中国人民银行信息安全管理规章制度

银行计算机安全事件报告制度第一条为加强银行计算机安全管理，防范信息系统的技术风险，保障银行信息系统安全运行，根据《中华人民共和国计算机信息系统安全保护条例》，制定本制度。

关联法规：第二条本制度适用于人民银行、政策性银行、中资商业银行、在中华人民共和国境内的外资商业银行、城乡信用社。

第三条银行计算机安全事件的报告必须做到快速及时、客观真实，并实行归口管理、分别报告的原则。

第四条人民银行总行计算机安全主管部门，负责全国银行系统计算机安全事件的接报、汇总、通报和处置工作。

第五条人民银行当地分支机构计算机安全主管部门，负责辖区内银行系统计算机安全事件的报告、接报和处理工作。

第六条政策性银行、中资商业银行、外资商业银行、城乡信用社的计算机安全主管部门，负责本系统内计算机安全事件的报告、接报和处理工作。

第七条发生计算机犯罪案件的银行应当按照有关规定向人民银行当地监管行保卫部门报告，并同时抄报计算机安全主管部门。

第八条银行计算机安全事件具体包括：(一)信息系统软硬件故障；(二)网络通信系统故障；(三)供电系统故障；(四)系统感染计算机病毒；(五)数据处理中心遭水灾、火灾、雷击；(六)银行网络遭遇入侵或攻击；(七)信息系统敏感数据泄露；(八)信息系统数据失窃；(九)银行数据处理设备失窃。

第九条符合以下条件之一的计算机安全事件必须报告：(一)计算机信息系统中断或运行不正常超过4小时；(二)造成直接经济损失超过100万元；(三)严重威胁银行资金安全；(四)因计算机安全事件造成银行不能正常运营，且影响范围超过一个县级行政区域。

第十条计算机安全事件报告包括以下内容：(一)计算机安全事件发生的时间、地点、单位、单位负责人和联系方式；(二)计算机安全事件的类别、涉及软硬件系统的情况和事件发生的过程；(三)计算机安全事件造成的后果和影响范围；(四)计算机安全事件发生的原因；(五)责任人或涉案人员；(六)计算机安全事件发生后采取的应急措施。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行 A、B 岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖信息安全管理工作，决策本单位及辖信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国人民银行办公厅关于加强征信系统查询用户信息管理的通知文章属性•【制定机关】中国人民银行•【公布日期】2017.08.02•【文号】银办发〔2017〕164号•【施行日期】2017.08.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行办公厅关于加强征信系统查询用户信息管理的通知银办发〔2017〕164号中国人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心支行，各副省级城市中心支行；国家开发银行，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行：近期，多家金融机构相继发生金融信用信息基础数据库（以下简称征信系统）查询用户和密码等信息被骗取的案件。

不法分子冒充金融机构总部工作人员，使用虚拟号段与金融机构分支机构征信业务人员进行联系，以征信系统异常、系统升级、联调测试、加强内部管理等为由，要求其提供本人查询用户和密码等信息，诈骗成功后在短时间内大量查询个人信用报告，对个人征信信息安全构成较大隐患。

为防范相关风险，保障个人征信信息安全，现就有关工作要求通知如下：一、各征信系统接入机构要高度重视征信系统用户信息泄露风险，切实做好相关风险管理工作。

上级机构管理人员不得通过电话、短信、内部通讯工具等非正式渠道，以系统升级、联调测试、系统故障等为由，要求下级机构征信业务人员提供征信系统管理员用户、查询用户信息等；提示征信系统用户不得将用户名和密码提供或出借给他人使用；征信系统接入机构工作人员不得为他人查询征信系统提供场地、网络、技术等便利。

二、各征信系统接入机构要认真开展征信系统用户信息泄露风险排查。

已发生用户信息泄露的，要认真核查用户信息泄露以来该用户的征信系统查询情况，及时将有关情况报告所在地人民银行分支机构；排查中发现涉嫌电信骗取征信系统用户信息的，要及时采取风险防范措施，并报告所在地人民银行分支机构，必要时向公安机关报案。

三、人民银行各级分支机构要进一步加强对辖区内征信系统接入机构征信系统用户安全管理，组织辖区内征信系统接入机构开展征信系统用户信息泄露风险排查，做到全面排查、不留死角，并督促其认真做好相关工作，严防个人信息泄露事件发生。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据〈〈中华人民共和国计算机信息系统安全保护条例》、〈〈金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

