中国人民银行信息安全管理相关规定18845.docx

《中国人民银行信息安全管理相关规定18845.docx》由会员分享，可在线阅读，更多相关《中国人民银行信息安全管理相关规定18845.docx（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国人民民银行信信息安全全管理规规定第一章 总则 第一条 为强化人人民银行行信息安安全管理理，防范范计算机机信息技技术风险险，保障障人民银银行计算算机网络络与信息息系统安安全和稳稳定运行行，根据据中华华人民共共和国计计算机信信息系统统安全保保护条例例、金金融机构构计算机机信息系系统安全全保护工工作暂行行规定等等规定，特特制定本本规定。第二条 本规定所所称信息息安全管管理，是是指在人人民银行行信息化化项目立立项、建建设、运运行、维维护及废废止等过过程中保保障计算算机信息息及其相相关系统统、环境境、网络络和操作作安全的的一系列列管理活活动。第三条 人民银行行信息安安全管理理工作实实行统一一领导和和

2、分级管管理。总总行统一一领导分分支机构构和直属属企事业业单位的的信息安安全管理理，负责责总行机机关的信信息安全全管理。分分支机构构负责本本单位和和辖内的的信息安安全管理理，各直直属企事事业单位位负责本本单位的的信息安安全管理理。第四条 人民银行行信息安安全管理理实行分分管领导导负责制制，按照照“谁主管管谁负责责，谁运运行谁负负责，谁谁使用谁谁负责”的原则则，逐级级落实单单位与个个人信息息安全责责任制。第五条 本规定适适用于人人民银行行总行机机关、各各分支机机构和直直属企事事业单位位（以下下统称“各单位位”）。所所有使用用人民银银行网络络或信息息资源的的其他外外部机构构和个人人均应遵遵守本规规定

3、。第二章 组织保障障第六条 各单位应应设立由由本单位位领导和和相关部部门主要要负责人人组成的的计算机机安全工工作领导导小组，办办公室设设在本单单位科技技部门，负负责协调调本单位位及辖内内信息安安全管理理工作，决决策本单单位及辖辖内信息息安全重重大事宜宜。第七条 各单位科科技部门门应设立立信息安安全管理理部门或或岗位。总总行机关关、分行行、营业业管理部部、省会会（首府府）城市市中心支支行、副副省级城城市中心心支行科科技部门门配备专专职信息息安全管管理人员员，实行行A、BB岗制度度；地（市市）中心心支行和和县（市市）支行行设立信信息安全全管理岗岗位。第八条 除科技部部门外，各各单位其其他部门门均应

4、指指定至少少一名部部门计算算机安全全员，具具体负责责本部门门的信息息安全管管理，协协同科技技部门开开展信息息安全管管理工作作。第三章 人员管理理第九条 各单位工工作人员员根据不不同的岗岗位或工工作范围围，履行行相应的的信息安安全保障障职责。第一节 信息息安全管管理人员员第十条 各单位应应选派政政治思想想过硬、具具有较高高计算机机水平的的人员从从事信息息安全管管理工作作。凡是是因违反反国家法法律法规规和人民民银行有有关规定定受到过过处罚或或处分的的人员，不不得从事事此项工工作。第十一条 各单位信信息安全全管理人人员应经经过总行行或分行行、营业业管理部部、省会会（首府府）城市市中心支支行组织织的专

5、业业培训与与审核，培培训与审审核合格格后方可可上岗。上上岗后，每每年至少少参加一一次信息息安全专专业培训训。第十二条 各单位信信息安全全管理人人员在如如下职责责范围内内开展本本单位信信息安全全管理工工作：（一） 组织落实实上级信信息安全全管理规规定，制制定信息息安全管管理制度度，协调调部门计计算机安安全员工工作，监监督检查查信息安安全保障障工作。（二） 审核信息息化建设设项目中中的安全全方案，组组织实施施信息安安全保障障项目建建设，维维护、管管理信息息安全专专用设施施。（三） 检测网络络和信息息系统的的安全运运行状况况，检查查运行操操作、备备份、机机房环境境与文档档等安全全管理情情况，发发现问

6、题题，及时时通报和和预警，并并提出整整改意见见。统计计分析和和协调处处置信息息安全事事件。（四） 定期组织织信息安安全宣传传教育活活动，开开展信息息安全检检查、评评估与培培训工作作。第十三条 信息安全全管理人人员在履履行职责责时，确确因工作作需要查查询相关关涉密信信息，须须经本单单位主管管同意后后向保密密工作委委员会办办公室提提交申请请，获得得批准后后方可查查询。第十四条 信息安全全管理人人员实行行备案管管理制度度。信息息安全管管理人员员的配备备和变更更情况应应及时报报上一级级科技部部门备案案。信息息安全管管理人员员调离原原岗位时时应办理理交接手手续，并并履行其其调离后后的保密密义务。第二节

