信息系统安全组织机构

2024-06-06

信息系统安全组织机构（精选4篇）

篇1：信息系统安全组织机构

第 1 页

征信机构信息系统安全及内控机制

—、征信机构信息系统安全等级(一）征信系统的数据安全管理

电子数据安全是征信系统安全管理的重要组成部分需要构建全方位、立体化的征信系统信息安全管理机制。

1.网络访问控制

目前，个人信用信息基础数据库和企业信用信息基础数据库等业务客户端系统同其他大部分业务系统一样，都支持Telnet协议的远程登录方式。网络中任意终端设备在安装相对应的客户端后，理论上即具有远程登录主机的条件。征信机构实行互联网、办公网和业务网物理隔离的三网分离管理模式，网络访问控制清晰且严格，但同一网络间存在计算机互访的条件，如控制不当将为远程入侵留下隐患，直接威胁到数据通信和数据存储机密性的安全。加强网络访问控制，关键是阻止未授权终端接入。在各个使用征信系统业务终端的金融机构的交换机和路由设备中设定多层访问控制列表及划定虚拟局域网，通过授权将指定的业务终端绑定。

2.加强身份认证

身份认证是登录征信系统的必要程序，此要素出现缺陷，将直接影响到数据使用的可控性。而强身份认证则是在其基础上贯彻强化原则，明确各项规章制度在安全管理方面的要求。首先，要强化用户的资格管理。这是经身份认证并登录系统进行操作的基础。用户的建立须经过岗前培训，具备相关从业资格，签订岗位安全责任状、保密责任书及协议等一系列制度要求的程序。其次，要强化用户的口令管理。用户代码及口令是身份认证的体现方式，一个用户代码只限一个用户使用，用户在接到分配的用户代码后，应立即登录系统并修改口令，勤更换，并仅限持有该用户代码的本人掌握。最后，要强化用户的制约管理。合理设定兼岗用户，及时撤销停止使用的用户权限，负责保管密封口令的管理人员不得拥有各级身份认证权限。强身份认证亦可通过安全证书、USB Key(硬件数字证书载体）、智能卡芯片等方式实现，其作用不仅体现在有效防止用户名及密码被盗用方面，更体现在对发生安全风险的责任认定方面。第 2 页

3.数据通信机密性

征信系统采集的各类征信数据信息因与各个机构分别进行沟通协调，导致征信数据信息在通信过程中的加密方式采取不同标准。采用密押设备来统一保证征信数据信息的通信机密性。密押设备应统一定制配发，拥有防撬检测电路，确保密钥及密码算法不会暴露于物理安全的环境之外。密押设备由各征信系统运行部门指定专人配置、维护和保管。可以说，密押设备的应用能有效地保护征信数据信息的通信安全，并与网络访问控制的安全要素息息相关。

4.数据存储机密性

数据存储是数据以某种格式记录在计算机内部或外部存储介质上。与其他安全管理要素相比，强身认证对其保护作用更加明显。对存储在计算机内部的数据，主要是服务器中的数据，要按规定将系统服务器主备机在中心机房安全摆放，设置双M以上门禁；未经主管部门领导批准，非机房工作人员不得进人机房。系统管理员进行系统维护时，应有业务主管或操作员在场，严格控制对数据库的直接操作，并对维护内容作详细记录。

对于存储在计算机外部介质中的数据，如磁盘、U盘、光盘、本地设备等，要严格管理、妥善保存，并实行数据加密制度。征信系统及其导出数据使用的存储介质，应进行严格的病毒检査，防止计算机病毒侵入，禁止在征信系统终端设备上使用非征信系统专用的存储介质，禁止在征信系统及其相关的设备上安装与系统运行无关的软件，最大限度地保证数据存储机密性不受影响。

