征信系统用户信息管理自查的报告(精选11篇)
按照《中国人民银行合肥中心支行办公室转发中国人民银行办公厅关于加强征信系统查询用户信息管理的通知》(合银办【2017】208号),XX支行对自开展征信系统工作以来进行全面自查,现将自查情况报告如下:
1、我支行在使用征信系统时,严格按照XX银行征信系统管理办法,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询账号严格保密,密码定期修改。
2、我支行征信系统管理人员为XX,账号密码按月修改,严格保密,不存在多人共用一个账号的情况。
3、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订征信查询授权书,按照被查询者授权的查询原因,进行授权内查询,做到无无权查询和越权查询。并对每一笔查询结果做到保密制度,切实维护被查询者的个人隐私。
4、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、身份证号码、查询原因、查询人和征信使用人,对每笔查询记录逐笔登记,留存征信查询授权书复印件,并按月装订保管。
5、对个人贷款户进行贷后管理查询,严格按照主管授权制度,对每笔需要贷后检查的个人征信查询,按照先登记授权,有行长签字审批后再查询的原则办理查询业务。
6、自使用征信系统以来,我支行并未发生将个人或企业信用信息告诉第三方的情况,也未发生违规向客户提供信用信息或违规提供查询获得的客户信用报告。
7、现我支行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我支行对其查询报告进行销毁,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。
美国“棱镜门”事件的爆发,使得信息安全问题日益突出并受到高度重视,2014年2月27日,中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,指出“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”。一直以来,信息安全防御理念还主要关注于常规的防火墙、IDS、漏洞扫描等边界安全设备防护方面,而据统计约有七成以上的信息安全问题是由于内网用户终端系统的脆弱性及配置不当造成的,诸如缺少补丁,脆弱的用户名密码或开启不必要的服务等,可见用户终端的安全管理已经逐渐成为信息安全的最大潜在威胁。
为了提高公司用户终端的安全性和可控性,需要在国家及上级集团信息系统安全等级保护要求下科学有效部署统一的用户终端信息安全管理系统,为公司提供一个安全的内网环境,最终实现用户终端安全准入、行为安全管理、桌面安全管理、数据安全管理、安全审计管理。
1 用户终端信息安全管理现状
随着公司产业链的不断延伸,分支机构不断增加,人员也越来越复杂,信息系统安全管控还存在以下不足。
(1)前期虽开展了相关信息安全的工作,但是还无法有效管理内部用户终端安全。
公司一直以来非常注重信息安全工作,网络安全一期建设完成了核心交换机及防火墙更新、多链路负载均衡、入侵检测、网络流量管理及防垃圾邮件等网络安全系统一期建设,为信息安全管理打下了坚实的基础。但一期建设主要针对防范外部攻击,无法有效应对内部用户终端系统的漏洞、木马、病毒等诸多问题。
1系统漏洞的广泛存在:用户终端的操作系统、浏览器、办公软件等常用软件的漏洞广泛存在,存在漏洞补丁安装不完全、不及时的情况,给病毒、木马、恶意软件等入侵系统造成可乘之机。而有些补丁下载安装未经过测试,由于兼容性问题造成机器蓝屏、死机,影响了用户的正常工作。
2木马、病毒等恶意软件的攻击手段层出不穷:木马、病毒是目前对网络及终端安全最大的威胁,在IT运维工作中发现,部分用户终端未安装、未运行防病毒、防木马软件,有些用户终端虽已安装了防病毒软件,但不能及时升级更新病毒库。另外由于目前市场上的安全防护软件五花八门,用户不了解各种软件的情况,随意找一个免费的软件安装了事,而有的用户终端上则安装了多个防病毒、防木马软件,影响其他应用软件使用。
(2)用户终端管理规范性长期存在不足,不符合国家、上级集团信息安全等保的要求。
公司用户终端数量已经激增到现在的1000多台,用户终端缺乏统一管理直接导致终端设备无法配置统一的安全规范,造成终端安全参差不齐,极易形成安全短板。
1随意安装应用软件:用户终端随意安装、运行应用软件,无法及时了解终端应用软件的安装使用情况。在用户不自知的情况下,绑定安装了带有恶意代码的应用软件。同时,相关应用软件的有效版本也得不到有效管理,一些正版化软件得不到有效部署。
2用户缺乏安全知识:有些用户缺乏必要的信息安全知识,未能及时采取合适的安全防护措施保护终端,如安全配置不正确、系统补丁安装不完全、不及时,防病毒软件及其他常用软件未及时升级等,对用户的正常工作造成了影响。同时,有些用户信息系统的身份认证管理采用弱口令或者直接使用初始密码,存在较大的安全隐患。
(3)随着公司信息化建设工作的深入开展,各信息系统、数据中心等建设管理对内网信息安全提出了更高的要求。
过去,公司系统应用少、网络用户少,网络结构简单,因此终端都采用“粗放型”管理——工作组方式,以方便用户使用。近年,随着网络规模越来越大,这种管理方式在安全性、可管理性上越来越不满足公司网络管理的需要。
1缺乏有效的内网准入手段:用户终端特别是一些外来终端未经任何身份认证和安全认证,就可以接入公司内网,访问网络和计算机资源,可能会造成内部文件被窃取、引入病毒等严重后果,对整个网络和应用造成很大的安全威胁。
2缺乏统一的用户终端帮助平台:公司分支机构不断增加,仅北京就有三个办公地点,终端用户对终端的熟悉程度参差不齐,一个小小的软件使用问题都有可能要求助于网络管理员,一旦出现程序无法正常运行时更是束手无策。运维人员多地办公,在不同办公地点、不同部门之间疲于奔命,致使处理问题的效率不高。
2 用户终端信息安全管理总体架构
总体来说,对于用户终端安全保护的目标基本可概括为两个层面:
(1)终端管理者能够监测和分析终端安全状态,可以控制和记录终端的操作行为,统一配置终端安全策略,以使终端“可信、可控、可管、可用”,保护终端正常、安全地运行。
(2)终端使用者能够满足用户终端安全性、规范性、标准化的管理要求,有效防范终端系统漏洞、木马、病毒,避免重要文件信息泄漏,使得终端相关问题得到快速处理。
用户终端信息安全管理体系覆盖终端的安全准入管理、行为安全管理、桌面安全管理、数据安全管理、安全审计管理等多个方面,涉及管理用户终端本身、终端应用、终端使用者、终端管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。用户终端信息安全管理体系层次结构图如图1所示。