7、部门门计算机机安全员员第十五条 各部门应应指派素素质好、较较熟悉计计算机知知识的人人员担任任部门计计算机安安全员，并并报本单单位科技技部门备备案。如如有变更更应做好好交接工工作，并并及时通通报科技技部门。第十六条 部门计算算机安全全员配合合信息安安全管理理人员工工作，并并参加各各项信息息安全技技能培训训。第十七条 部门计算算机安全全员在如如下职责责范围内内开展工工作：（一） 负责本部部门计算算机病毒毒防治工工作，监监督检查查本部门门客户端端安全管管理情况况。（二） 负责提出出本部门门信息安安全保障障需求，及及时与信信息安全全管理人人员沟通通信息安安全信息息。（三） 负责本部部门国际际互联网网使

8、用和和接入安安全管理理，组织织开展本本部门信信息安全全自查，协协助科技技部门完完成对本本部门的的信息安安全检查查工作。 第第三节 技术术支持人人员第十八条 本规定所所称技术术支持人人员，是是指参与与人民银银行网络络、计算算机系统统、机房房环境等等建设、运运行、维维护的内内部技术术支持人人员和外外包服务务人员。第十九条 人民银行行内部技技术支持持人员在在履行网网络和信信息系统统建设和和日常运运行维护护职责过过程中，应应承担如如下安全全义务： （一） 不得对外外泄漏或或引用工工作中触触及的任任何敏感感信息。严严格权限限访问，未未经业务务主管部部门授权权不得擅擅自改变变系统设设置或修修改系统统生成的

9、的任何数数据。（二） 主动检查查和监控控生产系系统安全全运行状状况，发发现安全全隐患或或故障及及时报告告本部门门主管领领导，并并及时响响应、处处置。（三） 严格操作作管理、测测试管理理、应急急管理、配配置管理理、变更更管理、档档案管理理等工作作制度，做做好数据据备份工工作。第二十条 外部技术术支持人人员应严严格履行行外包服服务合同同（协议议）的各各项安全全承诺。提提供技术术服务期期间，严严格遵守守人民银银行相关关安全规规定与操操作规程程，关键键操作应应经授权权，并有有人民银银行内部部员工在在场。不不得拷贝贝或带走走任何配配置参数数信息或或业务数数据，不不得对外外泄漏或或引用任任何工作作信息。第

10、四节 业务务系统操操作人员员第二十一条 本规定所所称业务务系统操操作人员员是指直直接操作作业务系系统进行行业务处处理的业业务部门门工作人人员。第二十二条 业务系统统操作人人员应承承担如下下安全义义务：（一） 严格规程程操作，防防止误操操作。定定期修改改操作密密码并妥妥善保管管，按需需、适时时进行必必要的数数据备份份。（二） 发现业务务系统出出现异常常及时报报告科技技部门。（三） 不得在操操作终端端上安装装与业务务系统无无关的软软件和硬硬件，不不得擅自自修改业业务系统统及其运运行环境境参数设设置。第二十三条 业务系统统操作应应按照“权限分分散、不不得交叉叉任职”原则，严严格进行行操作角角色划分分

11、和授权权管理。技技术支持持人员不不得兼任任业务系系统操作作人员。第五节 一般般计算机机用户第二十四条 本规定所所称一般般计算机机用户是是指使用用计算机机设备的的所有人人员。第二十五条 一般计算算机用户户应承担担如下安安全义务务：（一） 及时更新新所用计计算机的的病毒防防治软件件和安装装补丁程程序，自自觉接受受本部门门计算机机安全员员的指导导与管理理。（二） 不得安装装与办公公和业务务处理无无关的其其他计算算机软件件和硬件件，不得得修改系系统和网网络配置置参数。（三） 未经科技技部门检检测和授授权，不不得将接接入人民民银行内内部网络络的所用用计算机机转接入入国际互互联网；不得将将便携式式计算机机

12、接入人人民银行行内部网网络；不不得随意意将个人人计算机机带入机机房或私私自拷贝贝任何信信息。第四章 机房环境境和设备备资产管管理第一节 机房房安全管管理第二十六条 本规定所所称机房房是指计计算机系系统等主主要设备备放置、运运行场所所以及供供配电、通通信、空空调、消消防、监监控等配配套环境境设施。第二十七条 各单位机机房的规规划、建建设、改改造、运运行、维维护由科科技部门门负责，相相关设备备采购纳纳入政府府集中采采购。机机房的消消防、视视频监视视录像、防防雷、门门禁等子子系统的的规划、建建设、运运行和维维护由科科技部门门和保卫卫部门协协商确定定。第二十八条 各单位原原则上只只建设一一个符合合国家

