目录
查看全文
- 第一章
- 第一条
- 第二条
- 第三条
- 第四条
- 第五条
- 第二章
- 第六条
- 第七条
- 第八条
- 第三章
- 第九条
- 第一节
- 第十条
- 第十一条
- 第十二条
- 第十三条
- 第十四条
- 第二节
- 第十五条
- 第十六条
- 第十七条
- 第三节
- 第十八条
- 第十九条
- 第二十条
- 第四节
- 第二十一条
- 第二十二条
- 第二十三条
- 第五节
- 第二十四条
- 第二十五条
- 第二十六条
- 第四章
- 第一节
- 第二十七条
- 第二十八条
- 第二十九条
- 第三十条
- 第三十一条
- 第三十二条
- 第三十三条
- 第二节
- 第三十四条
- 第三节
- 第三十五条
- 第三十六条
- 第五章
- 第一节
- 第三十七条
- 第三十八条
- 第三十九条
- 第二节
- 第四十条
- 第四十一条
- 第四十二条
- 第四十三条
- 第四十四条
- 第四十五条
- 第四十六条
- 第三节
- 第四十七条
- 第四十八条
- 第四节
- 第四十九条
- 第五十条
- 第五十一条
- 第五十二条
- 第五十三条
- 第六章
- 第五十四条
- 第一节
- 第五十五条
- 第五十六条
- 第五十七条
- 第二节
- 第五十八条
- 第五十九条
- 第六十条
- 第六十一条
- 第六十二条
- 第三节
- 第六十三条
- 第六十四条
- 第六十五条
- 第六十六条
- 第四节
- 第六十七条
- 第六十八条
- 第六十九条
- 第七十条
- 第七十一条
- 第五节
- 第七十二条
- 第七十三条
- 第七章
- 第七十四条
- 第七十五条
- 第七十六条
- 第七十七条
- 第八章
- 第一节
- 第七十八条
- 第七十九条
- 第八十条
- 第二节
- 第八十一条
- 第八十二条
- 第八十三条
- 第八十四条
- 第八十五条
- 第九章
- 第一节
- 第八十六条
- 第八十七条
- 第二节
- 第八十八条
- 第八十九条
- 第九十条
- 第九十一条
- 第九十二条
- 第三节
- 第九十三条
- 第九十四条
- 第九十五条
- 第九十六条
- 第九十七条
- 第九十八条
- 第四节
- 第九十九条
- 第一百条
- 第一百零一条
- 第五节
- 第一百零二条
- 第一百零三条
- 第一百零四条
- 第一百零五条
- 第一百零六条
- 第十章
- 第一节
- 第一百零七条
- 第一百零八条
- 第一百零九条
- 第一百一十条
- 第二节
- 第一百一十一条
- 第一百一十二条
- 第一百一十三条
- 第十一章
- 第一节
- 第一百一十四条
- 第一百一十五条
- 第一百一十六条
- 第二节
- 第一百一十七条
- 第一百一十八条
- 第一百一十九条
- 第一百二十条
- 第一百二十一条
- 第三节
- 第一百二十二条
- 第一百二十三条
- 第一百二十四条
- 第一百二十五条
- 第一百二十六条
- 第一百二十七条
- 第十二章
- 第一节
- 第一百二十八条
- 第一百二十九条
- 第一百三十条
- 第二节
- 第一百三十一条
- 第一百三十二条
- 第一百三十三条
- 第三节
- 第一百三十四条
- 第一百三十五条
- 第一百三十六条
- 第一百三十七条
- 第四节
- 第一百三十八条
- 第一百三十九条
- 第十三章
- 第一百四十条
- 第一百四十一条
- 第十四章
- 第一百四十二条
- 第一百四十三条
- 第一百四十四条
- 第一百四十五条
图例说明
法条释义:法条内容的解释。
制度沿革:法条对该条涉及制度的发展沿革情况。
相关规定:实施细则、相关法律对该条涉及制度的规定。
学理解析:国内外学术界对于该条款涉及制度的认识。
司法案例:涉及该条款制度的司法案例。
他山之石:国际条约、主要国家和我国其他法域(如台湾)对这一制度的规定。
中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知
更新时间:2015.11.17
- 【发布部门】:其他
- 【效力级别】:其他
- 【时 效 性】:现行有效
- 【发文字号】:银发[2010]276号
- 【发布日期】:2010.09.27
- 【实施日期】:2010.09.27
人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行,直属企事业单位:
为进一步做好人民银行计算机系统信息安全管理工作,总行制定了《中国人民银行计算机系统信息安全管理规定》,现印发给你们,请遵照执行。
附件:中国人民银行计算机系统信息安全管理规定
附件
中国人民银行计算机系统信息安全管理规定
-
第一章总则
-
第一条为强化人民银行计算机系统信息安全管理(以下简称信息安全管理),防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》等规定,特制定本规定。
-
