中国人民银行关于进一步加强征信信息安全管理的通知(附:金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级管理办法) 已被修改
中国人民银行关于进一步加强征信信息安全管理的通知
(银发[2018]102号)
中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;国家开发银行,各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行:
为贯彻落实党的十九大精神和第五次全国金融工作会议精神,加强个人信息保护,做好新时代征信信息安全管理工作,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》(中国人民银行令[2005]第3号发布)等法规规章的相关规定,现就进一步加强金融信用信息基础数据库运行机构和接入机构(以下简称运行机构和接入机构)征信信息安全管理有关事项通知如下:
切实增强征信信息安全管理意识,强化征信信息安全主体责任
运行机构和接入机构要清醒认识当前征信信息安全面临的严峻形势,切实增强征信信息安全管理意识。建立健全征信信息安全管理的体制和机制,成立征信信息安全工作领导小组,明确岗位职责,强化征信信息安全主体责任,按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,明确领导层中分管征信工作的负责人为第一责任人,征信系统及相关信息系统的使用人为直接责任人,并明确第一责任人、直接责任人和其他相关人员的责任分工。 完善征信业务操控流程,不断提高征信信息安全管理水平
运行机构和接入机构要切实加强对征信各级管理人员和从业人员的全员征信合规性教育培训,围绕征信信息安全管理,通过加强征信系统用户管理、健全征信信息查询管理、优化自助查询机管理、完善征信异常查询监控机制、妥善办理异议与投诉等措施,完善征信业务操控流程,牢牢守住不发生征信信息安全风险的底线。
(一)从严加强征信系统用户管理。
运行机构和接入机构应严格遵循相关规定办理用户的创建、停用和启用,根据“最小授权”原则分配各类、各级用户的权限,严格用户权限设置,将用户权限控制在业务需要的最小范围内。杜绝创建公共账户或者类公共账户,切实做到人户统一、专人专用,及时停用和启用用户,实施用户密码动态管理。
运行机构和接入机构应不断更新技术保障措施,加强对各级征信系统用户运行情况的实时监控。分级负责,明确责任,技防和人防相结合,在制度措施保障上不留真空和死角。
(二)健全征信信息查询管理。
运行机构和接入机构要健全征信信息查询管理,严格授权查询机制,未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的APP接入征信系统。从严管理批量数据,按照合法、正当、必要的原则,严格按流程和保密要求办理批量数据的抽取、留存、流转、应用和销毁,确保各环节数据安全。
(三)优化自助查询机管理。
运行机构和接入机构应优化自助查询机用户管理,明确自助查询机用户管理权限,及时停用或者删除无效用户;加强访问控制,为自助查询机单独划分网段,根据工作时间和查询需要,合理设置自助查询机自动关机时间;采购自助查询机时,完善合同内容,明确设备提供商的保密责任;健全自助查询机物理设备管理,明确自助查询机管理责任主体,对设备加强维护,按流程及时清理自助查询机内部存储的征信信息。
(四)完善征信异常查询监控机制,妥善办理异议与投诉。
运行机构和接入机构应分级建立征信用户查询操作日核查机制,完善异常查询监控、处置与报告机制;不断优化和调整征信查询日核查与实时监控指标,不断提高征信用户自查与自控的能力。严格遵守异议处理时间,规范异议处理流程,按规定出具相关文书,做好异议申请、处理资料的保存、归档;强化投诉办理,规范投诉流程,及时办理信息主体投诉,提高信息主体的满意度。以异议和投诉为重要线索,对可能涉及的征信信息安全风险事件及时进行全面排查,及时发现问题和排除隐患。 查漏补缺,补齐短板,完善征信内控制度及问责制度
运行机构和接入机构应结合自身实际对自身的征信内控制度及问责制度进行全面自建自查,查漏补缺,补齐短板,并重点从以下三个方面加以完善:
(一)建立征信内控制度及问责制度的报备制度。
自本通知发布之日起,运行机构和接入机构应在30个工作日内,向人民银行报备经本机构法定代表人或者主要负责人签字并加盖公章的征信合规与信息安全内控制度及问责制度。运行机构及全国性接入机构(名单见附件1)的总行向人民银行征信管理局报备,地方性接入机构和全国性接入机构的分支机构向所在地人民银行分支机构报备。征信内控制度及问责制度变更的,应当自变更之日起10日内向人民银行报备。
(二)建立征信信息安全情况报告制度。
运行机构和接入机构应按月定期向人民银行报送异常查询、违规查询、非法提供、违规使用、信用报告泄漏等征信信息安全情况统计表(见附件2)。未发生征信信息安全风险事件的,应采取零报告制度(即在表中填报“0”)。发生征信信息安全风险事件的,应立即上报相关情况。全国性接入机构的总行应于每月初10日内将上月情况报送人民银行征信管理局;地方性接入机构和全国性接入机构的分支机构应于每月初6日内将上月情况报所在地人民银行分支机构;人民银行副省级城市中心支行以上分支机构应于每月初10日内将汇总的辖区内上月情况(包括人民银行分支机构征信查询点情况)报送征信管理局。
(三)建立征信合规与信息安全自查自纠制度及报告制度。
运行机构和接入机构应建立分级监控、专项核查的工作机制,按照征信内控制度的规定,对日常监测发现的风险线索以及异常查询线索,与对应的信贷业务进行逐笔核实,从授权、审核、查询、使用、存储等各环节梳理是否存在征信违规风险隐患,不定期组织抽查,建立健全征信合规与信息安全自查自纠制度,并向人民银行报备,报备流程参照征信内控制度及问责制度的报备要求。按季度开展内部征信合规和信息安全自查自纠,并将自查自纠情况向人民银行书面报告,报告流程参照征信信息安全事件的报告要求。 提高技防能力,防范征信信息泄露风险
