征信機構信息安全管理研究

張雅婷

摘要：隨著我國社會信用體系建設的全面提速，征信機構的信息安全成為制約征信業(yè)健康快速發(fā)展的一個重要因素。如何提高征信機構的信息安全管理水平，保障征信機構信息安全，是我國征信業(yè)建設發(fā)展過程中必須要解決的一個重要問題。本文對國內外信息安全管理的研究成果進行了梳理，分析了我國征信機構信息安全管理的現(xiàn)狀以及面臨的風險，在此基礎上，借鑒國際標準ISO/IEC27001，構建了一個適用于征信機構的信息安全管理模型。

關鍵詞：IS0/IEC；27001；信息安全；管理體系；信息安全管理

近年來，隨著我國社會信用體系建設的全面提速，征信業(yè)快速發(fā)展，征信產品不斷創(chuàng)新，征信機構發(fā)展迅速，在推進地方經濟和金融發(fā)展等方面發(fā)揮了積極作用。但由于我國的征信業(yè)發(fā)展仍然處于起步階段，征信機構缺乏有效的監(jiān)管，沒有建立起科學完善的評價和管理體系，存在較大的風險隱患，其信息安全問題不容忽視。如何加強征信機構信息安全管理，防范征信機構信息安全風險，成為當前亟待研究解決的課題。

目前，人民銀行征信系統(tǒng)已收錄了全國8億自然人和1576萬戶企業(yè)及其他組織的基本信息、銀行賬戶信息、信貸信息以及其他非銀行信息等多項重要的涉密信息，其信息的安全性事關個人信息隱私權、企業(yè)商業(yè)機密，一旦發(fā)生信息泄密事件，不僅會對人民銀行征信系統(tǒng)建設產生極大的負面影響，還會引起一系列的法律糾紛問題，進而阻滯征信業(yè)發(fā)展的進程。因此，征信信息的安全問題對征信業(yè)的發(fā)展至關重要。

一、文獻綜述

（一）信息安全管理基礎理論

基于美國國家安全通信以及信息系統(tǒng)安全委員會的定義，信息安全就是保護信息及其關鍵要素，包括使用、存儲以及傳輸信息的系統(tǒng)和硬件。信息安全的主要目標是信息的保密性、完整性、可用性等安全屬性的保持，即通過采用計算機軟硬件技術、網絡技術、密碼技術等安全技術和各種組織管理措施，保護信息在其生命周期內的產生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，保持其安全屬性。

征信機構信息安全即通過采取各種技術和措施對征信機構自身信息和其搜集的企業(yè)和個人信息、以及信息載體、信息環(huán)境的保護來實現(xiàn)信息安全。

信息安全管理是通過維護信息機密性、完整性和可用性，來管理和保護組織所有信息資產的一項體制，是對信息安全保障進行指導、規(guī)范和管理的一系列活動和過程。信息安全管理的內容包括信息安全政策制定、風險評估、控制目標與方式的選擇、制定規(guī)范的操作流程、信息安全培訓等等。

（二）國內外研究綜述

對信息安全管理的研究在 20 世紀 90 年代才引起人們的重視。其研究范圍包括信息安全的評估方法、信息安全標準和信息安全管理模型。

1.信息安全的評估方法。

國外的信息安全評估方法主要有Changduk Jung（1999）提出的基于案例推理 （Case-BasedReasoning，CBR）的信息風險評估方法、Ashish Gehani（2003）提出的基于主機的風險管理和決策模型以及Shawn A.Butler（2003）提出的協(xié)助信息安全管理人員進行安全措施選擇權衡分析的多屬性決策方法。

