中國(guó)銀行網(wǎng)絡(luò)與中心機(jī)房安全管理制度
中國(guó)銀行網(wǎng)絡(luò)運(yùn)行與中心機(jī)房安全管理制度
一、出入管理
1、嚴(yán)禁非機(jī)房工作人員進(jìn)入機(jī)房,特殊情況需經(jīng)中心主管領(lǐng)導(dǎo)或網(wǎng)絡(luò)運(yùn)行負(fù)責(zé)人和值班人員批準(zhǔn),并認(rèn)真填寫(xiě)登記表后方可進(jìn)入。
2、進(jìn)入機(jī)房人員應(yīng)遵守機(jī)房管理制度,更換專(zhuān)用工作鞋套;機(jī)房工作人員必須穿著工作服。
3、進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對(duì)設(shè)備正常運(yùn)行構(gòu)成威脅的物品。
二、安全管理
1、操作人員隨時(shí)監(jiān)控中心設(shè)備運(yùn)行狀況,發(fā)現(xiàn)異常情況應(yīng)立即按照預(yù)案規(guī)程進(jìn)行操作,并及時(shí)上報(bào)和詳細(xì)記錄。
2、非機(jī)房工作人員未經(jīng)許可不得擅自上機(jī)操作和對(duì)運(yùn)行設(shè)備及各種配置進(jìn)行更改。
3、嚴(yán)格執(zhí)行密碼管理規(guī)定,對(duì)操作密碼定期更改,超級(jí)用戶(hù)密碼由系統(tǒng)管理員掌握。
4、值班人員應(yīng)恪守保密制度,不得擅自泄露中心各種信息資料與數(shù)據(jù)。5、中心機(jī)房?jī)?nèi)嚴(yán)禁吸煙、喝水、吃食物、和進(jìn)行劇烈運(yùn)動(dòng),保持機(jī)房安靜。6、不定期對(duì)機(jī)房?jī)?nèi)設(shè)置的消防器材、監(jiān)控設(shè)備進(jìn)行檢查,以保證其有效性。7、值班人員嚴(yán)密檢測(cè)機(jī)房?jī)?nèi)專(zhuān)用電源的運(yùn)行狀態(tài),接停電通知后必須上報(bào)分管領(lǐng)導(dǎo)并嚴(yán)格按已制定的應(yīng)急預(yù)案進(jìn)行相應(yīng)的處理。
8、值班人員負(fù)責(zé)值班期間機(jī)房安全保衛(wèi)工作,確保機(jī)房和設(shè)備安全。三、操作管理
1、中心機(jī)房的數(shù)據(jù)實(shí)行雙人作業(yè)制度;操作人員遵守值班制度,不得擅自脫崗。
2、值班人員必須認(rèn)真、如實(shí)、詳細(xì)填寫(xiě)《網(wǎng)絡(luò)運(yùn)行值班日志》等各種登記簿,以備后查。
3、嚴(yán)格按照每日預(yù)制操作流程進(jìn)行操作,對(duì)新上業(yè)務(wù)及特殊情況需要變更流程的應(yīng)事先進(jìn)行詳細(xì)安排并書(shū)面報(bào)負(fù)責(zé)人批準(zhǔn)簽字后方可執(zhí)行;所有操作變更必須有存檔記錄。
4、每日對(duì)機(jī)房環(huán)境進(jìn)行清潔,以保持機(jī)房整潔;每周進(jìn)行一次大清掃,對(duì)機(jī)器設(shè)備吸塵清潔。
5、值班人員必須密切監(jiān)視中心設(shè)備運(yùn)行狀況以及各網(wǎng)點(diǎn)運(yùn)行情況,確保安全、高效運(yùn)行。
6、嚴(yán)格按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。中心服務(wù)器數(shù)據(jù)庫(kù)要定期進(jìn)行雙備份,并嚴(yán)格實(shí)行異地存放、專(zhuān)人保管。所有重要文檔定期整理裝訂,專(zhuān)人保管,以備后查。
四、運(yùn)行管理
1、中心機(jī)房和開(kāi)發(fā)調(diào)試機(jī)房隔離分設(shè)。未經(jīng)負(fù)責(zé)人批準(zhǔn),不得在中心機(jī)房設(shè)備上編寫(xiě)、修改、更換各類(lèi)軟件系統(tǒng)及更改設(shè)備參數(shù)配置。
2、各類(lèi)軟件系統(tǒng)的維護(hù)、增刪、配置的更改,各類(lèi)硬件設(shè)備的添加、更換必需經(jīng)負(fù)責(zé)人書(shū)面批準(zhǔn)后方可進(jìn)行;必須按規(guī)定進(jìn)行詳細(xì)登記和記錄,對(duì)各類(lèi)軟件、現(xiàn)場(chǎng)資料、檔案整理存檔。
3、為確保數(shù)據(jù)的安全保密,對(duì)各業(yè)務(wù)單位、業(yè)務(wù)部門(mén)送交的數(shù)據(jù)及處理后的數(shù)據(jù)都必須按有關(guān)規(guī)定履行交接登記手續(xù)。4、部門(mén)負(fù)責(zé)人應(yīng)定期與不定期對(duì)制度的執(zhí)行情況進(jìn)行檢查,督促各項(xiàng)制度的落實(shí),并作為人員考核之依據(jù)。
網(wǎng)絡(luò)中心201*-9-
擴(kuò)展閱讀:中國(guó)人民銀行信息安全管理規(guī)定
中國(guó)人民銀行信息安全管理規(guī)定
第一條為強(qiáng)化人民銀行信息安全管理,防范計(jì)算機(jī)信息技術(shù)風(fēng)
險(xiǎn),保障人民銀行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行,根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》等規(guī)定,特制定本規(guī)定。
第一章總則
第二條本規(guī)定所稱(chēng)信息安全管理,是指在人民銀行信息化項(xiàng)目立
項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過(guò)程中保障計(jì)算機(jī)信息及其相關(guān)系統(tǒng)、環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。
第三條人民銀行信息安全管理工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理?
