TGDJRFW 001-2023 金融服务贷款中介行业团体标准

团 体 标 准T/GDJRFW001-2023金融服务贷款中介行业团体标准FinancialServicesLoanIntermediaryIndustryGroupStandards发布 实施广东省民营企业金融服务协会 发布T/GDJRFW001-2023T/GDJRFW001-2023目录前言 II引言 IV一总则 1二金融服务贷款中介机构执业规则 9三 金融服务贷款中介从业人员执业规则 14四行业管理的执行 16五监督管理及异议申诉 18六金融服务——贷款中介服务机构等级评分方案 19七金融服务——贷款机构从业人员执业星级评定方案 23八附则 29件《融务--款介业员业德范》 29件《融务--款介业体准业员则》 30件《融务--款介业体准业员业象求》 32附件4：ISO认证机构资质要求 34附件5：金融服务——贷款中介机构申请通过第三方认证的基本条件 34附件6：GB_T22080-2016信息技术 安全技术 信息安全管理体系 要求 35附件7：GBT35770-2022合规管理体系要求及使用指南 59附件8：GBT31950-2023企业诚信管理体系要求 102I前言GB/T1.1-20201请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由广东省民营企业金融服务协会中小企业助贷专业委员会提出并归口。（以音序排列,排名不分先后（深圳（重庆企业管理有限公（广东II（广东（广东智能科技有限公司、（无锡（广州股份有限（东阳（以音序排列,排名不分先后III引言为深入贯彻党的二十大和中央经济工作会议精神,引导金融服务机构加强提升企业金融服务质量，依据中共中央办公厅国务院办公厅印发《关于加强金融服务民营企业的若干意贷款中介机构，因此特编制《金融服务——贷款中介行业团体标准》。（规定了金融服务——本标准作用于检验、政府行政应用、仲裁、法院判决裁决、投标招标合同签订等依据，是金融服务贷款中介行业团体标准机构和从业人员的基本指引和基本要求。IVT/GDJRFW001-2023T/GDJRFW001-2023第PAGE第1页共134页—总则目的为规范从事金融服务贷款中介行业的市场主体及从业人员的服务行为，保证服务质量，维护行业的市场秩序，保障行业中各方当事人合法权益，明确金融服务贷款中介从规范性引用文件GB_T22080-2016信息技术 安全技术 信息安全管理体系 要GBT35770-2022合规管理体系要求及使用指南GBT31950-2023企业诚信管理体系要求3.1本标准是金融服务贷款中介机构和金融服务贷款中介从业人员的基本指引，是社会各界评判金融服务贷款中介机构和金融服务贷款中介人员执业行为的重本标准由从事金融服务贷款中介行业及关联服务机构（机构仅限于信息服务类机构（金融服务贷款中介从业人员仅限于国家有前置规定执业上岗以外的包括但不限于信息服务、方案策划类岗位）采用。术语与定义下列术语和定义适用于本文件。4.1金融服务贷款中介业务是指专业的金融服务贷款中介机构及关联服务机构和金融服务贷款中介从业人员，在规范的金融服务贷款中介机构平台上根据个人或者企业的实际情况结合其所需要4.2金融服务贷款中介机构是指依法设立，以客观公正的立场，向个人或者企业提供金融服务贷款中介服务和支撑的功能模块的金融服务贷款中介专业平台。其基本功能是通过发挥客群管理优势、4.3金融服务贷款中介从业人员是指执行金融服务贷款中介服务活动的人员，依托于相关职能部门审批成立的金融服务贷款中介顾问机构，运用自身具备的专业知识和技能，为企业或个人提供金融信息咨询服务，并获得直接和间接报酬的人员。4.4贷款中介咨询服务质量投诉中心（贷款中介服务质量经济纠纷人民调解工作站）是监督、指导金融服务贷款中介行业及关联服务机构、人员执行本标准的行业监督（（贷款中介服务质量经济纠纷人民调解工作站定期将行业情况如实抄报给各职能部门及相关金融服务机构，以供各职能部门及相关金融服务机构、人员在日常规范监管中的作为重要参考依据；（贷款中介服务质量经济纠纷人民调解工作站会不定期向社会公众公布及宣传，提高人民群众对金融服务贷款中介行业的了解和识别。4.5金融服务贷款中介服务顾问机构团队基本架构机构团队组织架构：各部门主要权责及各部门岗位的职责：1、董事会、董事长：一、董事会权责主要包括：(1)制定公司的战略规划、经营目标、重大方针和管理原则；(2)挑选、聘任和监督经理人员，并掌握经理人员的报酬与奖惩；协调公司内部管理部门之间的关系；二、董事长职责主要包括：决定公司的经营方针和投资计划；选举和更换经理，决定有关经理的报酬事项；审议批准公司年度财务预算、决算方案以及利润分配、弥补亏损方案；对公司增加或减少注册资本作出决议；对公司的分立、合并、解散、清算或者变更公司形式作出决议；修改公司的章程；聘任或解聘公司的经理；负责召集董事会，并向董事会报告工作；执行董事会的决议，制定实施细则；决定公司的经营计划和投资方案；制订公司年度财务预算、决算、利润分配、弥补亏损方案；制订公司内部管理机构的设置和公司经理人选及报酬事项根据经理提名，聘任或者解聘公司的副经理、财务负责人，决定其报酬事项；2、公司总经理职责：主持公司的日常经营管理，负责公司的安全运营，组织实施董事会决议，并将实施情况向董事会报告；组织实施公司年度经营计划和投资方案；拟定设置、调整或撤销公司内部管理机构的具体方案；拟订公司的基本管理制度；制定公司的具体规章；提请聘任或解聘公司副总经理、财务部门负责人；聘任或解聘除应由董事会聘任或解聘以外的管理人员和工作人员；依有关规章制度决定对公司职工的奖惩、升级、加薪及辞退；在职责范围内，对外代表公司处理业务；3、综合管理部权责：全面负责综合部日常管理工作,充分发挥行政职能,协调公司各部门的相互工作关系；负责建立健全并完善企业各类规章制度,建立健全公司绩效管理与考核制度,并做好督查；负责做好公司安全、卫生的检查监督工作及内部协调,确保办公区安全、环境卫生整洁；负责做好公司及本部门的各类文字材料的书写及文件下达,准确传达公司领导意图；负责配合各职能部门做好重大会议的召集与组织工作；负责公司办公会议的通知、组织及会议记录,监督各部门的会议精神的执行情况；负责公司重要文件材料的整理与存档；一、财务部职责：根据公司业务发展规划，制定资金调度计划和财务会计年度工作计划，并组织实施。贯彻落实各项财务会计政策、制度、办法，检查、监督执行情况。根据公司制定的年度经营目标和工作重点，编制财务、资本预算计划；并监测、分析报告执行情况。实施财务会计管理，并向董事会报告财务情况。组织开展会计核算工作，规范公司经营业务的会计确认、计量、记录和报告，按照对外信息披露和内部管理要求，及时、准确、完整的报送会计报表。负责制定会计出纳制度，组织实施公司资金清算和会计核算。管理、配置本公司固定资产及固定资产构建计划的申报和实施。规范所得税、流转税、财产税等各税种的申报、缴纳。建设和管理财务会计人员队伍，组织开展业务培训。二、人力资源部门职责：负责公司人力资源工作的规划，建立、执行招聘、培训、考勤、劳动纪律等人事程序或规章制度；负责制定和完善公司岗位编制，协调公司各部门有效的开发和利用人力，满足公司的经营管理需要；/月度人员招聘计划，经批准后实施；做好各岗位的职位说明书，并根据公司职位调整组要进行相应的变更，保证职位说明书与实际相符；负责办理入职手续，负责人事档案的管理、保管、用工合同的签订；/（制定公司及各个部门的培训计划和培训大纲，经批准后实施；对试用期员工进行培训及考核，并根据培训考核结果建议部门录用；负责拟定部门薪酬制度和方案建立行之有效的激励和约束机制；调入、调出、辞退等手续；做好员工考勤统计工作，负责加班的审核和报批工作负责公司员工福利、社会保险、公积金的办理；配合其他部门做好员工思想工作，受理并及时解决员工投诉和劳动争议事宜；三、行政部职责：组织公司贷款表决会议，承担董事会、办公会会务日常工作及相关材料准备。