銀行信息安全管理規(guī)定

1、中國人民銀行信息安全管理規(guī)定第一章 總則第一條 為強(qiáng)化人民銀行信息安全管理，防范計(jì)算機(jī)信息技術(shù)風(fēng) 險(xiǎn)，保障人民銀行計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，根據(jù)中華 人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、 金融機(jī)構(gòu)計(jì)算機(jī)信息系 統(tǒng)安全保護(hù)工作暫行規(guī)定等規(guī)定，特制定本規(guī)定。第二條 本規(guī)定所稱信息安全管理， 是指在人民銀行信息化項(xiàng)目立 項(xiàng)、建設(shè)、運(yùn)行、維護(hù)及廢止等過程中保障計(jì)算機(jī)信息及其相關(guān)系統(tǒng)、 環(huán)境、網(wǎng)絡(luò)和操作安全的一系列管理活動(dòng)。第三條 人民銀行信息安全管理工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)和分級(jí)管理。 總 行統(tǒng)一領(lǐng)導(dǎo)分支機(jī)構(gòu)和直屬企事業(yè)單位的信息安全管理， 負(fù)責(zé)總行機(jī)關(guān) 的信息安全管理。 分支機(jī)構(gòu)負(fù)責(zé)本單位和轄內(nèi)

2、的信息安全管理， 各直屬 企事業(yè)單位負(fù)責(zé)本單位的信息安全管理。第四條 人民銀行信息安全管理實(shí)行分管領(lǐng)導(dǎo)負(fù)責(zé)制， 按照“誰主 管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，逐級(jí)落實(shí)單位與個(gè) 人信息安全責(zé)任制。第五條 本規(guī)定適用于人民銀行總行機(jī)關(guān)、 各分支機(jī)構(gòu)和直屬企事 業(yè)單位（以下統(tǒng)稱“各單位”）。所有使用人民銀行網(wǎng)絡(luò)或信息資源的 其他外部機(jī)構(gòu)和個(gè)人均應(yīng)遵守本規(guī)定。第二章 組織保障第六條 各單位應(yīng)設(shè)立由本單位領(lǐng)導(dǎo)和相關(guān)部門主要負(fù)責(zé)人組成 的計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組， 辦公室設(shè)在本單位科技部門， 負(fù)責(zé)協(xié)調(diào)本 單位及轄內(nèi)信息安全管理工作，決策本單位及轄內(nèi)信息安全重大事宜。第七條 各單位科技部門應(yīng)設(shè)立信

3、息安全管理部門或崗位。 總行機(jī) 關(guān)、分行、營業(yè)管理部、省會(huì)（首府）城市中心支行、副省級(jí)城市中心 支行科技部門配備專職信息安全管理人員，實(shí)行 A、B 崗制度；地（市） 中心支行和縣（市）支行設(shè)立信息安全管理崗位。第八條 除科技部門外， 各單位其他部門均應(yīng)指定至少一名部門計(jì) 算機(jī)安全員， 具體負(fù)責(zé)本部門的信息安全管理， 協(xié)同科技部門開展信息 安全管理工作。第三章 人員管理第九條 各單位工作人員根據(jù)不同的崗位或工作范圍， 履行相應(yīng)的 信息安全保障職責(zé)。第一節(jié) 信息安全管理人員第十條 各單位應(yīng)選派政治思想過硬、 具有較高計(jì)算機(jī)水平的人員 從事信息安全管理工作。 凡是因違反國家法律法規(guī)和人民銀行有關(guān)規(guī)定

4、 受到過處罰或處分的人員，不得從事此項(xiàng)工作。第十一條 各單位信息安全管理人員應(yīng)經(jīng)過總行或分行、營業(yè)管 理部、省會(huì)（首府）城市中心支行組織的專業(yè)培訓(xùn)與審核，培訓(xùn)與審核 合格后方可上崗。上崗后，每年至少參加一次信息安全專業(yè)培訓(xùn)。第十二條 各單位信息安全管理人員在如下職責(zé)范圍內(nèi)開展本單 位信息安全管理工作：（一）組織落實(shí)上級(jí)信息安全管理規(guī)定，制定信息安全管理制 度，協(xié)調(diào)部門計(jì)算機(jī)安全員工作，監(jiān)督檢查信息安全保障工作。（二）審核信息化建設(shè)項(xiàng)目中的安全方案， 組織實(shí)施信息安全保 障項(xiàng)目建設(shè)，維護(hù)、管理信息安全專用設(shè)施。（三）檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行狀況， 檢查運(yùn)行操作、 備 份、機(jī)房環(huán)境與文檔等安全

