云南省金融办关于印发民间融资登记服务机构
开业验收标准的通知
云金办〔2014〕2号
各州(市)金融办、各民间融资登记服务机构筹备组:
按照《云南省金融办公室关于开展民间融资登记服务机构试点工作的通知》(云金办〔2013〕315号)要求,为切实做好民间融资登记服务机构开业验收,指导各民间融资登记服务机构认真扎实做好筹建工作,确保公司开业后各项业务能安全、合规、有序开展,同时满足监管要求,我办拟定了《民间融资登记服务机构内部管理制度及操作规范的基本准则(试行)》、《民间融资登记服务机构资金结算基本操作规范(试行)》及《民间融资登记服务机构IT系统指标及验收标准(试行)》,现印发给你们,请认真贯彻执行。
云南省人民政府金融办公室
2014年1月3日
云南省金融办综合处 2014年1月3日印
民间融资登记服务机构内部管理制度
及操作规范的基本准则
(试行)
为规范民间融资登记服务机构管理,指导民间融资登记服务机构健全建立内部管理制度,按照《民间融资登记服务机构试点工作实施办法(试行)》的相关要求,特制定本准则。
一、管理制度
(一)内部管理
1.符合国家有关法律法规的公司章程。
2.合理规范的公司治理结构和议事规则,包括明确决策、执行、监督等方面的职责权限。
3.结合业务特点和内部控制要求设置内部管理结构,包括明确部门的职责权限。
4.建立有利于企业可持续发展的人力资源政策,包括聘用、培训、辞职、薪酬、考核、晋升、奖惩等各方面内容。
(二)风险管理
1.针对企业运行当中可能出现的内部风险及外部风险进行风险预估,采取定性或定量的方法,确定优先控制的重点风险。
(1)内部风险主要考虑以下因素:
高管人员对公司忠诚度及职业操守、员工专业的操作规范和业务能力等人力资源因素;
组织机构、运作方式等因素;
与业务合作机构(包括担保机构、银行等)的操作规范、业务流程等因素;
财务状况、经营成果、内部审计等因素;
其他内部风险因素。
(2)外部风险主要考虑以下因素:
经济形势、宏观政策、金融政策、产业政策等政策因素;产业发展环境等经济因素;
法律法规、监管要求等法律因素;
安全稳定、社会信用等社会因素;
服务对象(资金出借方、资金借入方)基本信息、诚信记录、道德风险、资金实力等核心因素;
信息系统合规运作、安全维护等技术因素;
自然灾害、环境状况等其他外部因素。
2.根据风险分析的结果,企业应综合运用风险规避、风险降低、风险分担、风险承担等风险应对策略,实现对风险的有效控制。
3.结合不同发展阶段和业务开展情况,对风险进行识别和分析,及时调整风险应对措施。
(三)运营管理
1.建立确保公司合规运营的管理制度:职务分离控制制度、内部控制监督制度、内部审计制度、业务审批制度、财务管理制度、绩效考评制度、重大风险预警机制和突发事件应急处理机制等。
2.建立选择担保机构等配套合作机构的标准和程序。
3.建立完善与银行机构的合作模式,涵盖资金结算及监督的各个环节,包括出借方和借款方的账户开设、资金拨付依据和程序、还款资金划拨以及对资金流向和用途监督等方面。
4.建立投融资中介服务、债权转让中介服务、咨询顾问服务的业务流程或操作规范。
(四)信息管理
1.建立规范信息登记、收集、发布的操作流程和管理制度。
2.建立信息沟通制度,明确内部控制相关信息的收集、处理和传递程度,确保信息及时沟通,促进内部控制有效运行。
3.建立业务运营、监督管理等信息系统及管理办法(详见民间融资登记服务机构IT系统指标及验收标准)。
4.建立举报投诉制度、风险预警(针对服务对象)制度。
二、规范文本
(一)与担保机构、银行机构、信用评级机构等合作方的合同范本。
(二)资金出借方基本信息登记表范本。
(三)资金借款方基本信息登记表范本。
(四)出借方和借入方正式借款合同范本。
(五)资金拨付依据或凭证范本。
(六)关于提供投融资中介服务、债权转让中介服务、咨询顾问服务的合同范本和相关辅助登记材料范本。
民间融资登记服务机构资金托管结算
基本操作规范
(试行)
为规范民间融资登记服务机构的资金托管结算行为,强化资金监管,按照《民间融资登记服务机构试点工作实施办法(试行)》的相关要求,特制定本操作规范。
一、选择一家商业银行为资金托管结算合作银行,签订融资性担保公司、托管银行三行协议。
二、制定资金托管结算操作办法及业务操作流程。
三、制定资金出借方或资金借款方账户开设管理办法。
四、建立借款人资金拨付、监督使用办法及流程。
五、建立借款人还款资金办法及流程。
