中小银行客户信息保护四难题.pdfVIP

Busss。 I 中小银行客户信息保护四难题 文 Il中国银行业监督管理委员会浙江监管局 吴建 邵丰 r_7、 一着金融信息化的发展和银行客户信息泄密事件的 三是科技与法律手段并举，内部人员泄密风险有所降 l 低。调查发现，部分小法人银行对客户信息保护措施 日趋 先进，手段逐步丰富，如在信息科技领域，浙商银行、台 提升客户信息保护水平、增强金融服务安全是当前法人银 州银行部署了 “运维审计系统 ”，系统维护和操作人员在信 行信息科技风险监管工作中重点关注的问题 。浙江银监局 息系统中的任何操作均将被记录并可查询和追溯 ，能够有 对辖内 11家中小法人银行 (10家城商行与浙商银行 )的 效降低内部人员泄密风险 ；在法律领域，为加强对涉及客 调查问卷及现场检查显示，中小银行客户信息保护工作已 户信息的重要工作岗位的管理，11家法人银行均与相关岗 有序开展 ，但在客户数据处理、系统加密手段 、服务终端 位工作人员签订了必威体育官网网址协议 。 风险提示、重要安全岗位管理等多方面滞后 ，导致客户信 息保护成效不理想 ，部分领域风险隐患突出，亟待关注并 二、客户信息保护工作待解四大难题 及时改进。 1．客户数据未脱敏处理，信息驻留易外泄 一 、 客户信息保护工作已有进展 主要体现在外包业务发展较快与管理滞后之间的矛盾 突出，在部分领域存在客户信息外泄的隐患。 一 是信息安全管理 已引起高管层普遍关注。从对5 一 是 IT系统软件开发 。在与软件公司开展系统开发外 家法人银行经营管理层发放的 105份调查问卷来看 ，有 包合作时，对于合作开发外包方 “防火墙”隔离制度落实 95．24％的被调查者认为客户信息安全问题对银行金融服 不严 ，未能有效保护客户信息。综合对 11家法人银行现场 务的影响 “非常大”，87．62％的被调查者认为 有必要” 检查的情况，均不同程度的在系统UAT测试、压力测试中 进一步强化客户信息安全管理。在对4家银行的高管层进 使用未经脱敏处理的客户数据、对外包开发人员访问银行 行访谈获得的信息，辖内法人银行高管人员普遍认为本行 前置业务系统未做严格限制、对提供给外包商的工作设备 客户风险保护工作尚处于起步或初级阶段 ，并对本行信息 未进行彻底的数据清洗等情况。 二是自助设备维护。如现场检查发现 ，浙商银行一家 二是核心业务制度新加载信息安全内容。为强化客户 基层经营网点的ATM终端安全设置不审慎 ，外包人员在维 信息保护工作，辖内银行业金融机构特意将信息安全管理 护时可通过FTP登陆到银行卡信息系统中获取客户交易日 内容嵌入核心业务管理制度中。如湖州银行在负债、信贷、 志和银行卡磁道信息，用于复制和伪造银行卡。 电子银行等核心业务领域共制订了9项制度，专门对客户 三是银行卡业务。部分银行的银行卡第三方支付在开 信息保护工作进行规定 ；浙商银行针对信息系统数据使用 通环节存在银行卡敏感信息驻留现象，未经银行安全认证 制订专门管理办法，严格规定数据使用范围、流程等方面 即可执行资金交易，而且第三方支付机构系统安全保护不 内容。 足，存在银行卡客户信息泄露和资金安全风险。此外，部 50I金 乞孑f2013年2月 业务创新