張雅婷

摘要：隨著我國社會信用體系建設(shè)的全面提速，征信機(jī)構(gòu)的信息安全成為制約征信業(yè)健康快速發(fā)展的一個重要因素。如何提高征信機(jī)構(gòu)的信息安全管理水平，保障征信機(jī)構(gòu)信息安全，是我國征信業(yè)建設(shè)發(fā)展過程中必須要解決的一個重要問題。本文對國內(nèi)外信息安全管理的研究成果進(jìn)行了梳理，分析了我國征信機(jī)構(gòu)信息安全管理的現(xiàn)狀以及面臨的風(fēng)險，在此基礎(chǔ)上，借鑒國際標(biāo)準(zhǔn)ISO/IEC27001，構(gòu)建了一個適用于征信機(jī)構(gòu)的信息安全管理模型。

關(guān)鍵詞：IS0/IEC；27001；信息安全；管理體系；信息安全管理

近年來，隨著我國社會信用體系建設(shè)的全面提速，征信業(yè)快速發(fā)展，征信產(chǎn)品不斷創(chuàng)新，征信機(jī)構(gòu)發(fā)展迅速，在推進(jìn)地方經(jīng)濟(jì)和金融發(fā)展等方面發(fā)揮了積極作用。但由于我國的征信業(yè)發(fā)展仍然處于起步階段，征信機(jī)構(gòu)缺乏有效的監(jiān)管，沒有建立起科學(xué)完善的評價和管理體系，存在較大的風(fēng)險隱患，其信息安全問題不容忽視。如何加強(qiáng)征信機(jī)構(gòu)信息安全管理，防范征信機(jī)構(gòu)信息安全風(fēng)險，成為當(dāng)前亟待研究解決的課題。

目前，人民銀行征信系統(tǒng)已收錄了全國8億自然人和1576萬戶企業(yè)及其他組織的基本信息、銀行賬戶信息、信貸信息以及其他非銀行信息等多項(xiàng)重要的涉密信息，其信息的安全性事關(guān)個人信息隱私權(quán)、企業(yè)商業(yè)機(jī)密，一旦發(fā)生信息泄密事件，不僅會對人民銀行征信系統(tǒng)建設(shè)產(chǎn)生極大的負(fù)面影響，還會引起一系列的法律糾紛問題，進(jìn)而阻滯征信業(yè)發(fā)展的進(jìn)程。因此，征信信息的安全問題對征信業(yè)的發(fā)展至關(guān)重要。

一、文獻(xiàn)綜述

（一）信息安全管理基礎(chǔ)理論

基于美國國家安全通信以及信息系統(tǒng)安全委員會的定義，信息安全就是保護(hù)信息及其關(guān)鍵要素，包括使用、存儲以及傳輸信息的系統(tǒng)和硬件。信息安全的主要目標(biāo)是信息的保密性、完整性、可用性等安全屬性的保持，即通過采用計算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)等安全技術(shù)和各種組織管理措施，保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，保持其安全屬性。

征信機(jī)構(gòu)信息安全即通過采取各種技術(shù)和措施對征信機(jī)構(gòu)自身信息和其搜集的企業(yè)和個人信息、以及信息載體、信息環(huán)境的保護(hù)來實(shí)現(xiàn)信息安全。

信息安全管理是通過維護(hù)信息機(jī)密性、完整性和可用性，來管理和保護(hù)組織所有信息資產(chǎn)的一項(xiàng)體制，是對信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動和過程。信息安全管理的內(nèi)容包括信息安全政策制定、風(fēng)險評估、控制目標(biāo)與方式的選擇、制定規(guī)范的操作流程、信息安全培訓(xùn)等等。

（二）國內(nèi)外研究綜述

對信息安全管理的研究在 20 世紀(jì) 90 年代才引起人們的重視。其研究范圍包括信息安全的評估方法、信息安全標(biāo)準(zhǔn)和信息安全管理模型。

1.信息安全的評估方法。

國外的信息安全評估方法主要有Changduk Jung（1999）提出的基于案例推理 （Case-BasedReasoning，CBR）的信息風(fēng)險評估方法、Ashish Gehani（2003）提出的基于主機(jī)的風(fēng)險管理和決策模型以及Shawn A.Butler（2003）提出的協(xié)助信息安全管理人員進(jìn)行安全措施選擇權(quán)衡分析的多屬性決策方法。