第二条本规定所称信息安全管理,是指在人民银行计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络与机房基础设施安全的一系列活动。
-
第三条人民银行信息安全管理工作实行统一领导、分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
-
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。人民银行每个员工都有履行信息安全的权利和义务。
-
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称各单位)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
-
第二章组织保障
-
第六条各单位应设立由本单位领导和业务与技术相关部门主要负责人组成的计算机安全工作领导小组,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。各单位计算机安全工作领导小组办公室设在本单位科技部门,负责开展本单位信息安全管理日常工作。
-
第七条各单位科技部门应设立信息安全管理部门或岗位。各单位科技部门应配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
-
第八条除科技部门外,各单位其他部门均应指定至少1名部门计算机安全员,具体负责本部门的信息安全管理工作,协同科技部门开展信息安全管理工作。
-
第三章人员管理
-
第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
-
第一节信息安全管理人员
-
第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。
-
第十一条各单位每年至少对信息安全管理人员进行一次信息安全培训,适时对部门计算机安全员进行信息安全知识培训。地(市)中心支行和县(市)支行信息安全管理人员原则上由上海总部、各分行、营业管理部、省会(首府)城市中心支行组织培训。
-
第十二条各单位信息安全管理人员履行职责:
(一)组织落实上级信息安全管理规定和本单位及辖内信息安全保障工作,制定信息安全管理制度,协调部门计算机安全员工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全项目建设,维护、管理信息安全专用设施。
(三)督促检查网络和信息系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
-
第十三条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,应按人民银行相关保密规定执行。
-
第十四条对信息安全管理人员应实行备案管理。信息安全管理人员的配备和变更情况,应及时报上一级科技部门备案。信息安全管理人员调离原岗位时,应办理交接手续,并履行其调离后的保密义务。
-
第二节部门计算机安全员
-
第十五条各部门应指派政治思想过硬、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案,如有变更应及时通报。
-
第十六条部门计算机安全员应积极配合信息安全管理人员工作,各部门应优先选派部门计算机安全员参加本单位科技部门组织的计算机技术培训。
-
第十七条部门计算机安全员履行以下职责:
(一)负责配合本单位科技部门(岗)完成本部门计算机病毒防治、补丁升级、非法外联防范、移动存储介质管控等工作。
(二)负责提出本部门信息安全保障需求,及时与科技部门(岗)沟通本部门信息安全情况。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
-
第三节技术支持人员
-
第十八条本规定所称技术支持人员,是指负责或参与人民银行机房环境、网络、计算机系统等建设、运行、维护的人员,包括内部技术支持人员和外部技术支持人员。
-
第十九条人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担以下安全义务:
(一)应严格遵守各项安全保密规定。
(二)严格权限访问,未经业务主管部门书面授权,不得擅自修改系统业务应用设置或修改系统生成的任何业务数据。
(三)检测和监控生产系统安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告本部门主管领导,并及时响应和处置。
-
第二十条外部技术支持人员应严格履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,应严格遵守人民银行相关安全规定与操作规程。
-
第四节业务操作人员
-
第二十一条本规定所称业务操作人员,是指直接使用计算机系统处理业务的业务部门工作人员。
-
第二十二条业务操作人员履行以下职责:
(一)严格按规程操作,防止误操作。定期修改并妥善保管操作密码,按需、适时进行必要的数据备份。
(二)一旦发现计算机系统出现异常,应及时通报科技部门。
(三)不得在业务操作终端上安装与业务处理无关的计算机软件和硬件,不得擅自修改计算机系统及其运行环境参数。
-
第二十三条计算机系统业务操作应按照“权限分散、相互制约”原则,合理划分操作角色,严格进行授权管理。技术支持人员不得兼任业务操作人员。
-
第五节一般计算机用户
-
第二十四条本规定所称一般计算机用户,是指使用计算机及外设的所有人员。
-
第二十五条一般计算机用户履行以下职责:
(一)及时更新所用计算机的病毒防治软件并安装必要的补丁程序,按规定使用移动存储介质,自觉接受本部门计算机安全员的指导与管理。
(二)不得安装与工作无关的计算机软件和硬件,不得擅自修改计算机系统及其运行环境参数。
-
第二十六条不得私自改变计算机用途,不得将一台计算机跨接不同网络。非人民银行配备的计算机不得接入人民银行内部网络。未经保密部门批准和科技部门检测,不得将便携式计算机接入内部网络。
-
第四章机房环境和设备资产管理
-
第一节机房安全管理
-
第二十七条本规定所称机房,是指网络与计算机设备放置、运行的场所,包含供配电、通信、空调、消防、监控等配套环境设施。
-
第二十八条各单位机房的规划、建设、改造、运行、维护,应遵守人民银行计算机机房管理相关规定。
-
第二十九条各单位应建立集中的计算机机房,统一为各计算机系统提供运行环境。机房设施配备应符合国家计算机机房有关标准要求。
-
第三十条各分支机构机房建设(改造)的方案应报上一级机构科技部门备案。必要时,由上一级机构科技部门会同有关部门组织审核。
-
第三十一条各单位机房建设的设计与实施,应选择具备符合国家相关资质要求的企业。数据中心机房建设施工过程中,应引入监理机制。未经验收或验收不合格的机房,不得正式投入使用。
-
第三十二条各单位应建立健全机房管理制度,并指派专人担任机房管理员,定期巡查机房运行状况。机房管理员应经过相关专业培训,掌握机房各类设备的操作要领。
-
第三十三条各单位应定期对机房设施进行维修保养,加强对易损、易失效设备或部件的维护保养。夜间机房视频监控的值守,由科技部门与大楼保卫部门协商确定。
-
第二节柜面和核心业务处理环境安全管理
-
第三十四条对外提供柜面服务的场所与核心业务处理环境,应严格人员出入管理,并通过安装门禁、视频监控录像等系统,加强技术防范。
-
第三节设备资产管理
-
第三十五条各单位科技部门应做好计算机设备登记工作,严格设备资产管理,落实计算机设备使用者的安全保护责任。
-
第三十六条各单位应根据计算机设备的重要程度,采取相应等级的安全保护措施,防止未授权使用设备或信息。有特殊安全保密要求的计算机设备,应放置在机房特殊功能区,并遵守相关安全保密规定。
-
第五章网络安全管理
-
第一节网络规划、建设中的安全管理
-
第三十七条总行科技主管部门负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址段和域名等)分配。涉密网络和涉密信息系统的规划、建设按照国家涉密信息系统分级保护相关标准和规定执行。
-
第三十八条各单位科技部门应按照总行的统一规划和部署,组织实施网络建设、改造工程。网络建设与改造方案应报上一级科技部门审核,投产前应通过本单位组织的安全性测试。
-
第三十九条各单位的网络建设和改造符合以下安全要求:
(一)符合人民银行网络架构规划和安全管理要求,保障网络传输与应用安全。
(二)具备必要的网络监控、审计等管理功能。
(三)针对不同的网络安全域,采取相应的网络边界控制措施。
-
第二节网络运行安全管理
-
第四十条各单位科技部门应建立健全网络安全运行制度,配备A、B岗专(兼)职网络管理员。网络管理员负责日常监测工作,检查网络安全运行状况,定期检查网络日志,管理网络资源及其配置信息,建立健全网络安全运行维护档案,及时发现和解决网络异常情况。网络日志应至少妥善保存3个月。
-
第四十一条网络管理员应定期参加网络安全技术培训,具备一定的网络攻击防范技能,紧急情况下,经本部门主管领导授权后,可采劝先断网、后处理”的紧急应对措施。
-
第四十二条各单位科技部门应严格网络接入管理。任何设备接入网络前,接入方案应经过科技部门的审核,审核批准后方可接入网络并分配相应的网络资源。
-
第四十三条各单位科技部门应严格网络变更管理。网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。网络变更原则上应安排在非工作时间进行。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门,并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。
-
第四十四条各单位应严格远程访问控制。确因工作需要进行远程访问的,应由访问发起单位科技部门核准,提请被访问单位科技部门(岗)开启远程访问服务,并采取单列账户、最小权限分配、及时关闭远程访问服务等安全防护措施。
