中国人民银行信息安全管理规定.docx

中国人民银行信息安全管理规定 中国人民银行信息平安管理规定 第一条 为强化人民银行信息平安管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统平安和稳定运行，依据中华人民共和国计算机信息系统平安爱护条例、金融机构计算机信息系统平安爱护工作暂行规定等规定，特制定本规定。 第一章 总则 其次条 本规定所称信息平安管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作平安的一系列管理活动。 第三条 人民银行信息平安管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息平安管理，负责总行机关的信息平安管理。分支机构负责本单位和辖内的信息平安管理，各直属企事业单位负责本单位的信息平安管理。 第四条 人民银行信息平安管理实行分管领导负责制，根据“谁主管谁负责，谁运行谁负责，谁运用谁负责”的原则，逐级落实单位与个人信息平安责任制。 第五条 本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。全部运用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。 其次章 组织保障 第六条 各单位应设立由本单位领导和相关部门主要负责人组成的计算机平安工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息平安管理工作，决策本单位及辖内信息平安重大事宜。 第七条 各单位科技部门应设立信息平安管理部门或岗位。总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息平安管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息平安管理岗位。 - 1人员的配备和变更状况应刚好报上一级科技部门备案。信息平安管理人员调离原岗位时应办理交接手续，并履行其调离后的保密义务。 其次节 部门计算机平安员 第十五条 各部门应指派素养好、较熟识计算机学问的人员担当部门计算机平安员，并报本单位科技部门备案。如有变更应做好交接工作，并刚好通报科技部门。 第十六条 部门计算机平安员协作信息平安管理人员工作，并参与各项信息平安技能培训。 第十七条 部门计算机平安员在如下职责范围内开展工作： （一） 负责本部门计算机病毒防治工作，监督检查本部门客户端平安管理状况。 （二） 负责提出本部门信息平安保障需求，刚好与信息平安管理人员沟通信息平安信息。 （三） 负责本部门国际互联网运用和接入平安管理，组织开展本部门信息平安自查，帮助科技部门完成对本部门的信息平安检查工作。 第三节 技术支持人员 第十八条 本规定所称技术支持人员，是指参加人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第十九条 人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应担当如下平安义务： （一）不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问，未经业务主管部门授权不得擅自变更系统设臵或修改系统生成的任何数据。 （二）主动检查和监控生产系统平安运行状况，发觉平安隐患或故障刚好报告本部门主管领导，并刚好响应、处臵。 （三）严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制度，做好数据备份工作。 - 3第四章 机房环境和设备资产管理 第一节 机房平安管理 其次十六条 本规定所称机房是指计算机系统等主要设备放臵、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 其次十七条 各单位机房的规划、建设、改造、运行、维护由科技部门负责，相关设备选购纳入政府集中选购。机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫部门协商确定。 其次十八条 各单位原则上只建设一个符合国家计算机机房有关标准和人民银行相关规定的计算机机房，为全部业务部门供应机房基础设施服务。 其次十九条 机房建设、改造的方案应报上一级科技部门备案。必要时，由上一级机构科技部门会同会计、保卫等部门进行审核。 第三十条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工阅历的专业化公司，其中总行、分行、营业管理部、省会（首府）城市中心支行、安排单列市中心支行的机房建设或改造应选择具有国家贰级或贰级以上资质同时具有三年以上专业从事计算机机房装修装饰阅历的专业公司。重要机房建设或改造工程应引入监理制度。 第三十一条 总行、分行、营业管理部、省会（首府）城市中心支行应建立机房设施与场地环境监控系统，对机房空调、消防、不间断电源（UPS）、供配电、门禁系统等重要设施实行全面监控。 第三十二条 各单位机房投入运用前，应经过当地公安消防部门的消防验收和本单位科技、保卫与会计部门组织的验收，并出具明确结论的验收报告。未阅历收或验收不合格的机房均不得投入运用。 第三十三条 各单位应建立健全机房管理制度，并指派专人担当机房管理员，落实机房平安责任制。机房管理员应经过相关专业培训，熟知机房各类设备的分布和操作要领，定期巡查机房，发觉问题刚好报告。 - 5(二) 具备必要的网络监测、跟踪和审计等管理功能。 (三) 针对不同的网络平安域，实行必要的平安隔离措施。 其次节 网络运行平安管理 第四十二条 各单位科技部门应建立健全网络平安运行制度，配备专（兼）职网络管理员。