中国人民银行信息安全管理详细规定.doc

资源描述

1、中国人民银行信息安全管理要求第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络和信息系统安全和稳定运行，依据中国计算机信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行要求等要求，特制订本要求。第二条本要求所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全一系列管理活动。第三条人民银行信息安全管理工作实施统一领导和分级管理。总行统一领导分支机构和直属企机关信息安全管理，负责总行机关信息安全管理。分支机构负责本单位和辖内信息安全管理，各直属企机关负责本单位信息安

2、全管理。第四条人民银行信息安全管理实施分管领导负责制，根据“谁主管谁负责，谁运行谁负责，谁使用谁负责”标准，逐层落实单位和个人信息安全责任制。第五条本要求适适用于人民银行总行机关、各分支机构和直属企机关（以下统称“各单位”）。全部使用人民银行网络或信息资源其它外部机构和个人均应遵守本要求。第二章组织保障第六条各单位应设置由本单位领导和相关部门关键责任人组成计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决议本单位及辖内信息安全重大事宜。第七条各单位科技部门应设置信息安全管理部门或岗位。总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级

3、城市中心支行科技部门配置专职信息安全管理人员，实施A、B岗制度；地（市）中心支行和县（市）支行设置信息安全管理岗位。第八条除科技部门外，各单位其它部门均应指定最少一名部门计算机安全员，具体负责本部门信息安全管理，协同科技部门开展信息安全管理工作。第三章人员管理第九条各单位工作人员依据不一样岗位或工作范围，推行对应信息安全保障职责。第一节信息安全管理人员第十条各单位应选派政治思想过硬、含有较高计算机水平人员从事信息安全管理工作。通常因违反国家法律法规和人民银行相关要求受到过处罚或处分人员，不得从事此项工作。第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会（首府）城市中

4、心支行组织专业培训和审核，培训和审核合格后方可上岗。上岗后，每十二个月最少参与一次信息安全专业培训。第十二条各单位信息安全管理人员在以下职责范围内开展本单位信息安全管理工作：（一）组织落实上级信息安全管理要求，制订信息安全管理制度，协调部门计算机安全职员作，监督检验信息安全保障工作。（二）审核信息化建设项目中安全方案，组织实施信息安全保障项目建设，维护、管理信息安全专用设施。（三）检测网络和信息系统安全运行情况，检验运行操作、备份、机房环境和文档等安全管理情况，发觉问题，立即通报和预警，并提出整改意见。统计分析和协调处理信息安全事件。（四）定时组织信息安全宣传教育活动，开展信息安全检

5、验、评定和培训工作。第十三条信息安全管理人员在推行职责时，确因工作需要查询相关涉密信息，须经本单位主管同意后向保密工作委员会办公室提交申请，取得同意后方可查询。第十四条信息安全管理人员实施立案管理制度。信息安全管理人员配置和变更情况应立即报上一级科技部门立案。信息安全管理人员调离原岗位时应办理交接手续，并推行其调离后保密义务。第二节部门计算机安全员第十五条各部门应指派素质好、较熟悉计算机知识人员担任部门计算机安全员，并报本单位科技部门立案。如有变更应做好交接工作，并立即通报科技部门。第十六条部门计算机安全员配合信息安全管理人职员作，并参与各项信息安全技能培训。第十七条部门计算机安全

6、员在以下职责范围内开展工作：（一）负责本部门计算机病毒防治工作，监督检验本部门用户端安全管理情况。（二）负责提出本部门信息安全保障需求，立即和信息安全管理人员沟通信息安全信息。（三）负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，帮助科技部门完成对本部门信息安全检验工作。第三节技术支持人员第十八条本要求所称技术支持人员，是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护内部技术支持人员和外包服务人员。第十九条人民银行内部技术支持人员在推行网络和信息系统建设和日常运行维护职责过程中，应负担以下安全义务：（一）不得对外泄漏或引用工作中触及任何敏感信息

