银行信息安全管理规定

--10-中国人民银行信息安全治理规定第一章 总则第一条为强化人民银行信息安全治理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，依据《中华人安全保护工作暂行规定》等规定，特制定本规定。其次条项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列治理活动。第三条企事业单位负责本单位的信息安全治理。第四条管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。第五条业单位〔以下统称“各单位”〕。全部使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。其次章 组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成单位及辖内信息安全治理工作，决策本单位及辖内信息安全重大事宜。第七条关、分行、营业治理部、省会〔首府〕城市中心支行、副省级城市中心AB〔市〕中心支行和县〔市〕支行设立信息安全治理岗位。第八条安全治理工作。第三章 人员治理第九条信息安全保障职责。第一节信息安全治理人员第十条受到过惩罚或处分的人员，不得从事此项工作。第十一条各单位信息安全治理人员应经过总行或分行、营业管理部、省会〔首府〕城市中心支行组织的专业培训与审核，培训与审核合格前方可上岗。上岗后，每年至少参与一次信息安全专业培训。第十二条 各单位信息安全治理人员在如下职责范围内开展本单位信息安全治理工作：〔一〕 组织落实上级信息安全治理规定，制定信息安全治理制度，协调部门计算机安全员工作，监视检查信息安全保障工作。〔二〕 审核信息化建设工程中的安全方案组织实施信息安全保障工程建设，维护、治理信息安全专用设施。〔三〕份、机房环境与文档等安全治理状况，觉察问题，准时通报和预警，并提出整改意见。统计分析和协调处置信息安全大事。〔四〕估与培训工作。第十三条信息安全治理人员在履行职责时，确因工作需要查询请，获得批准前方可查询。第十四条 信息安全治理人员实行备案治理制度。信息安全治理员调离原岗位时应办理交接手续，并履行其调离后的保密义务。其次节 部门计算机安全员第十五条各部门应指派素养好、较生疏计算机学问的人员担当作，并准时通报科技部门。第十六条部门计算机安全员协作信息安全治理人员工作，并参加各项信息安全技能培训。第十七条 部门计算机安全员在如下职责范围内开展工作：〔一〕安全治理状况。〔二〕人员沟通信息安全信息。〔三〕部门信息安全自查，帮助科技部门完成对本部门的信息安全检查工作。第三节 技术支持人员第十八条 本规定所称技术支持人员，是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包效劳人员。第十九条 人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应担当如下安全义务：〔一〕不得对外泄漏或引用工作中触及的任何敏感信息。严格权的任何数据。〔二〕主动检查和监控生产系统安全运行状况，觉察安全隐患或故障准时报告本部门主管领导，并准时响应、处置。〔三〕严格操作治理、测试治理、应急治理、配置治理、变更治理、档案治理等工作制度，做好数据备份工作。其次十条外部技术支持人员应严格履行外包效劳合同〔协议〕与操作规程，关键操作应经授权，并有人民银行内部员工在场。不得拷信息。第四节 业务系统操作人员其次十一条本规定所称业务系统操作人员是指直接操作业务系统进展业务处理的业务部门工作人员。其次十二条业务系统操作人员应担当如下安全义务：〔一〕严格规程操作，防止误操作。定期修改操作密码并妥当保管，按需、适时进展必要的数据备份。〔二〕觉察业务系统消灭特别准时报告科技部门。〔三〕不得在操作终端上安装与业务系统无关的软件和硬件，不得擅自修改业务系统及其运行环境参数设置。其次十三条业务系统操作应依据“权限分散、不得穿插任职”原统操作人员。第五节 一般计算机用户其次十四条本规定所称一般计算机用户是指使用计算机设备的全部人员。其次十五条一般计算机用户应担当如下安全义务：〔一〕准时更所用计算机的病毒防治软件和安装补丁程序，自觉承受本部门计算机安全员的指导与治理。〔二〕不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置参数。〔三〕未经科技部门检测和授权，不得将接入人民银行内部网络部网络；不得随便将个人计算机带入机房或私自拷贝任何信息。第四章 机房环境和设备资产治理第一节 机房安全治理其次十六条本规定所称机房是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。其次十七条各单位机房的规划、建设、改造、运行、维护由科技部门负责，相关设备选购纳入政府集中选购。机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫部门协商确定。其次十八条各单位原则上只建设一个符合国家计算机机房有关标施效劳。其次十九条机房建设、改造的方案应报上一级科技部门备案。必要时，由上一级机构科技部门会同会计、保卫等部门进展审核。