在國內，錢鋼（2002）提出了一種基于 SSE-CMM 的信息系統(tǒng)安全風險評估方法。該方法利用 AHP 方法將風險事件后果評定為一個屬于[0，1]區(qū)間的數(shù)值；同時采用專家估計的方法推導風險事件成功概率的似然估計值。朱而剛和張素英（2004）提出了一個基于灰色評估的信息安全風險評估模型，引入了灰色評估的研究方法；任帥、慕德?。?006）通過應用層次分析法計算出受評對象各層次的相對權重，再利用灰色系統(tǒng)理論處理專家的評估數(shù)據(jù)；高陽、羅軍舟（2009）提出了一種基于灰色關聯(lián)決策算法的安全風險評估方法。

2.信息安全標準。

英國于1995 年首次提出 BS7799-1：1995《信息安全管理實施細則》，隨后美國和歐洲等一些國家也提出了相關的信息安全管理標準。1996 年，國際標準組織發(fā)布了 ISO/IECT R13335 即《信息技術安全管理指南》，1999 年發(fā)布了 ISO/IEC15408即《信息技術安全評估共同準則》（CC 標準），2005 年又發(fā)布了 ISO/IEC 27001 即《信息技術信息安全管理實施細則》。1999 年 9月，中國制定了《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）。2000 年 12 月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織 ISO 的認可，正式成為國際標準——ISO/IEC17799-1：2000《信息技術—信息安全管理實施細則》。但該國際標準只被英國、荷蘭、丹麥、澳大利亞等幾個國家使用，美國、德國等國家對該標準持反對態(tài)度。

3.信息安全管理模型。

國外信息安全管理模型主要有PDR 模型、PDRR模型、PDCA 模型三種。

PDR 模型（Winn Schwartau，1998），PDR 即：Protection（保護）、Detectioon（檢測）、Response（響應）。

PDRR（Protection Detection Response Recovery）模型。 PDRR 模型的核心思想是：要實現(xiàn)信息保障，必須在統(tǒng)一的安全策略的指導下，針對信息系統(tǒng)中各個需要保護的目標，綜合運用恰當?shù)姆雷o機制，動態(tài)的檢測機制，及時的響應機制，以及當遭受攻擊引起信息安全措施失效時的迅速的恢復機制，構筑具有“縱深防御”功能的信息安全保障體系。

PDCA 模型又稱戴明環(huán)，最初應用于質量管理體系中。ISO/IEC27001 信息安全管理體系就是采用了這一模型。其主要通過規(guī)劃、實施、檢查、行動四個環(huán)節(jié)來發(fā)現(xiàn)

在國內，主要有HTP 信息安全模型，該模型由三部分組成：①人員與管理：從組織角度考慮有安全方針政策程序、安全管理、組織文化、應急計劃以及業(yè)務持續(xù)性管理等問題。 ②技術與產品：組織可以綜合運用商用密碼、防火墻、防病毒、身份識別、可信服務、安全服務、備份恢復以及主動反擊等多種技術與產品來保護信息系統(tǒng)的安全。③流程與體系：組織應當借鑒國內外相關信息安全標準與實踐過程，考慮到組織對信息安全的各個層面的需求，在風險分析的基礎上引入恰當控制機制，建立合理的信息安全管理體系，保證組織賴以生存的信息資產的保密性、完整性、安全性和可用性。

綜上所述，有關信息安全管理的研究成果非常的豐碩，在信息安全的評估方法和信息安全的評價標準上尤其突出，在信息安全管理的模型和機制上也有許多有價值的成果值得借鑒。但是，把信息安全的理論應用于企業(yè)的信息安全管理實踐中的研究相對缺乏。對于征信機構的信息安全管理的研究成果不多，現(xiàn)實中的征信機構面臨著各種各樣的信息安全問題。

二、征信機構信息安全的現(xiàn)狀及存在的問題

第一，我國現(xiàn)行征信相關法律制度層次不高，法制建設不完善。我國征信機構信息安全立法的現(xiàn)狀總體上不容樂觀。目前，我國的法律對征信機構信息安全的規(guī)定比較零散，尚未制定系統(tǒng)、全面保障征信機構信息安全的法律文件?，F(xiàn)有的法律多表現(xiàn)為條例或規(guī)章，這些條例和規(guī)章效力等級不高，調控范圍有限，內容不全面。國務院2012年出臺的《征信業(yè)管理條例》對于征信機構信息安全保護的規(guī)范過于簡略，在實體上和程序上均有待完善。

