中国人民银行信息安全管理规定
中国人民银行信息安全管理规定
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行 A、B 岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
中国人民银行信息安全系统管理系统规定
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖信息安全管理工作,决策本单位及辖信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
中国人民银行办公厅关于印发《中国人民银行国库部门国债管理工作基本规定》的通知
中国人民银行办公厅关于印发《中国人民银行国库部门国债管理工作基本规定》的通知文章属性•【制定机关】中国人民银行•【公布日期】2011.12.20•【文号】银办发[2011]244号•【施行日期】2012.01.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】国债正文中国人民银行办公厅关于印发《中国人民银行国库部门国债管理工作基本规定》的通知(2011年12月20日银办发[2011]244号)中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,大连、青岛、宁波、厦门、深圳市中心支行:为进一步规范和加强国债管理工作,总行制定了《中国人民银行国库部门国债管理工作基本规定》。
现印发给你们,请认真贯彻执行。
附件中国人民银行国库部门国债管理工作基本规定第一章总则第一条为规范国债管理工作,提高国债服务水平,防范国债资金风险,促进国债市场健康发展,根据《中华人民共和国中国人民银行法》、《中华人民共和国行政许可法》、《国务院对确需保留的行政审批项目设定行政许可的决定》和《国债承销团成员资格审批办法》等法律法规制度,制定本规定。
第二条本规定所称国债,主要包括凭证式国债、储蓄国债(电子式)、无记名国债和国债收款单等。
第三条本规定所称国债管理工作是指人民银行各级国库部门(以下简称国库)依法参与储蓄国债承销团组建与管理、组织国债发行与兑付、开展国债统计调研等业务活动。
第四条国债管理遵循“垂直领导,分级管理,分级负责”的原则。
第五条国库开展国债管理工作适用本规定。
第二章国债管理工作职责第六条国库负责实施本辖区的国债管理工作,为国债管理提供必要的人力保障。
第七条国库应根据工作需要,就国债管理工作加强与同级财政部门的沟通、协调与合作。
第八条国债管理人员应具备较高的政治素质和业务素质,依法办事,认真履行岗位职责。
国库主任(含副主任)应加强国债管理工作领导,负主要领导责任;国库负责人具体负责本辖区国债管理工作,负直接领导责任;国债业务人员具体办理国债管理工作,负直接责任。
中国人民银行信息安全管理相关规定
信息安全管理组织架构
信息安全管理委员 会
信息安全管理办公 室
信息安全管理小组
信息安全专员
信息安全风险评估与控制
定义:对信息安全风险进行识别、评估和控制的整个过程。 目的:确保信息系统的安全性和稳定性,防范潜在的安全风险和威胁。 主要内容:包括风险识别、风险评估、风险控制和监督与改进等环节。
实施主体:中国人民银行及其分支机构,以及相关业务部门和信息系统运营单位等。
信息安全的措施:信息安全措施包括防火墙、入侵检测系统、数据加密、安全审计等。
信息安全的法律法规:我国出台了多项法律法规,如《网络安全法》、《密码法》等,对保障信息安全发挥了重要作 用。
信息安全的威胁
黑客攻击:非法入侵计算机系 统,窃取、篡改或破坏数据
病毒传播:通过电子邮件、网 络等途径传播病毒,破坏计算 机系统
国际信息安全 法律法规的制
定与完善
中国人民银行 在信息安全法 律法规方面的
贡献
国际合作与交 流在信息安全 法律法规领域
的重要性
中国人民银行 与其他国家在 信息安全法律 法规方面的合 作与交流情况
感
谢
观
看
汇 报 人 :
性
修订内容:对原 有标准进行修订 和完善,包括技 术要求、管理要 求等方面,以适 应新的网络安全
形势和需求
信息安全的测试与验证
测试目的:确保系统安全控制措施 的有效性
测试方法:采用黑盒测试、白盒测 试、灰盒测试等方法进行测试
添加标题
添加标题
添加标题
添加标题
测试范围:包括但不限于系统控制 措施、系统业务应用、系统安全功 能等
信息安全培训与意识提升
信息安全培训的重要性 信息安全意识提升的方法 信息安全培训的内容和形式 信息安全意识提升的实践与效果
银行数据安全管理办法
银行数据安全管理办法
第一章总则
第一条为保证银行数据在申请、提取、使用以及借阅过程中的安全,防范数据信息泄露风险,根据《中华人民共和国计算机信息系统安全保护条例》、《人民银行计算机系统安全管理暂行规定》,以及监管部门、省行对数据安全管理的相关要求,特制订本办法。
第二条本办法所称数据是指不通过综合业务系统、信贷管理系统等正常途径导出数据,而是通过省行下发数据中取得的信息和数据。
第三条业务部门、基层网点、系统开发项目组、查询数据信息的有权机关、客户、客户相关关系人等对数据申请查询、提取、使用、借阅、保管、新增、变更以及销毁等均须遵循本办法。
第四条查询数据信息的有权机关是指依照法律、行政法规的明确规定,有权查询、冻结、扣划单位或个人在金融机构存款的司法机关、行政机关、军事机关及行使行政职能的事业单位。
具体包括:人民法院、税务机关、海关、人民检察院、公安机关、国家安全机关、军队保卫部门、监狱、
- 1 -。
中国人民银行信息安全管理规定
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理.第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
中国人民银行征信管理条例
征信业管理条例第一章总则第一条为了规范征信活动,保护当事人合法权益,引导、促进征信业健康发展,推进社会信用体系建设,制定本条例。
第二条在中国境内从事征信业务及相关活动,适用本条例。
本条例所称征信业务,是指对企业、事业单位等组织(以下统称企业)的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。
国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供,适用本条例第五章规定。