第三十条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工阅历的专业化公司，其中总行、分行、营业治理部、省会〔首府〕城市中心支行、打算单列市中心支行的机房建设或改造应选择具有国家贰级或贰级以上资质同房建设或改造工程应引入监理制度。第三十一条总行、分行、营业治理部、省会〔首府〕城市中心支行应建立机房设施与场地环境监控系统，对机房空调、消防、不连续电源〔UPS〕、供配电、门禁系统等重要设施实行全面监控。第三十二条各单位机房投入使用前，应经过当地公安消防部门的的验收报告。未阅历收或验收不合格的机房均不得投入使用。第三十三条各单位应建立健全机房治理制度，并指派专人担当机房治理员，落实机房安全责任制。机房治理员应经过相关专业培训，熟录等有关资料，并随时供给调阅。第三十四条建立机房定期修理保养制度。易受季节、温度等环境的重点。其次节 柜面和核心业务处理环境安全治理第三十五条向社会供给公众效劳的柜面和核心业务处理环境应严格出入安全治理，应安装门禁、防入侵报警、视频监视录像系统，实行定时录像监控，并适当配置自动监控报警功能。第三十六条全部门禁、防入侵报警、视频监视录像系统的信息资料由专人保存至少三个月。第三节 设备资产治理第三十七条各单位科技部门应建立完备的计算机设备登记制度，严格资产治理，明确计算机设备使用者或治理者及其安全责任。第三十八条各单位科技部门应依据计算机设备重要程度实行不同时，单独建立门禁与监控系统，或配备防电磁泄漏的屏蔽装置等。第五章 网络安全治理第一节网络规划、建设中的安全治理第三十九条总行科技司负责网络和网络安全的统一规划、建设部署、策略配置和网络资源〔IP〕安排。第四十条 各单位科技部门依据总行科技司的统一规划和总体部署，组织实施网络建设、改造工程。各单位局域网的建设与改造方案应报上一级科技部门审核、备案，投产前应通过本单位组织的安全测试。第四十一条各单位的网络建设和改造应符合如下根本安全要求：(一) 符合人民银行网络安全治理要求保障网络传输与应用安全。(二) 具备必要的网络监测、跟踪和审计等治理功能。(三) 针对不同的网络安全域，实行必要的安全隔离措施。其次节网络运行安全治理第四十二条各单位科技部门应建立健全网络安全运行制度，配备专〔兼〕职网络治理员。网络治理员负责日常监测和检查网络安全运行状况，治理网络资源及其配置信息，建立健全网络运行维护档案，准时觉察和解决网络特别状况。第四十三条网络治理员应定期参与网络安全技术培训，具备肯定的非法入侵、病毒集中等网络安全威逼的应对技能，紧急状况下，经本部门主管领导授权后可实行“先断网、后处理”的紧急应对措施。第四十四条各单位科技部门应严格网络接入治理。任何设备接入〔检测〕通过前方可接入并安排相应的网络资源。第四十五条各单位科技部门应严格网络变更治理。网络治理员调应急恢复预备。第四十六条各单位应严格远程访问掌握。确因工作需要进展远程措施。第四十七条信息安全治理人员经本部门主管领导批准，有权对本单位或辖内网络进展安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界供给。未经总行科技司授权，任何外部单位与人员不得检测、扫描人民银行内部网络。第四十八条各单位以不影响业务的正常网络传输为原则，合理控内部网络上供给跨辖区视频点播等严峻占用网络资源的多媒体网络应用。第三节网间互联安全治理第四十九条本规定所称网间互联是指为满足人民银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。第五十条 网间互联由总行科技司统一规划，依据相关标准组织联。第四节接入国际互联网治理第五十一条人民银行内部网络与国际互联网实行安全隔离。全部接接入国际互联网。第五十二条计算机接入国际互联网应通过本单位保密工作委员会办公室批准，并确保安装有人民银行选定的防病毒软件和最补丁程序。科技部门凭相关批准证明实施联网，并做好备案。曾接入人民银行技部门确保该计算机已删除敏感工作信息前方可实施接入。第五十三条未经科技部门安全检测，曾接入国际互联网的计算机病毒检测不得在内部网络上使用。第五十四条使用国际互联网的全部用户应遵守国家有关法律法规和人民银行相关治理规定，不得从事任何违法违规活动。第六章 计算机系统安全治理第五十五条本规定所指的计算机系统是人民银行业务处理系统、环境等。第一节计算机系统规划与立项第五十六条计算机系统建设工程应在规划与立项阶段同步考虑安全问题，建设方案应满足人民银行信息安全保障总体规划的相关要求。工程技术方案应包括以下根本安全内容：〔一〕业务需求部门提出的安全需求。〔二〕安全需求分析和实现。〔三〕运行平台的安全策略与设计。第五十七条各单位科技部门负责对工程技术方案进展安全专项审查并提出审查意见，未通过安全审核的工程不得予以立项。其次节计算机系统开发与集成第五十八条计算机系统开发应符合软件工程标准，依据安全需求进展安全设计，保证安全功能的完整实现。第五十九条计算机系统开发单位应在完成开发任务后将程序源代的关键安全技术措施和核心安全功能设计对外公开。第六十条计算机系统的开发人员不能兼任计算机系统治理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。第六十一条计算机系统开发、测试、修改工作不得在生产环境中进展。第六十二条涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。