中國人民銀行信息安全管理規(guī)定之歐陽主創(chuàng)編

1、歐陽主創(chuàng)編2021.02.17中國人民銀行信息安全管理規(guī)定第一章時間：2021.02. 17創(chuàng)作：歐陽主第二章 總則第一條 為強化人民銀行信息安全管理，防范計算機 信息技術(shù)風(fēng)險，保障人民銀行計算機網(wǎng)絡(luò)與信息系統(tǒng)安全 和穩(wěn)定運行，根據(jù)中華人民共和國計算機信息系統(tǒng)安全 保護(hù)條例、金融機構(gòu)計算機信息系統(tǒng)安全保護(hù)工作暫 行規(guī)定等規(guī)定，特制定本規(guī)定。第二條 本規(guī)定所稱信息安全管理，是指在人民銀行 信息化項目立項、建設(shè)、運行、維護(hù)及廢止等過程中保障 計算機信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系 列管理活動。第三條 人民銀行信息安全管理工作實行統(tǒng)一領(lǐng)導(dǎo)和 分級管理?？傂薪y(tǒng)一領(lǐng)導(dǎo)分支機構(gòu)和直屬企事業(yè)單位

2、的信 息安全管理，負(fù)責(zé)總行機關(guān)的信息安全管理。分支機構(gòu)負(fù) 責(zé)本單位和轄內(nèi)的信息安全管理，各直屬企事業(yè)單位負(fù)責(zé) 本單位的信息安全管理。第四條 人民銀行信息安全管理實行分管領(lǐng)導(dǎo)負(fù)責(zé) 制，按照誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)” 的原則，逐級落實單位與個人信息安全責(zé)任制。第五條 本規(guī)定適用于人民銀行總行機關(guān)、各分支機 構(gòu)和直屬企事業(yè)單位（以下統(tǒng)稱“各單位）o所有使用人 民銀行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人均應(yīng)遵守本 規(guī)定。第三章 組織保障第六條各單位應(yīng)設(shè)立由本單位領(lǐng)導(dǎo)和相關(guān)部門主要負(fù)責(zé)人組成的計算機安全工作領(lǐng)導(dǎo)小組，辦公室設(shè)在本單 位科技部門，負(fù)責(zé)協(xié)調(diào)本單位及轄內(nèi)信息安全管理工作， 決策本

3、單位及轄內(nèi)信息安全重大事宜。第七條 各單位科技部門應(yīng)設(shè)立信息安全管理部門或 崗位?？傂袡C關(guān)、分行、營業(yè)管理部、省會（首府）城市 中心支行、副省級城市中心支行科技部門配備專職信息安 全管理人員，實行II、B崗制度；地（市）中心支行和縣 （市）支行設(shè)立信息安全管理崗位。第八條 除科技部門外，各單位其他部門均應(yīng)指定至 少一名部門計算機安全員，具體負(fù)責(zé)本部門的信息安全管 理，協(xié)同科技部門開展信息安全管理工作。第四章 人員管理第九條各單位工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。第一節(jié)信息安全管理人員第十條 各單位應(yīng)選派政治思想過硬、具有較高計算 機水平的人員從事信息安全管理工作。凡

4、是因違反國家法 律法規(guī)和人民銀行有關(guān)規(guī)定受到過處罰或處分的人員，不 得從事此項工作。歐陽主創(chuàng)編2021.02.17歐陽主創(chuàng)編2021.02.17第十一條各單位信息安全管理人員應(yīng)經(jīng)過總行或分 行、營業(yè)管理部、省會（首府）城市中心支行組織的專業(yè) 培訓(xùn)與審核，培訓(xùn)與審核合格后方可上崗。上崗后，每年 至少參加一次信息安全專業(yè)培訓(xùn)。第十二條 各單位信息安全管理人員在如下職責(zé)范圍內(nèi) 開展本單位信息安全管理工作：（一）組織落實上級信息安全管理規(guī)定，制定信息安全 管理制度，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安 全保障工作。（二）審核信息化建設(shè)項目中的安全方案，組織實施信 息安全保障項目建設(shè)，維護(hù)、管理信息