网络管理员负责日常监测和检查网络平安运行状况，管理网络资源及其配臵信息，建立健全网络运行维护档案，刚好发觉和解决网络异样状况。 第四十三条 网络管理员应定期参与网络平安技术培训，具备肯定的非法入侵、病毒扩散等网络平安威逼的应对技能，紧急状况下，经本部门主管领导授权后可实行“先断网、后处理”的紧急应对措施。 第四十四条 各单位科技部门应严格网络接入管理。任何设备接入网络前，接入方案、设备的平安性等应经过审核与必要的检测，审核（检测）通过后方可接入并安排相应的网络资源。 第四十五条 各单位科技部门应严格网络变更管理。网络管理员调整网络重要参数配臵和服务端口前，应书面请示本部门主管领导，变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更，应提前通知全部运用部门并支配在节假日进行，同时做好配臵参数的备份和应急复原打算。 第四十六条 各单位应严格远程访问限制。确因工作须要进行远程访问的部门和人员应向科技部门提出书面申请，并实行相应的平安防护措施。 第四十七条 信息平安管理人员经本部门主管领导批准，有权对本单位或辖内网络进行平安检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界供应。未经总行科技司授权，任何外部单位与人员不得检测、扫描人民银行内部网络。 第四十八条 各单位以不影响业务的正常网络传输为原则，合理限制多媒体网络应用规模和范围。未经总行科技司批准，不得在人民银行内部网络上供应跨辖区视频点播等严峻占用网络资源的多媒体网络应 - 7项目技术方案应包括以下基本平安内容： （一）业务需求部门提出的平安需求。 （二） 平安需求分析和实现。 （三）运行平台的平安策略与设计。 第五十七条 各单位科技部门负责对项目技术方案进行平安专项审查并提出审查看法，未通过平安审核的项目不得予以立项。 其次节 计算机系统开发与集成 第五十八条 计算机系统开发应符合软件工程规范，依据平安需求进行平安设计，保证平安功能的完整实现。 第五十九条 计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交人民银行科技部门。外部开发单位还应与人民银行签署相关学问产权爱护协议和保密协议，不得将计算机系统采纳的关键平安技术措施和核心平安功能设计对外公开。 第六十条 计算机系统的开发人员不能兼任计算机系统管理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。 第六十一条 计算机系统开发、测试、修改工作不得在生产环境中进行。 第六十二条 涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。 第三节 计算机系统运行 第六十三条 各单位计算机系统上线运行实行平安审查制度，未通过平安审查的任何新建或改造计算机系统不得投产运行。详细要求如下： （一） 项目担当单位（部门）应组织制定平安测试方案，进行系统上线前的自测试并形成测试报告，报科技部门审查。 （二） 计算机系统应用部门应在计算机系统投产运行前同步制定相关平安操作规定，报科技部门备案。 （三） 科技部门应提出明确的测试方案和测试报告审查看法。必 - 9第七十三条 对已经废止的计算机系统软件和数据备份介质，科技部门按业务规定在肯定期限内妥当保存。超过保存期限后须要销毁的，应在本单位保密工作委员会监督下予以不行复原性销毁。 第七章 客户端平安管理 第七十四条 本规定所称客户端是指人民银行计算机用户、网络与信息系统所运用的终端设备，包括联网桌面终端、柜面终端、单机运行（哑）终端、远程接入终端、便携式计算机等。 第七十五条 各单位应建立完善的客户端管理制度，记录全部客户端设备信息和软件配臵信息。 第七十六条 客户端应安装和运用正版软件，不得安装和运用盗版软件，不得安装和运用与工作无关的软件。 第七十七条 客户端应统一安装病毒防治软件，设臵用户密码和屏幕爱护口令等平安防护措施，确保安装最新的病毒特征码和必要的补丁程序。 第七十八条 确因工作须要经授权可远程接入内部网络的用户，应严格保存其身份认证介质及口令密码，不得转借其他人运用。 第八章 信息平安专用产品、服务管理 第一节 资质审查与选型购臵 第七十九条 本规定所称信息平安专用产品，是指人民银行安装运用的专用平安软件、硬件产品。本规定所称信息平安服务，是指人民银行向社会购买的专业化平安服务。 第八十条 总行科技司负责信息平安服务供应商的资质审查和信息平安专用产品的选型，由集中选购部门根据政府集中选购程序选购。 第八十一条 各单位购臵扫描、检测类信息平安专用产品应报总行科技司批准、备案。 其次节 运用管理 第八十二条 各单位科技部门应建立信息平安专用产品登记运用制度，建立信息平安类固定资产运用登记簿并由专人负责管理。扫描、 - 11第九十一条 各单位全部部门和个人应加强对移动存储设备（盘、软盘、移动硬盘）的管理。 第九十二条 各单位应建立存储介质销毁制度，对载有敏感信息的存储介质应采纳焚烧或粉碎等方式进行处臵并做好记录。 第三节 数据平安 第九十三条 本规定中所称的数据是指以电子形式存储的人民银行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。 第九十四条 各单位业务部门负责提出数据在输入、处理、输出等不同状态下的平安需求，科技部门负责审核平安需求并供应肯定的技术实现手段。 第九十五条 各单位业务部门应严格管理业务数据的增加、修改、删除等变更操作，适时进行业务数据有效性检查，根据既定备份策略执行数据备份任务，并定期测试备份数据的有效性和预演数据复原流程。 