張雅婷

摘要：隨著我國(guó)社會(huì)信用體系建設(shè)的全面提速，征信機(jī)構(gòu)的信息安全成為制約征信業(yè)健康快速發(fā)展的一個(gè)重要因素。如何提高征信機(jī)構(gòu)的信息安全管理水平，保障征信機(jī)構(gòu)信息安全，是我國(guó)征信業(yè)建設(shè)發(fā)展過(guò)程中必須要解決的一個(gè)重要問(wèn)題。本文對(duì)國(guó)內(nèi)外信息安全管理的研究成果進(jìn)行了梳理，分析了我國(guó)征信機(jī)構(gòu)信息安全管理的現(xiàn)狀以及面臨的風(fēng)險(xiǎn)，在此基礎(chǔ)上，借鑒國(guó)際標(biāo)準(zhǔn)ISO/IEC27001，構(gòu)建了一個(gè)適用于征信機(jī)構(gòu)的信息安全管理模型。

關(guān)鍵詞：IS0/IEC；27001；信息安全；管理體系；信息安全管理

近年來(lái)，隨著我國(guó)社會(huì)信用體系建設(shè)的全面提速，征信業(yè)快速發(fā)展，征信產(chǎn)品不斷創(chuàng)新，征信機(jī)構(gòu)發(fā)展迅速，在推進(jìn)地方經(jīng)濟(jì)和金融發(fā)展等方面發(fā)揮了積極作用。但由于我國(guó)的征信業(yè)發(fā)展仍然處于起步階段，征信機(jī)構(gòu)缺乏有效的監(jiān)管，沒(méi)有建立起科學(xué)完善的評(píng)價(jià)和管理體系，存在較大的風(fēng)險(xiǎn)隱患，其信息安全問(wèn)題不容忽視。如何加強(qiáng)征信機(jī)構(gòu)信息安全管理，防范征信機(jī)構(gòu)信息安全風(fēng)險(xiǎn)，成為當(dāng)前亟待研究解決的課題。

目前，人民銀行征信系統(tǒng)已收錄了全國(guó)8億自然人和1576萬(wàn)戶企業(yè)及其他組織的基本信息、銀行賬戶信息、信貸信息以及其他非銀行信息等多項(xiàng)重要的涉密信息，其信息的安全性事關(guān)個(gè)人信息隱私權(quán)、企業(yè)商業(yè)機(jī)密，一旦發(fā)生信息泄密事件，不僅會(huì)對(duì)人民銀行征信系統(tǒng)建設(shè)產(chǎn)生極大的負(fù)面影響，還會(huì)引起一系列的法律糾紛問(wèn)題，進(jìn)而阻滯征信業(yè)發(fā)展的進(jìn)程。因此，征信信息的安全問(wèn)題對(duì)征信業(yè)的發(fā)展至關(guān)重要。

一、文獻(xiàn)綜述

（一）信息安全管理基礎(chǔ)理論

基于美國(guó)國(guó)家安全通信以及信息系統(tǒng)安全委員會(huì)的定義，信息安全就是保護(hù)信息及其關(guān)鍵要素，包括使用、存儲(chǔ)以及傳輸信息的系統(tǒng)和硬件。信息安全的主要目標(biāo)是信息的保密性、完整性、可用性等安全屬性的保持，即通過(guò)采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)等安全技術(shù)和各種組織管理措施，保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，保持其安全屬性。

征信機(jī)構(gòu)信息安全即通過(guò)采取各種技術(shù)和措施對(duì)征信機(jī)構(gòu)自身信息和其搜集的企業(yè)和個(gè)人信息、以及信息載體、信息環(huán)境的保護(hù)來(lái)實(shí)現(xiàn)信息安全。

信息安全管理是通過(guò)維護(hù)信息機(jī)密性、完整性和可用性，來(lái)管理和保護(hù)組織所有信息資產(chǎn)的一項(xiàng)體制，是對(duì)信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動(dòng)和過(guò)程。信息安全管理的內(nèi)容包括信息安全政策制定、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)與方式的選擇、制定規(guī)范的操作流程、信息安全培訓(xùn)等等。

