银行信息安全管理规定

1、中国人民银行信息安全管理规定第一章 总则第一条 为强化人民银行信息安全管理，防范计算机信息技术风 险，保障人民银行计算机网络与信息系统安全和稳定运行，根据中华 人民共和国计算机信息系统安全保护条例、 金融机构计算机信息系 统安全保护工作暂行规定等规定，特制定本规定。第二条 本规定所称信息安全管理， 是指在人民银行信息化项目立 项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、 环境、网络和操作安全的一系列管理活动。第三条 人民银行信息安全管理工作实行统一领导和分级管理。 总 行统一领导分支机构和直属企事业单位的信息安全管理， 负责总行机关 的信息安全管理。 分支机构负责本单位和辖内

2、的信息安全管理， 各直属 企事业单位负责本单位的信息安全管理。第四条 人民银行信息安全管理实行分管领导负责制， 按照“谁主 管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个 人信息安全责任制。第五条 本规定适用于人民银行总行机关、 各分支机构和直属企事 业单位（以下统称“各单位”）。所有使用人民银行网络或信息资源的 其他外部机构和个人均应遵守本规定。第二章 组织保障第六条 各单位应设立由本单位领导和相关部门主要负责人组成 的计算机安全工作领导小组， 办公室设在本单位科技部门， 负责协调本 单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。第七条 各单位科技部门应设立信

3、息安全管理部门或岗位。 总行机 关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心 支行科技部门配备专职信息安全管理人员，实行 A、B 岗制度；地（市） 中心支行和县（市）支行设立信息安全管理岗位。第八条 除科技部门外， 各单位其他部门均应指定至少一名部门计 算机安全员， 具体负责本部门的信息安全管理， 协同科技部门开展信息 安全管理工作。第三章 人员管理第九条 各单位工作人员根据不同的岗位或工作范围， 履行相应的 信息安全保障职责。第一节 信息安全管理人员第十条 各单位应选派政治思想过硬、 具有较高计算机水平的人员 从事信息安全管理工作。 凡是因违反国家法律法规和人民银行有关规定

4、 受到过处罚或处分的人员，不得从事此项工作。第十一条 各单位信息安全管理人员应经过总行或分行、营业管 理部、省会（首府）城市中心支行组织的专业培训与审核，培训与审核 合格后方可上岗。上岗后，每年至少参加一次信息安全专业培训。第十二条 各单位信息安全管理人员在如下职责范围内开展本单 位信息安全管理工作：（一）组织落实上级信息安全管理规定，制定信息安全管理制 度，协调部门计算机安全员工作，监督检查信息安全保障工作。（二）审核信息化建设项目中的安全方案， 组织实施信息安全保 障项目建设，维护、管理信息安全专用设施。（三）检测网络和信息系统的安全运行状况， 检查运行操作、 备 份、机房环境与文档等安全

5、管理情况，发现问题，及时通报和预警，并 提出整改意见。统计分析和协调处置信息安全事件。（四）定期组织信息安全宣传教育活动， 开展信息安全检查、 评 估与培训工作。第十三条 信息安全管理人员在履行职责时，确因工作需要查询 相关涉密信息， 须经本单位主管同意后向保密工作委员会办公室提交申 请，获得批准后方可查询。第十四条 信息安全管理人员实行备案管理制度。信息安全管理人员的配备和变更情况应及时报上一级科技部门备案。 信息安全管理人 员调离原岗位时应办理交接手续，并履行其调离后的保密义务。第二节 部门计算机安全员第十五条 各部门应指派素质好、较熟悉计算机知识的人员担任 部门计算机安全员， 并报本单位

6、科技部门备案。 如有变更应做好交接工 作，并及时通报科技部门。第十六条 部门计算机安全员配合信息安全管理人员工作，并参 加各项信息安全技能培训。第十七条 部门计算机安全员在如下职责范围内开展工作：（一）负责本部门计算机病毒防治工作， 监督检查本部门客户端 安全管理情况。（二）负责提出本部门信息安全保障需求， 及时与信息安全管理 人员沟通信息安全信息。（三）负责本部门国际互联网使用和接入安全管理， 组织开展本 部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。第三节 技术支持人员第十八条 本规定所称技术支持人员，是指参与人民银行网络、 计算机系统、机房环境等建设、运行、维护的内部技术