-
第四十五条信息安全管理人员经本部门主管领导批准后,有权对本单位或辖内网络进行安全检测、扫描。检测、扫描结果属敏感信息,未经授权不得对外公开。未经总行科技主管部门授权,任何外部单位与人员不得检测或扫描人民银行内部网络。
-
第四十六条各单位以不影响正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经总行科技主管部门批准,不得在人民银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
-
第三节网间互联安全管理
-
第四十七条本规定所称网间互联,是指为满足人民银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。
-
第四十八条网间互联由总行科技主管部门统一规划,按照相关标准组织实施。未经总行科技主管部门核准,任何单位不得自行与外部机构实施网间互联。
-
第四节接入国际互联网管理
-
第四十九条人民银行内部网络与国际互联网实行安全隔离。所有接入人民银行内部网络或存储有敏感工作信息的计算机,不得接入国际互联网。
-
第五十条计算机接入国际互联网应通过本单位保密工作委员会办公室批准,并确保安装有人民银行选定的防病毒软件和最新补丁程序。科技部门凭相关批准证明实施联网,并做好备案。
-
第五十一条曾接入人民银行内部网络的计算机需改接入国际互联网前,应重新办理以上审批手续,并由科技部门配合清除计算机上工作信息后,方可实施接入。曾接入国际互联网的计算机,须经科技部门进行严格的病毒清查、打补丁后,方可改接入人民银行内部网络。
-
第五十二条从国际互联网下载的任何信息,未经病毒检测不得在人民银行内部网络上使用。
-
第五十三条使用国际互联网的所有用户应遵守国家有关法律法规和人民银行相关管理规定,不得从事任何违法违规活动。
-
第六章计算机系统安全管理
-
第五十四条本规定所称计算机系统,是指人民银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
-
第一节计算机系统规划与立项
-
第五十五条计算机系统建设项目应在规划与立项阶段同步考虑安全问题,设计方案应满足人民银行信息系统建设安全的相关要求。
-
第五十六条业务需求提出部门应提出数据安全需求,科技部门应进行安全性需求分析。项目技术方案未通过科技部门组织的安全性审查,项目不得予以立项。
-
第五十七条使用上一级机构计算机系统资源或对其他机构计算机系统资源与配置造成影响的区域性建设项目,项目建设方案应分别通过上一级机构业务与科技部门的审核、批准。
-
第二节计算机系统开发与集成
-
第五十八条计算机系统开发应符合人民银行信息化架构规划,依据安全需求进行安全设计,保证安全功能的完整实现。
-
第五十九条计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交人民银行科技部门。外部开发单位还应与人民银行承担单位(部门)签署相关知识产权保护协议和保密协议,不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。
-
第六十条计算机系统的开发人员不能兼任系统管理员或业务操作人员,不得在程序中设置后门或恶意代码程序。
-
第六十一条计算机系统开发、测试不得在生产环境中进行。测试环境与生产环境应安全隔离,防范安全威胁经由测试环境影响生产环境。
-
第六十二条涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位,并签订严格的保密协议。
-
第三节计算机系统运行
-
第六十三条各单位计算机系统上线运行实行安全审查制度,未通过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下:
(一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试,测试报告报科技部门审查。
(二)计算机系统应用部门应在计算机系统投产前,同步制定相关安全操作规程,报科技部门备案。
(三)科技部门应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施计算机系统漏洞扫描检测。
(四)各单位自主开发的应用程序,未经上一级科技部门批准,不得运行在上一级机构数据中心资源环境中。
-
第六十四条各单位科技部门应明确各计算机系统的系统管理员,具体负责计算机系统的日常运行管理,定期检查系统日志,并建立重要计算机系统运行维护档案,详细记录系统变更及操作过程。重要计算机系统的系统设置要求至少双人在常
-
第六十五条系统管理员不得兼任业务操作人员。系统管理员不得对业务数据进行任何增加、删除、修改、查询等操作。系统管理员确需对计算机系统数据库进行技术维护性操作的,应征得业务部门书面同意,在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