国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定,为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布,不适用本条例。
第三条从事征信业务及相关活动,应当遵守法律法规,诚实守信,不得危害国家秘密,不得侵犯商业秘密和个人隐私。
第四条中国人民银行(以下称国务院征信业监督管理部门)及其派出机构依法对征信业进行监督管理。
县级以上地方人民政府和国务院有关部门依法推进本地区、本行业的社会信用体系建设,培育征信市场,推动征信业发展。
第二章征信机构第五条本条例所称征信机构,是指依法设立,主要经营征信业务的机构。
第六条设立经营个人征信业务的征信机构,应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准:(一)主要股东信誉良好,最近 3 年无重大违法违规记录;(二)注册资本不少于人民币5000 万元;(三)有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施;(四)拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件;(五)国务院征信业监督管理部门规定的其他审慎性条件。
第七条申请设立经营个人征信业务的征信机构,应当向国务院征信业监督管理部门提交申请书和证明其符合本条例第六条规定条件的材料。
国务院征信业监督管理部门应当依法进行审查,自受理申请之日起 60 日内作出批准或者不予批准的决定。
决定批准的,颁发个人征信业务经营许可证;不予批准的,应当书面说明理由。
中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知
中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.12.28•【文号】银发[2010]366号•【施行日期】2010.12.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】计算机软件著作权,银行业监督管理正文中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知(2010年12月28日银发[2010]366号)人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行,各直属企事业单位:为进一步做好人民银行计算机系统信息安全风险防范和事件处置工作,总行制定了《中国人民银行计算机系统信息安全报告制度》,现印发给你们,请遵照执行。
附件:中国人民银行计算机系统信息安全报告制度附件中国人民银行计算机系统信息安全报告制度一、总则第一条根据《中国人民银行计算机系统信息安全管理规定》(银发[2010]276号印发),为加强人民银行计算机系统信息安全(以下简称信息安全)管理,规范计算机系统信息安全报告流程,提高信息安全事件和风险处置效率,制定本制度。
第二条本制度适用于人民银行总行、上海总部、各分支机构行、各直属企事业单位及其他相关单位。
第三条本制度报告范畴界定为网络与信息系统计算机系统的信息安全,报告事项包括信息安全事件和信息安全风险两类。
第四条本制度所称信息安全事件,是指由于人为、自然因素或计算机软硬件缺陷等原因,导致网络、信息系统出现异常或数据受到侵害,影响网络与信息系统正常运行或数据安全。
第五条本制度所称信息安全风险,是指人为、自然的威胁利用网络与信息系统及其管理机制中存在的脆弱性,导致信息安全事件发生的可能性。
第六条任何单位和个人均有信息安全报告的义务。
按照“谁发现、谁报告”的原则,信息安全事件发生或风险发现单位的计算机系统相关业务部门在向本单位应急办报告的同时,通报本单位科技部门。
中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知-银发[2008]48号
![中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知-银发[2008]48号](https://img.taocdn.com/s3/m/1247368150e79b89680203d8ce2f0066f5336418.png)
中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知正文:----------------------------------------------------------------------------------------------------------------------------------------------------中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知(2008年2月4日银发[2008]48号)中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,清算总中心,国家外汇管理局,各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行,中国银联股份有限公司,中国外汇交易中心,中国金融电子化公司:《银行业信息系统灾难恢复管理规范》行业标准已经全国金融标准化技术委员会审查通过,现予以发布,并就有关事项通知如下:一、标准的编号和名称JR/T0044-2008,《银行业信息系统灾难恢复管理规范》。
二、该标准自发布之日起实施。
附件:银行业信息系统灾难恢复管理规范ICSAll JR备案号:中华人民共和国金融行业标准JR/T0044-2008银行业信息系统灾难恢复管理规范Management Specification of Information System Disaster Recovery for Banks2008-02-04发布2008-02-04实施中国人民银行发布目录前言引言1范围2规范性引用文件3术语和定义4银行业信息系统灾难恢复综述4.1灾难恢复工作内容4.2灾难恢复的周期性工作4.3机构间合作5组织机构设立和职责5.1组织机构设立5.2组织机构的组成和职责6灾难恢复需求分析6.1风险分析6.2业务影响分析6.3确定灾难恢复需求7灾难恢复策略制定7.1成本风险分析和策略的确定7.2灾难恢复能力等级7.3灾难备份中心的布局7.4资源、服务的获取和保障8灾难备份中心的建设8.1基础设施建设8.2灾难备份系统建设8.3项目监理9灾难备份中心的运行维护管理9.1管理制度建设9.2运行维护工作内容9.3运行维护的资源保障10灾难恢复预案的制定、演练与管理10.1灾难恢复预案的制定10.2灾难恢复预案的演练10.3灾难恢复预案的管理11应急响应和灾难恢复11.1应急响应11.2灾难恢复11.3重建与回退12监督管理12.1审计12.2备案附录A (资料性附录)应急响应和灾难恢复工作要点附录B (资料性附录)RTO/RPO与灾难恢复能力等级的关系前言本标准是对银行业信息系统灾难恢复管理要求的描述。