（二）國(guó)內(nèi)外研究綜述

對(duì)信息安全管理的研究在 20 世紀(jì) 90 年代才引起人們的重視。其研究范圍包括信息安全的評(píng)估方法、信息安全標(biāo)準(zhǔn)和信息安全管理模型。

1.信息安全的評(píng)估方法。

國(guó)外的信息安全評(píng)估方法主要有Changduk Jung（1999）提出的基于案例推理 （Case-BasedReasoning，CBR）的信息風(fēng)險(xiǎn)評(píng)估方法、Ashish Gehani（2003）提出的基于主機(jī)的風(fēng)險(xiǎn)管理和決策模型以及Shawn A.Butler（2003）提出的協(xié)助信息安全管理人員進(jìn)行安全措施選擇權(quán)衡分析的多屬性決策方法。

在國(guó)內(nèi)，錢鋼（2002）提出了一種基于 SSE-CMM 的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法。該方法利用 AHP 方法將風(fēng)險(xiǎn)事件后果評(píng)定為一個(gè)屬于[0，1]區(qū)間的數(shù)值；同時(shí)采用專家估計(jì)的方法推導(dǎo)風(fēng)險(xiǎn)事件成功概率的似然估計(jì)值。朱而剛和張素英（2004）提出了一個(gè)基于灰色評(píng)估的信息安全風(fēng)險(xiǎn)評(píng)估模型，引入了灰色評(píng)估的研究方法；任帥、慕德?。?006）通過(guò)應(yīng)用層次分析法計(jì)算出受評(píng)對(duì)象各層次的相對(duì)權(quán)重，再利用灰色系統(tǒng)理論處理專家的評(píng)估數(shù)據(jù)；高陽(yáng)、羅軍舟（2009）提出了一種基于灰色關(guān)聯(lián)決策算法的安全風(fēng)險(xiǎn)評(píng)估方法。

2.信息安全標(biāo)準(zhǔn)。

英國(guó)于1995 年首次提出 BS7799-1：1995《信息安全管理實(shí)施細(xì)則》，隨后美國(guó)和歐洲等一些國(guó)家也提出了相關(guān)的信息安全管理標(biāo)準(zhǔn)。1996 年，國(guó)際標(biāo)準(zhǔn)組織發(fā)布了 ISO/IECT R13335 即《信息技術(shù)安全管理指南》，1999 年發(fā)布了 ISO/IEC15408即《信息技術(shù)安全評(píng)估共同準(zhǔn)則》（CC 標(biāo)準(zhǔn)），2005 年又發(fā)布了 ISO/IEC 27001 即《信息技術(shù)信息安全管理實(shí)施細(xì)則》。1999 年 9月，中國(guó)制定了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）。2000 年 12 月，BS7799-1：1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織 ISO 的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)——ISO/IEC17799-1：2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》。但該國(guó)際標(biāo)準(zhǔn)只被英國(guó)、荷蘭、丹麥、澳大利亞等幾個(gè)國(guó)家使用，美國(guó)、德國(guó)等國(guó)家對(duì)該標(biāo)準(zhǔn)持反對(duì)態(tài)度。

3.信息安全管理模型。

國(guó)外信息安全管理模型主要有PDR 模型、PDRR模型、PDCA 模型三種。

PDR 模型（Winn Schwartau，1998），PDR 即：Protection（保護(hù)）、Detectioon（檢測(cè)）、Response（響應(yīng)）。

