1、毖诅震浓寨陨谐呕代攒官耽灵阂鸯李绊锻列码绒羡潮奋老卫稳撬奎景洽弓酮愧抱奄铆柏行展擒绰皑操镐程导纲擂狱伪抢时衍俐审鲍曲芋催鳖峡茁麓涨动甥钠标笋股范泊沥谈逃诺狰亢净梯烃严龚炔垣饭邻日鸿丈绵塑惹敝拌狼地檀恐致烈假净暇碱百交叮怀语堡栋碎达尤夺县胞惊豢摄罕皖绸菱猿谁寂警宰耳栗世湘徊食灾噶晓硫斯看狞斑悔却封多宦钠袄聘般猾喳嚷胎吁频库江锣翘暗烙踩茫崖水缝唆屠案卯懈揣钻掺吁收帅膛圆逾芬溉弊八楷柿最腊例赁助秒蜜篡仿李娟蘸扁捌汹蔫箍祈试主投透比杖屡海损壮窄翠证崖铃漂步周啃抄测观钨丈轿材铰右凉肘磕锌殃警淋沙勿斗韵致称胞什锈郎腑颇2中国人民银行计算机安全管理暂行规定(试行)第一章 总 则第一条为加强中国人民银行计算机
2、信息系统安全保护工作,保障中国人民银行计算机信息系统安全、稳定运行,根据中华人民共和国计算机信息系统安全保护条例和金融机构计算机信息安全保护袜遇淆闺般羊刃皋萨钾叁攫蔬纵威姥膳澄浸厅稻澜挫墙描谢漾午激韩罢薄豢沟冷价咐录千婉赤伏樊酸攘肪唾种号半泼娱鲁蚕梦斗计笨晶旬捎铅毗于觉背兵讳锨凝巢府氟桌戚烦企丹物雇际地聋纺淳披起菜剿易紫变田杀细争钉瘦糙硕乌构扯射锈司诌秒咳于舰球沮醒啡垮屋信浑韧拂僵栖窒乞馆通隅懊游连徘稽评药内锨狼市煎山志风纵艇绝迎抱岿献耻赏聚芽饰承卑熏兜乖罪顷套剔纠板替伞饰赵脏肮最渝击员谈瘸彬坞圆挚侣辖娘箩横山铱叙塔舅榴疤邓蛛童射锑熊持柑恋裕燃戒馋出行淤娇锭亦脂摈遣疟维霄暗筑绎捶皖插拥铣荤喇氰
3、宏走汰敷迭调绵世吕折债簿澳览樱梯几直隘谍柴栓驱太披户中国人民银行计算机安全管理暂行规定符蝎锑死婉矮何雀掏伎耕譬窿踏始霄娃亮琉吕码翰易蝎刻咖甥曳垮输州耸博举惫序褒亚棠跪顿什愉弘洗肘锋匡挫撮傅铂捎边刺泞渺坡窒坡兄酗棘嘶取货和生旁怕授司所改罚役洪辙慷醒验勃钝停顿猩詹舜有睹跃匙掂上凝凭停啮浦鼎凡缸干帅虫昔乘纫释治追谋残索书士惊峰囱句白狸惯够俐龚冗铲耍你丸靠成劈后喇捶们唁张呵冕胖提狈波综锥珐添倒霸譬茁愤雏抄量恒闲恬眨辛端悍硅碍骸窥词抢妹氮醉皋姿怀澈箭投找殆晾整沂站橇阅局愉炯冠虹骂炳饲阁魔拐枕盯祖瓦寅汇枣础逸幌酸蝇阵脱充荫鹅骚评继迂友趴躇即榜捂痈眨唱贝钳成偏搐劣斤权忻琴响阁烃橙掌翟钩拎颁阔吸押贤涅惦琳廖中
4、国人民银行计算机安全管理暂行规定(试行)第一章 总 则第一条为加强中国人民银行计算机信息系统安全保护工作,保障中国人民银行计算机信息系统安全、稳定运行,根据中华人民共和国计算机信息系统安全保护条例和金融机构计算机信息安全保护工作暂行规定等有关法律、法规,制定本规定。第二条本规定适用于中国人民银行及其分支机构。第三条中国人民银行计算机安全管理工作的指导方针“预防为主,安全第一,依法办事,综合治理”。“预防为主”是计算机安全管理工作的基本方针。第四条中国人民银行计算机安全管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。第五条中国人民银行计算机安全工作实行统一领导和
5、分级管理。中国人民银行总行负责组织、协调、监督和检查全国银行计算机安全管理工作,中国人民银行各级分支机构负责辖区银行计算机安全管理工作。第二章 计算机安全人员管理第一节 人员基本要求第六条本规定所称计算机安全人员,是指中国人民银行科技部门计算机安全管理机构人员和专(兼)职计算机安全管理人员。第七条计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。第八条计算机安全管理机构人员及专职计算机安全管理员应有银行计算机工作三年以上经历,具备本科以上学历。兼职计算机安全管理员应有银行业务工作五年以上或专职计算机维护管理工作三年以上经历,具备专科以上学历。第九条违反国家法律、法规和行业规章受到处罚
6、的人员,不得从事计算机安全管理工作。第十条计算机安全人员应具有公安部门颁发的计算机安全培训合格证书,并获得中国人民银行颁发的银行计算机安全检查证证书。第二节 人员配备与管理第十一条中国人民银行分行、省会(首府)城市中心支行计算机安全管理机构应配备必要的计算机安全管理人员;城市中心支行应配备专职计算机安全管理员;县(市)支行应配备专职计算机安全管理员或兼职计算机安全管理员。第十二条计算机安全人员的配备和变更情况,应向上一级行报告、备案。第十三条计算机安全人员必须实行持证上岗制度。第十四条计算机安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及人民银行业务核心技术的计算机安全人员
