案例二：個人客戶信息的保護

個人客戶信息包括了身份信息、財產(chǎn)信息、賬戶信息、金融交易信息、信用信息、鑒別信息、衍生信息等，對其進行保護是商業(yè)銀行信息安全工作的重要組成部分。某商業(yè)銀行已經(jīng)建立了相應(yīng)的制度和措施，以有效保證客戶信息的安全，確保不會被泄露和竊取。

1．技術(shù)硬控制

技術(shù)硬控制措施主要包括兩個方面：一是在業(yè)務(wù)應(yīng)用系統(tǒng)層面進行控制，在應(yīng)用系統(tǒng)開發(fā)的技術(shù)規(guī)范中針對業(yè)務(wù)系統(tǒng)處理的個人客戶信息，從用戶訪問授權(quán)、敏感信息加密保存和傳輸、頁面展示信息及電子文件保護、與合作方互聯(lián)的信息保護等方面制定了詳細的技術(shù)控制措施要求，并在系統(tǒng)中實現(xiàn)了相應(yīng)的控制功能；二是為了防范將業(yè)務(wù)應(yīng)用系統(tǒng)的查詢結(jié)果下載到行內(nèi)用戶本地計算機上后未經(jīng)授權(quán)擴散到行外，在客戶端上部署了一系列硬控制措施，具體情況如下：

(1)在業(yè)務(wù)系統(tǒng)安全控制方面通過嚴格的權(quán)限控制、加強業(yè)務(wù)系統(tǒng)頁面展示和下載、加強日志記錄和審計等措施避免業(yè)務(wù)系統(tǒng)在未經(jīng)授權(quán)的情況下傳播個人客戶信息，降低信息泄露的風險。其中包括：

1)通過嚴格的用戶分級授權(quán)，實現(xiàn)只有授權(quán)業(yè)務(wù)人員才能訪問業(yè)務(wù)系統(tǒng)中所在轄區(qū)（如：一級分行、二級分行、支行或網(wǎng)點）的涉及個人客戶信息處理的功能，并且將用戶的操作記錄日志作為事后審計依據(jù)。

2)針對提供批量查詢、打印、下載個人客戶信息功能，而且信息泄露風險相對較大的總分行業(yè)務(wù)系統(tǒng)，會同相關(guān)業(yè)務(wù)部門進一步采取嚴格的控制措施，按照分級保護的思路，對展示查詢結(jié)果的頁面禁止復(fù)制、打印和頁面保存等操作，對查詢生成的電子文件實施加密授權(quán)控制。