开展调查研究，起草公司综合性文件、材料。协调与外机关各部门的关系，进行对外业务宣传，组织开展企业文化和精神文明建设。收发各类文电，审核并印发公司文件。负责办公营业场所物业的日常管理，安全、卫生、绿化、环境保护等的管理，以及办公用品等低值易耗品的采购。四、档案管理部：负责对公司工程档案资料的收集、分类、整理和建档；负责档案资料保管、借阅、整理、修补、核定装帧和销毁处理;接受档案、文件、图纸时，必须认真验收并办理好建档手续；做好档案库房的日常维护,防止各种隐患发生。4、风险控制管理部权责：风险控制部负责人职责：负责建立健全风险管理体系和风险管理办法，会同有关部门，对风险管理业务相关制度执行情况进行检查；负责制定、调整信贷计划，并对计划执行情况进行监测考评；负责客户的统一授信管理、或有资产的管理；负责组织贷款企业（个人）资产风险分类的评估工作；风险管理工作的组织和安排，及时跟进各项业务进程，监督各岗位工作的落实情况；负责组织对已发放贷款业务的定期检查或专项检查，并针对存在的问题提出处理意见，提交总经理批示；负责信贷资产质量监测和贷款质量分类管理，识别、分析、预警和控制各类风险；负责贷款利率管理；会同有关部门，组织有关风险管理的培训；对新进人员进行业务指导和工作考核；负责风险管理信息系统的培训、推广应用和监控；负责信贷审批工作中本部门人员责任认定工作；一、法务部职责：审查业务部门上报的待起诉不良贷款资料，准备起诉材料；做好起诉、出庭应诉工作，参与调解、和解、订立还款协议，代收法律文书；对重要案件的诉执情况、调解情况及时向领导汇报，并提出合理化建议；密切关注已诉贷款的归还情况，对未还部分，准备申请执行材料；密切联系执行法官，联系基层支行及相关责任人，主动配合法院做好执行工作；经诉讼收回的款项，及时转相关部门入账还贷处理；建立不良贷款起诉、执行、收回情况台帐；在抵债资产接受、处置过程中提供法律意见，草拟相关合同，供领导参考；整理呆账贷款核销资料；及时完成领导交办的其他任务。二、IT负责公司计算机软硬件的日常维护及管理;负责公司内部信息系统建设、域名、后台数据、邮箱的管理;/交换机/IT熟悉常规办公设备(打印机、电脑、传真、电话)安装及日常维护，技术档案维护。三、信审部权责：负责公司业务的风险控制管理工作，构建业务风险评价及预防体系；建立和完善风控管理制度、流程、方案，控制项目风险，做好相关培训和督导；建立、维护风险管理信息库并建立业务风险追偿机制；进行业务的风险评定，提出风险防范建议和决策；熟悉企业和个人相关信贷核查方法和风控流程以及相关法律法规政策；负责培养、组建公司风险团队人员；组织实施公司内部管理评估，对公司风险管理工作提出改进方案。4、业务部及业务部经理、业务员：业务部权责：负责贷款业务开展、贷款材料准备以及配合风险管理部对贷款业务工作需要。一、业务部经理职责：制定公司信贷业务发展规划，健全完善和严格执行公司各项信贷制度，严格遵循各项金融法规、信贷政策、原则和规定；负责管理并参与和客户接洽贷款事项，负责积极拓展市场；负责考察贷款对象的实际情况，发掘业务风险点，审查贷款调查报告；负责与客户签定贷款协议时审核把关，落实各项贷款条件；负责贷款发放后管理，确保完成贷款回收、逾期贷款压缩任务；负责贷款业务部团队建设，完成业绩指标；负责贷款业务部日常全面管理工作，并完成上级领导交办的其他任务。二、业务部业务员职责：积极拓展信贷业务，搞好市场调查，优选客户，受理借款人申请。对借款人申请业务的合法性、安全性、盈利性进行调查。a、调查核实借款人的基本情况，调查核实借款人的财务状况以及借款人为法人的产、供、销、库存等情况，掌握资金的真实用途，调查核实借款人经营状况和偿还能力等；b、调查核实抵押物、质物的权属、价值及实现抵押权、质权的可行性、合法性等；c、调查核实保证人的代偿能力和资信情况。对客户进行信用等级评估，测算风险度，撰写调查报告，提出贷款及其他业务的期限、金额、利（费率）和方式等明确意见。办理核保、抵押登记及其他发放贷款的具体手续。信贷业务办理后对借款人执行借款合同的情况和经营状况进行检查和管理。督促借款人按合同使用贷款，按时足额归还贷款本息，并负责催收风险贷款。对呆滞、呆账贷款和拟进入诉讼程序贷款的认定提出申请，交风险控制部门审核并共同做出决议后报相关领导审批。信贷业务人员承担调查失误、评估失准和贷后管理不力的责任。55.1GB_T22080-2016信息技术安全技术信息安全管理体系要求》和《GBT35770-2022合规管理体系要求及使用指南》以及《GBT31950-20235.2金融服务贷款中介机构和从业人员应当合法、公平、有序竞争，维护行业利益和行业形象，相互尊重，同业互助，不得采用非正当手段进行恶性竞争；5.3金融服务贷款中介机构和人员应当勤勉尽责，以向委托人提供规范、优质、高效的专业服务为己任，以完成合法、安全、公平的委托事宜为使命；5.45.5（贷款中介服务质量经济纠纷人民调解工作站有权对提供金融服务——贷款中介机构及关联服务的机构和人员的从业信（详细见本标准二金融服务贷款中介机构执业规则机构资质备案金融服务贷款中介机构及其分支机构应当自领取营业执照之日起30日内主动向贷款中介咨询服务质量投诉中心申请登记根据国家颁布《国家标准化发展纲要指示加快构建推动高质量发展标准体系金融服务贷款中介机构从事金融服务贷款中介业务时应当具备有效的由国家认证认可监督管理委员会认可并备案的第三方机构颁发《GB_T22080-2016信息技术 安全技术 信息安全管理体系 要求《GBT35770-2022合规管理体系要求及使用指南》的ISO认证证书，同时建议办理《GBT31950-2023企业诚信管理体系要求ISO认证金融服务贷款中介从业人员应具备本标准中的从业人员执业资格、取得相关金融服务能力水平认证证书，并在营业场所公示。业务承接T/GDJRFW001-2023T/GDJRFW001-2023第PAGE第10页共134页信息公示金融服务贷款中介机构及其分支机构应当在其经营场所醒目位置定期将信息披露公营业执照和登记备案证书；GB_T22080-2016技术 安全技术 信息安全管理体系 要求》和《GBT35770-2022合规管理体系要求及使用指南》的ISO认证证书；（初级、公司金融顾问（中级）、资深公司金融顾问（高级）】；（贷款中介服务质量经济纠纷人民调解工作站的全国统一监督热线电话：（电话号码待定，另文公告）、官方网址：/、微信公众号投诉渠道二维码：；服务项目、服务内容和服务标准；以地级市为单位列出区域性的共性收费项目、收费依据和收费标准等；统一使用《金融服务贷款中介合同》与委托人签约；政府职能部门或者行业组织的法律、法规、规章要求公示的其他事项；分支机构应当公示金融服务贷款中介总机构的经营地址及联系方式，其他同上；金融服务贷款中介机构代理销售的产品，应当在销售现场明显位置明示产品的代理资格或授权销售该产品的有关证明文件。信息告知内部管理金融服务贷款中介机构按照依法、诚信、自愿、公平的原则为客户提供顾问服务，金融服务贷款中介机构以及关联机构应当按照包括但不限于《GB_T22080-2016术安全技术信息安全管理体系要求》和《GBT35770-2022GBT31950-2023金融服务贷款中介机构无正当理由不得扣、押、借从业人员的包括但不限于相关证（金融服务贷款中介机构开展业务应当设立业务台帐，做好业务记录。业务台帐和业员工培训金融服务贷款中介机构应当加强员工的法律法规、职业道德教育和业务培训，鼓励金融服务贷款中介从业人员应当具备相应的专业知识，专业知识应包括但不限于公劳保责任金融服务贷款中介机构应当遵守国家劳动社会保障的相关规定，保障和维护员工的合法权益。金融服务贷款中介机构和分支机构与其招用的金融服务贷款中介从业人保密责任GB_T22080-2016信息技术安全技术信息安全管理体系要求》规定要求的信息利用共同营造相互尊重，公平竞争的市场环境。