7、支持人员和外包 服务人员。第十九条 人民银行内部技术支持人员在履行网络和信息系统建 设和日常运行维护职责过程中，应承担如下安全义务：（一）不得对外泄漏或引用工作中触及的任何敏感信息。严格权 限访问，未经业务主管部门授权不得擅自改变系统设置或修改系统生成 的任何数据。（二）主动检查和监控生产系统安全运行状况，发现安全隐患或 故障及时报告本部门主管领导，并及时响应、处置。（三）严格操作管理、测试管理、应急管理、配置管理、变更管 理、档案管理等工作制度，做好数据备份工作。第二十条 外部技术支持人员应严格履行外包服务合同（协议） 的各项安全承诺。 提供技术服务期间， 严格遵守人民银行相关安全规定 与操

8、作规程，关键操作应经授权，并有人民银行内部员工在场。不得拷 贝或带走任何配置参数信息或业务数据， 不得对外泄漏或引用任何工作 信息。第四节 业务系统操作人员第二十一条 本规定所称业务系统操作人员是指直接操作业务系统 进行业务处理的业务部门工作人员。第二十二条 业务系统操作人员应承担如下安全义务：（一）严格规程操作，防止误操作。定期修改操作密码并妥善保 管，按需、适时进行必要的数据备份。（二）发现业务系统出现异常及时报告科技部门。（三）不得在操作终端上安装与业务系统无关的软件和硬件，不 得擅自修改业务系统及其运行环境参数设置。第二十三条 业务系统操作应按照“权限分散、不得交叉任职”原 则，严格进

9、行操作角色划分和授权管理。 技术支持人员不得兼任业务系 统操作人员。第五节 一般计算机用户第二十四条 本规定所称一般计算机用户是指使用计算机设备的所 有人员。第二十五条 一般计算机用户应承担如下安全义务：（一）及时更新所用计算机的病毒防治软件和安装补丁程序，自 觉接受本部门计算机安全员的指导与管理。（二）不得安装与办公和业务处理无关的其他计算机软件和硬 件，不得修改系统和网络配置参数。（三）未经科技部门检测和授权，不得将接入人民银行内部网络 的所用计算机转接入国际互联网； 不得将便携式计算机接入人民银行内 部网络；不得随意将个人计算机带入机房或私自拷贝任何信息。第四章 机房环境和设备资产管理第

10、一节 机房安全管理第二十六条 本规定所称机房是指计算机系统等主要设备放置、运 行场所以及供配电、通信、空调、消防、监控等配套环境设施。第二十七条 各单位机房的规划、建设、改造、运行、维护由科技 部门负责，相关设备采购纳入政府集中采购。机房的消防、视频监视录 像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫 部门协商确定。第二十八条 各单位原则上只建设一个符合国家计算机机房有关标 准和人民银行相关规定的计算机机房， 为所有业务部门提供机房基础设 施服务。第二十九条 机房建设、改造的方案应报上一级科技部门备案。必 要时，由上一级机构科技部门会同会计、保卫等部门进行审核。第三十条 机房

11、建设或改造应选择具有国家建筑装修装饰工程专 业承包资质、两年以上从事计算机机房设计与施工经验的专业化公司， 其中总行、分行、营业管理部、省会（首府）城市中心支行、计划单列 市中心支行的机房建设或改造应选择具有国家贰级或贰级以上资质同 时具有三年以上专业从事计算机机房装修装饰经验的专业公司。 重要机 房建设或改造工程应引入监理制度。第三十一条 总行、分行、营业管理部、省会（首府）城市中心支 行应建立机房设施与场地环境监控系统，对机房空调、消防、不间断电 源（UPS）、供配电、门禁系统等重要设施实行全面监控。第三十二条 各单位机房投入使用前，应经过当地公安消防部门的 消防验收和本单位科技、 保卫与