(二）我国《征信机构管理办法》对征信系统安全等级的规定根据《中华人民共和国中国人民银行法》《征信业管理条例》等法律法规，中国人民银行制定了《征信机构管理办法》，自2013年12月20日起施行。《征信机构管理办法》明确要求设立个人征信机构，应当经中国人民银行批准，且信用信息系统应当符合国家信息安全保护等级二级或二级以上标准。

根据我国《信息安全等级保护管理办法》第二章，等级划分与保护规定：第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社□第六章信息主体权益保护第 3 页

会秩序和公共利益造成损害，但不损害国家安全。对于第二级国家的监督管理要求为，第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

知识链接：中国金融新闻网—11315全国企业征信系统—我国社会征信新模式。我国信息安全等级保护等级划分和监管方式

1.信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

2.信息系统运营、使用单位依据《征信机构管理办法》和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第 4 页

第三級信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系铳运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

二、征信机构内控机制

内控机制建设就是一个组织为了实现既定目标，防范和减少风险的发生，由全体成员共同参与，对内部业务流程进行全过程的介入和监控，采取权力分解、相互制衡手段，制定出完备的制度保证的过程。征信机构是征信体系建设的核心机构，在信用体系的建设中承担重要的职责，其客观公正的评估有赖于内部有效的管理机制。

(一）我国征信机构内控机的相关规定 1.《征信业管理条例》相关规定

2013年3月15日开始实施的《征信业管理条例》第6条规定，设立经营个人征信业务的征信机构，应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件，并经国务院征信业监督管理部门批准：（1)主要股东信誉良好，最近3年无重大违法违规记录；（2)注册资本不少于人民币5 000万元；（3)有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施；（4)拟任董事、监事和高级管理人员符合该条例第8条规定的任职条件；（5)国务院征信业监督管理部门规定的其他审慎性条件。第8条规定，经营个人征信业务的征信机构的董事、监事和高级管理人员，应当熟悉与征信业务相关的法律法规，具有履行职责所需的征信业从业经验和管理能力，最近3年无重大违法违规记录，并取得国务院征信业监督管理部门核准的任职资格。

2.《征信机构管理办法》第 5 页

2013年I2月20日起实施的《征信机构管理办法》第6条规定，设立个人征信机构，除应当符合《征信业管理条例》第6条规定外，还应当具备以下条件：（1)有健全的组织机构；（2)有完善的业务操作、信息安全管理、合规性管理等内控制度；（3)个人信用信息系统符合国家信息安全保护等级二级或二级以上标准。

对于征信机构的业务开拓以及跨域经营等内容，则充分尊重了企业的自主经营权，促使征信机构发挥经营的积极性和主动性。

(二）西方国际征信机构内控机制

征信机构运营模式可以大致划分为两种类型：以美、英为代表的市场主导型和欧洲大陆大多数国家所采纳的政府主导型，其内控机制和管理模式则呈现不同的特点。

1.美国征信机构的市场化的内控模式

美国征信机构组织模式，是蝕立于政府之外的第三方私营机构，将个人信息进行收集、加工后，有偿提供给信息需求者，并且依据市场的需求来完善自己的经营与管理模式，提升运营效率。具有以下几个特点：首先，征信机构私有化。个人征信机构都是由私营的工商企业、征信专业公司、授信机构共同发挥作用的征信主体。其次，独立性强。征信机构既与政府隔离，同时又与其拖市场主体相分离，作为真正意义上的第三方存在。最后，按市场化原则运作。征信机构伴随着信用交易的市场需求产生而产生，随着市场信用交易规模的发展而发展。其公司机制为公司制形式，以营利为目的，以股东利益最大化为前提，股东出资比例决定公司投票权比例，一切决策按照商业化目的进行，服务的范围不受限制。

美国《公平信用报告法》规定，作为个人征信机构，必须同时具备下列5项基本特征：A.消费者信用调查和生产调查报告时期日常业务；B.专门从事收集消费者信用调查或评价消费者信用价值；C.从事有偿服务、以营利为目的；D.服务的目的是向第三方提供消费者信用调查报告；E.向全国市场提供公开的服务，不仅仅向关系企业提供报告服务。第 6 页