尊重和保护金融服务贷款中介机构合法风险提示金融服务贷款中介从业人员与客户签订服务合同前，应当诚实、客观地将当前的市场产品政策等相关真实情况告知客户，不得隐瞒与该项服务业务相关情况的真实情况。核对责任信息发布金融服务贷款中介机构应保证所发布的借贷信息应该按照产品委托方的授权如实宣传，不得以任何方式任何理由进行虚假广告宣传。合同签订在撮合委托人与第三方达成交易后，执行该项业务的金融服务人员应及时与委托人签订《工作内容确认函》。服务收费从事金融服务贷款中介机构应严格依据法规、政策规定和合同约定，收取服务费及其他相关费用。金融服务贷款中介机构收取相关费用后，应当依据有关规定向支付人开具发票，履行纳税义务。金融服务贷款中介机构收取服务费不得违反国家法律、法规及行业规范的规定，不金融服务贷款中介机构未促成交易的，不应当收取服务费（委托人中途单方毁约除外），但可以依合同约定要求委托人支付从金融服务活动支出的必要费用。资料存档金融服务贷款中介合同等金融服务贷款中介业务相关资料的保存期限不得少于5年。同业竞争金融服务贷款中介从业人员不得采取包括但不限于引诱、欺诈、胁迫、贿赂、恶意串通、恶意降低佣金标准或者诋毁其他金融服务贷款中介机构、从业人员等不正当手段承揽金融服务贷款中介业务。同业合作经委托人书面同意，金融服务贷款中介机构之间可以合作完成所需的金融服务作协议分配劳务所得。禁止行为金融服务贷款中介机构和从业人员不得招揽、承办下列业务：违法违规或者违背社会公德、损害公共利益的金融服务贷款中介业务；23.3明知已由其他金融服务贷款中介机构独家代理的业务；23.4自己的专业能力难以胜任的金融服务贷款中介业务；23.5三 金融服务贷款中介从业人员执业规则回避制度职业立场继续教育金融服务贷款中介从业人员应具有金融服务贷款中介行业团体标准的相关知识业务承接金融服务贷款中介从业人员不得同时在两个或者两个以上金融服务贷款中介机构从业；不得以个人名义接受委托，收取费用；应当拒绝接受违法违规或者违背社会公德、损害社会公共利益的金融服务贷款中介业务。信息公示合同签名制度贷款中介合同中应当有承办该业务的从业人员签名及其本人在贷款中介咨询服务质量投诉中心的注册号。业务办理金融服务贷款中介从业人员应当及时、如实地向委托人报告业务进行过程中的约定告知义务金融服务贷款中介从业人员应当凭借自己的专业知识和经验，向委托方提供与该项业务有关的信息。关联业务保密责任金融服务贷款中介从业人员应当妥善保管委托人提供的资料，保守委托人的商业秘密和隐私，不得擅自将委托人提供的资料公开或者泄漏给他人。四行业管理的执行管理机构（贷款中介服务质量经济纠纷人民调解工作站是监督、协调金融服务贷款中介机构及从业人员执行本标准的监督、检查、协调的非盈利性公益保护功能:保护金融服务贷款中介机构及从业人员的合法权利和义务不受侵犯,保护投诉者的合法权益和自身安全不受损害,对诬告陷害他人的行为严肃查处。GBT31950-2023ISO35.1贷款中介咨询服务质量投诉中心根据工作需要，可要求金融服务贷款中介机构及从业人员对本标准的遵守情况开展检查工作，并提交相关情况报告。35.2贷款中介咨询服务质量投诉中心适时公开对金融服务贷款中介机构及从业人员开展现场及非现场指导，也可根据政府职能部门需要配合其开展监管检查工作。35.3按照金融服务贷款中介机构及从业人员不遵守本标准产生的后果的不同程度，施以不同的公示、监督、指导。35.4谈话提醒；指导整改；行业协会规定的其他行为管理措施。35.4.1谈话提醒，是指涉嫌违规违纪者（涉嫌违规违纪的金融服务贷款中介机构或从业人员的统称采取谈话提醒的，应当提前五个工作日书面告知涉嫌违规违纪者作出处理决定的理由、.3不良行为提示；行业内通报公示；公开谴责；暂停部分星级评优权利；取消行业全部荣誉资格；行业协会规定的其他纪律处分措施。采取不良行为提示的，应当书面告知涉嫌违规违纪者作出处理决定的理由、依据。采取通报公示的，应当书面告知涉嫌违规违纪者作出通报公示的理由和依据。采取公开谴责的，应当书面告知涉嫌违规违纪者作出公开谴责的理由和依据。金融服务贷款中介机构及从业人员涉嫌违规违纪问题，贷款中介咨询服务质量投诉中心根据情况进行初步核实，并区别不同情况做出调查和处理。复议申请贷款中介咨询服务质量投诉中心在对金融服务贷款中介机构实施行业管理措施实施日前十个工作日内发出《行业指导通知书》，并告知其具有申请复议的权利。五监督管理及异议申诉监督管理金融服务贷款中介机构及从业人员都有提供证据的义务，调查中如需有关部门或个人提供与违违规违纪有关的证据、材料，相关人员中应予以积极配合。异议申诉对查证确属被诬告的金融服务贷款中介机构或从业人员，要及时澄清，为其正名，消除顾虑。对诬陷者或打击报复者，要坚决严肃追究。六金融服务——贷款中介服务机构等级评分方案（下简称中介服务机构111231用十分制，默认基础分为10分。A、B、C、D以下是金融服务——贷款中介服务机构服务评分和分级的标准：（一）对每次服务按照百分制考核，分项评分标准如下。1.A（9-102.B（6-83.C（4-6）：诚信、服务意识一般，遵守相关法律法规政策不够严格，完成工作4.D（4）：诚信、服务意识差，有违反《金融服务——贷款中介行业团体标一、否决项否决项是指贷款中介咨询服务质量投诉中心在对参评中介服务机构评价时应一票否决D级:（一）法定代表人违法犯罪的;（二）从事应当取得而没有取得从业资质业务的；（三）从业资质被行业主管部门吊销的；（四）营业执照被市场监管部门吊销的；（五）进入破产解散程序的；（六）采用欺诈、胁迫、贿赂、串通等非法手段承揽业务的；（七）发布虚假信息或出具虚假报告和其他证明文件的；（八）索取、收受合同以外酬金、财物，或者利用职业便利谋取其他不正当利益的；（九）满一个会计年度，不提供评价资料等不配合评价工作的；（十）被列入企业失信黑名单的中介服务机构，其他被认定为信用严重缺失行为的。二、中介服务机构主体的等级评价周期为一个会计年度，取得中介服务机构法人资格不（一）因涉嫌违法被相关部门立案查处尚未结案的;（二）被相关部门依法查出违法行为，正在依法处理，尚未办结的。（三）其他法律、行政法规规定的。三、优秀机构基本要求（一（二（三）提高服务水平，在工作信用水平、服务便捷性及客户满意度方面作出突出成绩；（四）热衷公益事业，具有良好的社会企业形象，诚信文化、社会信用体系建设完善；（五四、评分细则（一）2（二（11.51（三）中介服务机构是否及时签约（1分）。中介服务机构未与客户签约的扣10分。（四（11.52（五（1分。（六（1（七）2分。（八）按照法律法规、《金融服务——贷款中介行业团体标准》和规范等从事工作（1分）5（九）4（十）。五、对中介服务机构考核评分的结果公示贷款中介咨询服务质量投诉中心应将中介服务机构等级考核进行公示，公示期一般为10六、异议处理10七、终评贷款中介咨询服务质量投诉中心应依据初评结果和异议处理情况，确定评价等级。八、结果发布等级评价结果发布应符合相应法律法规，发布的方式包括但不限于：（一）广东省民营企业金融服务协会平台；（二）贷款中介咨询服务质量投诉中心平台；（三）金融服务——贷款中介服务机构信息数据库管理平台；（四）其他具有权威性、社会关注度高的媒体平台。九、结果应用中介服务机构等级评定结果在贷款中介咨询服务质量投诉中心差异化监管中加以运用，94（一55（二5（三十一：XXX年度审批中介服务机构信息及服务质量考评表：序号年度中介服务机构基本信息中介服务事项审批监管单位评价得分等级120XX年名称注册地址（登记贷款中介咨询服务质量投诉中心地址）23456七金融服务——贷款机构从业人员执业星级评定方案（1112月31日，制定本方案。（初级三、评分规则1255四、加分规则（一21加0.5分。加分的表彰是指非增员类表彰凡与增员类挂钩的指标分值占比高于50的表彰均不加分。（二）在同一家金融服务——贷款中介服务机构连续执业每满12个月且未出现失信失分行为扣分的，加2分。