12、会计部门组织的验收， 并出具明确结论 的验收报告。未经验收或验收不合格的机房均不得投入使用。第三十三条 各单位应建立健全机房管理制度，并指派专人担任机 房管理员，落实机房安全责任制。机房管理员应经过相关专业培训，熟 知机房各类设备的分布和操作要领， 定期巡查机房，发现问题及时报告。 机房管理员负责保管机房建设或改造的所有文档、 图纸以及机房运行记 录等有关资料，并随时提供调阅。第三十四条 建立机房定期维修保养制度。易受季节、温度等环境 因素影响的设备、 已逾保修期的设备、 近期维修过的设备等应成为保养 的重点。第二节 柜面和核心业务处理环境安全管理第三十五条 向社会提供公众服务的柜面和核心业务

13、处理环境应严 格出入安全管理，应安装门禁、防入侵报警、视频监视录像系统，实行 定时录像监控，并适当配置自动监控报警功能。第三十六条 所有门禁、防入侵报警、视频监视录像系统的信息资 料由专人保存至少三个月。第三节 设备资产管理第三十七条 各单位科技部门应建立完备的计算机设备登记制度， 严格资产管理，明确计算机设备使用者或管理者及其安全责任。第三十八条 各单位科技部门应根据计算机设备重要程度采取不同 的安全保护措施， 制定完善的访问控制策略， 防止未经授权使用设备或 信息。 有特殊安全要求的计算机设备应放置在机房的特殊功能区， 必要 时，单独建立门禁与监控系统，或配备防电磁泄漏的屏蔽装置等。第五章

14、 网络安全管理第一节 网络规划、建设中的安全管理第三十九条 总行科技司负责网络和网络安全的统一规划、建设部 署、策略配置和网络资源（网络设备、通讯线路、 IP 地址和域名等） 分配。第四十条 各单位科技部门按照总行科技司的统一规划和总体部 署，组织实施网络建设、改造工程。各单位局域网的建设与改造方案应 报上一级科技部门审核、备案，投产前应通过本单位组织的安全测试。第四十一条 各单位的网络建设和改造应符合如下基本安全要求：（ 一 ） 符合人民银行网络安全管理要求， 保障网络传输与应用安全。（ 二 ） 具备必要的网络监测、跟踪和审计等管理功能。（ 三 ） 针对不同的网络安全域，采取必要的安全隔离措

15、施。第二节 网络运行安全管理第四十二条 各单位科技部门应建立健全网络安全运行制度，配备 专（兼）职网络管理员。网络管理员负责日常监测和检查网络安全运行 状况，管理网络资源及其配置信息，建立健全网络运行维护档案，及时 发现和解决网络异常情况。第四十三条 网络管理员应定期参加网络安全技术培训，具备一定 的非法入侵、病毒蔓延等网络安全威胁的应对技能，紧急情况下，经本 部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。第四十四条 各单位科技部门应严格网络接入管理。任何设备接入 网络前，接入方案、设备的安全性等应经过审核与必要的检测， 审核（检 测）通过后方可接入并分配相应的网络资源。第四十五条

16、 各单位科技部门应严格网络变更管理。网络管理员调 整网络重要参数配置和服务端口前， 应书面请示本部门主管领导， 变更 信息应做好记录。 实施有可能影响网络正常运行的重大网络变更， 应提 前通知所有使用部门并安排在节假日进行， 同时做好配置参数的备份和 应急恢复准备。第四十六条 各单位应严格远程访问控制。确因工作需要进行远程 访问的部门和人员应向科技部门提出书面申请， 并采取相应的安全防护 措施。第四十七条 信息安全管理人员经本部门主管领导批准，有权对本 单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属 敏感信息，不得向外界提供。未经总行科技司授权，任何外部单位与人 员不得检测、扫