行統(tǒng)一領(lǐng)導(dǎo)分支機(jī)構(gòu)和直屬企事業(yè)單位的信息安全管理,負(fù)責(zé)總行機(jī)關(guān)的信息安全管理。分支機(jī)構(gòu)負(fù)責(zé)本單位和轄內(nèi)的信息安全管理,各直屬企事業(yè)單位負(fù)責(zé)本單位的信息安全管理。
第四條人民銀行信息安全管理實(shí)行分管領(lǐng)導(dǎo)負(fù)責(zé)制,按照“誰(shuí)主
管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。
第五條本規(guī)定適用于人民銀行總行機(jī)關(guān)、各分支機(jī)構(gòu)和直屬企事
業(yè)單位(以下統(tǒng)稱(chēng)“各單位”)。所有使用人民銀行網(wǎng)絡(luò)或信息資源的其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本規(guī)定。
第二章組織保障
第六條各單位應(yīng)設(shè)立由本單位領(lǐng)導(dǎo)和相關(guān)部門(mén)主要負(fù)責(zé)人組成
的計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組,辦公室設(shè)在本單位科技部門(mén),負(fù)責(zé)協(xié)調(diào)本單位及轄內(nèi)信息安全管理工作,決策本單位及轄內(nèi)信息安全重大事宜。
第七條各單位科技部門(mén)應(yīng)設(shè)立信息安全管理部門(mén)或崗位。總行機(jī)
關(guān)、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行、副省級(jí)城市中心支行科技部門(mén)配備專(zhuān)職信息安全管理人員,實(shí)行A、B崗制度;地(市)中心支行和縣(市)支行設(shè)立信息安全管理崗位。
第八條除科技部門(mén)外,各單位其他部門(mén)均應(yīng)指定至少一名部門(mén)計(jì)
算機(jī)安全員,具體負(fù)責(zé)本部門(mén)的信息安全管理,協(xié)同科技部門(mén)開(kāi)展信息安全管理工作。
第三章人員管理
第九條各單位工作人員根據(jù)不同的崗位或工作范圍,履行相應(yīng)的
信息安全保障職責(zé)。
第一節(jié)信息安全管理人員
第十條各單位應(yīng)選派政治思想過(guò)硬、具有較高計(jì)算機(jī)水平的人員
從事信息安全管理工作。凡是因違反國(guó)家法律法規(guī)和人民銀行有關(guān)規(guī)定受到過(guò)處罰或處分的人員,不得從事此項(xiàng)工作。
第十一條各單位信息安全管理人員應(yīng)經(jīng)過(guò)總行或分行、營(yíng)業(yè)管
理部、省會(huì)(首府)城市中心支行組織的專(zhuān)業(yè)培訓(xùn)與審核,培訓(xùn)與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專(zhuān)業(yè)培訓(xùn)。
第十二條各單位信息安全管理人員在如下職責(zé)范圍內(nèi)開(kāi)展本單
位信息安全管理工作:
(一)組織落實(shí)上級(jí)信息安全管理規(guī)定,制定信息安全管理制度,協(xié)調(diào)部門(mén)計(jì)算機(jī)安全員工作,監(jiān)督檢查信息安全保障工作。
(二)審核信息化建設(shè)項(xiàng)目中的安全方案,組織實(shí)施信息安全保障項(xiàng)目建設(shè),維護(hù)、管理信息安全專(zhuān)用設(shè)施。
(三)檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況,檢查運(yùn)行操作、備份、機(jī)房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問(wèn)題,及時(shí)通報(bào)和預(yù)警,并提出整改意見(jiàn)。統(tǒng)計(jì)分析和協(xié)調(diào)處信息安全事件。
(四)定期組織信息安全宣傳教育活動(dòng),開(kāi)展信息安全檢查、評(píng)估與培訓(xùn)工作。
第十三條信息安全管理人員在履行職責(zé)時(shí),確因工作需要查詢(xún)
相關(guān)涉密信息,須經(jīng)本單位主管同意后向保密工作委員會(huì)辦公室提交申請(qǐng),獲得批準(zhǔn)后方可查詢(xún)。
第十四條信息安全管理人員實(shí)行備案管理制度。信息安全管理
人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技部門(mén)備案。信息安全管理人員調(diào)離原崗位時(shí)應(yīng)辦理交接手續(xù),并履行其調(diào)離后的保密義務(wù)。
第二節(jié)部門(mén)計(jì)算機(jī)安全員
第十五條各部門(mén)應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任
部門(mén)計(jì)算機(jī)安全員,并報(bào)本單位科技部門(mén)備案。如有變更應(yīng)做好交接工作,并及時(shí)通報(bào)科技部門(mén)。
第十六條部門(mén)計(jì)算機(jī)安全員配合信息安全管理人員工作,并參
加各項(xiàng)信息安全技能培訓(xùn)。
第十七條部門(mén)計(jì)算機(jī)安全員在如下職責(zé)范圍內(nèi)開(kāi)展工作:
(一)負(fù)責(zé)本部門(mén)計(jì)算機(jī)病毒防治工作,監(jiān)督檢查本部門(mén)客戶(hù)端安全管理情況。
(二)負(fù)責(zé)提出本部門(mén)信息安全保障需求,及時(shí)與信息安全管理人員溝通信息安全信息。
(三)負(fù)責(zé)本部門(mén)國(guó)際互聯(lián)網(wǎng)使用和接入安全管理,組織開(kāi)展本部門(mén)信息安全自查,協(xié)助科技部門(mén)完成對(duì)本部門(mén)的信息安全檢查工作。
第三節(jié)技術(shù)支持人員
第十八條本規(guī)定所稱(chēng)技術(shù)支持人員,是指參與人民銀行網(wǎng)絡(luò)、
計(jì)算機(jī)系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。
第十九條人民銀行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建
設(shè)和日常運(yùn)行維護(hù)職責(zé)過(guò)程中,應(yīng)承擔(dān)如下安全義務(wù):
(一)不得對(duì)外泄漏或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán)限訪問(wèn),未經(jīng)業(yè)務(wù)主管部門(mén)授權(quán)不得擅自改變系統(tǒng)設(shè)或修改系統(tǒng)生成的任何數(shù)據(jù)。
(二)主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況,發(fā)現(xiàn)安全隱患或故障及時(shí)報(bào)告本部門(mén)主管領(lǐng)導(dǎo),并及時(shí)響應(yīng)、處。
(三)嚴(yán)格操作管理、測(cè)試管理、應(yīng)急管理、配管理、變更管理、檔案管理等工作制度,做好數(shù)據(jù)備份工作。
第二十條外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同(協(xié)議)
的各項(xiàng)安全承諾。提供技術(shù)服務(wù)期間,嚴(yán)格遵守人民銀行相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應(yīng)經(jīng)授權(quán),并有人民銀行內(nèi)部員工在場(chǎng)。不得拷貝或帶走任何配參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對(duì)外泄漏或引用任何工作信息。
第四節(jié)業(yè)務(wù)系統(tǒng)操作人員
第二十一條本規(guī)定所稱(chēng)業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)
進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)部門(mén)工作人員。
