【正文】 行信息通報(bào)，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件（下稱“重大信息安全事件”）應(yīng)直接報(bào)總行科技司。第一百一十五條 重大信息安全事件發(fā)生后，各單位相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場(chǎng)，采取必要的控制措施，調(diào)查事件原因，并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)內(nèi)按規(guī)定程序報(bào)上一級(jí)科技部門(mén)，由上級(jí)科技部門(mén)決定是否發(fā)布預(yù)警信息或啟動(dòng)轄內(nèi)應(yīng)急預(yù)案。第二節(jié) 災(zāi)難備份管理第一百一十七條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則，負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。第一百一十九條 總行業(yè)務(wù)司局負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量?？傂锌萍妓緭?jù)此確定災(zāi)難備份等級(jí)和備份方案。第一百二十條 各單位應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃，定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)。在條件許可的情況下，由總行相關(guān)部門(mén)統(tǒng)一部署，重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練，包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。第三節(jié) 應(yīng)急管理第一百二十一條 應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯(cuò)和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略、措施的有機(jī)集合。第一百二十二條 在計(jì)算機(jī)系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急備份策略，同步實(shí)施備份方案。第一百二十三條 各單位應(yīng)制定和不斷完善網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門(mén)和科技部門(mén)共同完成。第一百二十四條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：（一） 總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。（二） 應(yīng)急組織機(jī)構(gòu)。（三） 預(yù)警響應(yīng)機(jī)制（報(bào)告、評(píng)估、預(yù)案啟動(dòng)等）。（四） 各類(lèi)危機(jī)處置流程。（五） 應(yīng)急資源保障。（六） 事后處理流程。（七） 預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練，并指定專人管理和維護(hù)應(yīng)急預(yù)案，根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。第一百二十六條 各單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動(dòng)應(yīng)急資源。第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公告，其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。第十二章 安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì)第一節(jié) 安全監(jiān)測(cè)第一百二十八條 各單位科技部門(mén)應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對(duì)網(wǎng)絡(luò)、重要計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。第一百二十九條 各單位科技部門(mén)應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或季報(bào)制度，報(bào)送本單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技部門(mén)，抄送相關(guān)業(yè)務(wù)部門(mén)。第一百三十條 各單位要及時(shí)預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的問(wèn)題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決，并報(bào)上一級(jí)單位相關(guān)部門(mén)。第二節(jié) 安全檢查第一百三十一條 各單位科技部門(mén)應(yīng)至少每年組織一次本單位或轄內(nèi)的信息安全專項(xiàng)檢查，安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。第一百三十二條 各單位在開(kāi)展安全檢查前應(yīng)以安全管理制度為依據(jù)制定詳細(xì)的檢查方案和計(jì)劃，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告，經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的，需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。第一百三十三條 各單位參加檢查的人員對(duì)檢查中的涉密信息負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為人民銀行內(nèi)部材料妥善保管，不得向外界泄漏。第一百三十四條 各單位應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況整理匯總后報(bào)上一級(jí)科技部門(mén)備案。第三節(jié) 安全評(píng)估第一百三十五條 各單位科技部門(mén)可采用自評(píng)估、檢查評(píng)估和委托評(píng)估等方式，每年至少組織一次對(duì)本單位或轄內(nèi)信息系統(tǒng)的安全評(píng)估。第一百三十六條 安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。評(píng)估開(kāi)始前，應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后，形成評(píng)估報(bào)告，提出整改意見(jiàn)報(bào)本單位科技部門(mén)主管領(lǐng)導(dǎo)。第一百三十七條 各單位如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)報(bào)總行科技司批準(zhǔn)，并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。第一百三十八條 各單位應(yīng)妥善保管信息安全評(píng)估報(bào)告，未經(jīng)授權(quán)不得對(duì)外透露評(píng)估信息。第四節(jié) 安全審計(jì)第一百三十九條 各單位科技部門(mén)在支持與配合內(nèi)審部門(mén)開(kāi)展審計(jì)信息安全工作的同時(shí)，應(yīng)適時(shí)開(kāi)展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行管理和信息安全事件全過(guò)程的技術(shù)審計(jì)，發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。第一百四十條 各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功能配置管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個(gè)月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。第十三章 獎(jiǎng)勵(lì)與處罰第一百四十一條 各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全管理工作評(píng)比活動(dòng)，對(duì)達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎(jiǎng)勵(lì)，對(duì)表現(xiàn)突出的單位和個(gè)人進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。第一百四十二條 對(duì)于違反本規(guī)定，造成重大信息安全事件的單位及個(gè)人，要給予通報(bào)批評(píng)；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門(mén)負(fù)責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。第十四章 附 則第一百四十三條 人民銀行之前發(fā)布的其他信息安全管理制度有關(guān)規(guī)定條款如與本規(guī)定不一致的，按本規(guī)定執(zhí)行。第一百四十四條 本規(guī)定由總行負(fù)責(zé)解釋。第一百四十五條 本規(guī)定自發(fā)布之日起執(zhí)行。 20