(1)用户终端安全准入管理
安全准入管理通过在网络中部署相应的网络安全检查策略,确保用户终端满足身份认证的要求,同时达到一定的安全和策略条件,才能够接入到网络中并获得相应的访问权限。
(2)用户终端行为安全管理
行为安全管理主要对用户终端的网站浏览控制、网络应用使用控制、网络下载控制、带宽使用控制等各种网络访问和使用行为进行管理和控制。通过上述对终端的行为管控,实现对终端网络访问行为的可管、可控,保障网络访问、网络流量、网站访问的安全与顺畅。
(3)用户终端桌面安全管理
桌面安全管理用于评估并检验用户终端的安全性,避免不符合安全策略和安全规定的终端计算机进入内部网络,同时管理终端计算机的软硬件资源,以及监控终端计算机的运行状态和外联行为,完成对终端计算机的资产管理、安全加固、外设管理、运行异常监控与远程维护协助,确保经过认证授权的用户能够按照授权许可的安全策略正确地使用和操作终端系统,避免因非受控终端而引起的敏感信息泄漏。
(4)用户终端数据安全管理
数据安全管理按照相应的授权级别和终端安全管理策略完成对终端授权用户的操作行为控制和文件加密管理(包括目录和文件操作行为控制、移动存储介质使用控制、电子文档管理控制、光盘刻录行为控制以及保密信息检查控制),确保授权终端用户对不同的应用系统、不同的目录和文件进行可控操作和访问,实现授权终端用户的可信访问控制,避免引发的重要文件信息泄漏事故。
(5)用户终端安全审计管理
安全审计管理通过集中统一的管控和审计平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的数据防泄密体系的建设。
根据前期调研及测试情况,依据基础先行、急用先建、立足当前、兼顾长远的建设原则,公司用户终端信息安全管理系统建设将分两期进行:
1一期将搭建用户终端信息安全管理统一的配置管理平台,建设用户终端安全准入管理(主要包括终端用户身份认证、未知终端准入控制)、入网安全检查管理、用户终端桌面安全管理(主要包括软件管理、补丁管理、资产管理、远程运维)等主要内容。
2二期将根据公司用户终端信息安全管理需要,适时建设用户终端行为安全管理、用户终端数据安全管理、用户终端安全审计管理等深化应用。
3 用户终端信息安全管理建设方案
用户终端信息安全管理体系采用“统一控制、集中管理”的方式,把与用户终端安全控制和运维有关的功能集中在一个管理中心完成。
(1)策略集中管理功能:系统把所有和终端安全控制和运行维护有关的控制功能分类地集中在一个管理中心完成,所有的配置均在此中心完成,以方便用户的使用。
(2)级联管理功能:可进行多级级联管理,支持多级管理方式,上级管理区域可进行统一的状态和报警信息,各级子管理节点能够与根管理节点进行策略同步,各级管理员管理辖区内的有关事件。
(3)策略级联和分发功能,可根据情况需要将策略下发至本区域、下一级区域和所有区域。
(4)终端分组(域)管理功能:按照多种方式(如按操作系统、已划定区域、按IP区域或用户自定义、所有设备等)灵活的对终端方便的进行分组(域)管理,可对一个域(或分组)内的被管理对象实施统一管理。
(5)策略管理功能:可以灵活的按照需要制定策略触发条件:可根据时间段和时间点定制策略使用或禁止使用的触发条件。并可根据多种方式进行策略分组分发管理。
(6)局部基于域(分组)拓扑图的动态可视化界面管理功能,拓扑图可自动生成,包含所有安全域中的相关资源;系统资源的更改可自动的动态识别;可以通过拓扑图对被管理对象进行各种安全操作。
(7)策略可按照设定时间进行,可规定策略生效或失效的时间段,可设定策略的存活时间。
(8)系统可以精细的划分用户的权限,可以规定每个用户管理的区域、可以使用的策略种类和控制菜单种类;各项策略和功能可根据需求按不同登陆用户进行屏蔽或开放。系统提供三权(系统部署员、系统管理员和系统审计员)分立模式,部署员、管理员的所有操作都有对应的日志记录,供系统审计员审计。
(9)系统能够对系统管理员进行分级,分权限管理,对于级别和权限的分配可没有任何限制的进行。可对管理员定义不同的管理范围和操作,本区域的管理员只能看到自己所管理区域内的设备情况,并对区域内的相关设备进行管理操作。
(10)系统提供组件动态管理功能,依照标准化接口规范,终端安全各相关功能模块可以以组件的方式在系统上加载、运行,接受系统的统一管理;所有产生的运行日志写入统一数据库中以供管理员查询、分析、综合。
3.1 安全准入管理
安全准入管理将于现有域用户信息相结合,确保终端只有在安装安全管理组件,并符合必要安全策略的前提下才能被允许接入内部网络,否则会强制终端跳转到访客隔离区,待完成终端管理软件的下载和安装成功后,且符合既定安全策略要求时才可准许接入内部网络。
根据公司人员身份、设备及入网方式的不同,安全准入控制策略如表1。根据公司入网方式不同,采用802.1X接入控制管理和接入认证网关相结合的方式进行部署。
3.2 入网安全检查管理
用户终端接入内网之后需要进行安装状态检查,包括防病毒软件、必要的操作系统补丁、重要的服务开启/关闭状态等,对不符合条件的用户终端进行提示并处理。同时,可根据对用户终端安装杀毒软件、补丁安装情况进行统计,对公司用户终端安全情况进行调查、分析。
3.3 桌面安全管理
通过桌面安全管理可以评估并检验终端的安全性,实行补丁下发和防病毒软件的检测等终端加固措施,提供软硬件资源登记及终端设备变化报警、进行远程维护、软件进程保护和终端流量监控,以及非法外联监控等功能,防止通过其他途径而造成的敏感信息的泄漏。
3.3.1 软件管理
(1)软件版本规范管理
通过软件统一管理,能够有效对软件版本进行控制,对安装了非规定版本的用户终端进行消息提示。部署后第一周对使用违规版本软件的用户终端进行消息提示,第二周开始强制禁用违规版本软件。
(2)软件库管理
同时,设置软件库,方便员工随时下载操作系统、Office办公软件、杀毒软件、Auto CAD等正版化软件,加强正版化软不能获取任何网络资源无件的推广应用。
(3)软件分发管理
公司信息系统软件的批量安装、升级,可方便的通过软件分发方式,推送用户终端进行安装、升级。
3.3.2 补丁管理
实现高效、自动的漏洞评估、修补以及进行即时的补丁管理。对用户计算机进行自动补丁扫描,对漏打补丁的用户终端自动下发补丁,提供下载前消息提示、安装前消息提示,为了不影响工作,用户能够自动取消补丁的下载、安装,并且可根据不同需要制定分时段、分部门、分用户等不同策略实现补丁的自动分发。