PDRR（Protection Detection Response Recovery）模型。 PDRR 模型的核心思想是：要實(shí)現(xiàn)信息保障，必須在統(tǒng)一的安全策略的指導(dǎo)下，針對(duì)信息系統(tǒng)中各個(gè)需要保護(hù)的目標(biāo)，綜合運(yùn)用恰當(dāng)?shù)姆雷o(hù)機(jī)制，動(dòng)態(tài)的檢測(cè)機(jī)制，及時(shí)的響應(yīng)機(jī)制，以及當(dāng)遭受攻擊引起信息安全措施失效時(shí)的迅速的恢復(fù)機(jī)制，構(gòu)筑具有“縱深防御”功能的信息安全保障體系。

PDCA 模型又稱戴明環(huán)，最初應(yīng)用于質(zhì)量管理體系中。ISO/IEC27001 信息安全管理體系就是采用了這一模型。其主要通過(guò)規(guī)劃、實(shí)施、檢查、行動(dòng)四個(gè)環(huán)節(jié)來(lái)發(fā)現(xiàn)

在國(guó)內(nèi)，主要有HTP 信息安全模型，該模型由三部分組成：①人員與管理：從組織角度考慮有安全方針政策程序、安全管理、組織文化、應(yīng)急計(jì)劃以及業(yè)務(wù)持續(xù)性管理等問(wèn)題。 ②技術(shù)與產(chǎn)品：組織可以綜合運(yùn)用商用密碼、防火墻、防病毒、身份識(shí)別、可信服務(wù)、安全服務(wù)、備份恢復(fù)以及主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保護(hù)信息系統(tǒng)的安全。③流程與體系：組織應(yīng)當(dāng)借鑒國(guó)內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與實(shí)踐過(guò)程，考慮到組織對(duì)信息安全的各個(gè)層面的需求，在風(fēng)險(xiǎn)分析的基礎(chǔ)上引入恰當(dāng)控制機(jī)制，建立合理的信息安全管理體系，保證組織賴以生存的信息資產(chǎn)的保密性、完整性、安全性和可用性。

綜上所述，有關(guān)信息安全管理的研究成果非常的豐碩，在信息安全的評(píng)估方法和信息安全的評(píng)價(jià)標(biāo)準(zhǔn)上尤其突出，在信息安全管理的模型和機(jī)制上也有許多有價(jià)值的成果值得借鑒。但是，把信息安全的理論應(yīng)用于企業(yè)的信息安全管理實(shí)踐中的研究相對(duì)缺乏。對(duì)于征信機(jī)構(gòu)的信息安全管理的研究成果不多，現(xiàn)實(shí)中的征信機(jī)構(gòu)面臨著各種各樣的信息安全問(wèn)題。

二、征信機(jī)構(gòu)信息安全的現(xiàn)狀及存在的問(wèn)題

第一，我國(guó)現(xiàn)行征信相關(guān)法律制度層次不高，法制建設(shè)不完善。我國(guó)征信機(jī)構(gòu)信息安全立法的現(xiàn)狀總體上不容樂(lè)觀。目前，我國(guó)的法律對(duì)征信機(jī)構(gòu)信息安全的規(guī)定比較零散，尚未制定系統(tǒng)、全面保障征信機(jī)構(gòu)信息安全的法律文件?，F(xiàn)有的法律多表現(xiàn)為條例或規(guī)章，這些條例和規(guī)章效力等級(jí)不高，調(diào)控范圍有限，內(nèi)容不全面。國(guó)務(wù)院2012年出臺(tái)的《征信業(yè)管理?xiàng)l例》對(duì)于征信機(jī)構(gòu)信息安全保護(hù)的規(guī)范過(guò)于簡(jiǎn)略，在實(shí)體上和程序上均有待完善。

第二，征信信息安全管理制度體系初步建立，亟待健全和完善。目前，中國(guó)人民銀行出臺(tái)的信貸征信信息安全方面的文件主要有《銀行信貸登記咨詢管理辦法（試行）》、《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)管理暫行辦法》、《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)數(shù)據(jù)報(bào)送管理規(guī)程（暫行）》，對(duì)于企業(yè)信用信息數(shù)據(jù)庫(kù)的相關(guān)管理辦法尚未形成，且各管理辦法中均沒(méi)有明確征信信息保密的實(shí)施細(xì)則，也沒(méi)有固定計(jì)算機(jī)的網(wǎng)絡(luò)條件限制，信息安全管理制度亟待健全和完善。