13、计计算机机机房有关关标准和和人民银银行相关关规定的的计算机机机房，为为所有业业务部门门提供机机房基础础设施服服务。第二十九条 机房建设设、改造造的方案案应报上上一级科科技部门门备案。必必要时，由由上一级级机构科科技部门门会同会会计、保保卫等部部门进行行审核。第三十条 机房建设设或改造造应选择择具有国国家建筑筑装修装装饰工程程专业承承包资质质、两年年以上从从事计算算机机房房设计与与施工经经验的专专业化公公司，其其中总行行、分行行、营业业管理部部、省会会（首府府）城市市中心支支行、计计划单列列市中心心支行的的机房建建设或改改造应选选择具有有国家贰贰级或贰贰级以上上资质同同时具有有三年以以上专业业从

14、事计计算机机机房装修修装饰经经验的专专业公司司。重要要机房建建设或改改造工程程应引入入监理制制度。第三十一条 总行、分分行、营营业管理理部、省省会（首首府）城城市中心心支行应应建立机机房设施施与场地地环境监监控系统统，对机机房空调调、消防防、不间间断电源源（UPPS）、供供配电、门门禁系统统等重要要设施实实行全面面监控。第三十二条 各单位机机房投入入使用前前，应经经过当地地公安消消防部门门的消防防验收和和本单位位科技、保保卫与会会计部门门组织的的验收，并并出具明明确结论论的验收收报告。未未经验收收或验收收不合格格的机房房均不得得投入使使用。第三十三条 各单位应应建立健健全机房房管理制制度，并并

15、指派专专人担任任机房管管理员，落落实机房房安全责责任制。机机房管理理员应经经过相关关专业培培训，熟熟知机房房各类设设备的分分布和操操作要领领，定期期巡查机机房，发发现问题题及时报报告。机机房管理理员负责责保管机机房建设设或改造造的所有有文档、图图纸以及及机房运运行记录录等有关关资料，并并随时提提供调阅阅。第三十四条 建立机房房定期维维修保养养制度。易易受季节节、温度度等环境境因素影影响的设设备、已已逾保修修期的设设备、近近期维修修过的设设备等应应成为保保养的重重点。第二节 柜面面和核心心业务处处理环境境安全管管理第三十五条 向社会提提供公众众服务的的柜面和和核心业业务处理理环境应应严格出出入安

16、全全管理，应应安装门门禁、防防入侵报报警、视视频监视视录像系系统，实实行定时时录像监监控，并并适当配配置自动动监控报报警功能能。第三十六条 所有门禁禁、防入入侵报警警、视频频监视录录像系统统的信息息资料由由专人保保存至少少三个月月。第三节 设备备资产管管理第三十七条 各单位科科技部门门应建立立完备的的计算机机设备登登记制度度，严格格资产管管理，明明确计算算机设备备使用者者或管理理者及其其安全责责任。第三十八条 各单位科科技部门门应根据据计算机机设备重重要程度度采取不不同的安安全保护护措施，制制定完善善的访问问控制策策略，防防止未经经授权使使用设备备或信息息。有特特殊安全全要求的的计算机机设备应

17、应放置在在机房的的特殊功功能区，必必要时，单单独建立立门禁与与监控系系统，或或配备防防电磁泄泄漏的屏屏蔽装置置等。第五章 网络安全全管理第一节 网络规划划、建设设中的安安全管理理第三十九条 总行科技技司负责责网络和和网络安安全的统统一规划划、建设设部署、策策略配置置和网络络资源（网网络设备备、通讯讯线路、IIP地址址和域名名等）分分配。第四十条 各单位科科技部门门按照总总行科技技司的统统一规划划和总体体部署，组组织实施施网络建建设、改改造工程程。各单单位局域域网的建建设与改改造方案案应报上上一级科科技部门门审核、备备案，投投产前应应通过本本单位组组织的安安全测试试。第四十一条 各单位的的网络建

18、建设和改改造应符符合如下下基本安安全要求求：(一) 符合人民民银行网网络安全全管理要要求，保保障网络络传输与与应用安安全。(二) 具备必要要的网络络监测、跟跟踪和审审计等管管理功能能。(三) 针对不同同的网络络安全域域，采取取必要的的安全隔隔离措施施。第二节 网络运行行安全管管理第四十二条 各单位科科技部门门应建立立健全网网络安全全运行制制度，配配备专（兼兼）职网网络管理理员。网网络管理理员负责责日常监监测和检检查网络络安全运运行状况况，管理理网络资资源及其其配置信信息，建建立健全全网络运运行维护护档案，及及时发现现和解决决网络异异常情况况。第四十三条 网络管理理员应定定期参加加网络安安全技术