在國內(nèi)，錢鋼（2002）提出了一種基于 SSE-CMM 的信息系統(tǒng)安全風(fēng)險評估方法。該方法利用 AHP 方法將風(fēng)險事件后果評定為一個屬于[0，1]區(qū)間的數(shù)值；同時采用專家估計的方法推導(dǎo)風(fēng)險事件成功概率的似然估計值。朱而剛和張素英（2004）提出了一個基于灰色評估的信息安全風(fēng)險評估模型，引入了灰色評估的研究方法；任帥、慕德?。?006）通過應(yīng)用層次分析法計算出受評對象各層次的相對權(quán)重，再利用灰色系統(tǒng)理論處理專家的評估數(shù)據(jù)；高陽、羅軍舟（2009）提出了一種基于灰色關(guān)聯(lián)決策算法的安全風(fēng)險評估方法。

2.信息安全標(biāo)準(zhǔn)。

英國于1995 年首次提出 BS7799-1：1995《信息安全管理實(shí)施細(xì)則》，隨后美國和歐洲等一些國家也提出了相關(guān)的信息安全管理標(biāo)準(zhǔn)。1996 年，國際標(biāo)準(zhǔn)組織發(fā)布了 ISO/IECT R13335 即《信息技術(shù)安全管理指南》，1999 年發(fā)布了 ISO/IEC15408即《信息技術(shù)安全評估共同準(zhǔn)則》（CC 標(biāo)準(zhǔn)），2005 年又發(fā)布了 ISO/IEC 27001 即《信息技術(shù)信息安全管理實(shí)施細(xì)則》。1999 年 9月，中國制定了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）。2000 年 12 月，BS7799-1：1999《信息安全管理實(shí)施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織 ISO 的認(rèn)可，正式成為國際標(biāo)準(zhǔn)——ISO/IEC17799-1：2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》。但該國際標(biāo)準(zhǔn)只被英國、荷蘭、丹麥、澳大利亞等幾個國家使用，美國、德國等國家對該標(biāo)準(zhǔn)持反對態(tài)度。

3.信息安全管理模型。

國外信息安全管理模型主要有PDR 模型、PDRR模型、PDCA 模型三種。

PDR 模型（Winn Schwartau，1998），PDR 即：Protection（保護(hù)）、Detectioon（檢測）、Response（響應(yīng)）。

PDRR（Protection Detection Response Recovery）模型。 PDRR 模型的核心思想是：要實(shí)現(xiàn)信息保障，必須在統(tǒng)一的安全策略的指導(dǎo)下，針對信息系統(tǒng)中各個需要保護(hù)的目標(biāo)，綜合運(yùn)用恰當(dāng)?shù)姆雷o(hù)機(jī)制，動態(tài)的檢測機(jī)制，及時的響應(yīng)機(jī)制，以及當(dāng)遭受攻擊引起信息安全措施失效時的迅速的恢復(fù)機(jī)制，構(gòu)筑具有“縱深防御”功能的信息安全保障體系。

PDCA 模型又稱戴明環(huán)，最初應(yīng)用于質(zhì)量管理體系中。ISO/IEC27001 信息安全管理體系就是采用了這一模型。其主要通過規(guī)劃、實(shí)施、檢查、行動四個環(huán)節(jié)來發(fā)現(xiàn)

在國內(nèi)，主要有HTP 信息安全模型，該模型由三部分組成：①人員與管理：從組織角度考慮有安全方針政策程序、安全管理、組織文化、應(yīng)急計劃以及業(yè)務(wù)持續(xù)性管理等問題。 ②技術(shù)與產(chǎn)品：組織可以綜合運(yùn)用商用密碼、防火墻、防病毒、身份識別、可信服務(wù)、安全服務(wù)、備份恢復(fù)以及主動反擊等多種技術(shù)與產(chǎn)品來保護(hù)信息系統(tǒng)的安全。③流程與體系：組織應(yīng)當(dāng)借鑒國內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與實(shí)踐過程，考慮到組織對信息安全的各個層面的需求，在風(fēng)險分析的基礎(chǔ)上引入恰當(dāng)控制機(jī)制，建立合理的信息安全管理體系，保證組織賴以生存的信息資產(chǎn)的保密性、完整性、安全性和可用性。

