在中小银行中，客户信息保护工作往往面临“心有余而力不足”的结构性困境，主要体现在资源投入、治理模式和技术支撑短板等方面。如何结合业务状况和控制水平，及时发现、控制并纠正管理工作中存在的薄弱环节，确保问题有效整改，实现审计“尽可能推动风险最小化、利益最大化”的目标。兴化农商银行在对本行客户信息保护专项审计中，结合实际经营和管理情况制定了针对性的审计方案，采用多种审计方法，对本行的客户信息保护工作进行了审计。

一、审计主要思路

以客户信息全生命周期为主线，从客户信息的采集、存储、使用、加工、传输、提供、公开、删除八大处理环节，围绕制度、流程、系统、资料、人员五个维度开展审计，检查是否存在客户信息保护体系的漏洞和隐患，检验现有控制措施是否有效运行。

（一）文档审阅法，审查制度体系

对照客户信息方面的法律法规和监管要求，一是查看被审计单位是否制定并持续完善客户信息保护相关制度体系。二是是否建立并完善个人客户信息保护组织架构，明确机构各层级内设部门与相关岗位个人客户信息保护职责与总体要求。三是检查隐私政策、用户授权书、第三方合作协议等资料，查看采集目的、数据保密、权责等内容是否准确明确。

（二）穿行测试法，审查业务流程

一是模拟客户从开户、使用、修改到注销的全生命周期，验证各个环节是否符合信息保护技术控制及业务规范。二是模拟客户信息从采集到删除的八大处理活动，查看各个阶段的处理活动是否符合操作规定，控制措施是否到位。

（三）渗透测试法，审查系统数据

通过系统渗透测试或建模等科技手段，检查数据库加密技术、访问权限设置、日志留存内容、对外提供数据、数据共享目的及网络传输安全控制措施，防止客户信息被非法获取、提供或传输泄露。

（四）抽样核查法，审查资料内容

抽取部分客户信息开户材料、日志查询记录、数据修改记录或外部调阅申请资料，查看操作流程是否规范、内容要素是否齐全，是否按申请资料要求录入或修改客户相关信息。

（五）现场检查法，审查人员执行

一是现场询问客户信息保护管理部门和客户信息保护责任部门的职责及权限，是否知晓个人客户信息保护工作方针、目标和原则，验证客户信息保护工作的重要性。二是现场检查员工及外包人员的工作场所，查看客户资料的保管是否符合规定，是否存在外包人员接触或使用客户敏感信息情况或客户资料易被第三方获取的情况。

二、审计发现的主要问题

（一）未建立制度或制度内容不全面。如未按监管规定制定数据分类分级制度，风险管理部门未将数据安全纳入全面风险管理体系，且未开展数据安全风险评估。

（二）信息系统操作账号全生命周期管理不到位。如相关业务系统中转岗或离职人员的操作账号权限未及时进行调整或注销，违反“业务需要”和“最小权限”原则。

（三）未开展客户信息安全影响评估工作。相关客户信息保护责任部门对客户信息进行加工、汇聚融合前未开展客户信息安全影响评估，易导致后续发生客户信息泄露或权益受损。

（四）客户信息使用不规范。如客户信息保护责任部门通过网络将客户信息群发，泄露客户卡号、身份证号、手机号和地址等隐私信息。信贷客户资料存放不规范，客户经理保存客户征信报告等敏感影像档案资料，且易被第三方获取。

（五）合作业务协议内容不全面。如理财、贵金属等代销业务协议内容不全面，未明确客户信息处理及违约内容。协议中未明确“数据处理的期限、目的和方式；要求接收方在合同结束后按约定返还或删除数据；以及违约后的赔偿责任”。

（六）数据存储介质销毁监督与控制不到位。如未制定数据存储介质销毁操作规程，未对资料销毁的全过程进行监督和控制，且有关记录不完整。

三、相关审计建议

（一）完善制度体系，强化合规基础。客户信息保护管理部门应对照《个人信息保护法》《银行保险机构数据安全管理办法》等法律法规及监管要求，完善数据分类分级的制度和操作流程，确保制度的完备性、及时性和可操作性。

（二）规范账号管理，严控访问权限。人力资源部门及时将岗位变动员工信息发送给相关业务部门，业务部门建立常态化系统账号权限清理机制，确保员工岗位变动或离职时，权限能及时准确地调整或收回。

（三）落实影响评估，前置风险防范。客户信息保护管理部门在产品创新、业务拓展及技术应用的全过程中，严格落实客户信息安全影响评估制度。将评估作为项目立项或上线的前置必要环节，对评估发现的高风险点必须制定并落实有效的缓释措施后方可推进。

（四）加强资料管控，严防信息泄密。一是信息发布部门严格执行客户信息最小必要原则，加强发布信息的审核工作，涉及客户敏感信息的文件不得群发。二是客户信息保护管理部门和责任部门要加大现场检查力度，将客户信息保护纳入检查范围，通过例会、问题通报等方式持续开展客户信息保护培训，提升员工信息安全意识和合规操作水平。

（五）优化合作协议，明确权责边界。客户信息保护责任部门重新梳理并完善代销业务相关协议范本，明确与合作机构在客户信息保护方面的权利义务。协议中应明确数据处理的期限、目的和方式，违约后的赔偿责任等关键条款，及时对合作等数据处理活动开展安全评估，确保在合作关系中对客户信息的保护力度不减。

（六）规范介质销毁，杜绝数据残留。建议数据销毁部门加强对报废设备的全流程处置管理，重点关注存储介质销毁，明确销毁流程、技术标准和监督要求，建立从介质报废、数据清除、物理销毁到记录归档的全流程闭环管理，确保敏感数据彻底、安全销毁。（华 平）