5、安全專用設(shè)施。（三）檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行 操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問 題，及時通報和預(yù)警，并提出整改意見。統(tǒng)計分析和協(xié)調(diào) 處置信息安全事件。（四）定期組織信息安全宣傳教育活動，開展信息安全 檢查、評估與培訓(xùn)工作。第十三條信息安全管理人員在履行職責(zé)時，確因工作 需要查詢相關(guān)涉密信息，須經(jīng)本單位主管同意后向保密工 作委員會辦公室提交申請，獲得批準(zhǔn)后方可查詢。第十四條信息安全管理人員實行備案管理制度。信息 安全管理人員的配備和變更情況應(yīng)及時報上一級科技部門 備案。信息安全管理人員調(diào)離原崗位時應(yīng)辦理交接手續(xù)， 并履行其調(diào)離后的保密義務(wù)。第二節(jié)部門計算機安全員

6、第十五條 各部門應(yīng)指派素質(zhì)好、較熟悉計算機知識的歐陽主創(chuàng)編2021.02.17歐陽主創(chuàng)編2021.02.17人員擔(dān)任部門計算機安全員，并報本單位科技部門備案。 如有變更應(yīng)做好交接工作，并及時通報科技部門。第十六條 部門計算機安全員配合信息安全管理人員工 作，并參加各項信息安全技能培訓(xùn)。第十七條 部門計算機安全員在如下職責(zé)范圍內(nèi)開展工 作：負(fù)責(zé)本部門計算機病毒防治工作，監(jiān)督檢查（一）本部門客戶端安全管理情況。負(fù)責(zé)提岀本部門信息安全保障需求，及時與（二）信息安全管理人員溝通信息安全信息。負(fù)責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管（三）理，組織開展本部門信息安全自查，協(xié)助科技部門完成對 本部門的信息安全檢

7、查工作。第三節(jié)技術(shù)支持人員第十八條本規(guī)定所稱技術(shù)支持人員，是指參與人民銀 行網(wǎng)絡(luò)、計算機系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護(hù)的內(nèi) 部技術(shù)支持人員和外包服務(wù)人員。第十九條 人民銀行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信 息系統(tǒng)建設(shè)和日常運行維護(hù)職責(zé)過程中，應(yīng)承擔(dān)如下安全 義務(wù)：（一）不得對外泄漏或引用工作中觸及的任何敏感信 息。嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部門授權(quán)不得擅自改變系統(tǒng)設(shè)I或修改系統(tǒng)生成的任何數(shù)據(jù)。（二）主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況，發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領(lǐng)導(dǎo)，并及時響應(yīng)、處 置。（三）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配置管 理、變更管理、檔案管理等工作制度，做好數(shù)據(jù)備份工 作

8、。第二十條外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議）的各項安全承諾。提供技術(shù)服務(wù)期間，嚴(yán)格遵守 人民銀行相關(guān)安全規(guī)定與操作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)， 并有人民銀行內(nèi)部員工在場。不得拷貝或帶走任何配置參 數(shù)信息或業(yè)務(wù)數(shù)據(jù)，不得對外泄漏或引用任何工作信息。第四節(jié)業(yè)務(wù)系統(tǒng)操作人員第二十一條本規(guī)定所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作 業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)部門工作人員。第二十二條業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù)：（一）嚴(yán)格規(guī)程操作，防止誤操作。定期修改操作密碼 并妥善保管，按需、適時進(jìn)行必要的數(shù)據(jù)備份。（二）發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)岀現(xiàn)異常及時報告科技部門。（三）不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和 硬

9、件，不得擅自修改業(yè)務(wù)系統(tǒng)及其運行環(huán)境參數(shù)設(shè)置。第二十三條業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉 任職原則，嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持 人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。第五節(jié)一般計算機用戶第二十四條本規(guī)定所稱一般計算機用戶是指使用計算機 設(shè)備的所有人員。第二十五條一般計算機用戶應(yīng)承擔(dān)如下安全義務(wù)：（一）及時更新所用計算機的病毒防治軟件和安裝補丁歐陽主創(chuàng)編2021.02.17歐陽主創(chuàng)編2021.02.17程序，自覺接受本部門計算機安全員的指導(dǎo)與管理。（二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟 件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。（三）未經(jīng)科技部門檢測和授權(quán)，不得將接入人民銀行

