银监会责令银行严守客户信息   对员工违反安全规定行为“零容忍”

商报讯（记者 崔吕萍）近来频频发生的客户银行卡被盗刷、客户身份外泄等事件令监管层十分关注。昨日，银监会发布《商业银行信息科技风险管理指引》（以下简称《指引》）。

该《指引》特别强调，商业银行应严防客户信息外泄，同时应对有可能造成客户信息外泄的ATM机、pos机等终端用户设备进行全面的安全检查。

本次《指引》将替代2006年银监会曾下发的《银行业金融机构信息系统风险管理指引》。新《指引》的最大亮点是，银监会将监管目标直接锁定为商业银行。

《指引》强调，从保护广大储户利益出发，要求商业银行在信息系统开发、测试和维护，以及服务外包过程中加强对客户信息的保护，防止敏感信息泄露，对业务连续性管理也加以规范，保障客户数据安全和服务连续。对此，银监会相关负责人透露，对敏感信息保护要求的提出，特别是对外包服务环节信息保护的要求，将促使商业银行进一步加强客户信息保护，为广大储户提供更加安全的服务。

对于有可能直接导致银行客户信息外泄的终端设备，《指引》提出，商业银行应配备切实有效的系统，确保所有终端用户设备的安全，并定期对所有设备进行安全检查，包括台式个人计算机（PC）、便携式计算机、柜员终端、自动柜员机（ATM）、存折打印机、读卡器、销售终端（POS）和个人数字助理（PDA）等。

今年以来，很多地区出现了客户银行卡信息泄露、银行卡遭遇盗刷的情况。据报道，一些银行卡使用者虽然“卡不离身”，但卡内信息仍被不法之徒复制，从而造成客户资金损失。另有不少人士反映，自己在银行办理信用卡之后，常能收到各类推销电话，而银行作为客户敏感信息的第一接收者，很难撇清自身的权责。

此外，银监会也注意到银行内部的信息风险。《指引》强调，银行应设立首席信息官，对内部信息数据进行统筹管理；同时，银行内部用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，对于试图破解其他领域访问密码的内部用户，银行应对其进行及时调查；另外，商业银行应对所有员工违反安全规定的行为采取零容忍政策。

“在银行电子化、网络化和信息化进程提速的背景下，敏感数据泄露将给银行带来法律风险和声誉风险。”对此，中央财经大学中国银行业研究中心主任郭田勇表示。他认为，信息安全性对银行业来说愈发重要，加强对客户信息安全风险防控，以及首席信息官的设立更是及时、必要的。