案例二：個人客戶信息的保護

個人客戶信息包括了身份信息、財產信息、賬戶信息、金融交易信息、信用信息、鑒別信息、衍生信息等，對其進行保護是商業銀行信息安全工作的重要組成部分。某商業銀行已經建立了相應的制度和措施，以有效保證客戶信息的安全，確保不會被泄露和竊取。

1．技術硬控制

技術硬控制措施主要包括兩個方面：一是在業務應用系統層面進行控制，在應用系統開發的技術規范中針對業務系統處理的個人客戶信息，從用戶訪問授權、敏感信息加密保存和傳輸、頁面展示信息及電子文件保護、與合作方互聯的信息保護等方面制定了詳細的技術控制措施要求，并在系統中實現了相應的控制功能；二是為了防范將業務應用系統的查詢結果下載到行內用戶本地計算機上后未經授權擴散到行外，在客戶端上部署了一系列硬控制措施，具體情況如下：

(1)在業務系統安全控制方面通過嚴格的權限控制、加強業務系統頁面展示和下載、加強日志記錄和審計等措施避免業務系統在未經授權的情況下傳播個人客戶信息，降低信息泄露的風險。其中包括：

1)通過嚴格的用戶分級授權，實現只有授權業務人員才能訪問業務系統中所在轄區（如：一級分行、二級分行、支行或網點）的涉及個人客戶信息處理的功能，并且將用戶的操作記錄日志作為事后審計依據。

2)針對提供批量查詢、打印、下載個人客戶信息功能，而且信息泄露風險相對較大的總分行業務系統，會同相關業務部門進一步采取嚴格的控制措施，按照分級保護的思路，對展示查詢結果的頁面禁止復制、打印和頁面保存等操作，對查詢生成的電子文件實施加密授權控制。