第三，數(shù)據(jù)收集和處理的準(zhǔn)確性、保密性難以精準(zhǔn)把握。由于缺乏國(guó)家層面的法律保障，征信機(jī)構(gòu)信息來(lái)源的準(zhǔn)確性受到制約。以人民銀行征信系統(tǒng)為例，其信息主要來(lái)源于人民銀行貸款卡更新信息、各國(guó)有股份制商業(yè)銀行及地方性金融機(jī)構(gòu)的賬戶和信貸信息、各部委和各地方政府機(jī)構(gòu)的非銀行信息等，傳輸單位、環(huán)節(jié)眾多，數(shù)據(jù)流動(dòng)情況復(fù)雜，信息涉密環(huán)節(jié)較多，如管理不當(dāng)或操作失誤，信息采集就可能出現(xiàn)失誤或泄露。

第四，信息管理環(huán)節(jié)亟待加強(qiáng)。目前，在征信信息安全管理的整個(gè)流程中，信息的存儲(chǔ)環(huán)節(jié)亟待加強(qiáng)。雖然各商業(yè)銀行已經(jīng)制定了相應(yīng)的信息管理辦法，但實(shí)際操作中仍存在征信工作人員信息安全責(zé)任意識(shí)淡薄、崗位實(shí)施細(xì)則落實(shí)不力等問(wèn)題。調(diào)查發(fā)現(xiàn)，個(gè)別商業(yè)銀行雖然在制度上對(duì)系統(tǒng)管理員、部門主管、操作員的責(zé)任權(quán)限有明確劃分，但在實(shí)際操作中混崗和違章操作現(xiàn)象經(jīng)常有發(fā)生，操作人員口令過(guò)于簡(jiǎn)單或長(zhǎng)期不更換，查詢員、復(fù)核員口令未能相互保密等，信息管理存在較大的安全隱患。

第五，信息保密技術(shù)有待提高。目前，在征信信息查詢使用過(guò)程中，存在安全防范技術(shù)落后、安全防范技術(shù)不統(tǒng)一、防范方式單一的現(xiàn)象。防范征信系統(tǒng)信息泄密，除了在信息數(shù)據(jù)傳輸?shù)母鱾€(gè)環(huán)節(jié)要實(shí)行高強(qiáng)度的加密保護(hù)外，信息查詢也要采取更完善的安全保護(hù)措施。

第六，征信機(jī)構(gòu)信息安全意識(shí)淡薄，存在管理觀念誤區(qū)。大多數(shù)征信機(jī)構(gòu)的管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，或者僅僅是局限于IT方面的安全，沒(méi)有形成一個(gè)合理的信息安全方針來(lái)指導(dǎo)組織的信息安全管理工作，這表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對(duì)員工進(jìn)行必要的安全法律法規(guī)和防范安全風(fēng)險(xiǎn)的教育與培訓(xùn)，現(xiàn)有的安全規(guī)章組織未必能嚴(yán)格實(shí)施等。

第七，征信機(jī)構(gòu)信息安全管理能力和管理水平參差不齊，投入力量有限。目前，我國(guó)征信機(jī)構(gòu)的發(fā)展還處于起步階段，征信機(jī)構(gòu)的發(fā)展水平還較低，征信機(jī)構(gòu)的管理能力和管理水平參差不齊，在信息安全管理體系建設(shè)的投入上重視程度不夠，投入力量也有限。信息安全管理體系的建設(shè)需要征信機(jī)構(gòu)投入大量的資金和人力物力，而信息安全管理的投入?yún)s很難看到收益，這也導(dǎo)致許多征信機(jī)構(gòu)在資金、人力物力有限的情況下不愿投入較多資金在信息安全管理上。