-
第六十六条未经业务主管部门领导书面批准,任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改和删除业务操作人员身份、口令和业务数据等信息,不得擅自改变用户权限。
-
第四节业务操作
-
第六十七条业务部门负责计算机系统用户和权限设定,必要时,提请科技部门进行设定操作。
-
第六十八条业务操作人员应严格按照安全操作规程进行业务操作、数据备份,并配合科技部门保障信息安全。
-
第六十九条业务操作人员设置本人口令密码后要妥善保管,并按照相关规定要求定期更换。
-
第七十条根据业务制约要求,业务数据的录入、复核分岗设立,特别重要的业务数据录入,应增设审查岗。以上岗位不得由一人兼任。
-
第七十一条业务操作人员离开操作用机时,应注销或锁屏。
-
第五节计算机系统废止
-
第七十二条实行计算机系统废止申报、备案制度。使用计算机系统的业务部门根据需要,向科技部门提出废止申请,由科技部门组织进行安全检查后予以废止,同时备案。
-
第七十三条需要废止的计算机系统内的数据信息,应由科技部门使用专用工具进行消除处理。如废止计算机设备不再使用或调配到人民银行以外的单位,应由科技部门对其数据信息存储设备进行消磁或物理粉碎等不可恢复性销毁处理。
-
第七章客户端安全管理
-
第七十四条本规定所称客户端,是指人民银行计算机用户、网络与信息系统所使用的终端设备,包括各类有线或无线、桌面或便携设备。
-
第七十五条客户端应安装和使用正版软件,不得安装和使用与工作无关的软件。
-
第七十六条客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保及时更新病毒特征码并安装必要的补丁程序。
-
第七十七条确因工作需要经授权可远程接入内部网络的用户,应妥善保管其身份认证介质及口令密码,不得转借他人使用。
-
第八章信息安全产品、服务管理
-
第一节资质审查与选型购置
-
第七十八条本规定所称信息安全产品,是指人民银行安装使用的信息安全软件、硬件产品。本规定所称信息安全服务,是指人民银行向社会购买的专业化信息安全服务。
-
第七十九条总行科技主管部门负责信息安全服务提供商的资质审查和信息安全产品的选型,由各单位集中采购部门按照集中采购程序选购。
-
第八十条各单位购置扫描、检测类信息安全产品应报总行科技主管部门批准、备案。
-
第二节使用管理
-
第八十一条各单位科技部门应建立信息安全产品资产登记机制,建立信息安全类固定资产登记簿并由专人负责管理。扫描、检测类信息安全产品仅限于本单位信息安全管理人员使用。
-
第八十二条各单位科技部门应随时检查各类信息安全产品使用情况,认真查看相关日志和报表信息并定期汇总分析。若发现重大问题,立即采取控制措施并按规定程序报告。
-
第八十三条各类信息安全产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少3个月。
-
第八十四条各单位科技部门应及时升级维护信息安全产品,凡超过使用期限的或不能继续使用的信息安全产品,要按照固定资产报废审批程序处理。
-
第八十五条防火墙、入侵检测等信息安全产品原则上应在本地配置。如需要进行远程配置,科技部门或经科技部门授权的人员可在采取了必要的安全控制措施的可信网络内进行相关操作。
-
第九章文档、数据与密码应用安全管理
-
第一节技术文档
-
第八十六条本规定所称技术文档,是指人民银行网络、计算机系统和机房环境等建设与运行维护过程中形成的各种技术资料,包括纸质文档、电子文档、视频和音频文件等。
-
第八十七条各单位科技部门负责将技术文档统一归档,实行借阅登记制度。未经科技部门领导批准,任何人不得将技术文档转借、复制或对外公开。
-
第二节存储介质
-
第八十八条各单位应做好磁带、移动存储介质(含光盘、磁盘、半导体存储介质)、缩微胶片等存储介质管理工作。所有存储介质应保存在安全的物理环境中,并有明晰的标识。应建立重要数据多重备份机制,其中至少1份备份介质应存放于科技部门指定的同城或异地安全区域。
-
第八十九条各单位应做好存储介质在物理传输过程中的安全控制,应选择安全可靠的传递、交接方式,做好防信息泄露控制措施。重要信息的存取需要授权和登记。
-
第九十条所有部门和个人应加强对移动存储介质和笔记本电脑的管理。
-
第九十一条各单位要严格管理移动存储介质,定期核查所配发移动存储介质的在位使用情况,严禁违规使用移动存储介质。
-
第九十二条各单位应建立和加强存储介质销毁工作制度。对载有敏感信息存储介质的销毁,应报保密部门备案,由科技部门使用专用工具进行信息消除、消磁或物理粉碎等销毁处理,并做好相应的销毁记录。信息消除处理仅限于存储介质仍将在人民银行内部使用的情况,否则应进行信息的不可恢复性销毁。
-
第三节数据安全
-
第九十三条本规定中所称的数据,是指以电子形式存储的人民银行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
