JR/T 0117-2014《征信机构信息安全规范》

JR/T 0117-2014《征信机构信息安全规范》基本信息

标准号：JR/T 0117-2014

中文名称：《征信机构信息安全规范》

发布日期：2014-11-17    

实施日期：2014-11-17

发布部门：中国人民银行    

JR/T 0117-2014《征信机构信息安全规范》介绍

中国人民银行于2014年11月17日发布了《征信机构信息安全规范》（以下简称“本标准”），并自发布之日起实施。

一、标准概述

本标准规定了征信机构在信息安全管理方面的基本要求，包括组织管理、资产管理、人力资源管理、物理与环境安全、通信与运营管理、访问控制、信息系统获取、开发与维护、信息安全事件管理、业务连续性管理、合规性管理等十个方面。

二、组织管理

本标准强调征信机构应建立信息安全管理体系，明确信息安全管理的职责和权限。具体要求包括：

1、设立专门的信息安全管理机构，负责组织、协调和监督信息安全管理工作；

2、明确信息安全管理的职责和权限，确保信息安全管理工作的顺利进行；

3、定期对信息安全管理工作进行评估和审计，确保信息安全管理体系的有效运行。

三、资产管理

征信机构应建立资产管理制度，确保信息资产的安全。具体要求包括：

1、对信息资产进行分类和标识，明确资产的价值和重要性；

2、建立信息资产的使用、维护和处置制度，确保信息资产的安全；

3、对信息资产进行定期检查和评估，及时发现和处理安全隐患。

四、人力资源管理

1、明确员工的信息安全职责和权限，确保员工能够按照规定履行信息安全管理职责；

2、定期对员工进行信息安全培训和教育，提高员工的信息安全意识和技能；

3、对员工进行信息安全考核和评价，确保员工具备履行信息安全管理职责的能力。

五、物理与环境安全

1、对信息处理和存储的场所进行安全防护，防止非法入侵和盗窃；

2、建立访问控制制度，限制非授权人员进入敏感区域；

3、加强对信息处理设备的安全管理，确保设备的安全运行。

六、通信与运营管理

1、建立通信安全制度，确保信息传输的安全性和可靠性；

2、加强对信息处理和存储设备的监控和管理，防止信息泄露和篡改；

3、建立信息备份和恢复机制，确保信息的安全存储和快速恢复。

七、访问控制

1、对信息资产进行访问控制分类，明确不同级别的访问权限；

2、建立用户身份认证和授权机制，确保只有授权用户才能访问信息资产；

3、定期对访问控制机制进行检查和评估，确保访问控制的有效性。

八、信息系统获取、开发与维护

1、对信息系统进行安全评估和测试，确保信息系统的安全性；

2、建立信息系统的开发、维护和更新制度，确保信息系统的持续安全；

3、对信息系统的供应商进行安全评估和管理，确保供应商的可靠性。

九、信息安全事件管理

1、建立信息安全事件的报告、记录和处理制度，确保信息安全事件得到及时处理；

2、对信息安全事件进行分析和评估，找出原因并采取改进措施；

3、定期对信息安全事件管理制度进行评估和修订，确保制度的有效性。

十、业务连续性管理

1、建立业务连续性计划，明确业务中断时的应对措施；

2、对业务连续性计划进行定期测试和评估，确保计划的有效性；

3、对业务连续性计划进行更新和维护，适应业务发展和变化。

十一、合规性管理

征信机构应加强合规性管理，确保信息安全管理工作的合规性。具体要求包括：

1、了解和遵守国家和行业的信息安全法律法规；

2、建立合规性检查和评估制度，确保信息安全管理工作的合规性；

3、对合规性问题进行及时处理和改进，提高信息安全管理工作的合规性。