3.3.3 资产管理
通过收集用户终端软件、硬件信息,能够方便的查看用户终端的IP地址、MAC地址,能够查看交换机端口接入的设备数和IP地址,能够查看用户终端安装的软件信息、版本,能够审计软件安装卸载记录。
3.3.4 远程运维管理
远程运维管理支持远程桌面接管,支持授权接管。IT运维人员可通过远程协助,实现对用户终端问题的实时解决,包括远程桌面、屏幕抓图、即时短消息等。
4 结束语
根据中国人民银行办公厅关于开展《征信业管理条例》,贯彻落实情况自查工作的通知;为贯彻《征信业务管理条例》规范本行征信业务的合规开展,提高征信业务管理工作的制度化水平,有效保护金融消费者合法权益,切实改进征信系统服务质量,现结合本支行在办理征信业务工作实际情况进行了自查,现对自查做以下汇报:
一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。
二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。
三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。
四、现我行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。
五、对其查询的个人与单位征信,本着全面、客观、合理的原则对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征信系统存在负面数据为由,正确使用征信系统,合规开展征信业务。
六、对个人贷款户进行贷款后管理查询,严格按照主管授权制度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则办理查询业务。
自查人:田营支行
一、个人征信工作考核标准 1、12月8日七台河市农村(城市)信用社非农户个人信贷数据已成功上报至个人信用信息基础数据库,并且能保证在今年年底继续录入上报存量信贷业务。此项考核应得8分;
2、我行的公积金账户信息已成功上报个人信用信息基础数据库。另外在与政府沟通方面制定了《七台河市征信体系建设实施方案》,并得到了市委宣传部的认可,积极协调各征信职能部门,有利于推动我市诚信建设体系的早日实现。此项考核应得12分;
3、我行转发了《个人信用信息基础数据库管理暂行办法》(人民银行3号令),要求各金融机构组织有关人员认真学习,贯彻文件精神,建立健全查询内控制度、分级用户受权管理体系,并将有关制度在人行进行备案。此项考核应得2分;
4、在对个人征信系统查询中,我们要求各金融机构要落实好人民银行3号令文件精神,严格执行分级用户授权制度,在贷款合同或信用卡批准等材料中加入相关查询条款。此项考核应得2分;
5、目前辖区内还没有公民向征信管理部门提出过异议申请,在日常工作中,人民银行曾学习对各金融机构进行此类业务培训,要求信贷业务[找文章到大 秘书-/-一站在手,写作无忧!]人员熟练掌握异议处理流程。此项考核应得3分;
6、在日常报表方面,我行一直注重上报材料的及时性、准确性、完整性,杜绝迟报、漏报现象发生。此项考核应得5分。
二、银行信贷登记咨询系统考核标准
1、在贷款卡发放操作中,我们严格执行《银行信贷登记咨询管理办法(暂行)》有关要求,及时、准确录入借款人(担保人)基本信息及财务指标,所发放的贷款信息中不存在任何错误。在今年银行信贷登记咨询系统数据集中清理中,我们仅用了省行规定的一半时间就完成了1万余相关信息的补录工作,并参加省行数据清理工作。此项考核应得3分;
2、在接到哈中支《关于转发总行贷款卡发放核准行政许可有关要求的通知》后,我们即严格执行贷款卡发放行政审批制度,借款人先提供有关办卡材料经人行办公室法制办审核后,再转交业务部门受理,贷款卡申办流程已进行公示。此项考核应得3分;
3、我行在今年5月8日-6月末开展了贷款卡集中年审工作,并于7月中旬将有关情况形成报告上报哈中支。此项工作应得2分;
4、为了保证各金融机构所有企业信贷业务准确录入银行信贷登记咨询系统,每月初我们都与金融机构核对信贷数据余额,如发现不一致,查找存在的问题,及时进行更正。此项考核应得3分;
5、为了保证企业信息机密,我行信贷登记咨询系统数据查询中界定查询范围,制定了相关制度并严格执行,所有金融机构系统管理员、操作员信息都要在人行进行备案。此项考核应得3分;
6、科技科每日都对城市行管理系统进行数据备份,并确保服务器与省域系统网络联接通畅,将数据及时上报省域系统中。此项考核应得3分;
7、在今年银行信贷登记咨询系统全面升级中,按照总行银行征信[2005]48号文件精神对城市行管理子系统、贷款卡管理子系统中的信息进行了集中修改补录。此项考核应得6分;
8、利用人行报表子系统中的数据信息制做成饼形图,对相关信息进行分析,加强了贷款结构及信贷风险预警管理。此项考核应得2分;
三、征信宣传教育工作考核标准
1、在接到《关于下发全省征信教育方案的通知》(哈银发152号)文件后,我们即拟定了《七台河市征信管理工作方案》、《2005年征信管理工作考核制度落实情况》、《七台河市2005年征信宣传推广工作要点》等材料,并上报哈中支。此项考核应得2分;
2、为了扩大征信知识宣传,我行于6月18、19日组织金融机构开展了七台河市“金融征信杯”男子蓝球赛、8月17日结合助学贷款进行了中国人民银行七台河市中心支行扶贫助学捐款活动、9月21日在中行、农行、农村信用社开展了消费贷款、助学贷款小额担保贷款等项征信宣传活动。此项考核应得6分; 3、9月12日在市职业技术学校对在校学生开展了
征信知识讲座,参加人员超过300人。此项考核应得3分; 4、10月15日我行开展了征信进社区活动,到七台河市桃北花园社区进行了征信知识宣传活动,并于10月25日由张桂云行长带队深入龙湖煤矿进行征信知识宣传,取得了良好的效果的应用。此项考核应得2分;
5、为了配合个人信用信息基础数据库建设,我行于11月4-11日开展了七台河市征信宣传周活动,对社会大众进行征信知识宣传、今年5-7月连续在七台河市公共频道黄金时段播放人总行征信宣传公益广告、6月15-18日在鸡西市麒麟山庄举办全市征信管理工作培训班,提高了参训人员的业务素质、我行撰写的调研文章《银行信贷登记咨询系统建设中存在的问题及对策》在黑龙江金融调研第三期发表、《我国企业与个人征信业发展模式问题研究》在人总行《金融研究报告》第35期发表、《我国目前信用体制存在的问题及对策》在沈阳分行《金融研究报告》第4期发表。此项考核应得20分;
四、征信市场监督管理工作考核标准
