數(shù)據(jù)安全一直是金融行業(yè)關(guān)注的重點(diǎn)。每年金融機(jī)構(gòu)在安全防護(hù)方面投入大量資源，包括加強(qiáng)IT邊界安全、防范黑客攻擊、惡意軟件侵入和網(wǎng)絡(luò)釣魚騙局等。這些機(jī)構(gòu)絕不會任由大量的個人身份信息、專有的研究數(shù)據(jù)及其他敏感的企業(yè)數(shù)據(jù)，以及通過技術(shù)設(shè)備收集、存儲和傳送的客戶數(shù)據(jù)面臨危險(xiǎn)。

但在美國，仍舊有金融機(jī)構(gòu)不得不為因管理不善而造成的用戶數(shù)據(jù)泄露買單。據(jù)統(tǒng)計(jì)，每泄露一條信息平均損失214美元，這導(dǎo)致每起數(shù)據(jù)泄露事件造成的總損失平均高達(dá)720萬美元。金融機(jī)構(gòu)的損失還遠(yuǎn)不止這些，它們還需要負(fù)擔(dān)辯護(hù)費(fèi)用、客戶流失導(dǎo)致的收入減少，以及恢復(fù)被敗壞聲譽(yù)所需的不可估量的成本。

這些損失中的一部分來源于被金融機(jī)構(gòu)忽視的安全缺口——廢棄的電子設(shè)備。一些金融機(jī)構(gòu)想當(dāng)然地認(rèn)為，一旦舊的電子設(shè)備“安息”了，設(shè)備上的數(shù)據(jù)也會隨之消失。這種想法大錯特錯，事實(shí)上，即便電子設(shè)備被廢棄了，數(shù)據(jù)仍舊存在于計(jì)算機(jī)和服務(wù)器的硬盤上，以及諸如打印機(jī)、復(fù)印機(jī)、掃描儀和傳真機(jī)等日常辦公設(shè)備上。

這些復(fù)印機(jī)、打印機(jī)的硬盤里存儲著隨時(shí)可以獲取的數(shù)據(jù)，別有用心者仍可以在報(bào)廢的復(fù)印機(jī)和打印機(jī)上找到銀行支票的打印副本，以及社會保障卡和駕駛執(zhí)照的掃描副本。就連交換機(jī)和路由器這些基本的網(wǎng)絡(luò)設(shè)備也可能含有特定網(wǎng)絡(luò)的信息，比如靜態(tài)IP地址，這些信息有可能使公司網(wǎng)絡(luò)暴露在攻擊者面前。

2011年9月，聯(lián)邦存款保險(xiǎn)公司（FDIC）頒發(fā)了指導(dǎo)準(zhǔn)則，準(zhǔn)則建議歸其監(jiān)管的金融機(jī)構(gòu)應(yīng)采用書面政策和程序，確保存儲在復(fù)印機(jī)、傳真機(jī)和打印機(jī)的硬盤或閃存里面的敏感客戶信息在這些電子設(shè)備丟棄之前先予以清除、加密或銷毀。2010年一項(xiàng)針對零售銀行業(yè)開展的隱私信任方面的調(diào)查結(jié)果顯示，接到銀行方面關(guān)于用戶數(shù)據(jù)泄密的通知，讓大多數(shù)消費(fèi)者會對銀行產(chǎn)生負(fù)面看法。

美國一些金融機(jī)構(gòu)的做法是選擇符合美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）標(biāo)準(zhǔn)數(shù)據(jù)銷毀機(jī)制的專業(yè)回收公司。這類公司擁有全球性的經(jīng)營范圍、專業(yè)知識和基礎(chǔ)設(shè)施，不僅承諾經(jīng)營符合回收行業(yè)針對環(huán)境、健康和安全管理體系的ISO 14001、OHSAS 18001等標(biāo)準(zhǔn)，還符合針對信息銷毀的最新標(biāo)準(zhǔn)（全國信息銷毀協(xié)會即NAID），以及針對安全處理、倉儲和運(yùn)輸設(shè)備的最新標(biāo)準(zhǔn)（科技資產(chǎn)保護(hù)協(xié)會即TAPA），以此來確保金融機(jī)構(gòu)廢棄電子設(shè)備的安全合規(guī)。

鏈接

我國電子信息銷毀的標(biāo)準(zhǔn)

目前，我國涉及存儲載體銷毀的行業(yè)標(biāo)準(zhǔn)是國家保密局頒布的BMB21-2007《涉及國家秘密的載體銷毀與信息清除安全保密要求》，該標(biāo)準(zhǔn)中對于各種載體銷毀技術(shù)標(biāo)準(zhǔn)進(jìn)行了規(guī)范。標(biāo)準(zhǔn)對于各種載體銷毀技術(shù)標(biāo)準(zhǔn)進(jìn)行了規(guī)范：磁性存儲載體(硬磁盤、磁帶等)可以使用有效消磁區(qū)磁場強(qiáng)度不低于8500(Oe)的消磁機(jī)進(jìn)行消磁處理；光盤和閃存盤等存儲載體可以使用粉碎機(jī)進(jìn)行銷毀；紙張需粉碎成不大于1mm×2mm的顆粒。此外，存儲介質(zhì)在離開使用者后、集中送銷之前，金融機(jī)構(gòu)有必要對介質(zhì)進(jìn)行預(yù)防性銷毀，以確保信息不會在集中送銷過程中泄露。

建立單位內(nèi)部的信息銷毀保障體系，不僅需要技術(shù)保障手段，還需要建立一整套完善的銷毀管理制度，建立分級信息清除機(jī)制，由此實(shí)現(xiàn)對金融數(shù)據(jù)的全面保護(hù)。