信系统运行维护管理,包括环境管理、设备管理、监控管理与评估、网络安全管理、系统安全管理、备份与恢复管理、安全事件管理等内容。
安全技术
安全技术与征信系统采用的技术安全机制有关,通过在信息系统中部署软硬件并正确的配置其安全功能来实现。《规范》根据征信系统前、中、后端的不同特性,明确了客户端、通讯网络和服务器端的不同技术要求。在客户端层面,《规范》明确了保障客户端程序和客户端环境安全的技术措施;在通讯网络层面,《规范》规定了信息在网络传输过程中应采用的通讯协议和安全认证方式等要求;在服务器端层面,《规范》提出了物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等方面的要求。
业务运作
业务运作旨在规范征信机构的各项业务活动,保障征信信息的安全和合规使用。《规范》对征信机构的业务运作实行全流程管理,涵盖系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查和评估等环节。《规范》还考虑到征信机构业务模式、业务环节之间的不同,提出了差异化的安全要求。例如,在系统接入上,对接口方式和非接口方式两种接入模式进行区别对待;在用户管理上,明确征信机构和征信系统接入机构的不同职责,内部用户管理较之外部用户更为严格;在信息查询上,对单笔查询和批量查询设置不同的校验规则等。
征信宝(zhengxinbao.com) 微信号 ixinyong ,关于一切信用和信用的一切.