廢棄電子設備也須合規

數據安全一直是金融行業關注的重點。每年金融機構在安全防護方面投入大量資源，包括加強IT邊界安全、防范黑客攻擊、惡意軟件侵入和網絡釣魚騙局等。這些機構絕不會任由大量的個人身份信息、專有的研究數據及其他敏感的企業數據，以及通過技術設備收集、存儲和傳送的客戶數據面臨危險。

但在美國，仍舊有金融機構不得不為因管理不善而造成的用戶數據泄露買單。據統計，每泄露一條信息平均損失214美元，這導致每起數據泄露事件造成的總損失平均高達720萬美元。金融機構的損失還遠不止這些，它們還需要負擔辯護費用、客戶流失導致的收入減少，以及恢復被敗壞聲譽所需的不可估量的成本。

這些損失中的一部分來源于被金融機構忽視的安全缺口——廢棄的電子設備。一些金融機構想當然地認為，一旦舊的電子設備“安息”了，設備上的數據也會隨之消失。這種想法大錯特錯，事實上，即便電子設備被廢棄了，數據仍舊存在于計算機和服務器的硬盤上，以及諸如打印機、復印機、掃描儀和傳真機等日常辦公設備上。

這些復印機、打印機的硬盤里存儲著隨時可以獲取的數據，別有用心者仍可以在報廢的復印機和打印機上找到銀行支票的打印副本，以及社會保障卡和駕駛執照的掃描副本。就連交換機和路由器這些基本的網絡設備也可能含有特定網絡的信息，比如靜態IP地址，這些信息有可能使公司網絡暴露在攻擊者面前。

2011年9月，聯邦存款保險公司（FDIC）頒發了指導準則，準則建議歸其監管的金融機構應采用書面政策和程序，確保存儲在復印機、傳真機和打印機的硬盤或閃存里面的敏感客戶信息在這些電子設備丟棄之前先予以清除、加密或銷毀。2010年一項針對零售銀行業開展的隱私信任方面的調查結果顯示，接到銀行方面關于用戶數據泄密的通知，讓大多數消費者會對銀行產生負面看法。

美國一些金融機構的做法是選擇符合美國國家標準與技術研究所（NIST）標準數據銷毀機制的專業回收公司。這類公司擁有全球性的經營范圍、專業知識和基礎設施，不僅承諾經營符合回收行業針對環境、健康和安全管理體系的ISO 14001、OHSAS 18001等標準，還符合針對信息銷毀的最新標準（全國信息銷毀協會即NAID），以及針對安全處理、倉儲和運輸設備的最新標準（科技資產保護協會即TAPA），以此來確保金融機構廢棄電子設備的安全合規。

鏈接

我國電子信息銷毀的標準

目前，我國涉及存儲載體銷毀的行業標準是國家保密局頒布的BMB21-2007《涉及國家秘密的載體銷毀與信息清除安全保密要求》，該標準中對于各種載體銷毀技術標準進行了規范。標準對于各種載體銷毀技術標準進行了規范：磁性存儲載體(硬磁盤、磁帶等)可以使用有效消磁區磁場強度不低于8500(Oe)的消磁機進行消磁處理；光盤和閃存盤等存儲載體可以使用粉碎機進行銷毀；紙張需粉碎成不大于1mm×2mm的顆粒。此外，存儲介質在離開使用者后、集中送銷之前，金融機構有必要對介質進行預防性銷毀，以確保信息不會在集中送銷過程中泄露。

建立單位內部的信息銷毀保障體系，不僅需要技術保障手段，還需要建立一整套完善的銷毀管理制度，建立分級信息清除機制，由此實現對金融數據的全面保護。