7、。严格权限访问，未经业务主管部门授权不得私自改变系统设置或修改系统生成任何数据。（二）主动检验和监控生产系统安全运行情况，发觉安全隐患或故障立即汇报本部门主管领导，并立即响应、处理。（三）严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度，做好数据备份工作。第二十条外部技术支持人员应严格推行外包服务协议（协议）各项安全承诺。提供技术服务期间，严格遵守人民银行相关安全要求和操作规程，关键操作应经授权，并有些人民银行内部职员在场。不得拷贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作信息。第四节业务系统操作人员第二十一条本要求所称业务系统操作人员是指直

8、接操作业务系统进行业务处理业务部门工作人员。第二十二条业务系统操作人员应负担以下安全义务：（一）严格规程操作，预防误操作。定时修改操作密码并妥善保管，按需、适时进行必需数据备份。（二）发觉业务系统出现异常立即汇报科技部门。（三）不得在操作终端上安装和业务系统无关软件和硬件，不得私自修改业务系统及其运行环境参数设置。第二十三条业务系统操作应根据“权限分散、不得交叉任职”标准，严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。第五节通常计算机用户第二十四条本要求所称通常计算机用户是指使用计算机设备全部些人员。第二十五条通常计算机用户应负担以下安全义务：（一）立

9、即更新所用计算机病毒防治软件和安装补丁程序，自觉接收本部门计算机安全员指导和管理。（二）不得安装和办公和业务处理无关其它计算机软件和硬件，不得修改系统和网络配置参数。（三）未经科技部门检测和授权，不得将接入人民银行内部网络所用计算机转接入国际互联网；不得将便携式计算机接入人民银行内部网络；不得随意将个人计算机带入机房或私自拷贝任何信息。第四章机房环境和设备资产管理第一节机房安全管理第二十六条本要求所称机房是指计算机系统等关键设备放置、运行场所和供配电、通信、空调、消防、监控等配套环境设施。第二十七条各单位机房计划、建设、改造、运行、维护由科技部门负责，相关设备采购纳入政府集中采购。

10、机房消防、视频监视录像、防雷、门禁等子系统计划、建设、运行和维护由科技部门和保卫部门协商确定。第二十八条各单位标准上只建设一个符合国家计算机机房相关标准和人民银行相关要求计算机机房，为全部业务部门提供机房基础设施服务。第二十九条机房建设、改造方案应报上一级科技部门立案。必需时，由上一级机构科技部门会同会计、保卫等部门进行审核。第三十条机房建设或改造应选择含有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计和施工经验专业化企业，其中总行、分行、营业管理部、省会（首府）城市中心支行、计划单列市中心支行机房建设或改造应选择含有国家贰级或贰级以上资质同时含有三年以上专业从事计算机机房

11、装修装饰经验专业企业。关键机房建设或改造工程应引入监理制度。第三十一条总行、分行、营业管理部、省会（首府）城市中心支行应建立机房设施和场地环境监控系统，对机房空调、消防、不间断电源（UPS）、供配电、门禁系统等关键设施实施全方面监控。第三十二条各单位机房投入使用前，应经过当地公安消防部门消防验收和本单位科技、保卫和会计部门组织验收，并出具明确结论验收汇报。未经验收或验收不合格机房均不得投入使用。第三十三条各单位应建立健全机房管理制度，并指派专员担任机房管理员，落实机房安全责任制。机房管理员应经过相关专业培训，熟知机房各类设备分布和操作要领，定时巡查机房，发觉问题立即汇报。机房管理员负责保

12、管机房建设或改造全部文档、图纸和机房运行统计等相关资料，并随时提供调阅。第三十四条建立机房定时维修保养制度。易受季节、温度等环境原因影响设备、已逾保修期设备、近期维修过设备等应成为保养关键。第二节柜面和关键业务处理环境安全管理第三十五条向社会提供公众服务柜面和关键业务处理环境应严格出入安全管理，应安装门禁、防入侵报警、视频监视录像系统，实施定时录像监控，并合适配置自动监控报警功效。第三十六条全部门禁、防入侵报警、视频监视录像系统信息资料由专员保留最少三个月。第三节设备资产管理第三十七条各单位科技部门应建立完备计算机设备登记制度，严格资产管理，明确计算机设备使用者或管理者及其安全责任

