中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知-银发[2010]276号

中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的
通知
正文：
---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知
（2010年9月27日银发[2010]276号）
人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行，直属企事业单位：
为进一步做好人民银行计算机系统信息安全管理工作，总行制定了《中国人民银行计算机系统信息安全管理规定》，现印发给你们，请遵照执行。

附件：中国人民银行计算机系统信息安全管理规定
附件
中国人民银行计算机系统信息安全管理规定
第一章总则
第一条为强化人民银行计算机系统信息安全管理(以下简称信息安全管理)，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络与机房基础设施安全的一系列活动。

第三条人民银行信息安全管理工作实行统一领导、分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

人民银行每个员工都有履行信息安全的权利和义务。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称各单位)。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障
第六条各单位应设立由本单位领导和业务与技术相关部门主要负责人组成的计算机安全工作领导小组，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

各单位计算机安全工作领导小组办公室设在本单位科技部门，负责开展本单位信息安全管理日常工作。

第七条各单位科技部门应设立信息安全管理部门或岗位。

各单位科技部门应配备专职信息安全管理人员，实行A、B岗制度；地(市)中心支行和县(市)支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少1名部门计算机安全员，具体负责本部门的信息安全管理工作，协同科技部门开展信息安全管理工作。

第三章人员管理
第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员
第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员，不得从事此项工作。

第十一条各单位每年至少对信息安全管理人员进行一次信息安全培训，适时对部门计算机安全员进行信息安全知识培训。

地(市)中心支行和县(市)支行信息安全管理人员原则上由上海总部、各分行、营业管理部、省会(首府)城市中心支行组织培训。

第十二条各单位信息安全管理人员履行职责：
(一)组织落实上级信息安全管理规定和本单位及辖内信息安全保障工作，制定信息安全管理制度，协调部门计算机安全员工作。

(二)审核信息化建设项目中的安全方案，组织实施信息安全项目建设，维护、管理信息安全专用设施。

(三)督促检查网络和信息系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。

统计分析和协调处置信息安全事件。

(四)定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。

第十三条信息安全管理人员在履行职责时，确因工作需要查询相关涉密信息，应按人民银行相关保密规定执行。

第十四条对信息安全管理人员应实行备案管理。

信息安全管理人员的配备和变更情况，应及时报上一级科技部门备案。

信息安全管理人员调离原岗位时，应办理交接手续，并履行其调离后的保密义务。

第二节部门计算机安全员
第十五条各部门应指派政治思想过硬、较熟悉计算机知识的人员担任部门计算机安全员，并报本单位科技部门备案，如有变更应及时通报。

第十六条部门计算机安全员应积极配合信息安全管理人员工作，各部门应优先选派部门计算机安全员参加本单位科技部门组织的计算机技术培训。

第十七条部门计算机安全员履行以下职责：
(一)负责配合本单位科技部门(岗)完成本部门计算机病毒防治、补丁升级、非法外联防范、移动存储介质管控等工作。

(二)负责提出本部门信息安全保障需求，及时与科技部门(岗)沟通本部门信息安全情况。

(三)负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。

第三节技术支持人员
第十八条本规定所称技术支持人员，是指负责或参与人民银行机房环境、网络、计算机系统等建设、运行、维护的人员，包括内部技术支持人员和外部技术支持人员。

第十九条人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担以下安全义务：
(一)应严格遵守各项安全保密规定。

(二)严格权限访问，未经业务主管部门书面授权，不得擅自修改系统业务应用设置或修改系统生成的任何业务数据。

(三)检测和监控生产系统安全运行状况，定期进行风险评估、应急演练，发现安全隐患或故障及时报告本部门主管领导，并及时响应和处置。

第二十条外部技术支持人员应严格履行服务外包合同(协议)中的各项安全承诺，在提供技术服务期间，应严格遵守人民银行相关安全规定与操作规程。

第四节业务操作人员
第二十一条本规定所称业务操作人员，是指直接使用计算机系统处理业务的业务部门工作人员。

第二十二条业务操作人员履行以下职责：
(一)严格按规程操作，防止误操作。

定期修改并妥善保管操作密码，按需、适时进行必要的数据备份。

(二)一旦发现计算机系统出现异常，应及时通报科技部门。

(三)不得在业务操作终端上安装与业务处理无关的计算机软件和硬件，不得擅自修改计算机系统及其运行环境参数。

第二十三条计算机系统业务操作应按照“权限分散、相互制约”原则，合理划分操作角色，严格进行授权管理。

技术支持人员不得兼任业务操作人员。

第五节一般计算机用户
第二十四条本规定所称一般计算机用户，是指使用计算机及外设的所有人员。

第二十五条一般计算机用户履行以下职责：
(一)及时更新所用计算机的病毒防治软件并安装必要的补丁程序，按规定使用移动存储介质，自觉接受本部门计算机安全员的指导与管理。