19、术培训，具具备一定定的非法法入侵、病病毒蔓延延等网络络安全威威胁的应应对技能能，紧急急情况下下，经本本部门主主管领导导授权后后可采取取“先断网网、后处处理”的紧急急应对措措施。第四十四条 各单位科科技部门门应严格格网络接接入管理理。任何何设备接接入网络络前，接接入方案案、设备备的安全全性等应应经过审审核与必必要的检检测，审审核（检检测）通通过后方方可接入入并分配配相应的的网络资资源。第四十五条 各单位科科技部门门应严格格网络变变更管理理。网络络管理员员调整网网络重要要参数配配置和服服务端口口前，应应书面请请示本部部门主管管领导，变变更信息息应做好好记录。实实施有可可能影响响网络正正常运行行的重

20、大大网络变变更，应应提前通通知所有有使用部部门并安安排在节节假日进进行，同同时做好好配置参参数的备备份和应应急恢复复准备。 第四十六条 各单位应应严格远远程访问问控制。确确因工作作需要进进行远程程访问的的部门和和人员应应向科技技部门提提出书面面申请，并并采取相相应的安安全防护护措施。第四十七条 信息安全全管理人人员经本本部门主主管领导导批准，有有权对本本单位或或辖内网网络进行行安全检检测、扫扫描和评评估。检检测、扫扫描和评评估结果果属敏感感信息，不不得向外外界提供供。未经经总行科科技司授授权，任任何外部部单位与与人员不不得检测测、扫描描人民银银行内部部网络。第四十八条 各单位以以不影响响业务的

21、的正常网网络传输输为原则则，合理理控制多多媒体网网络应用用规模和和范围。未未经总行行科技司司批准，不不得在人人民银行行内部网网络上提提供跨辖辖区视频频点播等等严重占占用网络络资源的的多媒体体网络应应用。第三节 网间互联联安全管管理第四十九条 本规定所所称网间间互联是是指为满满足人民民银行与与其他外外部机构构信息交交换或信信息共享享需求实实施的机机构间网网络互联联。第五十条 网间互联联由总行行科技司司统一规规划，按按照相关关标准组组织实施施。未经经总行科科技司核核准，任任何单位位不得自自行与外外部机构构实施网网间互联联。第四节 接入国际际互联网网管理第五十一条 人民银行行内部网网络与国国际互联联

22、网实行行安全隔隔离。所所有接入入人民银银行内部部网络或或存储有有敏感工工作信息息的计算算机，不不得直接接或间接接接入国国际互联联网。第五十二条 计算机接接入国际际互联网网应通过过本单位位保密工工作委员员会办公公室批准准，并确确保安装装有人民民银行选选定的防防病毒软软件和最最新补丁丁程序。科科技部门门凭相关关批准证证明实施施联网，并并做好备备案。曾曾接入人人民银行行内部网网络的计计算机需需改接入入国际互互联网前前应重新新办理以以上审批批手续，科科技部门门确保该该计算机机已删除除敏感工工作信息息后方可可实施接接入。第五十三条 未经科技技部门安安全检测测，曾接接入国际际互联网网的计算算机不得得直接接

23、接入人民民银行内内部网络络。从国国际互联联网下载载的任何何信息，未未经病毒毒检测不不得在内内部网络络上使用用。第五十四条 使用国际际互联网网的所有有用户应应遵守国国家有关关法律法法规和人人民银行行相关管管理规定定，不得得从事任任何违法法违规活活动。第六章 计算机系系统安全全管理第五十五条 本规定所所指的计计算机系系统是人人民银行行业务处处理系统统、管理理信息系系统和日日常办公公自动化化系统等等，包括括数据库库、软件件和硬件件支撑环环境等。第一节 计算机系系统规划划与立项项第五十六条 计算机系系统建设设项目应应在规划划与立项项阶段同同步考虑虑安全问问题，建建设方案案应满足足人民银银行信息息安全保

24、保障总体体规划的的相关要要求。项项目技术术方案应应包括以以下基本本安全内内容：（一）业业务需求求部门提提出的安安全需求求。（二） 安全需需求分析析和实现现。（三）运运行平台台的安全全策略与与设计。第五十七条 各单位科科技部门门负责对对项目技技术方案案进行安安全专项项审查并并提出审审查意见见，未通通过安全全审核的的项目不不得予以以立项。第二节 计算机系系统开发发与集成成第五十八条 计算机系系统开发发应符合合软件工工程规范范，依据据安全需需求进行行安全设设计，保保证安全全功能的的完整实实现。第五十九条 计算机系系统开发发单位应应在完成成开发任任务后将将程序源源代码及及其相关关技术文文档全部部移交人

