案例二：個(gè)人客戶信息的保護(hù)

個(gè)人客戶信息包括了身份信息、財(cái)產(chǎn)信息、賬戶信息、金融交易信息、信用信息、鑒別信息、衍生信息等，對(duì)其進(jìn)行保護(hù)是商業(yè)銀行信息安全工作的重要組成部分。某商業(yè)銀行已經(jīng)建立了相應(yīng)的制度和措施，以有效保證客戶信息的安全，確保不會(huì)被泄露和竊取。

1．技術(shù)硬控制

技術(shù)硬控制措施主要包括兩個(gè)方面：一是在業(yè)務(wù)應(yīng)用系統(tǒng)層面進(jìn)行控制，在應(yīng)用系統(tǒng)開發(fā)的技術(shù)規(guī)范中針對(duì)業(yè)務(wù)系統(tǒng)處理的個(gè)人客戶信息，從用戶訪問授權(quán)、敏感信息加密保存和傳輸、頁面展示信息及電子文件保護(hù)、與合作方互聯(lián)的信息保護(hù)等方面制定了詳細(xì)的技術(shù)控制措施要求，并在系統(tǒng)中實(shí)現(xiàn)了相應(yīng)的控制功能；二是為了防范將業(yè)務(wù)應(yīng)用系統(tǒng)的查詢結(jié)果下載到行內(nèi)用戶本地計(jì)算機(jī)上后未經(jīng)授權(quán)擴(kuò)散到行外，在客戶端上部署了一系列硬控制措施，具體情況如下：

(1)在業(yè)務(wù)系統(tǒng)安全控制方面通過嚴(yán)格的權(quán)限控制、加強(qiáng)業(yè)務(wù)系統(tǒng)頁面展示和下載、加強(qiáng)日志記錄和審計(jì)等措施避免業(yè)務(wù)系統(tǒng)在未經(jīng)授權(quán)的情況下傳播個(gè)人客戶信息，降低信息泄露的風(fēng)險(xiǎn)。其中包括：

1)通過嚴(yán)格的用戶分級(jí)授權(quán)，實(shí)現(xiàn)只有授權(quán)業(yè)務(wù)人員才能訪問業(yè)務(wù)系統(tǒng)中所在轄區(qū)（如：一級(jí)分行、二級(jí)分行、支行或網(wǎng)點(diǎn)）的涉及個(gè)人客戶信息處理的功能，并且將用戶的操作記錄日志作為事后審計(jì)依據(jù)。

2)針對(duì)提供批量查詢、打印、下載個(gè)人客戶信息功能，而且信息泄露風(fēng)險(xiǎn)相對(duì)較大的總分行業(yè)務(wù)系統(tǒng)，會(huì)同相關(guān)業(yè)務(wù)部門進(jìn)一步采取嚴(yán)格的控制措施，按照分級(jí)保護(hù)的思路，對(duì)展示查詢結(jié)果的頁面禁止復(fù)制、打印和頁面保存等操作，對(duì)查詢生成的電子文件實(shí)施加密授權(quán)控制。