10、內(nèi)部網(wǎng)絡(luò)的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng)；不得將便攜式計 算機接入人民銀行內(nèi)部網(wǎng)絡(luò)；不得隨意將個人計算機帶入機 房或私自拷貝任何信息。第五章 機房環(huán)境和設(shè)備資產(chǎn)管理第一節(jié)機房安全管理第二十六條本規(guī)定所稱機房是指計算機系統(tǒng)等主要設(shè)備 放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等 配套環(huán)境設(shè)施。第二十七條各單位機房的規(guī)劃、建設(shè)、改造、運行、維 護(hù)由科技部門負(fù)責(zé)，相關(guān)設(shè)備采購納入政府集中采購。機 房的消防、視頻監(jiān)視錄像、防雷、門禁等子系統(tǒng)的規(guī)劃、 建設(shè)、運行和維護(hù)由科技部門和保衛(wèi)部門協(xié)商確定。第二十八條各單位原則上只建設(shè)一個符合國家計算機機 房有關(guān)標(biāo)準(zhǔn)和人民銀行相關(guān)規(guī)定的計算機機房，為所有業(yè) 務(wù)部

11、門提供機房基礎(chǔ)設(shè)施服務(wù)。第二十九條機房建設(shè)、改造的方案應(yīng)報上一級科技部門 備案。必要時，由上一級機構(gòu)科技部門會同會計、保衛(wèi)等 部門進(jìn)行審核。第三十條 機房建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝 飾工程專業(yè)承包資質(zhì)、兩年以上從事計算機機房設(shè)計與施 工經(jīng)驗的專業(yè)化公司，其中總行、分行、營業(yè)管理部、省 會（首府）城市中心支行、計劃單列市中心支行的機房建 歐陽主創(chuàng)編2021.02.17歐陽主創(chuàng)編2021.02.17設(shè)或改造應(yīng)選擇具有國家貳級或貳級以上資質(zhì)同時具有三 年以上專業(yè)從事計算機機房裝修裝飾經(jīng)驗的專業(yè)公司。重 要機房建設(shè)或改造工程應(yīng)引入監(jiān)理制度。第三十一條總行、分行、營業(yè)管理部、省會（首府）城 市中

12、心支行應(yīng)建立機房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng)，對機房 空調(diào)、消防、不間斷電源（UM） 供配電、門禁系統(tǒng)等重 要設(shè)施實行全面監(jiān)控。第三十二條各單位機房投入使用前，應(yīng)經(jīng)過當(dāng)?shù)毓蚕?防部門的消防驗收和本單位科技、保衛(wèi)與會計部門組織的 驗收，并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合 格的機房均不得投入使用。第三十三條各單位應(yīng)建立健全機房管理制度，并指派專 人擔(dān)任機房管理員，落實機房安全責(zé)任制。機房管理員應(yīng) 經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機房各類設(shè)備的分布和操作要 領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告。機房管理員負(fù)責(zé) 保管機房建設(shè)或改造的所有文檔、圖紙以及機房運行記錄 等有關(guān)資料，并隨時提供調(diào)閱。第三十四條建立機

13、房定期維修保養(yǎng)制度。易受季節(jié)、溫 度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修 過的設(shè)備等應(yīng)成為保養(yǎng)的重點。第二節(jié)柜面和核心業(yè)務(wù)處理環(huán)境安全管理第三十五條向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理 環(huán)境應(yīng)嚴(yán)格出入安全管理，應(yīng)安裝門禁、防入侵報警、視 頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當(dāng)配置自動監(jiān) 控報警功能。第三十六條所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng) 的信息資料由專人保存至少三個月。第三節(jié)設(shè)備資產(chǎn)管理第三十七條各單位科技部門應(yīng)建立完備的計算機設(shè)備登 記制度，嚴(yán)格資產(chǎn)管理，明確計算機設(shè)備使用者或管理者 及其安全責(zé)任。第三十八條各單位科技部門應(yīng)根據(jù)計算機設(shè)備重要程度采取不同的安全保護(hù)措

14、施，制定完善的訪問控制策略，防 止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計算機設(shè) 備應(yīng)放置在機房的特殊功能區(qū)，必要時,單獨建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄漏的屏蔽裝第六章 網(wǎng)絡(luò)安全管理第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理第三十九條總行科技司負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī) 劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線 路、IP地址和域名等）分配。第四十條 各單位科技部門按照總行科技司的統(tǒng)一規(guī)劃 和總體部署，組織實施網(wǎng)絡(luò)建設(shè)、改造工程。各單位局域 網(wǎng)的建設(shè)與改造方案應(yīng)報上一級科技部門審核、備案，投 產(chǎn)前應(yīng)通過本單位組織的安全測試。第四十一條各單位的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安 全要求：（一）