綜上所述，有關(guān)信息安全管理的研究成果非常的豐碩，在信息安全的評估方法和信息安全的評價標(biāo)準(zhǔn)上尤其突出，在信息安全管理的模型和機(jī)制上也有許多有價值的成果值得借鑒。但是，把信息安全的理論應(yīng)用于企業(yè)的信息安全管理實(shí)踐中的研究相對缺乏。對于征信機(jī)構(gòu)的信息安全管理的研究成果不多，現(xiàn)實(shí)中的征信機(jī)構(gòu)面臨著各種各樣的信息安全問題。

二、征信機(jī)構(gòu)信息安全的現(xiàn)狀及存在的問題

第一，我國現(xiàn)行征信相關(guān)法律制度層次不高，法制建設(shè)不完善。我國征信機(jī)構(gòu)信息安全立法的現(xiàn)狀總體上不容樂觀。目前，我國的法律對征信機(jī)構(gòu)信息安全的規(guī)定比較零散，尚未制定系統(tǒng)、全面保障征信機(jī)構(gòu)信息安全的法律文件?，F(xiàn)有的法律多表現(xiàn)為條例或規(guī)章，這些條例和規(guī)章效力等級不高，調(diào)控范圍有限，內(nèi)容不全面。國務(wù)院2012年出臺的《征信業(yè)管理?xiàng)l例》對于征信機(jī)構(gòu)信息安全保護(hù)的規(guī)范過于簡略，在實(shí)體上和程序上均有待完善。

第二，征信信息安全管理制度體系初步建立，亟待健全和完善。目前，中國人民銀行出臺的信貸征信信息安全方面的文件主要有《銀行信貸登記咨詢管理辦法（試行）》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫數(shù)據(jù)報送管理規(guī)程（暫行）》，對于企業(yè)信用信息數(shù)據(jù)庫的相關(guān)管理辦法尚未形成，且各管理辦法中均沒有明確征信信息保密的實(shí)施細(xì)則，也沒有固定計算機(jī)的網(wǎng)絡(luò)條件限制，信息安全管理制度亟待健全和完善。

第三，數(shù)據(jù)收集和處理的準(zhǔn)確性、保密性難以精準(zhǔn)把握。由于缺乏國家層面的法律保障，征信機(jī)構(gòu)信息來源的準(zhǔn)確性受到制約。以人民銀行征信系統(tǒng)為例，其信息主要來源于人民銀行貸款卡更新信息、各國有股份制商業(yè)銀行及地方性金融機(jī)構(gòu)的賬戶和信貸信息、各部委和各地方政府機(jī)構(gòu)的非銀行信息等，傳輸單位、環(huán)節(jié)眾多，數(shù)據(jù)流動情況復(fù)雜，信息涉密環(huán)節(jié)較多，如管理不當(dāng)或操作失誤，信息采集就可能出現(xiàn)失誤或泄露。

第四，信息管理環(huán)節(jié)亟待加強(qiáng)。目前，在征信信息安全管理的整個流程中，信息的存儲環(huán)節(jié)亟待加強(qiáng)。雖然各商業(yè)銀行已經(jīng)制定了相應(yīng)的信息管理辦法，但實(shí)際操作中仍存在征信工作人員信息安全責(zé)任意識淡薄、崗位實(shí)施細(xì)則落實(shí)不力等問題。調(diào)查發(fā)現(xiàn)，個別商業(yè)銀行雖然在制度上對系統(tǒng)管理員、部門主管、操作員的責(zé)任權(quán)限有明確劃分，但在實(shí)際操作中混崗和違章操作現(xiàn)象經(jīng)常有發(fā)生，操作人員口令過于簡單或長期不更換，查詢員、復(fù)核員口令未能相互保密等，信息管理存在較大的安全隱患。

第五，信息保密技術(shù)有待提高。目前，在征信信息查詢使用過程中，存在安全防范技術(shù)落后、安全防范技術(shù)不統(tǒng)一、防范方式單一的現(xiàn)象。防范征信系統(tǒng)信息泄密，除了在信息數(shù)據(jù)傳輸?shù)母鱾€環(huán)節(jié)要實(shí)行高強(qiáng)度的加密保護(hù)外，信息查詢也要采取更完善的安全保護(hù)措施。