中国人民银行信息安全系统管理系统规定
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
2020年(金融保险)银行信息安全管理规定
(金融保险)银行信息安全管理规定中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络和信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的壹系列管理活动。
第三条人民银行信息安全管理工作实行统壹领导和分级管理。
总行统壹领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位和个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少壹名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第壹节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知
中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.01.18•【文号】银发[2010]19号•【施行日期】2010.01.18•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知(2010年1月18日银发[2010]19号)中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,副省级城市中心支行;各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行:为加强网上银行管理,促进网上银行业务健康发展,有效增强网上银行系统的信息安全防范能力,中国人民银行制定了《网上银行系统信息安全通用规范(试行)》,现印发给你们,请遵照执行。
请中国人民银行上海总部,各分行、营业管理部、省会(首府)城市中心支行,副省级城市中心支行将本通知转发至辖区内各城市商业银行、农村商业银行、城市信用社和农村信用社。
执行中如遇问题,请及时告知中国人民银行科技司。
附件:网上银行系统信息安全通用规范(试行)附件网上银行系统信息安全通用规范(试行)(中国人民银行)前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
目录1使用范围和要求2规范性引用文件3术语和定义3.1网上银行3.2互联网3.3敏感信息3.4客户端程序3.5 USBKey3.6 USBKey 固件3.7强效加密4符号和缩略语5网上银行系统概述5.1系统标识5.2系统定义5.3系统描述5.4安全域6安全规范6.1安全技术规范6.2安全管理规范6.3业务运作安全规范附1 基本的网络防护架构参考图附2 增强的网络防护架构参考图1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知
中国⼈民银⾏关于⾦融机构进⼀步做好客户个⼈⾦融信息保护⼯作的通知⽂号:银发[2012]80号颁布⽇期:2012-03-27执⾏⽇期:2012-03-27时效性:现⾏有效效⼒级别:部门规章中国⼈民银⾏上海总部,各分⾏、营业管理部,各省会(⾸府)城市中⼼⽀⾏,各国有商业银⾏,股份制商业银⾏,中国邮政储蓄银⾏:2012年3⽉15⽇,中央电视台曝光了有关商业银⾏员⼯向不法分⼦出售客户个⼈⾦融信息,并导致⼤量客户总计3000余万元存款被盗的事件。
这⼀事件说明,部分银⾏业⾦融机构并未充分重视客户个⼈⾦融信息保护⼯作,没有认识到保护客户个⼈⾦融信息是银⾏业⾦融机构的法定义务,缺乏⾏之有效的内控制度,也不了解违法收集、使⽤和对外提供客户个⼈⾦融信息可能导致的恶劣影响和严重后果。
为进⼀步强化银⾏业⾦融机构个⼈⾦融信息保护⼯作,保护⾦融消费者合法权益,维护⾦融稳定,现就有关事项通知如下:⼀、各银⾏业⾦融机构必须严格遵守《中华⼈民共和国商业银⾏法》、《个⼈存款账户实名制规定》、《个⼈信⽤信息基础数据库管理暂⾏办法》(中国⼈民银⾏令〔2005〕第3号发布)、《中国⼈民银⾏关于银⾏业⾦融机构做好个⼈⾦融信息保护⼯作的通知》(银发〔2011〕17号)等法律、法规、规章和规范性⽂件的规定,依法合规收集、保存、使⽤和对外提供个⼈⾦融信息,不得向任何单位和个⼈出售客户个⼈⾦融信息,不得违规对外提供客户个⼈⾦融信息。
⼆、各银⾏业⾦融机构应采取有效措施确保客户个⼈⾦融信息安全,防⽌信息泄露和滥⽤。
在制度上,应完善本机构相关内控制度,强化各部门、岗位和⼈员在客户个⼈⾦融信息保护⽅⾯的责任,堵塞漏洞,完善内部监督和责任追究机制;在技术上,应当严格权限管理,完善信息安全防范措施,有效降低个⼈⾦融信息被盗的风险;在员⼯教育上,应于近期在全辖范围内集中开展⼀次客户个⼈⾦融信息保护的培训教育⼯作,使员⼯充分了解、认真贯彻相关法律、法规、规章和规范性⽂件的规定,明确个⼈⾦融信息泄露和滥⽤对本机构及员⼯个⼈带来的法律后果,进⼀步落实本机构的各项内控制度。
银行个人信息法律规定(3篇)
第1篇一、引言随着信息技术的飞速发展,个人信息保护问题日益凸显。
银行作为个人信息的重要收集、存储和使用单位,其个人信息保护工作尤为重要。
为了规范银行个人信息保护,我国制定了一系列法律法规,旨在保护公民个人信息权益,维护社会和谐稳定。
本文将从我国银行个人信息法律规定出发,对相关法律法规进行梳理和分析。