13、。第三十八条各单位科技部门应依据计算机设备关键程度采取不一样安全保护方法，制订完善访问控制策略，预防未经授权使用设备或信息。有特殊安全要求计算机设备应放置在机房特殊功效区，必需时，单独建立门禁和监控系统，或配置防电磁泄漏屏蔽装置等。第五章网络安全管理第一节网络计划、建设中安全管理第三十九条总行科技司负责网络和网络安全统一计划、建设布署、策略配置和网络资源（网络设备、通讯线路、IP地址和域名等）分配。第四十条各单位科技部门根据总行科技司统一计划和总体布署，组织实施网络建设、改造工程。各单位局域网建设和改造方案应报上一级科技部门审核、立案，投产前应经过本单位组织安全测试。第四十一条各单

14、位网络建设和改造应符合以下基础安全要求：(一) 符合人民银行网络安全管理要求，保障网络传输和应用安全。(二) 含有必需网络监测、跟踪和审计等管理功效。(三) 针对不一样网络安全域，采取必需安全隔离方法。第二节网络运行安全管理第四十二条各单位科技部门应建立健全网络安全运行制度，配置专（兼）职网络管理员。网络管理员负责日常监测和检验网络安全运行情况，管理网络资源及其配置信息，建立健全网络运行维护档案，立即发觉和处理网络异常情况。第四十三条网络管理员应定时参与网络安全技术培训，含有一定非法入侵、病毒蔓延等网络安全威胁应对技能，紧急情况下，经本部门主管领导授权后可采取“先断网、后处理”紧急应对方

15、法。第四十四条各单位科技部门应严格网络接入管理。任何设备接入网络前，接入方案、设备安全性等应经过审核和必需检测，审核（检测）经过后方可接入并分配对应网络资源。第四十五条各单位科技部门应严格网络变更管理。网络管理员调整网络关键参数配置和服务端口前，应书面请示本部门主管领导，变更信息应做好统计。实施有可能影响网络正常运行重大网络变更，应提前通知全部使用部门并安排在节假日进行，同时做好配置参数备份和应急恢复准备。第四十六条各单位应严格远程访问控制。确因工作需要进行远程访问部门和人员应向科技部门提出书面申请，并采取对应安全防护方法。第四十七条信息安全管理人员经本部门主管领导同意，有权对本单位

16、或辖内网络进行安全检测、扫描和评定。检测、扫描和评定结果属敏感信息，不得向外界提供。未经总行科技司授权，任何外部单位和人员不得检测、扫描人民银行内部网络。第四十八条各单位以不影响业务正常网络传输为标准，合理控制多媒体网络应用规模和范围。未经总行科技司同意，不得在人民银行内部网络上提供跨辖区视频点播等严重占用网络资源多媒体网络应用。第三节网间互联安全管理第四十九条本要求所称网间互联是指为满足人民银行和其它外部机构信息交换或信息共享需求实施机构间网络互联。第五十条网间互联由总行科技司统一计划，按摄影关标准组织实施。未经总行科技司核准，任何单位不得自行和外部机构实施网间互联。第四节接入国际

17、互联网管理第五十一条人民银行内部网络和国际互联网实施安全隔离。全部接入人民银行内部网络或存放有敏感工作信息计算机，不得直接或间接接入国际互联网。第五十二条计算机接入国际互联网应经过本单位保密工作委员会办公室同意，并确保安装有些人民银行选定防病毒软件和最新补丁程序。科技部门凭相关同意证实实施联网，并做好立案。曾接入人民银行内部网络计算机需改接入国际互联网前应重新办理以上审批手续，科技部门确保该计算机已删除敏感工作信息后方可实施接入。第五十三条未经科技部门安全检测，曾接入国际互联网计算机不得直接接入人民银行内部网络。从国际互联网下载任何信息，未经病毒检测不得在内部网络上使用。第五十四条使用

18、国际互联网全部用户应遵守国家相关法律法规和人民银行相关管理要求，不得从事任何违法违规活动。第六章计算机系统安全管理第五十五条本要求所指计算机系统是人民银行业务处理系统、管理信息系统和日常办公自动化系统等，包含数据库、软件和硬件支撑环境等。第一节计算机系统计划和立项第五十六条计算机系统建设项目应在计划和立项阶段同时考虑安全问题，建设方案应满足人民银行信息安全保障总体计划相关要求。项目技术方案应包含以下基础安全内容：（一）业务需求部门提出安全需求。（二）安全需求分析和实现。（三）运行平台安全策略和设计。第五十七条各单位科技部门负责对项目技术方案进行安全专题审查并提出审查意见，未经过安全