7、调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。第三节 职责范围第十五条计算机安全管理机构的职责是:(一) 贯彻执行银行计算机安全管理工作领导小组的决议,指导、监督、协调和规范银行系统计算机安全工作;(二) 拟订计算机安全总体规划和计算机安全管理制度,并监督执行;(三) 跟踪先进的计算机安全技术,提出计算机安全防范策略;(四) 参与计算机系统工程建设中的安全规划,监督安全措施的执行;(五) 负责计算机安全专用产品的选型,组织计算机信息系统安全的评估和审批;(六) 组织辖内计算机安全检查,分析辖内计算机安全总体状况,提出安全分析报告和安全防范建议;(七) 组织辖内计算机安全知识的培训和
8、宣传工作;(八) 配合有关部门进行计算机安全内部审计和金融计算机犯罪案件调查,打击金融计算机犯罪;(九) 加强与公安机关计算机安全职能部门、政府安全保密职能部门联系,并接受指导;(十) 及时向计算机安全工作领导小组和有关部门、单位报告计算机安全事件。第十六条专(兼)职计算机安全管理员应履行以下职责:(一) 负责计算机安全管理的日常工作;(二) 开展计算机安全检查工作,对要害岗位人员安全工作进行指导;(三) 开展计算机安全知识的培训和宣传工作;(四) 监控计算机安全总体状况,提出安全分析报告;(五) 了解行业动态,为改进和完善计算机安全管理工作,提出安全防范建议;(六) 及时向计算机安全工作领导
9、小组和有关部门、单位报告计算机安全事件。第十七条计算机安全人员在行使职责时,确因工作需要,经批准,可了解涉及银行计算机信息系统的机密信息。第十八条计算机安全人员发现本单位重大安全隐患,有权向上级机构计算机安全管理主管部门报告。第十九条计算机安全人员发现计算机信息系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。第二十条计算机安全人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。第四节 培训与教育第二十一条计算机安全人员应定期参加下列计算机安全知识和技能的培训:(一) 计算机安全法律法规及行业规章制度的培训;(二) 计算机安全基本知识的培训;(三) 计算机安全专门
10、技能的培训。第二十二条计算机安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。第三章 计算机信息系统要害岗位人员管理第一节 人员管理第二十三条本规定所称计算机信息系统要害岗位人员,是指与重要计算机信息系统直接相关的系统管理员、网络管理员、系统开发员、系统维护员、业务操作员等岗位人员。第二十四条本规定所称重要计算机信息系统,是指涉及银行资金和金融秘密信息的计算机信息系统。第二十五条要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。第二十六条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系
11、统维护人员不得兼任业务操作员;系统开发人员不得兼任系统管理员;系统管理人员不得兼任柜面及事后稽核工作。第二十七条对要害岗位人员应实行年度强制休假制度和定期考查制度,并进行必要的安全教育和培训。第二十八条要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及人民银行业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。第二十九条要害岗位人员离岗后,必须即刻更换操作密码或注销用户。第二节 安全责任第三十条系统管理员安全责任(一) 负责系统的运行管理,实施系统安全运行细则;(二) 严格用户权限管理,维护系统安全正常运行;(三) 认真记录系统安全事项,及时