15、符合人民銀行網(wǎng)絡(luò)安全管理要求，保障網(wǎng)絡(luò)傳輸 與應(yīng)用安全。（二）具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。（三）針對不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措 施。第二節(jié) 網(wǎng)絡(luò)運行安全管理第四十二條各單位科技部門應(yīng)建立健全網(wǎng)絡(luò)安全運行制 度，配備專（兼）職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān) 測和檢查網(wǎng)絡(luò)安全運行狀況，管理網(wǎng)絡(luò)資源及其配置信 息，建立健全網(wǎng)絡(luò)運行維護(hù)檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異 常情況。第四十三條網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)， 具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技 能，緊急情況下，經(jīng)本部門主管領(lǐng)導(dǎo)授權(quán)后可采取先斷 網(wǎng)、后處理的緊急應(yīng)對措施。第四十四條各單位科技部門應(yīng)嚴(yán)

16、格網(wǎng)絡(luò)接入管理。任何 設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核 與必要的檢測，審核（檢測）通過后方可接入并分配相應(yīng) 的網(wǎng)絡(luò)資源。第四十五條各單位科技部門應(yīng)嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò) 管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示 本部門主管領(lǐng)導(dǎo)，變更信息應(yīng)做好記錄。實施有可能影響 網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門 并安排在節(jié)假日進(jìn)行，同時做好配置參數(shù)的備份和應(yīng)急恢 復(fù)準(zhǔn)備。第四十六條各單位應(yīng)嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要 進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技部門提出書面申請， 并采取相應(yīng)的安全防護(hù)措施。歐陽主創(chuàng)編2021.02.17歐陽主創(chuàng)編2021.02.17第四十七

17、條信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)， 有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測、掃描和評估。檢 測、掃描和評估結(jié)果屬敏感信息，不得向外界提供。未經(jīng) 總行科技司授權(quán)，任何外部單位與人員不得檢測、掃描人 民銀行內(nèi)部網(wǎng)絡(luò)。第四十八條各單位以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原 則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)總行科技 司批準(zhǔn)，不得在人民銀行內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點播 等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。第三節(jié) 網(wǎng)間互聯(lián)安全管理第四十九條本規(guī)定所稱網(wǎng)間互聯(lián)是指為滿足人民銀行與 其他外部機構(gòu)信息交換或信息共享需求實施的機構(gòu)間網(wǎng)絡(luò) 互聯(lián)。第五十條 網(wǎng)間互聯(lián)由總行科技司統(tǒng)一規(guī)劃，按照相關(guān) 標(biāo)準(zhǔn)組織實施。未

18、經(jīng)總行科技司核準(zhǔn)，任何單位不得自行 與外部機構(gòu)實施網(wǎng)間互聯(lián)。第四節(jié) 接入國際互聯(lián)網(wǎng)管理第五十一條人民銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實行安全隔 離。所有接入人民銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的 計算機，不得直接或間接接入國際互聯(lián)網(wǎng)。第五十二條計算機接入國際互聯(lián)網(wǎng)應(yīng)通過本單位保密工 作委員會辦公室批準(zhǔn)，并確保安裝有人民銀行選定的防病 毒軟件和最新補丁程序?？萍疾块T憑相關(guān)批準(zhǔn)證明實施聯(lián) 網(wǎng)，并做好備案。曾接入人民銀行內(nèi)部網(wǎng)絡(luò)的計算機需改 接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)，科技部門確 保該計算機己刪除敏感工作信息后方可實施接入。歐陽主創(chuàng)編2021.02.17第五十三條未經(jīng)科技部門安全檢測，曾接入國際

19、互聯(lián)網(wǎng) 的計算機不得直接接入人民銀行內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng) 下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。第五十四條使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān) 法律法規(guī)和人民銀行相關(guān)管理規(guī)定，不得從事任何違法違 規(guī)活動。第七章計算機系統(tǒng)安全管理第五十五條本規(guī)定所指的計算機系統(tǒng)是人民銀行業(yè)務(wù)處 理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等，包括數(shù) 據(jù)庫、軟件和硬件支撐環(huán)境等。計算機系統(tǒng)規(guī)劃與立項 第一節(jié)第五十六條計算機系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同 步考慮安全問題，建設(shè)方案應(yīng)滿足人民銀行信息安全保障 總體規(guī)劃的相關(guān)要求。項目技術(shù)方案應(yīng)包括以下基本安全 內(nèi)容：（-）業(yè)務(wù)需求部門提出的安全需求。（二