第二十二條業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù):
(一)嚴(yán)格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。
(二)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技部門(mén)。
(三)不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無(wú)關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)。
第二十三條業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原
則,嚴(yán)格進(jìn)行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。
第五節(jié)一般計(jì)算機(jī)用戶(hù)
第二十四條本規(guī)定所稱(chēng)一般計(jì)算機(jī)用戶(hù)是指使用計(jì)算機(jī)設(shè)備的所
有人員。
第二十五條一般計(jì)算機(jī)用戶(hù)應(yīng)承擔(dān)如下安全義務(wù):
(一)及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序,自覺(jué)接受本部門(mén)計(jì)算機(jī)安全員的指導(dǎo)與管理。
(二)不得安裝與辦公和業(yè)務(wù)處理無(wú)關(guān)的其他計(jì)算機(jī)軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配參數(shù)。
(三)未經(jīng)科技部門(mén)檢測(cè)和授權(quán),不得將接入人民銀行內(nèi)部網(wǎng)絡(luò)的所用計(jì)算機(jī)轉(zhuǎn)接入國(guó)際互聯(lián)網(wǎng);不得將便攜式計(jì)算機(jī)接入人民銀行內(nèi)部網(wǎng)絡(luò);不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。
第四章機(jī)房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié)機(jī)房安全管理
第二十六條本規(guī)定所稱(chēng)機(jī)房是指計(jì)算機(jī)系統(tǒng)等主要設(shè)備放、運(yùn)
行場(chǎng)所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。
第二十七條各單位機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技
部門(mén)負(fù)責(zé),相關(guān)設(shè)備采購(gòu)納入政府集中采購(gòu)。機(jī)房的消防、視頻監(jiān)視錄像、防雷、門(mén)禁等子系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)由科技部門(mén)和保衛(wèi)部門(mén)協(xié)商確定。
第二十八條各單位原則上只建設(shè)一個(gè)符合國(guó)家計(jì)算機(jī)機(jī)房有關(guān)標(biāo)
準(zhǔn)和人民銀行相關(guān)規(guī)定的計(jì)算機(jī)機(jī)房,為所有業(yè)務(wù)部門(mén)提供機(jī)房基礎(chǔ)設(shè)施服務(wù)。
第二十九條機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上一級(jí)科技部門(mén)備案。必
要時(shí),由上一級(jí)機(jī)構(gòu)科技部門(mén)會(huì)同會(huì)計(jì)、保衛(wèi)等部門(mén)進(jìn)行審核。
第三十條機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家建筑裝修裝飾工程專(zhuān)
業(yè)承包資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專(zhuān)業(yè)化公司,其中總行、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支行、計(jì)劃單列市中心支行的機(jī)房建設(shè)或改造應(yīng)選擇具有國(guó)家貳級(jí)或貳級(jí)以上資質(zhì)同時(shí)具有三年以上專(zhuān)業(yè)從事計(jì)算機(jī)機(jī)房裝修裝飾經(jīng)驗(yàn)的專(zhuān)業(yè)公司。重要機(jī)房建設(shè)或改造工程應(yīng)引入監(jiān)理制度。
第三十一條總行、分行、營(yíng)業(yè)管理部、省會(huì)(首府)城市中心支
行應(yīng)建立機(jī)房設(shè)施與場(chǎng)地環(huán)境監(jiān)控系統(tǒng),對(duì)機(jī)房空調(diào)、消防、不間斷電源(UPS)、供配電、門(mén)禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。
第三十二條各單位機(jī)房投入使用前,應(yīng)經(jīng)過(guò)當(dāng)?shù)毓蚕啦块T(mén)的
消防驗(yàn)收和本單位科技、保衛(wèi)與會(huì)計(jì)部門(mén)組織的驗(yàn)收,并出具明確結(jié)論的驗(yàn)收?qǐng)?bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。
第三十三條各單位應(yīng)建立健全機(jī)房管理制度,并指派專(zhuān)人擔(dān)任機(jī)
房管理員,落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過(guò)相關(guān)專(zhuān)業(yè)培訓(xùn),熟知機(jī)房各類(lèi)設(shè)備的分布和操作要領(lǐng),定期巡查機(jī)房,發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)告。
機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文檔、圖紙以及機(jī)房運(yùn)行記錄等有關(guān)資料,并隨時(shí)提供調(diào)閱。
第三十四條建立機(jī)房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境
因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過(guò)的設(shè)備等應(yīng)成為保養(yǎng)的重點(diǎn)。
第二節(jié)柜面和核心業(yè)務(wù)處理環(huán)境安全管理
第三十五條向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應(yīng)嚴(yán)
格出入安全管理,應(yīng)安裝門(mén)禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng),實(shí)行定時(shí)錄像監(jiān)控,并適當(dāng)配自動(dòng)監(jiān)控報(bào)警功能。
第三十六條所有門(mén)禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資
料由專(zhuān)人保存至少三個(gè)月。
第三節(jié)設(shè)備資產(chǎn)管理
第三十七條各單位科技部門(mén)應(yīng)建立完備的計(jì)算機(jī)設(shè)備登記制度,
嚴(yán)格資產(chǎn)管理,明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。
第三十八條各單位科技部門(mén)應(yīng)根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同
的安全保護(hù)措施,制定完善的訪問(wèn)控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放在機(jī)房的特殊功能區(qū),必要時(shí),單獨(dú)建立門(mén)禁與監(jiān)控系統(tǒng),或配備防電磁泄漏的屏蔽裝等。
第五章網(wǎng)絡(luò)安全管理
第一節(jié)網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理
