【正文】 技司批準(zhǔn)、備案。如發(fā)現(xiàn)重大問(wèn)題，立即采取控制措施并按規(guī)定程序報(bào)告。如需要進(jìn)行遠(yuǎn)程配置，由科技部門(mén)或經(jīng)科技部門(mén)授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。第二節(jié) 存儲(chǔ)介質(zhì)第八十九條 各單位應(yīng)建立健全磁帶、光盤(pán)、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。重要信息的存取需要授權(quán)和記錄。第九十四條 各單位業(yè)務(wù)部門(mén)負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技部門(mén)負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。第九十七條 各單位業(yè)務(wù)部門(mén)應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密級(jí)，建立備份數(shù)據(jù)銷(xiāo)毀審批登記制度，并根據(jù)數(shù)據(jù)重要性級(jí)別分類(lèi)采取相應(yīng)的安全銷(xiāo)毀措施。口令密碼的強(qiáng)度應(yīng)滿(mǎn)足不同安全性要求。第一百〇一條 各單位應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重要計(jì)算機(jī)系統(tǒng)升級(jí)改造前的口令密碼。第一百〇四條 各單位應(yīng)建立嚴(yán)格的密鑰管理體制，選擇密碼管理人員必須十本單位在編的正式員工，并逐級(jí)進(jìn)行備案，規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷(xiāo)毀等過(guò)程。第一百〇八條 各單位保密工作委員會(huì)負(fù)責(zé)涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪(fǎng)問(wèn)授權(quán)審批，各單位科技部門(mén)負(fù)責(zé)非涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪(fǎng)問(wèn)授權(quán)審批。第二節(jié) 外包服務(wù)管理第一百一十一條 本規(guī)定所稱(chēng)外包服務(wù)是指由人民銀行之外的其他社會(huì)廠(chǎng)商為人民銀行計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢(xún)等服務(wù)。第一百一十三條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，各單位科技部門(mén)應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠(chǎng)商簽訂保密協(xié)議。第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技部門(mén)，由上級(jí)科技部門(mén)決定是否發(fā)布預(yù)警信息或啟動(dòng)轄內(nèi)應(yīng)急預(yù)案?？傂锌萍妓緭?jù)此確定災(zāi)難備份等級(jí)和備份方案。第一百二十二條 在計(jì)算機(jī)系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。（二） 應(yīng)急組織機(jī)構(gòu)。（六） 事后處理流程。第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告，其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。第二節(jié) 安全檢查第一百三十一條 各單位科技部門(mén)應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專(zhuān)項(xiàng)檢查，安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。第一百三十三條 各單位參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。第一百三十六條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。第十三章 獎(jiǎng)勵(lì)與處罰第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評(píng)比活動(dòng)，對(duì)達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎(jiǎng)勵(lì)，對(duì)表現(xiàn)突出的單位和個(gè)人進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。第一百四十五條 本規(guī)定自發(fā)布之日起執(zhí)行。第十四章 附 則第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的，按本規(guī)定執(zhí)行。第四節(jié) 安全審計(jì)第一百三十九條 各單位科技部門(mén)在支持與配合內(nèi)審部門(mén)開(kāi)展審計(jì)信息安全工作的同時(shí)，應(yīng)適時(shí)開(kāi)展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過(guò)程的技術(shù)審計(jì)，發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見(jiàn)報(bào)本單位科技部門(mén)主管領(lǐng)導(dǎo)。第一百三十四條 各單位應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技部門(mén)備案。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。第一百二十九條 各單位科技部門(mén)應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)制度，報(bào)送本單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技部門(mén)，抄送相關(guān)業(yè)務(wù)部門(mén)。第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練，并指定專(zhuān)人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。（四） 各類(lèi)危機(jī)處置流程。預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門(mén)和科技部門(mén)共同完成。在條件許可的情況下，由總行相關(guān)部門(mén)統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練，包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。第十一章 信息通報(bào)、災(zāi)難備份與應(yīng)急管理第一節(jié) 信息通報(bào)第一百一十四條 各單位應(yīng)按照人民銀行信息安全事件報(bào)告制度進(jìn)行信息通報(bào)，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件（下稱(chēng)“重大信息安全事件”）應(yīng)直接報(bào)總行科技司。第一百一十二條 經(jīng)本單位科技部門(mén)領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門(mén)維護(hù)服務(wù)并由人民銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。第一百〇九條 允許被第三方訪(fǎng)問(wèn)的人民銀行計(jì)算機(jī)系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制，列明所有用戶(hù)名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪(fǎng)問(wèn)活動(dòng)。第一百〇六條 各類(lèi)密鑰應(yīng)定期更換，對(duì)已泄漏或懷疑泄漏的密鑰應(yīng)及時(shí)廢除，過(guò)期密鑰應(yīng)安全歸檔或定期銷(xiāo)毀。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)人民銀行實(shí)際需求和統(tǒng)一安全策略，合理選擇加密措施。未經(jīng)科技部門(mén)主管領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼?；謴?fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。第九十六條 各單位科技部門(mén)系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要計(jì)算機(jī)系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。第九十二條 各單位應(yīng)建立存儲(chǔ)介質(zhì)銷(xiāo)毀制度，對(duì)載有敏感信息的存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處置并做好記錄。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。第八十八條 各單位科技部門(mén)負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔，實(shí)行借閱登記制度。第八十五條 各單位科技部門(mén)應(yīng)及時(shí)升級(jí)維護(hù)信息安全專(zhuān)用產(chǎn)品，凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專(zhuān)用產(chǎn)品，按照固定資產(chǎn)報(bào)廢審批程序處理。掃描、檢測(cè)類(lèi)信息安全專(zhuān)用產(chǎn)品僅限于本單位信息安全管理人員使用。本規(guī)定所稱(chēng)信息安全服務(wù)，是指人民銀行向社會(huì)購(gòu)買(mǎi)的專(zhuān)業(yè)化