5、管理情況，發(fā)現(xiàn)問題，及時(shí)通報(bào)和預(yù)警，并 提出整改意見。統(tǒng)計(jì)分析和協(xié)調(diào)處臵信息安全事件。（四）定期組織信息安全宣傳教育活動(dòng)， 開展信息安全檢查、 評(píng) 估與培訓(xùn)工作。第十三條 信息安全管理人員在履行職責(zé)時(shí)，確因工作需要查詢 相關(guān)涉密信息， 須經(jīng)本單位主管同意后向保密工作委員會(huì)辦公室提交申 請，獲得批準(zhǔn)后方可查詢。第十四條 信息安全管理人員實(shí)行備案管理制度。信息安全管理人員的配備和變更情況應(yīng)及時(shí)報(bào)上一級(jí)科技部門備案。 信息安全管理人 員調(diào)離原崗位時(shí)應(yīng)辦理交接手續(xù)，并履行其調(diào)離后的保密義務(wù)。第二節(jié) 部門計(jì)算機(jī)安全員第十五條 各部門應(yīng)指派素質(zhì)好、較熟悉計(jì)算機(jī)知識(shí)的人員擔(dān)任 部門計(jì)算機(jī)安全員， 并報(bào)本單位

6、科技部門備案。 如有變更應(yīng)做好交接工 作，并及時(shí)通報(bào)科技部門。第十六條 部門計(jì)算機(jī)安全員配合信息安全管理人員工作，并參 加各項(xiàng)信息安全技能培訓(xùn)。第十七條 部門計(jì)算機(jī)安全員在如下職責(zé)范圍內(nèi)開展工作：（一）負(fù)責(zé)本部門計(jì)算機(jī)病毒防治工作， 監(jiān)督檢查本部門客戶端 安全管理情況。（二）負(fù)責(zé)提出本部門信息安全保障需求， 及時(shí)與信息安全管理 人員溝通信息安全信息。（三）負(fù)責(zé)本部門國際互聯(lián)網(wǎng)使用和接入安全管理， 組織開展本 部門信息安全自查，協(xié)助科技部門完成對本部門的信息安全檢查工作。第三節(jié) 技術(shù)支持人員第十八條 本規(guī)定所稱技術(shù)支持人員，是指參與人民銀行網(wǎng)絡(luò)、 計(jì)算機(jī)系統(tǒng)、機(jī)房環(huán)境等建設(shè)、運(yùn)行、維護(hù)的內(nèi)部技術(shù)

7、支持人員和外包 服務(wù)人員。第十九條 人民銀行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建 設(shè)和日常運(yùn)行維護(hù)職責(zé)過程中，應(yīng)承擔(dān)如下安全義務(wù)：（一）不得對外泄漏或引用工作中觸及的任何敏感信息。嚴(yán)格權(quán) 限訪問，未經(jīng)業(yè)務(wù)主管部門授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成 的任何數(shù)據(jù)。（二）主動(dòng)檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運(yùn)行狀況，發(fā)現(xiàn)安全隱患或 故障及時(shí)報(bào)告本部門主管領(lǐng)導(dǎo)，并及時(shí)響應(yīng)、處臵。（三）嚴(yán)格操作管理、測試管理、應(yīng)急管理、配臵管理、變更管 理、檔案管理等工作制度，做好數(shù)據(jù)備份工作。第二十條 外部技術(shù)支持人員應(yīng)嚴(yán)格履行外包服務(wù)合同（協(xié)議） 的各項(xiàng)安全承諾。 提供技術(shù)服務(wù)期間， 嚴(yán)格遵守人民銀行相關(guān)安全規(guī)定 與操

8、作規(guī)程，關(guān)鍵操作應(yīng)經(jīng)授權(quán)，并有人民銀行內(nèi)部員工在場。不得拷 貝或帶走任何配臵參數(shù)信息或業(yè)務(wù)數(shù)據(jù)， 不得對外泄漏或引用任何工作 信息。第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員第二十一條 本規(guī)定所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng) 進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)部門工作人員。第二十二條 業(yè)務(wù)系統(tǒng)操作人員應(yīng)承擔(dān)如下安全義務(wù)：（一）嚴(yán)格規(guī)程操作，防止誤操作。定期修改操作密碼并妥善保 管，按需、適時(shí)進(jìn)行必要的數(shù)據(jù)備份。（二）發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時(shí)報(bào)告科技部門。（三）不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件，不 得擅自修改業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境參數(shù)設(shè)臵。第二十三條 業(yè)務(wù)系統(tǒng)操作應(yīng)按照“權(quán)限分散、不得交叉任職”原 則，嚴(yán)格進(jìn)