（三2（四1（五1（六2（七）12（一）越权行为扣分超越客户授权未经客户授权或超越授权，代替或指使他人代替客户签署相关文件及其他需要由客户或委托人亲笔签署的文件；未经客户授权或超越授权，代为办理其他《金融服务——贷款中介合同》以外的手续；未经客户授权或超越授权，代替或指使他人代替客户抄录风险提示语。以上行为中，第（1）和（2）7～9（3）4～6超越所属金融服务——贷款中介服务机构授权超越所属金融服务——贷款中介服务机构授权或金融服务——贷款中介服务机构未经所属金融服务——贷款中介服务机构授权许可，以金融服务——贷款中介服务机构人员身份或冒用其他机构及员工名义，违规销售非金融产品或其他机构的金融产品；未经所属金融服务——贷款中介服务机构授权许可，采取任何形式私自设立代理网点；未经所属金融服务——贷款中介服务机构授权许可或超出授权许可范围，擅自在超出执业登记中列明的业务范围、执业区域等开展金融服务类业务；擅自以所属金融服务——贷款中介服务机构信誉或以其他方式做担保；未经所属金融服务——贷款中介服务机构授权许可，擅自以金融服务——贷款中介服务机构名义招募从业人员或其他工作人员；未经所属金融服务——贷款中介服务机构授权，违规制作金融服务——贷款中介业务宣传材料。以上行为中，第（1）至（4）项扣7～9分，第（5）和（6）项扣4～6分，第（7）和1～3（二）不当服务行为扣分服务误导夸大金融服务行为，和金融产品收益行为；将本公司的金融产品宣传为其他金融服务——贷款中介服务机构或其他机构的产对与业务相关的法律、法规、政策作虚假宣传；阻碍客户履行《金融服务——贷款中介合同》规定的如实告知义务，或诱导其不履行如实告知义务；以赠送名义宣传销售金融产品，实际并未赠送；以金融产品即将停售、限售为由进行宣传销售，实际并未停售或限售进行不实宣传；阻碍客户接受回访，诱导客户不接受回访或不如实回答回访问题。以上行为中，第（1）至（5）7～9（7）至（8）4～63～5挪用、截留、侵占服务费或其他费用；给予或承诺给予客户合同约定以外的利益。以上行为中，第（1）和（2）7～9（3）4～6代客户签订《金融服务——贷款中介合同》；擅自伪造、变更合同；伪造金融服务——贷款中介服务机构或客户的公章、印鉴；伪造客户信息，包括但不限于擅自更改客户的真实信息，纵容、唆使、协助客户提供虚假信息或虚假证明材料等；在服务行为可回溯管理过程中，弄虚作假、不按规定进行录音录像与整改、对视伪造、变造、转让执业证书。以上行为中，第（1）至（4）7～9（5）和（6）4～6采用不实宣传或易引起误解的方式自我夸大；以排挤竞争对手为目的，进行不计成本的低费率或高费用竞争。1～36.其他不当销售利用职务或职业便利及其他不正当手段，强迫、引诱或限制客户订立合同；严重干扰、报复投诉客户；在客户明确拒绝投保后继续干扰客户。以上行为中，第（1）和（2）项扣4～6分，第（3）项扣1～3分。（三）不当业务活动扣分1以上行为扣7～9分。2.其他不当业务活动行为唆使、伙同客户或其他人员冲击、围堵金融服务——贷款中介服务机构职场或其他公共场所，严重影响公共秩序；与非法从事业务的机构或个人发生业务往来，包括但不限于非法金融产品；盗取或恶意毁坏金融服务——贷款中介服务机构的重要数据、设备等；对合作机构的培训、检查、支持或管理未尽到义务，致使合作机构或其从业人员出现违法违规行为，使得客户或金融服务——贷款中介服务机构利益受损。以上行为中，第（1）和（2）项扣7～9分，第（3）项扣4～6分，第（4）项扣1～3分。（四）违约招募扣分1.违约招募通过线上线下方式发布虚假招募信息，对金融服务工作内容与委托报酬等进行不实包装或夸大宣传，误导被招募人员；在招募活动中，冒用金融服务——贷款中介服务机构名义或用个人名义向被招募人员收取押金或保证金；通过攻击或诋毁其他金融服务——贷款中介服务机构，怂恿、诱导从业人员脱离其所属金融服务——贷款中介服务机构。1～32.不当签约/离职签约过程中弄虚作假，隐瞒、伪造或提供虚假个人资料、保证人信息，隐瞒个人未按法律规定或劳动合同约定办理离职手续，未按要求归还所领取的公物及所欠款项。以上行为均扣1～3分。（五）其他失信行为扣分未按照行业规定要求，完成行业执业培训等相关培训内容；在执业过程中，违反刑法规定，有与履行职务相关罪名的行为；11～327～937～94～641～9分。（六（七）从轻扣分的情形积极协助调查，妥善处理善后事宜；未给客户或金融服务——贷款中介服务机构造成损失，或在从业人员的协助与配合下，相关损失已挽回。（八）从重和加重扣分的情形拒不配合或故意干扰调查的；在同一事件中存在多个失信行为，按其中对应较高的扣分层级分值从重扣分；50（含）以上的，1～3（九）扣分以金融服务——贷款中介服务机构导入的信息及失信行为认定材料为依据。六、失信行为的认定金融服务——贷款中介服务机构认定失信行为应坚持实事求是的原则，做到程序规范、事实清楚、依据充分，同时充分保障从业人员陈述和申辩的权利。七、评分信息应在表彰生效或失信行为认定后15日内导入星级平台，行政处罚记录须15八、执业星级评定（一（二）执业星级评定标准同时满足以下条件时，评定为五星级：10（不含）～12（含）之间；5职新公司再次评级时，在新公司连续执业不低于2年；12（12）无违反监管措施记录；(4)具有突出的服务业绩。具有规范服务操作、科学简化服务流程、为客户提供卓越服同时满足以下条件时，评定为四星级：(1)评分在7.5（不含）～12分（含）之间；2125（含）～7.5（含）2.5（不含）～5（不含0（不含）～2.5（含（含）～0（含）之间的，评定为无星级。九、业内流动人员的执业星级调整四星级、五星级从业人员与所属金融服务——贷款中介服务机构解约后，原评分不变，执业星级恢复至三星。三星级及以下的从业人员在业内流动时，原评分及星级不变。从业人员所属金融服务——贷款中介机构应当每个季度提交参与评级的从业人员的业执业星级评定信息记录在星级平台生成后不得随意更改。十三、金融服务——贷款中介服务机构在录用具有金融服务从业经历的人员前，可通过星级平台查询其此前的从业信息及执业星级，对“二星级”及以下的人员加强关注。十四、本评分规则由广东省民营企业金融服务协会负责解释。八附则《金融服务贷款中介行业团体行业团体标准》经贷款中介咨询服务质量投诉中心公示通过后施行。《金融服务贷款中介行业团体行业团体标准》由负责贷款中介咨询服务质量投诉中心解释。（一）加强纪律，执行政策。认真执行金融服务政策，自觉遵守各项纪律和规章制度。（二）（三）精神饱满，着装整洁，以良好的精神面貌，向同行业展示良好的企业形象。打造（四）（五）（六）（七）团结同事，协力工作。相互理解、关心同事，乐于助人，服从大局，服从工作分配。（八）提高警惕，维护安全。要严格遵守规章制度，树立防范意识，审慎经营，合规风险。（九）勤奋学习，精通业务。刻苦钻研业务知识，熟练掌握本岗位业务技能，不断提高业务水平。（十）（一（二（三）遵守宪法、法律和法规，执行银监会规章制度，依法履职。（四）忠于职守，勤勉尽责，廉洁公正，自警自律。（五）维护工作秩序，讲求工作效率，提高工作质量。（六）遵守各项工作纪律，保守国家秘密和商业秘密。（七）遵循严谨、规范、诚信、守法、创新的小微金融服务贷款中介行业团体标准作风建设要求，培育优良作风，维护职业信誉。（八）加强道德修养，文明办事，礼貌用语，厉行节约，珍惜国家和社会资财。（九）认真接受监管机构和社会公众监督，不断改进工作，维护企业形象。（十）顾全大局，团结协作，共同营造良好的工作氛围。具体做到：勤奋学习 提高素质第一条 学习以习近平新时代中国特色社会主义思想为指导，深入贯彻党的二十大精神执行党的路线方针政策坚持四项基本原则树立正确的世界观人生观和价值观。第二条 学习经济金融服务理论掌握与本部门本岗位有关的专业知识刻苦钻研敬业爱岗恪尽职守第四条热爱金融事业，维护行业的地位和作用，树立企业形象，以高度的工作责任感和优良的职业道德，竭诚为客户服务。第六条发扬求真务实精神，提倡深入扎实的工作作风。