运行机构和接入机构应不断优化升级征信业务信息系统,提升前置自控能力,推进业务触发式查询,实现信用报告脱敏展示、结构化展示和自动解读,从严控制信用报告打印、下载,从查询、使用和存储环节降低征信信息泄露风险。 建立征信信息安全事件应急处置机制
运行机构、接入机构和人民银行分支机构应逐级建立征信信息安全事件应急处置机制,成立由业务、技术、法律、宣传等方面专业人员组成的应急处置工作小组,制定应急处置方案,并自本通知发布之日起30个工作日内将应急处置方案向人民银行报备。报备流程参照征信内控制度及问责制度的报备要求。 建立征信合规与信息安全年度考核评级制度
人民银行建立接入机构征信合规与信息安全年度考核评级制度(见附件3)。对接入机构的考核评级结果,将作为实施征信现场执法检查、中央银行对金融机构内部评级、对征信查询服务费用实行优惠、调整对征信系统的查询权限、确定金融机构存款保险评级结果和核定金融机构存款保险费率等的重要依据。 建立征信信息安全巡查制度
人民银行围绕上述政策措施的贯彻落实情况,针对运行机构和接入机构建立健全征信信息安全巡查制度,将巡查结论作为启动执法检查程序等的重要依据。同时,建立征信信息安全巡查内部通报制度(见附件4)。 从严强化征信监管,确保征信信息安全
人民银行采取综合措施,统筹推进对运行机构和接入机构的征信监管,防范征信信息泄露风险,确保征信信息安全。
(一)强化非现场监管。
运行机构和接入机构报备的上述征信内控制度及问责制度、征信合规与信息安全自查自纠制度、征信信息安全事件应急处置方案,报告的征信信息安全事件、征信合规与信息安全自查自纠情况以及考核评级与巡查结论,均作为人民银行非现场监管的内容。对非现场监管涉及内容的真实性,人民银行将通过现场执法检查予以确认。对存在未报、漏报、虚报、瞒报情况的机构,将重点开展现场执法检查。
(二)加大现场执法检查力度。
人民银行随机对接入机构全员征信合规教育轮训情况、征信内控问责情况以及征信法规制度遵守情况进行现场执法检查,并将存在问题的机构纳入重点监管对象。对涉嫌违法违规行为的机构和人员,视情况采取监管约谈、责令限期整改、现场执法检查、在金融系统内部予以通报、向干部管理部门和纪检监察部门通报等措施,并依法从严实施行政处罚,全方位正风肃纪,促使其依法依规履职。
(三)加大违法违规成本。
对接入机构的考核评级结果、巡查结论和现场执法检查结论,将作为确定金融机构存款保险评级结果、核定金融机构存款保险费率和征信服务收费优惠与否等的重要依据;对于问题严重的机构,人民银行责成其调整其用户管理权限,直至暂停为其提供征信查询服务。
其他征信机构、信用评级机构及其接入机构的征信信息安全管理,参照本通知执行。
请人民银行副省级城市中心支行以上分支机构将本通知转发至辖区内接入机构、其他征信机构和信用评级机构。
附件:1.全国性接入机构名单
2.征信信息安全情况统计表
3.金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级管理办法
4.征信信息安全巡查试行办法
人民银行
2018年4月24日
2018年4月24日
附件1
全国性接入机构名单
国家开发银行、进出口银行、农业发展银行、中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、中国光大银行、华夏银行、中国民生银行、招商银行、兴业银行、广发银行、平安银行、浦发银行、恒丰银行、浙商银行、渤海银行、中国邮政储蓄银行
附件2
征信信息安全情况统计表
****年**月
填表单位:*** 签发人:***
| \征信信息 \ 安全 机构\ \ | 风险事件类型 | ||||||
| 地区 | 机构名 称 | 异常查 询(笔) | 违规查 询(笔) | 非法提 供(笔) | 违规使 用(笔) | 信用报告泄 漏(笔) | 备注 |
复核人:*** 填表人:***
注:1.上报违规情况涉及的机构包括金融信用信息基础数据库运行机构、接入机构、人民银行分支机构征信查询点。
2.在备注中描述违规事件的详细情况,如事件较复杂时,另附详细报告。
附件3
金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级管理办法
为有效实施金融信用信息基础数据库接入机构征信合规与信息安全管理,合理配置监管资源,提高监管效率,促进接入机构规范开展征信业务活动,依据《征信业管理条例》等有关法规制度,制定本办法。
本办法所称接入机构,是指向金融信用信息基础数据库提供或者查询信息的机构。
本办法所称考核评级,是指人民银行及其分支机构根据接入机构征信业务内控机制、人员与用户管理、征信业务合规操作、信息安全与技术保障以及落实征信管理工作要求的情况等,对其进行打分和确定等级等活动。
人民银行及其分支机构依据本办法对接入机构进行考核评级,并根据考核评级结果采取差异化监管措施。考核评级工作遵循以下原则:(一)依法依规、客观公正。
(二)防控风险、注重合规。
(三)定量与定性相结合。 接入机构征信合规与信息安全年度考核评级指标分为五个方面:
(一)征信业务内控机制。反映接入机构征信内控机制的建设和运行情况,包括组织设置及运转、合规制度及措施、全员合规教育轮训的组织与实施制度、内部审计及监督等方面。
(二)人员与用户管理。反映接入机构征信从业人员和征信系统用户的配置及管理情况,包括人员配备、征信系统用户管理、全员合规教育轮训的数量与质量等方面。
(三)征信业务合规操作。反映接入机构征信业务活动符合法规制度和征信基本原理的情况,包括信息报送、信息查询、信息对外提供及使用、异议处理及投诉办理、征信系统接入机构设置、业务资料保存等方面。
(四)信息安全与技术保障。反映接入机构通过完善征信管理系统、采取技术措施对征信业务活动及相关风险进行管控的情况,包括系统功能、网络连接、访问控制、信息安全管理等方面。
(五)落实征信管理工作要求的情况。反映接入机构落实人民银行监管要求和工作部署的情况,包括工作落实、活动开展、意见反馈以及征信调研等方面。 人民银行及其分支机构按照《金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准》(见附),综合各项得分得出接入机构最终的考核计分,考核计分满分为100分。 人民银行根据征信市场发展情况和审慎监管原则,适时调整接入机构考核评级指标与标准。 人民银行及其分支机构坚持分级管辖与属地管理相结合的原则,确定考核评级对象,并按照以下职责分工对接入机构进行考核评级:
(一)人民银行负责对全国性接入机构进行考核评级。
(二)人民银行分支机构负责对辖区内接入机构进行考核评级,并向上级行提供接入机构分支机构的征信合规情况,作为考核评级工作素材。 接入机构考核评级工作每年开展一次,原则上应当于每年3月31日前完成对上一年度的考核评级工作。评级期间为上一年度1月1日至12月31日。
对当年新接入机构不进行考核评级。 全国性接入机构的考核评级按照以下程序进行:
(一)接入机构自评。全国性接入机构对照本办法规定的考核评级内容和标准,实事求是、全面完整开展自评工作,自评结果及相关证明材料应当于每年1月31日前报送人民银行。
(二)人民银行分支机构提供素材。人民银行副省级城市中心支行以上分支机构应当于每年2月底前,将辖区内的全国性接入机构分支机构的征信合规安全情况等素材,汇总报送人民银行。
(三)人民银行考核评级。人民银行在全国性接入机构自评、副省级城市中心支行以上分支机构报送考核评级素材的基础上,对全国性接入机构进行考核评级。
(四)考核评级结果告知。人民银行通过文件、约谈、会议等方式,将考核评级结果及存在的主要问题等告知全国性接入机构。
全国性接入机构对考核评级结果有异议的,可以在收到反馈之日起7个工作日内,提出书面申述,并提交相关证明材料。申述意见成立的,人民银行应当予以采纳,并对考核评级结果进行相应调整。
(五)考核评级结果通报。人民银行于每年3月31日前,以适当方式通报全国性接入机构的考核评级结果。 人民银行分支机构参照本办法第十条规定的程序,组织开展辖区内接入机构的考核评级工作。 接入机构应当对自评结果和相关证明材料的真实性负责。对存在虚假记载、误导性陈述或者重大遗漏等情况的接入机构,人民银行及其分支机构可以视情况,对相关机构和人员采取监管谈话、责令限期整改、下调考核评级结果等措施。 接入机构的自评情况及征信合规安全情况发生重大变化并且足以影响考核评级结果的,人民银行及其分支机构应当对接入机构的考核评级结果及时进行动态调整。 依据考核计分情况,人民银行及其分支机构将接入机构评为A、B、C、D四个等级。其中,90分-100分为A级,75分-89分为B级,60分-74分为C级,59分及以下为 D级。
(一)A级机构:五项基本指标整体优异。征信业务内控机制完善;征信从业人员与用户管理规范;征信业务活动合规开展;信息安全与技术保障能力突出;主动、有效落实征信管理工作的要求。
(二)B级机构:五项基本指标表现良好,个别指标表现一般。征信业务内控机制相对完善;征信从业人员与用户管理较为规范;征信业务合规情况良好;信息安全与技术保障能力较强;落实征信管理工作要求的情况较好。
(三)C级机构:五项基本指标表现一般,存在一定风险隐患。征信业务内控机制基本建立;征信从业人员与用户管理有待加强;征信业务合规情况一般;信息安全与技术保障方面存在风险隐患;基本落实征信管理工作的要求。
(四)D级机构:五项基本指标表现较差,风险隐患严重。征信业务内控机制薄弱;征信从业人员与用户管理、征信业务合规操作或者信息安全与技术保障方面存在重大缺陷;未能有效落实征信管理工作的要求。 考核期内,接入机构存在下列任一情形的,考核评级结果应当下调一级:
(一)因征信违规案件导致多起投诉、诉讼,或者引发社会群体性事件,造成重大负面影响的。
(二)在新闻媒体、网络引发持续性重大负面舆情,造成恶劣社会影响的。
(三)瞒报、迟报、漏报重大风险事件或者违规事件,造成严重后果的。
(四)自评时存在重大隐瞒情形,报送存在虚假记载、误导性陈述或者重大遗漏的文件、资料,情节严重的。
(五)发生3起以上同一类型较为严重的违规事件的。
(六)存在重大风险隐患,经3次以上监管督促仍未积极整改的。
(七)拒绝、阻碍人民银行及其分支机构检查、调查及其他征信管理工作的。
(八)人民银行及其分支机构确定的其他情形。 考核期内,接入机构存在下列任一情形的,其考核评级结果直接定为0分:
(一)发生涉及征信信息犯罪的案件,相关机构或者人员被依法追究刑事责任的。
(二)发生征信信息泄露、买卖征信信息等事件,相关人员被依法采取刑事强制措施的。
(三)发生征信信息泄露、非法查询等违规案件,全国性接入机构被人民银行及其分支机构予以5次以上行政处罚,或者地方性接入机构被予以3次以上行政处罚,且未有效整改、征信合规状况持续恶化、存在重大风险隐患的。
(四)未经批准擅自开展征信机构业务的。 人民银行及其分支机构依据考核评级结果,衡量接入机构征信合规安全管理整体情况和风险程度,并对接入机构采取差异化的监管措施:
(一)对评级结果为“A级”的接入机构,不采取特别的监管措施。
(二)对评级结果为“B级”的接入机构,除日常监管措施以外,责令其限期整改存在的问题,督促其进一步提升合规管理水平。
(三)对评级结果为“C级”的接入机构,除日常监管措施以外,同时采取责令其限期整改、约见谈话、发送风险提示函、增加征信巡查和现场检查频次等监管措施。
(四)对评级结果为“D级”的接入机构,除采取对C级机构的监管措施以外,还可以视情况采取限定范围内通报批评、责成运行机构调整其用户管理权限直至暂停为其提供征信查询服务、临时接管相关信息系统、列为当年现场检查对象等监管措施。
(五)对评级结果为0分的接入机构,除采取对D级机构的监管措施以外,还可以采取责成接入机构内部从严问责、向干部管理部门和纪检监察部门通报、移送司法机关依法追究法律责任等措施。 接入机构的考核评级结果作为人民银行及其分支机构征信管理工作的重要参考,探索作为衔接宏观审慎、金融稳定等其他有关政策的参考依据之一。 考核评级结果仅供人民银行及其分支机构开展征信监管使用,不得用于其他目的,法律法规和本办法另有规定的除外。
接入机构不得将考核评级结果用于广告、宣传、营销等商业目的。 人民银行副省级城市中心支行以上分支机构可以按照本办法,结合当地具体情况,制定本辖区的实施细则。 本办法所称全国性接入机构是指国家开发银行等21家全国性银行业金融机构。全国性接入机构以外的其他接入机构均归为地方性接入机构。
