征信机构信息安全规范从安全管理、安全技术和业务运作三个方面明确了不同安全保护等级?征信系统的安全要求。
安全管理与征信系统中各种角色参与的活动有关,通过从政策、制度、规范、流程以及记录等各方面作出规定,来控制各种角色的活动。
征信机构信息安全规范从五个方面明确了安全管理要求:一是征信机构应当建立和完善的各项安全管理制度,包括信息安全工作的总体方针和安全策略、系统建设和运维管理制度、数据管理制度等;二是征信机构应当设置的安全管理岗位,配备的安全管理人员,对重要的信息安全管理事项应进行授权审批;三是安全主管、信息安全管理员、部门计算机安全员、技术支持人员、业务操作人员和一般计算机用户等六类人员的安全职责和行为规范;四是征信系统建设管理,包括安全方案设计、产品采购与使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、外包及安全服务商管理等内容;五是征信系统运行维护管理,包括环境管理、设备管理、监控管理与评估、网络安全管理、系统安全管理、备份与恢复管理、安全事件管理等内容。安全技术与征信系统采用的技术安全机制有关,通过在信息系统中部署软硬件并正确的配置其安全功能来实现。
征信机构信息安全规范根据征信系统前、中、后端的不同特性,明确了客户端、通讯网络和服务器端的不同技术要求。在客户端层面,征信机构信息安全规范明确了保障客户端程序和客户端环境安全的技术措施;在通讯网络层面,征信机构信息安全规范规定了信息在网络传输过程中应采用的通讯协议和安全认证方式等要求;在服务器端层面,征信机构信息安全规范提出了物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等方面的要求。?
业务运作旨在规范征信机构的各项业务活动,保障征信信息的安全和合规使用。征信机构信息安全规范对征信机构的业务运作实行全流程管理,涵盖系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查和评估等环节。
征信机构信息安全规范还考虑到征信机构业务模式、业务环节之间的不同,提出了差异化的安全要求。
《征信业务管理办法》以信用信息的采集、整理、保存、加工、提供、信息安全等全流程合规管理为主线,以明确征信业务边界、加强信息主体权益保护为重点。
一是明确信用信息的定义及征信管理的边界。《征信业务管理办法》按照依法采集、为金融等活动提供服务、用于识别判断企业和个人信用状况等三个维度,将符合上述标准的基本信息、借贷信息、其他相关信息,以及基于这些信息的分析评价信息界定为信用信息。从事个人征信业务应当依法取得个人征信许可;从事企业征信业务和信用评级业务应当依法办理备案。
《征信业务管理办法》定义的征信管理范畴不涉及非商业合作的信息服务。比如,国家机关以及法律法规授权的具有管理公共事务职能的组织依职责直接向金融机构提供个人或企业信息的,以及汽车经销商、房产营销中介等市场机构依法代金融机构收集客户信息但并不对客户信息分析处理营利的,不适用本办法。互联网平台开展助贷等相关业务符合征信业务定义的,适用本办法。
二是规范征信业务全流程。《征信业务管理办法》对信用信息采集、整理、保存、加工、提供和使用等征信业务的各个环节进行了明确规定。主要包括:信用信息采集应遵循“最小、必要”原则,不得过度采集;采集个人信用信息应当经信息主体本人同意,并明确告知信息主体采集信用信息的目的;征信机构要对信息来源、信息质量、信息安全、信息主体授权等进行必要的审查;信息使用者使用信用信息要基于合法、正当的目的,并取得信息主体的明确同意授权,不得滥用,等等。
三是强调信用信息安全和依法合规跨境使用。《征信业务管理办法》规定征信机构应当强化信用信息安全管理,明确信息安全负责人、设立专职部门,负责信息安全管理工作;应当加强内部人员信息安全管理,完善信息安全内控制度,防范信息泄露。《征信业务管理办法》允许在保障信息安全前提下,在跨境贸易、投融资等经济金融活动中依法合规使用信用信息。
四是提高征信业务公开透明度。《征信业务管理办法》规定征信机构应客观展示对外提供的信用信息内容,建立评分类产品的评价标准,使评价规则可解释、信息来源可追溯。征信机构应将评分方法、模型、主要维度要素等向人民银行报告,主动向社会公开采集信用信息的类别,信用报告的基本格式和内容,以及异议处理流程等。
本文如未解决您的问题请添加抖音号:51dongshi(抖音搜索懂视),直接咨询即可。