注重调查研究，一切从实际出发，实事求是;说老实话，办老实事，做老实人，反对弄虚作假，阳奉阴违。依法监管竭诚服务第七条掌握国家经济金融服务贷款中介行业团体标准法规、政策，密切关注并全第九条增强服务意识，提高服务质量和效率，做到态度和蔼、主动热情。遵纪守法 廉洁奉公第十条 遵守国家宪法和法律、法规，履行公民义务，严禁参与一切违法违纪活动。第十一条 廉洁自律秉公尽职严格遵守各项廉政制度规定严禁利用职权为自己或他人谋取私利;严禁索贿、受贿、行贿;第十二条严格执行保密制度、纪律和操作规程，严禁泄露、出卖金融服务贷款中22080-2016信息技术安全技术信息安全管理体系要求》相关要求，维护数据信息安全。文明办公弘扬美德第十四条 仪表端庄举止文明上班时着装整洁得体参加重要活动着装应庄重大方。工作时间提倡讲普通话，使用礼貌用语;接待来访或接打电话，应热情、谦和、有礼。第十五条 创造并保持安全卫生有序优雅的工作环境保持办公区内整齐清洁、美观;爱护公物;遵守办公楼安全保卫的有关制度，自觉维护办公安全和办公秩序。第十六条 遵守社会公德，维护社会稳定。继承和发扬中华民族自力更生、艰苦奋斗，崇尚科学反对迷信见义勇为扶正祛邪一方有难八方支援尊老爱幼尊重妇女等传统美德。第十七条 树立正确的恋爱观、婚姻观和家庭观，保持健康高尚的道德情操;处理好夫妻之间、家庭成员之间和邻里之间的关系，做到和睦相处、互敬互助。团结协作 开拓进取第十八条讲团结、讲协作、讲民主、讲风格、讲友爱。不断加强道德修养，努力做一个诚实守信、光明磊落、胸襟开阔、与人为善的人。第十九条正确处理各种工作关系，共同创造和维护和谐、宽松的工作氛围。领导要尊重下属，关心下属的学习、进步和生活，充分调动下属的工作积极性与创造性;下属要尊重领导，自觉服从领导指挥;正确处理部门之间、岗位之间、同事之间的关系。从业人员职业形象要求包括以下几个方面：仪表、举止、语言、纪律、卫生及服务态度。（一）着装整洁 仪表大方12、发型大方。头发应整洁，发型大方得体，经常洗理。不得染异色。男员工不蓄长须长发；女员工不得有怪异发型。3、装饰得体。女员工可适度化妆，不得浓妆艳抹，不留长指甲，不涂有色指甲油，不（二）举止大方行为端庄1、站姿挺拔。站立时应保持收腹挺胸，不弯腰。男员工站立时双脚分开，与肩同宽；女员工站立时双脚并拢，双手自然下垂，交叉于腹前、背后。2、坐姿文雅。坐时臀部应坐在椅子的三分之二处，胸口与桌面平齐。伏案书写，应以肘撑起上身重量，姿态端正，不倾斜。不要趴在桌子或斜躺在椅子上。3、行姿稳重。行走时，身体重心可微向前倾，收腹挺胸，抬头平视，两臂自然摆动。多人同行时不要勾肩搭背，不要并成一排。遇有紧迫事情，可加快步伐，但不可慌张奔跑。4、行为文明。在客户面前或工作场合不能剪指甲、化妆、抠鼻子、剔牙齿、挖耳朵、打哈欠、脱鞋、颤腿、伸懒腰。（三）语言文明 言辞得当1、语言文雅。说话时音量适中，语句清晰，并注意在不同场合运用适当的语言及称谓。2、在办公和营业场所须保持安静、和谐，不可大声说话，高声喧哗。3、在工作中提倡使用普通话。4、在各场合中用语文雅、礼貌。在使用电话、办理业务、接受咨询时语气平和，坚——“您好，×××金融服务——贷款中介服务有限公司”。日常文明用语示例：※与同事、客户相遇时：“您早”、“您好”。※得到别人帮助时：“谢谢”。※要求别人做事、帮助时：“请您……”。※向别人表示歉意时：“对不起”。※他人向自己表示歉意或谢意时：“没关系”、“别客气”、“不用谢”。※与他人道别时：“再见”。5、对同事、客户用语平和，语言规范，不讲粗话、脏话，在公众场合不要叫他人的外号、小名等。（四）纪律严明 工作有1、遵守劳动纪律。※不擅自代班岗，不迟到早退，不串岗离岗。※不聚众聊天、嘻笑打闹。※不得在公务时间和禁烟场所吸烟。※工作时间不吃零食，不干私活，不看与工作无关的书报、电视，不占用电话聊天。※非工作或接待需要，不准在午休或工作时间饮酒。2、遵守业务纪律。※严守各项业务工作纪律。※认真执行各项管理制度和业务操作规程。※严禁压票压汇、无理拒付等各类违规行为。※严禁在工作中弄虚作假，营私舞弊。（五）讲究卫生 保持整洁1、环境整洁。自觉维护工作场所的环境卫生，保持桌椅、柜面、地面、栏杆、门窗、设备干净，使工作环境符合企业形象建设的有关规定。2、保持卫生。不乱扔果皮、纸屑，不随地吐痰。3、放置整齐。办公台上各类办公用具、资料、票据摆放整齐。4、装贴正确。业务公告或宣传标语应按规定整齐挂贴在规定位置。（六）微笑服务 热诚待客。1、亮牌上岗，接受监督。所有员工应佩带统一的识别牌，并按要求佩挂在制服的统一位置。2、微笑服务，热诚待客。接待客户咨询、业务、来访时，应面带微笑，礼貌热情，对客户热心、诚心、耐心。3、对所有客户认真诚挚，一视同仁。4、虚心听取客户意见，忍让宽容，得理让人，对合理要求尽量满足。附件4：ISO认证机构资质要求（一）公司成立三十年以上；（二）综合业务能力强，集管理体系认证、产品认证、服务认证、管理培训、二方审核、品牌评价、绿色评价、绿色声明为一体的综合性、标准化、国际化管理服务机构；（三）先后通过中国国家认证认可监督管理委员会（CNCA）的批准；（四）先后获得过中国合格评定国家认可委员会（CNAS）认可；（五）先后获得过美国国家标准协会认证机构认可委员会（ANAB）资格认定；（六）先后获得过英国皇家认可委员会（UKAS）资格认定；（七）具备高新技术企业资格；（八）服务快捷，审核资源充足。分支机构至少覆盖全国20个省市以上。附件5：金融服务——贷款中介机构申请通过第三方认证的基本条件（一）具有独立企业法人资格，并且正常经营一年以上的企业；（二）（三）企业及其法人近一年在国家公共信用信息平台中无不良信用记录；（四）GB/T31950、GB/T35770、GB/T22080/1SO/IEC27001附件6：GB_T22080-2016信息技术 安全技术 信息安全管理体系 要求ICS L80中 华 人民共 和国国标准GB/T GB/T22080-2008信息技术安全技术信息安全管理体系要求Informationtechnology—Securitytechniques—Codeof(ISO/IEC 27001:2013,IDT)布 2017-03-施局会 发布T/GDJRFW001-2023T/GDJRFW001-2023前 言本标准照GB/T1.1-2009和GB/T20000.2-2009给出的规则起草。ISOIEC700:20要本部分自发布之日起代替GB/T22080-2008《信息技术安全技术信息安全管理体系要求》。本部分与GB/T22080-2008的主要差异如下：1、control“控制措施”改为“控制”2、implement “实施”改为“实现3、maintain“保持”改为“维护”4、objective“目标”改为“目的”5、assetowner“资产责任人”改为“资产拥有者”本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由中国电子技术标准化研究所、北京知识安全工程中心、上海三零卫士有限公司、北京市信息安全测评中心、北京数字认证中心负责起草。本标准主要起草人：上官晓丽、许丽娜、胡啸、王新杰、赵战生、王连强、孔一童、曾波、刘海峰、汤永利、尚小鹏、闵京华。第36页共134页引 言总则本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。ISO/IEC27000 描述了信息安全管理体系的概要和词汇，引用了信息安全管理体系标准族(包括SL第37页共134页 2信息技术安全技术信息安全管理体系要求、规模或性质的组织。当组织声称符合本标准时，不能排除第4章到第10章中所规定的任何要求。是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。ISO/IEC27000 信息技术安全技术信息安全管理体系概述和词汇。ISO/IEC27000界定的术语和定义适用于本文件。