本办法所称辖区内接入机构是指受当地人民银行分支机构管理的全国性接入机构的分支机构、地方性接入机构和其他省(区、市)地方法人接入机构在辖区内的分支机构。 其他征信机构和信用评级机构及其接入机构的征信合规与信息安全年度考核评级,参照本办法执行。 本办法由人民银行负责解释。 本办法自印发之日起施行。
附:金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准
附
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 一、征信业 务内控机制 (10分) | 1.组织设置 及运转 (2分) | 1.1组织设置 | 1 | 接入机构组织架构有明确的征信工作 分管行领导和征信牵头部门 有健全的 工作机制。各征信相关部门间能合理分 工、协同合作,确保征信各项工作有序 开展。 | 1.征信工作领导机制健全、牵头部门明确、相关部门和岗位设置合理,得1分。 2.存在领导机制不健全、牵头部门不明确或者部门岗位设置不合理的 每项扣0.2分, 扣完为止。 |
| 1.2工作运转 | 1 | 征信牵头部门建立了完善的征信工作 协调机制,能通过征信工作例会、发送 工作联系函等各种方式有效落实征信 合规与安全管理要求。 | 1.牵头部门建立征信工作协调机制,通过定期开展征信工作例会、发送工作联系函 等方式,积极组织相关业务部门落实征信合规有关要求,在被评价期间,工作例会 原则上不少于4次,得1分。 2.牵头部门未建立征信工作协调机制,造成征信工作不能得到有效落实的,按照未 得到落实征信工作的次数,每次扣0.2分,扣完为止。 | ||
| 2.管理制度 及措施 (4分) | 2.1制度建设 | 2 | 建立了本级征信业务合规与安全管理 制度 包括信用信息报送、查询、使用, 异议处理、用户管理、安全管理、贷后 管理、责任追究、风险监测报告、应急 处置机制和各级管理人员与从业人员 全员合规教育轮训等内部管理制度和 操作规程。 | 1.建立健全征信业务合规与安全管理制度,包括信用信息报送、查询、使用、异议 处理、用户管理、安全管理、贷后管理、责任追究、风险监测报告、应急处置机制 和各级管理人员与从业人员全员合规教育轮训等内部管理制度和操作规程,得2分。 2.存在未建立相关制度或者制度明显不完善等情况的,按所涉及的制度项目,每项 扣0.2分。其中,缺少责任追究制度或者风险监测报告制度的,每项扣0.5分,扣完 为止。 | |
| 2.2及时修订 | 1 | 能根据新的监管要求和形势发展及时 制定、修订征信业务相关制度。 | 1.根据形势发展及时做好征信业务相关制度修订工作 将新业务及时纳入制度规范, 确保业务开展和征信内控制度符合监管要求,得1分。 2.未根据要求及时修订征信相关制度的,按所涉及的制度项目,每项扣0.2分,扣完 为止。 | ||
| 2.3报备情况 | 1 | 向人民银行报备征信管理相关制度和 征信合规管理工作联系人。发生变动 的,按照当地监管要求及时报备。 | 1.按规定及时向人民银行报备征信管理相关制度及征信合规管理工作联系人,得1 分。 2.未根据要求报备征信制度的,按所涉及的制度项目,每项扣0.2分,扣完为止。 | ||
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 一、征信业 务内控机制 (10分) | 3.内部审计 及监督 (4分) | 3.1审计开展 | 2 | 在评价年度 内组织开展征信业务的内 部审计,审计内容应涵盖制度建设、用 户管理、查询使用、信息安全及本指标 内提到的其他内容。 | 1.在被评价年度期间 积极组织开展内部业务审计 完善内部监督检查机制 得2分, 2.在被评价年度期间,未开展业务审计的,不得分。 |
| 3.2结果报告 | 2 | 在内部审计结束后的一个月内 向人民 银行报告审计情况和发现的问题 并提 出整改措施。 | 1.开展内部检查或者审计后,能够及时向人民银行报告检查和审计结果,得2分。 2.未按规定进行报备的,每次扣0.5分,扣分最高不超过2分。 3.在被评价年度期间,未开展业务审计的,不得分。 | ||
| 二、人员与 用户管理 (20分) | 4.人员配备 (6分) | 4.1人员配置 | 2 | 根据本机构征信业务活动的实际情况, 是否为征信管理牵头部门及各相关部 门配备必要的岗位和人员 包括管理人 员、业务人员、技术人员和安全监控人 员等。 | 1.涉及征信数据报送、异议处理、查询、使用、存储(保管)等工作的相关部门, 要明确专人负责本部门的征信管理工作,为接入机构内部征信管理工作正常运转提 供人员保障。 2.凡涉及征信相关工作的部门,未明确专人负责本部门征信管理工作的,按所涉及 的部门数量,每个部门扣0.5分,扣完为止。 同时考虑到基层分支机构的人员配备情况,可以备注:部门征信管理专责人员可以 是征信系统用户操作人员。 |
| 4.2全员岗位 教育培训 | 2 | 是否完成全员岗位教育轮训任务 每个 上岗人员岗前培训和测试记录是否完 整。 | 1.通过全员岗位教育轮训和测试,使得上岗人员具备一定的征信专业知识和必备的 业务能力,得2分。 2.未开展或者未完成全员岗位教育轮训和测试的,每次扣0.5分,扣完为止。 | ||
| 4.3从业记录 | 2 | 抽查征信从业人员从业记录是否完整、 准确;是否按规定对人员动态调整。 | 1.建立征信从业人员执业记录制度,详细记载从业人员的基本信息(姓名、身份证 件号码、员工号、部门、岗位等、培训及测试结果、征信岗位变动记录、内部追责 记录(时间、事由、责任等、征信监管部门处罚记录等,明确因工作不力暂停或者 禁止从事征信岗位工作的具体情形,并根据工作记录情况,对征信从业人员进行动 态调整,得2分。 2.未建立有效的从业人员执业记录制度;未严格执行制度规定对从业人员进行动态 调整,影响相关工作正常开展的,每次扣0.5分,扣完为止。 | ||