20、）安全需求分析和實現(xiàn)。（三）運行平臺的安全策略與設(shè)計。第五十七條各單位科技部門負(fù)責(zé)對項目技術(shù)方案進(jìn)行安 全專項審查并提出審查意見，未通過安全審核的項目不得 予以立項。計算機系統(tǒng)開發(fā)與集成 第二節(jié)第五十八條計算機系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù) 安全需求進(jìn)行安全設(shè)計，保證安全功能的完整實現(xiàn)。第五十九條計算機系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將 程序源代碼及其相關(guān)技術(shù)文檔全部移交人民銀行科技部 歐陽主創(chuàng)編2021.02.17 門。外部開發(fā)單位還應(yīng)與人民銀行簽署相關(guān)知識產(chǎn)權(quán)保護(hù) 協(xié)議和保密協(xié)議，不得將計算機系統(tǒng)采用的關(guān)鍵安全技術(shù) 措施和核心安全功能設(shè)計對外公開。第六十條計算機系統(tǒng)的開發(fā)人員不能兼任計算機

21、系統(tǒng) 管理員或業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門 和惡意代碼程序。第六十一條計算機系統(tǒng)開發(fā)、測試、修改工作不得在生 產(chǎn)環(huán)境中進(jìn)行。第六十二條涉密計算機系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部 門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán) 格的保密協(xié)議。計算機系統(tǒng)運行 第三節(jié)第六十三條各單位計算機系統(tǒng)上線運行實行安全審查制 度，未通過安全審查的任何新建或改造計算機系統(tǒng)不得投 產(chǎn)運行。具體要求如下：（一）項目承擔(dān)單位（部門）應(yīng)組織制定安全測試方 案，進(jìn)行系統(tǒng)上線前的自測試并形成測試報告，報科技部 門審查。（二）計算機系統(tǒng)應(yīng)用部門應(yīng)在計算機系統(tǒng)投產(chǎn)運行前 同步制定相關(guān)安全操作規(guī)定，報科技部門備案。

22、（三）科技部門應(yīng)提出明確的測試方案和測試報告審查 意見。必要時，可組織專家評審或?qū)嵤┯嬎銠C系統(tǒng)漏洞掃 描檢測。第六十四條各單位科技部門應(yīng)明確系統(tǒng)管理員，具體負(fù) 責(zé)計算機系統(tǒng)的日常運行管理，并建立重要計算機系統(tǒng)運 行維護(hù)檔案，詳細(xì)記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系 歐陽主創(chuàng)編2021.02.17統(tǒng)的系統(tǒng)設(shè)置要求雙人在場。第六十五條系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管 理員確需對業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的，應(yīng)征得業(yè)務(wù)部門 同意并在業(yè)務(wù)操作人員在場的情況下進(jìn)行，并詳細(xì)記錄維 護(hù)內(nèi)容、人員、時間等信息。第六十六條未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)，其他任何 人不得擅自使用業(yè)務(wù)操作人員用機，不得擅自設(shè)置、分

23、配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù)，不 得擅自改變用戶權(quán)限。業(yè)務(wù)操作 第四節(jié)第六十七條業(yè)務(wù)部門負(fù)責(zé)計算機系統(tǒng)用戶和權(quán)限設(shè)定， 科技部門根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。第六十八條業(yè)務(wù)操作人員嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè) 務(wù)操作、數(shù)據(jù)備份，并配合科技部門保障信息安全。一旦 發(fā)現(xiàn)計算機系統(tǒng)運行異常及時向本部門領(lǐng)導(dǎo)和科技部門報 告。第六十九條業(yè)務(wù)操作人員設(shè)置本人口令密碼。重要計算 機系統(tǒng)業(yè)務(wù)操作人員的密碼應(yīng)由業(yè)務(wù)部門領(lǐng)導(dǎo)和系統(tǒng)管理 員分段設(shè)立。第七十條凡是能夠執(zhí)行錄入、復(fù)核制度的計算機系 統(tǒng)，業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù) 部門主管領(lǐng)導(dǎo)批準(zhǔn)，不得代崗、兼崗。第七十一條業(yè)務(wù)操作人員離

