征信信息安全应急处置方案.docx

精品文档 附件 3 征信信息安全应急处置预案 一、总则 （一）编制目的 信息安全涉及以设备为中心的信息安全， 技术涵盖网络系统、计算机操作系统、数据库管理系统和应用软件系统；涉及计算机 病毒的防范、入侵的监控；涉及以用户（包括内部员工和外部相关机构人员）为中心的安全管理，包括用户的身份管理、身份认证、授权、稽查等；涉及征信信息传输的机密性、完整性等。为切实加强我中心征信信息运行安全与信息安全的防范，做好应对征信信息安全突发公共事件的应急处置工作，进一步提高预防和控制征信信息安全突发事件的能力和水平，最大限度地减轻或消除征信信息安全突发事件的危害和影响，确保征信信息安全，结合本中心工作实际，特制定本应急预案。 （二）本预案适用于石嘴山市住房公积金管理中心征信信息安全应急处理工作。 二、应急组织机构及职责 成立征信信息安全事件应急处置领导小组，负责领导、组织和协调全中心征信信息安全突发事件的应急保障工作。 （一）领导小组成员 : . 精品文档 组长：中心主任、党组书记 梁庆 副组长：分管征信信息副主任 王敏 成员：由贷款管理科、办公室、归集执法科、稽查科、核算监审科、大武口管理部、平罗管理部、惠农区管理部科部负责人组成。 应急小组日常工作由核算监审科承担，信息安全责任人：柏琼，安全员为齐巍、樊一馨，其他各相关科室、管理部积极配合。 （二）领导小组职责： 制订专项应急预案，负责定期组织演练，监督检查各科室、管理部在本预案中履行职责情况。对发生事件启动应急处置预案进行决策，全面指挥应急处置工作。 三、工作原则 （一）积极防御、综合防范 立足安全防护，加强预警，重点保护征信信息安全；从预防、监控、应急处理、应急保障和打击不法行为等环节，在管理、技术、宣传等方面，采取多种措施，充分发挥各方面的作用，构筑征信信息安全保障体系。 （二）明确责任、分级负责 按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则，分级分类建立和完善安全责任制度、协调管理机制和联动工作机制。切实加强对中心各级征信管理人员和从业人 . 精品文档 员的全员征信合规性教育培训，进一步提高工作人员的征信信息安全意识。 （三）落实措施、确保安全 定期对征信管理工作开展检查， 检查内容包括用户安全管理、异议管理、查询使用、数据上报、个人不良信息告知等。对出现 的异常查询、违规查询、非法提供、违规使用、信用报告泄漏等征信信息安全漏洞和隐患进行及时整改。 （四）科学决策，快速反应 加强技术储备，规范应急处置措施和操作流程，征信信息安全突发公共事件发生时，要快速反应，及时获取准确信息，跟踪研判，及时报告，果断决策，迅速处理，最大限度地减少危害和影响。 四、事件分类和风险程度分析 （一）物理层的安全风险分析 主要为系统环境安全风险 水灾、火灾、雷电等灾害性故障引发的征信信息网络中断、系统瘫痪、数据被毁等； 因接地不良、机房屏蔽性能差引起的静电干扰或外界的电磁干扰使系统不能正常工作； 机房电力设备和其它配套设备本身缺陷诱发征信信息系统 故障； . 精品文档 机房安全设施自动化水平低，不能有效监控环境和征信信息系统工作； 征信信息系统中网络设备交换机，服务器，移动设备自身的安全性也会直接关系征信信息系统的正常运转。 其它环境安全风险。 （二）网络安全风险 网络体系结构的安全风险 网络平台是一切应用系统建设的基础平台，网络体系结构是 否按照安全体系结构和安全机制进行设计，直接关系到网络平台 的安全保障能力。中心网络是由多个局域网和广域网组成，网络 体系结构比较复杂。征信信息网、因特网之间是否进行隔离及如 何进行隔离，网段划分是否合理，路由是否正确，网络的容量、 带宽是否考虑客户上网的峰值，网络设备有无冗余设计等都与安 全风险密切相关。 网络通信协议的安全风险 网络通信协议存在安全漏洞，网络黑客就能利用网络设备和 协议的安全漏洞进行网络攻击和信息窃取。例如未经授权非法访 问征信信息系统；对其进行监听，窃取用户的口令密码和通信密 码；对征信信息系统安全漏洞进行探测扫描；对通信线路和网络 设备实施拒绝服务攻击，造成线路拥塞和系统瘫痪。 网络操作系统的安全风险 . 精品文档 网络操作系统，不论是苹果操作系统，安卓操作系统，还是 微软操作系统，都存在安全漏洞；一些重要的网络设备，如路由 器、交换机、网关，防火墙等，由于操作系统存在安全漏洞，导 致网络设备的不安全；有些网络设备存在“后门”。 （三）系统安全风险 操作系统安全风险 操作系统的安全性是系统安全管理的基础。数据库服务器、 中间层服务器，以及各类业务和办公客户机等设备所使用的操作 系统，不论是微软操作系统，还是 Unix 操作系统都存在信息安全 漏洞，由操作系统信息安全漏洞带来的安全风险是最普遍的安全 风险。 数据库安全风险 征信