第二，征信信息安全管理制度體系初步建立，亟待健全和完善。目前，中國人民銀行出臺的信貸征信信息安全方面的文件主要有《銀行信貸登記咨詢管理辦法（試行）》、《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》、《個人信用信息基礎數(shù)據(jù)庫數(shù)據(jù)報送管理規(guī)程（暫行）》，對于企業(yè)信用信息數(shù)據(jù)庫的相關管理辦法尚未形成，且各管理辦法中均沒有明確征信信息保密的實施細則，也沒有固定計算機的網絡條件限制，信息安全管理制度亟待健全和完善。

第三，數(shù)據(jù)收集和處理的準確性、保密性難以精準把握。由于缺乏國家層面的法律保障，征信機構信息來源的準確性受到制約。以人民銀行征信系統(tǒng)為例，其信息主要來源于人民銀行貸款卡更新信息、各國有股份制商業(yè)銀行及地方性金融機構的賬戶和信貸信息、各部委和各地方政府機構的非銀行信息等，傳輸單位、環(huán)節(jié)眾多，數(shù)據(jù)流動情況復雜，信息涉密環(huán)節(jié)較多，如管理不當或操作失誤，信息采集就可能出現(xiàn)失誤或泄露。

第四，信息管理環(huán)節(jié)亟待加強。目前，在征信信息安全管理的整個流程中，信息的存儲環(huán)節(jié)亟待加強。雖然各商業(yè)銀行已經制定了相應的信息管理辦法，但實際操作中仍存在征信工作人員信息安全責任意識淡薄、崗位實施細則落實不力等問題。調查發(fā)現(xiàn)，個別商業(yè)銀行雖然在制度上對系統(tǒng)管理員、部門主管、操作員的責任權限有明確劃分，但在實際操作中混崗和違章操作現(xiàn)象經常有發(fā)生，操作人員口令過于簡單或長期不更換，查詢員、復核員口令未能相互保密等，信息管理存在較大的安全隱患。

第五，信息保密技術有待提高。目前，在征信信息查詢使用過程中，存在安全防范技術落后、安全防范技術不統(tǒng)一、防范方式單一的現(xiàn)象。防范征信系統(tǒng)信息泄密，除了在信息數(shù)據(jù)傳輸?shù)母鱾€環(huán)節(jié)要實行高強度的加密保護外，信息查詢也要采取更完善的安全保護措施。

第六，征信機構信息安全意識淡薄，存在管理觀念誤區(qū)。大多數(shù)征信機構的管理層對信息資產所面臨的威脅的嚴重性認識不足，或者僅僅是局限于IT方面的安全，沒有形成一個合理的信息安全方針來指導組織的信息安全管理工作，這表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對員工進行必要的安全法律法規(guī)和防范安全風險的教育與培訓，現(xiàn)有的安全規(guī)章組織未必能嚴格實施等。

第七，征信機構信息安全管理能力和管理水平參差不齊，投入力量有限。目前，我國征信機構的發(fā)展還處于起步階段，征信機構的發(fā)展水平還較低，征信機構的管理能力和管理水平參差不齊，在信息安全管理體系建設的投入上重視程度不夠，投入力量也有限。信息安全管理體系的建設需要征信機構投入大量的資金和人力物力，而信息安全管理的投入?yún)s很難看到收益，這也導致許多征信機構在資金、人力物力有限的情況下不愿投入較多資金在信息安全管理上。

三、ISO/IEC 27001 信息安全管理體系分析

ISO/IEC 27001《信息技術安全技術-信息安全管理體系—要求》是有關信息安全管理的國際標準，源于英國BS7799標準。這個標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統(tǒng)地持續(xù)改進組織的安全管理。