17、描人民银行内部网络。第四十八条 各单位以不影响业务的正常网络传输为原则，合理控 制多媒体网络应用规模和范围。 未经总行科技司批准， 不得在人民银行 内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。第三节 网间互联安全管理第四十九条 本规定所称网间互联是指为满足人民银行与其他外部 机构信息交换或信息共享需求实施的机构间网络互联。第五十条 网间互联由总行科技司统一规划，按照相关标准组织 实施。 未经总行科技司核准， 任何单位不得自行与外部机构实施网间互 联。第四节 接入国际互联网管理第五十一条 人民银行内部网络与国际互联网实行安全隔离。所有 接入人民银行内部网络或存储有敏感工作信息

18、的计算机， 不得直接或间 接接入国际互联网。第五十二条 计算机接入国际互联网应通过本单位保密工作委员会 办公室批准，并确保安装有人民银行选定的防病毒软件和最新补丁程 序。科技部门凭相关批准证明实施联网，并做好备案。曾接入人民银行 内部网络的计算机需改接入国际互联网前应重新办理以上审批手续， 科 技部门确保该计算机已删除敏感工作信息后方可实施接入。第五十三条 未经科技部门安全检测，曾接入国际互联网的计算机 不得直接接入人民银行内部网络。 从国际互联网下载的任何信息， 未经 病毒检测不得在内部网络上使用。第五十四条 使用国际互联网的所有用户应遵守国家有关法律法规 和人民银行相关管理规定，不得从事任

19、何违法违规活动。第六章 计算机系统安全管理第五十五条 本规定所指的计算机系统是人民银行业务处理系统、 管理信息系统和日常办公自动化系统等， 包括数据库、 软件和硬件支撑 环境等。第一节 计算机系统规划与立项第五十六条 计算机系统建设项目应在规划与立项阶段同步考虑安 全问题，建设方案应满足人民银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容：（一）业务需求部门提出的安全需求。（二）安全需求分析和实现。（三）运行平台的安全策略与设计。第五十七条 各单位科技部门负责对项目技术方案进行安全专项审 查并提出审查意见，未通过安全审核的项目不得予以立项。第二节 计算机系统开发与集成第五

20、十八条 计算机系统开发应符合软件工程规范，依据安全需求 进行安全设计，保证安全功能的完整实现。第五十九条 计算机系统开发单位应在完成开发任务后将程序源代 码及其相关技术文档全部移交人民银行科技部门。 外部开发单位还应与 人民银行签署相关知识产权保护协议和保密协议， 不得将计算机系统采 用的关键安全技术措施和核心安全功能设计对外公开。第六十条 计算机系统的开发人员不能兼任计算机系统管理员或 业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。第六十一条 计算机系统开发、测试、修改工作不得在生产环境中 进行。第六十二条 涉密计算机系统集成应选择具有国家相关部门颁发的 涉密系统集成资质证书的单

21、位或企业，并签订严格的保密协议。第三节 计算机系统运行第六十三条 各单位计算机系统上线运行实行安全审查制度，未通 过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如 下：（一）项目承担单位（部门）应组织制定安全测试方案，进行系 统上线前的自测试并形成测试报告，报科技部门审查。（二）计算机系统应用部门应在计算机系统投产运行前同步制 定相关安全操作规定，报科技部门备案。（三）科技部门应提出明确的测试方案和测试报告审查意见。 必要时，可组织专家评审或实施计算机系统漏洞扫描检测第六十四条 各单位科技部门应明确系统管理员，具体负责计算机 系统的日常运行管理， 并建立重要计算机系统运行维护档案，

22、 详细记录 系统变更及操作过程。重要业务系统的系统设置要求双人在场。第六十五条 系统管理员不得兼任业务操作人员。系统管理员确需 对业务系统进行维护性操作的， 应征得业务部门同意并在业务操作人员 在场的情况下进行，并详细记录维护内容、人员、时间等信息。第六十六条 未经业务主管部门领导书面批准，其他任何人不得擅 自使用业务操作人员用机，不得擅自设置、分配、使用、修改、删除操 作员代码、口令和业务数据，不得擅自改变用户权限。第四节 业务操作第六十七条 业务部门负责计算机系统用户和权限设定，科技部门 根据授权进行相关设定操作。第六十八条 业务操作人员严格按照安全操作规程进行业务操作、 数据备份， 并配