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 二、人员与 用户管理 (20分) | 5.征信系统 用户管理 (8分) | 5.1数量合理 性 | 1 | 核实用户数量是否符合安全且必要的 原则。 | 1.按照安全且必要的原则确定合理的用户数量,得1分。(1)全国性接入机构已设置 统一查询用户的,在金融信用信息基础数据库用户设置不得超过三级,顶级机构管 理员、报送用户不超过2个(含)、查询用户和异议处理用户不超过5个(含),二级 和三级机构管理员用户1个,查询和异议处理用户不超过2个(含)。(2)全国性接入 机构使用前置系统或者在其他业务系统触发查询的用户,依据系统安全管控情况合 理设置用户数量:系统无法有效实现“查询前有严格的真实性、合规性审核,查询 后对信用报告打印、下载进行有效管控的”,原则上应采取集中查询,按照每个用户 日均查询150-250笔的业务量确定集中查询用户数量;系统能够有效实现管控的 可 以按照分支机构业务开展情况设置分散查询用户,原则上按每个用户日均查询不低 于20笔设置查询用户数量 对连续6个月日均查询低于20笔的用户 应予以暂停。(3) 地方性接入机构用户数量的确定标准由当地人民银行分支机构根据实际情况确定。 2.征信用户设置不合理,用户数量明显不符合安全管理和业务实际的,用户数量与 业务实际的偏差超过15%、在30%(含)以内的,得0.5分;偏差超过30%的,不得分。 |
| 5.2实名与备 案 | 2 | 每个征信系统用户操作人(统一查询用 户责任人)是否落实实名制;是否按规 定向当地人民银行分支机构备案。 | 1.严格落实征信用户实名制管理,并在用户(含征信前置系统用户)设立及变更后 按规定向当地人民银行分支机构备案,得2分。直接在金融信用信息基础数据库设立 的用户(含统一查询用户)和前置系统以及其他系统具有管理员角色的用户应在创 建或者变更之日起2个工作日内向当地人民银行分支机构备案 其他用户按季度向当 地人民银行分支机构备案。 2.未落实用户实名管理的,每次扣0.2分,扣完为止;未按规定进行报备的,每次扣 0.5分,扣分最高不超过1分。 | ||
| 5.3兼任和公 共用户情况 | 1 | 是否存在用户兼任和公共用户的情况。 | 1.不存在管理员用户、数据上报用户和查询用户互相兼任情况,不存在公共用户的 情况,得1分。 2.出现兼任或者公共用户现象,不得分。 | ||
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 二、人员与 用户管理 (20分) | 5.征信系统 用户管理 (8分) | 5.4用户停用 | 1 | 人事部门离岗、离职审批记录是否有征 信牵头部门出具的用户停用证明资料; 系统中连续30天未进行查询操作的用 户是否锁定 锁定后是否有相应的核查 记录。 | 1.在征信系统停止或者注销用户权限,用户操作员方可离岗或者离职;连续30天未 进行查询操作的查询用户,应立即锁定,经核实发现用户已调离或者属于不合理用 户,应立即在相关系统停止或者注销其查询权限,得1分。 2.未按上述要求开展的,每次扣0.5分,扣完为止。 |
| 5.5用户管理 审批 | 1 | 除系统自动处理外 其他用户管理操作 (包括创建、变更、停用、锁定、启用 等)是否有相应的内部审批记录。 | 1.除系统自动处理外,其他用户管理操作(包括创建、变更、停用、锁定、启用等) 均经过内部审批,得1分。 2.存在未经过内部审批,进行相关用户管理操作情况的,不得分。 | ||
| 5.6密码管理 | 1 | 对金融信用信息基础数据库的用户密 码管理工作进行现场抽查或者通过提 取后台日志查看用户密码控制是否合 规;前置系统或者其他可查询信用报告 的系统是否按考评标准对密码管理做 了程序控制。 | 1.用户口令密码使用规范,符合用户口令控制制度,用户密码不少于8位,至少包括 大写英文字母、小写英文字母和阿拉伯数字,密码更改周期不超过30天,不存在密 码重复循环使用的,得1分。 2.未及时修改初始密码或者未执行口令管理制度的,每次扣0.5分,扣完为止。 | ||
| 5.7非正式员 工用户设置 | 1 | 在人事部门核实征信系统用户操作人 员身份,查看是否存在非正式员工。 | 1.不存在为非正式员工(指接入机构未与其签订正式劳动合同的员工,如劳务派遣 工、临时工等)设置征信系统用户的情况,得1分。 2.出现非正式人员担任征信系统用户的现象,不得分。 | ||
| 6.合规培训 与教育 (6分) | 6.1岗位针对 性 | 2 | 不同层级、不同岗位的人员是否参加培 训 培训是否针对不同岗位讲解了相应 的内容,培训会议通知、参会人员签到 表、培训课件是否归档保存。 | 1.能够针对不同机构层级、不同岗位的特点和要求参加培训,得2分。 2.培训具有一定的针对性,得1分。 3.参加培训未区分不同机构层级、不同岗位,不得分。 | |
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 二、人员与 用户管理 (20分) | 6.合规培训 与教育(6 分) | 6.2内容有效 性 | 2 | 培训内容包含风险警示与安全教育、人 民银行最新的监管要求、征信相关管理 制度、业务操作流程;除监管部门认可 的统一培训要求以外 是否开辟内训和 业务交流平台等。 | 1.全员征信合规培训测试合格率达到80%(含)以上的,得2分。 2.全员征信合规培训测试合格率达到60%(含)以上不足80%的,得1分。 3.全员征信合规培训测试合格率低于60%的,不得分。 |
| 6.3培训覆盖 面 | 2 | 各级机构征信从业人员培训记录(如培 训通知、签到表、培训测试结果等)。 | 1.在评价年度期间积极组织参加征信培训教育活动,参训人员覆盖全部征信从业人 员,得2分。 2.参加培训教育活动,但覆盖面不足60%的,得1分。 3.未参加培训教育活动或者培训教育活动流于形式的,不得分。 | ||
| 三、征信业 务合规操作 (30分) | 7.信息报送 (5分) | 7.1授权报送 | 1 | 向金融信用信息基础数据库报送信贷 信息的 须事先取得信息主体的书面同 意(含合法的电子授权)。 | 1.报送信贷信息,均事先取得信息主体书面同意(含合法的电子授权)的,得1分。 2.未取得信息主体书面同意报送信贷信息的,每笔扣o.2分,扣完为止。 |