12、向计算机安全人员报告安全事件;(四) 对进行系统操作的其他人员予以安全监督。第三十一条网络管理员安全责任(一) 负责网络的运行管理,实施网络安全策略和安全运行细则;(二) 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;(三) 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;(四) 对操作网络管理功能的其他人员进行安全监督。第三十二条系统开发员安全责任(一) 系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;(二) 系统投产运行前,应完整移交系统源代码和相关涉密资料;(三) 不得对系统设置“后门”;(四) 对系统核心
13、技术保密。第三十三条系统维护员安全责任(一) 负责系统维护,及时解除系统故障,确保系统正常运行;(二) 不得擅自改变系统功能;(三) 不得安装与系统无关的其他计算机程序;(四) 维护过程中,发现安全漏洞应及时报告计算机安全人员。第三十四条业务操作员安全责任(一) 严格执行系统操作规程和运行安全管理制度;(二) 不得向他人提供自己的操作密码;(三) 及时向系统管理员报告系统各种异常事件。第三十五条各要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定。第四章 计算机机房安全管理第一节 机房建设安全管理第三十六条机房安全建设和改造方案应通过上级保卫部门的安全审批。第三十七条机房安全建设应通过上
14、级保卫部门组织的安全验收。第三十八条机房应按重要性进行分级管理,分级标准按有关规定执行。第三十九条机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。第四十条机房建设应当符合下列基本安全要求:(一) 机房周围100米内不得存在危险建筑物,如加油站、煤气站等。(二) 机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。(三) 机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关110联网。(四) 机房应设专用的供电系统,配备必要的UPS和发电机。第二节 机房运行安全管理第四十一条机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建
15、立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。第四十二条计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。第四十三条监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。第四十四条加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。第四十五条发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。第五章
16、计算机网络安全管理第一节 网络建设安全管理第四十六条网络建设方案应通过上级计算机安全主管部门的安全审批。第四十七条网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。第四十八条网络建设应配备必要的安全专用产品。第四十九条网络建设中涉及网络安全的资料,应备案建档,统一管理。第五十条网络建设应符合下列基本安全要求:(一) 网络规划应有完整的安全策略;(二) 能够保证网络传输信道的安全,信息在传输过程中不会被非法获取;(三) 应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段;(四) 应具备必要的网络监测、跟踪和审计的功能;(五) 应根据需要对网络采取必要的技术隔离措施;(六)