二、我国银行个人信息法律体系我国银行个人信息法律体系主要包括以下法律法规:1.《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)2.《中华人民共和国民法典》中关于个人信息保护的相关规定3.《中华人民共和国网络安全法》中关于个人信息保护的相关规定4.《中华人民共和国数据安全法》中关于个人信息保护的相关规定5.《中华人民共和国商业银行法》中关于个人信息保护的相关规定6.《中国人民银行关于银行业金融机构加强个人信息保护的通知》7.《中国人民银行关于规范金融机构客户身份识别有关工作的通知》8.《中国人民银行关于进一步加强金融消费者权益保护工作的指导意见》三、银行个人信息保护的基本原则1.合法、正当、必要的原则:银行在收集、使用、存储、处理个人信息时,必须遵循合法、正当、必要的原则,不得非法收集、使用、存储、处理个人信息。
2.明确告知原则:银行在收集、使用个人信息前,应当向个人信息主体明确告知收集、使用、存储、处理个人信息的目的、方式、范围、期限等信息。
3.最少、必要原则:银行在收集、使用个人信息时,应当遵循最少、必要原则,不得过度收集、使用个人信息。
4.安全原则:银行应当采取必要措施,确保个人信息的安全,防止个人信息泄露、损毁、篡改等。
5.责任原则:银行在个人信息保护工作中,应当承担相应的法律责任。
四、银行个人信息收集、使用、存储、处理的法律规定1.个人信息收集银行在收集个人信息时,应当遵循以下规定:(1)明确告知个人信息主体收集的目的、方式、范围、期限等信息;(2)不得非法收集个人信息;(3)不得强迫个人信息主体提供个人信息;(4)不得收集与业务无关的个人信息。
中国人民银行关于进一步加强征信信息安全管理的通知-银发〔2018〕102号
中国人民银行关于进一步加强征信信息安全管理的通知正文:----------------------------------------------------------------------------------------------------------------------------------------------------人民银行关于进一步加强征信信息安全管理的通知银发〔2018〕102号中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;国家开发银行,各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行:为贯彻落实党的十九大精神和第五次全国金融工作会议精神,加强个人信息保护,做好新时代征信信息安全管理工作,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号发布)等法规规章的相关规定,现就进一步加强金融信用信息基础数据库运行机构和接入机构(以下简称运行机构和接入机构)征信信息安全管理有关事项通知如下:一、切实增强征信信息安全管理意识,强化征信信息安全主体责任运行机构和接入机构要清醒认识当前征信信息安全面临的严峻形势,切实增强征信信息安全管理意识。
建立健全征信信息安全管理的体制和机制,成立征信信息安全工作领导小组,明确岗位职责,强化征信信息安全主体责任,按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,明确领导层中分管征信工作的负责人为第一责任人,征信系统及相关信息系统的使用人为直接责任人,并明确第一责任人、直接责任人和其他相关人员的责任分工。
二、完善征信业务操控流程,不断提高征信信息安全管理水平运行机构和接入机构要切实加强对征信各级管理人员和从业人员的全员征信合规性教育培训,围绕征信信息安全管理,通过加强征信系统用户管理、健全征信信息查询管理、优化自助查询机管理、完善征信异常查询监控机制、妥善办理异议与投诉等措施,完善征信业务操控流程,牢牢守住不发生征信信息安全风险的底线。
中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见-银发[2006]123号
![中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见-银发[2006]123号](https://img.taocdn.com/s3/m/27bb27cd29ea81c758f5f61fb7360b4c2e3f2a09.png)
中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见(银发[2006]123号)人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各政策性银行、国有商业银行、股份制商业银行:为进一步增强银行业金融机构信息安全保障能力,保障国家经济运行安全,维护社会稳定和客户权益,现就“十一五”期间银行业金融机构信息安全保障工作提出以下指导意见:“十一五”期间,我国银行业金融机构信息安全保障工作的目标是:建立和完善与银行业金融机构信息化发展相适应的信息安全保障体系,满足银行业金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防范、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高银行业金融机构业务持续运行保障水平。
“十一五”期间,我国银行业金融机构信息安全保障工作的主要任务是:加强组织领导,健全信息安全管理体制,建立跨部门、跨行业协调机制;加强信息安全队伍建设,落实岗位职责制,推行信息安全管理持证上岗制度;保证信息安全建设资金的投入,不断完善信息安全基础设施建设;进一步加强信息安全制度和标准规范体系建设;加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;加强安全运行监控体系建设;大力开展信息安全风险评估,实施等级保护;加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;广泛、深入开展信息安全宣传教育活动,增强全员安全意识。
人民银行征信管理条例