第三十九條總行科技司負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部
署、策略配和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、IP地址和域名等)分配。
第四十條各單位科技部門(mén)按照總行科技司的統(tǒng)一規(guī)劃和總體部
署,組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。各單位局域網(wǎng)的建設(shè)與改造方案應(yīng)報(bào)上一級(jí)科技部門(mén)審核、備案,投產(chǎn)前應(yīng)通過(guò)本單位組織的安全測(cè)試。
第四十一條各單位的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求:(一)符合人民銀行網(wǎng)絡(luò)安全管理要求,保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。
(二)具備必要的網(wǎng)絡(luò)監(jiān)測(cè)、跟蹤和審計(jì)等管理功能。(三)針對(duì)不同的網(wǎng)絡(luò)安全域,采取必要的安全隔離措施。
第二節(jié)網(wǎng)絡(luò)運(yùn)行安全管理
第四十二條各單位科技部門(mén)應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行制度,配備
專(zhuān)(兼)職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測(cè)和檢查網(wǎng)絡(luò)安全運(yùn)行狀況,管理網(wǎng)絡(luò)資源及其配信息,建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
第四十三條網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn),具備一定
的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對(duì)技能,緊急情況下,經(jīng)本部門(mén)主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對(duì)措施。
第四十四條各單位科技部門(mén)應(yīng)嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入
網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應(yīng)經(jīng)過(guò)審核與必要的檢測(cè),審核(檢測(cè))通過(guò)后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。
第四十五條各單位科技部門(mén)應(yīng)嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào)
整網(wǎng)絡(luò)重要參數(shù)配和服務(wù)端口前,應(yīng)書(shū)面請(qǐng)示本部門(mén)主管領(lǐng)導(dǎo),變更信息應(yīng)做好記錄。實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更,應(yīng)提前通知所有使用部門(mén)并安排在節(jié)假日進(jìn)行,同時(shí)做好配參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。
第四十六條各單位應(yīng)嚴(yán)格遠(yuǎn)程訪問(wèn)控制。確因工作需要進(jìn)行遠(yuǎn)程
訪問(wèn)的部門(mén)和人員應(yīng)向科技部門(mén)提出書(shū)面申請(qǐng),并采取相應(yīng)的安全防護(hù)措施。
第四十七條信息安全管理人員經(jīng)本部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),有權(quán)對(duì)本
單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)、掃描和評(píng)估。檢測(cè)、掃描和評(píng)估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)總行科技司授權(quán),任何外部單位與人員不得檢測(cè)、掃描人民銀行內(nèi)部網(wǎng)絡(luò)。
第四十八條各單位以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控
制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)總行科技司批準(zhǔn),不得在人民銀行內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)
用。
第三節(jié)網(wǎng)間互聯(lián)安全管理
第四十九條本規(guī)定所稱(chēng)網(wǎng)間互聯(lián)是指為滿(mǎn)足人民銀行與其他外部
機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。
第五十條網(wǎng)間互聯(lián)由總行科技司統(tǒng)一規(guī)劃,按照相關(guān)標(biāo)準(zhǔn)組織
實(shí)施。未經(jīng)總行科技司核準(zhǔn),任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互聯(lián)。
第四節(jié)接入國(guó)際互聯(lián)網(wǎng)管理
第五十一條人民銀行內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)實(shí)行安全隔離。所有
接入人民銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)算機(jī),不得直接或間接接入國(guó)際互聯(lián)網(wǎng)。
第五十二條計(jì)算機(jī)接入國(guó)際互聯(lián)網(wǎng)應(yīng)通過(guò)本單位保密工作委員會(huì)
辦公室批準(zhǔn),并確保安裝有人民銀行選定的防病毒軟件和最新補(bǔ)丁程序?萍疾块T(mén)憑相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng),并做好備案。曾接入人民銀行內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國(guó)際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù),科技部門(mén)確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。
第五十三條未經(jīng)科技部門(mén)安全檢測(cè),曾接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)
不得直接接入人民銀行內(nèi)部網(wǎng)絡(luò)。從國(guó)際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測(cè)不得在內(nèi)部網(wǎng)絡(luò)上使用。
第五十四條使用國(guó)際互聯(lián)網(wǎng)的所有用戶(hù)應(yīng)遵守國(guó)家有關(guān)法律法規(guī)
和人民銀行相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動(dòng)。
第六章計(jì)算機(jī)系統(tǒng)安全管理
第五十五條本規(guī)定所指的計(jì)算機(jī)系統(tǒng)是人民銀行業(yè)務(wù)處理系統(tǒng)、
管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等,包括數(shù)據(jù)庫(kù)、軟件和硬件支撐環(huán)境等。
第一節(jié)計(jì)算機(jī)系統(tǒng)規(guī)劃與立項(xiàng)
第五十六條計(jì)算機(jī)系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安
全問(wèn)題,建設(shè)方案應(yīng)滿(mǎn)足人民銀行信息安全保障總體規(guī)劃的相關(guān)要求。
