征信机构按照什么进行等级保护

征信机构依托计算机技术和互联网，建立起覆盖经济社会各领域的信用信息网络，为信用交易和社会管理提供决策参考。鉴于征信业务活动的复杂性，需要建立和完善征信业信息安全等级保护制度。征信系统按照“定级备案—建设整改—等级测评—监督管理”流程实行安全等级保护。

征信系统安全等级保护主要包括三个方面：一是定级备案，二是建设整改，三是等级测评。

定级备案

《信息安全等级保护管理办法》（公通字﹝2007﹞43号）将信息系统安全保护等级分为五级，级别越高则安全保护要求越高。《规范》对征信系统的定级建议为第一级到第四级，征信机构可依据有关规定对业务信息安全和征信系统服务安全分别定级，征信系统的安全保护等级由二者中等级较高者决定。基于当前我国征信市场所处的发展阶段和征信机构信息安全管理实际，《规范》以第二级和第三级的征信系统为规范重点。征信系统安全保护等级确定后，应按照《规范》要求报中国人民银行备案。

建设整改

征信系统安全保护等级确定后，征信机构应当按照《规范》明确的管理、技术和业务运作要求，使用符合国家有关规定、满足征信系统安全保护等级需求的信息技术产品，开展征信系统安全建设或改建工作。《规范》根据《办法》规定，对个人征信系统的安全保护等级规定应达到二级或以上。对企业征信系统，《规范》允许征信机构自行确定企业征信系统的安全保护等级。同时，《规范》鼓励征信机构根据业务范围、服务对象、信息规模的发展变化，提高征信系统的安全保护等级。

等级测评

征信机构应通过自评估或委托评估方式，对征信系统是否符合《规范》要求进行测评。《办法》规定，征信机构在申请个人征信业务经营许可或者办理企业征信业务备案时，应提交第三方测评机构出具的测评报告。《规范》进一步明确，征信机构应定期对征信系统安全等级状况开展测评，第二级征信系统应每两年进行一次测评，第三级征信系统应每年进行一次测评。其中，个人征信系统应选择具有国家信息安全等级保护测评资质的机构进行测评，第二级以上的企业征信系统也应委托专业测评机构进行测评，第二级以下（含二级）的企业征信系统可由征信机构自主测评。