六、建立担保机构资金代偿办法及代偿资金划拨流程。
七、建立民间融资登记服务机构与合作银行、担保机构的信息反馈系统。
八、建立相应的风险防范措施。
九、本规范未及之处,应严格按照《人民币银行结算账户管理办法》和《云南省金融办关于开展民间融资登记服务机构试点工作的通知》的相关规定和要求执行。
民间融资登记服务机构IT系统
指标及验收标准
(试行)
按照《民间融资登记服务机构试点工作实施办法(试行)》相关要求,为全面掌握各民间融资登记服务机构的经营状况,特制定民间融资登记服务机构IT系统指标及验收标准。
一、物理环境
|
目 标
|
指 标
|
|
环境安全
|
防火、防静电、接地与防雷、交接区域的隔离
|
|
设备安全
|
防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及具备电源保护
|
验收标准:
建有独立机房,机房装修标准参照建筑设计防火规范GB50016-2006标准。硬件配备具备如下设施:
(一)基础配置:机柜、配线架、电源柜、走线槽、综合布线;
(二)设备配置:服务器、交换机;
(三)环境配置:UPS、空调、烟感探头、温感探头、摄像头、消防系统;
(四)管理配置:门禁、视频监控。
二、操作系统
操作系统的选择使用C2级以上商用操作系统,如UNIX、Linux和Windows NT等。由于现有C2级操作系统安全保护机制并不完善,信息平台维护人员必须通过改善现有操作系统的访问控制机制等方式来增强操作系统自身应对安全风险的能力。
|
目标
|
指标
|
|
访问控制
|
操作系统用户级别设置、认证、授权
|
|
系统管理
|
注册表加固、补丁安装
|
|
事件审计
|
日志记录、事件跟踪
|
验收标准:
(一)自主访问控制(DAC):没有获得客体拥有者授予的访问权无法访问受保护客体;
(二)强制访问控制(MAC):将管理员权限分离,至少具有系统安全员、系统管理员和系统审计员3种;
(三)系统管理:注册表已加固,补丁为最新安装,系统外围装有防火墙、IPS、IDS、杀毒软件等辅助设施;
(四)事件审计:系统具备有完善的日志和事件跟踪,能实时监测系统状态,有效监测和追踪侵入者。
三、网络安全
|
目标
|
指标
|
|
网络结构设计
|
内、外网安全部署、安全设施配备、网络设备安全配置
|
|
外部访问控制
|
应用划分、访问策略
|
|
内部访问控制
|
VLAN划分、应用授权、系统监控
|
验收标准:
(一)网络结构:网络结构分为内网与外网模式,必须采用物理隔离卡将两个网络隔离。(条件允许时,建议配备身份认证服务器、CA服务器与前置机等。前置机连接业务内网;入侵检测、病毒防御连接内网主交换机;身份认证服务器、CA服务器、入侵检测等由安全管理终端及审计终端进行管理)。
(二)外部访问控制:对外开放数据服务时,不可连入内部数据库,必须通过内网提供的接口接入,并通过前置机认证访问。
(三)内部访问控制:1、严格限制操作系统管理员账号的使用,禁止管理员账号远程访问操作系统。系统内设置的权限访问操作,需建立严格审批制度。2.对每一用户逐一设置相对应的权限。3.对重要信息资源进行识别和定级。4、新增系统账号、系统服务的申请必须通过审批。
四、数据库
|
目标
|
指标
|
|
数据安全
|
数据独立性、数据安全性、数据完整性
|
|
备份恢复机制
|
备份恢复策略、备份介质存放
|
|
审计机制
|
日志记录、事件跟踪、评审
|
验收标准:
(一)考核类型:数据库系统支持SQL-92标准,必须使用如下主流之一:ORALCE、SQL SERVER、MY SQL、DB2、Sybase。
(二)考核策略:系统必须支持用户(用户组)、时间、数据库类型、数据库操作类型、数据库表名、字段名等组合。
(三)数据库介质策略:数据存储时,必须备有2个以上的物理硬盘,采用raid1的模式,条件具备的可以使用混合模式(如1+0)来提高存储速度和降低风险。
(四)还原策略:除基本数据还原外,还能还原SQL操作命令,包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,能实现事件全程跟踪和定位。
(五)操作审计:系统应支持对TELNET、FTP等操作的命令级审计和全过程记录。
(六)自身安全审计:采用强加密的SSL加密传输告警日志与控制命令,避免可能存在的嗅探行为。
五、应用系统
|
目标
|
指标
|
|
标准化
|
遵循相应的国标、部标和行业标准
|
|