項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容:
(一)業(yè)務(wù)需求部門(mén)提出的安全需求。(二)安全需求分析和實(shí)現(xiàn)。(三)運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。
第五十七條各單位科技部門(mén)負(fù)責(zé)對(duì)項(xiàng)目技術(shù)方案進(jìn)行安全專(zhuān)項(xiàng)審
查并提出審查意見(jiàn),未通過(guò)安全審核的項(xiàng)目不得予以立項(xiàng)。
第二節(jié)計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)與集成
第五十八條計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范,依據(jù)安全需求
進(jìn)行安全設(shè)計(jì),保證安全功能的完整實(shí)現(xiàn)。
第五十九條計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)單位應(yīng)在完成開(kāi)發(fā)任務(wù)后將程序源代
碼及其相關(guān)技術(shù)文檔全部移交人民銀行科技部門(mén)。外部開(kāi)發(fā)單位還應(yīng)與人民銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議,不得將計(jì)算機(jī)系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對(duì)外公開(kāi)。
第六十條計(jì)算機(jī)系統(tǒng)的開(kāi)發(fā)人員不能兼任計(jì)算機(jī)系統(tǒng)管理員或
業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門(mén)和惡意代碼程序。
第六十一條計(jì)算機(jī)系統(tǒng)開(kāi)發(fā)、測(cè)試、修改工作不得在生產(chǎn)環(huán)境中
進(jìn)行。
第六十二條涉密計(jì)算機(jī)系統(tǒng)集成應(yīng)選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的
涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企業(yè),并簽訂嚴(yán)格的保密協(xié)議。
第三節(jié)計(jì)算機(jī)系統(tǒng)運(yùn)行
第六十三條各單位計(jì)算機(jī)系統(tǒng)上線運(yùn)行實(shí)行安全審查制度,未通
過(guò)安全審查的任何新建或改造計(jì)算機(jī)系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如下:
(一)項(xiàng)目承擔(dān)單位(部門(mén))應(yīng)組織制定安全測(cè)試方案,進(jìn)行系統(tǒng)上線前的自測(cè)試并形成測(cè)試報(bào)告,報(bào)科技部門(mén)審查。
(二)計(jì)算機(jī)系統(tǒng)應(yīng)用部門(mén)應(yīng)在計(jì)算機(jī)系統(tǒng)投產(chǎn)運(yùn)行前同步制定相關(guān)安全操作規(guī)定,報(bào)科技部門(mén)備案。
(三)科技部門(mén)應(yīng)提出明確的測(cè)試方案和測(cè)試報(bào)告審查意見(jiàn)。必
要時(shí),可組織專(zhuān)家評(píng)審或?qū)嵤┯?jì)算機(jī)系統(tǒng)漏洞掃描檢測(cè)。
第六十四條各單位科技部門(mén)應(yīng)明確系統(tǒng)管理員,具體負(fù)責(zé)計(jì)算機(jī)
系統(tǒng)的日常運(yùn)行管理,并建立重要計(jì)算機(jī)系統(tǒng)運(yùn)行維護(hù)檔案,詳細(xì)記錄系統(tǒng)變更及操作過(guò)程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)要求雙人在場(chǎng)。
第六十五條系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需
對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的,應(yīng)征得業(yè)務(wù)部門(mén)同意并在業(yè)務(wù)操作人員在場(chǎng)的情況下進(jìn)行,并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。
第六十六條未經(jīng)業(yè)務(wù)主管部門(mén)領(lǐng)導(dǎo)書(shū)面批準(zhǔn),其他任何人不得擅
自使用業(yè)務(wù)操作人員用機(jī),不得擅自設(shè)、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù),不得擅自改變用戶(hù)權(quán)限。
第四節(jié)業(yè)務(wù)操作
第六十七條業(yè)務(wù)部門(mén)負(fù)責(zé)計(jì)算機(jī)系統(tǒng)用戶(hù)和權(quán)限設(shè)定,科技部門(mén)
根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。
第六十八條業(yè)務(wù)操作人員嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作、
數(shù)據(jù)備份,并配合科技部門(mén)保障信息安全。一旦發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)運(yùn)行異常及時(shí)向本部門(mén)領(lǐng)導(dǎo)和科技部門(mén)報(bào)告。
第六十九條業(yè)務(wù)操作人員設(shè)本人口令密碼。重要計(jì)算機(jī)系統(tǒng)業(yè)
務(wù)操作人員的密碼應(yīng)由業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)和系統(tǒng)管理員分段設(shè)立。
第七十條凡是能夠執(zhí)行錄入、復(fù)核制度的計(jì)算機(jī)系統(tǒng),業(yè)務(wù)操
作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn),不得代崗、兼崗。
第七十一條業(yè)務(wù)操作人員離開(kāi)操作用機(jī)時(shí),應(yīng)按序退出計(jì)算機(jī)系
統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤操作。
第五節(jié)計(jì)算機(jī)系統(tǒng)廢止
第七十二條實(shí)行計(jì)算機(jī)系統(tǒng)廢止申報(bào)、備案制度。使用計(jì)算機(jī)系
統(tǒng)的業(yè)務(wù)部門(mén)根據(jù)需要向科技部門(mén)提出廢止申請(qǐng),由科技部門(mén)組織進(jìn)行安全檢查后予以廢止,同時(shí)備案。
第七十三條對(duì)已經(jīng)廢止的計(jì)算機(jī)系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技
部門(mén)按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過(guò)保存期限后需要銷(xiāo)毀的,應(yīng)在本單位保密工作委員會(huì)監(jiān)督下予以不可恢復(fù)性銷(xiāo)毀。
第七章客戶(hù)端安全管理
第七十四條本規(guī)定所稱(chēng)客戶(hù)端是指人民銀行計(jì)算機(jī)用戶(hù)、網(wǎng)絡(luò)與
信息系統(tǒng)所使用的終端設(shè)備,包括聯(lián)網(wǎng)桌面終端、柜面終端、單機(jī)運(yùn)行(。┙K端、遠(yuǎn)程接入終端、便攜式計(jì)算機(jī)等。
第七十五條各單位應(yīng)建立完善的客戶(hù)端管理制度,記錄所有客戶(hù)
端設(shè)備信息和軟件配信息。
第七十六條客戶(hù)端應(yīng)安裝和使用正版軟件,不得安裝和使用盜版
軟件,不得安裝和使用與工作無(wú)關(guān)的軟件。
