中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知
制定机关 | 中国人民银行 |
公布日期 | 2010.09.27 |
施行日期 | 2010.09.27 |
文号 | 银发[2010]276号 |
主题类别 | 计算机软件著作权 |
效力等级 | 部门规范性文件 |
时效性 | 现行有效 |
正文:
----------------------------------------------------------------------------------------------------------------------------------------------------
中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知
(2010年9月27日 银发[2010]276号)
人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行,直属企事业单位:
为进一步做好人民银行计算机系统信息安全管理工作,总行制定了《中国人民银行计算机系统信息安全管理规定》,现印发给你们,请遵照执行。
附件:中国人民银行计算机系统信息安全管理规定
附件
中国人民银行计算机系统信息安全管理规定
第一章 总则
第一条 为强化人民银行计算机系统信息安全管理(以下简称信息安全管理),防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》等规定,特制定本规定。
第二条 本规定所称信息安全管理,是指在人民银行计算机系统建设、运行、维护、使用
及废止等过程中,保障计算机数据信息、计算机系统、网络与机房基础设施安全的一系列活动。
第三条 人民银行信息安全管理工作实行统一领导、分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条 人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。人民银行每个员工都有履行信息安全的权利和义务。
第五条 本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称各单位)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章 组织保障
第六条 各单位应设立由本单位领导和业务与技术相关部门主要负责人组成的计算机安全工作领导小组,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重
大事宜。各单位计算机安全工作领导小组办公室设在本单位科技部门,负责开展本单位信息安全管理日常工作。
第七条 各单位科技部门应设立信息安全管理部门或岗位。各单位科技部门应配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条 除科技部门外,各单位其他部门均应指定至少1名部门计算机安全员,具体负责本部门的信息安全管理工作,协同科技部门开展信息安全管理工作。
第三章 人员管理
第九条 各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节 信息安全管理人员
第十条 各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 各单位每年至少对信息安全管理人员进行一次信息安全培训,适时对部门计算机安全员进行信息安全知识培训。地(市)中心支行和县(市)支行信息安全管理人员原则上由上海总部、各分行、营业管理部、省会(首府)城市中心支行组织培训。
第十二条 各单位信息安全管理人员履行职责:
(一)组织落实上级信息安全管理规定和本单位及辖内信息安全保障工作,制定信息安全管理制度,协调部门计算机安全员工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全项目建设,维护、管理信息安全专用设施。
(三)督促检查网络和信息系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十三条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,应按人民银行相关保密规定执行。
第十四条 对信息安全管理人员应实行备案管理。信息安全管理人员的配备和变更情况,应及时报上一级科技部门备案。信息安全管理人员调离原岗位时,应办理交接手续,并履行其调离后的保密义务。
第二节 部门计算机安全员
第十五条 各部门应指派政治思想过硬、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案,如有变更应及时通报。
第十六条 部门计算机安全员应积极配合信息安全管理人员工作,各部门应优先选派部门计算机安全员参加本单位科技部门组织的计算机技术培训。