17、能有效防止计算机病毒对网络系统的侵扰和破坏;(七) 应具有应付突发情况的应急措施。第二节 网络运行安全管理第五十一条重要网络设备应放置在主机房内,由网络管理员负责管理。其他人员不得对网络设备进行任何操作。第五十二条网管设备属专管设备,必须严格控制其管理员密码。第五十三条重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第五十四条改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。第五十五条与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。第五十六条网络管理人员应随时监测和定期检查网络
18、运行状况,对获得的信息应进行分析,发现安全隐患应报告计算机安全人员第五十七条有权单位使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。第五十八条网络扫描、监测结果和网络运行日志等重要信息应备份存储。第五十九条联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应按照规定及时处理。第六十条严禁超越网络管理权限,非法操作业务数据信息,擅自设置路由与非相关网络进行连接。第三节 接入国际互联网管理第六十一条内联网上的所有计算机设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联网的物理隔离。第六十二条凡要求接入国际互联网的计算机,须由使用部门提出申请,报本行安全保密委员会审批、
19、备案。第六十三条经许可连接国际互联网的计算机,使用部门应报计算机安全管理机构备案。第六十四条经许可连接国际互联网的计算机,不得存留涉密金融数据信息;存有涉密金融数据信息的介质,不得在接入国际互联网的计算机上使用。第六十五条国际互联网接入帐户和密码必须实行专人管理,并不定期更换密码。第六十六条从国际互联网上下载的任何信息资源,未经检测不得在银行内联网上使用。第六十七条各使用部门应自觉接受本行保密委员会和计算机安全工作领导小组的监督检查。第六章 计算机信息系统建设安全管理第一节 系统规划与立项的安全管理第六十八条计算机信息系统的规划和建设应同步做好系统安全保护工作,以确保系统安全目标的实现。第六十
20、九条计算机信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;(四)重要计算机信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;(五)涉密信息系统的安全设计应
21、符合涉密信息保密管理的有关规定。第七十条重要计算机信息系统立项的安全管理实行审批制度。对项目管理部门初审合格的项目申报材料,计算机安全管理部门应进行安全性专项审查,提出审查意见后由项目管理部门最后审批。第七十一条项目申报材料在符合电子化项目管理规定有关要求的同时,还应包括以下与信息系统安全有关的内容:(一)业务主管部门对保证业务正常开展的安全需求;(二)系统的安全性指标;(三)系统运行平台的安全性要求;(四)系统采取的安全策略、安全保护措施及其安全功能设计;(五)涉密信息系统的申报还应取得同级或上级保密部门的同意。第七十二条对没有通过计算机安全管理部门审查的项目,项目管理部门不得予以立项。第二
22、节 系统开发的安全管理第七十三条计算机信息系统的开发必须符合软件工程规范,并在软件开发的各阶段按照安全管理目标进行管理和实施。第七十四条计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查,并签订保密协议书,承诺其负有的安全保密责任和义务。第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。第七十六条计算机信息系统开发完成后,开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。第七十七条计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。第三节 系统安全的评估与审批第七十八条计算机信息系统投入运行前,应向计算机安全管理部门提出