第三节计算机系统运行第六十三条各单位计算机系统上线运行实行安全审查制度，未通过安全审查的任何建或改造计算机系统不得投产运行。具体要求如下：〔一〕 工程担当单位〔部门〕应组织制定安全测试方案，进展系统上线前的自测试并形成测试报告，报科技部门审查。〔二〕 计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定，报科技部门备案。〔三〕 科技部门应提出明确的测试方案和测试报告审查意见必要时，可组织专家评审或实施计算机系统漏洞扫描检测。第六十四条各单位科技部门应明确系统治理员，具体负责计算机系统变更及操作过程。重要业务系统的系统设置要求双人在场。第六十五条系统治理员不得兼任业务操作人员。系统治理员确需在场的状况下进展，并具体记录维护内容、人员、时间等信息。第六十六条未经业务主管部门领导书面批准，其他任何人不得擅自使用业务操作人员用机，不得擅自设置、安排、使用、修改、删除操作员代码、口令和业务数据，不得擅自转变用户权限。第四节业务操作第六十七条业务部门负责计算机系统用户和权限设定，科技部门依据授权进展相关设定操作。第六十八条业务操作人员严格依据安全操作规程进展业务操作、准时向本部门领导和科技部门报告。第六十九条业务操作人员设置本人口令密码。重要计算机系统业务操作人员的密码应由业务部门领导和系统治理员分段设立。第七十条 但凡能够执行录入、复核制度的计算机系统，业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准，不得代岗、兼岗。第七十一条业务操作人员离开操作用机时，应按序退出计算机系统，回到操作系统初始状态，防止业务数据被复制、修改、删除以及误操作。第五节计算机系统废止第七十二条实行计算机系统废止申报、备案制度。使用计算机系安全检查后予以废止，同时备案。第七十三条对已经废止的计算机系统软件和数据备份介质，科技部门按业务规定在肯定期限内妥当保存。超过保存期限后需要销毁的，应在本单位保密工作委员会监视下予以不行恢复性销毁。第七章 客户端安全治理第七十四条本规定所称客户端是指人民银行计算机用户、网络与信息系统所使用的终端设备，包括联网桌面终端、柜面终端、单机运行〔哑〕终端、远程接入终端、便携式计算机等。第七十五条各单位应建立完善的客户端治理制度，记录全部客户端设备信息和软件配置信息。第七十六条客户端应安装和使用正版软件，不得安装和使用盗版软件，不得安装和使用与工作无关的软件。第七十七条客户端应统一安装病毒防治软件，设置用户密码和屏程序。第七十八条确因工作需要经授权可远程接入内部网络的用户，应严格保存其身份认证介质及口令密码，不得转借其他人使用。第八章 信息安全专用产品、效劳治理第一节资质审查与选型购置第七十九条本规定所称信息安全专用产品，是指人民银行安装使用的专用安全软件、硬件产品。本规定所称信息安全效劳，是指人民银行向社会购置的专业化安全效劳。第八十条 总行科技司负责信息安全效劳供给商的资质审查和信息安全专用产品的选型，由集中选购部门依据政府集中选购程序选购。第八十一条各单位购置扫描、检测类信息安全专用产品应报总行科技司批准、备案。其次节使用治理第八十二条各单位科技部门应建立信息安全专用产品登记使用制度，建立信息安全类固定资产使用登记簿并由专人负责治理。扫描、检测类信息安全专用产品仅限于本单位信息安全治理人员使用。第八十三条各单位科技部门随时检查各类信息安全专用产品使题，马上实行掌握措施并按规定程序报告。第八十四条各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料，应备份存档至少三个月。第八十五条各单位科技部门应准时升级维护信息安全专用产品，产报废审批程序处理。第八十六条防火墙、入侵检测等安全专用产品原则上应在本地配并实行了必要的安全掌握措施后进展操作。第九章文档、数据与密码应用安全治理第一节技术文档第八十七条本规定所称技术文档是指人民银行网络、计算机系统档、电子文档、视频和音频文件等。第八十八条各单位科技部门负责将技术文档统一归档，实行借阅登记制度。未经科技部门领导批准，任何人不得将技术文档转借、复制和对外公布。其次节 存储介质第八十九条各单位应建立健全磁带、光盘、移动存储介质、缩微物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。第九十条 各单位应做好存储介质在物理传输过程中的安全控和记录。第九十一条〔Ｕ盘、软盘、移动硬盘〕的治理。第九十二条各单位应建立存储介质销毁制度，对载有敏感信息的存储介质应承受燃烧或粉碎等方式进展处置并做好记录。第三节 数据安全第九十三条本规定中所称的数据是指以电子形式存储的人民银行第九十四条各单位业务部门负责提出数据在输入、处理、输出等实现手段。第九十五条各单位业务部门应严格治理业务数据的增加、修改、行数据备份任务，并定期测试备份数据的有效性和预演数据恢复流程。第九十六条各单位科技部门系统治理员负责定期导出网络和重要计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保存一年，妥当保管。第九十七条各单位业务部门应明确规定备份数据的保存时限和密相应的安全销毁措施。第九十八条全部数据备份介质应留意防磁、防潮、防尘、防高温、令密码密封后与数据备份介质一并妥当