1、与市委宣传部协调,在市电视台播放征信公益广告,制定了《七台河市征信体系建设实施方案》、多次与市房产局、公积金管理中心勾通公积金账户信息上报工作,并将有关问题及时上报哈中支。此项考核应得5分;
一、信息安全自查工作组织开展情况
按 照“谁主管谁负责、谁运行谁负责”的原则,成立了信息安全领导小组,镇长任组长,各分管领导为副组长,下属各科室主任为成员,对各科室信息安全进行检查,重点检查了财政网络及相关内部网络,包括党政内网、信访内网、人事内网等。各信息系统基本运行良好,但仍存在部分信息安全隐患,还需进一步加大整改力度,切实保证信息安全。
二、信息安全工作情况
(一)成立了信息安全领导小组,镇长任组长,各分管领导为副组长,下属各科室主任为成员,明确了副镇长曹兴树同志为信息安全主管领导,安监办干部陆璐为专职网络安全信息员。
(二)建立了信息安全责任制。按照“谁主管谁负责、谁运行谁负责”的原则,信息安全领导小组对信息安全负首责,各分管领导负总责,具体管理人员负主责;各办公系 统的信息管理人员负责保密管理、密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄,否则,一切后果自负;对重大节假 日期间的信息安全保障进行了专门部署,明确了值班人员。
(三)严格了资产管理制度,镇财政办负责信息系统资产管理。确定了专职网络安全信息员,对机关信息系统进行定期检查,按照“谁主管谁负责、谁运行谁负责”,各分管领导、相关管理人员对信息系统进行不定期自查。
(四)坚持计算机定点维修,并要求其给予应急信息安全的技术支持。严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行清理汇总。备份恢复目前未实现大面积推广,目前仅为个别涉密电脑实施。
(五)加强了重点部门和岗位的信息安全检查。规范信息文件资料的管理,对收到的信息文件资料只在主管领导中传阅,严禁其他人员借阅和复制涉密文件,信息文件资料 办理完毕后立即交党政办存档,并在规定的时间内上交至区相关部门。连接互联网的计算机全部安装防火墙和杀毒软件,严禁移动介质内外网混用,电脑内外网混 用。
三、自查发现的主要问题和面临的威胁分析
(一)发现的主要问题和薄弱环节
1、安全保护意识有待加强,各种安全保护措施有待加强,部分管理人员安全保护意识薄弱。
2、数据的存储及备份机制还不够完善,还存在移动介质内外网混用的情况,个别电脑存在内外网混用情况。
3、信息安全教育培训开展力度不够,信息系统尚未实现定期维护。
(二)面临的安全威胁与风险
1、部分管理人员安全保护意识薄弱,存在信息安全隐患。
2、数据的存储及备份机制还不够完善,还存在移动介质内外网混用,个别电脑内外网混用情况,存在信息丢失的隐患。
3、信息系统尚未实现定期维护,存在重使用而轻维护的现象,存在信息系统不能可靠运行的隐患。
(三)整体安全状况的基本判断
目 前,三圣镇各信息系统基本运行良好,信息安全有较好保障。对于信息安全,我们做了大量的工作,但对信息安全等规定执行的还不够全面,不够彻底。我们决心以 这次自查为契机,坚持不懈地抓好对全体干部特别是涉密人员的教育管理,加强业务培训和岗位训练,不断完善规章制度,强化信息安全意识,坚决杜绝失泄密问题 发生,为三圣镇经济社会发展创造良好的条件。
四、改进措施
1、加强信息安全教育培训,提升全体干部特别是涉密人员的信息安全保护意识。
2、完善数据的存储及备份机制,严禁移动介质内外网混用,电脑内外网混用。
3、实现信息系统定期维护,保证信息系统可靠运行。
五、关于加强信息安全工作的意见和建议
1、加强领导,提高对计算机信息系统安全保护工作重要性和紧迫性的认识。
2、加强监督,加大计算机信息系统安全管理力度。
3、加强对基层信息安全的业务指导,基层信息安全业务水平有待提升,建议开展信息安全技术培训,充实信息安全队伍。
4、加大对计算机信息系统安全建设力度。把建立或改进信息系统安全措施工作列入重要工作计划。同时,在进行信息系统建设规划时,应一并考虑安全保障体系的建设,以及安全保障体系的日常维护。
5、认真落实安全防范措施。完善信息安全防范制度,落实专职部门或人员定期对日常使用的信息系统进行自查,及时发现和消除信息安全隐患。
最高人民法院执行局近日与中国人民银行征信中心签署合作备忘录, 共同明确失信被执行人名单信息纳入征信系统相关工作的操作规程。今后, 失信被执行人名单信息将被整合至被执行人的信用档案中, 并以信用报告的形式向金融机构等单位提供。
将失信被执行人名单信息纳入征信系统这一有效覆盖全国的信息传递网络, 将扩大失信被执行人名单信息在整个社会的使用范围和社会影响力, 大大提高我国司法文书的执行水平。同时这也标志着中国人民银行与最高人民法院就发挥征信系统在扩大守信激励和失信惩戒作用, 在推动我国社会信用体系建设方面迈开了积极一步。
点评:将失信者信息纳入银行征信系统对失信者而言是一记有力的警告。因为一旦被列入黑名单, 社会公众将可以查询到相关信息, 并对失信人的生产经营产生影响, 迫使其主动履行义务。而对银行及金融机构来讲则是个很好的举措, 特别是在审查贷款申请时, 对信用报告中有失信被执行人相关记录的申请人, 将会再三考虑, 一定程度上降低了贷款风险。
按照国家保密相关法律法规和***、**和**等上级部门有关保密要求,****(以下简称***)开展了相关保密工作,现将情况汇报如下:
一、基本情况
目前,中心日常办公台式计算机共有29台,其中涉及保密计算机4台(均未上网),上网计算机18台,未上网7台。笔记本计算机14台。
按照管理要求,由站网室和综合室负责计算机、网络方面的安全管理工作,制定相关保密规定和上网管理规定等规章制度,定期或不定期进行保密工作检查,对于保密计算机实行物理隔离措施,台式计算机分部门管理使用;笔记本计算机按照使用的用途进行分类管理,由站网室统一管理和维护,采取使用、归还登记制度。
为了加强保密和信息安全,中心还于20xx年底购置了硬件防火墙和网络安全防护软件,基本解决了网络攻击问题和病毒、木马骇客软件在局域网中的传播。
二、存在问题
中心尽管从制度上不断提高管理要求,并加强硬件设备投入,但离全面实现信息安全监控和保障还有很大的差距。
(一)计算机、网络设备不足
按照中心人员工作性质和人员数量,目前中心存在计算机严重不足的情况,遇到集中加班,需要部门间进行调剂使用,大量公用计算机造成了管理的困难,资料信息保密、安全和防毒、木马存在很大的问题,通过U
盘等移动介质传播木马、病毒的情况时有发生,尽管网络防护软件能及时发现并处理,但缺乏反扫描侦测方面的安全控制设备,潜在威胁很难发现,隐患依然存在。
(二)管理水平和人员素质有待提高
