【正文】 技司批準(zhǔn)、備案。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。如需要進行遠(yuǎn)程配置，由科技部門或經(jīng)科技部門授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進行操作。第二節(jié) 存儲介質(zhì)第八十九條 各單位應(yīng)建立健全磁帶、光盤、移動存儲介質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)管理流程。重要信息的存取需要授權(quán)和記錄。第九十四條 各單位業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技部門負(fù)責(zé)審核安全需求并提供一定的技術(shù)實現(xiàn)手段。第九十七條 各單位業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時限和密級，建立備份數(shù)據(jù)銷毀審批登記制度，并根據(jù)數(shù)據(jù)重要性級別分類采取相應(yīng)的安全銷毀措施?？诹蠲艽a的強度應(yīng)滿足不同安全性要求。第一百〇一條 各單位應(yīng)根據(jù)實際情況在一定時限內(nèi)妥善保存重要計算機系統(tǒng)升級改造前的口令密碼。第一百〇四條 各單位應(yīng)建立嚴(yán)格的密鑰管理體制，選擇密碼管理人員必須十本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。第一百〇八條 各單位保密工作委員會負(fù)責(zé)涉密計算機系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批，各單位科技部門負(fù)責(zé)非涉密計算機系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。第二節(jié) 外包服務(wù)管理第一百一十一條 本規(guī)定所稱外包服務(wù)是指由人民銀行之外的其他社會廠商為人民銀行計算機系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。第一百一十三條 計算機設(shè)備確需送外單位維修時，各單位科技部門應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技部門，由上級科技部門決定是否發(fā)布預(yù)警信息或啟動轄內(nèi)應(yīng)急預(yù)案?？傂锌萍妓緭?jù)此確定災(zāi)難備份等級和備份方案。第一百二十二條 在計算機系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案。（二） 應(yīng)急組織機構(gòu)。（六） 事后處理流程。第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。第二節(jié) 安全檢查第一百三十一條 各單位科技部門應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。第一百三十三條 各單位參加檢查的人員對檢查中的涉密信息負(fù)有保密責(zé)任。第一百三十六條 安全評估應(yīng)在不影響信息系統(tǒng)正常運行的情況下進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。第十三章 獎勵與處罰第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評比活動，對達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎勵，對表現(xiàn)突出的單位和個人進行通報表彰并給予一定形式的獎勵。第一百四十五條 本規(guī)定自發(fā)布之日起執(zhí)行。第十四章 附 則第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的，按本規(guī)定執(zhí)行。第四節(jié) 安全審計第一百三十九條 各單位科技部門在支持與配合內(nèi)審部門開展審計信息安全工作的同時，應(yīng)適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導(dǎo)。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技部門主管領(lǐng)導(dǎo)。第一百三十四條 各單位應(yīng)將每次安全檢查報告和整改落實情況整理匯總后報上一級科技部門備案。安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報告盡快送達(dá)被檢查單位。第一百二十九條 各單位科技部門應(yīng)建立運行監(jiān)測周報、月報或季報制度，報送本單位計算機安全工作領(lǐng)導(dǎo)小組和上一級科技部門，抄送相關(guān)業(yè)務(wù)部門。第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。（四） 各類危機處置流程。預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門和科技部門共同完成。在條件許可的情況下，由總行相關(guān)部門統(tǒng)一部署，重要信息系統(tǒng)至少每年進行一次災(zāi)難恢復(fù)演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理。第十一章 信息通報、災(zāi)難備份與應(yīng)急管理第一節(jié) 信息通報第一百一十四條 各單位應(yīng)按照人民銀行信息安全事件報告制度進行信息通報，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報總行科技司。第一百一十二條 經(jīng)本單位科技部門領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護服務(wù)并由人民銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配置變更信息。第一百〇九條 允許被第三方訪問的人民銀行計算機系統(tǒng)和資源應(yīng)建立存取控制機制、認(rèn)證機制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān)督第三方訪問活動。第一百〇六條 各類密鑰應(yīng)定期更換，對已泄漏或懷疑泄漏的密鑰應(yīng)及時廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)人民銀行實際需求和統(tǒng)一安全策略，合理選擇加密措施。未經(jīng)科技部門主管領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼?；謴?fù)及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的，應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。第九十六條 各單位科技部門系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要計算機系統(tǒng)日志文件并明確標(biāo)識存儲內(nèi)容、時間、密級等信息。第九十二條 各單位應(yīng)建立存儲介質(zhì)銷毀制度，對載有敏感信息的存儲介質(zhì)應(yīng)采用焚燒或粉碎等方式進行處置并做好記錄。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。第八十八條 各單位科技部門負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔，實行借閱登記制度。第八十五條 各單位科技部門應(yīng)及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。本規(guī)定所稱信息安全服務(wù)，是指人民銀行向社會購買的專業(yè)化