第十七条 部门计算机安全员履行以下职责:
(一)负责配合本单位科技部门(岗)完成本部门计算机病毒防治、补丁升级、非法外联防范、移动存储介质管控等工作。
(二)负责提出本部门信息安全保障需求,及时与科技部门(岗)沟通本部门信息安全情况。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节 技术支持人员
第十八条 本规定所称技术支持人员,是指负责或参与人民银行机房环境、网络、计算机系统等建设、运行、维护的人员,包括内部技术支持人员和外部技术支持人员。
第十九条 人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担以下安全义务:
(一)应严格遵守各项安全保密规定。
(二)严格权限访问,未经业务主管部门书面授权,不得擅自修改系统业务应用设置或修改系统生成的任何业务数据。
(三)检测和监控生产系统安全运行状况,定期进行风险评估、应急演练,发现安全隐患或
故障及时报告本部门主管领导,并及时响应和处置。
第二十条 外部技术支持人员应严格履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,应严格遵守人民银行相关安全规定与操作规程。
第四节 业务操作人员
第二十一条 本规定所称业务操作人员,是指直接使用计算机系统处理业务的业务部门工作人员。
第二十二条 业务操作人员履行以下职责:
(一)严格按规程操作,防止误操作。定期修改并妥善保管操作密码,按需、适时进行必要的数据备份。
(二)一旦发现计算机系统出现异常,应及时通报科技部门。
(三)不得在业务操作终端上安装与业务处理无关的计算机软件和硬件,不得擅自修改计算机系统及其运行环境参数。
第二十三条 计算机系统业务操作应按照“权限分散、相互制约”原则,合理划分操作角,严格进行授权管理。技术支持人员不得兼任业务操作人员。
第五节 一般计算机用户
第二十四条 本规定所称一般计算机用户,是指使用计算机及外设的所有人员。
第二十五条 一般计算机用户履行以下职责:
(一)及时更新所用计算机的病毒防治软件并安装必要的补丁程序,按规定使用移动存储介质,自觉接受本部门计算机安全员的指导与管理。
(二)不得安装与工作无关的计算机软件和硬件,不得擅自修改计算机系统及其运行环境参数。
中国人民银行安全控件下载安装 第二十六条 不得私自改变计算机用途,不得将一台计算机跨接不同网络。非人民银行配备的计算机不得接入人民银行内部网络。未经保密部门批准和科技部门检测,不得将便携式计算机接入内部网络。
第四章 机房环境和设备资产管理
第一节 机房安全管理
第二十七条 本规定所称机房,是指网络与计算机设备放置、运行的场所,包含供配电、通信、空调、消防、监控等配套环境设施。
第二十八条 各单位机房的规划、建设、改造、运行、维护,应遵守人民银行计算机机房管理相关规定。
第二十九条 各单位应建立集中的计算机机房,统一为各计算机系统提供运行环境。机房设施配备应符合国家计算机机房有关标准要求。
第三十条 各分支机构机房建设(改造)的方案应报上一级机构科技部门备案。必要时,由上一级机构科技部门会同有关部门组织审核。
第三十一条 各单位机房建设的设计与实施,应选择具备符合国家相关资质要求的企业。数据中心机房建设施工过程中,应引入监理机制。未经验收或验收不合格的机房,不得正式投入使用。
第三十二条 各单位应建立健全机房管理制度,并指派专人担任机房管理员,定期巡查机房运行状况。机房管理员应经过相关专业培训,掌握机房各类设备的操作要领。
第三十三条 各单位应定期对机房设施进行维修保养,加强对易损、易失效设备或部件的维护保养。夜间机房视频监控的值守,由科技部门与大楼保卫部门协商确定。
第二节 柜面和核心业务处理环境安全管理
第三十四条 对外提供柜面服务的场所与核心业务处理环境,应严格人员出入管理,并通过安装门禁、视频监控录像等系统,加强技术防范。
第三节 设备资产管理
第三十五条 各单位科技部门应做好计算机设备登记工作,严格设备资产管理,落实计算机设备使用者的安全保护责任。
第三十六条 各单位应根据计算机设备的重要程度,采取相应等级的安全保护措施,防止未授权使用设备或信息。有特殊安全保密要求的计算机设备,应放置在机房特殊功能区,并遵守相关安全保密规定。
第五章 网络安全管理
第一节 网络规划、建设中的安全管理
第三十七条 总行科技主管部门负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址段和域名等)分配。涉密网络和涉密信息系统的规划、建设按照国家涉密信息系统分级保护相关标准和规定执行。
第三十八条 各单位科技部门应按照总行的统一规划和部署,组织实施网络建设、改造工程。网络建设与改造方案应报上一级科技部门审核,投产前应通过本单位组织的安全性测试。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论