(二)不得安装与工作无关的计算机软件和硬件，不得擅自修改计算机系统及其运行环境参数。

第二十六条不得私自改变计算机用途，不得将一台计算机跨接不同网络。

非人民银行配备的计算机不得接入人民银行内部网络。

未经保密部门批准和科技部门检测，不得将便携式计算机接入内部网络。

第四章机房环境和设备资产管理
第一节机房安全管理
第二十七条本规定所称机房，是指网络与计算机设备放置、运行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。

第二十八条各单位机房的规划、建设、改造、运行、维护，应遵守人民银行计算机机房管理相关规定。

第二十九条各单位应建立集中的计算机机房，统一为各计算机系统提供运行环境。

机房设施配备应符合国家计算机机房有关标准要求。

第三十条各分支机构机房建设(改造)的方案应报上一级机构科技部门备案。

必要时，由上一级机构科技部门会同有关部门组织审核。

第三十一条各单位机房建设的设计与实施，应选择具备符合国家相关资质要求的企业。

数据中心机房建设施工过程中，应引入监理机制。

未经验收或验收不合格的机房，不得正式投入使用。

第三十二条各单位应建立健全机房管理制度，并指派专人担任机房管理员，定期巡查机房运行状况。

机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。

第三十三条各单位应定期对机房设施进行维修保养，加强对易损、易失效设备或部件的维护保养。

夜间机房视频监控的值守，由科技部门与大楼保卫部门协商确定。

第二节柜面和核心业务处理环境安全管理
第三十四条对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防范。

第三节设备资产管理
第三十五条各单位科技部门应做好计算机设备登记工作，严格设备资产管理，落实计算机设备使用者的安全保护责任。

第三十六条各单位应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未授权使用设备或信息。

有特殊安全保密要求的计算机设备，应放置在机房特殊功能区，并遵守相关安全保密规定。

第五章网络安全管理
第一节网络规划、建设中的安全管理
第三十七条总行科技主管部门负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址段和域名等)分配。

涉密网络和涉密信息系统的规划、建设按照国家涉密信息系统分级保护相关标准和规定执行。

第三十八条各单位科技部门应按照总行的统一规划和部署，组织实施网络建设、改造工程。

网络建设与改造方案应报上一级科技部门审核，投产前应通过本单位组织的安全性测试。

第三十九条各单位的网络建设和改造符合以下安全要求：
(一)符合人民银行网络架构规划和安全管理要求，保障网络传输与应用安全。

(二)具备必要的网络监控、审计等管理功能。

(三)针对不同的网络安全域，采取相应的网络边界控制措施。

第二节网络运行安全管理
第四十条各单位科技部门应建立健全网络安全运行制度，配备A、B岗专(兼)职网络管理员。

网络管理员负责日常监测工作，检查网络安全运行状况，定期检查网络日志，管理网络资源及其配置信息，建立健全网络安全运行维护档案，及时发现和解决网络异常情况。

网络日志应至少妥善保存3个月。

第四十一条网络管理员应定期参加网络安全技术培训，具备一定的网络攻击防范技能，紧急情况下，经本部门主管领导授权后，可采取“先断网、后处理”的紧急应对措施。

第四十二条各单位科技部门应严格网络接入管理。

任何设备接入网络前，接入方案应经过科技部门的审核，审核批准后方可接入网络并分配相应的网络资源。

第四十三条各单位科技部门应严格网络变更管理。

网络管理员调整网络重要参数配置和服务端口前，应书面请示本部门主管领导，变更信息应做好记录。

网络变更原则上应安排在非工作时间进行。

实施有可
能影响网络正常运行的重大网络变更，应提前通知所有使用部门，并安排在节假日进行，同时做好配置参数的备份和应急恢复准备。

第四十四条各单位应严格远程访问控制。

确因工作需要进行远程访问的，应由访问发起单位科技部门核准，提请被访问单位科技部门(岗)开启远程访问服务，并采取单列账户、最小权限分配、及时关闭远程访问服务等安全防护措施。