征信业管理条例第一章总则第一条为了规范征信活动,保护当事人合法权益,引导、促进征信业健康发展,推进社会信用体系建设,制定本条例;第二条在中国境内从事征信业务及相关活动,适用本条例;本条例所称征信业务,是指对企业、事业单位等组织以下统称企业的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动;国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供,适用本条例第五章规定;国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定,为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布,不适用本条例;第三条从事征信业务及相关活动,应当遵守法律法规,诚实守信,不得危害国家秘密,不得侵犯商业秘密和个人隐私;第四条中国人民银行以下称国务院征信业监督管理部门及其派出机构依法对征信业进行监督管理;县级以上地方人民政府和国务院有关部门依法推进本地区、本行业的社会信用体系建设,培育征信市场,推动征信业发展;第二章征信机构第五条本条例所称征信机构,是指依法设立,主要经营征信业务的机构;第六条设立经营个人征信业务的征信机构,应当符合中华人民共和国公司法规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准:一主要股东信誉良好,最近3年无重大违法违规记录;二注册资本不少于人民币5000万元;三有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施;四拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件;五国务院征信业监督管理部门规定的其他审慎性条件;第七条申请设立经营个人征信业务的征信机构,应当向国务院征信业监督管理部门提交申请书和证明其符合本条例第六条规定条件的材料;国务院征信业监督管理部门应当依法进行审查,自受理申请之日起60日内作出批准或者不予批准的决定;决定批准的,颁发个人征信业务经营许可证;不予批准的,应当书面说明理由;经批准设立的经营个人征信业务的征信机构,凭个人征信业务经营许可证向公司登记机关办理登记;未经国务院征信业监督管理部门批准,任何单位和个人不得经营个人征信业务; 第八条经营个人征信业务的征信机构的董事、监事和高级管理人员,应当熟悉与征信业务相关的法律法规,具有履行职责所需的征信业从业经验和管理能力,最近3年无重大违法违规记录,并取得国务院征信业监督管理部门核准的任职资格;第九条经营个人征信业务的征信机构设立分支机构、合并或者分立、变更注册资本、变更出资额占公司资本总额5%以上或者持股占公司股份5%以上的股东的,应当经国务院征信业监督管理部门批准;经营个人征信业务的征信机构变更名称的,应当向国务院征信业监督管理部门办理备案;第十条设立经营企业征信业务的征信机构,应当符合中华人民共和国公司法规定的设立条件,并自公司登记机关准予登记之日起30日内向所在地的国务院征信业监督管理部门派出机构办理备案,并提供下列材料:一营业执照;二股权结构、组织机构说明;三业务范围、业务规则、业务系统的基本情况;四信息安全和风险防范措施;备案事项发生变更的,应当自变更之日起30日内向原备案机构办理变更备案; 第十一条征信机构应当按照国务院征信业监督管理部门的规定,报告上一年度开展征信业务的情况;国务院征信业监督管理部门应当向社会公告经营个人征信业务和企业征信业务的征信机构名单,并及时更新;第十二条征信机构解散或者被依法宣告破产的,应当向国务院征信业监督管理部门报告,并按照下列方式处理信息数据库:一与其他征信机构约定并经国务院征信业监督管理部门同意,转让给其他征信机构;二不能依照前项规定转让的,移交给国务院征信业监督管理部门指定的征信机构;三不能依照前两项规定转让、移交的,在国务院征信业监督管理部门的监督下销毁;经营个人征信业务的征信机构解散或者被依法宣告破产的,还应当在国务院征信业监督管理部门指定的媒体上公告,并将个人征信业务经营许可证交国务院征信业监督管理部门注销;第三章征信业务规则第十三条采集个人信息应当经信息主体本人同意,未经本人同意不得采集;但是,依照法律、行政法规规定公开的信息除外;企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息; 第十四条禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息;征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息;但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外;第十五条信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人;但是,依照法律、行政法规规定公开的不良信息除外;第十六条征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除;在不良信息保存期限内,信息主体可以对不良信息作出说明,征信机构应当予以记载;第十七条信息主体可以向征信机构查询自身信息;个人信息主体有权每年两次免费获取本人的信用报告;第十八条向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途;但是,法律规定可以不经同意查询的除外;征信机构不得违反前款规定提供个人信息;第十九条征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明;第二十条信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供;第二十一条征信机构可以通过信息主体、企业交易对方、行业协会提供信息,政府有关部门依法已公开的信息,人民法院依法公布的判决、裁定等渠道,采集企业信息;征信机构不得采集法律、行政法规禁止采集的企业信息;第二十二条征信机构应当按照国务院征信业监督管理部门的规定,建立健全和严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全;经营个人征信业务的征信机构应当对其工作人员查询个人信息的权限和程序作出明确规定,对工作人员查询个人信息的情况进行登记,如实记载查询工作人员的姓名,查询的时间、内容及用途;工作人员不得违反规定的权限和程序查询信息,不得泄露工作中获取的信息;第二十三条征信机构应当采取合理措施,保障其提供信息的准确性;征信机构提供的信息供信息使用者参考;第二十四条征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行;征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定;第四章异议和投诉第二十五条信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的,有权向征信机构或者信息提供者提出异议,要求更正;征信机构或者