第38页134页 3组织应按照本标准的要求，建立、实现、维护和持续改进信息安全管理体系。最高管理层应通过以下活动，证实对信息安全管理体系的领导和承诺：确保建立了信息安全策略和信息安全目的，并与组织战略方向一致；支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围。最高管理层应建立信息安全方针，该方针应：包括信息安全目的(见6.2)或为设定信息安全目的提供框架；包括对满足适用的信息安全相关要求的承诺；包括对持续改进信息安全管理体系的承诺。注：最高管理层也可为组织内报告信息安全管理体系绩效，分配责任和权限。规划第39页共134页 4T/GDJRFW001-2023T/GDJRFW001-2023GB/T22080-2016/ISO/IEC27001:2013确保信息安全管理体系可达到预期结果；组织应定义并应用信息安全风险评估过程，以：建立并维护信息安全风险准则，包括：风险接受准则；信息安全风险评估实施准则。确保反复的信息安全风险评估产生一致的、有效的和可比较的结果；识别信息安全风险：评估6.1.2c)1) 中所识别的风险发生后，可能导致的潜在后果；评估6.1.2c)1) 中所识别的风险实际发生的可能性；6.1.2a组织应保留有关信息安全风险评估过程的文件化信息。组织应定义并应用信息安全风险处置过程，以：a)在考虑风险评估结果的基础上，选择适合的信息安全风险处置选项；b注：当需要时，组织可设计控制，或识别来自任何来源的控制。将6.1.3b)确定的控制与附录A中的控制进行比较，并验证没有忽略必要的控制；注1:附录A包含了控制目的和控制的综合列表。本标准用户可在附录A的指导下，确保没有遗漏必要的控制。第40页共134页 6GB/T22080-2016/ISO/IEC27001:2013注2:控制目的隐含在所选择的控制内。附录A所列的控制目的和控制并不是完备的，可能需要额外的控制目的和控制。6.1.3bc)及其选择的合理性说明(无论该控制是否已实现),以及对附录A控制删减的合理性说明；制定正式的信息安全风险处置计划；获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。组织应保留有关信息安全风险处置过程的文件化信息。注：本标准中的信息安全风险评估和处置过程与ISO31000²中给出的原则和通用指南相匹配。b) 可测量(如可行);考虑适用的信息安全要求，以及风险评估和风险处置的结果；组织应保留有关信息安全目的的文件化信息。在规划如何达到信息安全目的时，组织应确定：要做什么;组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力；注：适用的措施可包括，例如针对现有雇员提供培训、指导或重新分配；雇佣或签约有能力的人员。意识c)第41页共134页 6GB/T22080-2016/ISO/IEC27001:2013沟通组织应确定与信息安全管理体系相关的内部和外部的沟通需求，包括：b组织的信息安全管理体系应包括：a)本标准要求的文件化信息；b)为信息安全管理体系的有效性，组织所确定的必要的文件化信息。注：不同组织有关信息安全管理体系文件化信息的详略程度可以是不同的，这是由于：1)组织的规模及其活动、过程、产品和服务的类型；过程及其相互作用的复杂性；人员的能力。创建和更新文件化信息时，组织应确保适当的：标识和描述(例如标题、日期、作者或引用编号);格式(例如语言、软件版本、图表)和介质(例如纸质的、电子的);c)对适宜性和充分性的评审和批准。b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。控制变更(例如版本控制);注：访问隐含着仅允许浏览文件化信息，或允许和授权浏览及更改文件化信息等决定。为了满足信息安全要求以及实现6.16.2中确定的信息安全目的一系列计划。第42页共134页 7GB/T22080-2016/ISO/IEC27001:2013组织应保持文件化信息达到必要的程度，以确信这些过程按计划得到执行。组织应控制计划内的变更并评审非预期变更的后果，必要时采取措施减轻任何负面影响。组织应确保外包过程是确定的和受控的。6.1.2a组织应保留信息安全风险评估结果的文件化信息。组织应实现信息安全风险处置计划。组织应保留信息安全风险处置结果的文件化信息。需要被监视和测量的内容，包括信息安全过程和控制；注：所选的方法宜产生可比较和可再现的有效结果。d组织应保留适当的文件化信息作为监视和测量结果的证据。是否得到有效实现和维护。组织应：规划、建立、实现和维护审核方案(一个或多个),包括审核频次、方法、责任、规划要求和选择审核员并实施审核，确保审核过程的客观性和公正性；fg)保留文件化信息作为审核方案和审核结果的证据。

第43页134页 8GB/T22080-2016/ISO/IEC27001:2013管理评审应考虑：与信息安全管理体系相关的外部和内部事项的变化；管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。组织应保留文件化信息作为管理评审结果的证据。当发生不符合时，组织应：组织应保留文件化信息作为以下方面的证据：任何纠正措施的结果。组织应持续改进信息安全管理体系的适宜性、充分性和有效性。第44页共134页 9GB/T22080-2016/ISO/IEC27001:2013附 录 A(规范性附参控制的和制表A.1所列的控制目的和控制是直接源自并与ISO/IEC27002I第5到18章一致，并在6.1.3环境中被使用。表A.1控制目的和控制A.5信息安全策略A.5.1信息安全管理指导目的：依据业务要求和相关法律法规，为信息安全提供管理指导和支持。A.5.1.1信息安全策略控制信息安全策略集应被定义，由管理者批准，并发布、传达给所有员工和外部相关方。A.5.1.2信息安全策略的评审控制应按计划的时间间隔或当重大变化发生时进行信息安全策略评审，以确保其持续的适宜性、充分性和有效性。A.6信息安全组织A.6.1内部组织目的：建立一个管理框架，以启动和控制组织内信息安全的实现和运行。A.6.1.1信息安全的角色和责任控制所有的信息安全责任应予以定义和分配。A.6.1.2职责分离控制应分离冲突的职责及其责任范围，以减少未授权或无意的修改或者不当使用组织资产的机会。A.6.1.3与职能机构的联系控制第45页134页 10GB/T22080-2016/ISO/IEC27001:2013应维护与相关职能机构的适当联系。A.6.1.4与特定相关方的联系控制应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。A.6.1.5项目管理中的信息安全控制应关注项目管理中的信息安全问题，无论何种类型的项目。A.6.2移动设备和远程工作目的：确保移动设备远程工作及其使用的安全。A.6.2.1移动设备策略控制应采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险。A.6.2.2远程工作控制应实现相应的策略及其支持性的安全措施，以保护在远程工作地点上所访问的、处理的或存储的信息。A.7人力资源安全A.7.1任用前目的：确保员工和合同方理解其责任，并适合其角色A.7.1.1审查控制应按照相关法律法规和道德规范，对所有任用候选者的背景进行验证核查，并与业务要求、访问信息的等级和察觉的风险相适宜A.7.1.2任用条款及条件控制应在员工和合同方的合同协议中声明他们和组织对信息安全的责任。A.7.2任用中目的：确保员工和合同方意识到并履行其信息安全责任。A.7.2.1管理责任控制管理者应宜要求所有员工和合同方按照组织已建A.7.2.2信息安全意识、教育和培训控制组织所有员工和相关的合同方，应按其工作职能接受适当的意识教育和培训，及组织策略及规程的定期更新的信息。