财务公司的多数数据对成员单位和财务公司本身而言，都是核心信息。但一个不能忽略的事实是，不少国内财务公司的信息安全管理制度并不完善，对IT突发事件的处理能力、灾难恢复能力较弱。
　　 “以前，中广核财务有限责任公司（简称中广核财务公司）的安全目标和方针是空缺的，不成体系。”中广核财务公司信息系统管理主任王瑜称，财务公司的安全制度往往比较零散，信息安全维护难度大，加之由于外包系统较多，管理压力增加，因此信息安全管理人员的工作压力很大。
　　先建章立制
　　 财务公司的安全制度往往比较零散，信息安全维护难度大。对那些还没有系统的信息安全策略，不知从何入手的财务公司而言，ISO27001体系的相关规定，是一个很好的借鉴。它包含11个安全控制领域的目标与要求，涵盖了国际信息安全管理体系建设可参考的最佳实践，每个方面都为我国企业的信息安全建设提供了借鉴和参考。
　　据了解，要通过ISO27001体系认证，企业需要在制度上和管理上保证组织核心业务的可持续运行，并通过跟踪检查和长效保证机制来保障信息安全制度的有效落实，提升企业的安全管理和应急处理能力。
　　 尽管ISO27001体系并非新生事物，但能够获得认证的财务公司并不多，而中广核财务公司是能够获得认证的少数公司之一。在王瑜看来，先建章立制，然后照着做，“对财务公司而言，能达到事半功倍的效果”。在申请ISO27001体系认证的过程中，中广核财务公司按照该体系的要求，细化了信息安全管理体系，推动ISMS体系的建设，让各项制度可操作性更强。
　　“为了通过认证，中广核财务公司全员出动。”王瑜介绍说，在中广核财务公司信息安全管理项目过程中，在北京谷安天下科技有限公司（简称谷安天下）的配合下，印发了各种宣传材料，对全体员工进行了全方位的信息安全意识宣传教育，以让全公司员工了解信息安全的重要性，熟悉信息安全的操作规范，避免无意识破坏信息安全事件的行为发生。
　　此外，中广核财务公司聘请谷安天下，对管理层、技术层和业务层面的所有员工进行了多场信息安全培训，从而获得了企业各个层面人员对信息安全工作的支持，使其参与其中。在此过程中，管理层的重视是中广核财务公司顺利通过ISO27001体系认证的重要原因。
　　重制度更要重落地
　　 信息安全的有效保障需要各个部门的密切配合。而财务公司的数据涉及各个业务部门，因此更需要业务部门的参与。怎样保持业务的连续性？如何确保通过ISO27001体系认证的企业将各项制度落地实施？这对财务公司安全部门管理者提出了挑战。
　　如何将各项制度落地，也是王瑜最关心的问题。在申请体系认证过程中，为了规范公司信息安全管理，提升应急处理能力，中广核财务公司对网银、信贷等重点业务建立了应急管理体系，组织相关业务人员进行了演练。“我们模拟了一些场景，例如在信贷业务模块出现问题之后，如果4个小时还不能修复，我们就启动应急预案。在信息化手段无法正常工作的情况下，所有流程需要在纸质层面操作，从申请、审批一直到放款、确认到账。”王瑜称，中广核财务公司将每年至少组织业务部门进行一次应急演练。
　　 “建立所有关键业务与关键系统的应急方案和演习计划，应急方案涵盖要所有可能导致系统或业务中断的场景，并针对这些场景制定应急方案和学习计划，最大程度地降低系统中断给业务带来的损失。”谷安天下分析师阮伟军认为，将应急演习常态化，并且要有每周、每月检查的循环往复的管理体系，对信息安全管理体系落地至关重要。