第六，征信機(jī)構(gòu)信息安全意識淡薄，存在管理觀念誤區(qū)。大多數(shù)征信機(jī)構(gòu)的管理層對信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識不足，或者僅僅是局限于IT方面的安全，沒有形成一個合理的信息安全方針來指導(dǎo)組織的信息安全管理工作，這表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對員工進(jìn)行必要的安全法律法規(guī)和防范安全風(fēng)險的教育與培訓(xùn)，現(xiàn)有的安全規(guī)章組織未必能嚴(yán)格實(shí)施等。

第七，征信機(jī)構(gòu)信息安全管理能力和管理水平參差不齊，投入力量有限。目前，我國征信機(jī)構(gòu)的發(fā)展還處于起步階段，征信機(jī)構(gòu)的發(fā)展水平還較低，征信機(jī)構(gòu)的管理能力和管理水平參差不齊，在信息安全管理體系建設(shè)的投入上重視程度不夠，投入力量也有限。信息安全管理體系的建設(shè)需要征信機(jī)構(gòu)投入大量的資金和人力物力，而信息安全管理的投入?yún)s很難看到收益，這也導(dǎo)致許多征信機(jī)構(gòu)在資金、人力物力有限的情況下不愿投入較多資金在信息安全管理上。

三、ISO/IEC 27001 信息安全管理體系分析

ISO/IEC 27001《信息技術(shù)安全技術(shù)-信息安全管理體系—要求》是有關(guān)信息安全管理的國際標(biāo)準(zhǔn)，源于英國BS7799標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施，保障組織的信息安全，采用PDCA過程方法，基于風(fēng)險評估的風(fēng)險管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。

ISO/IEC 27001是ISMS的要求標(biāo)準(zhǔn)，內(nèi)容共分8章和3個附錄。ISO/IEC 27001是用于所有類型的組織（如企事業(yè)單位和政府機(jī)關(guān)等）。它從組織的整體業(yè)務(wù)風(fēng)險的角度，為建立、實(shí)施、運(yùn)行、監(jiān)事、評審、保持和改進(jìn)文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應(yīng)不同組織或其他部門的需要而定制的安全控制措施的實(shí)施要求。ISO/IEC 27001是組織建立和實(shí)施ISMS的依據(jù)，也是ISMS認(rèn)證機(jī)構(gòu)實(shí)施審核的依據(jù)。

ISO/IEC 27001要求組織利用風(fēng)險評估的方法，確定每一個關(guān)鍵信息資產(chǎn)的風(fēng)險，并根據(jù)各類信息資產(chǎn)的重要度和價值，選擇適當(dāng)?shù)目刂拼胧彍p風(fēng)險。

ISO/IEC 27002是一個通用的信息安全控制措施集，從11個方面提出了39個信息安全控制目標(biāo)和133個控制措施，涵蓋了信息安全的各個方面，對于每個具體控制措施，標(biāo)準(zhǔn)還給出了詳細(xì)的實(shí)施方面的信息，為組織實(shí)施信息安全管理提供建議。

ISO/IEC 27001與ISO/IEC 27002是組合使用的。ISO/IEC 27001中的規(guī)范性附錄A就是ISO/IEC 27002的控制目標(biāo)和控制措施。對于期望建設(shè)和實(shí)施ISMS的組織，應(yīng)根據(jù)ISO/IEC 27001的要求，選擇ISMS范圍，制定信息安全方針和目標(biāo)，實(shí)施風(fēng)險評估，根據(jù)風(fēng)險評估的結(jié)果，選擇控制目標(biāo)和控制措施，制定和實(shí)施風(fēng)險處理計劃，執(zhí)行內(nèi)部審核和管理評審。