25、人民银行行科技部部门。外外部开发发单位还还应与人人民银行行签署相相关知识识产权保保护协议议和保密密协议，不不得将计计算机系系统采用用的关键键安全技技术措施施和核心心安全功功能设计计对外公公开。第六十条 计算机系系统的开开发人员员不能兼兼任计算算机系统统管理员员或业务务系统操操作人员员，不得得在程序序代码中中植入后后门和恶恶意代码码程序。第六十一条 计算机系系统开发发、测试试、修改改工作不不得在生生产环境境中进行行。第六十二条 涉密计算算机系统统集成应应选择具具有国家家相关部部门颁发发的涉密密系统集集成资质质证书的的单位或或企业，并并签订严严格的保保密协议议。第三节 计算机系系统运行行第六十三条

26、 各单位计计算机系系统上线线运行实实行安全全审查制制度，未未通过安安全审查查的任何何新建或或改造计计算机系系统不得得投产运运行。具具体要求求如下：（一） 项目承担担单位（部部门）应应组织制制定安全全测试方方案，进进行系统统上线前前的自测测试并形形成测试试报告，报报科技部部门审查查。（二） 计算机系系统应用用部门应应在计算算机系统统投产运运行前同同步制定定相关安安全操作作规定，报报科技部部门备案案。（三） 科技部门门应提出出明确的的测试方方案和测测试报告告审查意意见。必必要时，可可组织专专家评审审或实施施计算机机系统漏漏洞扫描描检测。第六十四条 各单位科科技部门门应明确确系统管管理员，具具体负责

27、责计算机机系统的的日常运运行管理理，并建建立重要要计算机机系统运运行维护护档案，详详细记录录系统变变更及操操作过程程。重要要业务系系统的系系统设置置要求双双人在场场。第六十五条 系统管理理员不得得兼任业业务操作作人员。系系统管理理员确需需对业务务系统进进行维护护性操作作的，应应征得业业务部门门同意并并在业务务操作人人员在场场的情况况下进行行，并详详细记录录维护内内容、人人员、时时间等信信息。第六十六条 未经业务务主管部部门领导导书面批批准，其其他任何何人不得得擅自使使用业务务操作人人员用机机，不得得擅自设设置、分分配、使使用、修修改、删删除操作作员代码码、口令令和业务务数据，不不得擅自自改变用

28、用户权限限。第四节 业务操作作第六十七条 业务部门门负责计计算机系系统用户户和权限限设定，科科技部门门根据授授权进行行相关设设定操作作。第六十八条 业务操作作人员严严格按照照安全操操作规程程进行业业务操作作、数据据备份，并并配合科科技部门门保障信信息安全全。一旦旦发现计计算机系系统运行行异常及及时向本本部门领领导和科科技部门门报告。第六十九条 业务操作作人员设设置本人人口令密密码。重重要计算算机系统统业务操操作人员员的密码码应由业业务部门门领导和和系统管管理员分分段设立立。第七十条 凡是能够够执行录录入、复复核制度度的计算算机系统统，业务务操作人人员不得得一人兼兼录入、复复核两职职。未经经业务

29、部部门主管管领导批批准，不不得代岗岗、兼岗岗。第七十一条 业务操作作人员离离开操作作用机时时，应按按序退出出计算机机系统，回回到操作作系统初初始状态态，防止止业务数数据被复复制、修修改、删删除以及及误操作作。第五节 计算机系系统废止止第七十二条 实行计算算机系统统废止申申报、备备案制度度。使用用计算机机系统的的业务部部门根据据需要向向科技部部门提出出废止申申请，由由科技部部门组织织进行安安全检查查后予以以废止，同同时备案案。第七十三条 对已经废废止的计计算机系系统软件件和数据据备份介介质，科科技部门门按业务务规定在在一定期期限内妥妥善保存存。超过过保存期期限后需需要销毁毁的，应应在本单单位保密

30、密工作委委员会监监督下予予以不可可恢复性性销毁。第七章 客户端安安全管理理第七十四条 本规定所所称客户户端是指指人民银银行计算算机用户户、网络络与信息息系统所所使用的的终端设设备，包包括联网网桌面终终端、柜柜面终端端、单机机运行（哑哑）终端端、远程程接入终终端、便便携式计计算机等等。第七十五条 各单位应应建立完完善的客客户端管管理制度度，记录录所有客客户端设设备信息息和软件件配置信信息。第七十六条 客户端应应安装和和使用正正版软件件，不得得安装和和使用盗盗版软件件，不得得安装和和使用与与工作无无关的软软件。第七十七条 客户端应应统一安安装病毒毒防治软软件，设设置用户户密码和和屏幕保保护口令令等