由于计算机使用人较多,计算机又不是专人使用,经常造成系统损坏或运行不畅,给管理人员带来很多问题,而中心没有专门的计算机专业人员,属于兼职工作,专业技术水平有限,管理水平和人员素质亟待提高。
(三)经费严重不足
按照管理要求,中心计算机大多数应当实现内外网分离,但由于经费不足,每年按照预算仅能基本满足计算机的更新需要,谈不上补充完善和满足工作需要。在网络方面,每年防火墙和网络防护软件都面临着投入经费进行版本、病毒库更新的需要。
(四)保密软件和设备缺乏
计算机硬盘出现毁损需要更换时,没有专用的消磁设备对硬盘进行处理。另外,按照管理要求,一些报告需要远程传输,但缺乏统一的专用加密软件,通过公网发送存在安全隐患。
三、下一步工作打算
根据以上问题,我***计划在今后工作中加大计算机、网络安全方面的预算,同时安排有关的人员培训,购置有关设备和软件,希望得到**局和***的大力支持。
二OXX年三月二日
三亿文库包含各类专业文献、中学教育、文学作品欣赏、行业资料、高等教育、生活休闲娱乐、各类资格考试、18计算机信息系统安全保密工作自查报告等内容。
计算机信息系统安全保密工作的自查报告2
根据上级有关文件精神,公司领导十分重视,按照文件要求进行部署,积极组织人员,及时召集相关人员,逐条落实,周密安排,针对会议强调的实施措施,对公司机关和所属各二级机构配备的各台计算机进行了认真细致的自查,现将自查情况报告如下:
一、保密工作开展情况
对照文件要求,逐功能对照自查,边自查边总结:我公司计算机信息系统自20xx年成立以来,十分重视计算机管理组织的建设,本着“控制源头、加强检查、明确责任、落实制度”的指导思想,成立了信息中心,建立了局域网站并设有系统网络管理员,负责管理上传信息数据的.合法性、准确性和保密性。为了保证xxx县xxx公司管理信息系统安全正常运行,保证企业信息安全,保护企业技术成果,特制定了《xxx县xxx局管理信息系统安全保密制度》。
二、取得的成果
(一)断开信息系统与因特网的直接物理连接,办公内网与因特网完全分离。如确实需要上网,在公司信息中心办公室设臵有公共上网区,并采取安全措施,单独通过外网连接互联网,以解决员工上网查询信息问题。
(二)加强对内外网计算机和外设的管理:严格禁止办公设备“一机两用”。信息内网不得通过任何形式连接外网,严格执行接入内网计算机实施登记备案、IP/MAC地址绑定等准入措施。加强内外网计算机安全管理,在密码设臵、防病毒等方面严格要求。对于带硬盘、内存的智能外设,应通过设臵取消存储功能或缩短存储保存时间等方式减少信息泄密或木马病毒植入的风险。加强对计算机、外设的维修和废弃管理。
(三)加强远程移动办公及远程维护管理:禁止笔记本电脑、智能手机等移动办公设备远程通过外网以方式接入我公司信息内网。断开信息系统所有服务器的远程维护功能、端口的开通,如需要对系统调试,必须要求远程维护方与接入内网的信息系统开发、调试人员,签保密协议,否则不能进行远程维护。
(四)强化网络监控与访问控制:定期查看网络系统运行日志、统计分析报表,检查网络异常状态。公司所属各单位和公司的网络接入与访问策略应避免透明连接,采用综合策略进行接入。断开内网防病毒库的因特网下载路径,通过手动方式下载后复制到系统库,操作时应注意查杀存储介质。
(五)安全使用移动存储介质:遵循“统一购臵、统一标识、统一备案、跟踪管理”。移动介质暂时应进行查杀病毒,不得办公与私用混合。
(六)对外提供服务的业务系统实施改造:营销系统在营业收费大厅设臵通过局域网查询电费,涉及到通过因特网查询电费、网上缴费等暂停使用,并作好对外公告,信息发布。财务部门采用远光财务系统,是独立的一个财务网络,不与任何外界的网络包括局域网相联接。
(七)加强内外网邮件管理:内外网邮件系统应完全隔离,与市公司及公司所属单位共用的邮件系统,不再单独建设。行政事务部要认真细致的做好每一封外部邮件的安全保障工作,外部邮件应查杀病毒后方可使用。
(八)严格管控对外网站:我公司没有设臵对外网站,服务器端就不存在运行任何脚本、插件的可能。从服务器端断开所有与外网相联接的外设端口,保障系统的安全稳定运行。
(九)加强机房值班和安全管理:机房应设臵7x24有人值班,保证监控系统运行正常、通讯畅通。加强设备口令管理,设臵强口令方式,定期更换。及时进行防病毒软件、补丁升级,采用手动更新方式。制订应急予案,定期演练。
(十)加强计算机保密管理:涉密信息不上网、上网信息不涉密。首先要求信息中心人员应严格遵守该保密制度,严禁与无关人员谈论管理信息系统技术开发内容的各类上网信息;信息中心工作人员严禁私自改动上网信息,严禁私自查询网上各类保密文件;上网用户工作“权限”,由信息中心工作人员按照局规定进行授权,不经批准不得将上网人员工作号或口令告诉他人,严禁擅自改动上网人员的工作“权限”。信息中心工作人员使用过的废纸必须经粉碎处理,以免泄密,未经领导批准,严禁携带有关资料、软盘外出或将资料、软盘外借、复印、拷贝约他人。如工作需要,必须软件办理相应手续。
各部门根据上级文件有关规定,严禁上国际互联网,确因工作需要须联互联网的微机必须要单机运行,不得同时联入局域网。需要进入信息中心的人员必须遵守各项规定,不得随便操作设备查询、索取信息中心有关资料。外单位到我公司了解有关计算机管理信息系统的接待工作,由信息中心统一办理,各部门与局域网联网工作站严禁进行系统演示,拷贝系统文件或提供技术文档;外单位人员进入信息中心机房,必须持有效证件或介绍信,进行登记,并经主管局长同意。其它无关人员不得私自进入信息中心机房。严禁各部门有关人员将公司MIS系统相关程序及技术文档拷贝、复印给外单位或个人,违反此规定者,按有关规定严肃处理。信息中心定期组织专、兼职信息员学习保密制度并检查制度执行情况;任何单位和个人违反规定,将按照公司有关信息系统保密规定进行严肃处理。将计算机信息系统保密工作切实做到防微杜渐,把不安全苗头消除在萌芽状态。
三、强化安全教育,定期检查督促
在我公司实施网站建设的每一步,都把强化信息安全教育放到首位。使全体工作人员都意识到了,计算机安全保护是公司中心工作的有机组成部分,而且在新形势下,计算机安全还将成为我县“平安xxx”、“平安电力”的重要内容。为进一步提高人员计算机安全意识,我们还经常组织人员对相关科室进行计算机安全保护的检查。不使用来历不明、未经杀毒的软件、软盘、光盘、U盘等介质,不得访问非法网站,自觉严格控制和阻断病毒来源。同时,电脑设备外送修理时,有指定人员跟随联系。电脑报废处理时,及时将硬盘等存储介质拆除或销毁。
四、信息安全制度日趋完善