四、征信機(jī)構(gòu)信息安全管理體系設(shè)計及內(nèi)容

（一）構(gòu)建信息安全管理體系的基本步驟

信息安全管理體系的構(gòu)建不是一個單純的技術(shù)和產(chǎn)品工程，而是一個系統(tǒng)化的體系建設(shè)過程。因此，在構(gòu)建信息安全管理體系時，必須緊緊圍繞中心，有計劃、分步驟的實(shí)施。依據(jù)信息安全管理標(biāo)準(zhǔn)，建立信息安全管理體系的框架是構(gòu)建信息安全管理體系的第一步。信息安全管理體系框架的搭建必須按照一定的程序來進(jìn)行，如圖1所示。構(gòu)建信息安全管理體系框架時，必須充分考慮企業(yè)業(yè)務(wù)發(fā)展和信息安全需求，并建立與信息安全管理體系框架相對應(yīng)的文檔資料。

（二）征信機(jī)構(gòu)信息安全管理體系構(gòu)建

根據(jù)ISO/IEC27001的基本思路和方法，按照ISMS建立的流程和步驟，筆者結(jié)合征信機(jī)構(gòu)的實(shí)際情況，設(shè)計了一個征信機(jī)構(gòu)信息安全管理體系結(jié)構(gòu)模型，如圖2所示。

該模型以組織、制度、人員三大保障為基礎(chǔ)，以信息安全策略為中心，綜合運(yùn)用防護(hù)、檢測、響應(yīng)、改進(jìn)四步循環(huán)的管理體系為信息安全策略的實(shí)施提供支撐。防護(hù)、檢測、響應(yīng)、改進(jìn)分別由各自的安全措施組成，共同為征信機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)提供信息安全保護(hù)。防護(hù)主要由 8 大安全措施組成，即訪問控制、數(shù)據(jù)加密、身份認(rèn)證、人員管控、電磁防護(hù)、冗余備份、頻率保護(hù)和運(yùn)營管理。監(jiān)測主要由 5 大安全措施組成，即流量監(jiān)測、漏洞檢測、入侵監(jiān)測、路由檢測和環(huán)境監(jiān)測。響應(yīng)主要由 4 大安全措施組成，即系統(tǒng)恢復(fù)、安全記錄、故障處理和殺毒堵漏。改進(jìn)由5大安全措施組成，即產(chǎn)品升級、病毒更新、技術(shù)創(chuàng)新、人員培訓(xùn)和制度完善。

（1）信息安全策略

信息安全策略定義了組織的信息安全管理目標(biāo)和相應(yīng)的安全保障措施。組織的決策層在確定了組織的信息安全策略后，應(yīng)對其進(jìn)行文檔化的描述，同時還要有相應(yīng)的措施確保信息安全策略能夠得到強(qiáng)制有效的執(zhí)行。

（2）防護(hù)

相關(guān)部門要做好日常的信息安全防護(hù)工作，制定和完善與信息安全相關(guān)的各項(xiàng)內(nèi)部規(guī)章制度，加強(qiáng)組織人員對于相關(guān)制度的培訓(xùn)和學(xué)習(xí)，提高組織人員的安全意識，從信息傳遞的各個環(huán)節(jié)把控安全，從源頭消除信息安全問題的隱患。

（3）監(jiān)測預(yù)警

相關(guān)部門要制定和完善網(wǎng)絡(luò)與信息安全突發(fā)事件監(jiān)測、預(yù)警、報告制度。加強(qiáng)網(wǎng)絡(luò)與信息安全監(jiān)測、分析、預(yù)警工作，建立信息安全事故通報制度。發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件的單位應(yīng)當(dāng)在事故發(fā)生后，對發(fā)生的事件進(jìn)行調(diào)查核實(shí)，保存相關(guān)證據(jù)，并向信息安全領(lǐng)導(dǎo)小組辦公室報告。領(lǐng)導(dǎo)小組應(yīng)建立健全網(wǎng)絡(luò)和信息安全突發(fā)事件監(jiān)測、指揮決策及預(yù)警發(fā)布系統(tǒng)，及時發(fā)布預(yù)警信息。各部門要制定并不斷完善各自的信息安全應(yīng)急處理預(yù)案。

（4）應(yīng)急響應(yīng)

實(shí)施預(yù)警信息等級制度，按照事件嚴(yán)重性和緊急程度及對社會影響的大小，由輕到重劃分為5個等級。一旦發(fā)生網(wǎng)絡(luò)與信息安全事件，各單位應(yīng)在第一時間報告到領(lǐng)導(dǎo)小組辦公室，如情況緊急，領(lǐng)導(dǎo)小組辦公室可上報本級征信監(jiān)督管理部門。

