征信机构信息安全管理研究

张雅婷

摘要：随着我国社会信用体系建设的全面提速，征信机构的信息安全成为制约征信业健康快速发展的一个重要因素。如何提高征信机构的信息安全管理水平，保障征信机构信息安全，是我国征信业建设发展过程中必须要解决的一个重要问题。本文对国内外信息安全管理的研究成果进行了梳理，分析了我国征信机构信息安全管理的现状以及面临的风险，在此基础上，借鉴国际标准ISO/IEC27001，构建了一个适用于征信机构的信息安全管理模型。

关键词：IS0/IEC；27001；信息安全；管理体系；信息安全管理

近年来，随着我国社会信用体系建设的全面提速，征信业快速发展，征信产品不断创新，征信机构发展迅速，在推进地方经济和金融发展等方面发挥了积极作用。但由于我国的征信业发展仍然处于起步阶段，征信机构缺乏有效的监管，没有建立起科学完善的评价和管理体系，存在较大的风险隐患，其信息安全问题不容忽视。如何加强征信机构信息安全管理，防范征信机构信息安全风险，成为当前亟待研究解决的课题。

目前，人民银行征信系统已收录了全国8亿自然人和1576万户企业及其他组织的基本信息、银行账户信息、信贷信息以及其他非银行信息等多项重要的涉密信息，其信息的安全性事关个人信息隐私权、企业商业机密，一旦发生信息泄密事件，不仅会对人民银行征信系统建设产生极大的负面影响，还会引起一系列的法律纠纷问题，进而阻滞征信业发展的进程。因此，征信信息的安全问题对征信业的发展至关重要。

一、文献综述

（一）信息安全管理基础理论

基于美国国家安全通信以及信息系统安全委员会的定义，信息安全就是保护信息及其关键要素，包括使用、存储以及传输信息的系统和硬件。信息安全的主要目标是信息的保密性、完整性、可用性等安全属性的保持，即通过采用计算机软硬件技术、网络技术、密码技术等安全技术和各种组织管理措施，保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，保持其安全属性。

征信机构信息安全即通过采取各种技术和措施对征信机构自身信息和其搜集的企业和个人信息、以及信息载体、信息环境的保护来实现信息安全。

信息安全管理是通过维护信息机密性、完整性和可用性，来管理和保护组织所有信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理的内容包括信息安全政策制定、风险评估、控制目标与方式的选择、制定规范的操作流程、信息安全培训等等。

（二）国内外研究综述

对信息安全管理的研究在 20 世纪 90 年代才引起人们的重视。其研究范围包括信息安全的评估方法、信息安全标准和信息安全管理模型。

1.信息安全的评估方法。

国外的信息安全评估方法主要有Changduk Jung（1999）提出的基于案例推理 （Case-BasedReasoning，CBR）的信息风险评估方法、Ashish Gehani（2003）提出的基于主机的风险管理和决策模型以及Shawn A.Butler（2003）提出的协助信息安全管理人员进行安全措施选择权衡分析的多属性决策方法。

在国内，钱钢（2002）提出了一种基于 SSE-CMM 的信息系统安全风险评估方法。该方法利用 AHP 方法将风险事件后果评定为一个属于[0，1]区间的数值；同时采用专家估计的方法推导风险事件成功概率的似然估计值。朱而刚和张素英（2004）提出了一个基于灰色评估的信息安全风险评估模型，引入了灰色评估的研究方法；任帅、慕德俊（2006）通过应用层次分析法计算出受评对象各层次的相对权重，再利用灰色系统理论处理专家的评估数据；高阳、罗军舟（2009）提出了一种基于灰色关联决策算法的安全风险评估方法。

2.信息安全标准。

英国于1995 年首次提出 BS7799-1：1995《信息安全管理实施细则》，随后美国和欧洲等一些国家也提出了相关的信息安全管理标准。1996 年，国际标准组织发布了 ISO/IECT R13335 即《信息技术安全管理指南》，1999 年发布了 ISO/IEC15408即《信息技术安全评估共同准则》（CC 标准），2005 年又发布了 ISO/IEC 27001 即《信息技术信息安全管理实施细则》。1999 年 9月，中国制定了《计算机信息系统安全保护等级划分准则》（GB17859-1999）。2000 年 12 月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织 ISO 的认可，正式成为国际标准——ISO/IEC17799-1：2000《信息技术—信息安全管理实施细则》。但该国际标准只被英国、荷兰、丹麦、澳大利亚等几个国家使用，美国、德国等国家对该标准持反对态度。