-
第九十四条各单位业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技部门负责审核安全需求并提供一定的技术实现手段。
-
第九十五条各单位业务部门应严格管理业务数据的增加、删除、修改等变更操作,按照既定备份策略执行数据备份操作,并在科技部门的配合下,定期测试备份数据的有效性。
-
第九十六条各单位应定期导出重要计算机系统业务日志文件,并加以明确标识。日志文件应至少妥善保存3个月。
-
第九十七条各单位业务部门应明确规定备份数据的保存期限,做好备份数据的销毁审查和登记工作。
-
第九十八条所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
-
第四节口令密码
-
第九十九条各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码,至少每3个月更换一次。口令密码的强度应满足不同安全性要求。
-
第一百条敏感计算机系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码纸质密封交相关部门保管。未经科技部门主管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。
-
第一百零一条各单位应根据实际情况在一定时限内妥善保管重要计算机系统升级改造前的口令密码。
-
第五节密码技术应用管理
-
第一百零二条人民银行涉密网络和计算机系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据人民银行实际需求和统一安全策略,合理选择加密措施。
-
第一百零三条各单位选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合人民银行的相关安全要求。
-
第一百零四条各单位应建立严格的密钥管理体制,密码管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。
-
第一百零五条各单位应在安全环境中进行关键密钥的备份工作,并设置遇紧急情况下密钥自动销毁功能。
-
第一百零六条各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
-
第十章第三方访问和服务外包安全管理
-
第一节第三方访问控制
-
第一百零七条本规定所称第三方访问,是指人民银行之外的单位和个人物理访问人民银行计算机机房或者通过网络连接逻辑访问人民银行数据库和计算机系统等活动。
-
第一百零八条各单位科技部门负责非涉密计算机系统和网络相关的第三方访问授权审批。未经人民银行授权的任何第三方访问均视为非法入侵行为。
-
第一百零九条允许被第三方访问的人民银行计算机系统和网络资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。
-
第一百一十条获得第三方访问授权的所有单位和个人应与人民银行签订安全保密协议,不得进行未授权的增加、删除、修改、查询数据操作,不得复制和泄露人民银行的任何信息。
-
第二节服务外包管理
-
第一百一十一条本规定所称服务外包,是指外部厂商为人民银行网络和计算机系统提供技术支持、咨询等服务。服务外包应签订正式的服务外包协议,明确约定双方的权利和义务。
-
第一百一十二条服务外包人员进行现场技术支持服务时,应事先提交计划操作内容。人民银行人员应在现场陪同服务外包人员,核对操作内容并准确记录实际操作内容。涉及敏感操作(如输入用户口令等)应由人民银行人员进行操作。服务外包人员不得查看、复制或带离任何敏感信息。
-
第一百一十三条计算机设备确需送外单位维修时,各单位科技部门应彻底清除所存的工作相关信息,必要时应与设备维修厂商签订保密协议。与密码设配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
-
第十一章信息通报、灾难备份与应急管理
-
第一节信息通报
-
第一百一十四条各单位应按照人民银行信息安全报告制度进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因等造成的信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(以下简称重大信息安全事件)应直接报总行突发事件应急处置指挥部,同时抄报科技主管部门。
-
第一百一十五条重大信息安全事件发生后,各单位相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
-
第一百一十六条各单位应在重大信息安全事件发生后,按照人民银行信息安全报告制度报上一级科技部门,并按照相关规定由上级科技部门或本单位决定是否发布预警信息或启动应急预案。
-
第二节灾难备份管理
-