31、安全全防护措措施，确确保安装装最新的的病毒特特征码和和必要的的补丁程程序。第七十八条 确因工作作需要经经授权可可远程接接入内部部网络的的用户，应应严格保保存其身身份认证证介质及及口令密密码，不不得转借借其他人人使用。第八章 信息安全全专用产产品、服服务管理理第一节 资质审查查与选型型购置第七十九条 本规定所所称信息息安全专专用产品品，是指指人民银银行安装装使用的的专用安安全软件件、硬件件产品。本本规定所所称信息息安全服服务，是是指人民民银行向向社会购购买的专专业化安安全服务务。第八十条 总行科技技司负责责信息安安全服务务提供商商的资质质审查和和信息安安全专用用产品的的选型，由由集中采采购部门门

32、按照政政府集中中采购程程序选购购。第八十一条 各单位购购置扫描描、检测测类信息息安全专专用产品品应报总总行科技技司批准准、备案案。第二节 使用管理理第八十二条 各单位位科技部部门应建建立信息息安全专专用产品品登记使使用制度度，建立立信息安安全类固固定资产产使用登登记簿并并由专人人负责管管理。扫扫描、检检测类信信息安全全专用产产品仅限限于本单单位信息息安全管管理人员员使用。第八十三条 各单位位科技部部门随时时检查各各类信息息安全专专用产品品使用情情况，认认真查看看相关日日志和报报表信息息并定期期汇总分分析。如如发现重重大问题题，立即即采取控控制措施施并按规规定程序序报告。第八十四条 各类信息息安

33、全专专用产品品在使用用中产生生的日志志和报表表信息属属于重要要技术资资料，应应备份存存档至少少三个月月。第八十五条 各单位科科技部门门应及时时升级维维护信息息安全专专用产品品，凡因因超过使使用期限限的或不不能继续续使用的的信息安安全专用用产品，按按照固定定资产报报废审批批程序处处理。第八十六条 防火墙、入入侵检测测等安全全专用产产品原则则上应在在本地配配置。如如需要进进行远程程配置，由由科技部部门或经经科技部部门授权权在可信信网络内内并采取取了必要要的安全全控制措措施后进进行操作作。第九章 文档、数数据与密密码应用用安全管管理第一节 技术文档档第八十七条 本规定所所称技术术文档是是指人民民银行

34、网网络、计计算机系系统和机机房环境境等建设设与运行行维护过过程中形形成的各各种技术术资料，包包括纸质质文档、电电子文档档、视频频和音频频文件等等。第八十八条 各单位科科技部门门负责将将技术文文档统一一归档，实实行借阅阅登记制制度。未未经科技技部门领领导批准准，任何何人不得得将技术术文档转转借、复复制和对对外公布布。第二节 存储介质质第八十九条 各单位应应建立健健全磁带带、光盘盘、移动动存储介介质、缩缩微胶片片、已打打印文档档等存储储介质管管理流程程。所有有存储介介质应保保存在安安全的物物理环境境中并有有明晰的的标识。重重要信息息系统备备份介质质应按规规定异地地存放。第九十条 各单位应应做好存存

35、储介质质在物理理传输过过程中的的安全控控制，应应选择可可靠的传传递方式式和防盗盗控制措措施。重重要信息息的存取取需要授授权和记记录。第九十一条 各单位所所有部门门和个人人应加强强对移动动存储设设备（盘、软软盘、移移动硬盘盘）的管管理。第九十二条 各单位应应建立存存储介质质销毁制制度，对对载有敏敏感信息息的存储储介质应应采用焚焚烧或粉粉碎等方方式进行行处置并并做好记记录。第三节 数据安全全第九十三条 本规定中中所称的的数据是是指以电电子形式式存储的的人民银银行业务务数据、办办公信息息、系统统运行日日志、故故障维护护日志以以及其他他内部资资料。第九十四条 各单位业业务部门门负责提提出数据据在输入入

36、、处理理、输出出等不同同状态下下的安全全需求，科科技部门门负责审审核安全全需求并并提供一一定的技技术实现现手段。第九十五条 各单位业业务部门门应严格格管理业业务数据据的增加加、修改改、删除除等变更更操作，适适时进行行业务数数据有效效性检查查，按照照既定备备份策略略执行数数据备份份任务，并并定期测测试备份份数据的的有效性性和预演演数据恢恢复流程程。第九十六条 各单位科科技部门门系统管管理员负负责定期期导出网网络和重重要计算算机系统统日志文文件并明明确标识识存储内内容、时时间、密密级等信信息。日日志文件件应至少少保留一一年，妥妥善保管管。第九十七条 各单位业业务部门门应明确确规定备备份数据据的保存