在全球征信机构中，像益百利、环联、邓百氏等大型的征信机构全部采用公司制的治理架构，并且，有些征信公司已经是上市公司。美国征信机构市场化的运作机制，政府并没有对其具体的内控机制进行明确的法律规定。

2.以德国为代表的征信机构组织模式

以德国为代表的公共征信模式又称为政府主导的征信模式，即主要是依靠政府的力量建立征信机构，政府通过行政手段强制要求个人或企业向征信机构提供其信用信息或数据，从而建立个人信用信息数据库，并通过法律形式保障信息或数据的真实性。其特点如下：A.具有一定的强制性。通过法律与决议的形式保证个人信用信息的可得性与真实性。B.公私征信机构并存。公共与私营征信机构并立，且互为补充。C.垄断与竞争并存。既有公共征信机构对个人基本信用信息的垄断，又有私营机构间的竞争。

政府主导的征信机构征信模式，虽然体现政府对于征信机构数据的来源和分享有一定的强制性，但是对征信机构的日常运行管理，则干预较少。

篇2：信息系统安全组织机构

为保障松江区医疗机构网络信息系统安全稳定地运行，加强计算机信息网络的管理，促进卫生信息化建设，确保各医疗机构（医院和社区卫生服务中心）正常开展医疗卫生服务，现将有关事项规定如下：

一、网络信息安全管理组织

各医疗机构应成立信息安全工作领导小组，确定第一责任人、责任部门；成立信息安全应急响应小组；确定信息安全专管人员，明确责任，并定期检查、督促落实。

二、计算机机房安全管理规定

1、做好中心机房安全保卫工作，机房无人时应及时上锁。机房管理人员必须遵守国家有关法律、法规，认真执行机房管理制度、安全等级保护制度等各项规章制度，认真地做好本职工作，保障系统正常、安全、可靠地运行。

2、机房门钥匙、电子令牌及设备机柜钥匙应由机房管理人员集中保管，不经允许不得转让他人。进入机房所有人员，应填写中心机房进出登记簿，以备记录。外来人员参观主机房，必须经有关领导批准并办理登记手续。未经机房管理人批准，非相关人员不得进入中心机房。

3、严禁在机房内计算机上擅自运行外来的光盘、软盘。若工作确需使用，应报告机房管理员，并严格进行病毒检测后方可使用。

4、处理涉及敏感信息事务时，不得接待参观人员，非相关人员不得靠近观看，无关人员不得擅自操作机房设备。

5、所有设备要制定严格的符合安全要求的口令，口令要严格管理，定期更换。

6、未经允许，机房内部设备情况、机器性能、网络地址、使用的程序及业务处理范围，一律不准对外传播、解答。

7、机房管理员应做好计算机相关资料如操作系统、业务程序、业务源程序等书面资料、磁介质的保管工作。相关工作人员如需借阅资料，应至机房管理人员处按规定办理借阅手续。

8、机房内所有设备应严格管理，各种设备、材料要登记在帐，并由机房管理员负责。机房设备由专人操作、管理，专机专用，设定用途的设备一般不得用作其他用途。

9、机房内严禁存放易燃易爆物品，严禁使用明火或吸烟，消防器材应固定位置存放，不得随意挪动。

10、严禁携带大头针、曲别针、强磁性物品、带灰尘物品进入中心机房。中心机房内不得有卫生死角、可见灰尘；调节适合计算机的温度、湿度；门窗密封，防止外来粉尘污染。

11、设立机房安全防火人员，并加强安全防火教育，学好安全防火条例，严肃纪律，提高思想认识，发现安全隐患及时向机房管理人员汇报并解决问题。

12、机房管理人员要严格执行以上操作规程，不得违章操作，如发现异常应立即向系统安全管理人员报告，并认真做好记录，配合应急响应小组采取相应应急措施。

三、网络设备管理规定

1．医疗机构必须实现内外网隔离（此处将医院核心业务局域网、松江卫生专网称为“内网”，医疗机构行政办公局域网与互联网称为“外网”），确实没条件实现物理隔离的，过渡期可以使用划分不同VLAN的方式使用交换机，严禁混用内外网交换机、集线器；