23、合科技部门保障信息安全。 一旦发现计算机系统运行异 常及时向本部门领导和科技部门报告。第六十九条 业务操作人员设置本人口令密码。重要计算机系统业 务操作人员的密码应由业务部门领导和系统管理员分段设立。第七十条 凡是能够执行录入、复核制度的计算机系统，业务操 作人员不得一人兼录入、复核两职。未经业务部门主管领导批准，不得 代岗、兼岗。第七十一条 业务操作人员离开操作用机时，应按序退出计算机系 统，回到操作系统初始状态，防止业务数据被复制、修改、删除以及误 操作。第五节 计算机系统废止第七十二条 实行计算机系统废止申报、备案制度。使用计算机系 统的业务部门根据需要向科技部门提出废止申请， 由科技部

24、门组织进行 安全检查后予以废止，同时备案。第七十三条 对已经废止的计算机系统软件和数据备份介质，科技 部门按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的， 应在本单位保密工作委员会监督下予以不可恢复性销毁。第七章 客户端安全管理第七十四条 本规定所称客户端是指人民银行计算机用户、网络与 信息系统所使用的终端设备，包括联网桌面终端、柜面终端、单机运行 （哑）终端、远程接入终端、便携式计算机等。第七十五条 各单位应建立完善的客户端管理制度，记录所有客户 端设备信息和软件配置信息。第七十六条 客户端应安装和使用正版软件，不得安装和使用盗版 软件，不得安装和使用与工作无关的软件。第七十七条

25、客户端应统一安装病毒防治软件，设置用户密码和屏 幕保护口令等安全防护措施， 确保安装最新的病毒特征码和必要的补丁 程序。第七十八条 确因工作需要经授权可远程接入内部网络的用户，应 严格保存其身份认证介质及口令密码，不得转借其他人使用。第八章 信息安全专用产品、服务管理第一节 资质审查与选型购置第七十九条 本规定所称信息安全专用产品，是指人民银行安装使 用的专用安全软件、硬件产品。本规定所称信息安全服务，是指人民银 行向社会购买的专业化安全服务。第八十条 总行科技司负责信息安全服务提供商的资质审查和信 息安全专用产品的选型，由集中采购部门按照政府集中采购程序选购。第八十一条 各单位购置扫描、检测

26、类信息安全专用产品应报总行 科技司批准、备案。第二节 使用管理第八十二条 各单位科技部门应建立信息安全专用产品登记使用 制度，建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用第八十三条 各单位科技部门随时检查各类信息安全专用产品使 用情况， 认真查看相关日志和报表信息并定期汇总分析。 如发现重大问 题，立即采取控制措施并按规定程序报告。第八十四条 各类信息安全专用产品在使用中产生的日志和报表信 息属于重要技术资料，应备份存档至少三个月。第八十五条 各单位科技部门应及时升级维护信息安全专用产品， 凡因超过使用期限的或不能继续使用的信息

27、安全专用产品， 按照固定资 产报废审批程序处理。第八十六条 防火墙、入侵检测等安全专用产品原则上应在本地配 置。如需要进行远程配置， 由科技部门或经科技部门授权在可信网络内 并采取了必要的安全控制措施后进行操作。第九章 文档、数据与密码应用安全管理第一节 技术文档第八十七条 本规定所称技术文档是指人民银行网络、计算机系统 和机房环境等建设与运行维护过程中形成的各种技术资料， 包括纸质文 档、电子文档、视频和音频文件等。第八十八条 各单位科技部门负责将技术文档统一归档，实行借阅 登记制度。未经科技部门领导批准，任何人不得将技术文档转借、复制 和对外公布。第二节 存储介质第八十九条 各单位应建立健