3.信息安全管理模型。

国外信息安全管理模型主要有PDR 模型、PDRR模型、PDCA 模型三种。

PDR 模型（Winn Schwartau，1998），PDR 即：Protection（保护）、Detectioon（检测）、Response（响应）。

PDRR（Protection Detection Response Recovery）模型。 PDRR 模型的核心思想是：要实现信息保障，必须在统一的安全策略的指导下，针对信息系统中各个需要保护的目标，综合运用恰当的防护机制，动态的检测机制，及时的响应机制，以及当遭受攻击引起信息安全措施失效时的迅速的恢复机制，构筑具有“纵深防御”功能的信息安全保障体系。

PDCA 模型又称戴明环，最初应用于质量管理体系中。ISO/IEC27001 信息安全管理体系就是采用了这一模型。其主要通过规划、实施、检查、行动四个环节来发现

在国内，主要有HTP 信息安全模型，该模型由三部分组成：①人员与管理：从组织角度考虑有安全方针政策程序、安全管理、组织文化、应急计划以及业务持续性管理等问题。 ②技术与产品：组织可以综合运用商用密码、防火墙、防病毒、身份识别、可信服务、安全服务、备份恢复以及主动反击等多种技术与产品来保护信息系统的安全。③流程与体系：组织应当借鉴国内外相关信息安全标准与实践过程，考虑到组织对信息安全的各个层面的需求，在风险分析的基础上引入恰当控制机制，建立合理的信息安全管理体系，保证组织赖以生存的信息资产的保密性、完整性、安全性和可用性。

综上所述，有关信息安全管理的研究成果非常的丰硕，在信息安全的评估方法和信息安全的评价标准上尤其突出，在信息安全管理的模型和机制上也有许多有价值的成果值得借鉴。但是，把信息安全的理论应用于企业的信息安全管理实践中的研究相对缺乏。对于征信机构的信息安全管理的研究成果不多，现实中的征信机构面临着各种各样的信息安全问题。

二、征信机构信息安全的现状及存在的问题

第一，我国现行征信相关法律制度层次不高，法制建设不完善。我国征信机构信息安全立法的现状总体上不容乐观。目前，我国的法律对征信机构信息安全的规定比较零散，尚未制定系统、全面保障征信机构信息安全的法律文件。现有的法律多表现为条例或规章，这些条例和规章效力等级不高，调控范围有限，内容不全面。国务院2012年出台的《征信业管理条例》对于征信机构信息安全保护的规范过于简略，在实体上和程序上均有待完善。

第二，征信信息安全管理制度体系初步建立，亟待健全和完善。目前，中国人民银行出台的信贷征信信息安全方面的文件主要有《银行信贷登记咨询管理办法（试行）》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库数据报送管理规程（暂行）》，对于企业信用信息数据库的相关管理办法尚未形成，且各管理办法中均没有明确征信信息保密的实施细则，也没有固定计算机的网络条件限制，信息安全管理制度亟待健全和完善。

第三，数据收集和处理的准确性、保密性难以精准把握。由于缺乏国家层面的法律保障，征信机构信息来源的准确性受到制约。以人民银行征信系统为例，其信息主要来源于人民银行贷款卡更新信息、各国有股份制商业银行及地方性金融机构的账户和信贷信息、各部委和各地方政府机构的非银行信息等，传输单位、环节众多，数据流动情况复杂，信息涉密环节较多，如管理不当或操作失误，信息采集就可能出现失误或泄露。

第四，信息管理环节亟待加强。目前，在征信信息安全管理的整个流程中，信息的存储环节亟待加强。虽然各商业银行已经制定了相应的信息管理办法，但实际操作中仍存在征信工作人员信息安全责任意识淡薄、岗位实施细则落实不力等问题。调查发现，个别商业银行虽然在制度上对系统管理员、部门主管、操作员的责任权限有明确划分，但在实际操作中混岗和违章操作现象经常有发生，操作人员口令过于简单或长期不更换，查询员、复核员口令未能相互保密等，信息管理存在较大的安全隐患。