在网站的管理当中,我们就树立了以制度管理人员的思想,制定了《xxx县xxx局信息中心机房值班制度、值班员工作职责、最终用户工作站管理制度》)文件,要求各部室提供的上传内容,由各部室、信息中心负责人审查后报送至网站后台,经网站责任编辑审核后,报上领导同意后发布;重大内容发布报公司主要领导签发后再发布,以此作为我公司计算机网络内控制度,确保网站信息的保密性。
对照上级文件通知的要求,我公司信息系安全保障工作经过自查,主要作了以上几方面的工作,但还有些方面要急待改进。
一是要今后还要进一步加强与县保密局及市公司的工作联系,以此来查找差距,弥补工作中的不足。
在镇党委、政府的正确领导下,根据《自治区人口计生委关于加快推进人口和计划生育信息化建设的指导意见》,按照区、市、县人口计生委信息化建设的统一安排和要求,精心组织,狠抓落实,初步建成了我镇人口和计划生育信息化管理体系,基本实现了人口和计划生育决策、管理、宣传、服务、办公等工作的信息化和自动化,让人口和计划生育整体工作水平得到了提高。现将我镇人口计生系统信息化建设工作自查情况汇报如下:
一、实抓三项建设,夯实计划生育信息化建设基础。
(一)抓好硬件建设。人口和计划生育信息化建设,是全面落实科学发展观、推动人口计生工作创新发展、统筹解决人口问题的基础工程,是实现新世纪人口和计生工作目标的重要技术保证。镇党委书记亲自安排,分管领导全力以赴抓落实,加大经费投入,加强我镇计算机硬件配置,优化终端的人口计划生育信息网络运行环境。及时协调解决信息化建设工作中的重点、难点问题,保证人口计划生育信息化建设工作的健康发展。
(二)抓好队伍建设。镇党委、政府调配2名有计算机实践经验的人员作为计生办计算机操作员,文化程度均在大专以上,懂得计算机基本的日常维护,比较熟练Windows操作系统的应用,对他们进行岗位培训,掌握了信息化规章制度、操作规范,熟练操作人口和计划生育信息化管理体系。
(三)抓好制度建设。为了使信息化建设工作能够规范运行,我们从建立健全规章制度入手,修定了《操作员管理制度》、《数据安全及传输制度》、《工作日志制度》、《信息保密制度》等10余项规章制度,通过健全制度来规范日常工作;为确保数据安全管理,每月数据变更后及时进行备份,未经有关领导同意不得随意查阅数据,确保数据完整性和整个信息系统的正常运转。
二、实现了“三个加强”,为人口计生管理提供了科学依据,使数据汇总和查询更加快捷方便,简化汇总环节。
根据我镇工作实际,围绕群众需求,积极探索,着力在管理服务上做文章,在实践应用上下功夫,使信息化建设真正服务于计生工作,方便群众。
(一)加强个案信息收集,实现全员人口管理,促进“数字计生”建设。为了确保数据质量,我们对导入全员人口管理信息系统的有关信息资料进行了一次大的核查,形成全员人口个案信息采集核查卡,做到村不漏户、户不漏人、人不漏项。要求各村委在信息录入前认真澄清底数,明确各村计生管理员对录入数据的真实性负责。对微机信息录入及使用情况进行经常性督查,通过现场反馈、下发书面总结等形式,使全镇的育龄妇女个案信息的录入做到了户、卡、机信息“三项一致”。
(二)加强信息系统数据信息的及时更新,确保数据信息上报及时率,确保数据信息真实性、准确、完整,从而提升管理水平。一是加强综合管理。利用流动人口信息交换平台,加强对流动人口的计划生育管理;利用计划生育流动人口管理数据库,随时查询流动人口信息,更好的为流动人口服务。二是推进办公自动化。通过加强信息化建设,使基层工作人员从繁重的手工劳动中解脱出来,利用计算机抓管理,将主要精力放在抓工作落实和管理服务上,提高了工作效率;三是指导考核评估。通过已婚育龄妇女信息管理系统数据,指导人口和计划生育目标考核,考核前检索康检对象、出生对象、持证对象和大龄未婚青年等重点调查对象,做到心中有数,提高了考核评估的准确性和科学性。四是利用数据库信息,及时把本月施术对象、发生育证对象、随访对象和预计出生人员名单等进行整理,有针对性地开展上门服务,使管理服务更加人性化和个性化,进一步密切了干群关系,树立了人口和计划生育工作新形象。充分利用个案信息资料,开展对符合农村奖励扶助政策对象的调查、审核、汇总等工作,保证了上报数据及时准确。
(三)加强协调联动,实现部门资源共享,促进“惠民计生”建设。通过与公安部门联动、互通,我计生办在采用公安户籍基础上进行信息采集,能够简化程序,节省时间,提高效率。人口计生全员信息以个人为单位建立,也可以弥补公安系统夫、妻、子女、父母独立户普遍、关联性不强的不足,能够较好地促进平安建设和目前全国“实有房屋、实有人员管理工作”的深入开展。通过与卫生部门、计划生育服务机构共享资源,在开展免费“三查”和生殖健康服务时,掌握人员信息,更好地服务辖区育龄群众。
三、强化责任意识,确保具体工作任务的圆满完成。我计生办将人口计生队伍信息化能力培养纳入职业化队伍建设的重要内容,特别重视信息化管理人员、宣传政务人员的配备和培训,并着重在提高信息操作人员管理和应用能力上下功夫,大幅度提高计生人员的信息化知识水平和操作运用能力,努力培养一支善于采集应用信息、熟悉业务的复合型人才队伍。从而强化责任意识,确保具体工作任务的圆满完成。
虽然我们做了一些工作,取得了一定成绩,但是我们深知,工作中还存在不少问题。下一步,我们将进一步解放思想,积极探索,不断提升计划生育信息化建设水平,推动我镇人口计生工作再上新的台阶。
一、自查情况
(一)安全制度落实情况
一是成立了信息系统安全小组。明确了信息安
全的主管领导和具体负责管护人员,负责局信息系统安全监督管理;二是建立了信息系统安全责任制。按责任规定:安全小组对信息安全负首责,主管领导负总责,具体管理人负主责;三是制定了计算机及网络的保密管理制度。局网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
一是涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性;二是涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制;三是网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等;四是安装了针对移动存储设备的专业杀毒软件。
(三)应急响应机制建设情况
一是制定了初步应急预案,并随着信息化程度的深入,结合我局实际,处于不断完善阶段;二是坚持和涉密计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予应急技术以最大程度的支持;三是严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行存档;四是及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
