安全管理與徵信系統中各種角色參與的活動有關,通過從政策、制度、規範、流程以及記錄等各方面作出規定,來控制各種角色的活動。
徵信機構信息安全規範從五個方面明確了安全管理要求:一是徵信機構應當建立和完善的各項安全管理制度,包括信息安全工作的總體方針和安全策略、系統建設和運維管理制度、數據管理制度等;二是徵信機構應當設置的安全管理崗位,配備的安全管理人員,對重要的信息安全管理事項應進行授權審批;三是安全主管、信息安全管理員、部門計算機安全員、技術支持人員、業務操作人員和一般計算機用户等六類人員的安全職責和行為規範;四是徵信系統建設管理,包括安全方案設計、產品採購與使用、自主軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、外包及安全服務商管理等內容;五是徵信系統運行維護管理,包括環境管理、設備管理、監控管理與評估、網絡安全管理、系統安全管理、備份與恢復管理、安全事件管理等內容。安全技術與徵信系統採用的技術安全機制有關,通過在信息系統中部署軟硬件並正確的配置其安全功能來實現。
徵信機構信息安全規範根據徵信系統前、中、後端的不同特性,明確了客户端、通訊網絡和服務器端的不同技術要求。在客户端層面,徵信機構信息安全規範明確了保障客户端程序和客户端環境安全的技術措施;在通訊網絡層面,徵信機構信息安全規範規定了信息在網絡傳輸過程中應採用的通訊協議和安全認證方式等要求;在服務器端層面,徵信機構信息安全規範提出了物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等方面的要求。?
業務運作旨在規範徵信機構的各項業務活動,保障徵信信息的安全和合規使用。徵信機構信息安全規範對徵信機構的業務運作實行全流程管理,涵蓋系統接入、系統註銷、用户管理、信息採集和處理、信息加工、信息保存、信息查詢、異議處理、信息跨境流動、研究分析、安全檢查和評估等環節。
徵信機構信息安全規範還考慮到徵信機構業務模式、業務環節之間的不同,提出了差異化的安全要求。
