机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第三十四条 建立机房定期维修保养制度。易受季节、温度等环境
因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第二节 柜面和核心业务处理环境安全管理
第三十五条 向社会提供公众服务的柜面和核心业务处理环境应严
格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配臵自动监控报警功能。
第三十六条 所有门禁、防入侵报警、视频监视录像系统的信息资
料由专人保存至少三个月。
第三节 设备资产管理
第三十七条 各单位科技部门应建立完备的计算机设备登记制度,
严格资产管理,明确计算机设备使用者或管理者及其安全责任。
第三十八条 各单位科技部门应根据计算机设备重要程度采取不同
的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放臵在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄漏的屏蔽装臵等。
第五章 网络安全管理
第一节 网络规划、建设中的安全管理
第三十九条 总行科技司负责网络和网络安全的统一规划、建设部
署、策略配臵和网络资源(网络设备、通讯线路、IP地址和域名等)分配。
第四十条 各单位科技部门按照总行科技司的统一规划和总体部
署,组织实施网络建设、改造工程。各单位局域网的建设与改造方案应报上一级科技部门审核、备案,投产前应通过本单位组织的安全测试。
第四十一条 各单位的网络建设和改造应符合如下基本安全要求: (一) 符合人民银行网络安全管理要求,保障网络传输与应用安全。
- 6 -
(二) 具备必要的网络监测、跟踪和审计等管理功能。 (三) 针对不同的网络安全域,采取必要的安全隔离措施。
第二节 网络运行安全管理
第四十二条 各单位科技部门应建立健全网络安全运行制度,配备
专(兼)职网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配臵信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
第四十三条 网络管理员应定期参加网络安全技术培训,具备一定
的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第四十四条 各单位科技部门应严格网络接入管理。任何设备接入
网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。
第四十五条 各单位科技部门应严格网络变更管理。网络管理员调
整网络重要参数配臵和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配臵参数的备份和应急恢复准备。
第四十六条 各单位应严格远程访问控制。确因工作需要进行远程
访问的部门和人员应向科技部门提出书面申请,并采取相应的安全防护措施。
第四十七条 信息安全管理人员经本部门主管领导批准,有权对本
单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经总行科技司授权,任何外部单位与人员不得检测、扫描人民银行内部网络。
第四十八条 各单位以不影响业务的正常网络传输为原则,合理控
制多媒体网络应用规模和范围。未经总行科技司批准,不得在人民银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应
- 7 -
用。
第三节 网间互联安全管理
第四十九条 本规定所称网间互联是指为满足人民银行与其他外部
机构信息交换或信息共享需求实施的机构间网络互联。
第五十条 网间互联由总行科技司统一规划,按照相关标准组织
实施。未经总行科技司核准,任何单位不得自行与外部机构实施网间互联。
第四节 接入国际互联网管理
第五十一条 人民银行内部网络与国际互联网实行安全隔离。所有
接入人民银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。
第五十二条 计算机接入国际互联网应通过本单位保密工作委员会
办公室批准,并确保安装有人民银行选定的防病毒软件和最新补丁程序。科技部门凭相关批准证明实施联网,并做好备案。曾接入人民银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技部门确保该计算机已删除敏感工作信息后方可实施接入。
第五十三条 未经科技部门安全检测,曾接入国际互联网的计算机
不得直接接入人民银行内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。
第五十四条 使用国际互联网的所有用户应遵守国家有关法律法规
和人民银行相关管理规定,不得从事任何违法违规活动。
第六章 计算机系统安全管理
第五十五条 本规定所指的计算机系统是人民银行业务处理系统、
管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 计算机系统规划与立项
第五十六条 计算机系统建设项目应在规划与立项阶段同步考虑安
全问题,建设方案应满足人民银行信息安全保障总体规划的相关要求。
- 8 -
项目技术方案应包括以下基本安全内容:
(一)业务需求部门提出的安全需求。 (二) 安全需求分析和实现。 (三)运行平台的安全策略与设计。
第五十七条 各单位科技部门负责对项目技术方案进行安全专项审
查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 计算机系统开发与集成
第五十八条 计算机系统开发应符合软件工程规范,依据安全需求
进行安全设计,保证安全功能的完整实现。
第五十九条 计算机系统开发单位应在完成开发任务后将程序源代
码及其相关技术文档全部移交人民银行科技部门。外部开发单位还应与人民银行签署相关知识产权保护协议和保密协议,不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。
第六十条 计算机系统的开发人员不能兼任计算机系统管理员或
业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第六十一条 计算机系统开发、测试、修改工作不得在生产环境中
进行。
第六十二条 涉密计算机系统集成应选择具有国家相关部门颁发的
涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 计算机系统运行
第六十三条 各单位计算机系统上线运行实行安全审查制度,未通
过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下:
(一) 项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技部门审查。
(二) 计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定,报科技部门备案。
(三) 科技部门应提出明确的测试方案和测试报告审查意见。必
- 9 -
要时,可组织专家评审或实施计算机系统漏洞扫描检测。
第六十四条 各单位科技部门应明确系统管理员,具体负责计算机
系统的日常运行管理,并建立重要计算机系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设臵要求双人在场。
第六十五条 系统管理员不得兼任业务操作人员。系统管理员确需
对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第六十六条 未经业务主管部门领导书面批准,其他任何人不得擅
自使用业务操作人员用机,不得擅自设臵、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第六十七条 业务部门负责计算机系统用户和权限设定,科技部门
根据授权进行相关设定操作。
第六十八条 业务操作人员严格按照安全操作规程进行业务操作、
数据备份,并配合科技部门保障信息安全。一旦发现计算机系统运行异常及时向本部门领导和科技部门报告。
第六十九条 业务操作人员设臵本人口令密码。重要计算机系统业
务操作人员的密码应由业务部门领导和系统管理员分段设立。
第七十条 凡是能够执行录入、复核制度的计算机系统,业务操
作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。
第七十一条 业务操作人员离开操作用机时,应按序退出计算机系
统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 计算机系统废止
第七十二条 实行计算机系统废止申报、备案制度。使用计算机系
统的业务部门根据需要向科技部门提出废止申请,由科技部门组织进行安全检查后予以废止,同时备案。
- 10 -