人民银行信息系统信息安全等级保护实施指引(试行)

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖信息安全管理工作，决策本单位及辖信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国人民银行关于发布《网上银行系统信息安全通用规范》行业标准的通知（2020）
文章属性
•【制定机关】中国人民银行
•【公布日期】2020.02.13
•【文号】银发〔2020〕35号
•【施行日期】2020.02.13
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】银行业监督管理
正文
中国人民银行关于发布《网上银行系统信息安全通用规范》
行业标准的通知
银发〔2020〕35号中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行;国家开发银行，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行;清算总中心、中国金融电子化公司、中国银联股份有限公司、中国银行间市场交易商协会、中国支付清算协会：
推荐性金融行业标准《网上银行系统信息安全通用规范》已经全国金融标准化技术委员会审查通过，现予以发布，并就有关事项通知如下:
一、新标准的编号及名称
JR/T 0068-－2020 《网上银行系统信息安全通用规范》
二、新标准自发布之日起实施
JR/T 0068- -2012 《网上银行系统信息安全通用规范》同时废止。

请人民银行分支机构将本通知告知辖区内地方性银行业金融机构。

附件：网上银行系统信息安全通用规范。

信息系统安全等级保护在当今数字化的时代，信息系统已经成为了各行各业运行的核心支撑。

从企业的业务运营到政府的公共服务，从金融交易到个人的社交娱乐，信息系统无处不在。

然而，随着信息系统的广泛应用，其面临的安全威胁也日益严峻。

信息系统安全等级保护作为保障信息系统安全的重要手段，正发挥着越来越关键的作用。

那么，什么是信息系统安全等级保护呢？简单来说，信息系统安全等级保护是对信息系统分等级实行安全保护和监督管理的过程。

它根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，将信息系统的安全保护等级分为五级。

第一级是自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级是指导保护级，适用于一定程度上涉及国家安全、社会秩序和公共利益的一般信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成轻微损害。

第三级是监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害。

第四级是强制保护级，适用于涉及国家安全、社会秩序和公共利益的特别重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。

第五级是专控保护级，适用于涉及国家安全、社会秩序和公共利益的极其重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。

实施信息系统安全等级保护具有多方面的重要意义。

首先，它有助于保障国家安全。

在信息时代，国家的政治、经济、军事等各个领域都高度依赖信息系统。

通过对关键信息系统进行等级保护，可以有效防范敌对势力的网络攻击和信息窃取，维护国家的主权和安全。

其次，保障社会稳定。

诸如交通、能源、通信等关键基础设施的信息系统，一旦遭受攻击或出现故障，可能导致社会秩序的混乱。

中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.12.28•【文号】银发[2010]366号•【施行日期】2010.12.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】计算机软件著作权,银行业监督管理正文中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知（2010年12月28日银发[2010]366号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行，各直属企事业单位：为进一步做好人民银行计算机系统信息安全风险防范和事件处置工作，总行制定了《中国人民银行计算机系统信息安全报告制度》，现印发给你们，请遵照执行。

附件：中国人民银行计算机系统信息安全报告制度附件中国人民银行计算机系统信息安全报告制度一、总则第一条根据《中国人民银行计算机系统信息安全管理规定》(银发[2010]276号印发)，为加强人民银行计算机系统信息安全(以下简称信息安全)管理，规范计算机系统信息安全报告流程，提高信息安全事件和风险处置效率，制定本制度。

第二条本制度适用于人民银行总行、上海总部、各分支机构行、各直属企事业单位及其他相关单位。

第三条本制度报告范畴界定为网络与信息系统计算机系统的信息安全，报告事项包括信息安全事件和信息安全风险两类。

第四条本制度所称信息安全事件，是指由于人为、自然因素或计算机软硬件缺陷等原因，导致网络、信息系统出现异常或数据受到侵害，影响网络与信息系统正常运行或数据安全。

第五条本制度所称信息安全风险，是指人为、自然的威胁利用网络与信息系统及其管理机制中存在的脆弱性，导致信息安全事件发生的可能性。

第六条任何单位和个人均有信息安全报告的义务。

按照“谁发现、谁报告”的原则，信息安全事件发生或风险发现单位的计算机系统相关业务部门在向本单位应急办报告的同时，通报本单位科技部门。

个人信息安全自查报告(通用5篇)个人信息安全自查报告篇一按照市政府办公室《关于开展重点领域网络与信息安全检查的通知》（政办发61号）要求，我局对网络信息安全进行了认真自查，现将有关情况报告如下：一、信息安全自查工作组织开展情况1、成立了信息安全检查行动小组。