2．网络设备应统一配置和安装，由专人进行参数设置和管理，并形成记录；

3．路由器、交换机等网络设备应固定在机房、分机房或设备间，应放置于一般人不易触及的地方；

4．监护室、急救室等场所慎用无线网络设备； 5．发现不能正常工作的设备应及时更换； 6．应该使用由有关部门安全认证的网络安全设备；

7．网络安全设备由专人负责其参数的设置和管理，定期升级。

四、服务器与存储安全管理规定

1．服务器与存储设备应由专人负责，并记录详细的运行维护日志记录；未经主管同意，其他人员不得对服务器/存储进行操作；

2．应由专人定期对服务器和存储设备进行检测维护,做好记录，发现异常及时通知主管；

3．提供关键服务和涉及核心机密数据的服务器（如数据库服务器、应用服务器）必须采用在线双机热备方案，确保关键服务的连续性和稳定性，并做好防病毒工作和安全防护工作；

4．服务器管理员密码仅限管理员及信息主管掌握，密码必须定期更改，并有书面记录，严格保管；

5．PC服务器必须每月进行一次常规性检查和重启，小型机必须每三个月进行一次常规检查和必要的重启；

6．服务器和存储设备的维护和升级必须有预案和实施记录。

五、网络工作站管理规定

1．对各工作站应进行编号，登记在册，统一管理；严禁使用未经检查的工作站。空闲工作站不得接入网络，备用工作站只在需要时才允许接入网络，平常必须保持断开状态。空闲和备用工作站应有明确标识；

2．工作站必须设置密码，密码包括开机密码、登陆网络密码和屏幕保护密码；

3．业务网内工作站应保证专机专用，不做与业务无关的事； 4．操作人员不得更改系统配置，不得擅自安装软件。应用软件必须由技术管理部门负责安装；

5．操作人员不得擅自增减硬件设备，如果出现硬件故障，应及时与管理员联系，由管理员进行维护；

6．原则上工作站不能安装光驱、软驱、外接存储设备； 7．操作人员应定期对工作站进行清洁；

8．未经主管领导同意，各部门不得私自将设备接入业务网。

六、网络工作人员管理规定 1．网络技术人员职责

（1）在信息科主任或计算机室主任的领导下进行工作；（2）负责“网络系统”的运行监护、及时维护和数据备份，保证网络正常运转；

（3）负责网络中心和各工作站系统软件、应用软件的安装、调试和维护。负责各用户软件权限的分配、授权，严格注意口令的保密；

（4）负责对网络工作站操作员的培训、技术指导工作；（5）妥善保管光盘、软盘、磁带、资料、修理工具等物品；（6）检查网络工作站运行情况，发现问题及时纠正，遇有重大问题，及时报告；

（7）负责“网络系统”的逐步拓展和新增功能模块的应用；（8）积极钻研计算机网络和医疗信息管理业务，不断提高业务水平。

2．系统管理员职责

（1）负责服务器、备用服务器及网络重要设备的软、硬件安全保护，要求责任心强、业务精；

（2）负责操作系统、数据库的密码设置，及时更新密码，并详细记录密码内容、更新时间，更新后及时将密码报告信息科负责人；

（3）负责用户字典的维护，负责上网人员的用户权限分配，并详细登记；

（4）负责“网络系统”的数据备份、介质存放；（5）每天登记服务器、备用服务器运行状况；（6）系统出现重大故障时，及时报告有关负责人；

（7）建立专柜保存服务器、备用服务器等各项文档及系统重要资料。

七、“第三方”访问管理规定 1．“第三方”定义

“第三方”为除医疗机构内与“网络系统”相关的操作、管理和咨询人员以外的所有人员，即包括医疗机构外的系统开发供应商、交流访问人员、咨询人员、病人及其家属以及医疗机构内与“网络系统”无关的人员。

