废弃电子设备也须合规

数据安全一直是金融行业关注的重点。每年金融机构在安全防护方面投入大量资源，包括加强IT边界安全、防范黑客攻击、恶意软件侵入和网络钓鱼骗局等。这些机构绝不会任由大量的个人身份信息、专有的研究数据及其他敏感的企业数据，以及通过技术设备收集、存储和传送的客户数据面临危险。

但在美国，仍旧有金融机构不得不为因管理不善而造成的用户数据泄露买单。据统计，每泄露一条信息平均损失214美元，这导致每起数据泄露事件造成的总损失平均高达720万美元。金融机构的损失还远不止这些，它们还需要负担辩护费用、客户流失导致的收入减少，以及恢复被败坏声誉所需的不可估量的成本。

这些损失中的一部分来源于被金融机构忽视的安全缺口――废弃的电子设备。一些金融机构想当然地认为，一旦旧的电子设备“安息”了，设备上的数据也会随之消失。这种想法大错特错，事实上，即便电子设备被废弃了，数据仍旧存在于计算机和服务器的硬盘上，以及诸如打印机、复印机、扫描仪和传真机等日常办公设备上。

这些复印机、打印机的硬盘里存储着随时可以获取的数据，别有用心者仍可以在报废的复印机和打印机上找到银行支票的打印副本，以及社会保障卡和驾驶执照的扫描副本。就连交换机和路由器这些基本的网络设备也可能含有特定网络的信息，比如静态IP地址，这些信息有可能使公司网络暴露在攻击者面前。

2011年9月，联邦存款保险公司（FDIC）颁发了指导准则，准则建议归其监管的金融机构应采用书面政策和程序，确保存储在复印机、传真机和打印机的硬盘或闪存里面的敏感客户信息在这些电子设备丢弃之前先予以清除、加密或销毁。2010年一项针对零售银行业开展的隐私信任方面的调查结果显示，接到银行方面关于用户数据泄密的通知，让大多数消费者会对银行产生负面看法。

美国一些金融机构的做法是选择符合美国国家标准与技术研究所（NIST）标准数据销毁机制的专业回收公司。这类公司拥有全球性的经营范围、专业知识和基础设施，不仅承诺经营符合回收行业针对环境、健康和安全管理体系的ISO 14001、OHSAS 18001等标准，还符合针对信息销毁的最新标准（全国信息销毁协会即NAID），以及针对安全处理、仓储和运输设备的最新标准（科技资产保护协会即TAPA），以此来确保金融机构废弃电子设备的安全合规。

链接

我国电子信息销毁的标准

目前，我国涉及存储载体销毁的行业标准是国家保密局颁布的BMB21-2007《涉及国家秘密的载体销毁与信息清除安全保密要求》，该标准中对于各种载体销毁技术标准进行了规范。标准对于各种载体销毁技术标准进行了规范：磁性存储载体(硬磁盘、磁带等)可以使用有效消磁区磁场强度不低于8500(Oe)的消磁机进行消磁处理；光盘和闪存盘等存储载体可以使用粉碎机进行销毁；纸张需粉碎成不大于1mm×2mm的颗粒。此外，存储介质在离开使用者后、集中送销之前，金融机构有必要对介质进行预防性销毁，以确保信息不会在集中送销过程中泄露。

建立单位内部的信息销毁保障体系，不仅需要技术保障手段，还需要建立一整套完善的销毁管理制度，建立分级信息清除机制，由此实现对金融数据的全面保护。