第七十七條客戶(hù)端應(yīng)統(tǒng)一安裝病毒防治軟件,設(shè)用戶(hù)密碼和屏
幕保護(hù)口令等安全防護(hù)措施,確保安裝最新的病毒特征碼和必要的補(bǔ)丁程序。
第七十八條確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶(hù),應(yīng)
嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章信息安全專(zhuān)用產(chǎn)品、服務(wù)管理
第一節(jié)資質(zhì)審查與選型購(gòu)
第七十九條本規(guī)定所稱(chēng)信息安全專(zhuān)用產(chǎn)品,是指人民銀行安裝使
用的專(zhuān)用安全軟件、硬件產(chǎn)品。本規(guī)定所稱(chēng)信息安全服務(wù),是指人民銀行向社會(huì)購(gòu)買(mǎi)的專(zhuān)業(yè)化安全服務(wù)。
第八十條總行科技司負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信
息安全專(zhuān)用產(chǎn)品的選型,由集中采購(gòu)部門(mén)按照政府集中采購(gòu)程序選購(gòu)。
第八十一條各單位購(gòu)掃描、檢測(cè)類(lèi)信息安全專(zhuān)用產(chǎn)品應(yīng)報(bào)總行
科技司批準(zhǔn)、備案。
第二節(jié)使用管理
第八十二條各單位科技部門(mén)應(yīng)建立信息安全專(zhuān)用產(chǎn)品登記使用
制度,建立信息安全類(lèi)固定資產(chǎn)使用登記簿并由專(zhuān)人負(fù)責(zé)管理。掃描、
檢測(cè)類(lèi)信息安全專(zhuān)用產(chǎn)品僅限于本單位信息安全管理人員使用。
第八十三條各單位科技部門(mén)隨時(shí)檢查各類(lèi)信息安全專(zhuān)用產(chǎn)品使
用情況,認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。如發(fā)現(xiàn)重大問(wèn)題,立即采取控制措施并按規(guī)定程序報(bào)告。
第八十四條各類(lèi)信息安全專(zhuān)用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信
息屬于重要技術(shù)資料,應(yīng)備份存檔至少三個(gè)月。
第八十五條各單位科技部門(mén)應(yīng)及時(shí)升級(jí)維護(hù)信息安全專(zhuān)用產(chǎn)品,
凡因超過(guò)使用期限的或不能繼續(xù)使用的信息安全專(zhuān)用產(chǎn)品,按照固定資產(chǎn)報(bào)廢審批程序處理。
第八十六條防火墻、入侵檢測(cè)等安全專(zhuān)用產(chǎn)品原則上應(yīng)在本地配
。如需要進(jìn)行遠(yuǎn)程配,由科技部門(mén)或經(jīng)科技部門(mén)授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進(jìn)行操作。
第九章文檔、數(shù)據(jù)與密碼應(yīng)用安全管理
第一節(jié)
技術(shù)文檔
第八十七條本規(guī)定所稱(chēng)技術(shù)文檔是指人民銀行網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)
和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過(guò)程中形成的各種技術(shù)資料,包括紙質(zhì)文檔、電子文檔、視頻和音頻文件等。
第八十八條各單位科技部門(mén)負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔,實(shí)行借閱
登記制度。未經(jīng)科技部門(mén)領(lǐng)導(dǎo)批準(zhǔn),任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制和對(duì)外公布。
第二節(jié)
存儲(chǔ)介質(zhì)
第八十九條各單位應(yīng)建立健全磁帶、光盤(pán)、移動(dòng)存儲(chǔ)介質(zhì)、縮微
膠片、已打印文檔等存儲(chǔ)介質(zhì)管理流程。所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的物理環(huán)境中并有明晰的標(biāo)識(shí)。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存放。
第九十條各單位應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過(guò)程中的安全控
制,應(yīng)選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。
第九十一條各單位所有部門(mén)和個(gè)人應(yīng)加強(qiáng)對(duì)移動(dòng)存儲(chǔ)設(shè)備(U盤(pán)、
軟盤(pán)、移動(dòng)硬盤(pán))的管理。
第九十二條各單位應(yīng)建立存儲(chǔ)介質(zhì)銷(xiāo)毀制度,對(duì)載有敏感信息的
存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處并做好記錄。
第三節(jié)
數(shù)據(jù)安全
第九十三條本規(guī)定中所稱(chēng)的數(shù)據(jù)是指以電子形式存儲(chǔ)的人民銀行
業(yè)務(wù)數(shù)據(jù)、辦公信息、系統(tǒng)運(yùn)行日志、故障維護(hù)日志以及其他內(nèi)部資料。
第九十四條各單位業(yè)務(wù)部門(mén)負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等
不同狀態(tài)下的安全需求,科技部門(mén)負(fù)責(zé)審核安全需求并提供一定的技術(shù)實(shí)現(xiàn)手段。
第九十五條各單位業(yè)務(wù)部門(mén)應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、
刪除等變更操作,適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測(cè)試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。
第九十六條各單位科技部門(mén)系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要
計(jì)算機(jī)系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文件應(yīng)至少保留一年,妥善保管。
第九十七條各單位業(yè)務(wù)部門(mén)應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密
級(jí),建立備份數(shù)據(jù)銷(xiāo)毀審批登記制度,并根據(jù)數(shù)據(jù)重要性級(jí)別分類(lèi)采取相應(yīng)的安全銷(xiāo)毀措施。
第九十八條所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、
防擠壓存放;謴(fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的,應(yīng)把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第四節(jié)
口令密碼
第九十九條各單位系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、業(yè)
務(wù)操作人員均須設(shè)口令密碼,至少每三個(gè)月更換一次?诹蠲艽a的強(qiáng)度應(yīng)滿(mǎn)足不同安全性要求。
第一百條敏感計(jì)算機(jī)系統(tǒng)和設(shè)備的口令密碼設(shè)應(yīng)在安全的
環(huán)境下進(jìn)行,必要時(shí)應(yīng)將口令密碼筆錄、密封交相關(guān)部門(mén)保管。未經(jīng)科
技部門(mén)主管領(lǐng)導(dǎo)許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應(yīng)立即更改并再次密封存放。
第一百零一條各單位應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重