37、存时限和和密级，建建立备份份数据销销毁审批批登记制制度，并并根据数数据重要要性级别别分类采采取相应应的安全全销毁措措施。第九十八条 所有数据据备份介介质应注注意防磁磁、防潮潮、防尘尘、防高高温、防防挤压存存放。恢恢复及使使用备份份数据时时需要提提供相关关口令密密码的，应应把口令令密码密密封后与与数据备备份介质质一并妥妥善保管管。第四节 口令密码码第九十九条 各单位位系统管管理员、数数据库管管理员、网网络管理理员、业业务操作作人员均均须设置置口令密密码，至至少每三三个月更更换一次次。口令令密码的的强度应应满足不不同安全全性要求求。第一百条 敏感计计算机系系统和设设备的口口令密码码设置应应在安全全

38、的环境境下进行行，必要要时应将将口令密密码笔录录、密封封交相关关部门保保管。未未经科技技部门主主管领导导许可，任任何人不不得擅自自拆阅密密封的口口令密码码。拆阅阅后的口口令密码码使用后后应立即即更改并并再次密密封存放放。第一百一条 各单位位应根据据实际情情况在一一定时限限内妥善善保存重重要计算算机系统统升级改改造前的的口令密密码。第五节 密码技术术应用管管理第一百二条 人民银银行涉密密网络和和计算机机系统应应严格按按照国家家密码政政策规定定，采用用相应的的加密措措施。非非涉密网网络和信信息系统统应依据据人民银银行实际际需求和和统一安安全策略略，合理理选择加加密措施施。第一百三条 各单位位选用的

39、的密码产产品和加加密算法法应符合合国家相相关密码码管理政政策规定定，密码码产品自自身的物物理和逻逻辑安全全性应符符合人民民银行的的相关安安全要求求。第一百四条 各单位位应建立立严格的的密钥管管理体制制，选择择密码管管理人员员必须十十本单位位在编的的正式员员工，并并逐级进进行备案案，规范范管理密密钥产生生、存储储、分发发、使用用、废除除、归档档、销毁毁等过程程。第一百五条 各单位位应在安安全环境境中进行行关键密密钥的备备份工作作，并设设置遇紧紧急情况况下密钥钥自动销销毁功能能。第一百六条 各类密密钥应定定期更换换，对已已泄漏或或怀疑泄泄漏的密密钥应及及时废除除，过期期密钥应应安全归归档或定定期销

40、毁毁。第十章 第三三方访问问和外包包服务安安全管理理第一节 第三方访访问控制制第一百七条 本规定定所称第第三方访访问是指指人民银银行之外外的单位位和个人人物理访访问人民民银行计计算机房房或者通通过网络络连接逻逻辑访问问人民银银行数据据库和计计算机系系统等活活动。第一百八条 各单位位保密工工作委员员会负责责涉密计计算机系系统和网网络相关关的第三三方访问问授权审审批，各各单位科科技部门门负责非非涉密计计算机系系统和网网络相关关的第三三方访问问授权审审批。未未经人民民银行授授权的任任何第三三方访问问均视为为非法入入侵行为为。第一百九条 允许被被第三方方访问的的人民银银行计算算机系统统和资源源应建立立

41、存取控控制机制制、认证证机制，列列明所有有用户名名单及其其权限，严严格监督督第三方方访问活活动。第一百一十条 获得第三三方访问问授权的的所有单单位和个个人应与与人民银银行签订订安全保保密协议议，不得得进行未未授权的的修改、增增加、删删除数据据操作，不不得复制制和泄漏漏人民银银行任何何信息。第二节 外包服服务管理理第一百一十一条 本规定所所称外包包服务是是指由人人民银行行之外的的其他社社会厂商商为人民民银行计计算机系系统、网网络或桌桌面环境境提供全全面或部部分的技技术支持持、咨询询等服务务。外包包服务应应签订正正式的外外包服务务协议，明明确约定定双方义义务。第一百一十二条 经本单位位科技部部门领

42、导导批准，外外包服务务提供商商可提供供上门维维护服务务并由人人民银行行科技人人员在场场准确记记录所有有技术配配置变更更信息。外外包服务务提供商商不得查查看、复复制涉密密信息或或将涉密密介质带带离人民民银行。第一百一十三条 计算机设设备确需需送外单单位维修修时，各各单位科科技部门门应彻底底清除所所存工作作信息，必必要时应应与设备备维修厂厂商签订订保密协协议。与与密码设设备配套套使用的的计算机机设备送送修前必必须请生生产设备备的科研研单位拆拆除与密密码有关关的硬件件，并彻彻底清除除与密码码有关的的软件和和信息。第十一章 信息息通报、灾灾难备份份与应急急管理第一节 信息通报报第一百一十四条 各单位位