19、审核项目不得给予立项。第二节计算机系统开发和集成第五十八条计算机系统开发应符合软件工程规范，依据安全需求进行安全设计，确保安全功效完整实现。第五十九条计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交人民银行科技部门。外部开发单位还应和人民银行签署相关知识产权保护协议和保密协议，不得将计算机系统采取关键安全技术方法和关键安全功效设计对外公开。第六十条计算机系统开发人员不能兼任计算机系统管理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。第六十一条计算机系统开发、测试、修改工作不得在生产环境中进行。第六十二条涉密计算机系统集成应选择含有国家相关部门

20、颁发涉密系统集成资质证书单位或企业，并签署严格保密协议。第三节计算机系统运行第六十三条各单位计算机系统上线运行实施安全审查制度，未经过安全审查任何新建或改造计算机系统不得投产运行。具体要求以下：（一）项目负担单位（部门）应组织制订安全测试方案，进行系统上线前自测试并形成测试汇报，报科技部门审查。（二）计算机系统应用部门应在计算机系统投产运行前同时制订相关安全操作要求，报科技部门立案。（三）科技部门应提出明确测试方案和测试汇报审查意见。必需时，可组织教授评审或实施计算机系统漏洞扫描检测。第六十四条各单位科技部门应明确系统管理员，具体负责计算机系统日常运行管理，并建立关键计算机系统运行

21、维护档案，具体统计系统变更及操作过程。关键业务系统系统设置要求双人在场。第六十五条系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作，应取得业务部门同意并在业务操作人员在场情况下进行，并具体统计维护内容、人员、时间等信息。第六十六条未经业务主管部门领导书面同意，其它任何人不得私自使用业务操作人员用机，不得私自设置、分配、使用、修改、删除操作员代码、口令和业务数据，不得私自改变用户权限。第四节业务操作第六十七条业务部门负责计算机系统用户和权限设定，科技部门依据授权进行相关设定操作。第六十八条业务操作人员严格根据安全操作规程进行业务操作、数据备份，并配合科技部门保障信

22、息安全。一旦发觉计算机系统运行异常立即向本部门领导和科技部门汇报。第六十九条业务操作人员设置本人口令密码。关键计算机系统业务操作人员密码应由业务部门领导和系统管理员分段设置。第七十条通常能够实施录入、复核制度计算机系统，业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导同意，不得代岗、兼岗。第七十一条业务操作人员离开操作用机时，应按序退出计算机系统，回到操作系统初始状态，预防业务数据被复制、修改、删除和误操作。第五节计算机系统废止第七十二条实施计算机系统废止申报、立案制度。使用计算机系统业务部门依据需要向科技部门提出废止申请，由科技部门组织进行安全检验后给予废止，同时立案。第

23、七十三条对已经废止计算机系统软件和数据备份介质，科技部门按业务要求在一定时限内妥善保留。超出保留期限后需要销毁，应在本单位保密工作委员会监督下给予不可恢复性销毁。第七章用户端安全管理第七十四条本要求所称用户端是指人民银行计算机用户、网络和信息系统所使用终端设备，包含联网桌面终端、柜面终端、单机运行（哑）终端、远程接入终端、便携式计算机等。第七十五条各单位应建立完善用户端管理制度，统计全部用户端设备信息和软件配置信息。第七十六条用户端应安装和使用正版软件，不得安装和使用盗版软件，不得安装和使用和工作无关软件。第七十七条用户端应统一安装病毒防治软件，设置用户密码和屏幕保护口令等安全防护