为规范信息安全工作，落实好信息安全的相关规定，我局明确了由局长为组长，相关科室负责人、办公室相关人员为组员负责对网站的重要信息系统全面排查并填记有关报表、建档留存，并将网站信息安全管理工作具体落实到个人。

2、组织进行信息排查。

信息安全检查小组对照信息系统的`实际情况进行了逐项排查、确认，并对自查结果进行了全面的核对、梳理、分析，提高了对全站网络与信息安全状况的掌控。

二、信息安全工作情况1、系统安全基本情况自查。

xx局网站系统为实时性系统，目前拥有Dell服务器1台、TP-LINK路由器1台，系统采用Windows操作系统，灾备情况为系统级灾备，该系统与互联网连接，有外包网络公司提供的管控防火墙提供安全防护。

2、安全管理自查情况。

人员管理方面，指定了兼职信息安全员，重要岗位人员全部签订安全保密协议。

资产管理方面，指定了专人进行资产管理，完善了《资产管理制度》、《设备维修维护和报废管理制度》。

存储介质管理方面，完善了《存储介质管理制度》，建立了《存储介质管理记录表》。

三、自查发现的主要问题1、安全意识不够，需要继续加强对单位职工的信息安全意识教育，提高做好安全工作的主动性和自觉性。

2、规章制度体系初步建立，但还不完善，未能覆盖到信息系统安全的所有方面。

3、设备维护、更新还不够及时。

四、改进措施与整改效果根据自查过程中发现的不足，同时结合我单位实际，将着重对以下几个方面进行整改：1、加强单位在岗职工信息安全教育培训工作，增强信息安全防范和保密意识。

2、要创新完善信息安全工作机制，进一步规范办公秩序，提高信息工作安全性。

3、不断加强计算机信息安全管理、维护、更新等方面的资金投入，及时维护设备、更新软件，以做好信息系统安全防范工作。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南；——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。

在对信息系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息安全等级保护的标准开展工作。

在信息系统定级阶段，应按照GB/T AAAA-AAAA介绍的方法，确定信息系统安全保护等级。

在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。

GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准，其中GB17859-1999是基础性标准，GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB/T BBBB-BBBB是以GB17859-1999为基础，根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求，是其他标准的一个底线子集。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

信息安全等级保护定级指南The document was finally revised on 2021附件2信息系统安全保护等级定级指南（试用稿）公安部二〇〇五年十二月目次信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。

有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。

各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。

2术语和定义下列术语和定义适用于本指南。

2.1 业务信息（Business Information）为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。

2.2 业务信息安全性（Security of Business Information）保证业务信息机密性、完整性和可用性程度的表征。

2.3 业务服务保证性（Assurance of Business Service）保证信息系统完成业务使命程度的表征。

业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。

2.4 信息系统（Information System）基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。

2.5 业务子系统（Business Subsystem）由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。

3定级对象如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。

如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。

信息系统是进行等级确定和等级保护管理的最终对象。

3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。

中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.01.18•【文号】银发[2010]19号•【施行日期】2010.01.18•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知（2010年1月18日银发[2010]19号）中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，副省级城市中心支行；各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行：为加强网上银行管理，促进网上银行业务健康发展，有效增强网上银行系统的信息安全防范能力，中国人民银行制定了《网上银行系统信息安全通用规范(试行)》，现印发给你们，请遵照执行。

请中国人民银行上海总部，各分行、营业管理部、省会(首府)城市中心支行，副省级城市中心支行将本通知转发至辖区内各城市商业银行、农村商业银行、城市信用社和农村信用社。