附：商业银行客户信息保护的相关法律、法规、规章及规范性文件摘录一、综合类监管规定1、中华人民共和国刑法第一百七十七条规定有下列情形之一，妨害信用卡管理的，处三年以下有期徒刑或者拘役，并处或者单处一万元以上十万元以下罚金；数量巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处二万元以上二十万元以下罚金：（一）明知是伪造的信用卡而持有、运输的，或者明知是伪造的空白信用卡而持有、运输，数量较大的；（二）非法持有他人信用卡，数量较大的；（三）使用虚假的身份证明骗领信用卡的；（四）出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领的信用卡的。

窃取、收买或者非法提供他人信用卡信息资料的，依照前款规定处罚。

银行或者其他金融机构的工作人员利用职务上的便利，犯第二款罪的，从重处罚。

第二百五十三条国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

2、中华人民共和国商业银行法第二十九条商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。

对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。

第三十条对单位存款，商业银行有权拒绝任何单位或者个人查询，但法律、行政法规另有规定的除外；有权拒绝任何单位或者个人冻结、扣划，但法律另有规定的除外。

3、中华人民共和国侵权责任法第二条侵害民事权益，应当依照本法承担侵权责任。

本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。

中国人民银行关于印发《中国人民银行互联网站管理办法(试行)》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.09.24•【文号】银发[2010]270号•【施行日期】2010.09.24•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业正文中国人民银行关于印发《中国人民银行互联网站管理办法(试行)》的通知（2010年9月24日银发[2010]270号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行，各司局，党委各部门，各直属企事业单位：现将《中国人民银行互联网站管理办法(试行)》印发给你们，请遵照执行。

附件：中国人民银行互联网站管理办法(试行)附件中国人民银行互联网站管理办法(试行)第一章总则第一条为加强中国人民银行互联网站(，以下简称人民银行网站)的管理，全面推动政府网站建设，根据《中华人民共和国政府信息公开条例》、《互联网信息服务管理办法》、《国务院办公厅关于加强政府网站建设和管理工作的意见》、《中国人民银行新闻宣传工作管理规定》、《中国人民银行突发事件应急预案管理办法》、《中国人民银行政务主动公开制度》和《中国人民银行政务公开保密审查办法》，结合中国人民银行实际，制定本办法。

第二条人民银行网站是唯一以中国人民银行名义冠名的网站。

人民银行网站是人民银行新闻发布的窗口、政务公开的平台、互动交流的桥梁和公共服务的门户网站，是中国政府网()的重要组成网站之一。

人民银行副省级城市中心支行以上分支机构及各司局、党委各部门(以下简称各单位)应充分发挥人民银行网站作用，提高人民银行履职透明度。

第三条人民银行网站采用“主网站＋子网站”两层结构的网站群模式。

人民银行主网站(以下简称主网站)为人民银行网站首页，综合反映人民银行工作信息；人民银行子网站(以下简称子网站)包括行领导子网站、英文子网站和各单位子网站，分别反映其工作信息。

各单位是人民银行网站建设和内容保障的主体。

征信业管理条例第一章总则第一条为了规范征信活动，保护当事人合法权益，引导、促进征信业健康发展，推进社会信用体系建设，制定本条例。

第二条在中国境内从事征信业务及相关活动，适用本条例。

本条例所称征信业务，是指对企业、事业单位等组织（以下统称企业）的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。

国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供，适用本条例第五章规定。

国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定，为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布，不适用本条例。

第三条从事征信业务及相关活动，应当遵守法律法规，诚实守信，不得危害国家秘密，不得侵犯商业秘密和个人隐私。

第四条中国人民银行（以下称国务院征信业监督管理部门）及其派出机构依法对征信业进行监督管理。

县级以上地方人民政府和国务院有关部门依法推进本地区、本行业的社会信用体系建设，培育征信市场，推动征信业发展。

第二章征信机构第五条本条例所称征信机构，是指依法设立，主要经营征信业务的机构。

第六条设立经营个人征信业务的征信机构，应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件，并经国务院征信业监督管理部门批准：（一）主要股东信誉良好，最近 3 年无重大违法违规记录；（二）注册资本不少于人民币5000 万元；（三）有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施；（四）拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件；（五）国务院征信业监督管理部门规定的其他审慎性条件。