| 7.2不良信息 报送告知 | 2 | 向金融信用信息基础数据库报送个人 不良信息前 应当事先告知信息主体本 人。 | 1.报送个人不良信息前,均事先告知信息主体本人,得2分。 2.履行个人不良信息报送告知义务不全面、不合规的,每笔扣0.5分,扣完为止。 3.未按规定进行不良信息告知且造成重大不良影响的,不得分。 | ||
| 7.3数据质量 | 2 | 准确、及时、完整向金融信用信息基础 数据库报送企业或者个人信用信息。 | 1.准确、及时、完整向金融信用信息基础数据库报送信用信息的,得2分。 2.在征信中心的企业、个人数据质量考评中,平均得分在96(含)-97分(不含)的 扣0.5分;得分在95(含)-96分(不含)的扣1分;得分低于95分(不含)的,本项 不得分; 因数据错误引发异议的,发现一笔扣0.5分,扣分最高不超过1分;按照接 口规范应报送的某类业务数据未正常报送的,发现一次扣1分,扣分最高不超过2分。 | ||
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 三、征信业 务合规操作 (30分) | 8.信息查询 (6分) | 8.1授权查询 | 3 | 向金融信用信息基础数据库查询个人 信息或者企业信贷信息的 应当取得信 息主体的书面同意(含合法的电子授 权)并约定用途。严禁无授权查询、超 出授权期限查询等违规行为。 | 1.查询个人信息和企业信贷信息,均事先取得信息主体的书面同意(含合法的电子 授权),且授权真实、合法、有效,得3分。 2.查询前未取得信息主体真实有效的书面授权的,每笔扣1分,扣完为止:存在授权 日期晚于查询日期、无法提供授权书原件等情况的,视同未取得授权。 3.未按规定进行查询授权造成重大不良影响(被监管部门通报、公安机关立案、2名 以上客户投诉或者诉讼、新闻媒体负面报道等)的,不得分。 |
| 8.2规范授权 | 2 | 应规范获得信息主体授权文本填写规 范、授权要素齐全。 | 1.授权文本填写规范、授权要素齐全,得2分。 2.被授权对象、授权期限、查询原因及用途、授权主体(签字或者盖章)、授权作出 日期等要素不全的,每笔扣0.1分;文本表述不符合《征信业管理条例》及《中国人 民银行征信中心关于共同落实<征信业管理条例>有关事项的函》(中征便函[2013] 195号)规定的,每处扣0.1分; 以格式合同取得信息主体授权,但未作出足以引起 信息主体注意提示的 每笔扣0.1分;存在明显扩大自身权利、加重信息主体责任的, 每笔扣0.1分;扣完为止。 | ||
| 8.3查询登记 | 1 | 建立完善查询登记制度或者查询管理 系统,逐条记录查询行为,并确保只有 经过内部授权的人员才能调阅存档征 信信息或者对已授权信息主体进行贷 后管理查询。 | 1.对工作人员查询企业、个人信用报告情况进行纸质或者电子登记,如实、全面、 完整地记载查询人员的姓名(企业名称)、有效证件号码、查询时间、内容及用途, 得1分。 2.查询不如实登记或者登记不完整的,每笔扣0.2分,扣完为止。 3.工作人员调阅已存档企业、个人信用报告,或者对已授权信息主体进行贷后管理 发起查询的,须经其主管人员内部授权,未建立内部授权机制的扣0.5分;建立内部 授权机制但未严格执行的,每笔查询扣0.1分。 4.未建立查询登记制度或者查询管理系统的,不得分。 | ||
| 9.信息对外 提供及使用 (6分) | 9.1不得用于 约定外用途 | 1 | 按照与信息主体的约定用途使用个人 信息,不得用作约定之外的用途;约定 用途应当明确、具体,不得宽泛、模糊 或者空缺 也不得超出金融机构业务办 理的合理需要。 | 1.合理约定用途并严格按照约定用途使用个人信用信息,得1分。 2.未约定用途或者约定的用途不明确的,每笔扣0.1分;约定的用途超出业务办理的 合理需要,每笔扣0.1分;将个人信用信息用作约定以外的用途,每笔扣0.5分,扣 完为止。 3.未按约定用途使用个人信用信息,造成重大不良影响(被监管部门通报、公安机 关立案、2名以上客户投诉或者诉讼、新闻媒体负面报道等)的,不得分。 | |
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 三、征信业 务合规操作 (30分) | 9.信息对外 提供及使用 (6分) | 9.2不存在违 法提供及出 售信息 | 3 | 不得违法提供或者出售个人信息;未经 信息主体同意 不得向第三方提供个人 信息。 | 1.不存在违法提供以及出售信息的情况,得3分。 2.出现违法提供以及出售信息的情况,不得分。 |
| 9.3不存在泄 露信息 | 2 | 接入机构应在信息报送、传输、查询、 保存、使用等业务环节采取有效措施, 切实保障信息安全,防止因人员疏忽, 系统故障或者漏洞等原因导致信息泄 露。 | 1.不存在泄露信息的情况,得2分。 2.在信息采集、传输、保存、使用等业务环节中, 因人员疏忽、系统故障或者漏洞 等原因导致泄露信息的,每次扣0.5分,扣完为止。 3.因泄露信息,造成重大不良影响(被监管部门通报、公安机关立案、2名以上客户 投诉或者诉讼、新闻媒体负面报道等)的,不得分。 | ||
| 10.异议、投 诉及涉诉案 件处理 (6分) | 10.1异议处 理 | 1 | 对于自行受理的或者征信机构转交的 异议申请 在规定时限内进行异议核查 与处理,并按时进行书面回复。 | 1.未发生异议的,得1分;积极、认真地受理异议,自收到异议之日起20日内进行核 查和处理,对征信中心转办的异议自受理之日起12日内回复核查结果的,得1分。 2.未按规定时限进行回复,每次扣0.2分;拒绝客户异议申请或者异议处理不当导致 投诉的,每次扣0.5分; 引发诉讼案件的,每次扣0.5分;扣完为止。引发诉讼且败 诉的,不得分。 | |
| 10.2数据更 止 | 1 | 及时对确为错误、遗漏的数据予以更 正。 | 1.对确有错误和遗漏的信息及时更正的,得1分。 2.发现数据错误、遗漏,未及时更正的,每次扣0.2分;由于数据更正不及时导致出 现投诉事件的,每次扣0.5分; 引发诉讼案件的,每次扣0.5分;扣完为止。引发诉 讼且败诉的,不得分。 | ||