2．系统定义

用于信息化建设的所有网络布线、网络设备、计算机设备、计算机外围设备、数据库以及在系统上运行的所有数据和程序。其中包括医院管理信息系统（HMIS）、医学影像系统（PACS）、办公自动化系统（OA）等。

3．实体访问的规定

所指的实体为中心机房、信息科以及计算机设备专用场所或柜子，同时包括所有系统操作终端所在部门或房间，这些场所必须建设为可封闭场所（即有门及门锁），并挂牌告示，钥匙由专人保管并记录在案。明确在非工作时间这些场所为保安巡视点。

“第三方”在工作时间未经允许不得进入上述场所；如进入必须由医疗机构内相关人员全程陪同，不允许“第三方”人员单独滞留。“第三方”如在滞留期间未经允许不得查看、使用场所内任何设施或文档。在非工作时间原则上不允许“第三方”进入，如确有需要则必须通知总值班由相关人员全程陪同并记录在案。

4．逻辑访问的规定

“第三方”原则上不允许操作、访问“网络系统”，如确有需要则必须在相关人员的全程陪同下使用系统的最低权限用户（如guest）进入系统进行所允许的操作。如果无最低权限用户而使用了其他用户进入系统，在“第三方”离开后必须立即更改密码。

“第三方”在访问系统期间，未经许可不允许使用任何方法（如拷贝磁盘、刻录光盘、打印数据、手工记录等）带走任何数据和程序。

八、网络信息系统应急事故处理管理规定

在系统中建立完备的事故应急响应处理规定，包括以下几点：

1、系统用户发现系统运行可疑现象后，应立即报告本部门系统安全管理员；

2、系统安全管理员应尽可能采取相应措施保护现场，并在半小时内向应急响应小组进行报告，同时报本部门安全主管领导；

3、应急响应小组应在一小时内确定现象的性质，并采取措施，收集现场数据，避免严重安全后果的发生，同时，对于安全事故，要上报信息安全领导小组；

4、安全领导小组根据事故的性质，向相应的主管部门进行报告。

5、汇报完毕，将事故定性之后，接到上级指示，对于被破坏的系统和数据，采取可行的措施进行恢复，使之重新正常运行。

6、对安全事件进行总结，用于指导今后的应急；对于严重的安全事件，必要时申请司法程序介入。

篇3：信息系统安全组织机构

为了切实做好试验室信息化建设工作，落实试验室信息化工作责任，特此成立试验室信息化工作领导小组。以确保实验室信息化工作的稳步推进，具体内容如下：

一、组织机构

项目负责人：王雄

梁场负责人：张能平、李望

二、主要职责

1、在信息化主管的领导下，认真执行有关指标和规章制度，学习业务知识，提高业务水平。

2、试验后24小时内上传数据，如遇到系统、设备故障应及时上报并通知设备软件厂商处理。

3、通过信息管理系统监控梁场内试验室试验检测数据和生产数据，对不合格数据进行跟踪处理。

4、对梁场内试验室不良行为记录等信息进行管理，将重大问题及时汇报领导处理。

5、每周对梁场内不合格数据处理情况进行统计分析，向上级部门提交分析及处理报告，对发现的问题应及时督促整改。

三、不合格数据处理流程

篇4：征信机构信息安全规范

一、总则

1.1标准适用范围

标准规定了不同安全保护等级征信系统的安全要求，包括安全管理、安全技术和业务运作三个方面。

标准适用于征信机构信息系统的建设、运行和维护，也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行，标准还可作为专业检测机构开展检测、认证的依据。

1.2相关定义

（一）征信系统：征信机构与信息提供者协议约定，或者通过互联网、政府信息公开等渠道，对分散在社会各领域的企业和个人信用信息，进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。