信息提供者收到异议,应当按照国务院征信业监督管理部门的规定对相关信息作出存在异议的标注,自收到异议之日起20日内进行核查和处理,并将结果书面答复异议人;经核查,确认相关信息确有错误、遗漏的,信息提供者、征信机构应当予以更正;确认不存在错误、遗漏的,应当取消异议标注;经核查仍不能确认的,对核查情况和异议内容应当予以记载;第二十六条信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉;受理投诉的机构应当及时进行核查和处理,自受理之日起30日内书面答复投诉人;信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以直接向人民法院起诉;第五章金融信用信息基础数据库第二十七条国家设立金融信用信息基础数据库,为防范金融风险、促进金融业发展提供相关信息服务;金融信用信息基础数据库由专业运行机构建设、运行和维护;该运行机构不以营利为目的,由国务院征信业监督管理部门监督管理;第二十八条金融信用信息基础数据库接收从事信贷业务的机构按照规定提供的信贷信息;金融信用信息基础数据库为信息主体和取得信息主体本人书面同意的信息使用者提供查询服务;国家机关可以依法查询金融信用信息基础数据库的信息;第二十九条从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息;从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应当事先取得信息主体的书面同意,并适用本条例关于信息提供者的规定;第三十条不从事信贷业务的金融机构向金融信用信息基础数据库提供、查询信用信息以及金融信用信息基础数据库接收其提供的信用信息的具体办法,由国务院征信业监督管理部门会同国务院有关金融监督管理机构依法制定;第三十一条金融信用信息基础数据库运行机构可以按照补偿成本原则收取查询服务费用,收费标准由国务院价格主管部门规定;第三十二条本条例第十四条、第十六条、第十七条、第十八条、第二十二条、第二十三条、第二十四条、第二十五条、第二十六条适用于金融信用信息基础数据库运行机构;第六章监督管理第三十三条国务院征信业监督管理部门及其派出机构依照法律、行政法规和国务院的规定,履行对征信业和金融信用信息基础数据库运行机构的监督管理职责,可以采取下列监督检查措施:一进入征信机构、金融信用信息基础数据库运行机构进行现场检查,对向金融信用信息基础数据库提供或者查询信息的机构遵守本条例有关规定的情况进行检查;二询问当事人和与被调查事件有关的单位和个人,要求其对与被调查事件有关的事项作出说明;三查阅、复制与被调查事件有关的文件、资料,对可能被转移、销毁、隐匿或者篡改的文件、资料予以封存;四检查相关信息系统;进行现场检查或者调查的人员不得少于2人,并应当出示合法证件和检查、调查通知书;被检查、调查的单位和个人应当配合,如实提供有关文件、资料,不得隐瞒、拒绝和阻碍;第三十四条经营个人征信业务的征信机构、金融信用信息基础数据库、向金融信用信息基础数据库提供或者查询信息的机构发生重大信息泄露等事件的,国务院征信业监督管理部门可以采取临时接管相关信息系统等必要措施,避免损害扩大;第三十五条国务院征信业监督管理部门及其派出机构的工作人员对在工作中知悉的国家秘密和信息主体的信息,应当依法保密;第七章法律责任第三十六条未经国务院征信业监督管理部门批准,擅自设立经营个人征信业务的征信机构或者从事个人征信业务活动的,由国务院征信业监督管理部门予以取缔,没收违法所得,并处5万元以上50万元以下的罚款;构成犯罪的,依法追究刑事责任;第三十七条经营个人征信业务的征信机构违反本条例第九条规定的,由国务院征信业监督管理部门责令限期改正,对单位处2万元以上20万元以下的罚款;对直接负责的主管人员和其他直接责任人员给予警告,处1万元以下的罚款;经营企业征信业务的征信机构未按照本条例第十条规定办理备案的,由其所在地的国务院征信业监督管理部门派出机构责令限期改正;逾期不改正的,依照前款规定处罚;第三十八条征信机构、金融信用信息基础数据库运行机构违反本条例规定,有下列行为之一的,由国务院征信业监督管理部门或者其派出机构责令限期改正,对单位处5万元以上50万元以下的罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款;有违法所得的,没收违法所得;给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任:一窃取或者以其他方式非法获取信息;二采集禁止采集的个人信息或者未经同意采集个人信息;三违法提供或者出售信息;四因过失泄露信息;五逾期不删除个人不良信息;六未按照规定对异议信息进行核查和处理;七拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料;八违反征信业务规则,侵害信息主体合法权益的其他行为;经营个人征信业务的征信机构有前款所列行为之一,情节严重或者造成严重后果的,由国务院征信业监督管理部门吊销其个人征信业务经营许可证;第三十九条征信机构违反本条例规定,未按照规定报告其上一年度开展征信业务情况的,由国务院征信业监督管理部门或者其派出机构责令限期改正;逾期不改正的,对单位处2万元以上10万元以下的罚款;对直接负责的主管人员和其他直接责任人员给予警告,处1万元以下的罚款;第四十条向金融信用信息基础数据库提供或者查询信息的机构违反本条例规定,有下列行为之一的,由国务院征信业监督管理部门或者其派出机构责令限期改正,对单位处5万元以上50万元以下的罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款;有违法所得的,没收违法所得;给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任:一违法提供或者出售信息;二因过失泄露信息;三未经同意查询个人信息或者企业的信贷信息;四未按照规定处理异议或者对确有错误、遗漏的信息不予更正;五拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料;第四十一条信息提供者违反本条例规定,向征信机构、金融信用信息基础数据库提供非依法公开的个人不良信息,未事先告知信息主体本人,情节严重或者造成严重后果的,由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款;对个人处1万元以上5万元以下的罚款;