24、開操作用機時，應(yīng)按序退出 計算機系統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務(wù)數(shù)據(jù)被復(fù) 制、修改、刪除以及誤操作。計算機系統(tǒng)廢止第五節(jié)歐陽主創(chuàng)編2021.02.17第七十二條實行計算機系統(tǒng)廢止申報、備案制度。使用 計算機系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技部門提出廢止申 請，由科技部門組織進(jìn)行安全檢查后予以廢止，同時備木O第七十三條對已經(jīng)廢止的計算機系統(tǒng)軟件和數(shù)據(jù)備份介 質(zhì)，科技部門按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保 存期限后需要銷毀的，應(yīng)在本單位保密工作委員會監(jiān)督下 予以不可恢復(fù)性銷毀。第八章 客戶端安全管理第七十四條本規(guī)定所稱客戶端是指人民銀行計算機用 戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備，包括聯(lián)網(wǎng)桌面終

25、 端、柜面終端、單機運行（啞）終端、遠(yuǎn)程接入終端、便 攜式計算機等。第七十五條各單位應(yīng)建立完善的客戶端管理制度，記錄 所有客戶端設(shè)備信息和軟件配置信息。第七十六條客戶端應(yīng)安裝和使用正版軟件，不得安裝和 使用盜版軟件，不得安裝和使用與工作無關(guān)的軟件。第七十七條客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)置用戶 密碼和屏幕保護(hù)口令等安全防護(hù)措施，確保安裝最新的病 毒特征碼和必要的補丁程序。第七十八條確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的 用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借 其他人使用。第九章 信息安全專用產(chǎn)品、服務(wù)管理第七十九條本規(guī)定所稱信息安全專用產(chǎn)品，是指人民銀資質(zhì)審查與選型購 第一節(jié)歐陽

26、主創(chuàng)編2021.02.17行安裝使用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息 安全服務(wù)，是指人民銀行向社會購買的專業(yè)化安全服務(wù)。第八十條總行科技司負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì) 審查和信息安全專用產(chǎn)品的選型，由集中采購部門按照政 府集中采購程序選購。第八十一條各單位購置掃描、檢測類信息安全專用產(chǎn)品 應(yīng)報總行科技司批準(zhǔn)、備案。使用管理 第二節(jié)第八十二條各單位科技部門應(yīng)建立信息安全專用產(chǎn)品 登記使用制度，建立信息安全類固定資產(chǎn)使用登記簿并由 專人負(fù)責(zé)管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本 單位信息安全管理人員使用。第八十三條各單位科技部門隨時檢查各類信息安全專 用產(chǎn)品使用情況，認(rèn)真查看相關(guān)日志和

27、報表信息并定期匯 總分析。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程 序報告。第八十四條各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志 和報表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個月。第八十五條各單位科技部門應(yīng)及時升級維護(hù)信息安全專 用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全 專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。 第八十六條防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng) 在本地配置。如需要進(jìn)行遠(yuǎn)程配置，由科技部門或經(jīng)科技 部門授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn) 行操作。第十章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理歐陽主創(chuàng)編2021.02.17第一節(jié)技術(shù)文檔第八十七條本規(guī)定所稱技術(shù)文檔是指人民

28、銀行網(wǎng)絡(luò)、計 算機系統(tǒng)和機房環(huán)境等建設(shè)與運行維護(hù)過程中形成的各種 技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件 等。第八十八條各單位科技部門負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔， 實行借閱登記制度。未經(jīng)科技部門領(lǐng)導(dǎo)批準(zhǔn)，任何人不得 將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。第二節(jié)存儲介質(zhì)第八十九條各單位應(yīng)建立健全磁帶、光盤、移動存儲介 質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)管理流程。所有存 儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識。重要 信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。第九十條各單位應(yīng)做好存儲介質(zhì)在物理傳輸過程中的 安全控制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要 信息的存取需要授權(quán)和記錄。第九十一條各單位所