三、ISO/IEC 27001 信息安全管理體系分析

ISO/IEC 27001《信息技術(shù)安全技術(shù)-信息安全管理體系—要求》是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)，源于英國(guó)BS7799標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施，保障組織的信息安全，采用PDCA過(guò)程方法，基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。

ISO/IEC 27001是ISMS的要求標(biāo)準(zhǔn)，內(nèi)容共分8章和3個(gè)附錄。ISO/IEC 27001是用于所有類型的組織（如企事業(yè)單位和政府機(jī)關(guān)等）。它從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)事、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應(yīng)不同組織或其他部門的需要而定制的安全控制措施的實(shí)施要求。ISO/IEC 27001是組織建立和實(shí)施ISMS的依據(jù)，也是ISMS認(rèn)證機(jī)構(gòu)實(shí)施審核的依據(jù)。

ISO/IEC 27001要求組織利用風(fēng)險(xiǎn)評(píng)估的方法，確定每一個(gè)關(guān)鍵信息資產(chǎn)的風(fēng)險(xiǎn)，并根據(jù)各類信息資產(chǎn)的重要度和價(jià)值，選擇適當(dāng)?shù)目刂拼胧彍p風(fēng)險(xiǎn)。

ISO/IEC 27002是一個(gè)通用的信息安全控制措施集，從11個(gè)方面提出了39個(gè)信息安全控制目標(biāo)和133個(gè)控制措施，涵蓋了信息安全的各個(gè)方面，對(duì)于每個(gè)具體控制措施，標(biāo)準(zhǔn)還給出了詳細(xì)的實(shí)施方面的信息，為組織實(shí)施信息安全管理提供建議。

ISO/IEC 27001與ISO/IEC 27002是組合使用的。ISO/IEC 27001中的規(guī)范性附錄A就是ISO/IEC 27002的控制目標(biāo)和控制措施。對(duì)于期望建設(shè)和實(shí)施ISMS的組織，應(yīng)根據(jù)ISO/IEC 27001的要求，選擇ISMS范圍，制定信息安全方針和目標(biāo)，實(shí)施風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇控制目標(biāo)和控制措施，制定和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，執(zhí)行內(nèi)部審核和管理評(píng)審。

四、征信機(jī)構(gòu)信息安全管理體系設(shè)計(jì)及內(nèi)容

（一）構(gòu)建信息安全管理體系的基本步驟

信息安全管理體系的構(gòu)建不是一個(gè)單純的技術(shù)和產(chǎn)品工程，而是一個(gè)系統(tǒng)化的體系建設(shè)過(guò)程。因此，在構(gòu)建信息安全管理體系時(shí)，必須緊緊圍繞中心，有計(jì)劃、分步驟的實(shí)施。依據(jù)信息安全管理標(biāo)準(zhǔn)，建立信息安全管理體系的框架是構(gòu)建信息安全管理體系的第一步。信息安全管理體系框架的搭建必須按照一定的程序來(lái)進(jìn)行，如圖1所示。構(gòu)建信息安全管理體系框架時(shí)，必須充分考慮企業(yè)業(yè)務(wù)發(fā)展和信息安全需求，并建立與信息安全管理體系框架相對(duì)應(yīng)的文檔資料。

（二）征信機(jī)構(gòu)信息安全管理體系構(gòu)建

根據(jù)ISO/IEC27001的基本思路和方法，按照ISMS建立的流程和步驟，筆者結(jié)合征信機(jī)構(gòu)的實(shí)際情況，設(shè)計(jì)了一個(gè)征信機(jī)構(gòu)信息安全管理體系結(jié)構(gòu)模型，如圖2所示。

