返回
征信机构信息系统安全及内控机制

征信机构信息系统安全及内控机制

ID:35491267

大小:58.26 KB

页数:6页

时间:2019-03-25

征信机构信息系统安全及内控机制_第1页
征信机构信息系统安全及内控机制_第2页
征信机构信息系统安全及内控机制_第3页
征信机构信息系统安全及内控机制_第4页
征信机构信息系统安全及内控机制_第5页
资源描述:

《征信机构信息系统安全及内控机制》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、征信机构信息系统女全及内控机制—、征信机构信息系统安全等级(-)征信系统的数据安全管理电子数据女全是征信系统安全管理的重要组成部分需要构建全方位、立体化的征信系统信息安全管理机制。1.网络访问控制口前,个人信用信息基础数据库和企业信用信息基础数据库等业务客户端系统同其他大部分业务系统一样,都支持Telnet协议的远程登录方式。网络中任意终端设备在女装相对应的客户端后,理论上即具有远程登录主机的条件。征信机构实行互联网、办公网和业务网物理隔离的三网分离管理模式,网络访问控制清晰且严格,但同一网络间存在计算机互访的条件,如控制

2、不当将为远程人侵留下隐患,直接威胁到数据通信和数据存储机密性的安全。加强网络访问控制,关键是阻止未授权终端接入。在各个使用征信系统业务终端的金融机构的交换机和路由设备屮设定多层访问控制列表及划定虚拟局域网,通过授权将指定的业务终端绑定。2.强身份认证身份认证是登录征信系统的必要程序,此要素出现缺陷,将直接影响到数据使用的可控性。而强身份认证则是在其基础上贯彻强化原则,明确各项规章制度在女全管理方而的要求。首先,要强化用户的资格管理。这是经身份认证并登录系统进行操作的基础。用户的建立须经过岗前培训,具备相关从业资格,签订岗位

3、女全责任状、保密责任书及协议等一系列制度要求的程序。其次,要强化用户的口令管理。用户代码及口令是身份认证的体现方式,一个用户代码只限一个用户使用,用户在接到分配的用户代码后,应立即登录系统并修改口令,勤更换,并仅限持有该用户代码的木人掌握。最后,要强化用户的制约管理。合理设定兼岗用户,及时撤销停止使用的用户权限,负责保管密封口令的管理人员不得拥有各级身份认证权限。强身份认证亦可通过安全证书、USBKey(硬件数字证书载体)、智能卡芯片等方式实现,其作用不仅体现在有效防止用户名及密码被盗用方而,更体现在对发生安全风险的责任认

4、定方而。1.数据通信机密性征信系统釆集的各类征信数据信息因与各个机构分别进行沟通协调,导致征信数据信息在通信过程屮的加密方式采取不同标准。釆用密押设备來统一保证征信数据信息的通信机密性。密押设备应统一定制配发,拥有防撬检测电路,确保密钥及密码算法不会暴露于物理安全的环境之外。密押设备由各征信系统运行部门指定专人配置、维护和保管。可以说,密押设备的应用能有效地保护征信数据信息的通信安全,并与网络访问控制的安全要索息息相关。2.数据存储机密性数据存储是数据以某种格式记录在计算机内部或外部存储介质上。与其他女全管理要素相比,强身

5、认证对其保护作用更加明显。对存储在计算机内部的数据,主要是服务器屮的数据,要按规定将系统服务器主备机在屮心机房女全摆放,设置双M以上门禁;未经主管部门领导批准,非机房工作人员不得进人机房。系统管理员进行系统维护时,应有业务主管或操作员在场,严格控制对数据库的直接操作,并对维护内容作详细记录。对于存储在计算机外部介质中的数据,如磁盘、U盘、光盘、本地设备等,要严格管理、妥善保存,并实行数据加密制度。征信系统及其导出数据使用的存储介质,应进行严格的病毒检査,防止计算机病毒侵入,禁止在征信系统终端设备上使用非征信系统专用的存储介

6、质,禁止在征信系统及其相关的设备上安装与系统运行无关的软件,最人限度地保证数据存储机密性不受影响。(二)我国《征信机构管理办法》对征信系统安全等级的规定根据《中华人民共和国中国人民银行法》《征信业管理条例》等法律法规,中国人民银行制定了《征信机构管理办法》,自2013年12月20日起施行。《征信机构管理办法》明确要求设立个人征信机构,应当经屮国人民银行批准,且信用信息系统应当符合国家信息安全保护等级二级或二级以上标准。根据我国《信息安全等级保护管理办法》第二章,等级划分与保护规定:第二级,信息系统受到破坏后,会对公民、法人

7、和其他组织的合法权益产生严重损害,或者对社□第六章信息主体权益保护会秩序和公共利益造成损害,但不损害国家女全。对于第二级国家的监督管理要求为,第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息女全监管部门对该级信息系统信息女全等级保护工作进行指导。知识链接:中国金融新闻网一11315全国企业征信系统一我国社会征信新模式。我国信息安全等级保护等级划分和监管方式1•信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及

8、公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的女全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。