案例二:个人客户信息的保护
个人客户信息包括了身份信息、财产信息、账户信息、金融交易信息、信用信息、鉴别信息、衍生信息等,对其进行保护是商业银行信息安全工作的重要组成部分。某商业银行已经建立了相应的制度和措施,以有效保证客户信息的安全,确保不会被泄露和窃取。
1.技术硬控制
技术硬控制措施主要包括两个方面:一是在业务应用系统层面进行控制,在应用系统开发的技术规范中针对业务系统处理的个人客户信息,从用户访问授权、敏感信息加密保存和传输、页面展示信息及电子文件保护、与合作方互联的信息保护等方面制定了详细的技术控制措施要求,并在系统中实现了相应的控制功能;二是为了防范将业务应用系统的查询结果下载到行内用户本地计算机上后未经授权扩散到行外,在客户端上部署了一系列硬控制措施,具体情况如下:
(1)在业务系统安全控制方面通过严格的权限控制、加强业务系统页面展示和下载、加强日志记录和审计等措施避免业务系统在未经授权的情况下传播个人客户信息,降低信息泄露的风险。其中包括:
1)通过严格的用户分级授权,实现只有授权业务人员才能访问业务系统中所在辖区(如:一级分行、二级分行、支行或网点)的涉及个人客户信息处理的功能,并且将用户的操作记录日志作为事后审计依据。
2)针对提供批量查询、打印、下载个人客户信息功能,而且信息泄露风险相对较大的总分行业务系统,会同相关业务部门进一步采取严格的控制措施,按照分级保护的思路,对展示查询结果的页面禁止复制、打印和页面保存等操作,对查询生成的电子文件实施加密授权控制。