中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全与稳定运行,根据《中华人民共与国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。

第二条本规定所称信息安全管理,就是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络与操作安全得一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导与分级管理。

总行统一领导分支机构与直属企事业单位得信息安全管理,负责总行机关得信息安全管理。

分支机构负责本单位与辖内得信息安全管理,各直属企事业单位负责本单位得信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”得原则,逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构与直属企事业单位(以下统称“各单位”)。

所有使用人民银行网络或信息资源得其她外部机构与个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导与相关部门主要负责人组成得计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行与县(市)支行设立信息安全管理岗位。

第八条除科技部门外,各单位其她部门均应指定至少一名部门计算机安全员,具体负责本部门得信息安全管理,协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同得岗位或工作范围,履行相应得信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平得人员从事信息安全管理工作。

凡就是因违反国家法律法规与人民银行有关规定受到过处罚或处分得人员,不得从事此项工作。

第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织得专业培训与审核,培训与审核合格后方可上岗。

上岗后,每年至少参加一次信息安全专业培训。

第十二条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作:（一）组织落实上级信息安全管理规定,制定信息安全管理制度,协调部门计算机安全员工作,监督检查信息安全保障工作。

（二）审核信息化建设项目中得安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。

（三）检测网络与信息系统得安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报与预警,并提出整改意见。

统计分析与协调处置信息安全事件。

（四）定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。

第十三条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本单位主管同意后向保密工作委员会办公室提交申请,获得批准后方可查询。

第十四条信息安全管理人员实行备案管理制度。

信息安全管理人员得配备与变更情况应及时报上一级科技部门备案。

信息安全管理人员调离原岗位时应办理交接手续,并履行其调离后得保密义务。

第二节部门计算机安全员第十五条各部门应指派素质好、较熟悉计算机知识得人员担任部门计算机安全员,并报本单位科技部门备案。

如有变更应做好交接工作,并及时通报科技部门。

第十六条部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。

第十七条部门计算机安全员在如下职责范围内开展工作:（一）负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。

（二）负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。

（三）负责本部门国际互联网使用与接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门得信息安全检查工作。

第三节技术支持人员第十八条本规定所称技术支持人员,就是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护得内部技术支持人员与外包服务人员。

第十九条人民银行内部技术支持人员在履行网络与信息系统建设与日常运行维护职责过程中,应承担如下安全义务:（一）不得对外泄漏或引用工作中触及得任何敏感信息。

严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成得任何数据。

（二）主动检查与监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。

（三）严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。

第二十条外部技术支持人员应严格履行外包服务合同(协议)得各项安全承诺。

提供技术服务期间,严格遵守人民银行相关安全规定与操作规程,关键操作应经授权,并有人民银行内部员工在场。

不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。

第四节业务系统操作人员第二十一条本规定所称业务系统操作人员就是指直接操作业务系统进行业务处理得业务部门工作人员。

第二十二条业务系统操作人员应承担如下安全义务:（一）严格规程操作,防止误操作。

定期修改操作密码并妥善保管,按需、适时进行必要得数据备份。

（二）发现业务系统出现异常及时报告科技部门。

（三）不得在操作终端上安装与业务系统无关得软件与硬件,不得擅自修改业务系统及其运行环境参数设置。

第二十三条业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分与授权管理。

技术支持人员不得兼任业务系统操作人员。

第五节一般计算机用户第二十四条本规定所称一般计算机用户就是指使用计算机设备得所有人员。

第二十五条一般计算机用户应承担如下安全义务:（一）及时更新所用计算机得病毒防治软件与安装补丁程序,自觉接受本部门计算机安全员得指导与管理。

（二）不得安装与办公与业务处理无关得其她计算机软件与硬件,不得修改系统与网络配置参数。

（三）未经科技部门检测与授权,不得将接入人民银行内部网络得所用计算机转接入国际互联网;不得将便携式计算机接入人民银行内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。