第一百一十七条本规定所称灾难,是指由于人为或自然的原因,造成信息系统严重故障、瘫痪或其数据严重受损,使信息系统支持的业务功能停顿或服务水平达到不可接受的程度,并持续特定时间的突发性事件。本规定所称灾难备份,是指为了将信息系统从灾难造成的业务不可运行状态或服务不可接受状态恢复到可业务正常运行状态,而对数据、数据处理系统、网络系统、基础设施、业务和技术等相关人员进行备份的措施。
-
第一百一十八条总行科技部门将按照“统筹安排、资源共享、平战结合”的原则,负责人民银行重要信息系统灾难备份的统一规划、实施和管理。
-
第一百一十九条总行业务司局负责提出计算机系统灾难备份需求,明确可接受的业务中断时间和数据丢失量。总行科技部门据此确定灾难备份等级和备份方案。
-
第一百二十条各单位应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由总行相关部门统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
-
第一百二十一条在规划建设计算机系统时,应同步考虑灾难备份系统建设的可行性。
-
第三节应急管理
-
第一百二十二条应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。
-
第一百二十三条各单位应根据安全评估结果,定期修改机房环境、网络和计算机系统等应急预案。业务处理系统应急预案的编制工作应由相关业务部门和科技部门共同完成。
-
第一百二十四条应急预案应至少包括应急组织机构、应急响应流程和应急资源保障等内容。
-
第一百二十五条各单位定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。
-
第一百二十六条各单位突发事件应急处置领导小组统一领导计算机系统的应急管理工作,指挥、决策重大应急处置事宜,并协调应急资源。
-
第一百二十七条总行办公厅负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
-
第十二章安全监测、检查、评估与审计
-
第一节安全监测
-
第一百二十八条各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运日志等监控资源,加强对机房环境、网络和重要计算机系统的安全运行监测。
-
第一百二十九条各单位科技部门应建立计算机系统运行监测周报、月报或季报制度,统计分析运行状况。
-
第一百三十条各单位要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
-
第二节安全检查
-
第一百三十一条各单位科技部门应严格落实信息安全检查相关规定,按要求定期开展检查工作。
-
第一百三十二条安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。
-
第一百三十三条各单位应将每次安全检查报告和整改落实情况整理汇总后,报上一级机构科技部门备案。
-
第三节安全评估
-
第一百三十四条地(市)中心支行以上单位科技部门可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内信息系统的安全评估。
-
第一百三十五条安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见,并报本单位科技部门主管领导。
-
第一百三十六条各单位如聘请第三方机构进行安全评估,应报总行科技主管部门批准,并与第三方机构签订安全保密协议。本单位信息安全管理人员全程参与评估过程并实施监督。
-
第一百三十七条各单位应妥善保管信息安全评估相关信息,未经本单位计算机安全工作领导小组同意,不得对外公开。
-
第四节安全审计
-
第一百三十八条各单位科技部门在支持与配合内审部门开展信息系统审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时上报。
-
第一百三十九条计算机系统开发单位应基于策略,开启操作系统审计功能,并按照总行科技主管部门相关要求,开启相应系统数据库审计功能。计算机系统运行单位应定期查看审计日志信息,并进行相应处置。
-
第十三章考核与奖惩
-
第一百四十条各单位计算机系统信息安全管理情况纳入考核。各单位每年对本单位和辖内计算机系统信息安全管理工作中业绩突出的单位和个人给予一定形式的表彰。
-
第一百四十一条对于违反本规定,造成重大信息安全事件的单位及个人,要给予通报批评;触犯法律法规的,依据相关法律法规追究相关责任人的责任;构成犯罪的,依法追究刑事责任。
-
第十四章附则
-
第一百四十二条人民银行之前发布的其他信息安全管理制度有关规定条款与本规定不一致的,按本规定执行。原《中国人民银行信息安全管理规定》(银发[2005]211号文印发)废止。
-
第一百四十三条各单位应依据本规定,制定相应的实施细则。
-
第一百四十四条本规定由总行负责解释和修订。
- 第一百四十五条本规定自发布之日起执行。