(四)信息技术产品和服务国产化情况
一是终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品;二是公文处理软件具体使用的是word2003系统;三是年报系统皆为县委、县政府统一指定产品系统。
二、存在不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我局实际,今后要在以下几个方面进行整改。
存在不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
征信机构信息系统安全及内控机制
—、征信机构信息系统安全等级(一)征信系统的数据安全管理
电子数据安全是征信系统安全管理的重要组成部分需要构建全方位、立体化的征信系统信息安全管理机制。
1.网络访问控制
目前,个人信用信息基础数据库和企业信用信息基础数据库等业务客户端系统同其他大部分业务系统一样,都支持Telnet协议的远程登录方式。网络中任意终端设备在安装相对应的客户端后,理论上即具有远程登录主机的条件。征信机构实行互联网、办公网和业务网物理隔离的三网分离管理模式,网络访问控制清晰且严格,但同一网络间存在计算机互访的条件,如控制不当将为远程入侵留下隐患,直接威胁到数据通信和数据存储机密性的安全。加强网络访问控制,关键是阻止未授权终端接入。在各个使用征信系统业务终端的金融机构的交换机和路由设备中设定多层访问控制列表及划定虚拟局域网,通过授权将指定的业务终端绑定。
2.加强身份认证
身份认证是登录征信系统的必要程序,此要素出现缺陷,将直接影响到数据使用的 可控性。而强身份认证则是在其基础上贯彻强化原则,明确各项规章制度在安全管理方面的要求。首先,要强化用户的资格管理。这是经身份认证并登录系统进行操作的基础。用户的建立须经过岗前培训,具备相关从业资格,签订岗位安全责任状、保密责任书及 协议等一系列制度要求的程序。其次,要强化用户的口令管理。用户代码及口令是身份 认证的体现方式,一个用户代码只限一个用户使用,用户在接到分配的用户代码后,应 立即登录系统并修改口令,勤更换,并仅限持有该用户代码的本人掌握。最后,要强化 用户的制约管理。合理设定兼岗用户,及时撤销停止使用的用户权限,负责保管密封口 令的管理人员不得拥有各级身份认证权限。强身份认证亦可通过安全证书、USB Key(硬 件数字证书载体)、智能卡芯片等方式实现,其作用不仅体现在有效防止用户名及密码被 盗用方面,更体现在对发生安全风险的责任认定方面。第 2 页
3.数据通信机密性
征信系统采集的各类征信数据信息因与各个机构分别进行沟通协调,导致征信数据 信息在通信过程中的加密方式采取不同标准。采用密押设备来统一保证征信数据信息的 通信机密性。密押设备应统一定制配发,拥有防撬检测电路,确保密钥及密码算法不会 暴露于物理安全的环境之外。密押设备由各征信系统运行部门指定专人配置、维护和保 管。可以说,密押设备的应用能有效地保护征信数据信息的通信安全,并与网络访问控 制的安全要素息息相关。
4.数据存储机密性
数据存储是数据以某种格式记录在计算机内部或外部存储介质上。与其他安全管理 要素相比,强身认证对其保护作用更加明显。对存储在计算机内部的数据,主要是服 务器中的数据,要按规定将系统服务器主备机在中心机房安全摆放,设置双M以上门禁; 未经主管部门领导批准,非机房工作人员不得进人机房。系统管理员进行系统维护时,应有业务主管或操作员在场,严格控制对数据库的直接操作,并对维护内容作详细记录。
对于存储在计算机外部介质中的数据,如磁盘、U盘、光盘、本地设备等,要严格 管理、妥善保存,并实行数据加密制度。征信系统及其导出数据使用的存储介质,应进 行严格的病毒检査,防止计算机病毒侵入,禁止在征信系统终端设备上使用非征信系统 专用的存储介质,禁止在征信系统及其相关的设备上安装与系统运行无关的软件,最大 限度地保证数据存储机密性不受影响。
(二)我国《征信机构管理办法》对征信系统安全等级的规定根据《中华人民共和国中国人民银行法》《征信业管理条例》等法律法规,中国人民 银行制定了《征信机构管理办法》,自2013年12月20日起施行。《征信机构管理办法》 明确要求设立个人征信机构,应当经中国人民银行批准,且信用信息系统应当符合国家 信息安全保护等级二级或二级以上标准。
根据我国《信息安全等级保护管理办法》第二章,等级划分与保护规定:第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社□第六章信息主体权益保护 第 3 页
会秩序和公共利益造成损害,但不损害国家安全。对于第二级国家的监督管理要求为,第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家 信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
知识链接:中国金融新闻网—11315全国企业征信系统—我国社会征信新模式。我国信息安全等级保护等级划分和监管方式
1.信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中 的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损 害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国 家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者 对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.信息系统运营、使用单位依据《征信机构管理办法》和相关技术标准对信息系统 进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第 4 页
第三級信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系铳运营、使用单位应当依据国家有关管理规范、技术标准和业务专门 需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制 监督、检查。
需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
二、征信机构内控机制
内控机制建设就是一个组织为了实现既定目标,防范和减少风险的发生,由全体成 员共同参与,对内部业务流程进行全过程的介入和监控,采取权力分解、相互制衡手段,制定出完备的制度保证的过程。征信机构是征信体系建设的核心机构,在信用体系的建 设中承担重要的职责,其客观公正的评估有赖于内部有效的管理机制。
