征信机构信息安全规范从安全管理、安全技术和业务运作三个方面明确了不同安全保护等级?征信系统的安全要求。
安全管理与征信系统中各种角色参与的活动有关,通过从政策、制度、规范、流程以及记录等各方面作出规定,来控制各种角色的活动。
征信机构信息安全规范从五个方面明确了安全管理要求:一是征信机构应当建立和完善的各项安全管理制度,包括信息安全工作的总体方针和安全策略、系统建设和运维管理制度、数据管理制度等;二是征信机构应当设置的安全管理岗位,配备的安全管理人员,对重要的信息安全管理事项应进行授权审批;三是安全主管、信息安全管理员、部门计算机安全员、技术支持人员、业务操作人员和一般计算机用户等六类人员的安全职责和行为规范;四是征信系统建设管理,包括安全方案设计、产品采购与使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、外包及安全服务商管理等内容;五是征信系统运行维护管理,包括环境管理、设备管理、监控管理与评估、网络安全管理、系统安全管理、备份与恢复管理、安全事件管理等内容。安全技术与征信系统采用的技术安全机制有关,通过在信息系统中部署软硬件并正确的配置其安全功能来实现。
征信机构信息安全规范根据征信系统前、中、后端的不同特性,明确了客户端、通讯网络和服务器端的不同技术要求。在客户端层面,征信机构信息安全规范明确了保障客户端程序和客户端环境安全的技术措施;在通讯网络层面,征信机构信息安全规范规定了信息在网络传输过程中应采用的通讯协议和安全认证方式等要求;在服务器端层面,征信机构信息安全规范提出了物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等方面的要求。?
业务运作旨在规范征信机构的各项业务活动,保障征信信息的安全和合规使用。征信机构信息安全规范对征信机构的业务运作实行全流程管理,涵盖系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查和评估等环节。
征信机构信息安全规范还考虑到征信机构业务模式、业务环节之间的不同,提出了差异化的安全要求。