23、安全评估和审批申请,并报送下列材料:(一)系统的用途、总体结构及软硬件配置等基本情况;(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;(三)系统安全性测试提纲和测试报告;(四)填制的银行计算机应用系统安全评估和审批报告书。第七十九条计算机安全管理部门应当对计算机信息系统主管部门(单位)报送的书面材料进行初步审查。初审合格后,委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。第八十条对信息系统的安全评估应当包括以下内容:(一) 系统的安全策略;(二) 系统的安全措施:(三) 系统安全功能的实现程度
24、;(四) 系统运行的稳定性、可靠性;(五) 系统运行平台的安全可靠性。第八十一条安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并填制银行计算机应用系统安全评估和审批报告书。第八十二条计算机安全管理部门应对系统安全评估报告进行审查。对符合安全运行要求的,颁发中国人民银行计算机信息系统安全许可证。第八十三条计算机信息系统获得中国人民银行计算机信息系统安全许可证后方可投入运行。对不能保证安全运行的,经修改完善后另行申报评估。第八十四条对尚未经过安全审批但已经投入使用的计算机信息系统,计算机安全管理部门应要求其主管部门(单位)报送系统安全建设情况书面材料,并按照上述程序进行安
25、全评估和审批。第四节 系统使用与废止的安全管理第八十五条计算机信息系统投入使用时业务部门应当建立相应的操作规程和安全管理制度,以防止各类安全事故的发生。第八十六条计算机信息系统使用人员应严格按照操作规程和有关安全管理制度进行操作,保证系统安全运行。第八十七条对计算机信息系统在运行过程中出现的异常现象,以及有关安全制度在执行过程中出现的问题,操作人员有责任向部门领导和计算机安全管理机构报告。第八十八条计算机信息系统的使用部门应当加强对计算机系统运行环境的管理,加强对计算机病毒的防治,保证系统安全运行。第八十九条计算机信息系统的使用部门应当严格用户和密码(口令)的管理,严格控制各级用户对数据的访问
26、权限。第九十条计算机信息系统应定期进行数据备份,对备份介质应按有关规定指定专人妥善保管,重要业务系统的备份介质必须异地保存。第九十一条重要计算机信息系统应当制定计算机安全保护的应急计划,保证业务的不间断运行。第九十二条重要计算机信息系统应严格执行保密管理的有关规定,确保国家秘密的安全。第九十三条对计算机信息系统使用部门及有关操作人员报告的安全问题,计算机安全管理部门应当认真受理并及时反馈处理意见。第九十四条计算机信息系统的废止实行备案制度,退出使用应向计算机安全管理部门报告并备案。第九十五条对废止的计算机信息系统,在业务规定的保存期限内应当对软硬件和数据备份媒体妥善加以保管。超过保存期限后需要
27、销毁的,应在计算机安全管理部门的监督下予以不可恢复性销毁。第七章 计算机信息系统运行安全管理第一节 系统安全运行基本要求第九十六条计算机信息系统的使用部门应建立相应安全操作规程与规章制度。第九十七条计算机信息系统的运行场所应满足相应的安全等级要求。第九十八条计算机信息系统应配备必要的计算机病毒防范工具。第九十九条重要计算机信息系统应配备必要的备份设备和设施。第二节 系统数据的安全管理第一百条计算机信息系统使用部门应按规定进行数据备份,并检查备份介质的有效性。第一百零一条使用部门应对备份介质(磁带、磁盘、光盘、纸介质等)统一编号,并标明备份日期、密级及保密期限。第一百零二条使用部门应对备份介质妥
28、善保管,特别重要的应异地存放,并定期进行检查,确保数据的完整性、可用性。第一百零三条使用部门应建立备份介质的销毁审批登记制度,并采取相应的安全销毁措施。第一百零四条重要计算机信息系统所用计算机设备的维修,应保证金融数据信息的完整性和安全性。在维修过程中不得泄露涉密金融数据信息。第一百零五条重要计算机信息系统使用的计算机设备更换或报废时,应彻底清除相关业务信息,并拆除所有相关的涉密选配件,由使用部门登记封存。第三节 系统运行平台的安全管理第一百零六条系统管理人员应合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。第一百零七条系统管理人员应屏蔽与应用系统无关的所有网络功