| 10.3情况记 载 | 1 | 对经核查不能确认的异议信息 接入机 构应按规定记载核查情况和异议内容。 | 1.经核查仍不能确认,按规定记载核查情况和异议内容,得1分。 2.未按规定记载核查情况和异议内容的,每次扣0.2分,由于未进行记载出现投诉事 件的,每次扣0.5分;引发诉讼案件的,每次扣0.5分;扣完为止。引发诉讼且败诉 的,不得分。 | ||
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 三、征信业 务合规操作 (30分) | 10.异议、投 诉及涉诉案 件处理(6 分) | 10.4投诉办 理 | 2 | 应积极配合当地人民银行分支机构办 理投诉 按照规定及时核查并提交书面 说明和证明材料。 | 1.未发生投诉的,得2分;积极配合当地人民银行分支机构办理投诉,按照规定及时 提交书面说明,并提供相关证明材料,得2分。 2.未按规定配合当地人民银行分支机构办理投诉的,每次扣1分,由于投诉办理配合 不当发生诉讼案件的,每次扣1分;扣完为止。引发诉讼且败诉的,不得分。 |
| 10.5涉诉案 件 | 1 | 发生征信诉讼应及时向当地人民银行 分支机构报告 并积极做好征信诉讼应 对、处置工作。 | 1.未发生除异议处理、投诉办理不当之外的违规行为所引发的征信诉讼案件或者发 生此类征信诉讼案件后,能够及时报告当地人民银行分支机构,并妥善处置的,得1 分。 2.发生征信诉讼案件,未向当地人民银行分支机构报告的,发现一起扣0.2分,扣完 为止。 3.发生征信诉讼案件且败诉的,不得分。 | ||
| 11.征信系 统接入机构 设置 (3分) | 11.1接入机 构创建 | 2 | 按业务实际需要创建接入机构 接入机 构信息录入齐全。 | 1.按照不同层级接入机构的业务实际,按要求及时在征信系统中创建相应的接入机 构信息,或者及时提请征信中心创建,得2分。 2.未按要求创建或者未提请创建相应层级接入机构的,每次扣0.5分,扣完为止。 | |
| 11.2接入机 构变更 | 1 | 接入机构发生变动时及时报告当地人 民银行分支机构及时维护更新接入机 构信息。 | 1.出现接入机构合并、分立、撤销情况的,按要求及时进行接入机构信息的变更和 维护,得1分。 2.未按要求进行接入机构信息变更维护的,每次扣0.2分,扣完为止。 | ||
| 12.业务资 料保存 (4分) | 12.1资料存 档 | 2 | 制定完善的纸质及电子档案保管制度, 按照企业、个人查询操作规程及异议处 理操作规程等规定对征信授权材料、信 用报告等资料进行归档管理。 | 1.对征信业务相关资料(包括拒贷、异议和投诉等)建档管理,保存安全、规范、 有序,资料留存完整,得2分。 2.资料存档出现不完整、不规范等问题的,每笔扣0.5分,扣完为止。 3.未对资料进行存档的,不得分。 | |
| 12.2档案查 阅 | 2 | 建立完善的纸质及电子档案调阅的授 权审批制度 确保无关人员不得接触信 息主体信用信息 | 1.纸质及电子档案管理规范,确保无关人员不得接触信息主体信用信息,得2分。 2.存在无关人员接触信息主体信用信息的情况,每次扣1分,扣完为止。 3.因管理不规范,导致信息泄露的,不得分。 | ||
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 四、信息安 全与技术保 障 (30分) | 13.系统功 能 (10分) | 13.1征信系 统用户信息 泄露防范 | 3 | 评价接入机构对本单位征信用户信息 泄露的防范水平和对非本单位征信用 户登录的防范水平 包括是否统一管理 查询用户、对外屏蔽用户名和密码、对 通过网页查询直接访问征信系统的行 为进行严格控制、防止外单位用户登录 等方面。 | 1.统一管理征信查询用户 对通过网页查询直接访问征信系统的行为进行严格控制, 对外屏蔽内部征信系统实际用户和密码,从而有效避免征信系统用户和密码的外泄 或者盗用,并彻底防堵外单位征信用户的借道查询问题,得3分。 2.存在功能不完善等问题的,每处扣1分,扣完为止。 3.未实现上述功能的,不得分。 |
| 13.2登录控 制 | 2 | 评价接入机构对征信用户登录的控制 水平,确保登录人使用本人用户登录, 防范征信用户被冒用、盗用及设立公共 用户情况发生。 | 1.完善系统登录方式,采取动态密码、完善静态密码编制规则、密码和登录用户相 分离、用户和IP地址相关联等一种或者几种组合措施 有效杜绝盗用用户登录现象, 得2分。 2.存在功能不完善等问题的,每处扣0.5分,扣完为止。 3.未实现上述功能的,不得分。 | ||
| 13.3异常监 控 | 2 | 评价接入机构对异常查询的控制水平。 | 1.对用户活动进行异常监测,合理设定监测闽值,出现问题及时阻断查询,得2分。 2.存在功能不完善等问题的,每处扣0.5分,扣完为止。 3.未实现上述功能的,不得分。 | ||
| 1 3.4操作记 录 | 3 | 评价接入机构对征信操作的记录水平。 | 1.系统后台自动记录用户名称、操作内容及计算机网络地址,使得各项操作有记录, 可定位、可追溯,得3分。 2.存在功能不完善等问题的,每处扣1分,扣完为止。 3.未实现上述功能的,不得分。 | ||
| 14.网络通 信安全 (10分) | 14.网络通信 安全 | 10 | 评价接入机构对与征信工作相关网络 通信的安全管理水平。 | 1.与征信工作相关的网络通信符合有关安全标准 严格落实网络通信安全管理规范, 得10分。 2.存在一定网络通信安全隐患的,每处扣2分,扣完为止。 3.网络通信不符合安全标准,存在重大安全隐患的,不得分。 | |
| 金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准 | |||||
| 评价项目 | 一级指标 | 二级指标 | 分值 | 评价内容 | 计分标准 |