第七条申请设立经营个人征信业务的征信机构，应当向国务院征信业监督管理部门提交申请书和证明其符合本条例第六条规定条件的材料。

国务院征信业监督管理部门应当依法进行审查，自受理申请之日起 60 日内作出批准或者不予批准的决定。

决定批准的，颁发个人征信业务经营许可证；不予批准的，应当书面说明理由。

中国人民银行上海分行关于转发《中国人民银行关于进一步加强征信信息安全管理的通知》的通知文章属性•【制定机关】中国人民银行上海分行•【公布日期】2018.05.14•【字号】上海银发〔2018〕92号•【施行日期】2018.05.14•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行上海分行关于转发《中国人民银行关于进一步加强征信信息安全管理的通知》的通知上海银发[2018]92号国家开发银行上海市分行、各政策性银行、国有商业银行、股份制商业银行上海（市）分行、中国邮储银行上海市分行，上海银行，上海农商银行，上海华瑞银行，上海市各外资银行，上海市各信用卡中心，上海市公积金中心，各信托公司、财务公司、汽车金融公司、消费金融公司、村镇银行、证券公司、保险公司、小额贷款公司、融资性担保公司、融资租赁公司、评级公司、企业征信机构：为加强个人信息保护，做好新时代征信信息安全工作，切实保护信息主体合法权益，现将《中国人民银行关于进一步加强征信信息安全管理的通知》（银发[2018]102号，以下简称《通知》）转发给你单位，并提出以下工作要求：一、各征信系统接入机构、备案企业征信机构及信用评级机构须高度重视信息安全工作，切实贯彻执行《通知》各项要求。

二、各征信系统接入机构、备案企业征信机构及信用评级机构须立即制定落实《通知》的工作方案，于5月25日前将工作方案加盖公章后通过征信专用邮箱上报我分行。

三、我分行将按照《征信信息安全巡查试行办法》要求，将各征信系统接入机构及备案企业征信机构落实《通知》的相关情况纳入征信巡查内容。

接入机构联系人：顾琴琳58845542梁伟萍58845092征信机构联系人：陈洪辉58845056评级机构联系人：徐培58845190特此通知。

附件：中国人民银行关于进一步加强征信信息安全管理的通知（银发[2018]102号）中国人民银行上海分行2018年5月14日。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

（金融保险）银行信息安全管理规定中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络和信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的壹系列管理活动。

第三条人民银行信息安全管理工作实行统壹领导和分级管理。

总行统壹领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位和个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少壹名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第壹节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国⼈民银⾏关于进⼀步加强征信信息安全管理的通知(附：⾦融信⽤信息基础数据库接⼊机构征信合规与信息安全年度考核评级管理办法)中国⼈民银⾏上海总部，各分⾏、营业管理部，各省会(⾸府)城市中⼼⽀⾏，各副省级城市中⼼⽀⾏；国家开发银⾏，各政策性银⾏、国有商业银⾏、股份制商业银⾏，中国邮政储蓄银⾏：为贯彻落实党的⼗九⼤精神和第五次全国⾦融⼯作会议精神，加强个⼈信息保护，做好新时代征信信息安全管理⼯作，切实保护信息主体合法权益，提升⼈民群众在征信领域的幸福感和安全感，依据《征信业管理条例》、《个⼈信⽤信息基础数据库管理暂⾏办法》(中国⼈民银⾏令[2005]第3号发布)等法规规章的相关规定，现就进⼀步加强⾦融信⽤信息基础数据库运⾏机构和接⼊机构(以下简称运⾏机构和接⼊机构)征信信息安全管理有关事项通知如下：⼀、切实增强征信信息安全管理意识，强化征信信息安全主体责任运⾏机构和接⼊机构要清醒认识当前征信信息安全⾯临的严峻形势，切实增强征信信息安全管理意识。

建⽴健全征信信息安全管理的体制和机制，成⽴征信信息安全⼯作领导⼩组，明确岗位职责，强化征信信息安全主体责任，按照“分级管理、逐级负责”和“谁主管谁负责、谁使⽤谁负责”的原则，明确领导层中分管征信⼯作的负责⼈为第⼀责任⼈，征信系统及相关信息系统的使⽤⼈为直接责任⼈，并明确第⼀责任⼈、直接责任⼈和其他相关⼈员的责任分⼯。