(一)我国征信机构内控机的相关规定 1.《征信业管理条例》相关规定
2013年3月15日开始实施的《征信业管理条例》第6条规定,设立经营个人征信业 务的征信机构,应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准:(1)主要股东信誉良好,最近3年无重大违法违 规记录;(2)注册资本不少于人民币5 000万元;(3)有符合国务院征信业监督管理部 门规定的保障信息安全的设施、设备和制度、措施;(4)拟任董事、监事和高级管理人 员符合该条例第8条规定的任职条件;(5)国务院征信业监督管理部门规定的其他审慎 性条件。第8条规定,经营个人征信业务的征信机构的董事、监事和高级管理人员,应当 熟悉与征信业务相关的法律法规,具有履行职责所需的征信业从业经验和管理能力,最近3年无重大违法违规记录,并取得国务院征信业监督管理部门核准的任职资格。
2.《征信机构管理办法》 第 5 页
2013年I2月20日起实施的《征信机构管理办法》第6条规定,设立个人征信机构,除应当符合《征信业管理条例》第6条规定外,还应当具备以下条件:(1)有健全的组 织机构;(2)有完善的业务操作、信息安全管理、合规性管理等内控制度;(3)个人信 用信息系统符合国家信息安全保护等级二级或二级以上标准。
对于征信机构的业务开拓以及跨域经营等内容,则充分尊重了企业的自主经营权,促使征信机构发挥经营的积极性和主动性。
(二)西方国际征信机构内控机制
征信机构运营模式可以大致划分为两种类型:以美、英为代表的市场主导型和欧洲 大陆大多数国家所采纳的政府主导型,其内控机制和管理模式则呈现不同的特点。
1.美国征信机构的市场化的内控模式
美国征信机构组织模式,是蝕立于政府之外的第三方私营机构,将个人信息进行收集、加工后,有偿提供给信息需求者,并且依据市场的需求来完善自己的经营与管理模 式,提升运营效率。具有以下几个特点:首先,征信机构私有化。个人征信机构都是由 私营的工商企业、征信专业公司、授信机构共同发挥作用的征信主体。其次,独立性强。征信机构既与政府隔离,同时又与其拖市场主体相分离,作为真正意义上的第三方存在。最后,按市场化原则运作。征信机构伴随着信用交易的市场需求产生而产生,随着市场 信用交易规模的发展而发展。其公司机制为公司制形式,以营利为目的,以股东利益最 大化为前提,股东出资比例决定公司投票权比例,一切决策按照商业化目的进行,服务 的范围不受限制。
美国《公平信用报告法》规定,作为个人征信机构,必须同时具备下列5项基本特 征:A.消费者信用调查和生产调查报告时期日常业务;B.专门从事收集消费者信用调查 或评价消费者信用价值;C.从事有偿服务、以营利为目的;D.服务的目的是向第三方提 供消费者信用调查报告;E.向全国市场提供公开的服务,不仅仅向关系企业提供报告 服务。第 6 页
在全球征信机构中,像益百利、环联、邓百氏等大型的征信机构全部采用公司制的 治理架构,并且,有些征信公司已经是上市公司。美国征信机构市场化的运作机制,政 府并没有对其具体的内控机制进行明确的法律规定。
2.以德国为代表的征信机构组织模式
以德国为代表的公共征信模式又称为政府主导的征信模式,即主要是依靠政府的力 量建立征信机构,政府通过行政手段强制要求个人或企业向征信机构提供其信用信息或 数据,从而建立个人信用信息数据库,并通过法律形式保障信息或数据的真实性。其特 点如下:A.具有一定的强制性。通过法律与决议的形式保证个人信用信息的可得性与真 实性。B.公私征信机构并存。公共与私营征信机构并立,且互为补充。C.垄断与竞争并 存。既有公共征信机构对个人基本信用信息的垄断,又有私营机构间的竞争。
一、内控制度建设情况
依据《中国人民银行法》和《人民币管理条例》,结合邮储银行有关人民币收付业务的规定,该支行制定了20xx年度会计管理工作考核办法和人民币收付业务知识学习与培训制度,加强了对开户单位现金支付、个人结算、活期储蓄账户支付、大额现金收付审批、登记和备案的管理,规定了相应的处罚条例,明确了临柜人员定期培训的计划和要求,进一步规范了本行内控制度的建设。
二、营业场所建设情况
该支行在营业场所显眼位置摆放着兑换残损币人民币标识牌,并且在LED屏上打上“承诺无偿兑换并提供券别调剂的服务”;还在营业厅挂有“残损污损人民币兑换办法”和“不宜流通人民币挑剔标准标识牌,并公示举报监督电话。
三、现金收付业务办理情况
该支行定期对临柜人员进行人民币收付业务知识学习与培训,认真研究中国人民银行法、人民币管理条例及中国人民银行残缺污损人民币兑换办法,每位临柜人员都能熟悉掌握不宜流通人民币的挑剔标准和残缺污损人民币兑换标准,并按程序规范操作,临柜人员均能做到不对外支付、只收不付、停止流通不宜流通人民币。同时网点按照要求配备小面额新钞,并且均能根据客户的需要,办理券别调剂业务。对于假币按规定加盖假币章戳,现金收付实现收支两条线,对外支付已清分现金。由网点综合柜员、当班柜员或网点负责人双人在监控下整点、清分。对清分机退钞口现金通过A类点钞机记录冠字号码,并人工识假。完整券与残损券分类捆扎管理,分别整点上缴,柜员对可疑币、残损币单独存放。
同时该支行积极组织反假货币宣传活动,对临柜人员定期开展反假货币知识学习与培训,前台人员均取得反假货币上岗证,并能熟练掌握如何收缴鉴定假币。同时还在营业厅摆放反假币宣传折页,可供客户学习。
四、设备配备及管理情况
该支行在每个柜台配备了一台能识别冠字号码的A类点钞机,以及每个网点配备了一台清分机,并定期进行更新升级。网点自助设备现金清分及冠字号码记录、上传均由营业主管负责,且保存在专门的电脑上。自助设备加钞均经过清分、冠字号码记录。网点记录冠字号码存储至少保存3个月。以便及时供客户查阅,有效解决假币纠纷问题。自助设备均实现冠字号码贴黄标,且能实现冠字号码查询。
总之我支行均能按照当地人民银行有关人民币流通政策的相关规定严格执行,没有出现与人民银行规定相违背的情形,并定期组织支行所有前台人员学习人民银行人民币流通等政策,熟练掌握业务知识以便更好的服务于广大市民。
【征信系统用户信息管理自查的报告】推荐阅读:
征信系统工作成绩报告06-01
小额贷款公司征信系统管理实施办法06-28
征信管理自查报告06-27
央行征信系统查询12-20
征信系统授权书09-26
企业和个人征信系统04-09
人民银行个人征信系统07-26
个人征信查询自查报告03-25
客户征信信息管理制度01-04
信息系统自查总结报告03-07