（二）敏感信息：影响征信系统安全的密码、密钥以及业务敏感数据等信息。

1、密码包括但不限与查询密码、登录密码、证书的PIN等。

2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。

3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。

（三）客户端程序：征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能（如数据采集）的程序，并提供必需功能的组件，包括但不限于：可执行文件、控件、浏览器插件、静态链接库、动态链接库等（不包括IE等通用浏览器）；或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。

（四）通讯网络：通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连，征信系统安全设计应在考虑建设成本、网络便利性等因素的同时，采取必要的技术防护措施，有效应对网络通讯安全威胁。

（五）服务器端：服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序，征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等，在外部威胁和受保护的资源间建立多道严密的安全防线。

1.3总体要求

本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。

（一）安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。

（二）安全技术从客户端、通讯网络、服务器端等方面提出要求。

（三）业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。

二、安全管理

2.1安全管理制度

征信机构根据征信系统的建设、运行和管理情况，建立和完善信息安全管理制度，并定期进行评审和修订。2.1.1内部管理制度基本要求：

（一）应制定信息安全工作的总体方针和安全策略，说明本机构安全工作的总体原则、目标、范围和安全框架等；

（二）应建立征信系统建设和运维管理制度，对机房管理、资金安全、设备管理，网络安全和系统安全等方面做出明确规定。

（三）应建立征信系统安全审批流程，系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批，并确认签字。

（四）应对安全管理人员及操作人员执行的重要操作建立操作规程，并进行定期培训。

（五）应建立日常故障处理流程，重要岗位应建立双人负责制。

（六）应建立软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。

（七）应建立数据库管理制度，对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。

（八）应建立外包服务管理、外部人员访问等方面的管理制度，对外部人员对本机构内的活动进行规范化管理。

（九）应建立突发事件及重大事项报告制度，对外部人员在本机构内的活动进行规范化管理。

（十）应建立突发事件应急预案制度，有效避免事故造成的危害。

（十一）应建立信息安全检查制度，定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作，主动接受和配合中国人民银行及其派出所机构的安全检查。增强要求：

（一）应建立征信系统建设工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

（二）应建立密码使用、变更管理及数据备份与恢复等方面的管理制度，对系统运行维护过程中重要环节的审批与操作等作出的明确规定。

（三）应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。2.1.2安全审计制度基本要求：

（一）应建立信息安全内部审计制度，定期可能带来信息安全风险的因素进行审计和评估，个人征信机构每年至少1次，企业征信机构每年至少1次。

（二）应对安全管理制度的制定和执行情况进行审计，审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度，安全管理制度的执行情况，是否定期对制度进行评审和修订。

（三）应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计，审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。

（四）应对业务操作进行审计，审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。

（五）审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息；应保护系统中的审计记录，避免收到未预期的删除、修改或覆盖等，保存期至少半年；纸质版审计记录保存期应不少于三年。增强要求：

（一）应定期委托外部专业机构，有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。

（二）在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。

2.2安全管理机构

征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组，并制定专门的部门负责信息安全管理工作。2.2.1岗位设置基本要求：

（一）应设立安全主管、信息安全管理岗位，明确安全主管和信息安全管理员的岗位职责。

（二）应设立安全管理员、网络管理员、数据库管理员等岗位，并定义各工作岗位的职责。

（三）除科技部门以外，其他部门应设置部门计算机安全员。增强要求：

（一）应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。

（二）应建立数据安全管理组织，明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任，确保有效落实和推进数据安全的相关工作。2.2.2人员配备基本要求：

（一）应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。

（二）安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。

（三）信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。增强要求：

关键事务岗位。如信息安全管理员、数据库管理员等，应配备至少两人，且互为A、B角共同管理。2.2.3授权和审批基本要求：

（一）应根据各部门和岗位的职责明确授权审批部门和审批人。

（二）应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程，由责任人审批后方可进行，对重要活动应建立逐级审批制度。

