【正文】 行信息通報，一般信息安全事件應(yīng)逐級通報，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報總行科技司。第一百一十五條 重大信息安全事件發(fā)生后，各單位相關(guān)人員應(yīng)注意保護事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領(lǐng)導(dǎo)。第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技部門，由上級科技部門決定是否發(fā)布預(yù)警信息或啟動轄內(nèi)應(yīng)急預(yù)案。第二節(jié) 災(zāi)難備份管理第一百一十七條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和計算機系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程。第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實施和管理。第一百一十九條 總行業(yè)務(wù)司局負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間和數(shù)據(jù)丟失量?？傂锌萍妓緭?jù)此確定災(zāi)難備份等級和備份方案。第一百二十條 各單位應(yīng)建立健全災(zāi)難恢復(fù)計劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由總行相關(guān)部門統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練，包括異地備份站點切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。第三節(jié) 應(yīng)急管理第一百二十一條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機集合。第一百二十二條 在計算機系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案。第一百二十三條 各單位應(yīng)制定和不斷完善網(wǎng)絡(luò)、計算機系統(tǒng)和機房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門和科技部門共同完成。第一百二十四條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：（一） 總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。（二） 應(yīng)急組織機構(gòu)。（三） 預(yù)警響應(yīng)機制（報告、評估、預(yù)案啟動等）。（四） 各類危機處置流程。（五） 應(yīng)急資源保障。（六） 事后處理流程。（七） 預(yù)案管理與維護（生效、演練、維護等）。第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時的可獲取性。第一百二十六條 各單位計算機安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會發(fā)布應(yīng)急事件公告，其他任何單位或個人不得向社會發(fā)布應(yīng)急事件公告。第十二章 安全監(jiān)測、檢查、評估與審計第一節(jié) 安全監(jiān)測第一百二十八條 各單位科技部門應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡(luò)、重要計算機系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測。第一百二十九條 各單位科技部門應(yīng)建立運行監(jiān)測周報、月報或季報制度，報送本單位計算機安全工作領(lǐng)導(dǎo)小組和上一級科技部門，抄送相關(guān)業(yè)務(wù)部門。第一百三十條 各單位要及時預(yù)警、響應(yīng)和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應(yīng)及時協(xié)調(diào)解決，并報上一級單位相關(guān)部門。第二節(jié) 安全檢查第一百三十一條 各單位科技部門應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查，安全檢查方式可以是自查、互查或上級檢查多種方式。第一百三十二條 各單位在開展安全檢查前應(yīng)以安全管理制度為依據(jù)制定詳細(xì)的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時形成檢查報告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報告盡快送達(dá)被檢查單位。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續(xù)跟蹤。第一百三十三條 各單位參加檢查的人員對檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報告和資料應(yīng)作為人民銀行內(nèi)部材料妥善保管，不得向外界泄漏。第一百三十四條 各單位應(yīng)將每次安全檢查報告和整改落實情況整理匯總后報上一級科技部門備案。第三節(jié) 安全評估第一百三十五條 各單位科技部門可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)信息系統(tǒng)的安全評估。第一百三十六條 安全評估應(yīng)在不影響信息系統(tǒng)正常運行的情況下進(jìn)行。評估開始前，應(yīng)制定評估方案并進(jìn)行必要的培訓(xùn)。評估結(jié)束后，形成評估報告，提出整改意見報本單位科技部門主管領(lǐng)導(dǎo)。第一百三十七條 各單位如聘請第三方機構(gòu)進(jìn)行安全評估，應(yīng)報總行科技司批準(zhǔn)，并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。第一百三十八條 各單位應(yīng)妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。第四節(jié) 安全審計第一百三十九條 各單位科技部門在支持與配合內(nèi)審部門開展審計信息安全工作的同時，應(yīng)適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計，發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導(dǎo)。第一百四十條 各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時間。第十三章 獎勵與處罰第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評比活動，對達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎勵，對表現(xiàn)突出的單位和個人進(jìn)行通報表彰并給予一定形式的獎勵。第一百四十二條 對于違反本規(guī)定，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。第十四章 附 則第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的，按本規(guī)定執(zhí)行。第一百四十四條 本規(guī)定由總行負(fù)責(zé)解釋。第一百四十五條 本規(guī)定自發(fā)布之日起執(zhí)行。20 / 2