执行中如遇问题，请及时告知中国人民银行科技司。

附件：网上银行系统信息安全通用规范(试行)附件网上银行系统信息安全通用规范(试行)（中国人民银行）前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。

本规范分为基本要求和增强要求两个层次。

基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。

本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。

本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。

目录1使用范围和要求2规范性引用文件3术语和定义3.1网上银行3.2互联网3.3敏感信息3.4客户端程序3.5 USBKey3.6 USBKey 固件3.7强效加密4符号和缩略语5网上银行系统概述5.1系统标识5.2系统定义5.3系统描述5.4安全域6安全规范6.1安全技术规范6.2安全管理规范6.3业务运作安全规范附1 基本的网络防护架构参考图附2 增强的网络防护架构参考图1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。

中国人民银行信息安全管理规定中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B 岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

信息安全等级保护制度的主要内容目录一、内容概要 (3)1.1 制定背景与目的 (3)1.2 信息安全等级保护制度的意义 (4)二、信息安全等级保护制度的基本概念 (5)2.1 信息安全等级保护的定义 (7)2.2 信息安全等级保护制度的结构 (8)三、信息安全等级保护制度的主要内容 (9)3.1 第一级信息系统的安全保护 (10)3.1.1 安全物理环境 (12)3.1.2 安全通信网络 (13)3.1.3 安全区域边界 (14)3.1.4 安全计算环境 (15)3.1.5 安全建设管理 (16)3.1.6 安全运维管理 (17)3.2 第二级信息系统的安全保护 (18)3.2.1 安全物理环境 (20)3.2.2 安全通信网络 (21)3.2.3 安全区域边界 (22)3.2.4 安全计算环境 (23)3.2.5 安全建设管理 (25)3.2.6 安全运维管理 (26)3.3 第三级信息系统的安全保护 (27)3.3.1 安全物理环境 (28)3.3.2 安全通信网络 (29)3.3.3 安全区域边界 (30)3.3.4 安全计算环境 (31)3.3.5 安全建设管理 (32)3.3.6 安全运维管理 (33)3.4 第四级信息系统的安全保护 (34)3.4.1 安全物理环境 (36)3.4.2 安全通信网络 (37)3.4.3 安全区域边界 (38)3.4.4 安全计算环境 (39)3.4.5 安全建设管理 (41)3.4.6 安全运维管理 (42)四、信息安全等级保护制度的实施与管理 (43)4.1 实施原则与方法 (44)4.2 信息系统定级与备案 (45)4.3 安全建设与改造 (47)4.4 运维管理与安全检查 (48)五、信息安全等级保护制度的评估与升级 (49)5.1 评估流程与方法 (50)5.2 评估结果与应用 (52)5.3 升级与改造策略 (53)六、信息安全等级保护制度的法律法规与政策支持 (54)6.1 相关法律法规概述 (55)6.2 政策支持与引导 (56)七、结论与展望 (58)7.1 主要成果与贡献 (59)7.2 发展趋势与挑战 (60)一、内容概要信息安全等级保护制度是我国针对信息安全领域的一项基本国策，旨在保障国家关键信息基础设施和重要信息系统的安全稳定运行。

中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.09.27•【文号】银发[2010]276号•【施行日期】2010.09.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】计算机软件著作权正文中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知（2010年9月27日银发[2010]276号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行，直属企事业单位：为进一步做好人民银行计算机系统信息安全管理工作，总行制定了《中国人民银行计算机系统信息安全管理规定》，现印发给你们，请遵照执行。

附件：中国人民银行计算机系统信息安全管理规定附件中国人民银行计算机系统信息安全管理规定第一章总则第一条为强化人民银行计算机系统信息安全管理(以下简称信息安全管理)，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络与机房基础设施安全的一系列活动。

第三条人民银行信息安全管理工作实行统一领导、分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

人民银行每个员工都有履行信息安全的权利和义务。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称各单位)。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