第四十五条信息安全管理人员经本部门主管领导批准后，有权对本单位或辖内网络进行安全检测、扫描。

检测、扫描结果属敏感信息，未经授权不得对外公开。

未经总行科技主管部门授权，任何外部单位与人员不得检测或扫描人民银行内部网络。

第四十六条各单位以不影响正常网络传输为原则，合理控制多媒体网络应用规模和范围。

未经总行科技主管部门批准，不得在人民银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。

第三节网间互联安全管理
第四十七条本规定所称网间互联，是指为满足人民银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。

第四十八条网间互联由总行科技主管部门统一规划，按照相关标准组织实施。

未经总行科技主管部门核准，任何单位不得自行与外部机构实施网间互联。

第四节接入国际互联网管理
第四十九条人民银行内部网络与国际互联网实行安全隔离。

所有接入人民银行内部网络或存储有敏感工作信息的计算机，不得接入国际互联网。

第五十条计算机接入国际互联网应通过本单位保密工作委员会办公室批准，并确保安装有人民银行选定的防病毒软件和最新补丁程序。

科技部门凭相关批准证明实施联网，并做好备案。

第五十一条曾接入人民银行内部网络的计算机需改接入国际互联网前，应重新办理以上审批手续，并由科技部门配合清除计算机上工作信息后，方可实施接入。

曾接入国际互联网的计算机，须经科技部门进行严格的病毒清查、打补丁后，方可改接入人民银行内部网络。

第五十二条从国际互联网下载的任何信息，未经病毒检测不得在人民银行内部网络上使用。

第五十三条使用国际互联网的所有用户应遵守国家有关法律法规和人民银行相关管理规定，不得从事任何违法违规活动。

第六章计算机系统安全管理
第五十四条本规定所称计算机系统，是指人民银行业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。

第一节计算机系统规划与立项
第五十五条计算机系统建设项目应在规划与立项阶段同步考虑安全问题，设计方案应满足人民银行信息系统建设安全的相关要求。

第五十六条业务需求提出部门应提出数据安全需求，科技部门应进行安全性需求分析。

项目技术方案未通过科技部门组织的安全性审查，项目不得予以立项。

第五十七条使用上一级机构计算机系统资源或对其他机构计算机系统资源与配置造成影响的区域性建设项目，项目建设方案应分别通过上一级机构业务与科技部门的审核、批准。

第二节计算机系统开发与集成
第五十八条计算机系统开发应符合人民银行信息化架构规划，依据安全需求进行安全设计，保证安全功能的完整实现。

第五十九条计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交人民银行科技部门。

外部开发单位还应与人民银行承担单位(部门)签署相关知识产权保护协议和保密协议，不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。

第六十条计算机系统的开发人员不能兼任系统管理员或业务操作人员，不得在程序中设置后门或恶意代码程序。

第六十一条计算机系统开发、测试不得在生产环境中进行。

测试环境与生产环境应安全隔离，防范安全威胁经由测试环境影响生产环境。

第六十二条涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位，并签订严格的保密协议。

第三节计算机系统运行
第六十三条各单位计算机系统上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投产运行。

具体要求如下：
(一)项目承担单位(部门)应组织制定安全测试方案，进行系统上线前的自测试，测试报告报科技部门审查。

(二)计算机系统应用部门应在计算机系统投产前，同步制定相关安全操作规程，报科技部门备案。

(三)科技部门应提出明确的测试方案和测试报告审查意见。

必要时，可组织专家评审或实施计算机系统漏洞扫描检测。

(四)各单位自主开发的应用程序，未经上一级科技部门批准，不得运行在上一级机构数据中心资源环境中。

第六十四条各单位科技部门应明确各计算机系统的系统管理员，具体负责计算机系统的日常运行管
理，定期检查系统日志，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程。

重要计算机系统的系统设置要求至少双人在场。

第六十五条系统管理员不得兼任业务操作人员。

系统管理员不得对业务数据进行任何增加、删除、修改、查询等操作。

系统管理员确需对计算机系统数据库进行技术维护性操作的，应征得业务部门书面同意，在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。