⼆、完善征信业务操控流程，不断提⾼征信信息安全管理⽔平运⾏机构和接⼊机构要切实加强对征信各级管理⼈员和从业⼈员的全员征信合规性教育培训，围绕征信信息安全管理，通过加强征信系统⽤户管理、健全征信信息查询管理、优化⾃助查询机管理、完善征信异常查询监控机制、妥善办理异议与投诉等措施，完善征信业务操控流程，牢牢守住不发⽣征信信息安全风险的底线。

(⼀)从严加强征信系统⽤户管理。

运⾏机构和接⼊机构应严格遵循相关规定办理⽤户的创建、停⽤和启⽤，根据“最⼩授权”原则分配各类、各级⽤户的权限，严格⽤户权限设置，将⽤户权限控制在业务需要的最⼩范围内。

中国人民银行关于进一步加强银行卡风险管理的通知文章属性•【制定机关】中国人民银行•【公布日期】2016.06.13•【文号】银发〔2016〕170号•【施行日期】2016.06.13•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行关于进一步加强银行卡风险管理的通知银发〔2016〕170号中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行；各国有商业银行、股份制商业银行，中国邮政储蓄银行；中国银联股份有限公司，中国支付清算协会：随着移动通信技术和互联网金融的快速发展，银行卡使用安全面临新的挑战。

为进一步加强银行卡信息的安全管理，提升支付风险防控能力，现将有关事项通知如下：一、强化银行卡信息的安全管理(一)强化支付敏感信息内控管理。

各商业银行，支付机构 (从事银行卡收单业务，网络支付业务的非银行支付机构，下同)、银行卡清算机构应严格落实《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)，健全支付敏感信息安全内控管理制度，并将有关情况于2016年9月1日前报告人民银行。

一是严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码，网络支付交易密码等)，确有必要留有的应取得客户本人及账户管理机构的授权。

二是明确相关岗位和人员的管理责任，严格分离不相容岗位并控制信息操作权限，制定信息操作流程和规范，强化内部监督、责任追究机制，严禁从业人员非法存储、窃取、泄露、买卖支付敏感信息。

三是每年应至少开展两次支付敏感信息安全的内部审计，并形成报告存档备查，发现因系统漏洞造成支付敏感信息泄露或内部人员违规行为的，应立即采取有效措施防止风险扩大，并向人民银行报告；涉嫌违法犯罪的，应及时报告公安机关。

(二)加强支付敏感信息的安全防护。

各商业银行，支付机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证，对重要信息关键字段进行散列或加密存储，保障信息传输，存储、使用安全。

中国人民银行关于进一步加强征信信息安全管理的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------人民银行关于进一步加强征信信息安全管理的通知银发〔2018〕102号中国人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心支行，各副省级城市中心支行；国家开发银行，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行：为贯彻落实党的十九大精神和第五次全国金融工作会议精神，加强个人信息保护，做好新时代征信信息安全管理工作，切实保护信息主体合法权益，提升人民群众在征信领域的幸福感和安全感，依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》（中国人民银行令〔2005〕第3号发布）等法规规章的相关规定，现就进一步加强金融信用信息基础数据库运行机构和接入机构（以下简称运行机构和接入机构）征信信息安全管理有关事项通知如下：一、切实增强征信信息安全管理意识，强化征信信息安全主体责任运行机构和接入机构要清醒认识当前征信信息安全面临的严峻形势，切实增强征信信息安全管理意识。

建立健全征信信息安全管理的体制和机制，成立征信信息安全工作领导小组，明确岗位职责，强化征信信息安全主体责任，按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则，明确领导层中分管征信工作的负责人为第一责任人，征信系统及相关信息系统的使用人为直接责任人，并明确第一责任人、直接责任人和其他相关人员的责任分工。

二、完善征信业务操控流程，不断提高征信信息安全管理水平运行机构和接入机构要切实加强对征信各级管理人员和从业人员的全员征信合规性教育培训，围绕征信信息安全管理，通过加强征信系统用户管理、健全征信信息查询管理、优化自助查询机管理、完善征信异常查询监控机制、妥善办理异议与投诉等措施，完善征信业务操控流程，牢牢守住不发生征信信息安全风险的底线。