29、有部門和個人應(yīng)加強對移動存儲設(shè) 備（U盤、軟盤、移動硬盤）的管理。第九十二條各單位應(yīng)建立存儲介質(zhì)銷毀制度，對載有敏 感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做 好記錄。第三節(jié)數(shù)據(jù)安全第九十三條本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的 人民銀行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運行日志、故障維護(hù) 日志以及其他內(nèi)部資料。第九十四條各單位業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處歐陽主創(chuàng)編2021.02.17 理、輸出等不同狀態(tài)下的安全需求，科技部門負(fù)責(zé)審核安 全需求并提供一定的技術(shù)實現(xiàn)手段。第九十五條各單位業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增 加、修改、刪除等變更操作，適時進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢 查，按照既定備份策略執(zhí)行

30、數(shù)據(jù)備份任務(wù)，并定期測試備 份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。第九十六條各單位科技部門系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng) 絡(luò)和重要計算機系統(tǒng)日志文件并明確標(biāo)識存儲內(nèi)容、時 間、密級等信息。日志文件應(yīng)至少保留一年，妥善保管。第九十七條各單位業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存 時限和密級，建立備份數(shù)據(jù)銷毀審批登記制度，并根據(jù)數(shù) 據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施。第九十八條所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防 塵、防高溫、防擠壓存放。恢復(fù)及使用備份數(shù)據(jù)時需要提 供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì) 一并妥善保管。第四節(jié) 口令密碼第九十九條各單位系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò) 管理員、業(yè)務(wù)操作

31、人員均須設(shè)置口令密碼，至少每三個月 更換一次?？诹蠲艽a的強度應(yīng)滿足不同安全性要求。第一百條敏感計算機系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng) 在安全的環(huán)境下進(jìn)行，必要時應(yīng)將口令密碼筆錄、密封交 相關(guān)部門保管。未經(jīng)科技部門主管領(lǐng)導(dǎo)許可，任何人不得 擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立 即更改并再次密封存放。第一百O條 各單位應(yīng)根據(jù)實際情況在一定時限內(nèi)歐陽主創(chuàng)編 2021.02.17妥善保存重要計算機系統(tǒng)升級改造前的口令密碼。第五節(jié)密碼技術(shù)應(yīng)用管理第一百O二條 人民銀行涉密網(wǎng)絡(luò)和計算機系統(tǒng)應(yīng)嚴(yán) 格按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。非涉密 網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)人民銀行實際需求和統(tǒng)一安全策 略

32、，合理選擇加密措施。第一百O三條 各單位選用的密碼產(chǎn)品和加密算法應(yīng) 符合國家相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和 邏輯安全性應(yīng)符合人民銀行的相關(guān)安全要求。第一百O四條各單位應(yīng)建立嚴(yán)格的密鑰管理體制，選擇密碼管理人員必須十本單位在編的正式員工，并逐級 進(jìn)行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢 除、歸檔、銷毀等過程。第一百O五條 各單位應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作, 并設(shè)置I遇緊急情況下密鑰自動銷毀功能。第一百O六條 各類密鑰應(yīng)定期更換，對已泄漏或懷 疑泄漏的密鑰應(yīng)及時廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。第十一章 第三方訪問和外包服務(wù)安全管理第一節(jié)第三方訪問控制第一百O七條

33、本規(guī)定所稱第三方訪問是指人民銀行 之外的單位和個人物理訪問人民銀行計算機房或者通過網(wǎng) 絡(luò)連接邏輯訪問人民銀行數(shù)據(jù)庫和計算機系統(tǒng)等活動。第一百O八條 各單位保密工作委員會負(fù)責(zé)涉密計算 機系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，各單位科技部 門負(fù)責(zé)非涉密計算機系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審 歐陽主創(chuàng)編2021.02.17批。未經(jīng)人民銀行授權(quán)的任何第三方訪問均視為非法入侵 行為。第一百O九條 允許被第三方訪問的人民銀行計算機 系統(tǒng)和資源應(yīng)建立存取控制機制、認(rèn)證機制，列明所有用 戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動。第一百一十條 獲得第三方訪問授權(quán)的所有單位和個 人應(yīng)與人民銀行簽訂安全保密協(xié)議，不得進(jìn)