該模型以組織、制度、人員三大保障為基礎(chǔ)，以信息安全策略為中心，綜合運(yùn)用防護(hù)、檢測(cè)、響應(yīng)、改進(jìn)四步循環(huán)的管理體系為信息安全策略的實(shí)施提供支撐。防護(hù)、檢測(cè)、響應(yīng)、改進(jìn)分別由各自的安全措施組成，共同為征信機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)提供信息安全保護(hù)。防護(hù)主要由 8 大安全措施組成，即訪問(wèn)控制、數(shù)據(jù)加密、身份認(rèn)證、人員管控、電磁防護(hù)、冗余備份、頻率保護(hù)和運(yùn)營(yíng)管理。監(jiān)測(cè)主要由 5 大安全措施組成，即流量監(jiān)測(cè)、漏洞檢測(cè)、入侵監(jiān)測(cè)、路由檢測(cè)和環(huán)境監(jiān)測(cè)。響應(yīng)主要由 4 大安全措施組成，即系統(tǒng)恢復(fù)、安全記錄、故障處理和殺毒堵漏。改進(jìn)由5大安全措施組成，即產(chǎn)品升級(jí)、病毒更新、技術(shù)創(chuàng)新、人員培訓(xùn)和制度完善。

（1）信息安全策略

信息安全策略定義了組織的信息安全管理目標(biāo)和相應(yīng)的安全保障措施。組織的決策層在確定了組織的信息安全策略后，應(yīng)對(duì)其進(jìn)行文檔化的描述，同時(shí)還要有相應(yīng)的措施確保信息安全策略能夠得到強(qiáng)制有效的執(zhí)行。

（2）防護(hù)

相關(guān)部門要做好日常的信息安全防護(hù)工作，制定和完善與信息安全相關(guān)的各項(xiàng)內(nèi)部規(guī)章制度，加強(qiáng)組織人員對(duì)于相關(guān)制度的培訓(xùn)和學(xué)習(xí)，提高組織人員的安全意識(shí)，從信息傳遞的各個(gè)環(huán)節(jié)把控安全，從源頭消除信息安全問(wèn)題的隱患。

（3）監(jiān)測(cè)預(yù)警

相關(guān)部門要制定和完善網(wǎng)絡(luò)與信息安全突發(fā)事件監(jiān)測(cè)、預(yù)警、報(bào)告制度。加強(qiáng)網(wǎng)絡(luò)與信息安全監(jiān)測(cè)、分析、預(yù)警工作，建立信息安全事故通報(bào)制度。發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件的單位應(yīng)當(dāng)在事故發(fā)生后，對(duì)發(fā)生的事件進(jìn)行調(diào)查核實(shí)，保存相關(guān)證據(jù)，并向信息安全領(lǐng)導(dǎo)小組辦公室報(bào)告。領(lǐng)導(dǎo)小組應(yīng)建立健全網(wǎng)絡(luò)和信息安全突發(fā)事件監(jiān)測(cè)、指揮決策及預(yù)警發(fā)布系統(tǒng)，及時(shí)發(fā)布預(yù)警信息。各部門要制定并不斷完善各自的信息安全應(yīng)急處理預(yù)案。

（4）應(yīng)急響應(yīng)

實(shí)施預(yù)警信息等級(jí)制度，按照事件嚴(yán)重性和緊急程度及對(duì)社會(huì)影響的大小，由輕到重劃分為5個(gè)等級(jí)。一旦發(fā)生網(wǎng)絡(luò)與信息安全事件，各單位應(yīng)在第一時(shí)間報(bào)告到領(lǐng)導(dǎo)小組辦公室，如情況緊急，領(lǐng)導(dǎo)小組辦公室可上報(bào)本級(jí)征信監(jiān)督管理部門。

在發(fā)生3級(jí)以上網(wǎng)絡(luò)與信息安全事件后，事件發(fā)生單位和現(xiàn)場(chǎng)應(yīng)急處理工作應(yīng)盡最大可能收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事發(fā)原因，預(yù)估事件影響范圍和影響和損害，對(duì)事件進(jìn)行定級(jí)和上報(bào)。按照應(yīng)急響應(yīng)流程，由信息安全應(yīng)急協(xié)調(diào)領(lǐng)導(dǎo)小組決定啟動(dòng)應(yīng)急預(yù)案，并由領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)應(yīng)急處理協(xié)調(diào)工作。