中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见（银发[2006]123号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各政策性银行、国有商业银行、股份制商业银行：为进一步增强银行业金融机构信息安全保障能力，保障国家经济运行安全，维护社会稳定和客户权益，现就“十一五”期间银行业金融机构信息安全保障工作提出以下指导意见：“十一五”期间，我国银行业金融机构信息安全保障工作的目标是：建立和完善与银行业金融机构信息化发展相适应的信息安全保障体系，满足银行业金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障数据安全，显著提高银行业金融机构业务持续运行保障水平。

“十一五”期间，我国银行业金融机构信息安全保障工作的主要任务是：加强组织领导，健全信息安全管理体制，建立跨部门、跨行业协调机制；加强信息安全队伍建设，落实岗位职责制，推行信息安全管理持证上岗制度；保证信息安全建设资金的投入，不断完善信息安全基础设施建设；进一步加强信息安全制度和标准规范体系建设；加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；加强安全运行监控体系建设；大力开展信息安全风险评估，实施等级保护；加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；广泛、深入开展信息安全宣传教育活动，增强全员安全意识。

人民银行安全保卫规章制度第一章总则第一条为加强人民银行安全保卫工作，确保金融机构的正常运转和金融体系的稳定，规范人民银行安全保卫工作的法律依据，制定本规章制度。

第二条本规章制度适用于人民银行各级机构的安全保卫工作，包括但不限于网络安全、信息安全、财务安全、人员安全等方面。

第三条人民银行各级机构应当按照本规章制度的规定，建立健全安全保卫工作制度，切实履行安全保卫责任，加强安全保卫工作。

第四条人民银行各级机构应当加强安全保卫宣传教育，提高全员安全保卫意识，确保每位工作人员都遵守安全保卫规章制度。

第五条人民银行各级机构应当积极与公安机关、安全技术单位等部门开展安全保卫工作合作，共同维护金融安全。

第六条人民银行各级机构的主管领导应当加强对安全保卫工作的领导，定期进行安全保卫工作检查，及时发现并解决安全隐患。

第七条人民银行各级机构应当建立健全安全保卫工作台账，记录安全保卫工作的重要情况，定期进行总结和分析。

第八条人民银行各级机构应当按照法律法规和上级主管部门的要求，定期进行人民银行安全保卫工作的专项培训，提高安全保卫工作水平。

第二章网络安全规定第九条人民银行各级机构应当建立健全网络安全管理制度，加强对网络设备、系统和数据的保护，确保系统的稳定和安全。

第十条人民银行各级机构应当定期进行网络安全漏洞扫描和修复，及时更新安全补丁，防范网络攻击和数据泄露风险。

第十一条人民银行各级机构应当建立健全网络安全监控体系，对网络流量进行实时监测，及时发现并处置网络安全事件。

第十二条人民银行各级机构应当加强对员工的网络安全教育，防范网络钓鱼、网络诈骗等网络安全风险，提高员工的网络安全意识。

第十三条人民银行各级机构应当建立健全网络安全事件应急预案，定期组织网络安全演练，提高应对网络安全事件的能力。

第三章信息安全规定第十四条人民银行各级机构应当建立健全信息安全管理制度，加强对各类机密信息的保护，确保信息的完整性和保密性。

第十五条人民银行各级机构应当对所有员工进行信息安全培训，规范信息使用行为，防范信息泄露风险。

中国人民银行信息安全管理相关规定(doc 19页)第一条第二条第三条第四条部门计算机安全员配合信息安全管理人员工作，并参加各项信息安全技能培训。

第五条部门计算机安全员在如下职责范围内开展工作：（一）负责本部门计算机病毒防治工作，监督检查本部门客户端安全管理情况。

（二）负责提出本部门信息安全保障需求，及时与信息安全管理人员沟通信息安全信息。

（三）负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。

第三节技术支持人员第六条本规定所称技术支持人员，是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。

第七条人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（一）不得对外泄漏或引用工作中触及的任何敏感信息。