要計(jì)算機(jī)系統(tǒng)升級(jí)改造前的口令密碼。
第五節(jié)
密碼技術(shù)應(yīng)用管理
第一百零二條人民銀行涉密網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)應(yīng)嚴(yán)格按照國(guó)家
密碼政策規(guī)定,采用相應(yīng)的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)人民銀行實(shí)際需求和統(tǒng)一安全策略,合理選擇加密措施。
第一百零三條各單位選用的密碼產(chǎn)品和加密算法應(yīng)符合國(guó)家相
關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合人民銀行的相關(guān)安全要求。
第一百零四條各單位應(yīng)建立嚴(yán)格的密鑰管理體制,選擇密碼管
理人員必須十本單位在編的正式員工,并逐級(jí)進(jìn)行備案,規(guī)范管理密鑰產(chǎn)生、存儲(chǔ)、分發(fā)、使用、廢除、歸檔、銷(xiāo)毀等過(guò)程。
第一百零五條各單位應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工
作,并設(shè)遇緊急情況下密鑰自動(dòng)銷(xiāo)毀功能。
第一百零六條各類(lèi)密鑰應(yīng)定期更換,對(duì)已泄漏或懷疑泄漏的密
鑰應(yīng)及時(shí)廢除,過(guò)期密鑰應(yīng)安全歸檔或定期銷(xiāo)毀。
第十章第三方訪問(wèn)和外包服務(wù)安全管理
第一節(jié)第三方訪問(wèn)控制
第一百零七條本規(guī)定所稱(chēng)第三方訪問(wèn)是指人民銀行之外的單位
和個(gè)人物理訪問(wèn)人民銀行計(jì)算機(jī)房或者通過(guò)網(wǎng)絡(luò)連接邏輯訪問(wèn)人民銀行數(shù)據(jù)庫(kù)和計(jì)算機(jī)系統(tǒng)等活動(dòng)。
第一百零八條各單位保密工作委員會(huì)負(fù)責(zé)涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)
絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批,各單位科技部門(mén)負(fù)責(zé)非涉密計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問(wèn)授權(quán)審批。未經(jīng)人民銀行授權(quán)的任何第三方訪問(wèn)均視為非法入侵行為。
第一百零九條允許被第三方訪問(wèn)的人民銀行計(jì)算機(jī)系統(tǒng)和資源
應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制,列明所有用戶(hù)名單及其權(quán)限,嚴(yán)格監(jiān)督第三方訪問(wèn)活動(dòng)。
第一百一十條獲得第三方訪問(wèn)授權(quán)的所有單位和個(gè)人應(yīng)與人民
銀行簽訂安全保密協(xié)議,不得進(jìn)行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復(fù)制和泄漏人民銀行任何信息。
第二節(jié)外包服務(wù)管理
第一百一十一條本規(guī)定所稱(chēng)外包服務(wù)是指由人民銀行之外的其
他社會(huì)廠商為人民銀行計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的技術(shù)支持、咨詢(xún)等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議,明確約定雙方義務(wù)。
第一百一十二條經(jīng)本單位科技部門(mén)領(lǐng)導(dǎo)批準(zhǔn),外包服務(wù)提供商
可提供上門(mén)維護(hù)服務(wù)并由人民銀行科技人員在場(chǎng)準(zhǔn)確記錄所有技術(shù)配變更信息。外包服務(wù)提供商不得查看、復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶離人民銀行。
第一百一十三條計(jì)算機(jī)設(shè)備確需送外單位維修時(shí),各單位科技
部門(mén)應(yīng)徹底清除所存工作信息,必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請(qǐng)生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章信息通報(bào)、災(zāi)難備份與應(yīng)急管理
第一節(jié)信息通報(bào)
第一百一十四條各單位應(yīng)按照人民銀行信息安全事件報(bào)告制
度進(jìn)行信息通報(bào),一般信息安全事件應(yīng)逐級(jí)通報(bào),發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信息安全事件(下稱(chēng)“重大信息安全事件”)應(yīng)直接報(bào)總行科技司。
第一百一十五條重大信息安全事件發(fā)生后,各單位相關(guān)人員應(yīng)
注意保護(hù)事件現(xiàn)場(chǎng),采取必要的控制措施,調(diào)查事件原因,并及時(shí)報(bào)告本單位主管領(lǐng)導(dǎo)。
第一百一十六條各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)
內(nèi)按規(guī)定程序報(bào)上一級(jí)科技部門(mén),由上級(jí)科技部門(mén)決定是否發(fā)布預(yù)警信息或啟動(dòng)轄內(nèi)應(yīng)急預(yù)案。
第二節(jié)災(zāi)難備份管理
第一百一十七條災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資
源,確保已有業(yè)務(wù)數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件(以下稱(chēng)“災(zāi)難”)發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營(yíng)的有序管理過(guò)程。
第一百一十八條總行科技司將按照“統(tǒng)籌安排、資源共享、平
戰(zhàn)結(jié)合”的原則,負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí)施和管理。
第一百一十九條總行業(yè)務(wù)司局負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需
求,明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量?傂锌萍妓緭(jù)此確定災(zāi)難備份等級(jí)和備份方案。
第一百二十條各單位應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃,定期開(kāi)展災(zāi)難恢
復(fù)培訓(xùn)。在條件許可的情況下,由總行相關(guān)部門(mén)統(tǒng)一部署,重要信息系統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練,包括異地備份站點(diǎn)切換演練和本地系統(tǒng)災(zāi)難恢復(fù)演練。
第三節(jié)應(yīng)急管理
第一百二十一條應(yīng)急預(yù)案是針對(duì)可能發(fā)生的意外事件并可能導(dǎo)
致業(yè)務(wù)差錯(cuò)和停頓,甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對(duì)策略、措施的有機(jī)集合。
第一百二十二條在計(jì)算機(jī)系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急
備份策略,同步實(shí)施備份方案。
第一百二十三條各單位應(yīng)制定和不斷完善網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和
機(jī)房環(huán)境等應(yīng)急預(yù)案。預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門(mén)和科技部門(mén)共同完成。