43、应按照照人民银银行信息息安全事事件报告告制度进进行信息息通报，一一般信息息安全事事件应逐逐级通报报，发生生因人为为、自然然原因造造成信息息系统瘫瘫痪以及及利用计计算机实实施犯罪罪等影响响和损失失较大的的信息安安全事件件（下称称“重大信信息安全全事件”）应直直接报总总行科技技司。第一百一十五条 重大信息息安全事事件发生生后，各各单位相相关人员员应注意意保护事事件现场场，采取取必要的的控制措措施，调调查事件件原因，并并及时报报告本单单位主管管领导。第一百一十六条 各单位应应在重大大信息安安全事件件发生后后的两小小时内按按规定程程序报上上一级科科技部门门，由上上级科技技部门决决定是否否发布预预警信息

44、息或启动动辖内应应急预案案。第二节 灾难备份份管理第一百一十七条 灾难备份份是指利利用技术术、管理理手段以以及相关关资源，确确保已有有业务数数据和计计算机系系统在地地震、水水灾、火火灾、战战争、恐恐怖袭击击、网络络攻击、设设备系统统故障、人人为破坏坏等无法法预料的的突发事事件（以以下称“灾难”）发生生后在规规定的时时间内可可以恢复复和继续续运营的的有序管管理过程程。第一百一十八条 总行科技技司将按按照“统筹安安排、资资源共享享、平战战结合”的原则则，负责责人民银银行重要要信息系系统灾难难备份的的统一规规划、实实施和管管理。第一百一十九条 总行业务务司局负负责提出出业务系系统灾难难备份需需求，明

45、明确可容容忍的业业务中断断时间和和数据丢丢失量。总总行科技技司据此此确定灾灾难备份份等级和和备份方方案。第一百二十条 各单位应应建立健健全灾难难恢复计计划，定定期开展展灾难恢恢复培训训。在条条件许可可的情况况下，由由总行相相关部门门统一部部署，重重要信息息系统至至少每年年进行一一次灾难难恢复演演练，包包括异地地备份站站点切换换演练和和本地系系统灾难难恢复演演练。第三节 应急急管理第一百二十一条 应急预案案是针对对可能发发生的意意外事件件并可能能导致业业务差错错和停顿顿，甚至至系统混混乱、崩崩溃等灾灾难而采采取的应应对策略略、措施施的有机机集合。第一百二十二条 在计算机机系统推推广应用用方案中中

46、应同时时设计应应急备份份策略，同同步实施施备份方方案。第一百二十三条 各单位应应制定和和不断完完善网络络、计算算机系统统和机房房环境等等应急预预案。预预案的编编制工作作由相关关业务部部门和科科技部门门共同完完成。第一百二十四条 应急预预案应包包括以下下基本内内容：（一） 总则（目目标、原原则、适适用范围围、预案案调用关关系等）。（二） 应急组织织机构。（三） 预警响应应机制（报报告、评评估、预预案启动动等）。（四） 各类危机机处置流流程。（五） 应急资源源保障。（六） 事后处理理流程。（七） 预案管理理与维护护（生效效、演练练、维护护等）。第一百二十五条 各单位定定期组织织应急预预案的演演练，

47、并并指定专专人管理理和维护护应急预预案，根根据人员员、信息息资源等等变动情情况以及及演练情情况适时时予以更更新和完完善，确确保应急急预案的的有效性性和灾难难发生时时的可获获取性。第一百二十六条 各单位计计算机安安全工作作领导小小组统一一负责各各业务系系统的应应急协调调与指挥挥，决策策重大事事宜（决决定应急急预案的的启动、灾灾难宣告告、预警警相关单单位等）和和调动应应急资源源。第一百二十七条 总行办公公厅负责责统一向向社会发发布应急急事件公公告，其其他任何何单位或或个人不不得向社社会发布布应急事事件公告告。第十二章 安全全监测、检检查、评评估与审审计第一节 安全监测测第一百二十八条 各单位科科技

48、部门门应整合合和利用用现有网网络管理理系统、计计算机资资源监控控系统、专专用安全全监控系系统以及及相关设设备与系系统的运运行日志志等监控控资源，加加强对网网络、重重要计算算机系统统和机房房环境等等设施的的安全运运行监测测。第一百二十九条 各单位科科技部门门应建立立运行监监测周报报、月报报或季报报制度，报报送本单单位计算算机安全全工作领领导小组组和上一一级科技技部门，抄抄送相关关业务部部门。第一百三十条 各单位要要及时预预警、响响应和处处置运行行监测中中发现的的问题，发发现重大大隐患和和运行事事故应及及时协调调解决，并并报上一一级单位位相关部部门。第二节 安全检查查第一百三十一条 各单位科科技部门门应至少少每年组组织一次次本单位位或辖内内的信息息安全专专项检查查，安全全检查方方式可以以是自查查、互查查或上级级检查多多