在發(fā)生3級以上網(wǎng)絡(luò)與信息安全事件后，事件發(fā)生單位和現(xiàn)場應(yīng)急處理工作應(yīng)盡最大可能收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事發(fā)原因，預(yù)估事件影響范圍和影響和損害，對事件進(jìn)行定級和上報。按照應(yīng)急響應(yīng)流程，由信息安全應(yīng)急協(xié)調(diào)領(lǐng)導(dǎo)小組決定啟動應(yīng)急預(yù)案，并由領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)應(yīng)急處理協(xié)調(diào)工作。

應(yīng)急處理工作分確認(rèn)、控制、處理三步走。確認(rèn)：初步確定應(yīng)急處理方式，針對突發(fā)事件的性質(zhì)選擇響應(yīng)的應(yīng)急預(yù)案。如果以自身力量無法處理，應(yīng)提出應(yīng)急支援請求，由領(lǐng)導(dǎo)小組派出應(yīng)急支援技術(shù)人員進(jìn)行信息安全應(yīng)急支援。控制：及時采取措施控制事件以使其不再發(fā)展，限制潛在的損失與破壞，同時應(yīng)確?？刂拼胧┎粫蜃畹统潭扔绊懴嚓P(guān)業(yè)務(wù)。處理：在控制住事件發(fā)展后，通過對事件的分析找出事發(fā)原因，采取相應(yīng)的補(bǔ)救措施，徹底消除安全隱患。

在事件的上報、接收和處理過程中，事件接收人、處理負(fù)責(zé)人應(yīng)及時做好完整的過程記錄。事件處理完成后歸檔。

系統(tǒng)恢復(fù)正常運(yùn)行后，應(yīng)急響應(yīng)小組對事件造成的損失、事件處理流程和應(yīng)急預(yù)案進(jìn)行評估，對響應(yīng)流程、預(yù)案提出修改意見，總結(jié)事件處理經(jīng)驗(yàn)和教訓(xùn)，撰寫事件處理報告，需要上報的應(yīng)及時上報相關(guān)部門。對于病毒等易造成大范圍傳播的網(wǎng)絡(luò)與信息安全事件，應(yīng)及時向領(lǐng)導(dǎo)小組辦公室提交預(yù)警信息。

（5）改進(jìn)

信息安全事件的發(fā)生會暴露出組織信息安全管理工作中存在的問題和漏洞，根據(jù)出現(xiàn)的問題，組織可進(jìn)行仔細(xì)的問題排查，根據(jù)問題采取相應(yīng)的改進(jìn)措施。從信息安全技術(shù)的創(chuàng)新、安全產(chǎn)品的更新?lián)Q代、病毒庫的更新、加強(qiáng)人員培訓(xùn)教育、完善信息安全管理制度建設(shè)等多個方面進(jìn)行改進(jìn)。

征信機(jī)構(gòu)信息安全管理體系的建立是一個長期的過程，該模型在具體的操作和運(yùn)用中還需要細(xì)化和完善。

參考文獻(xiàn)：

[1] 安建主編.《征信業(yè)管理?xiàng)l例》釋義[M].北京：中國民主法制出版社，2013.5.

[2] 趙志華主編.征信管理基礎(chǔ)概論[M].北京：中國金融出版社，2012.12.

[3] 郎慶斌，孫毅，楊莉.個人信息保護(hù)概論[M].。北京：人民出版社，2008.12.

[4] 王春冬主編.信息安全管理[M].。武漢：武漢大學(xué)出版社，2008.4.

[5] 張澤虹，趙冬梅編著.信息安全管理與風(fēng)險評估[M].北京：電子工業(yè)出版社，2010.4.

[6] 孟艷.關(guān)于發(fā)展我國社會征信機(jī)構(gòu)的探討[J].理論學(xué)刊，2001.9.

[7] 崔景杰.淺談金融系統(tǒng)信息安全保障體系[J].科技博覽，2013.10.

[8] 李慧.信息安全管理體系研究[D].西安電子科技大學(xué)，2005.1.