第五，信息保密技术有待提高。目前，在征信信息查询使用过程中，存在安全防范技术落后、安全防范技术不统一、防范方式单一的现象。防范征信系统信息泄密，除了在信息数据传输的各个环节要实行高强度的加密保护外，信息查询也要采取更完善的安全保护措施。

第六，征信机构信息安全意识淡薄，存在管理观念误区。大多数征信机构的管理层对信息资产所面临的威胁的严重性认识不足，或者仅仅是局限于IT方面的安全，没有形成一个合理的信息安全方针来指导组织的信息安全管理工作，这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章组织未必能严格实施等。

第七，征信机构信息安全管理能力和管理水平参差不齐，投入力量有限。目前，我国征信机构的发展还处于起步阶段，征信机构的发展水平还较低，征信机构的管理能力和管理水平参差不齐，在信息安全管理体系建设的投入上重视程度不够，投入力量也有限。信息安全管理体系的建设需要征信机构投入大量的资金和人力物力，而信息安全管理的投入却很难看到收益，这也导致许多征信机构在资金、人力物力有限的情况下不愿投入较多资金在信息安全管理上。

三、ISO/IEC 27001 信息安全管理体系分析

ISO/IEC 27001《信息技术安全技术-信息安全管理体系—要求》是有关信息安全管理的国际标准，源于英国BS7799标准。这个标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。

ISO/IEC 27001是ISMS的要求标准，内容共分8章和3个附录。ISO/IEC 27001是用于所有类型的组织（如企事业单位和政府机关等）。它从组织的整体业务风险的角度，为建立、实施、运行、监事、评审、保持和改进文件化的ISMS规定了要求，并提供了方法。它还规定了为适应不同组织或其他部门的需要而定制的安全控制措施的实施要求。ISO/IEC 27001是组织建立和实施ISMS的依据，也是ISMS认证机构实施审核的依据。

ISO/IEC 27001要求组织利用风险评估的方法，确定每一个关键信息资产的风险，并根据各类信息资产的重要度和价值，选择适当的控制措施，缓减风险。

ISO/IEC 27002是一个通用的信息安全控制措施集，从11个方面提出了39个信息安全控制目标和133个控制措施，涵盖了信息安全的各个方面，对于每个具体控制措施，标准还给出了详细的实施方面的信息，为组织实施信息安全管理提供建议。

ISO/IEC 27001与ISO/IEC 27002是组合使用的。ISO/IEC 27001中的规范性附录A就是ISO/IEC 27002的控制目标和控制措施。对于期望建设和实施ISMS的组织，应根据ISO/IEC 27001的要求，选择ISMS范围，制定信息安全方针和目标，实施风险评估，根据风险评估的结果，选择控制目标和控制措施，制定和实施风险处理计划，执行内部审核和管理评审。

四、征信机构信息安全管理体系设计及内容

（一）构建信息安全管理体系的基本步骤

信息安全管理体系的构建不是一个单纯的技术和产品工程，而是一个系统化的体系建设过程。因此，在构建信息安全管理体系时，必须紧紧围绕中心，有计划、分步骤的实施。依据信息安全管理标准，建立信息安全管理体系的框架是构建信息安全管理体系的第一步。信息安全管理体系框架的搭建必须按照一定的程序来进行，如图1所示。构建信息安全管理体系框架时，必须充分考虑企业业务发展和信息安全需求，并建立与信息安全管理体系框架相对应的文档资料。

（二）征信机构信息安全管理体系构建

根据ISO/IEC27001的基本思路和方法，按照ISMS建立的流程和步骤，笔者结合征信机构的实际情况，设计了一个征信机构信息安全管理体系结构模型，如图2所示。

该模型以组织、制度、人员三大保障为基础，以信息安全策略为中心，综合运用防护、检测、响应、改进四步循环的管理体系为信息安全策略的实施提供支撑。防护、检测、响应、改进分别由各自的安全措施组成，共同为征信机构网络系统提供信息安全保护。防护主要由 8 大安全措施组成，即访问控制、数据加密、身份认证、人员管控、电磁防护、冗余备份、频率保护和运营管理。监测主要由 5 大安全措施组成，即流量监测、漏洞检测、入侵监测、路由检测和环境监测。响应主要由 4 大安全措施组成，即系统恢复、安全记录、故障处理和杀毒堵漏。改进由5大安全措施组成，即产品升级、病毒更新、技术创新、人员培训和制度完善。

