征信機構根據征信系統的建設、運行和管理情況,建立和完善信息安全管理制度,並定期進行評審和修訂。
征信系統是指征信機構與信息提供者協議約定,或者通過互聯網、政府信息公開等渠道,對分散在社會各領域的企業和個人信用信息,進行采集、整理、保存和加工而形成的信用信息數據庫及相關系統。
《征信機構信息安全規範》從五個方面明確了安全管理要求:
1、征信機構應當建立和完善的各項安全管理制度,包括信息安全工作的總體方針和安全策略、系統建設和運維管理制度、數據管理制度等;
2、征信機構應當設置的安全管理崗位,配備的安全管理人員,對重要的信息安全管理事項應進行授權審批;
3、安全主管、信息安全管理員、部門計算機安全員、技術支持人員、業務操作人員和壹般計算機用戶等六類人員的安全職責和行為規範;
4、征信系統建設管理,包括安全方案設計、產品采購與使用、自主軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、外包及安全服務商管理等內容;
5、征信系統運行維護管理,包括環境管理、設備管理、監控管理與評估、網絡安全管理、系統安全管理、備份與恢復管理、安全事件管理等內容。
安全技術與征信系統采用的技術安全機制有關,通過在信息系統中部署軟硬件並正確的配置其安全功能來實現。
《征信機構信息安全規範》第壹條 標準規定了不同安全保護等級征信系統的安全要求,包括安全管理、安全技術和業務運作三個方面。
標準適用於征信機構信息系統的建設、運行和維護,也可作為各單位開展安全檢查和內部審計的安全依據。接入征
信機構信息系統的信息提供者、信息使用者也可以參照與本
機構有關條款執行,標準還可作為專業檢測機構開展檢測、認證的依據。