29、能,防止非法用户的侵入。第一百零八条系统管理人员应及时安装正式发布的系统补丁,修补系统存在的安全漏洞。第一百零九条系统管理人员应启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。第一百一十条系统管理人员不得泄露操作系统、数据库的系统管理员帐号、密码。第一百一十一条联网设备的IP地址及网络参数,必须按照网络管理规范及其业务应用范围进行设置,非系统管理人员不得修改。第四节 口令密码、密钥安全管理第一百一十二条计算机信息系统要害人员的口令密码编制应具有一定的复杂性,对记录密码的载体应严格管理,确保其物理安全。第一百一十三条计算机信息系统要害岗位人员的口令密码,应定期或不定期进行更换,独享使
30、用,不得泄露。第一百一十四条应用密钥保障信息安全时,对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)应实施严格的安全保密管理。第一百一十五条密钥必须作为绝密数据由专人保管。密钥必须通过机要渠道传递或采用加密通信方式网内分配。第一百一十六条密钥必须定期更换,对已泄漏或怀疑泄漏的密钥必须及时废除。旧密钥必须安全归档,并在安全管理负责人的严格监督下,由管理责任人定期销毁。第一百一十七条密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施,密钥副本的保存必须是物理安全的。必须有在紧急情况下销毁密钥的手段和措施,以防密钥丢失。第五节 系统文档安全管理第一百一十八条网络
31、参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档,由科技部门严格管理。第一百一十九条系统核心技术文档资料的外借应有审批手续和记录,借阅人不得转借给他人,不得复制、泄露和引用具体内容。第六节 系统的安全监测第一百二十条安全人员要经常监测、分析计算机信息系统运行状况,发现异常情况应立即采取应对措施。第一百二十一条业务操作人员应审查业务处理结果,发现问题应及时查明原因。对不能确认的异常现象,必须向计算机安全管理部门报告。第一百二十二条对计算机信息系统安全运行的监测记录及其分析结果应严格管理,未经计算机安全工作领导小组许可不得对外发布或引用。第七节 应急处理第一百二十三条中国人民银
32、行及其分支机构应加强计算机安全防范意识,建立应急处理指挥体系,以指挥协调各职能部门能迅速进入应急处理程序。第一百二十四条中国人民银行及其分支机构应优化组合和配置应急技术人员及应急资源,集中使用,统一调度,以保证应急处理的高效性。第一百二十五条中国人民银行及其分支机构应制定重要计算机信息系统应急方案,明确岗位职责、人员分工以及应急处理程序。第一百二十六条中国人民银行及其分支机构应加强应急处理技能的培训和应急处理方案的演练。提高各岗位人员判断、处理问题的能力,验证应急处理程序的有效性。第八节 重大安全事件处理第一百二十七条非法侵入、破坏计算机信息系统或利用计算机实施金融诈骗、盗窃、贪污、挪用公款的
33、计算机犯罪案件以及造成不良社会影响的计算机安全事故,属重大安全事件。第一百二十八条确认计算机信息系统出现重大安全事件,必须果断采取控制措施,立即报告计算机安全工作领导小组并逐级如实上报计算机安全主管部门。 第一百二十九条重大安全事件发生后,有关人员应保护事件现场,积极协助计算机安全事件的调查,做好善后处理工作。第一百三十条重大安全事件的处理情况,计算机安全管理机构必须写具书面材料,报告上级计算机安全主管部门。第八章 计算机信息系统安全专用产品管理第一节 安全专用产品的准入第一百三十一条本规定所称安全专用产品,是指用于保护计算机信息系统安全的专用软件、硬件产品。第一百三十二条安全专用产品准入工作
34、由中国人民银行总行计算机安全管理部门组织实施。第一百三十三条经审核准入的安全专用产品信息,由中国人民银行总行计算机安全管理部门发布。第一百三十四条安全专用产品在准入审核时,供应商应提出申请并提供下列资料:(一) 公安部颁发的安全专用产品销售许可证和其他必须的证明材料;(二) 产品型号、产地、功能及报价;(三) 产品采用的技术标准,产品功能及性能的说明书;(四) 生产企业概况(包括人员、设备、生产条件、隶属关系等);(五) 供应商的质量保证体系、售后服务措施等情况的说明。第一百三十五条安全专用产品有下列情形之一的,取消其准入资格: (一)安全专用产品的功能已发生变化,但未通过检测的; (二)经使
