敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
密码包括但不限与查询密码、登录密码、证书的PIN等。
密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。 (一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。 (二)安全技术从客户端、通讯网络、服务器端等方面提出要求。 (三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。 (四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。 (五)应建立日常故障处理流程,重要岗位应建立双人负责制。 (六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。 (七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。 (十)应建立突发事件应急预案制度,有效避免事故造成的危害。 (十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。
客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
具备完整的征信服务流程和运营方案
取得当地网监部门的备案同意方可进行材料报备