應(yīng)急處理工作分確認(rèn)、控制、處理三步走。確認(rèn)：初步確定應(yīng)急處理方式，針對(duì)突發(fā)事件的性質(zhì)選擇響應(yīng)的應(yīng)急預(yù)案。如果以自身力量無(wú)法處理，應(yīng)提出應(yīng)急支援請(qǐng)求，由領(lǐng)導(dǎo)小組派出應(yīng)急支援技術(shù)人員進(jìn)行信息安全應(yīng)急支援?？刂疲杭皶r(shí)采取措施控制事件以使其不再發(fā)展，限制潛在的損失與破壞，同時(shí)應(yīng)確?？刂拼胧┎粫?huì)或最低程度影響相關(guān)業(yè)務(wù)。處理：在控制住事件發(fā)展后，通過(guò)對(duì)事件的分析找出事發(fā)原因，采取相應(yīng)的補(bǔ)救措施，徹底消除安全隱患。

在事件的上報(bào)、接收和處理過(guò)程中，事件接收人、處理負(fù)責(zé)人應(yīng)及時(shí)做好完整的過(guò)程記錄。事件處理完成后歸檔。

系統(tǒng)恢復(fù)正常運(yùn)行后，應(yīng)急響應(yīng)小組對(duì)事件造成的損失、事件處理流程和應(yīng)急預(yù)案進(jìn)行評(píng)估，對(duì)響應(yīng)流程、預(yù)案提出修改意見，總結(jié)事件處理經(jīng)驗(yàn)和教訓(xùn)，撰寫事件處理報(bào)告，需要上報(bào)的應(yīng)及時(shí)上報(bào)相關(guān)部門。對(duì)于病毒等易造成大范圍傳播的網(wǎng)絡(luò)與信息安全事件，應(yīng)及時(shí)向領(lǐng)導(dǎo)小組辦公室提交預(yù)警信息。

（5）改進(jìn)

信息安全事件的發(fā)生會(huì)暴露出組織信息安全管理工作中存在的問(wèn)題和漏洞，根據(jù)出現(xiàn)的問(wèn)題，組織可進(jìn)行仔細(xì)的問(wèn)題排查，根據(jù)問(wèn)題采取相應(yīng)的改進(jìn)措施。從信息安全技術(shù)的創(chuàng)新、安全產(chǎn)品的更新?lián)Q代、病毒庫(kù)的更新、加強(qiáng)人員培訓(xùn)教育、完善信息安全管理制度建設(shè)等多個(gè)方面進(jìn)行改進(jìn)。

征信機(jī)構(gòu)信息安全管理體系的建立是一個(gè)長(zhǎng)期的過(guò)程，該模型在具體的操作和運(yùn)用中還需要細(xì)化和完善。

參考文獻(xiàn)：

[1] 安建主編.《征信業(yè)管理?xiàng)l例》釋義[M].北京：中國(guó)民主法制出版社，2013.5.

[2] 趙志華主編.征信管理基礎(chǔ)概論[M].北京：中國(guó)金融出版社，2012.12.

[3] 郎慶斌，孫毅，楊莉.個(gè)人信息保護(hù)概論[M].。北京：人民出版社，2008.12.

[4] 王春冬主編.信息安全管理[M].。武漢：武漢大學(xué)出版社，2008.4.

[5] 張澤虹，趙冬梅編著.信息安全管理與風(fēng)險(xiǎn)評(píng)估[M].北京：電子工業(yè)出版社，2010.4.

[6] 孟艷.關(guān)于發(fā)展我國(guó)社會(huì)征信機(jī)構(gòu)的探討[J].理論學(xué)刊，2001.9.

[7] 崔景杰.淺談金融系統(tǒng)信息安全保障體系[J].科技博覽，2013.10.

[8] 李慧.信息安全管理體系研究[D].西安電子科技大學(xué)，2005.1.