A.7.2.3违规处理过程控制第46页134页 11GB/T22080-2016/ISO/IEC27001:2013应有正式的、且已被传达的违规处理过程以对信A.7.3任用的终止和变更目的：在任用变更或终止过程中保护组织的利益。A.7.3.1任用终止或变更的责任控制应确定任用终止或变更后仍有效的信息安全责任及其职责，传达至员工或合同方并执行。A.8资产管理A.8.1有关资产的责任日的：识别组织资产并定义适当的保护责任。A.8.1.1资产清单控制应识别信息，以及与信息和信息处理设施相关的A.8.1.2资产的所属关系控制应维护资产清单中资产的所属关系。A.8.1.3资产的可接受使用控制应识别可接受的信息使用规则，以及与信息和信息处理设施有关的资产的可接受的使用规则，形成文件并加以实现A.8.1.4资产归还控制A.8.2信息分级目的：确保信息按照其对组织的重要程度受到适当级别的保护。A.8.2.1信息的分级控制信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。A.8.2.2信息的标记控制应按照组织采用的信息分级方案，制定并实现一组适当的信息标记规程。A.8.2.3资产的处理控制应按照组织采用的信息分级方案，制定并实现资A.8.3介质处理目的：防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏。A.8.3.1移动介质的管理控制第47页134页 12GB/T22080-2016/ISO/IEC27001:2013应按照组织采用的分级方案，实现移动介质管理规程。A.8.3.2介质的处置控制应使用正式的规程安全地处置不再需要的介质。A.8.3.3物理介质的转移控制包含信息的介质在运送中应受到保护，以防止未授权访问、不当使用或毁坏。A.9访问控制A.9.1访问控制的业务要求目的：限制对信息和信息处理设施的访问。A.9.1.1访问控制策略控制A.9.1.2网络和网络服务的访问控制应仅向用户提供他们已获专门授权使用的网络和A.9.2用户访问管理目的：确保授权用户对系统和服务的访问，并防止未授权的访问。A.9.2.1用户注册和注销控制应实现正式的用户注册及注销过程，以便可分配访问权。A.9.2.2用户访问供给控制A.9.2.3特许访问权管理控制应限制并控制特许访问权的分配和使用。A.9.2.4用户的秘密鉴别信息管理控制A.9.2.5用户访问权的评宙控制资产拥有者应定期对用户的访问权进行评审。A.9.2.6访问权的移除或调整控制所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时，应予以移除，或在变更时予以调整。A.9.3用户责任第48页共134页 13GB/T22080-2016/ISO/IEC27001:2013目的：让用户承担保护其鉴别信息的责任。A.9.3.1秘密鉴别信息的使用控制A.9.4系统和应用访问控制目的：防止对系统和应用的未授权访问。A.9.4.1信息访问限制控制应按照访问控制策略限制对信息和应用系统功能的访问：A.9.4.2安全登录规程控制当访问控制策略要求时，应通过安全登录规程控A.9.4.3口令管理系统控制A.9.4.4特权实用程序的使用控制对于可能超越系统和应用控制的实用程序的使用应予以限制并严格控制。A.9.4.5程序源代码的访问控制控制应限制对程序源代码的访问。A.10密码A.10.1密码控制： (。A.10.1.1密码控制的使用策略控制A.10.1.2密钥管理控制应制定和实现贯穿其全生命周期的密钥使用、保护和生存期策略。A.11物理和环境安全A.11.1安全区域目的：防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。A.11.1.1物理安全边界控制应定义和使用安全边界来保护包含敏感或关键信A.11.1.2物理入口控制控制第49页共134页 14GB/T22080-2016/ISO/IEC27001:2013安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。A.11.1.3办公室、房间和设施的安全保护控制A.11.1.4外部和环境威胁的安全防护控制应设计和应用物理保护以防自然灾害、恶意攻击和意外。A.11.1.5在安全区域工作控制应设计和应用安全区域工作规程。A.11.1.6交接区控制访问点(例如交接区)和未授权人员可进入的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。A.11.2设备目的：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。A.11.2.1设备安置和保护控制应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。A.11.2.2支持性设施控制应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。A.11.2.3布缆安全控制应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏A.11.2.4设备维护控制设备应予以正确地维护，以确保其持续的可用性和完整性。A.11.2.5资产的移动控制A.11.2.6组织场所外的设备与资产安全控制应对组织场所外的资产采取安全措施，要考虑工作在组织场所外的不同风险A.11.2.7设备的安全处置或再利用控制包含储存介质的设备的所有部分应进行核查，以确保在处置或再利用之前，任何敏感信息和注册软件已被删除或安全的重写。第50页134页 15GB/T22080-2016/ISO/IEC27001:2013A.11.2.8无人值守的用户设备控制用户应确保无人值守的用户设备有适当的保护。A.11.2.9清理桌面和屏幕策略控制A.12运行安全A.12.1运行规程和责任目的：确保正确、安全的操作信息处理设施。A.12.1.1文件化的操作规程控制操作规程应形成文件，并对所需用户可用。A.12.1.2变更管理控制应控制影响信息安全的变更，包括组织、业务过程、信息处理设施和系统变更。A.12.1.3容量管理控制应对资源的使用进行监视，调整和预测未来的容量需求，以确保所需的系统性能。A.12.1.4开发、测试和运行环境的分离控制应分离开发、测试和运行环境，以降低对运行环境未授权访问或变更的风险。A.12.2恶意软件防范目的：确保信息和信息处理设施防范恶意软件。A.12.2.1恶意软件的挖制控制A.12.3备份目的：防止数据丢失A.12.3.1信息备份控制应按照既定的备份策略，对信息、软件和系统镜像进行备份，并定期测试。A.12.4日志和监视目的：记录事态并生成证据。A.12.4.1事态日志控制应产生、保持并定期评审记录用户活动、异常、A.12.4.2日志信息的保护控制记录日志的设施和日志信息应加以保护，以防止第51页134页 16GB/T22080-2016/ISO/IEC27001:2013篡改和未授权的访问。A.12.4.3管理员和操作员日志控制系统管理员和系统操作员活动应记入日志，并对A.12.4.4时钟同步控制一个组织或安全域内的所有相关信息处理设施的A.12.5运行软件控制目的：确保运行系统的完整性。A.12.5.1运行系统的软件安装控制应实现运行系统软件安装控制规程。A.12.6技术脆弱性管理目的：防止对技术脆弱性的利用。A.12.6.1技术脆弱性的管理控制A.12.6.2软件安装限制控制应建立并实现控制用户安装软件的规则。A.12.7信息系统审计的考虑目的：使审计活动对运行系统的影响最小化。A.12.7.1信息系统审计的控制控制A.13通信安全A.13.1网络安全管理目的：确保网络中的信息及其支持性的信息处理设施得到保护。A.13.1.1网络控制控制应管理和控制网络以保护系统和应用中的信息。