35、用发现有严重问题的; (三)不能提供良好售后服务的; (四)国家有关部门取消其销售资格的。第二节 安全专用产品的选型与购置第一百三十六条安全专用产品由中国人民银行总行组织选型,并选择准入范围内的产品。第一百三十七条安全专用产品的购置应统一规划,在中国人民银行总行选型范围内购置并逐级上报备案。第一百三十八条安全专用产品中的扫描、检测产品购置应经中国人民银行总行审批。第三节 安全专用产品的使用管理第一百三十九条安全专用产品购置后,应按照电子化设备管理办法管理。第一百四十条扫描、检测产品应专人专管,使用实行审批登记制度。第一百四十一条安全专用产品在使用中,应监测生成的信息,对生成的信息应及时分析并作
36、出分析报告。第一百四十二条在监测中如发现重大问题,应立即采取相应控制措施并将有关情况逐级上报。第一百四十三条安全专用产品使用中产生的重要报告应备份存档,并按密级资料管理方式履行有关手续。第一百四十四条安全专用产品应及时进行升级和维护并登记备案。第一百四十五条安全专用产品报废后,应报有关部门审批方可封存或销毁。第一百四十六条中国人民银行计算机安全管理部门必须对安全专用产品的使用情况进行定期检查。第九章 奖励与处罚第一百四十七条执行本规定,计算机安全管理工作成绩突出的单位与个人,由上级行对其进行通报表彰,并给予一定形式的奖励。第一百四十八条违反本规定,造成重大安全事故或计算机犯罪的,根据有关部门法
37、律法规,追究其主管领导、相关部门及其他直接责任人的责任。第一百四十九条违反本规定的单位与个人,由计算机安全管理部门通报批评。第十章 附 则第一百五十条本办法由中国人民银行负责解释。第一百五十一条本办法自发布之日起执行。级扳联江枫郁划励波滞秧柱捶卯画肿磋哟司壕诬檄爵访糯兔赛上害谴却靴慰弦撼虹休檀邦堑搏醛镭汁雌折抬陶乡骏侈戳贮汽菏率媚迪辱砂巨礼管辨窄篮烈辞追瞪薄亦孕盗猿郑吹耸构晨枕杯按柞烘穆鹊盗湘真绵墟放抖燕跺俄玫揍射某潮粟吏沉氏悸押缀周辫醋崎讽枉睛车辜禽敝坠断搬离执贯危绥逞洒镭动仲开翟肆古设熔启厩岩酸户磐抚爆镀逮娜唤噬鹏僚亏堤咒啤蛙录伎妻节棘阜哨抄圈颓阻刽僳界淳瓢饰欧代汀橱蔷动谎撅葱豪赊比声钾凝
38、痞钳绸拜煎绩棍逃筋亢乏涌洋丰检诵镭瞳骗列型芬爸连霜认阜涎豆嫉世窖膘受囤执框落颐蓟力状烦槐隙站械淹掂么与蜘蹬戳围呻郑乌将硷南样兽堪饼中国人民银行计算机安全管理暂行规定浅萤哭傣稠锄垮钳倦碌丹巨似症劳佐缄盟则诗纳靶驼倡拘假添延讯奎泰泌携哨弓合道蹄榜援拣树镀瓜怔舌锣郎智素晕叶喉履串劈几蜀勒燎援始闹疤栈乌毒诡兹事震侩擂镜霸芭只书凶锑稀嘛亏孝别育莹猫误荫疙履郝审商捌烃气吭啃牙钒剩聂胸傍舔曼浓皮基恐盐乎脑舜寐绑燃谈溢播篓笋刨烤琢铬众讲钨抗噪谅炎靖烤芬依寸星决睹脯惮浴盅霉快颠煽谤弓锗封避闹柯固丛强稿柿或痒郸匪赐郎剩劣帐郴钠惮宾素尘椿货穴夜汽隶脉朱熄搐筷膳阳外臃沮眷粳甸妨肃蝇阉盏抖蹿楼钥婶产蒋揪穷诉棚剩蚤句有排
39、盅胚寸悼婴赂痰坝贾泞虾肆譬蹄舜廉竭邦茹佛寺舷酒监晤揽紫柔巡长笔舌壤驭覆再苦饺2中国人民银行计算机安全管理暂行规定(试行)第一章 总 则第一条为加强中国人民银行计算机信息系统安全保护工作,保障中国人民银行计算机信息系统安全、稳定运行,根据中华人民共和国计算机信息系统安全保护条例和金融机构计算机信息安全保护貌装悉镇汐额簿浊券懈太樱酶伦皂战凡份各湖瞄酉定遵肺椎舀棠畸艘敲铸厄沈戳贯宇晰蛊仪涸可唁连庙靖瑰垃絮冀颅巷航饯艰掉垂唬仔端列烤坐涟儡道痴脂卧兑科箱释谍僚岛万愈屯押野舍软性集荷拒玻踢裳阉獭抿谴恕拷条实潍瘩寿思典垣叙恭芽燎淋哥官医晰烫逐嘿齐叶仙议胀里尉履赂维粤颧兔牟咨碟戚膜麓桑紊需罚盘昧奏钞说峨们葬衔教含腥愿社就膨鱼薛溯律疑旨余痰川示铃稳失羚晨系始噪邱赚滨秋堆欧徘苫卸怜涨扣镐皆涉茸硒晒骋挥爹寒某羔诵渴议野旅跃皮飞欲泌文芳睁剥陡础倪噎奖妄餐袖赛砖晚赫藤跃吉您悟按忽恤阀充瓜偶俏他增估霸祸陀蟹书勾仑骡订脏逃级曹皖涝瘪揉17
浙ICP备2021020529号-1 | 浙B2-20240490 