（三）应记录审批过程并保存审批文档。增强要求：

应每年审查审批事项，及时更新需授权和审批的项目、审批的部门和审批人等信息。2.2.4沟通与合作基本要求：

（一）应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。

（二）应加强与同业机构、通讯服务商及监管部门的合作与沟通。增强要求：

（一）在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议，共同协作处理信息安全问题。

（二）应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。2.3人员管理

征信机构应加强人员安全管理，明确不同岗位的职责，规范人员录用、离岗、考核和培训等工作。2.3.1安全主管基本要求：

（一）应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。

（二）安全主管可由信息安全管理部门的相关领导担任，也可指定专人担任，主要履行以下职责：

1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。

2、将征信机构信息安全领导小组讨论形成的安全决策，分解为安全任务部署落实。

3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。

4、对征信机构内部其他信息安全相关管理事项进行审批。

（三）安全主管调岗位时。应办理交接手续，并履行其调离后的保密义务。增强要求：

安全主管应加强信息安全知识的学习和技能掌握，及时关注国内外信息安全动态，为加强和改进本机构的信息安全管理工作提供合理化建议。2.3.2信息安全管理员基本要求：

（一）应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。

（二）信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。

（三）信息安全管理员应履行以下职责：

1、在安全主管的指导下，具体落实各项安全管理工作，并协调各部门计算机安全员开展工作。

2、在安全主管的指导下，组织相关人员审核本机构信息化建设项目中的安全方案，组织实施安全项目建设、维护、管理信息安全专用设施。

3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。

4、负责本机构计算机系统部署上线前的安全自测试方案的审核。

5、定期检查网络和征信系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见，统计分析和协调处置信息安全事件。

6、定期组织信息安全宣传教育活动，与相关部门配合开展信息安全检查，（四）信息安全管理员调离岗位时，应办理交接手续，并履行其调离后的保密义务。增强要求：

信息安全管理员应增加信息安全知识学习和技能掌握，及时关注国内外信息安全动态，为贯彻落实本机构的信息安全策略和方案提出合理化建议。2.3.3部门计算机安全员基本要求：

（一）各部门的计算机安全员应由较熟悉计算机知识的人员担，并报信息安全管理部备案，如有变更应及时通报信息安全管理部门。

（二）部门计算机安全员因积极配合信息安全管理员的工作，各部门应优先选派部门计算机安全员参加信息安全技术培训。

（三）部门计算机安全员应履行以下职责：

1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范，系统故障应急处理、移动存介质管控等工作。

2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求，及时与信息安全管理部门沟通本部门信息安全情况，做好信息安全通报工作，发现情况及时向信息安全管理部门报告，3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理，组织开展本部门信息安全自查，协助信息安全管理部门完成本机构的信息安全检查工作。

（四）部门计算机安全员调离岗位时，办理交接手续，并履行其调离后的保密义务。增强要求：

部门计算机安全员每年至少参加一次信息安全培训，积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。2.2.4技术支持人员基本要求：

（一）内部技术人员（本机构正式员工，负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员，若系统管理员、数据库管理员等）在落实征信系统建设和日产维护工作过程中，履行以下职责：

1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。

2、严格权限访问，未经业务部门书面授权和本部门领导批准，不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。

3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况，定期进行风险评估、应急演练，发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。

（二）外部技术人员（非本机构人员）应履行服务外包合同（协议）中的各项安全承诺，在提供技术服务期间，严格遵守征信机构相关安全规定与操作规程。增强要求：

外部技术支持人员未经业务部门书面授权和所在部门领导批准，不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等，确需接触、查看或修改时，须取得业务部门书面授权和所在部门领导批准，并在内部技术人员在场陪同下，方可进行。2.2.5业务操作人员基本要求：

（一）业务操作人员（指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员，包括业务管理员、一般业务操作员）应履行以下职责：

1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据，严禁各种违规操作。

2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据，防止征信信息外泄。

3、妥善保管好征信系统的账户和密码，并按要求定期更换密码，禁止将账户和密码提供给他人使用。