【正文】 權(quán)保護協(xié)議和保密協(xié)議，不得將計算機系統(tǒng)采用的關鍵安全技術措施和核心安全功能設計對外公開。必要時，可組織專家評審或?qū)嵤┯嬎銠C系統(tǒng)漏洞掃描檢測。一旦發(fā)現(xiàn)計算機系統(tǒng)運行異常及時向本部門領導和科技部門報告。第七十三條 對已經(jīng)廢止的計算機系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技部門按業(yè)務規(guī)定在一定期限內(nèi)妥善保存。本規(guī)定所稱信息安全服務，是指人民銀行向社會購買的專業(yè)化安全服務。第八十五條 各單位科技部門應及時升級維護信息安全專用產(chǎn)品，凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品，按照固定資產(chǎn)報廢審批程序處理。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。第九十六條 各單位科技部門系統(tǒng)管理員負責定期導出網(wǎng)絡和重要計算機系統(tǒng)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。未經(jīng)科技部門主管領導許可，任何人不得擅自拆閱密封的口令密碼。第一百〇六條 各類密鑰應定期更換，對已泄漏或懷疑泄漏的密鑰應及時廢除，過期密鑰應安全歸檔或定期銷毀。第一百一十二條 經(jīng)本單位科技部門領導批準，外包服務提供商可提供上門維護服務并由人民銀行科技人員在場準確記錄所有技術配置變更信息。第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負責人民銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。預案的編制工作由相關業(yè)務部門和科技部門共同完成。第一百二十五條 各單位定期組織應急預案的演練，并指定專人管理和維護應急預案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應急預案的有效性和災難發(fā)生時的可獲取性。安全檢查完成后應及時形成檢查報告，經(jīng)本單位主管領導批準后將檢查整改報告盡快送達被檢查單位。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技部門主管領導。第十四章 附 則第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關規(guī)定條款如與本規(guī)定不一致的，按本規(guī)定執(zhí)行。第十三章 獎勵與處罰第一百四十一條 各單位每年應組織一次本單位和轄內(nèi)信息安全管理工作評比活動，對達標單位的相關人員應給予一定的獎勵，對表現(xiàn)突出的單位和個人進行通報表彰并給予一定形式的獎勵。第一百三十六條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。第二節(jié) 安全檢查第一百三十一條 各單位科技部門應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。（六） 事后處理流程。第一百二十二條 在計算機系統(tǒng)推廣應用方案中應同時設計應急備份策略，同步實施備份方案。第一百一十六條 各單位應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技部門，由上級科技部門決定是否發(fā)布預警信息或啟動轄內(nèi)應急預案。第二節(jié) 外包服務管理第一百一十一條 本規(guī)定所稱外包服務是指由人民銀行之外的其他社會廠商為人民銀行計算機系統(tǒng)、網(wǎng)絡或桌面環(huán)境提供全面或部分的技術支持、咨詢等服務。第一百〇四條 各單位應建立嚴格的密鑰管理體制，選擇密碼管理人員必須十本單位在編的正式員工，并逐級進行備案，規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程?？诹蠲艽a的強度應滿足不同安全性要求。第九十四條 各單位業(yè)務部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求，科技部門負責審核安全需求并提供一定的技術實現(xiàn)手段。第二節(jié) 存儲介質(zhì)第八十九條 各單位應建立健全磁帶、光盤、移動存儲介質(zhì)、縮微膠片、已打印文檔等存儲介質(zhì)管理流程。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。第七十八條 確因工作需要經(jīng)授權(quán)可遠程接入內(nèi)部網(wǎng)絡的用戶，應嚴格保存其身份認證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。第五節(jié) 計算機系統(tǒng)廢止第七十二條 實行計算機系統(tǒng)廢止申報、備案制度。第四節(jié) 業(yè)務操作第六十七條 業(yè)務部門負責計算機系統(tǒng)用戶和權(quán)限設定，科技部門根據(jù)授權(quán)進行相關設定操作。（二） 計算機系統(tǒng)應用部門應在計算機系統(tǒng)投產(chǎn)運行前同步制定相關安全操作規(guī)定，報科技部門備案。第二節(jié) 計算機系統(tǒng)開發(fā)與集成第五十八條 計算機系統(tǒng)開發(fā)應符合軟件工程規(guī)范，依據(jù)安全需求進行安全設計，保證安全功能的完整實現(xiàn)。從國際互聯(lián)網(wǎng)下載的任何信息，未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡上使用。第五十條 網(wǎng)間互聯(lián)由總行科技司統(tǒng)一規(guī)劃，按照相關標準組織實施。 第四十六條 各單位應嚴格遠程訪問控制。第二節(jié) 網(wǎng)絡運行安全管理第四十二條 各單位科技部門應建立健全網(wǎng)絡安全運行制度，配備專（兼）職網(wǎng)絡管理員。第三十八條 各單位科技部門應根據(jù)計算機設備重要程度采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)使用設備或信息。第三十三條 各單位應建立健全機房管理制度，并指派專人擔任機房管理員，落實機房安全責任制。第二十八條 各單位原則上只建設一個符合國家計算機機房有關標準和人民銀行相關規(guī)定的計算機機房，為所有業(yè)務部門提供機房基礎設施服務。技術支持人員不得兼任業(yè)務系統(tǒng)操作人員。提供技術服務期間，嚴格遵守人民銀行相關安全規(guī)定與操作規(guī)程，關鍵操作應經(jīng)授權(quán)，并有人民銀行內(nèi)部員工在場。（二） 負責提出本部門信息安全保障需求，及時與信息安全管理人員溝通信息安全信息。第十三條 信息安全管理人員在履行職責時，確因工作需要查詢相關涉密信息，須經(jīng)本單位主管同意后向保密工作委員會辦公室提交申請，獲得批準后方可查詢。凡是因違反國家法律法規(guī)和人民銀行有關規(guī)定受到過處罰或處分的人員，不得從事此項工作。第五條 本規(guī)定適用于人民銀行總行機關、各分支機構(gòu)和直屬企事業(yè)單位（以下統(tǒng)稱“各單位”）。第二條 本規(guī)定所稱信息安全管理，是指在人民銀行信息化項目立項、建設、運行、維護及廢止等過程中保障計算機信息及其相關系統(tǒng)、環(huán)境、網(wǎng)絡和操作安全的一系列管理活動。第七條 各單位科技部門應設立信息安全管理部門或崗位。第十二條 各單位信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作：（一） 組織落實上級信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)部門計算機安全員工作，監(jiān)督檢查信息安全保障工作。信息安全管理人員調(diào)離原崗位時應辦理交接手續(xù)，并履行其