34、行未授權(quán)的修 改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄漏人民銀行任何 信息。第二節(jié)外包服務(wù)管理第一百一十一條本規(guī)定所稱外包服務(wù)是指由人民銀行 之外的其他社會廠商為人民銀行計算機系統(tǒng)、網(wǎng)絡(luò)或桌面 環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。外包服務(wù) 應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。第一百一十二條 經(jīng)本單位科技部門領(lǐng)導(dǎo)批準(zhǔn)，外包服 務(wù)提供商可提供上門維護(hù)服務(wù)并由人民銀行科技人員在場 準(zhǔn)確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查 看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離人民銀行。第一百一十三條 計算機設(shè)備確需送外單位維修時，各 單位科技部門應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備 維修廠商簽訂保密

35、協(xié)議。與密碼設(shè)備配套使用的計算機設(shè) 備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬 件，并徹底清除與密碼有關(guān)的軟件和信息。第十二章信息通報、災(zāi)難備份與應(yīng)急管理第一節(jié)信息通報第一百一十四條各單位應(yīng)按照人民銀行信息安全事件歐陽主創(chuàng)編 2021.02.17歐陽主創(chuàng)編2021.02.17報告制度進(jìn)行信息通報，一般信息安全事件應(yīng)逐級通報， 發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機 實施犯罪等影響和損失較大的信息安全事件（下稱重大信 息安全事件）應(yīng)直接報總行科技司。第一百一十五條重大信息安全事件發(fā)生后，各單位相 關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場，采取必要的控制措施，調(diào)查 事件原因，并及時報告本單位主

36、管領(lǐng)導(dǎo)。第一百一十六條各單位應(yīng)在重大信息安全事件發(fā)生后 的兩小時內(nèi)按規(guī)定程序報上一級科技部門，由上級科技部 門決定是否發(fā)布預(yù)警信息或啟動轄內(nèi)應(yīng)急預(yù)案。第二節(jié)災(zāi)難備份管理災(zāi)難備份是指利用技術(shù)、管理手段以 第一百一十七條 及相關(guān)資源，確保己有業(yè)務(wù)數(shù)據(jù)和計算機系統(tǒng)在地震、水 災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、 人為破壞等無法預(yù)料的突發(fā)事件（以下稱災(zāi)難）發(fā)生后 在規(guī)定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程?？傂锌萍妓緦凑战y(tǒng)籌安排、資源共第一百一十八條 享、平戰(zhàn)結(jié)合的原則，負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備 份的統(tǒng)一規(guī)劃、實施和管理?？傂袠I(yè)務(wù)司局負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難第一百一十九條 備份需

37、求，明確可容忍的業(yè)務(wù)中斷時間和數(shù)據(jù)丟失量。總 行科技司據(jù)此確定災(zāi)難備份等級和備份方案。各單位應(yīng)建立健全災(zāi)難恢復(fù)計劃，定第一百二十條 期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由總行相關(guān) 部門統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)歐陽主創(chuàng)編2021.02.17歐陽主創(chuàng)編2021.02.17演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演 練。第三節(jié)應(yīng)急管理應(yīng)急預(yù)案是針對可能發(fā)生的意外事件 第一百二十一條 并可能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難 而采取的應(yīng)對策略、措施的有機集合。在計算機系統(tǒng)推廣應(yīng)用方案中應(yīng)同時 第一百二十二條 設(shè)計應(yīng)急備份策略，同步實施備份方案。 各單位應(yīng)制定

38、和不斷完善網(wǎng)絡(luò)、計算第一百二十三條 機系統(tǒng)和機房壞境等應(yīng)急預(yù)案。預(yù)案的編制工作由相關(guān)業(yè) 務(wù)部門和科技部門共同完成。應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：第一百二十四條（一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系 等）。（二）應(yīng)急組織機構(gòu)。（三）預(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。（四）各類危機處置流程。（五）應(yīng)急資源保障。（六）事后處理流程。（七）預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。 各單位定期組織應(yīng)急預(yù)案的演練，并第一百二十五條 指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變 動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。 各單位計算機安全工作領(lǐng)導(dǎo)小組統(tǒng)一第一百二十六條 負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定 歐陽主創(chuàng)編2021.02.17應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng) 急資源?？傂修k公廳負(fù)責(zé)統(tǒng)一向社會發(fā)布應(yīng)急第一百二十七條 事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件 公告。第十三章安全監(jiān)測、檢查、評估與審計第一節(jié)安全監(jiān)測第一百二十八條各單位科技部門應(yīng)整合和利用現(xiàn)有網(wǎng) 絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以 及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡(luò)、 重要計算機系統(tǒng)和機房壞境等設(shè)施的安全