24、方法，确保安装最新病毒特征码和必需补丁程序。第七十八条确因工作需要经授权可远程接入内部网络用户，应严格保留其身份认证介质及口令密码，不得转借其它人使用。第八章信息安全专用产品、服务管理第一节资质审查和选型购置第七十九条本要求所称信息安全专用产品，是指人民银行安装使用专用安全软件、硬件产品。本要求所称信息安全服务，是指人民银行向社会购置专业化安全服务。第八十条总行科技司负责信息安全服务提供商资质审查和信息安全专用产品选型，由集中采购部门根据政府集中采购程序选购。第八十一条各单位购置扫描、检测类信息安全专用产品应报总行科技司同意、立案。第二节使用管理第八十二条各单位科技部门应建立信

25、息安全专用产品登记使用制度，建立信息安全类固定资产使用登记簿并由专员负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。第八十三条各单位科技部门随时检验各类信息安全专用产品使用情况，认真查看相关日志和报表信息并定时汇总分析。如发觉重大问题，立即采取控制方法并按要求程序汇报。第八十四条各类信息安全专用产品在使用中产生日志和报表信息属于关键技术资料，应备份存档最少三个月。第八十五条各单位科技部门应立即升级维护信息安全专用产品，凡因超出使用期限或不能继续使用信息安全专用产品，根据固定资产报废审批程序处理。第八十六条防火墙、入侵检测等安全专用产品标准上应在当地配置。如需要进

26、行远程配置，由科技部门或经科技部门授权在可信网络内并采取了必需安全控制方法后进行操作。第九章文档、数据和密码应用安全管理第一节技术文档第八十七条本要求所称技术文档是指人民银行网络、计算机系统和机房环境等建设和运行维护过程中形成多种技术资料，包含纸质文档、电子文档、视频和音频文件等。第八十八条各单位科技部门负责将技术文档统一归档，实施借阅登记制度。未经科技部门领导同意，任何人不得将技术文档转借、复制和对外公布。第二节存放介质第八十九条各单位应建立健全磁带、光盘、移动存放介质、缩微胶片、已打印文档等存放介质管理步骤。全部存放介质应保留在安全物理环境中并有明晰标识。关键信息系统备份介质应

27、按要求异地存放。第九十条各单位应做好存放介质在物理传输过程中安全控制，应选择可靠传输方法和防盗控制方法。关键信息存取需要授权和统计。第九十一条各单位全部部门和个人应加强对移动存放设备（盘、软盘、移动硬盘）管理。第九十二条各单位应建立存放介质销毁制度，对载有敏感信息存放介质应采取焚烧或粉碎等方法进行处理并做好统计。第三节数据安全第九十三条本要求中所称数据是指以电子形式存放人民银行业务数据、办公信息、系统运行日志、故障维护日志和其它内部资料。第九十四条各单位业务部门负责提出数据在输入、处理、输出等不一样状态下安全需求，科技部门负责审核安全需求并提供一定技术实现手段。第九十五条各单位业

28、务部门应严格管理业务数据增加、修改、删除等变更操作，适时进行业务数据有效性检验，根据既定备份策略实施数据备份任务，并定时测试备份数据有效性和预演数据恢复步骤。第九十六条各单位科技部门系统管理员负责定时导出网络和关键计算机系统日志文件并明确标识存放内容、时间、密级等信息。日志文件应最少保留十二个月，妥善保管。第九十七条各单位业务部门应明确要求备份数据保留时限和密级，建立备份数据销毁审批登记制度，并依据数据关键性等级分类采取对应安全销毁方法。第九十八条全部数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码，应把口令密码密封后和数据备份介质一并妥善

29、保管。第四节口令密码第九十九条各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码，最少每三个月更换一次。口令密码强度应满足不一样安全性要求。第一百条敏感计算机系统和设备口令密码设置应在安全环境下进行，必需时应将口令密码笔录、密封交相关部门保管。未经科技部门主管领导许可，任何人不得私自拆阅密封口令密码。拆阅后口令密码使用后应立即更改并再次密封存放。第一百一条各单位应依据实际情况在一定时限内妥善保留关键计算机系统升级改造前口令密码。第五节密码技术应用管理第一百二条人民银行涉密网络和计算机系统应严格根据国家密码政策要求，采取对应加密方法。非涉密网络和信息系统应依据人