28、全磁带、光盘、移动存储介质、缩微 胶片、 已打印文档等存储介质管理流程。 所有存储介质应保存在安全的 物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存 放。第九十条 各单位应做好存储介质在物理传输过程中的安全控 制，应选择可靠的传递方式和防盗控制措施。 重要信息的存取需要授权 和记录。第九十一条 各单位所有部门和个人应加强对移动存储设备 （盘、 软盘、移动硬盘）的管理。第九十二条 各单位应建立存储介质销毁制度，对载有敏感信息的 存储介质应采用焚烧或粉碎等方式进行处置并做好记录。第三节 数据安全第九十三条 本规定中所称的数据是指以电子形式存储的人民银行 业务数据、办公信息、系统运行日

29、志、 故障维护日志以及其他内部资料。第九十四条 各单位业务部门负责提出数据在输入、处理、输出等 不同状态下的安全需求， 科技部门负责审核安全需求并提供一定的技术 实现手段。第九十五条 各单位业务部门应严格管理业务数据的增加、修改、 删除等变更操作， 适时进行业务数据有效性检查， 按照既定备份策略执 行数据备份任务，并定期测试备份数据的有效性和预演数据恢复流程。第九十六条 各单位科技部门系统管理员负责定期导出网络和重要 计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文 件应至少保留一年，妥善保管。第九十七条 各单位业务部门应明确规定备份数据的保存时限和密 级，建立备份数据销毁审批登

30、记制度， 并根据数据重要性级别分类采取 相应的安全销毁措施。第九十八条 所有数据备份介质应注意防磁、防潮、防尘、防高温、 防挤压存放。 恢复及使用备份数据时需要提供相关口令密码的， 应把口 令密码密封后与数据备份介质一并妥善保管。第四节 口令密码第九十九条 各单位系统管理员、数据库管理员、网络管理员、业 务操作人员均须设置口令密码， 至少每三个月更换一次。 口令密码的强 度应满足不同安全性要求。第一百条 敏感计算机系统和设备的口令密码设置应在安全的 环境下进行，必要时应将口令密码笔录、密封交相关部门保管。未经科 技部门主管领导许可， 任何人不得擅自拆阅密封的口令密码。 拆阅后的 口令密码使用后

31、应立即更改并再次密封存放。第一百一条 各单位应根据实际情况在一定时限内妥善保存重 要计算机系统升级改造前的口令密码。第五节 密码技术应用管理第一百二条 人民银行涉密网络和计算机系统应严格按照国家 密码政策规定， 采用相应的加密措施。 非涉密网络和信息系统应依据人 民银行实际需求和统一安全策略，合理选择加密措施。第一百三条 各单位选用的密码产品和加密算法应符合国家相 关密码管理政策规定， 密码产品自身的物理和逻辑安全性应符合人民银 行的相关安全要求。第一百四条 各单位应建立严格的密钥管理体制，选择密码管 理人员必须十本单位在编的正式员工， 并逐级进行备案， 规范管理密钥 产生、存储、分发、使用、

32、废除、归档、销毁等过程。第一百五条 各单位应在安全环境中进行关键密钥的备份工 作，并设置遇紧急情况下密钥自动销毁功能。第一百六条 各类密钥应定期更换，对已泄漏或怀疑泄漏的密 钥应及时废除，过期密钥应安全归档或定期销毁。第十章 第三方访问和外包服务安全管理第一节 第三方访问控制 第一百七条 本规定所称第三方访问是指人民银行之外的单位 和个人物理访问人民银行计算机房或者通过网络连接逻辑访问人民银 行数据库和计算机系统等活动。第一百八条 各单位保密工作委员会负责涉密计算机系统和网 络相关的第三方访问授权审批， 各单位科技部门负责非涉密计算机系统 和网络相关的第三方访问授权审批。 未经人民银行授权的任

33、何第三方访 问均视为非法入侵行为。第一百九条 允许被第三方访问的人民银行计算机系统和资源应建立存取控制机制、认证机制，列明所有用户名单及其权限，严格监 督第三方访问活动。第一百一十条 获得第三方访问授权的所有单位和个人应与人民 银行签订安全保密协议， 不得进行未授权的修改、 增加、删除数据操作， 不得复制和泄漏人民银行任何信息。第二节 外包服务管理第一百一十一条 本规定所称外包服务是指由人民银行之外的其 他社会厂商为人民银行计算机系统、 网络或桌面环境提供全面或部分的 技术支持、咨询等服务。外包服务应签订正式的外包服务协议，明确约 定双方义务。第一百一十二条 经本单位科技部门领导批准，外包服务