A.13.1.2网络服务的安全控制所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中，无论这些服务是由内部提供的还是外包的。A.13.1.3网络隔离控制应在网络中隔离信息服务、用户及信息系统。134 17GB/T22080-2016/ISO/IEC27001:2013A.13.2信息传输目的：保持在组织内及与外部实体间传输信息的安全。A.13.2.1信息传输策略和规程控制应有正式的传输策略、规程和控制，以保护通过使用各种类型通信设施进行的信息传输。A.13.2.2信息传输协议控制A.13.2.3电子消息发送控制应适当保护包含在电子消息发送中的信息。A.13.2.4保密或不泄露协议控制应识别、定期评审和文件化反映组织信息保护需A.14系统获取、开发和维护A.14.1信息系统的安全要求目的：确保信息安全是信息系统整个生命周期中的一个有机组成部分。这也包括提供公共网络服务的信息系统的要求A.14.1.1信息安全要求分析和说明控制新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求。A.14.1.2公共网络上应用服务的安全保护控制A.14.1.3应用服务事务的保护控制应保护应用服务事务中的信息，以防止不完整的传输、错误路由、未授权的消息变更、未授权的泄露、未授权的消息复制或重放。A.14.2开发和支持过程中的安全目的：确保信息安全在信息系统开发生命周期中得到设计和实现。A.14.2.1安全的开发策略控制针对组织内的开发，应建立软件和系统开发规则A.14.2.2系统变更控制规程控制应使用正式的变更控制规程来控制开发生命周期A.14.2.3运行平台变更后对应用的技控制第53页134页 18GB/T22080-2016/ISO/IEC27001:2013术评审当运行平台发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。A.14.2.4软件包变更的限制控制应不鼓励对软件包进行修改，仅限于必要的变更且对所有变更加以严格控制A.14.2.5系统安全工程原则控制应建立、文件化和维护系统安全工程原则，并应用到任何信息系统实现工作中A.14.2.6安全的开发环境控制组织应针对覆盖系统开发生命周期的系统开发和集成活动，建立安全开发环境，并予以适当保护。A.14.2.7外包开发控制组织应督导和监视外包系统开发活动A.14.2.8系统安全测试控制应在开发过程中进行安全功能测试。A.14.2.9系统验收测试控制应建立对新的信息系统、升级及新版本的验收测A.14.3测试数据目的：确保用于测试的数据得到保护。A.14.3.1测试数据的保护控制测试数据应认真地加以选择、保护和控制。A.15供应商关系A.15.1供应商关系中的信息安全目的：确保供应商可访问的组织资产得到保护。A.15.1.1供应商关系的信息安全策略控制为降低供应商访问组织资产的相关风险，应与供应商就信息安全要求达成一致，并形成文件A.15.1.2在供应商协议中强调安全控制应与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求，并达成一致。A.15.1.3信息与通信技术供应链控制供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。第54页134页 19GB/T22080-2016/ISO/IEC27001:2013A.15.2供应商服务交付管理目的：维护与供应商协议一致的信息安全和服务交付的商定级别。A.15.2.1供应商服务的监视和评审控制组织应定期监视、评审和审核供应商服务交付。A.15.2.2供应商服务的变更管理控制应管理供应商所提供服务的变更，包括维护和改度及风险的再评估。A.16信息安全事件管理A.16.1信息安全事件的管理和改进A.16.1.1责任和规程控制应建立管理责任和规程，以确保快速、有效和有序地响应信息安全事件。A.16.1.2报告信息安全事态控制A.16.1.3报告信息安全弱点控制应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。A.16.1.4信息安全事态的评估和决策控制应评估信息安全事态并决定其是否属于信息安全事件。A.16.1.5信息安全事件的响应控制应按照文件化的规程响应信息安全事件。A.16.1.6从信息安全事件中学习控制应利用在分析和解决信息安全事件中得到的知识A.16.1.7证据的收集控制组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息。A.17业务连续性管理的信息安全方面A.17.1信息安全的连续性目的：应将信息安全连续性纳入组织业务连续性管理之中。第55页134页 20GB/T22080-2016/ISO/IEC27001:2013A.17.1.1规划信息安全连续性控制组织应确定在不利情况(如危机或灾难)下，对信息安全及信息安全管理连续性的要求。A.17.1.2实现信息安全连续性控制组织应建立、文件化、实现并维护过程、规程和控制，以确保在不利情况下信息安全连续性达到要求的级别。A.17.1.3验证、评审和评价信息安全控制连续性组织应定期验证已建立和实现的信息安全连续性控制，以确保这些控制在不利情况下是正当和有效的。A.17.2冗余目的：确保信息处理设施的可用性。A.17.2.1信息处理设施的可用性控制A.18符合性A.18.1符合法律和合同要求日的：避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。A.18.1.1适用的法律和合同要求的识别控制A.18.1.2知识产权控制应实现适当的规程，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。A.18.1.3记录的保护控制A.18.1.4隐私和个人可识别信息保护控制应依照相关的法律、法规和合同条款的要求，以A.18.1.5密码控制规则控制密码控制的使用应遵从所有相关的协议、法律和第56页134页 21GB/T22080-2016/ISO/IEC27001:2013法规。A.18.2信息安全评审目的：确保依据组织策略和规程来实现和运行信息安全。A.18.2.1信息安全的独立评审控制应按计划的时间间隔或在重大变化发生时，对组织的信息安全管理方法及其实现(如信息安全的控制目的、控制、方针策略、过程和规程)进行独立评审A.18.2.2符合安全策略和标准控制管理者应定期评审其责任范围内的信息处理和规程与适当的安全策略、标准和任何其他安全要求的符合性。A.18.2.3技术符合性评审控制应定期评审信息系统与组织的信息安全策略和标准的符合性。第57页134页 22T/GDJRFW001-2023T/GDJRFW001-2023第第58页134页GB/T22080-2016/ISO/IEC27001:2013参考文献[1]ISO/IEC27002:2013,信息技术安全技术信息安全控制实用规则.[2]ISO/IEC27003:2010,信息技术安全技术信息安全管理体系实施指南.[3]ISO/IEC27004:2009,信息技术安全技术信息安全管理测量.[4]ISO/IEC27005:2011,信息技术安全技术信息安全风险管理.ISO附件7：GBT35770-2022合规管理体系要求及使用指南ICS03.100.01CCSA 02中 华 人 民 共 和 国 国 标 准GB/TGB/T35770—2017合规管理体系 要求及使用指南Compliancemanagementsystems—Requirementswithguidanceforuse布 施国家市场监督管理总 发布局国家标准化管理委员会T/GDJRFW001-2023T/GDJRFW001-2023GB/T 35