第九十六条 各单位科技部门系统管理员负责定期导出网络和重要计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年，妥当保管。 第九十七条 各单位业务部门应明确规定备份数据的保存时限和密级，建立备份数据销毁审批登记制度，并依据数据重要性级别分类实行相应的平安销毁措施。 第九十八条 全部数据备份介质应留意防磁、防潮、防尘、防高温、防挤压存放。复原及运用备份数据时须要供应相关口令密码的，应把口令密码密封后与数据备份介质一并妥当保管。 第四节 口令密码 第九十九条 各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设臵口令密码，至少每三个月更换一次。口令密码的强度应满意不同平安性要求。 第一百条 敏感计算机系统和设备的口令密码设臵应在平安的环境下进行，必要时应将口令密码笔录、密封交相关部门保管。未经科 - 13应建立存取限制机制、认证机制，列明全部用户名单及其权限，严格监督第三方访问活动。 第一百一十条 获得第三方访问授权的全部单位和个人应与人民银行签订平安保密协议，不得进行未授权的修改、增加、删除数据操作，不得复制和泄漏人民银行任何信息。 其次节 外包服务管理 第一百一十一条 本规定所称外包服务是指由人民银行之外的其他社会厂商为人民银行计算机系统、网络或桌面环境供应全面或部分的技术支持、询问等服务。外包服务应签订正式的外包服务协议，明确约定双方义务。 第一百一十二条 经本单位科技部门领导批准，外包服务供应商可供应上门维护服务并由人民银行科技人员在场精确记录全部技术配臵变更信息。外包服务供应商不得查看、复制涉密信息或将涉密介质带离人民银行。 第一百一十三条 计算机设备确需送外单位修理时，各单位科技部门应彻底清除所存工作信息，必要时应与设备修理厂商签订保密协议。与密码设备配套运用的计算机设备送修前必需请生产设备的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。 第十一章 信息通报、灾难备份与应急管理 第一节 信息通报 第一百一十四条 各单位应根据人民银行信息平安事务报告制度进行信息通报，一般信息平安事务应逐级通报，发生因人为、自然缘由造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息平安事务（下称“重大信息平安事务”）应干脆报总行科技司。 第一百一十五条 重大信息平安事务发生后，各单位相关人员应留意爱护事务现场，实行必要的限制措施，调查事务缘由，并刚好报告本单位主管领导。 第一百一十六条 各单位应在重大信息平安事务发生后的两小时 - 15 （一） （二） （三） （四） （五） （六） （七） 总则（目标、原则、适用范围、预案调用关系等）。 应急组织机构。 预警响应机制（报告、评估、预案启动等）。 各类危机处臵流程。 应急资源保障。 事后处理流程。 预案管理与维护（生效、演练、维护等）。 第一百二十五条 各单位定期组织应急预案的演练，并指定专人管理和维护应急预案，依据人员、信息资源等变动状况以及演练状况适时予以更新和完善，确保应急预案的有效性和灾难发生时的可获得性。 第一百二十六条 各单位计算机平安工作领导小组统一负责各业务系统的应急协调与指挥，决策重大事宜（确定应急预案的启动、灾难宣告、预警相关单位等）和调动应急资源。 第一百二十七条 总行办公厅负责统一向社会发布应急事务公告，其他任何单位或个人不得向社会发布应急事务公告。 第十二章 平安监测、检查、评估与审计 第一节 平安监测 第一百二十八条 各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用平安监控系统以及相关设备与系统的运行日志等监控资源，加强对网络、重要计算机系统和机房环境等设施的平安运行监测。 第一百二十九条 各单位科技部门应建立运行监测周报、月报或季报制度，报送本单位计算机平安工作领导小组和上一级科技部门，抄送相关业务部门。 第一百三十条 各单位要刚好预警、响应和处臵运行监测中发觉的问题，发觉重大隐患和运行事故应刚好协调解决，并报上一级单位相关部门。 其次节 平安检查 - 17管理和信息平安事务全过程的技术审计，发觉问题刚好报本单位或上一级单位主管领导。 第一百四十条 各单位应做好操作系统、数据库管理系统等审计功能配臵管理，应完整保留相关日志记录，一般保留至少一个月，涉及资金交易的业务系统日志应依据须要确定保留时间。 第十三章 嘉奖与惩罚 第一百四十一条 各单位每年应组织一次本单位和辖内信息平安管理工作评比活动，对达标单位的相关人员应赐予肯定的嘉奖，对表现突出的单位和个人进行通报表彰并赐予肯定形式的嘉奖。 第一百四十二条 对于违反本规定，造成重大信息平安事务的单位及个人，要赐予通报指责；情节严峻的，依据相关法律法规，追究其主管领导、相关部门负责人及干脆责任人的责任；构成犯罪的，依法追究刑事责任。 第十四章 附 则 第一百四十三条 人民银行之前发布的其他信息平安管理制度有关规定条款如与本规定不一样的，按本规定执行。 第一百四十四条 本规定由总行负责说明。 第一百四十五条 本规定自发布之日起执行。 - 19 - 中国人民银行信息平安管理规定 中国人民银行信息平安管理规定 中国人民银行枪支管理规定 中国人民银行 中国人民银行 中国人民银行 中国人民银行 中国人民银行考试 中国人民银行令 中国人民银行2 本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第18页 共18页第 18 页 共 18 页第 18 页 共 18 页第 18 页 共 18 页第 18 页 共 18 页第 18 页 共 18 页第 18 页 共 18 页第 18 页 共 18 页第 18 页 共 18 页第 18 页 共 18 页第 18 页 共 18 页