30、民银行实际需求和统一安全策略，合理选择加密方法。第一百三条各单位选择密码产品和加密算法应符合国家相关密码管理政策要求，密码产品本身物理和逻辑安全性应符合人民银行相关安全要求。第一百四条各单位应建立严格密钥管理体制，选择密码管理人员必需十本单位在编正式职员，并逐层进行立案，规范管理密钥产生、存放、分发、使用、废除、归档、销毁等过程。第一百五条各单位应在安全环境中进行关键密钥备份工作，并设置遇紧急情况下密钥自动销毁功效。第一百六条各类密钥应定时更换，对已泄漏或怀疑泄漏密钥应立即废除，过期密钥应安全归档或定时销毁。第十章第三方访问和外包服务安全管理第一节第三方访问控制第一百七条本要求所

31、称第三方访问是指人民银行之外单位和个人物理访问人民银行计算机房或经过网络连接逻辑访问人民银行数据库和计算机系统等活动。第一百八条各单位保密工作委员会负责涉密计算机系统和网络相关第三方访问授权审批，各单位科技部门负责非涉密计算机系统和网络相关第三方访问授权审批。未经人民银行授权任何第三方访问均视为非法入侵行为。第一百九条许可被第三方访问人民银行计算机系统和资源应建立存取控制机制、认证机制，列明全部用户名单及其权限，严格监督第三方访问活动。第一百一十条取得第三方访问授权全部单位和个人应和人民银行签署安全保密协议，不得进行未授权修改、增加、删除数据操作，不得复制和泄漏人民银行任何信息。第二节

32、外包服务管理第一百一十一条本要求所称外包服务是指由人民银行之外其它社会厂商为人民银行计算机系统、网络或桌面环境提供全方面或部分技术支持、咨询等服务。外包服务应签署正式外包服务协议，明确约定双方义务。第一百一十二条经本单位科技部门领导同意，外包服务提供商可提供上门维护服务并由人民银行科技人员在场正确统计全部技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离人民银行。第一百一十三条计算机设备确需送外单位维修时，各单位科技部门应根本清除所存工作信息，必需时应和设备维修厂商签署保密协议。和密码设备配套使用计算机设备送修前必需请生产设备科研单位拆除和密码相关硬件，并根本清除和密

33、码相关软件和信息。第十一章信息通报、灾难备份和应急管理第一节信息通报第一百一十四条各单位应根据人民银行信息安全事件汇报制度进行信息通报，通常信息安全事件应逐层通报，发生因人为、自然原因造成信息系统瘫痪和利用计算机实施犯罪等影响和损失较大信息安全事件（下称“重大信息安全事件”）应直接报总行科技司。第一百一十五条重大信息安全事件发生后，各单位相关人员应注意保护事件现场，采取必需控制方法，调查事件原因，并立即汇报本单位主管领导。第一百一十六条各单位应在重大信息安全事件发生后两小时内按要求程序报上一级科技部门，由上级科技部门决定是否公布预警信息或开启辖内应急预案。第二节灾难备份管理第一百一

34、十七条灾难备份是指利用技术、管理手段和相关资源，确保已经有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖攻击、网络攻击、设备系统故障、人为破坏等无法预料突发事件（以下称“灾难”）发生后在要求时间内能够恢复和继续运行有序管理过程。第一百一十八条总行科技司将根据“统筹安排、资源共享、平战结合”标准，责任人民银行关键信息系统灾难备份统一计划、实施和管理。第一百一十九条总行业务司局负责提出业务系统灾难备份需求，明确可容忍业务中止时间和数据丢失量。总行科技司据此确定灾难备份等级和备份方案。第一百二十条各单位应建立健全灾难恢复计划，定时开展灾难恢复培训。在条件许可情况下，由总行相关部门统一布署

35、，关键信息系统最少每十二个月进行一次灾难恢复演练，包含异地备份站点切换演练和当地系统灾难恢复演练。第三节应急管理第一百二十一条应急预案是针对可能发生意外事件并可能造成业务差错和停顿，甚至系统混乱、瓦解等灾难而采取应对策略、方法有机集合。第一百二十二条在计算机系统推广应用方案中应同时设计应急备份策略，同时实施备份方案。第一百二十三条各单位应制订和不停完善网络、计算机系统和机房环境等应急预案。预案编制工作由相关业务部门和科技部门共同完成。第一百二十四条应急预案应包含以下基础内容：（一）总则（目标、标准、适用范围、预案调用关系等）。（二）应急组织机构。（三）预警响应机制（汇报、评定、

