【正文】 安全管理第二十六條 本規(guī)定所稱機(jī)房是指計(jì)算機(jī)系統(tǒng)等主要設(shè)備放置、運(yùn)行場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。第二十九條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上一級(jí)科技部門備案。第三十一條 總行、分行、營(yíng)業(yè)管理部、省會(huì)（首府）城市中心支行應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房空調(diào)、消防、不間斷電源（UPS）、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機(jī)房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告。第二節(jié) 柜面和核心業(yè)務(wù)處理環(huán)境安全管理第三十五條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)格出入安全管理，應(yīng)安裝門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)，實(shí)行定時(shí)錄像監(jiān)控，并適當(dāng)配置自動(dòng)監(jiān)控報(bào)警功能。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放置在機(jī)房的特殊功能區(qū)，必要時(shí)，單獨(dú)建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄漏的屏蔽裝置等。第四十一條 各單位的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求：(一) 符合人民銀行網(wǎng)絡(luò)安全管理要求，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況，管理網(wǎng)絡(luò)資源及其配置信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。第四十五條 各單位科技部門應(yīng)嚴(yán)格網(wǎng)絡(luò)變更管理。確因工作需要進(jìn)行遠(yuǎn)程訪問的部門和人員應(yīng)向科技部門提出書面申請(qǐng)，并采取相應(yīng)的安全防護(hù)措施。第四十八條 各單位以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)總行科技司核準(zhǔn)，任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)?？萍疾块T憑相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng)，并做好備案。第五十四條 使用國(guó)際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國(guó)家有關(guān)法律法規(guī)和人民銀行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動(dòng)。（二） 安全需求分析和實(shí)現(xiàn)。第五十九條 計(jì)算機(jī)系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交人民銀行科技部門。第六十二條 涉密計(jì)算機(jī)系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。（三） 科技部門應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見。第六十五條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。第六十八條 業(yè)務(wù)操作人員嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作、數(shù)據(jù)備份，并配合科技部門保障信息安全。第七十條 凡是能夠執(zhí)行錄入、復(fù)核制度的計(jì)算機(jī)系統(tǒng)，業(yè)務(wù)操作人員不得一人兼錄入、復(fù)核兩職。使用計(jì)算機(jī)系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技部門提出廢止申請(qǐng)，由科技部門組織進(jìn)行安全檢查后予以廢止，同時(shí)備案。第七十五條 各單位應(yīng)建立完善的客戶端管理制度，記錄所有客戶端設(shè)備信息和軟件配置信息。第八章 信息安全專用產(chǎn)品、服務(wù)管理第一節(jié) 資質(zhì)審查與選型購(gòu)置第七十九條 本規(guī)定所稱信息安全專用產(chǎn)品，是指人民銀行安裝使用的專用安全軟件、硬件產(chǎn)品。第二節(jié) 使用管理第八十二條 各單位科技部門應(yīng)建立信息安全專用產(chǎn)品登記使用制度，建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。第八十四條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個(gè)月。第九章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié) 技術(shù)文檔第八十七條 本規(guī)定所稱技術(shù)文檔是指人民銀行網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)。第九十一條 各單位所有部門和個(gè)人應(yīng)加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備（Ｕ盤、軟盤、移動(dòng)硬盤）的管理。第九十五條 各單位業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。第九十八條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。第一百條 敏感計(jì)算機(jī)系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄、密封交相關(guān)部門保管。第五節(jié) 密碼技術(shù)應(yīng)用管理第一百〇二條 人民銀行涉密網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家密碼政策規(guī)定，采用相應(yīng)的加密措施。第一百〇五條 各單位應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并設(shè)置遇緊急情況下密鑰自動(dòng)銷毀功能。未經(jīng)人民銀行授權(quán)的任何第三方訪問均視為非法入侵行為。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。第二節(jié) 災(zāi)難備份管理第一百一十七條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過程。第一百二十條 各單位應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。第一百二十三條 各單位應(yīng)制定和不斷完善網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。（三） 預(yù)警響應(yīng)機(jī)制（報(bào)告、評(píng)估、預(yù)案啟動(dòng)等）。（七） 預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。第十二章 安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì)第一節(jié) 安全監(jiān)測(cè)第一百二十八條 各單位科技部門應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對(duì)網(wǎng)絡(luò)、重要計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。第一百三十二條 各單位在開展安全檢查前應(yīng)以安全管理制度為依據(jù)制定詳細(xì)的檢查方案和計(jì)劃，確保檢查工作的可操作性和規(guī)范性。所有檢查報(bào)告和資料應(yīng)作為人民銀行內(nèi)部材料妥善保管，不得向外界泄漏。評(píng)估開始前，應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。第一百三十八條 各單位應(yīng)妥善保管信息安全評(píng)估報(bào)告，未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。第一百四十二條 對(duì)于違反本規(guī)定，造成重大信息安全事件的單位及個(gè)人，要給予通報(bào)批評(píng)；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。20 / 2