【正文】 權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將計(jì)算機(jī)系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開(kāi)。必要時(shí)，可組織專家評(píng)審或?qū)嵤┯?jì)算機(jī)系統(tǒng)漏洞掃描檢測(cè)。一旦發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)運(yùn)行異常及時(shí)向本部門領(lǐng)導(dǎo)和科技部門報(bào)告。第七十三條 對(duì)已經(jīng)廢止的計(jì)算機(jī)系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技部門按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。本規(guī)定所稱信息安全服務(wù)，是指人民銀行向社會(huì)購(gòu)買的專業(yè)化安全服務(wù)。第八十五條 各單位科技部門應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品，凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報(bào)廢審批程序處理。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。第九十六條 各單位科技部門系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要計(jì)算機(jī)系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。未經(jīng)科技部門主管領(lǐng)導(dǎo)許可，任何人不得擅自拆閱密封的口令密碼。第一百〇六條 各類密鑰應(yīng)定期更換，對(duì)已泄漏或懷疑泄漏的密鑰應(yīng)及時(shí)廢除，過(guò)期密鑰應(yīng)安全歸檔或定期銷毀。第一百一十二條 經(jīng)本單位科技部門領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商可提供上門維護(hù)服務(wù)并由人民銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配置變更信息。第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門和科技部門共同完成。第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見(jiàn)報(bào)本單位科技部門主管領(lǐng)導(dǎo)。第十四章 附 則第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的，按本規(guī)定執(zhí)行。第十三章 獎(jiǎng)勵(lì)與處罰第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評(píng)比活動(dòng)，對(duì)達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎(jiǎng)勵(lì)，對(duì)表現(xiàn)突出的單位和個(gè)人進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。第一百三十六條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。第二節(jié) 安全檢查第一百三十一條 各單位科技部門應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查，安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。（六） 事后處理流程。第一百二十二條 在計(jì)算機(jī)系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技部門，由上級(jí)科技部門決定是否發(fā)布預(yù)警信息或啟動(dòng)轄內(nèi)應(yīng)急預(yù)案。第二節(jié) 外包服務(wù)管理第一百一十一條 本規(guī)定所稱外包服務(wù)是指由人民銀行之外的其他社會(huì)廠商為人民銀行計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢等服務(wù)。第一百〇四條 各單位應(yīng)建立嚴(yán)格的密鑰管理體制，選擇密碼管理人員必須十本單位在編的正式員工，并逐級(jí)進(jìn)行備案，規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷毀等過(guò)程?？诹蠲艽a的強(qiáng)度應(yīng)滿足不同安全性要求。第九十四條 各單位業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技部門負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。第二節(jié) 存儲(chǔ)介質(zhì)第八十九條 各單位應(yīng)建立健全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、縮微膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。如發(fā)現(xiàn)重大問(wèn)題，立即采取控制措施并按規(guī)定程序報(bào)告。第七十八條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng)嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。第五節(jié) 計(jì)算機(jī)系統(tǒng)廢止第七十二條 實(shí)行計(jì)算機(jī)系統(tǒng)廢止申報(bào)、備案制度。第四節(jié) 業(yè)務(wù)操作第六十七條 業(yè)務(wù)部門負(fù)責(zé)計(jì)算機(jī)系統(tǒng)用戶和權(quán)限設(shè)定，科技部門根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。（二） 計(jì)算機(jī)系統(tǒng)應(yīng)用部門應(yīng)在計(jì)算機(jī)系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定，報(bào)科技部門備案。第二節(jié) 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)與集成第五十八條 計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。從國(guó)際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。第五十條 網(wǎng)間互聯(lián)由總行科技司統(tǒng)一規(guī)劃，按照相關(guān)標(biāo)準(zhǔn)組織實(shí)施。 第四十六條 各單位應(yīng)嚴(yán)格遠(yuǎn)程訪問(wèn)控制。第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理第四十二條 各單位科技部門應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行制度，配備專（兼）職網(wǎng)絡(luò)管理員。第三十八條 各單位科技部門應(yīng)根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同的安全保護(hù)措施，制定完善的訪問(wèn)控制策略，防止未經(jīng)授權(quán)使用設(shè)備或信息。第三十三條 各單位應(yīng)建立健全機(jī)房管理制度，并指派專人擔(dān)任機(jī)房管理員，落實(shí)機(jī)房安全責(zé)任制。第二十八條 各單位原則上只建設(shè)一個(gè)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)準(zhǔn)和人民銀行相關(guān)規(guī)定的計(jì)算機(jī)機(jī)房，為所有業(yè)務(wù)部門提供機(jī)房基礎(chǔ)設(shè)施服務(wù)。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。提供技術(shù)服務(wù)期間，嚴(yán)格遵守人民銀行相關(guān)安全規(guī)定與操作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)，并有人民銀行內(nèi)部員工在場(chǎng)。（二） 負(fù)責(zé)提出本部門信息安全保障需求，及時(shí)與信息安全管理人員溝通信息安全信息。第十三條 信息安全管理人員在履行職責(zé)時(shí)，確因工作需要查詢相關(guān)涉密信息，須經(jīng)本單位主管同意后向保密工作委員會(huì)辦公室提交申請(qǐng)，獲得批準(zhǔn)后方可查詢。凡是因違反國(guó)家法律法規(guī)和人民銀行有關(guān)規(guī)定受到過(guò)處罰或處分的人員，不得從事此項(xiàng)工作。第五條 本規(guī)定適用于人民銀行總行機(jī)關(guān)、各分支機(jī)構(gòu)和直屬企事業(yè)單位（以下統(tǒng)稱“各單位”）。第二條 本規(guī)定所稱信息安全管理，是指在人民銀行信息化項(xiàng)目立項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過(guò)程中保障計(jì)算機(jī)信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。第七條 各單位科技部門應(yīng)設(shè)立信息安全管理部門或崗位。第十二條 各單位信息安全管理人員在如下職責(zé)范圍內(nèi)開(kāi)展本單位信息安全管理工作：（一） 組織落實(shí)上級(jí)信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)部門計(jì)算機(jī)安全員工作，監(jiān)督檢查信息安全保障工作。信息安全管理人員調(diào)離原崗位時(shí)應(yīng)辦理交接手續(xù)，并履行其