36、预案开启等）。（四）各类危机处理步骤。（五）应急资源保障。（六）事后处理步骤。（七）预案管理和维护（生效、演练、维护等）。第一百二十五条各单位定时组织应急预案演练，并指定专员管理和维护应急预案，依据人员、信息资源等变动情况和演练情况适时给予更新和完善，确保应急预案有效性和灾难发生时可获取性。第一百二十六条各单位计算机安全工作领导小组统一负责各业务系统应急协调和指挥，决议重大事宜（决定应急预案开启、灾难宣告、预警相关单位等）和调动应急资源。第一百二十七条总行办公厅负责统一向社会公布应急事件公告，其它任何单位或个人不得向社会公布应急事件公告。第十二章安全监测、检验、评定和审计第一节

37、安全监测第一百二十八条各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统和相关设备和系统运行日志等监控资源，加强对网络、关键计算机系统和机房环境等设施安全运行监测。第一百二十九条各单位科技部门应建立运行监测周报、月报或季报制度，报送本单位计算机安全工作领导小组和上一级科技部门，抄送相关业务部门。第一百三十条各单位要立即预警、响应和处理运行监测中发觉问题，发觉重大隐患和运行事故应立即协调处理，并报上一级单位相关部门。第二节安全检验第一百三十一条各单位科技部门应最少每十二个月组织一次本单位或辖内信息安全专题检验，安全检验方法能够是自查、互查或上级检验多个方

38、法。第一百三十二条各单位在开展安全检验前应以安全管理制度为依据制订具体检验方案和计划，确保检验工作可操作性和规范性。安全检验完成后应立即形成检验汇报，经本单位主管领导同意后将检验整改汇报立即送达被检验单位。要求限期整改，需要对相关整改情况进行后续跟踪。第一百三十三条各单位参与检验人员对检验中涉密信息负有保密责任。全部检验汇报和资料应作为人民银行内部材料妥善保管，不得向外界泄漏。第一百三十四条各单位应将每次安全检验汇报和整改落实情况整理汇总后报上一级科技部门立案。第三节安全评定第一百三十五条各单位科技部门可采取自评定、检验评定和委托评定等方法，每十二个月最少组织一次对本单位或辖内信息系

39、统安全评定。第一百三十六条安全评定应在不影响信息系统正常运行情况下进行。评定开始前，应制订评定方案并进行必需培训。评定结束后，形成评定汇报，提出整改意见报本单位科技部门主管领导。第一百三十七条各单位如聘用第三方机构进行安全评定，应报总行科技司同意，并和第三方评定机构签署安全保密协议后方可进行。本单位信息安全管理人员全程参与评定过程并实施监督。第一百三十八条各单位应妥善保管信息安全评定汇报，未经授权不得对外透露评定信息。第四节安全审计第一百三十九条各单位科技部门在支持和配合内审部门开展审计信息安全工作同时，应适时开展本单位和辖内信息系统日常运行管理和信息安全事件全过程技术审计，发觉问题

40、立即报本单位或上一级单位主管领导。第一百四十条各单位应做好操作系统、数据库管理系统等审计功效配置管理，应完整保留相关日志统计，通常保留最少30天，包含资金交易业务系统日志应依据需要确定保留时间。第十三章奖励和处罚第一百四十一条各单位每十二个月应组织一次本单位和辖内信息安全管理工作评选活动，对达标单位相关人员应给一定奖励，对表现突出单位和个人进行通报表彰并给一定形式奖励。第一百四十二条对于违反本要求，造成重大信息安全事件单位及个人，要给通报批评；情节严重，依据相关法律法规，追究其主管领导、相关部门责任人及直接责任人责任；组成犯罪，依法追究刑事责任。第十四章附则第一百四十三条人民银行之前公布其它信息安全管理制度相关要求条款如和本要求不一致，按本要求实施。第一百四十四条本要求由总行负责解释。第一百四十五条本要求自公布之日起实施。

展开阅读全文