中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知
文章属性
【制定机关】中国人民银行
【公布日期】2010.12.28
【文 号】银发[2010]366号
【施行日期】2010.12.28
【效力等级】部门规范性文件
【时效性】现行有效
中国人民银行安全控件下载安装【主题分类】计算机软件著作权,银行业监督管理
正文
中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知
  (2010年12月28日 银发[2010]366号)
  人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行,各直属企事业单位:
  为进一步做好人民银行计算机系统信息安全风险防范和事件处置工作,总行制定了《中国人民银行计算机系统信息安全报告制度》,现印发给你们,请遵照执行。
  附件:中国人民银行计算机系统信息安全报告制度
  附件
中国人民银行计算机系统信息安全报告制度
一、总则
  第一条 根据《中国人民银行计算机系统信息安全管理规定》(银发[2010]276号印发),为加强人民银行计算机系统信息安全(以下简称信息安全)管理,规范计算机系统信息安全报告流程,提高信息安全事件和风险处置效率,制定本制度。
  第二条 本制度适用于人民银行总行、上海总部、各分支机构行、各直属企事业单位及其他相关单位。
  第三条 本制度报告范畴界定为网络与信息系统计算机系统的信息安全,报告事项包括信息安全事件和信息安全风险两类。
  第四条 本制度所称信息安全事件,是指由于人为、自然因素或计算机软硬件缺陷等原因,导致网络、信息系统出现异常或数据受到侵害,影响网络与信息系统正常运行或数据安全。
  第五条 本制度所称信息安全风险,是指人为、自然的威胁利用网络与信息系统及其管理机制中存在的脆弱性,导致信息安全事件发生的可能性。
  第六条 任何单位和个人均有信息安全报告的义务。按照“谁发现、谁报告”的原则,信息安全事件发生或风险发现单位的计算机系统相关业务部门在向本单位应急办报告的同时,通报本单位科技部门。各单位科技部门按照本制度具体规定向上级单位科技部门报告。总行业务部门向计算机系统相关运行部门通报,运行部门向总行科技司报告。
  第七条 信息安全报告应及时,不得迟报、谎报、瞒报、漏报,报告内容应客观准确,报告格式应符合本制度要求。
二、信息安全事件报告
  第八条 根据计算机信息系统的重要性及其遭受损害的程度、范围和造成数据泄露、丢失、破坏等产生的影响不同,信息安全事件分为特别重大(I级)信息安全事件、重大(II级)信息安全事件、较大(Ⅲ级)信息安全事件和一般(IV级)信息安全事件。当信息安全事件满足多个级别定级条件时,按最高级别确定事件等级,具体分级见附1。
  第九条 事发单位应依据信息安全事件影响时间、范围和持续时间等因素的变化情况,按照附1的定义进行事件级别的调整。事件等级的最终认定,由相关业务部门会同科技部门在事后综合评估后认定。
  第十条 总行负责全行较大(Ⅲ级)及以上信息安全事件的接报工作,上海总部、各分行、营业管理部和省会(首府)城市中心支行负责所在省(区、市)内各级别信息安全事件的接报工作,各副省级城市中心支行负责其所在城市发生的各级别信息安全事件的接报工作。
  第十一条 一般情况下,信息安全事件报告实行逐级上报,副省级城市中心支行直接向总行报告。发生或可能引发重大(II级事件)及以上事件等紧急情况下,事发单位在向上一级报告的同时,应按照人民银行应急信息报送有关规定向总行应急处置指挥部报告,并向总行科技司报告。
  第十二条 各单位应按照规定的信息安全事件报告流程(见附2),在事发、事中与事后三个阶段分别报告。如遇地震、台风和雪灾等重大自然灾害,事发单位可采取各种可行的,及时报告。对电话方式报告的事件,接报单位应做好电话记录,留存电话记录单,记录单格式见附3。
  第十三条 事件发生时,事发单位应立即报告,报告方式包括电话、OA邮件、传真等(如遇紧急情况,可通过短信等方式预报告)。事发报告要素见附4。
  第十四条 在事件处置过程中,事发单位应及时报告事件处置进展情况,报告方式包括电话、OA邮件或传真,事中报告要素见附5。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。