（1）信息安全策略

信息安全策略定义了组织的信息安全管理目标和相应的安全保障措施。组织的决策层在确定了组织的信息安全策略后，应对其进行文档化的描述，同时还要有相应的措施确保信息安全策略能够得到强制有效的执行。

（2）防护

相关部门要做好日常的信息安全防护工作，制定和完善与信息安全相关的各项内部规章制度，加强组织人员对于相关制度的培训和学习，提高组织人员的安全意识，从信息传递的各个环节把控安全，从源头消除信息安全问题的隐患。

（3）监测预警

相关部门要制定和完善网络与信息安全突发事件监测、预警、报告制度。加强网络与信息安全监测、分析、预警工作，建立信息安全事故通报制度。发生网络与信息安全突发事件的单位应当在事故发生后，对发生的事件进行调查核实，保存相关证据，并向信息安全领导小组办公室报告。领导小组应建立健全网络和信息安全突发事件监测、指挥决策及预警发布系统，及时发布预警信息。各部门要制定并不断完善各自的信息安全应急处理预案。

（4）应急响应

实施预警信息等级制度，按照事件严重性和紧急程度及对社会影响的大小，由轻到重划分为5个等级。一旦发生网络与信息安全事件，各单位应在第一时间报告到领导小组办公室，如情况紧急，领导小组办公室可上报本级征信监督管理部门。

在发生3级以上网络与信息安全事件后，事件发生单位和现场应急处理工作应尽最大可能收集事件相关信息，鉴别事件性质，确定事发原因，预估事件影响范围和影响和损害，对事件进行定级和上报。按照应急响应流程，由信息安全应急协调领导小组决定启动应急预案，并由领导小组办公室负责应急处理协调工作。

应急处理工作分确认、控制、处理三步走。确认：初步确定应急处理方式，针对突发事件的性质选择响应的应急预案。如果以自身力量无法处理，应提出应急支援请求，由领导小组派出应急支援技术人员进行信息安全应急支援。控制：及时采取措施控制事件以使其不再发展，限制潜在的损失与破坏，同时应确保控制措施不会或最低程度影响相关业务。处理：在控制住事件发展后，通过对事件的分析找出事发原因，采取相应的补救措施，彻底消除安全隐患。

在事件的上报、接收和处理过程中，事件接收人、处理负责人应及时做好完整的过程记录。事件处理完成后归档。

系统恢复正常运行后，应急响应小组对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，需要上报的应及时上报相关部门。对于病毒等易造成大范围传播的网络与信息安全事件，应及时向领导小组办公室提交预警信息。

（5）改进

信息安全事件的发生会暴露出组织信息安全管理工作中存在的问题和漏洞，根据出现的问题，组织可进行仔细的问题排查，根据问题采取相应的改进措施。从信息安全技术的创新、安全产品的更新换代、病毒库的更新、加强人员培训教育、完善信息安全管理制度建设等多个方面进行改进。

征信机构信息安全管理体系的建立是一个长期的过程，该模型在具体的操作和运用中还需要细化和完善。

参考文献：

[1] 安建主编.《征信业管理条例》释义[M].北京：中国民主法制出版社，2013.5.

[2] 赵志华主编.征信管理基础概论[M].北京：中国金融出版社，2012.12.

[3] 郎庆斌，孙毅，杨莉.个人信息保护概论[M].。北京：人民出版社，2008.12.

[4] 王春冬主编.信息安全管理[M].。武汉：武汉大学出版社，2008.4.

[5] 张泽虹，赵冬梅编著.信息安全管理与风险评估[M].北京：电子工业出版社，2010.4.

[6] 孟艳.关于发展我国社会征信机构的探讨[J].理论学刊，2001.9.

[7] 崔景杰.浅谈金融系统信息安全保障体系[J].科技博览，2013.10.

[8] 李慧.信息安全管理体系研究[D].西安电子科技大学，2005.1.