JR∕T 0117-2014 征信机构信息安全规范(金融)
|
ID: |
88819366792F4A85998CF1C12F676ECA |
|
文件大小(MB): |
0.44 |
|
页数: |
30 |
|
文件格式: |
|
|
日期: |
2021-12-21 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 35.240.40,A 11,备案号: JR,中华人民共和国金融行业标准,JR/T 0117-2014,征信机构信息安全规范,Specification for information security of credit information service agency,2014-11-17 发布 2014-11-17 实施,中国人民银行 发布,JR/T 0117-2014,I,目 次,目 次 . I,前 言 II,1 范围 . 1,2 规范性引用文件 1,3 术语和定义 . 1,4 符号和缩略语 .. 2,5 征信系统概述 .. 2,5.1 系统标识 . 2,5.2 系统定义 . 2,5.3 系统描述 . 3,6 总体要求 3,7 安全管理 4,7.1 安全管理制度 4,7.2 安全管理机构 5,7.3 人员安全管理 6,7.4 系统建设管理 8,7.5 系统运维管理 .. 11,8 安全技术 .. 15,8.1 客户端安全 . 15,8.2 通信网络安全 .. 16,8.3 服务器端安全 .. 17,9 业务运作 .. 23,9.1 系统接入 23,9.2 系统注销 23,9.3 用户管理 24,9.4 信息采集和处理 24,9.5 信息加工 25,9.6 信息保存 25,9.7 信息查询 25,9.8 异议处理 25,9.9 信息跨境流动 .. 26,9.10 研究分析 .. 26,9.11 安全检查与评估 .. 26,JR/T 0117-2014,II,前 言,本标准按照GB/T 1.1-2009给出的规则起草,本标准由中国人民银行提出,本标准由全国金融标准化技术委员会(SAC/TC 180)归口,本标准起草单位:中国人民银行征信管理局、中国金融电子化公司,本标准主要起草人:王煜、陈波、张永福、李斌、李家先、王俊山、王晓燕、马国照、谢业华、常,可、陈广辉,JR/T 0117-2014,1,征信机构信息安全规范,1 范围,标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面,标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安,全性依据。接入征信机构信息系统的信息提供者、信息使用者也可参照与本机构有关的条款执行,标准,还可作为专业检测机构开展检测、认证的依据,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求,ISO/IEC 27001:2013 信息技术 安全技术 信息安全管理体系,3 术语和定义,下列术语和定义适用于本文件,3.1,征信业务credit information service,对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使,用者提供的活动,3.2,征信机构 credit information service agency,依法设立的,主要经营征信业务的机构,3.3,征信系统 credit information system,征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的,企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统,3.4,互联网 internet,因特网或其他类似形式的通用性公共计算机通信网络,3.5,JR/T 0117-2014,2,敏感信息 sensitive information,影响征信系统安全的密码、密钥以及业务敏感数据等信息,密码包括但不限于查询密码、登录密码、,证书的PIN等,密钥包括但不限于用于确保通讯安全、报文完整性等的密钥,业务敏感数据包括但不限,于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据,3.6,客户端程序 client program,征信机构开发的、通过浏览器访问征信系统并为征信系统客户提供人机交互功能或实现征信系统其,他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插,件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的,软件接入征信系统的客户端程序,3.7,安全规范测评 test and evaluation of security specifications,按照本规范要求对征信机构进行安全测评的活动,4 符号和缩略语,以下缩略语和符号表示适用于本文件:,B/S 浏览器/服务器(Browser/Server),CA 数字证书签发和管理机构(Certification Authority),C/S 客户机/服务器 (Client/Server),IPSEC IP安全协议(IP Security Protocol),SSL 安全套接字层(Secure Sockets Layer),TLS 传输层安全(Transport Layer Security),WTLS 无线传输层安全(Wireless Transport Layer Security),5 征信系统概述,5.1 系统标识,在系统标识中应标明以下内容:,名称:XXXX征信系统/信用信息系统/信用信息平台(全称或简称),5.2 系统定义,征信系统是指征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在,社会各领域……
……