第四十二条信息使用者违反本条例规定,未按照与个人信息主体约定的用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息,情节严重或者造成严重后果的,由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款;对个人处1万元以上5万元以下的罚款;有违法所得的,没收违法所得;给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任;第四十三条国务院征信业监督管理部门及其派出机构的工作人员滥用职权、玩忽职守、徇私舞弊,不依法履行监督管理职责,或者泄露国家秘密、信息主体信息的,依法给予处分;给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任;第八章附则第四十四条本条例下列用语的含义:一信息提供者,是指向征信机构提供信息的单位和个人,以及向金融信用信息基础数据库提供信息的单位;二信息使用者,是指从征信机构和金融信用信息基础数据库获取信息的单位和个人;三不良信息,是指对信息主体信用状况构成负面影响的下列信息:信息主体在借贷、赊购、担保、租赁、保险、使用信用卡等活动中未按照合同履行义务的信息,对信息主体的行政处罚信息,人民法院判决或者裁定信息主体履行义务以及强制执行的信息,以及国务院征信业监督管理部门规定的其他不良信息;第四十五条外商投资征信机构的设立条件,由国务院征信业监督管理部门会同国务院有关部门制定,报国务院批准;境外征信机构在境内经营征信业务,应当经国务院征信业监督管理部门批准;第四十六条本条例施行前已经经营个人征信业务的机构,应当自本条例施行之日起6个月内,依照本条例的规定申请个人征信业务经营许可证;本条例施行前已经经营企业征信业务的机构,应当自本条例施行之日起3个月内,依照本条例的规定办理备案;第四十七条本条例自2013年3月15日起施行;。
中国人民银行信息安全管理相关规定(doc 19页)
中国人民银行信息安全管理相关规定(doc 19页)第一条第二条第三条第四条部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。
第五条部门计算机安全员在如下职责范围内开展工作:(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
(二)负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节技术支持人员第六条本规定所称技术支持人员,是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第七条人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:(一)不得对外泄漏或引用工作中触及的任何敏感信息。
严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。
(二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。
(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
第八条外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。
提供技术服务期间,严格遵守人民银行相关安全规定与操作规程,关键操作应经授权,并有人民银行内部员工在场。
不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第四节业务系统操作人员第九条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。
第十条业务系统操作人员应承担如下安全义务:(一)严格规程操作,防止误操作。
定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。
(二)发现业务系统出现异常及时报告科技部门。
(三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。
上岗后,每年至少参加一次信息安全专业培训。
第十二条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调部门计算机安全员工作,监督检查信息安全保障工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。
(三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十三条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本单位主管同意后向保密工作委员会办公室提交申请,获得批准后方可查询。
第十四条信息安全管理人员实行备案管理制度。
信息安全管理人员的配备和变更情况应及时报上一级科技部门备案。
信息安全管理人员调离原岗位时应办理交接手续,并履行其调离后的保密义务。
第二节部门计算机安全员第十五条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位科技部门备案。
如有变更应做好交接工作,并及时通报科技部门。
第十六条部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。
第十七条部门计算机安全员在如下职责范围内开展工作:(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
(二)负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节技术支持人员第十八条本规定所称技术支持人员,是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第十九条人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:(一)不得对外泄漏或引用工作中触及的任何敏感信息。
严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。
(二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。