第一百二十四條應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容:
(一)(二)(三)(四)(五)(六)(七)
總則(目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等)。應(yīng)急組織機(jī)構(gòu)。
預(yù)警響應(yīng)機(jī)制(報(bào)告、評(píng)估、預(yù)案啟動(dòng)等)。各類(lèi)危機(jī)處流程。應(yīng)急資源保障。事后處理流程。
預(yù)案管理與維護(hù)(生效、演練、維護(hù)等)。
第一百二十五條各單位定期組織應(yīng)急預(yù)案的演練,并指定專(zhuān)人
管理和維護(hù)應(yīng)急預(yù)案,根據(jù)人員、信息資源等變動(dòng)情況以及演練情況適時(shí)予以更新和完善,確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。
第一百二十六條各單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè)
務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮,決策重大事宜(決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難宣告、預(yù)警相關(guān)單位等)和調(diào)動(dòng)應(yīng)急資源。
第一百二十七條總行辦公廳負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公
告,其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。
第十二章安全監(jiān)測(cè)、檢查、評(píng)估與審計(jì)
第一節(jié)安全監(jiān)測(cè)
第一百二十八條各單位科技部門(mén)應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系
統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、專(zhuān)用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源,加強(qiáng)對(duì)網(wǎng)絡(luò)、重要計(jì)算機(jī)系統(tǒng)和機(jī)房環(huán)境等設(shè)施的安全運(yùn)行監(jiān)測(cè)。
第一百二十九條各單位科技部門(mén)應(yīng)建立運(yùn)行監(jiān)測(cè)周報(bào)、月報(bào)或
季報(bào)制度,報(bào)送本單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組和上一級(jí)科技部門(mén),抄送相關(guān)業(yè)務(wù)部門(mén)。
第一百三十條各單位要及時(shí)預(yù)警、響應(yīng)和處運(yùn)行監(jiān)測(cè)中發(fā)現(xiàn)的
問(wèn)題,發(fā)現(xiàn)重大隱患和運(yùn)行事故應(yīng)及時(shí)協(xié)調(diào)解決,并報(bào)上一級(jí)單位相關(guān)部門(mén)。
第二節(jié)安全檢查
第一百三十一條各單位科技部門(mén)應(yīng)至少每年組織一次本單位或
轄內(nèi)的信息安全專(zhuān)項(xiàng)檢查,安全檢查方式可以是自查、互查或上級(jí)檢查多種方式。
第一百三十二條各單位在開(kāi)展安全檢查前應(yīng)以安全管理制度為
依據(jù)制定詳細(xì)的檢查方案和計(jì)劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應(yīng)及時(shí)形成檢查報(bào)告,經(jīng)本單位主管領(lǐng)導(dǎo)批準(zhǔn)后將檢查整改報(bào)告盡快送達(dá)被檢查單位。要求限期整改的,需要對(duì)相關(guān)整改情況進(jìn)行后續(xù)跟蹤。
第一百三十三條各單位參加檢查的人員對(duì)檢查中的涉密信息
負(fù)有保密責(zé)任。所有檢查報(bào)告和資料應(yīng)作為人民銀行內(nèi)部材料妥善保管,不得向外界泄漏。
第一百三十四條各單位應(yīng)將每次安全檢查報(bào)告和整改落實(shí)情況
整理匯總后報(bào)上一級(jí)科技部門(mén)備案。
第三節(jié)安全評(píng)估
第一百三十五條各單位科技部門(mén)可采用自評(píng)估、檢查評(píng)估和委
托評(píng)估等方式,每年至少組織一次對(duì)本單位或轄內(nèi)信息系統(tǒng)的安全評(píng)估。
第一百三十六條安全評(píng)估應(yīng)在不影響信息系統(tǒng)正常運(yùn)行的情況
下進(jìn)行。評(píng)估開(kāi)始前,應(yīng)制定評(píng)估方案并進(jìn)行必要的培訓(xùn)。評(píng)估結(jié)束后,形成評(píng)估報(bào)告,提出整改意見(jiàn)報(bào)本單位科技部門(mén)主管領(lǐng)導(dǎo)。
第一百三十七條各單位如聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行安全評(píng)估,應(yīng)報(bào)
總行科技司批準(zhǔn),并與第三方評(píng)估機(jī)構(gòu)簽訂安全保密協(xié)議后方可進(jìn)行。本單位信息安全管理人員全程參與評(píng)估過(guò)程并實(shí)施監(jiān)督。
第一百三十八條各單位應(yīng)妥善保管信息安全評(píng)估報(bào)告,未經(jīng)授
權(quán)不得對(duì)外透露評(píng)估信息。
第四節(jié)安全審計(jì)
第一百三十九條各單位科技部門(mén)在支持與配合內(nèi)審部門(mén)開(kāi)展審
計(jì)信息安全工作的同時(shí),應(yīng)適時(shí)開(kāi)展本單位和轄內(nèi)的信息系統(tǒng)日常運(yùn)行
管理和信息安全事件全過(guò)程的技術(shù)審計(jì),發(fā)現(xiàn)問(wèn)題及時(shí)報(bào)本單位或上一級(jí)單位主管領(lǐng)導(dǎo)。
第一百四十條各單位應(yīng)做好操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等審計(jì)功
能配管理,應(yīng)完整保留相關(guān)日志記錄,一般保留至少一個(gè)月,涉及資金交易的業(yè)務(wù)系統(tǒng)日志應(yīng)根據(jù)需要確定保留時(shí)間。
第十三章獎(jiǎng)勵(lì)與處罰
第一百四十一條各單位每年應(yīng)組織一次本單位和轄內(nèi)信息安全
管理工作評(píng)比活動(dòng),對(duì)達(dá)標(biāo)單位的相關(guān)人員應(yīng)給予一定的獎(jiǎng)勵(lì),對(duì)表現(xiàn)突出的單位和個(gè)人進(jìn)行通報(bào)表彰并給予一定形式的獎(jiǎng)勵(lì)。
第一百四十二條對(duì)于違反本規(guī)定,造成重大信息安全事件的單
位及個(gè)人,要給予通報(bào)批評(píng);情節(jié)嚴(yán)重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導(dǎo)、相關(guān)部門(mén)負(fù)責(zé)人及直接責(zé)任人的責(zé)任;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十四章附則
第一百四十三條人民銀行之前發(fā)布的其他信息安全管理制度有
關(guān)規(guī)定條款如與本規(guī)定不一致的,按本規(guī)定執(zhí)行。
第一百四十四條本規(guī)定由總行負(fù)責(zé)解釋。第一百四十五條本規(guī)定自發(fā)布之日起執(zhí)行。
友情提示:本文中關(guān)于《中國(guó)銀行網(wǎng)絡(luò)與中心機(jī)房安全管理制度》給出的范例僅供您參考拓展思維使用,中國(guó)銀行網(wǎng)絡(luò)與中心機(jī)房安全管理制度:該篇文章建議您自主創(chuàng)作。
來(lái)源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問(wèn)題,請(qǐng)聯(lián)系我們及時(shí)刪除。