数据完整性保护
|
数据校验
|
|
安全运行环境
|
用户身份鉴别、访问控制 、系统安全审计、用户数据完整性保护、用户数据保密性保护、恶意代码防范
|
|
安全通信
|
数据传输完整性保护、数据传输保密性保护、安全审计
|
|
安全区域边界
|
区域边界安全控制策略、区域边界安全审计
|
|
安全管理中心
|
系统管理、审计管理
|
|
数据上报接口
|
接口规范
|
(一)标准化
应遵循金融信息系统相关的国标、部标和行业标准进行设计开发。
(二)安全运行环境
1.用户身份鉴别
应支持用户标识和用户鉴别。每一用户注册时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在用户登录系统时,采用受控口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
2.访问控制
应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级,客体的粒度为文件或数据库行级或对象级。访问操作包括对客体的创建、读、写、修改和删除等。
3.系统安全审计
应提供安全审计机制,记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护,并由安全管理中心管理。
4.用户数据完整性保护
应采用常规校验机制,检验存储用户数据的完整性是否被破坏。
5.用户数据保密性保护
应采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。
6.恶意代码防范
应安装防恶意代码软件或配置具有相应安全功能的操作系统,定期进行升级和更新,以防范和清除恶意代码。应防止物理路径泄露、目录遍历、执行命令、SQL注入、口令攻击及其他漏洞。
(三)安全通信
1.数据传输完整性保护
应采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护。
3.数据传输保密性保护
应采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。
3.安全审计
应在安全通信中设置审计机制,由安全管理中心管理。
(四)安全区域边界
1.区域边界安全控制策略
应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和服务请求等,确定是否允许该数据包通过该区域边界。
2.区域边界安全审计
应在安全区域边界设置审计机制,并由安全管理中心统一管理。
(五)安全管理中心
1.系统管理
可通过系统管理员对系统的资源进行配置、控制和管理,包括用户身份授权管理、系统资源配置、系统加载和启动、系统运行异常处理、数据和设备的备份与恢复以及恶意代码防范等。
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
2.审计管理
可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等。
应对安全审计员进行身份鉴别,并只允许其通过特定的命令或操作界面进行安全审计操作。
(六)数据上报接口
通过数据上报接口将数据上报民间融资活动信息至监管部门系统(民间融资登记服务机构信息系统),上报的报文应符合监管部门制定的系统数据接口规范(具体参照《民间融资登记服务机构信息系统数据接口规范》)。
附件:1.民间融资登记服务机构信息系统数据交换及加密方
式规范(试行)
2.民间融资登记服务机构信息系统数据接口规范(试行)
民间融资登记服务机构信息系统数据
交换及加密方式规范(试行)
根据中华人民共和国有关计算机软硬件的规范性法规及行业标准,结合《民间融资登记服务机构试点工作实施办法(试行)》相关要求,制定本规范。
一、范围
规定了民间融资登记服务机构业务系统与民间融资登记服务机构信息系统之间数据交换的方式、加密的方式以及报文的格式要求。
适用民间融资登记服务机构业务系统向民间融资登记服务机构信息系统传送报文时的数据交换活动。
二、规范性引用文件
GB/T 27928.1-2011 金融业务 证书管理 第1部分:公钥证书
GB/T 27926.4-2011 金融服务 金融业通用报文方案 第4部分:XML设计规则
GB/T 27913-2011 用于金融服务的公钥基础设施 实施和策略框架
GB/T 27910-2011 金融服务 信息安全指南