(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
第二十条外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。
提供技术服务期间,严格遵守人民银行相关安全规定与操作规程,关键操作应经授权,并有人民银行内部员工在场。
不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第四节业务系统操作人员第二十一条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。
第二十二条业务系统操作人员应承担如下安全义务:(一)严格规程操作,防止误操作。
定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。
(二)发现业务系统出现异常及时报告科技部门。
(三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。
第二十三条业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。
技术支持人员不得兼任业务系统操作人员。
第五节一般计算机用户第二十四条本规定所称一般计算机用户是指使用计算机设备的所有人员。
第二十五条一般计算机用户应承担如下安全义务:(一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门计算机安全员的指导与管理。
(二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。
(三)未经科技部门检测和授权,不得将接入人民银行内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入人民银行内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第四章机房环境和设备资产管理第一节机房安全管理第二十六条本规定所称机房是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。
第二十七条各单位机房的规划、建设、改造、运行、维护由科技部门负责,相关设备采购纳入政府集中采购。
机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫部门协商确定。
第二十八条各单位原则上只建设一个符合国家计算机机房有关标准和人民银行相关规定的计算机机房,为所有业务部门提供机房基础设施服务。
第二十九条机房建设、改造的方案应报上一级科技部门备案。
必要时,由上一级机构科技部门会同会计、保卫等部门进行审核。
第三十条机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、两年以上从事计算机机房设计与施工经验的专业化公司,其中总行、分行、营业管理部、省会(首府)城市中心支行、计划单列市中心支行的机房建设或改造应选择具有国家贰级或贰级以上资质同时具有三年以上专业从事计算机机房装修装饰经验的专业公司。
重要机房建设或改造工程应引入监理制度。
第三十一条总行、分行、营业管理部、省会(首府)城市中心支行应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
第三十二条各单位机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫与会计部门组织的验收,并出具明确结论的验收报告。
未经验收或验收不合格的机房均不得投入使用。
第三十三条各单位应建立健全机房管理制度,并指派专人担任机房管理员,落实机房安全责任制。
机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第三十四条建立机房定期维修保养制度。
易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第二节柜面和核心业务处理环境安全管理第三十五条向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。
第三十六条所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保存至少三个月。
第三节设备资产管理第三十七条各单位科技部门应建立完备的计算机设备登记制度,严格资产管理,明确计算机设备使用者或管理者及其安全责任。
第三十八条各单位科技部门应根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。
有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄漏的屏蔽装置等。
第五章网络安全管理第一节网络规划、建设中的安全管理第三十九条总行科技司负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配。
第四十条各单位科技部门按照总行科技司的统一规划和总体部署,组织实施网络建设、改造工程。
各单位局域网的建设与改造方案应报上一级科技部门审核、备案,投产前应通过本单位组织的安全测试。
第四十一条各单位的网络建设和改造应符合如下基本安全要求:(一)符合人民银行网络安全管理要求,保障网络传输与应用安全。
(二)具备必要的网络监测、跟踪和审计等管理功能。
(三)针对不同的网络安全域,采取必要的安全隔离措施。
第二节网络运行安全管理第四十二条各单位科技部门应建立健全网络安全运行制度,配备专(兼)职网络管理员。
网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
第四十三条网络管理员应定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第四十四条各单位科技部门应严格网络接入管理。
任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。
第四十五条各单位科技部门应严格网络变更管理。
网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。
实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。