附件1人民银行信息系统信息安全等级保护实施指引(试行)2011年6月目录编制说明 (1)1概述 (1)1.1目的 (2)1.2范围 (2)1.3术语 (3)1.4引用文件 (4)2指引编制策略 (4)2.1国家等级保护要求 (4)2.1.1基本要求 (5)2.1.2设计要求 (6)2.2人民银行架构特点 (7)2.2.1网络结构与联网机构关系 (7)2.2.2业务接入及系统特点 (12)2.3指导思想 (14)2.3.1纵深防御设计的必要性 (15)2.3.2基本要求与纵深防御设计结合的意义 (15)2.3.3安全域设计 (16)3信息安全保障框架 (18)3.1总体框架 (18)3.2技术体系 (20)3.2.1计算环境 (22)3.2.2区域边界 (23)3.2.3通信网络 (23)3.2.4支撑设施 (24)3.3管理体系 (24)4保护要求 (25)4.1二级要求 (25)4.1.1技术要求 (25)4.1.2管理要求 (32)4.2三级要求 (42)4.2.1技术要求 (42)4.2.2管理要求 (53)4.3四级要求 (68)4.3.1技术要求 (68)4.3.2管理要求 (80)附录 (97)1等级保护实施措施 (97)1.1网络安全 (97)1.1.1二级要求及措施 (97)1.1.2三级要求及措施 (102)1.1.3四级要求及措施 (112)1.2主机安全 (122)1.2.1二级要求及措施 (122)1.2.2三级要求及措施 (125)1.2.3四级要求及措施 (131)1.3应用安全 (137)1.3.1二级要求及措施 (137)1.3.2三级要求及措施 (141)1.3.3四级要求及措施 (146)1.4数据安全 (152)1.4.1二级要求及措施 (152)1.4.2三级要求及措施 (153)1.4.3四级要求及措施 (155)2国库信息处理系统等级保护案例分析 (157)2.1现状 (157)2.2分区分域设计分析 (157)2.3基本要求分析 (159)2.3.1技术要求 (159)2.3.2管理要求 (161)3金融行业安全要求的选择和使用说明 (162)编制说明《人民银行信息系统信息安全等级保护实施指引》（以下简称“实施指引”）编写的目的是在满足人民银行信息安全发展需要，同时符合国家等级保护基本要求和设计技术要求，为人民银行的信息安全建设提供方法论、具体的建设措施及技术指导。

一、背景介绍随着金融科技的快速发展和普及，银行业金融机构信息系统的安全问题日益受到重视。

金融机构信息系统涉及到客户的资金安全、交易信息的保密性和完整性等重要因素，因此其安全等级保护定级工作至关重要。

本文旨在就银行业金融机构信息系统安全等级保护定级的指导意见进行探讨和总结。

二、保护等级划分原则1. 重要性原则根据系统在金融机构业务中的重要性和关键程度进行分类，对于承载重要业务的信息系统，应给予更高的安全等级保护定级。

2. 风险分级原则结合系统所处的环境和受到的威胁，综合评估系统的风险状况，对高风险系统应给予更高的保护等级。

3. 可信度原则对信息系统的可信度进行评估，包括系统的可靠性、可用性和安全性等方面，从而确定系统的安全等级保护定级。

三、保护等级划分方法1. 依据风险评估通过对信息系统所处环境和受到的威胁进行评估，采用定性和定量的方式确定系统的风险等级，并据此划分安全等级保护定级。

2. 依据系统功能根据信息系统所承载的业务功能和对业务的重要性进行划分，对关键业务系统和核心业务系统给予更高的保护等级。

3. 依据安全性能通过对信息系统的安全性能进行评估，包括系统的安全性能指标和安全防护能力等方面，确定系统的安全等级保护定级。

四、保护等级划分标准1. 标准制定制定统一的保护等级划分标准，明确不同等级的安全保护要求和控制措施，确保保护等级划分的合理性和科学性。

2. 标准修订随着金融科技的发展和安全威胁的变化，及时修订相关标准和规范，确保保护等级划分工作与时俱进。

3. 标准应用将标准应用到实际的保护等级划分工作中，指导和规范金融机构信息系统的安全等级保护定级工作。

五、保护等级划分流程1. 信息收集收集信息系统的基本情况、业务功能、安全需求等相关信息，为保护等级划分提供依据。

2. 风险评估结合信息系统所处的环境和受到的威胁，对系统的风险进行评估，确定系统的风险等级。

3. 等级划分根据风险评估的结果和系统的重要性、安全性能等因素，确定信息系统的安全等级保护定级。

1.2金融行业信息系统信息安全等级保护实施指引-编制说明《金融行业信息系统信息安全等级保护实施指引(送审稿)》编制说明中国人民银行科技司二○一二年二月《金融行业信息系统信息安全等级保护实施指引(送审稿)》编制说明一、背景及意义信息系统信息安全等级保护制度（简称等级保护）是我国信息安全领域的一项基本国策。

