【正文】 總分析。第八十四條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個月。第八十六條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng)在本地配置。第九章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié) 技術(shù)文檔第八十七條 本規(guī)定所稱技術(shù)文檔是指人民銀行網(wǎng)絡(luò)、計算機(jī)系統(tǒng)和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料，包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。未經(jīng)科技部門領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對外公布。所有存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識。第九十條 各單位應(yīng)做好存儲介質(zhì)在物理傳輸過程中的安全控制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。第九十一條 各單位所有部門和個人應(yīng)加強(qiáng)對移動存儲設(shè)備（Ｕ盤、軟盤、移動硬盤）的管理。第三節(jié) 數(shù)據(jù)安全第九十三條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲的人民銀行業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。第九十五條 各單位業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，適時進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查，按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。日志文件應(yīng)至少保留一年，妥善保管。第九十八條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、防擠壓存放。第四節(jié) 口令密碼第九十九條 各單位系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員均須設(shè)置口令密碼，至少每三個月更換一次。第一百條 敏感計算機(jī)系統(tǒng)和設(shè)備的口令密碼設(shè)置應(yīng)在安全的環(huán)境下進(jìn)行，必要時應(yīng)將口令密碼筆錄、密封交相關(guān)部門保管。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。第五節(jié) 密碼技術(shù)應(yīng)用管理第一百〇二條 人民銀行涉密網(wǎng)絡(luò)和計算機(jī)系統(tǒng)應(yīng)嚴(yán)格按照國家密碼政策規(guī)定，采用相應(yīng)的加密措施。第一百〇三條 各單位選用的密碼產(chǎn)品和加密算法應(yīng)符合國家相關(guān)密碼管理政策規(guī)定，密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合人民銀行的相關(guān)安全要求。第一百〇五條 各單位應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工作，并設(shè)置遇緊急情況下密鑰自動銷毀功能。第十章 第三方訪問和外包服務(wù)安全管理第一節(jié) 第三方訪問控制第一百〇七條 本規(guī)定所稱第三方訪問是指人民銀行之外的單位和個人物理訪問人民銀行計算機(jī)房或者通過網(wǎng)絡(luò)連接邏輯訪問人民銀行數(shù)據(jù)庫和計算機(jī)系統(tǒng)等活動。未經(jīng)人民銀行授權(quán)的任何第三方訪問均視為非法入侵行為。第一百一十條 獲得第三方訪問授權(quán)的所有單位和個人應(yīng)與人民銀行簽訂安全保密協(xié)議，不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作，不得復(fù)制和泄漏人民銀行任何信息。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約定雙方義務(wù)。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離人民銀行。與密碼設(shè)備配套使用的計算機(jī)設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。第一百一十五條 重大信息安全事件發(fā)生后，各單位相關(guān)人員應(yīng)注意保護(hù)事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時報告本單位主管領(lǐng)導(dǎo)。第二節(jié) 災(zāi)難備份管理第一百一十七條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和計算機(jī)系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定的時間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的有序管理過程。第一百一十九條 總行業(yè)務(wù)司局負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間和數(shù)據(jù)丟失量。第一百二十條 各單位應(yīng)建立健全災(zāi)難恢復(fù)計劃，定期開展災(zāi)難恢復(fù)培訓(xùn)。第三節(jié) 應(yīng)急管理第一百二十一條 應(yīng)急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo)致業(yè)務(wù)差錯和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措施的有機(jī)集合。第一百二十三條 各單位應(yīng)制定和不斷完善網(wǎng)絡(luò)、計算機(jī)系統(tǒng)和機(jī)房環(huán)境等應(yīng)急預(yù)案。第一百二十四條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：（一） 總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）。（三） 預(yù)警響應(yīng)機(jī)制（報告、評估、預(yù)案啟動等）。（五） 應(yīng)急資源保障。（七） 預(yù)案管理與維護(hù)（生效、演練、維護(hù)等）。第一百二十六條 各單位計算機(jī)安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動、災(zāi)難宣告、預(yù)警相關(guān)單位等）和調(diào)動應(yīng)急資源。第十二章 安全監(jiān)測、檢查、評估與審計第一節(jié) 安全監(jiān)測第一百二十八條 各單位科技部門應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機(jī)資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對網(wǎng)絡(luò)、重要計算機(jī)系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測。第一百三十條 各單位要及時預(yù)警、響應(yīng)和處置運(yùn)行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時協(xié)調(diào)解決，并報上一級單位相關(guān)部門。第一百三十二條 各單位在開展安全檢查前應(yīng)以安全管理制度為依據(jù)制定詳細(xì)的檢查方案和計劃，確保檢查工作的可操作性和規(guī)范性。要求限期整改的，需要對相關(guān)整改情況進(jìn)行后續(xù)跟蹤。所有檢查報告和資料應(yīng)作為人民銀行內(nèi)部材料妥善保管，不得向外界泄漏。第三節(jié) 安全評估第一百三十五條 各單位科技部門可采用自評估、檢查評估和委托評估等方式，每年至少組織一次對本單位或轄內(nèi)信息系統(tǒng)的安全評估。評估開始前，應(yīng)制定評估方案并進(jìn)行必要的培訓(xùn)。第一百三十七條 各單位如聘請第三方機(jī)構(gòu)進(jìn)行安全評估，應(yīng)報總行科技司批準(zhǔn)，并與第三方評估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。第一百三十八條 各單位應(yīng)妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。第一百四十條 各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理，應(yīng)完整保留相關(guān)日志記錄，一般保留至少一個月，涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時間。第一百四十二條 對于違反本規(guī)定，造成重大信息安全事件的單位及個人，要給予通報批評；情節(jié)嚴(yán)重的，依據(jù)相關(guān)法律法規(guī)，追究其主管領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人及直接責(zé)任人的責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。第一百四十四條 本規(guī)定由總行負(fù)責(zé)解釋。20 / 2