ISO/IEC 27001是ISMS的要求標準，內容共分8章和3個附錄。ISO/IEC 27001是用于所有類型的組織（如企事業(yè)單位和政府機關等）。它從組織的整體業(yè)務風險的角度，為建立、實施、運行、監(jiān)事、評審、保持和改進文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應不同組織或其他部門的需要而定制的安全控制措施的實施要求。ISO/IEC 27001是組織建立和實施ISMS的依據(jù)，也是ISMS認證機構實施審核的依據(jù)。

ISO/IEC 27001要求組織利用風險評估的方法，確定每一個關鍵信息資產的風險，并根據(jù)各類信息資產的重要度和價值，選擇適當?shù)目刂拼胧彍p風險。

ISO/IEC 27002是一個通用的信息安全控制措施集，從11個方面提出了39個信息安全控制目標和133個控制措施，涵蓋了信息安全的各個方面，對于每個具體控制措施，標準還給出了詳細的實施方面的信息，為組織實施信息安全管理提供建議。

ISO/IEC 27001與ISO/IEC 27002是組合使用的。ISO/IEC 27001中的規(guī)范性附錄A就是ISO/IEC 27002的控制目標和控制措施。對于期望建設和實施ISMS的組織，應根據(jù)ISO/IEC 27001的要求，選擇ISMS范圍，制定信息安全方針和目標，實施風險評估，根據(jù)風險評估的結果，選擇控制目標和控制措施，制定和實施風險處理計劃，執(zhí)行內部審核和管理評審。

四、征信機構信息安全管理體系設計及內容

（一）構建信息安全管理體系的基本步驟

信息安全管理體系的構建不是一個單純的技術和產品工程，而是一個系統(tǒng)化的體系建設過程。因此，在構建信息安全管理體系時，必須緊緊圍繞中心，有計劃、分步驟的實施。依據(jù)信息安全管理標準，建立信息安全管理體系的框架是構建信息安全管理體系的第一步。信息安全管理體系框架的搭建必須按照一定的程序來進行，如圖1所示。構建信息安全管理體系框架時，必須充分考慮企業(yè)業(yè)務發(fā)展和信息安全需求，并建立與信息安全管理體系框架相對應的文檔資料。

（二）征信機構信息安全管理體系構建

根據(jù)ISO/IEC27001的基本思路和方法，按照ISMS建立的流程和步驟，筆者結合征信機構的實際情況，設計了一個征信機構信息安全管理體系結構模型，如圖2所示。

該模型以組織、制度、人員三大保障為基礎，以信息安全策略為中心，綜合運用防護、檢測、響應、改進四步循環(huán)的管理體系為信息安全策略的實施提供支撐。防護、檢測、響應、改進分別由各自的安全措施組成，共同為征信機構網絡系統(tǒng)提供信息安全保護。防護主要由 8 大安全措施組成，即訪問控制、數(shù)據(jù)加密、身份認證、人員管控、電磁防護、冗余備份、頻率保護和運營管理。監(jiān)測主要由 5 大安全措施組成，即流量監(jiān)測、漏洞檢測、入侵監(jiān)測、路由檢測和環(huán)境監(jiān)測。響應主要由 4 大安全措施組成，即系統(tǒng)恢復、安全記錄、故障處理和殺毒堵漏。改進由5大安全措施組成，即產品升級、病毒更新、技術創(chuàng)新、人員培訓和制度完善。

（1）信息安全策略

信息安全策略定義了組織的信息安全管理目標和相應的安全保障措施。組織的決策層在確定了組織的信息安全策略后，應對其進行文檔化的描述，同時還要有相應的措施確保信息安全策略能夠得到強制有效的執(zhí)行。

（2）防護

相關部門要做好日常的信息安全防護工作，制定和完善與信息安全相關的各項內部規(guī)章制度，加強組織人員對于相關制度的培訓和學習，提高組織人員的安全意識，從信息傳遞的各個環(huán)節(jié)把控安全，從源頭消除信息安全問題的隱患。

