第七十三条 对已经废止的计算机系统软件和数据备份介质,科技
部门按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密工作委员会监督下予以不可恢复性销毁。
第七章 客户端安全管理
第七十四条 本规定所称客户端是指人民银行计算机用户、网络与
信息系统所使用的终端设备,包括联网桌面终端、柜面终端、单机运行(哑)终端、远程接入终端、便携式计算机等。
第七十五条 各单位应建立完善的客户端管理制度,记录所有客户
端设备信息和软件配臵信息。
第七十六条 客户端应安装和使用正版软件,不得安装和使用盗版
软件,不得安装和使用与工作无关的软件。
第七十七条 客户端应统一安装病毒防治软件,设臵用户密码和屏
幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。
第七十八条 确因工作需要经授权可远程接入内部网络的用户,应
严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品、服务管理
第一节 资质审查与选型购臵
第七十九条 本规定所称信息安全专用产品,是指人民银行安装使
用的专用安全软件、硬件产品。本规定所称信息安全服务,是指人民银行向社会购买的专业化安全服务。
第八十条 总行科技司负责信息安全服务提供商的资质审查和信
息安全专用产品的选型,由集中采购部门按照政府集中采购程序选购。
第八十一条 各单位购臵扫描、检测类信息安全专用产品应报总行
科技司批准、备案。
第二节 使用管理
第八十二条 各单位科技部门应建立信息安全专用产品登记使用
制度,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、
- 11 -
检测类信息安全专用产品仅限于本单位信息安全管理人员使用。
第八十三条 各单位科技部门随时检查各类信息安全专用产品使
用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。
第八十四条 各类信息安全专用产品在使用中产生的日志和报表信
息属于重要技术资料,应备份存档至少三个月。
第八十五条 各单位科技部门应及时升级维护信息安全专用产品,
凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。
第八十六条 防火墙、入侵检测等安全专用产品原则上应在本地配
臵。如需要进行远程配臵,由科技部门或经科技部门授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 文档、数据与密码应用安全管理
第一节
技术文档
第八十七条 本规定所称技术文档是指人民银行网络、计算机系统
和机房环境等建设与运行维护过程中形成的各种技术资料,包括纸质文档、电子文档、视频和音频文件等。
第八十八条 各单位科技部门负责将技术文档统一归档,实行借阅
登记制度。未经科技部门领导批准,任何人不得将技术文档转借、复制和对外公布。
第二节
存储介质
第八十九条 各单位应建立健全磁带、光盘、移动存储介质、缩微
胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。
第九十条 各单位应做好存储介质在物理传输过程中的安全控
制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。
- 12 -
第九十一条 各单位所有部门和个人应加强对移动存储设备(U盘、
软盘、移动硬盘)的管理。
第九十二条 各单位应建立存储介质销毁制度,对载有敏感信息的
存储介质应采用焚烧或粉碎等方式进行处臵并做好记录。
第三节
数据安全
第九十三条 本规定中所称的数据是指以电子形式存储的人民银行
业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
第九十四条 各单位业务部门负责提出数据在输入、处理、输出等
不同状态下的安全需求,科技部门负责审核安全需求并提供一定的技术实现手段。
第九十五条 各单位业务部门应严格管理业务数据的增加、修改、
删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。
第九十六条 各单位科技部门系统管理员负责定期导出网络和重要
计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。
第九十七条 各单位业务部门应明确规定备份数据的保存时限和密
级,建立备份数据销毁审批登记制度,并根据数据重要性级别分类采取相应的安全销毁措施。
第九十八条 所有数据备份介质应注意防磁、防潮、防尘、防高温、
防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第四节
口令密码
第九十九条 各单位系统管理员、数据库管理员、网络管理员、业
务操作人员均须设臵口令密码,至少每三个月更换一次。口令密码的强度应满足不同安全性要求。
第一百条 敏感计算机系统和设备的口令密码设臵应在安全的
环境下进行,必要时应将口令密码笔录、密封交相关部门保管。未经科
- 13 -
技部门主管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。
第一百零一条 各单位应根据实际情况在一定时限内妥善保存重
要计算机系统升级改造前的口令密码。
第五节
密码技术应用管理
第一百零二条 人民银行涉密网络和计算机系统应严格按照国家
密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据人民银行实际需求和统一安全策略,合理选择加密措施。
第一百零三条 各单位选用的密码产品和加密算法应符合国家相
关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合人民银行的相关安全要求。
第一百零四条 各单位应建立严格的密钥管理体制,选择密码管
理人员必须十本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。
第一百零五条 各单位应在安全环境中进行关键密钥的备份工
作,并设臵遇紧急情况下密钥自动销毁功能。
第一百零六条 各类密钥应定期更换,对已泄漏或怀疑泄漏的密
钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包服务安全管理
第一节 第三方访问控制
第一百零七条 本规定所称第三方访问是指人民银行之外的单位
和个人物理访问人民银行计算机房或者通过网络连接逻辑访问人民银行数据库和计算机系统等活动。
第一百零八条 各单位保密工作委员会负责涉密计算机系统和网
络相关的第三方访问授权审批,各单位科技部门负责非涉密计算机系统和网络相关的第三方访问授权审批。未经人民银行授权的任何第三方访问均视为非法入侵行为。
第一百零九条 允许被第三方访问的人民银行计算机系统和资源
- 14 -
应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。
第一百一十条 获得第三方访问授权的所有单位和个人应与人民
银行签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄漏人民银行任何信息。
第二节 外包服务管理
第一百一十一条 本规定所称外包服务是指由人民银行之外的其
他社会厂商为人民银行计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议,明确约定双方义务。
第一百一十二条 经本单位科技部门领导批准,外包服务提供商
可提供上门维护服务并由人民银行科技人员在场准确记录所有技术配臵变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离人民银行。
第一百一十三条 计算机设备确需送外单位维修时,各单位科技
部门应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 信息通报、灾难备份与应急管理
第一节 信息通报
第一百一十四条 各单位应按照人民银行信息安全事件报告制
度进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报总行科技司。
第一百一十五条 重大信息安全事件发生后,各单位相关人员应
注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百一十六条 各单位应在重大信息安全事件发生后的两小时
- 15 -