严格权限访问，未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。

（二）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处置。

（三）严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度，做好数据备份工作。

第八条外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺。

提供技术服务期间，严格遵守人民银行相关安全规定与操作规程，关键操作应经授权，并有人民银行内部员工在场。

不得拷贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作信息。

第四节业务系统操作人员第九条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。

第十条业务系统操作人员应承担如下安全义务：（一）严格规程操作，防止误操作。

定期修改操作密码并妥善保管，按需、适时进行必要的数据备份。

（二）发现业务系统出现异常及时报告科技部门。

（三）不得在操作终端上安装与业务系统无关的软件和硬件，不得擅自修改业务系统及其运行环境参数设置。

人民银行保密规章制度第一章总则第一条为加强对人民银行机密信息的管理和保护，维护国家金融安全和人民银行正常运行，制定本规章。

第二条本规章所称机密信息是指人民银行工作中涉及国家秘密、国家安全、国家利益以及人民银行的财务、技术、管理等方面的未公开信息。

第三条人民银行各级机关、分支机构和直属单位要严格遵守国家有关法律法规和纪律规定，加强机密信息保护工作，保护机密信息的安全。

第四条各级人民银行机关应当建立完善的机密信息管理制度，明确机密信息的分类、保护措施和管理要求，加强机密信息的传递、存储和使用监控，确保机密信息不被泄露。

第二章机密信息的分类和保护第五条人民银行的机密信息按照涉及程度分为绝密、机密和秘密三个级别。

第六条绝密信息是指涉及国家重要秘密、国家高度机密事项以及人民银行极为重要的事项，对国家和人民银行有极大损害的信息。

第七条机密信息是指涉及国家重要机密事项、人民银行重要的事项，对国家和人民银行有一定损害的信息。

第八条秘密信息是指涉及人民银行一般工作事项的信息。

第九条绝密信息的传递、存储、使用必须采取最严格的保护措施，机密信息次之，秘密信息最低。

第十条绝密、机密信息在传递过程中要采取加密传输，存储要放置在专用的保密设备或空间，使用要经过严格的审批和控制。

第十一条人民银行对涉及绝密、机密信息的人员要进行严格的背景审查和保密教育，确保他们具有保密意识和保密能力。

第十二条人民银行的机密信息要定期进行审查和检查，发现问题要及时整改，确保机密信息的安全不受威胁。

第三章机密信息的管理第十三条人民银行的机密信息管理工作由保密办公室负责，具体机密信息的管理由各有关部门协助实施。

第十四条保密办公室负责制定机密信息的管理规定和措施，确保机密信息的保护工作得以开展。

第十五条各有关部门要建立健全机密信息的管理制度和流程，保证机密信息的保护措施得以有效执行。

第十六条各有关部门要加强对机密信息的传递、存储和使用的监控，确保机密信息的安全不受侵害。

征信合规与信息安全管理制度征信合规与信息安全管理制度第一章总则第一条根据《中国人民银行关于加强征信合规管理工作的通知》（银发【2016】300号）、《中国人民银行关于进一步加强征信信息安全管理的通知》（银发【2018】102号）等要求，结合本评级机构工作需要，特制定本制度。

第二条本制度适用于本评级机构的征信合规与信息安全管理工作。

第二章组织与职责第三条为确保征信信息安全管理工作顺利推进，本评级机构建立征信信息安全工作领导小组，健全征信信息安全管理的体制和机制，强化征信信息安全主体职责。

第四条本评级机构合理设置信息系统的人员权限，建立信息系统长效监控机制，对信息系统用户的使用行为进行监控，对不合理的信息使用行为进行控制。

第五条征信管理监测系统的录入和相关操作人员应确保录入信息的准确、完整、及时。

第六条征信管理监测系统的录入和相关操作人员不得以个人名义向征信管理监测系统录入和上报信息，所有信息的录入和上报都必须遵守监管要求和本评级机构的内部制度。

第七条本评级机构的任何人不得私自泄露征信保密信息，或利用该信息为自己或他人谋取利益。

第八条信息技术管理中心的专业人员负责对相关软、硬件设备进行维护。

第三章安全保障第九条本评级机构建立信息系统安全防范措施，例如日志留存、安全认证、实时监控、防黑客、防病毒等。

第十条本评级机构建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。

第十一条本评级机构进行机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。

若发生事故，应立即组织人员自救，并根据情况及时报警。

第十二条本评级机构加强信息系统用户的法律意识和网络安全意识教育，提高其安全意识和防范能力。

第四章自查自纠与报告第十三条本评级机构组织合规、信息技术等相关人员根据中国人民银行的相关要求对征信合规与信息安全开展自查自纠，并将自查自纠情况向监管部门书面报告。

第十四条本评级机构建立分级监控、专项核查的工作机制，对日常监测发现的问题及风险进行核实，从各个环节梳理征信违规风险隐患。