（3）監(jiān)測預警

相關部門要制定和完善網絡與信息安全突發(fā)事件監(jiān)測、預警、報告制度。加強網絡與信息安全監(jiān)測、分析、預警工作，建立信息安全事故通報制度。發(fā)生網絡與信息安全突發(fā)事件的單位應當在事故發(fā)生后，對發(fā)生的事件進行調查核實，保存相關證據(jù)，并向信息安全領導小組辦公室報告。領導小組應建立健全網絡和信息安全突發(fā)事件監(jiān)測、指揮決策及預警發(fā)布系統(tǒng)，及時發(fā)布預警信息。各部門要制定并不斷完善各自的信息安全應急處理預案。

（4）應急響應

實施預警信息等級制度，按照事件嚴重性和緊急程度及對社會影響的大小，由輕到重劃分為5個等級。一旦發(fā)生網絡與信息安全事件，各單位應在第一時間報告到領導小組辦公室，如情況緊急，領導小組辦公室可上報本級征信監(jiān)督管理部門。

在發(fā)生3級以上網絡與信息安全事件后，事件發(fā)生單位和現(xiàn)場應急處理工作應盡最大可能收集事件相關信息，鑒別事件性質，確定事發(fā)原因，預估事件影響范圍和影響和損害，對事件進行定級和上報。按照應急響應流程，由信息安全應急協(xié)調領導小組決定啟動應急預案，并由領導小組辦公室負責應急處理協(xié)調工作。

應急處理工作分確認、控制、處理三步走。確認：初步確定應急處理方式，針對突發(fā)事件的性質選擇響應的應急預案。如果以自身力量無法處理，應提出應急支援請求，由領導小組派出應急支援技術人員進行信息安全應急支援?？刂疲杭皶r采取措施控制事件以使其不再發(fā)展，限制潛在的損失與破壞，同時應確保控制措施不會或最低程度影響相關業(yè)務。處理：在控制住事件發(fā)展后，通過對事件的分析找出事發(fā)原因，采取相應的補救措施，徹底消除安全隱患。

在事件的上報、接收和處理過程中，事件接收人、處理負責人應及時做好完整的過程記錄。事件處理完成后歸檔。

系統(tǒng)恢復正常運行后，應急響應小組對事件造成的損失、事件處理流程和應急預案進行評估，對響應流程、預案提出修改意見，總結事件處理經驗和教訓，撰寫事件處理報告，需要上報的應及時上報相關部門。對于病毒等易造成大范圍傳播的網絡與信息安全事件，應及時向領導小組辦公室提交預警信息。

（5）改進

信息安全事件的發(fā)生會暴露出組織信息安全管理工作中存在的問題和漏洞，根據(jù)出現(xiàn)的問題，組織可進行仔細的問題排查，根據(jù)問題采取相應的改進措施。從信息安全技術的創(chuàng)新、安全產品的更新?lián)Q代、病毒庫的更新、加強人員培訓教育、完善信息安全管理制度建設等多個方面進行改進。

征信機構信息安全管理體系的建立是一個長期的過程，該模型在具體的操作和運用中還需要細化和完善。

參考文獻：

[1] 安建主編.《征信業(yè)管理條例》釋義[M].北京：中國民主法制出版社，2013.5.

[2] 趙志華主編.征信管理基礎概論[M].北京：中國金融出版社，2012.12.

[3] 郎慶斌，孫毅，楊莉.個人信息保護概論[M].。北京：人民出版社，2008.12.

[4] 王春冬主編.信息安全管理[M].。武漢：武漢大學出版社，2008.4.

[5] 張澤虹，趙冬梅編著.信息安全管理與風險評估[M].北京：電子工業(yè)出版社，2010.4.

[6] 孟艷.關于發(fā)展我國社會征信機構的探討[J].理論學刊，2001.9.

[7] 崔景杰.淺談金融系統(tǒng)信息安全保障體系[J].科技博覽，2013.10.

[8] 李慧.信息安全管理體系研究[D].西安電子科技大學，2005.1.