金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，因此金融行业是落实和实施信息安全等级保护的重点行业之一。

由于金融行业的信息系统多是数据集中、资金密集、大型复杂、网络化的信息系统，所以围绕金融行业开展信息系统的信息安全等级保护工作，需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。

中国人民银行作为我国中央银行，对金融行业重要信息和信息系统的信息安全保护工作负有指导监督的重任，需要在金融行业内建立符合金融行业特点的信息安全等级保护体系规范，通过备案、指导、检查、督促整改等方式来推进金融行业信息安全等级保护工作建设。

为此，人民银行科技司组织安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。

人民银行以落实国家对金融行业信息安全等级保护相关工作要求，加强金融行业信息安全管理和技术风险防范，保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展为目标，特制定金融行业信息系统信息安全等级保护系列规范（以下简称“规范”），规范包含《金融行业信息系统信息安全等级保护实施指引》（以下简称“《实施指引》”）、《金融行业信息系统信息安全等级保护测评指南》（以下简称“《测评指南》”）、《金融行业信息安全等级保护测评服务安全指引》（以下简称“《安全指引》”）三份文件。

《实施指引》编写的目的是在满足金融行业信息安全发展需要，同时符合国家等级保护基本要求和设计技术要求，为金融行业的信息安全建设提供方法论、具体的建设措施及技术指导。

中国人民银行信息系统安全配置指引数据库分册（V1.0）中国人民银行科技司2007年5月目录一、前言 (3)1．适用范围 (3)2．使用方式 (3)3．验证说明 (3)4．差异性说明 (3)二、* 通用指引 (4)1、建立专用帐户 (4)2、安装最新的补丁程序 (4)3、“最小权限原理” (4)4、数据库备份数据 (4)5、远程管理功能 (4)6、加密 (4)7、修改密码 (4)8、视图进行数据屏蔽 (4)9、基于B/S结构的应用程序开发 (4)10、日志审计 (5)11、备份缺省系统管理员帐户 (5)三、DB2 (5)1、 用户安全 (5)1.1 * 设置密码 (5)1.2 认证方式 (5)1.3 * 设置管理员组 (5)2 权限控制 (6)2.1 * 严格控制对系统CATALOG的访问授权 (6)2.2 撤销PUBLIC组的权限 (6)2.3 * 严格限制参数 WITH GRANT OPTION的使用 (7)2.4 访问控制（LBCA） (7)2.5 RESTRICTIVE 参数 (7)3 * 审计 (7)4 * 状态监控 (8)4.1对主要的性能指标进行监控 (8)4.2对系统的关键资源进行监控 (8)四、Oracle (8)1* 用户安全 (8)2 * 权限控制 (8)3 限制特定IP访问数据库 (9)4 * 保护数据字典 (9)5 * 防止远程机器直接登录数据库服务器 (9)6 * 启用profile 管理 (9)7 * 日志及日志清理 (10)五、SQL Server2000 (10)1 * 用户安全 (10)1.1 密码 (10)1.2 身份验证 (11)2 网络安全 (11)2.1 * 对网络连接进行IP限制，更改默认的端口 (11)2.2 使用SSL来加密协议 (11)3 * 删除后门 (11)3.1 删除可以直接运行系统命令的存储过程：xp_cmdshell (11)3.2 删除能访问注册表的存储过程 (11)3.3 删除OLE存储过程 (12)3.4 删除其他有一定安全隐患的存储过程 (12)4 * 日志 (12)一、前言本指引是中国人民银行信息系统安全体系的一部分，旨在从技术上加固信息系统数据库的安全性。