第四章机房环境与设备资产管理第一节机房安全管理第二十六条本规定所称机房就是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。

第二十七条各单位机房得规划、建设、改造、运行、维护由科技部门负责,相关设备采购纳入政府集中采购。

机房得消防、视频监视录像、防雷、门禁等子系统得规划、建设、运行与维护由科技部门与保卫部门协商确定。

第二十八条各单位原则上只建设一个符合国家计算机机房有关标准与人民银行相关规定得计算机机房,为所有业务部门提供机房基础设施服务。

第二十九条机房建设、改造得方案应报上一级科技部门备案。

必要时,由上一级机构科技部门会同会计、保卫等部门进行审核。

第三十条机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工经验得专业化公司,其中总行、分行、营业管理部、省会(首府)城市中心支行、计划单列市中心支行得机房建设或改造应选择具有国家贰级或贰级以上资质同时具有三年以上专业从事计算机机房装修装饰经验得专业公司。

重要机房建设或改造工程应引入监理制度。

第三十一条总行、分行、营业管理部、省会(首府)城市中心支行应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。

第三十二条各单位机房投入使用前,应经过当地公安消防部门得消防验收与本单位科技、保卫与会计部门组织得验收,并出具明确结论得验收报告。

未经验收或验收不合格得机房均不得投入使用。

第三十三条各单位应建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。

机房管理员应经过相关专业培训,熟知机房各类设备得分布与操作要领,定期巡查机房,发现问题及时报告。

机房管理员负责保管机房建设或改造得所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。

第三十四条建立机房定期维修保养制度。

易受季节、温度等环境因素影响得设备、已逾保修期得设备、近期维修过得设备等应成为保养得重点。

第二节柜面与核心业务处理环境安全管理第三十五条向社会提供公众服务得柜面与核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。

第三十六条所有门禁、防入侵报警、视频监视录像系统得信息资料由专人保存至少三个月。

第三节设备资产管理第三十七条各单位科技部门应建立完备得计算机设备登记制度,严格资产管理,明确计算机设备使用者或管理者及其安全责任。

第三十八条各单位科技部门应根据计算机设备重要程度采取不同得安全保护措施,制定完善得访问控制策略,防止未经授权使用设备或信息。

有特殊安全要求得计算机设备应放置在机房得特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄漏得屏蔽装置等。

第五章网络安全管理第一节网络规划、建设中得安全管理第三十九条总行科技司负责网络与网络安全得统一规划、建设部署、策略配置与网络资源(网络设备、通讯线路、IP地址与域名等)分配。

第四十条各单位科技部门按照总行科技司得统一规划与总体部署,组织实施网络建设、改造工程。

各单位局域网得建设与改造方案应报上一级科技部门审核、备案,投产前应通过本单位组织得安全测试。

第四十一条各单位得网络建设与改造应符合如下基本安全要求:(一)符合人民银行网络安全管理要求,保障网络传输与应用安全。

(二)具备必要得网络监测、跟踪与审计等管理功能。

(三)针对不同得网络安全域,采取必要得安全隔离措施。

第二节网络运行安全管理第四十二条各单位科技部门应建立健全网络安全运行制度,配备专(兼)职网络管理员。

网络管理员负责日常监测与检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现与解决网络异常情况。

第四十三条网络管理员应定期参加网络安全技术培训,具备一定得非法入侵、病毒蔓延等网络安全威胁得应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”得紧急应对措施。

第四十四条各单位科技部门应严格网络接入管理。

任何设备接入网络前,接入方案、设备得安全性等应经过审核与必要得检测,审核(检测)通过后方可接入并分配相应得网络资源。

第四十五条各单位科技部门应严格网络变更管理。

网络管理员调整网络重要参数配置与服务端口前,应书面请示本部门主管领导,变更信息应做好记录。

实施有可能影响网络正常运行得重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数得备份与应急恢复准备。