34、提供商 可提供上门维护服务并由人民银行科技人员在场准确记录所有技术配 置变更信息。 外包服务提供商不得查看、 复制涉密信息或将涉密介质带 离人民银行。第一百一十三条 计算机设备确需送外单位维修时，各单位科技 部门应彻底清除所存工作信息，必要时应与设备维修厂商签订保密协 议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单 位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。第十一章 信息通报、灾难备份与应急管理第一节 信息通报第一百一十四条 各单位应按照人民银行信息安全事件报告制 度进行信息通报，一般信息安全事件应逐级通报，发生因人为、自然原 因造成信息系统瘫痪以及利用计算机实

35、施犯罪等影响和损失较大的信 息安全事件（下称“重大信息安全事件”）应直接报总行科技司。第一百一十五条 重大信息安全事件发生后，各单位相关人员应 注意保护事件现场，采取必要的控制措施，调查事件原因，并及时报告 本单位主管领导。第一百一十六条 各单位应在重大信息安全事件发生后的两小时 内按规定程序报上一级科技部门， 由上级科技部门决定是否发布预警信 息或启动辖内应急预案。第二节 灾难备份管理第一百一十七条 灾难备份是指利用技术、管理手段以及相关资 源，确保已有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖 袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件（以 下称“灾难”）发生后在规

36、定的时间内可以恢复和继续运营的有序管理 过程。第一百一十八条 总行科技司将按照“统筹安排、资源共享、平 战结合”的原则，负责人民银行重要信息系统灾难备份的统一规划、实 施和管理。第一百一十九条 总行业务司局负责提出业务系统灾难备份需 求，明确可容忍的业务中断时间和数据丢失量。 总行科技司据此确定灾 难备份等级和备份方案。第一百二十条 各单位应建立健全灾难恢复计划， 定期开展灾难恢 复培训。在条件许可的情况下，由总行相关部门统一部署，重要信息系 统至少每年进行一次灾难恢复演练， 包括异地备份站点切换演练和本地 系统灾难恢复演练。第三节 应急管理第一百二十一条 应急预案是针对可能发生的意外事件并可

37、能导 致业务差错和停顿，甚至系统混乱、崩溃等灾难而采取的应对策略、措 施的有机集合。第一百二十二条 在计算机系统推广应用方案中应同时设计应急 备份策略，同步实施备份方案。第一百二十三条 各单位应制定和不断完善网络、计算机系统和 机房环境等应急预案。 预案的编制工作由相关业务部门和科技部门共同 完成。第一百二十四条 应急预案应包括以下基本内容：（一）总则（目标、原则、适用范围、预案调用关系等）（二）应急组织机构。（三）预警响应机制（报告、评估、预案启动等）。（四）各类危机处置流程。（五）应急资源保障。（六）事后处理流程。（七）预案管理与维护（生效、演练、维护等）。 第一百二十五条 各单位定期组织

38、应急预案的演练，并指定专人 管理和维护应急预案， 根据人员、 信息资源等变动情况以及演练情况适 时予以更新和完善，确保应急预案的有效性和灾难发生时的可获取性。第一百二十六条 各单位计算机安全工作领导小组统一负责各业 务系统的应急协调与指挥，决策重大事宜（决定应急预案的启动、灾难 宣告、预警相关单位等）和调动应急资源。第一百二十七条 总行办公厅负责统一向社会发布应急事件公 告，其他任何单位或个人不得向社会发布应急事件公告。第十二章 安全监测、检查、评估与审计第一节 安全监测第一百二十八条 各单位科技部门应整合和利用现有网络管理系 统、计算机资源监控系统、 专用安全监控系统以及相关设备与系统的运 行日志等监控资源， 加强对网络、