| 四、信息安 全与技术保 障(30分) | 15.信息安 全管理 (10分) | 15.1安全管理 | 5 | 评价接入机构对查询行为和查询设 备的监控水平。 | 1.对查询行为进行有效监控,对直接登录金融信用信息基础数据库的查询行为进行 视频监控,对直接登录金融信用信息基础数据库的查询机专机专用,对查询机安装 第三方软件和数据向外转移进行严格管控,得5分。 2.存在一定安全隐患的,每处扣1分,扣完为止。 3.不符合安全标准,存在重大安全隐患的,不得分。 |
| 15.2信用信息 使用管理 | 5 | 评价接入机构对本地存储的信用信 息的管理水平。 | 1.对本地存储的电子信用报告进行妥善保管,信用报告缓存期限最长不得超过5年, 对本地缓存个人信用报告向外转移进行严格管控,得5分。 2.存在管理不完善等问题的,每处扣1分,扣完为止。 3.未采取上述管理措施的,不得分。 | ||
| 五、落实征 信管理工作 要求 (10分) | 16.工作落 实及活动开 展 (3分) | 工作落实及活 动开展 | 3 | 本机构部署、落实和参加征信管理工 作的情况。 | 1.积极参加征信管理活动,认真落实征信工作部署,得5分。 2.落实征信工作部署不到位,未按照要求参加活动或者开展活动的,每次扣1分 扣 完为止。 |
| 17.意见反 馈及征信调 研 (4分) | 意见反馈及征 信调研 | 4 | 征信调查研究和情况反馈工作。 | 1.有效配合征信管理工作,为征信工作提出建设性意见和建议,积极配合或者主动 开展征信有关调研及情况反馈的,得5分。 2.工作敷衍或者所提意见建议质量差的,每次扣1分,扣完为止。 | |
| 18.创新工 作(3分) | 加分项 | 3 | 亮点和创新工作。 | 1.提出合理性建议且被采纳;积极配合开展征信各项工作并受到表扬表彰;有关经 验和做法得到考核单位认可或者得到推广应用的,加2分。 2.整体征信工作一般,有关建议未被采纳、征信工作未受表扬表彰或者有关经验做 法未得到推广的,不得分。 3.加上该项得分后,接入机构的最终考核评级得分为满分的,不再加分。 | |
附件4
征信信息安全巡查试行办法
巡查目标征信监管部门依法巡查征信信息泄露问题和征信信息安全隐患,及时发现、及时处置,确保不发生征信信息安全重大风险事件。 巡查对象
金融信用信息基础数据库运行机构(以下简称运行机构)、征信机构及其接入机构,人民银行分支机构。 巡查组织
按照分级负责的原则,采取监管走访的形式组织巡查工作。人民银行组织实施对运行机构、全国性接入机构、人民银行副省级城市中心支行以上分支机构的征信信息安全巡查工作;人民银行副省级城市中心支行以上分支机构组织实施对辖区内征信机构、地方性接入机构、全国性接入机构的分支机构、人民银行基层机构的征信信息安全巡查工作。
人民银行及其副省级城市中心支行以上分支机构根据征信合规管理情况,制定年度巡查工作计划,定期或者不定期开展征信信息安全巡查。
人民银行分支机构可结合当地实际,制定征信信息安全巡查工作实施细则,组织实施辖区内征信信息安全巡查工作。人民银行分支机构应当采取有效方式,两年内逐步实现辖区内征信信息安全巡查工作全覆盖。
人民银行各级征信管理部门(以下称巡查组织单位)负责建立征信信息安全巡查组(以下简称巡查组)。巡查组实行组长负责制,巡查组组长为巡查工作的第一责任人。巡查组组长由巡查组织单位的主要负责人担任,组员由巡查组织单位的工作人员和其他相关人员组成。 巡查内容
运行机构、征信机构及其接入机构的征信信息安全管理工作等情况,以及人民银行分支机构贯彻落实总行征信信息安全工作情况。
(一)对运行机构、征信机构及其接入机构的巡查内容。
1.征信管理法律、法规、规章和规范性文件的执行情况。
2.人民银行征信信息安全管理工作要求贯彻落实情况。
3.征信系统用户管理、征信信息查询管理、自助查询机管理、征信异议处理和投诉办理等情况。
4.征信内控制度及问责制度、征信信息安全情况报告制度、征信合规与信息安全自查自纠制度和征信信息安全事件应急处置机制建设情况,征信信息安全管理责任体系建立及落实情况。
5.征信信息安全内部日查制度、征信合规性全员教育培训制度等执行情况。
6.征信信息系统安全保障情况。
7.年度考核评级中存在问题以及现场检查中发现问题的整改情况。
8.其他需要巡查的内容。
(二)对人民银行分支机构的巡查内容。
1.征信管理法律、法规、规章和规范性文件的执行情况。
2.总行征信信息安全管理工作要求贯彻落实情况。
3.征信信息安全管理责任体系建立及落实情况。
4.征信信息安全管理工作机制建立及运行情况。
5.征信信息安全巡查工作开展情况。
6.征信分中心查询服务合规情况,包括征信系统用户管理、征信信息查询管理、自助查询机管理和征信异议处理等情况。
7.当地接入机构管理情况。
8.其他需要巡查的内容。 巡查程序
(一)巡查组对巡查对象开展巡查前,应当由单位分管领导或者部门主要负责人批准;在开展征信信息安全巡查时,巡查组工作人员不得少于2人,并出示合法证件。
(二)巡查组召开座谈会,听取巡查对象关于征信信息安全管理工作的汇报,对有关情况进行问询。
(三)巡查组查阅有关文件、档案、会议记录等资料。
(四)巡查组现场核查征信信息安全管理工作情况。
(五)巡查组在巡查工作结束后10个工作日内,向巡查组织单位报送巡查工作报告。
(六)巡查组织单位根据巡查工作报告向巡查对象反馈相关巡查情况,指出问题、隐患,提出整改意见。对巡查中发现的征信信息安全重大风险事件或者线索,由人民银行系统同级机构依法启动执法检查程序或者责令巡查对象依法向公安机关报案。 有关工作要求
(一)巡查工作要坚持依法合规、客观公正、深入细致,严谨求实。巡查人员应当严格执行工作纪律,不得擅自泄露巡查过程中知悉的相关信息,并严格遵守廉洁自律各项规定。
(二)巡查对象要自觉接受巡查,积极配合,如实反映征信信息安全管理工作情况,及时、完整提供相关文件、资料。对巡查发现的问题和隐患,立即组织整改,并在接到整改反馈后的15个工作日内按要求将整改情况报送巡查组织单位和有关部门。
(三)巡查组对巡查发现的问题和隐患要督促整改落实;对问题严重、整改不力的,由人民银行或者其分支机构依法依规追究相关单位及个人的责任。巡查工作开展情况纳入年度考核。
