解决问题的四步骤

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

一、

问题识别：

►所产生的问题：多达4000万个信用卡账户在一个黑客事件中被

暴露。（根据加利福尼亚州普莱森顿市的Javelin

Strategy&Research公司的首席分析师James

Van Dyke说，单从数字角度看，这很可能是最

大的数据安全破坏事件。其中暴露的账户包括

安2200万个维萨卡账户、1390万个万事达卡

账户、少量的美国运通卡账户和Discover卡账

户。

►产生该问题的原因：

►人员方面：1、银行和信用卡公司对员工在安

全防范方面的管理和培训不够。

2、银行和信用卡公司内部员工的恶意行为和粗心。

3、由于银行和信用卡公司之前没有经历过这样的

损失，所以导致员工缺乏保护客户数据的财务

动机。

►组织方面：1、银行和信用卡公司对其处理方的监管不够严密，

金融机构在某种程度上像是放任了其发生破坏

行为，此外它们对安全要求的规定也很模糊。

2、Cardsystems公司在处理将信用卡资料传给合适

的银行时，本不应该保留客户的数据，但是

Cardsystems公司存储了成千上万名持卡人的交

易记录，包括姓名、账号、到日期以及安全代码

等。

3、银行和和信用卡公司是有义务确保支付处理方遵

守安全准则的，并且联邦金融机构检查委员会对

这些金融机构是有执法权的，银行哈支付方必须

每隔36个月向委员会提交一份IT和安全评估报

告，但是，只有当问题或风险出现，必须调查时，

委员会才可以调查支付处理公司。

►技术方面：维护数据安全的技术较弱而犯罪不断进步的技术

手段。

►该问题所产生的影响：在Cardsystems公司的破坏事件被披露

之后的很短一段时间内，针对万事达客

户的带有机会主义特点的网络钓鱼欺

诈行为也开始猖獗起来。其方式是：通

过电子邮件提供一个连接，使用户根据

提示点击进入，输入用户名和密码，

诱惑他们核实或更新其账户资料。

六、方案实施：（案例中所考虑的一些解决措施）

►人员方面：银行和信用卡公司加强了对内部员工的控制，使得

员工不能访问与其工作不相关的文件、应用程序以及

网络的一些区域。在这个方面，公司可以利用复杂密

码、令牌、智能卡以及生物统计身份认证设备来强化

密码保护，从而建立这些控制。

►组织方面：银行和信用卡公司开始重视对员工的管理和培训，以及对客户的教育。

►技术方面：部署反网络钓鱼软件、使用反网络钓鱼服务和部署多层次认证系统。具体在技术方面，将物理磁带的货运

输方式为通过安全告诉的网络传输方式所取代。

►其他方面：《萨班斯—奥克斯利法案》生效后，上市公司必须保证（法律方面）其经过审计人员确认过的财务记录的准确性。遵守该法案，就要证明含有财务报告的个人受到处罚。数据

安全专家布鲁斯认为，政府应该将这一模式应用于个人

数据安全方面，如果公司丢失了一个账户，就应对其处

以罚金。还有一个纽约的民主党参议院建议，让一个

管理身份失窃的办公室将对任何处理敏感个人数据的

组织设立最低安全标准，并且对美欧执行标准的组织

处以罚金。