第六十六条未经业务主管部门领导书面批准，任何人不得擅自使用业务操作人员用机，不得擅自设置、分配、使用、修改和删除业务操作人员身份、口令和业务数据等信息，不得擅自改变用户权限。

第四节业务操作
第六十七条业务部门负责计算机系统用户和权限设定，必要时，提请科技部门进行设定操作。

第六十八条业务操作人员应严格按照安全操作规程进行业务操作、数据备份，并配合科技部门保障信息安全。

第六十九条业务操作人员设置本人口令密码后要妥善保管，并按照相关规定要求定期更换。

第七十条根据业务制约要求，业务数据的录入、复核分岗设立，特别重要的业务数据录入，应增设审查岗。

以上岗位不得由一人兼任。

第七十一条业务操作人员离开操作用机时，应注销或锁屏。

第五节计算机系统废止
第七十二条实行计算机系统废止申报、备案制度。

使用计算机系统的业务部门根据需要，向科技部门提出废止申请，由科技部门组织进行安全检查后予以废止，同时备案。

第七十三条需要废止的计算机系统内的数据信息，应由科技部门使用专用工具进行消除处理。

如废止计算机设备不再使用或调配到人民银行以外的单位，应由科技部门对其数据信息存储设备进行消磁或物理粉碎等不可恢复性销毁处理。

第七章客户端安全管理
第七十四条本规定所称客户端，是指人民银行计算机用户、网络与信息系统所使用的终端设备，包括各类有线或无线、桌面或便携设备。

第七十五条客户端应安装和使用正版软件，不得安装和使用与工作无关的软件。

第七十六条客户端应统一安装病毒防治软件，设置用户密码和屏幕保护口令等安全防护措施，确保及时更新病毒特征码并安装必要的补丁程序。

第七十七条确因工作需要经授权可远程接入内部网络的用户，应妥善保管其身份认证介质及口令密码，不得转借他人使用。

第八章信息安全产品、服务管理
第一节资质审查与选型购置
第七十八条本规定所称信息安全产品，是指人民银行安装使用的信息安全软件、硬件产品。

本规定所称信息安全服务，是指人民银行向社会购买的专业化信息安全服务。

第七十九条总行科技主管部门负责信息安全服务提供商的资质审查和信息安全产品的选型，由各单位集中采购部门按照集中采购程序选购。

第八十条各单位购置扫描、检测类信息安全产品应报总行科技主管部门批准、备案。

第二节使用管理
第八十一条各单位科技部门应建立信息安全产品资产登记机制，建立信息安全类固定资产登记簿并由专人负责管理。

扫描、检测类信息安全产品仅限于本单位信息安全管理人员使用。

第八十二条各单位科技部门应随时检查各类信息安全产品使用情况，认真查看相关日志和报表信息并定期汇总分析。

若发现重大问题，立即采取控制措施并按规定程序报告。

第八十三条各类信息安全产品在使用中产生的日志和报表信息属于重要技术资料，应备份存档至少3个月。

第八十四条各单位科技部门应及时升级维护信息安全产品，凡超过使用期限的或不能继续使用的信息安全产品，要按照固定资产报废审批程序处理。

第八十五条防火墙、入侵检测等信息安全产品原则上应在本地配置。

如需要进行远程配置，科技部门或经科技部门授权的人员可在采取了必要的安全控制措施的可信网络内进行相关操作。

第九章文档、数据与密码应用安全管理
第一节技术文档
第八十六条本规定所称技术文档，是指人民银行网络、计算机系统和机房环境等建设与运行维护过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。

第八十七条各单位科技部门负责将技术文档统一归档，实行借阅登记制度。

未经科技部门领导批准，任何人不得将技术文档转借、复制或对外公开。

第二节存储介质
第八十八条各单位应做好磁带、移动存储介质(含光盘、磁盘、半导体存储介质)、缩微胶片等存储介质管理工作。

所有存储介质应保存在安全的物理环境中，并有明晰的标识。

应建立重要数据多重备份机制，其中至少1份备份介质应存放于科技部门指定的同城或异地安全区域。

第八十九条各单位应做好存储介质在物理传输过程中的安全控制，应选择安全可靠的传递、交接方式，做好防信息泄露控制措施。

重要信息的存取需要授权和登记。

第九十条所有部门和个人应加强对移动存储介质和笔记本电脑的管理。