9、行操作角色劃分和授權(quán)管理。 技術(shù)支持人員不得兼任業(yè)務(wù)系 統(tǒng)操作人員。第五節(jié) 一般計(jì)算機(jī)用戶第二十四條 本規(guī)定所稱一般計(jì)算機(jī)用戶是指使用計(jì)算機(jī)設(shè)備的所 有人員。第二十五條 一般計(jì)算機(jī)用戶應(yīng)承擔(dān)如下安全義務(wù)：（一）及時(shí)更新所用計(jì)算機(jī)的病毒防治軟件和安裝補(bǔ)丁程序，自 覺接受本部門計(jì)算機(jī)安全員的指導(dǎo)與管理。（二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計(jì)算機(jī)軟件和硬 件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵參數(shù)。（三）未經(jīng)科技部門檢測和授權(quán)，不得將接入人民銀行內(nèi)部網(wǎng)絡(luò) 的所用計(jì)算機(jī)轉(zhuǎn)接入國際互聯(lián)網(wǎng)； 不得將便攜式計(jì)算機(jī)接入人民銀行內(nèi) 部網(wǎng)絡(luò)；不得隨意將個(gè)人計(jì)算機(jī)帶入機(jī)房或私自拷貝任何信息。第四章 機(jī)房環(huán)境和設(shè)備資產(chǎn)管理第

10、一節(jié) 機(jī)房安全管理第二十六條 本規(guī)定所稱機(jī)房是指計(jì)算機(jī)系統(tǒng)等主要設(shè)備放臵、運(yùn) 行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。第二十七條 各單位機(jī)房的規(guī)劃、建設(shè)、改造、運(yùn)行、維護(hù)由科技 部門負(fù)責(zé)，相關(guān)設(shè)備采購納入政府集中采購。機(jī)房的消防、視頻監(jiān)視錄 像、防雷、門禁等子系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)由科技部門和保衛(wèi) 部門協(xié)商確定。第二十八條 各單位原則上只建設(shè)一個(gè)符合國家計(jì)算機(jī)機(jī)房有關(guān)標(biāo) 準(zhǔn)和人民銀行相關(guān)規(guī)定的計(jì)算機(jī)機(jī)房， 為所有業(yè)務(wù)部門提供機(jī)房基礎(chǔ)設(shè) 施服務(wù)。第二十九條 機(jī)房建設(shè)、改造的方案應(yīng)報(bào)上一級(jí)科技部門備案。必 要時(shí)，由上一級(jí)機(jī)構(gòu)科技部門會(huì)同會(huì)計(jì)、保衛(wèi)等部門進(jìn)行審核。第三十條 機(jī)房

11、建設(shè)或改造應(yīng)選擇具有國家建筑裝修裝飾工程專 業(yè)承包資質(zhì)、兩年以上從事計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工經(jīng)驗(yàn)的專業(yè)化公司， 其中總行、分行、營業(yè)管理部、省會(huì)（首府）城市中心支行、計(jì)劃單列 市中心支行的機(jī)房建設(shè)或改造應(yīng)選擇具有國家貳級(jí)或貳級(jí)以上資質(zhì)同 時(shí)具有三年以上專業(yè)從事計(jì)算機(jī)機(jī)房裝修裝飾經(jīng)驗(yàn)的專業(yè)公司。 重要機(jī) 房建設(shè)或改造工程應(yīng)引入監(jiān)理制度。第三十一條 總行、分行、營業(yè)管理部、省會(huì)（首府）城市中心支 行應(yīng)建立機(jī)房設(shè)施與場地環(huán)境監(jiān)控系統(tǒng)，對機(jī)房空調(diào)、消防、不間斷電 源（ups、供配電、門禁系統(tǒng)等重要設(shè)施實(shí)行全面監(jiān)控。第三十二條 各單位機(jī)房投入使用前，應(yīng)經(jīng)過當(dāng)?shù)毓蚕啦块T的 消防驗(yàn)收和本單位科技、 保衛(wèi)與會(huì)

12、計(jì)部門組織的驗(yàn)收， 并出具明確結(jié)論 的驗(yàn)收報(bào)告。未經(jīng)驗(yàn)收或驗(yàn)收不合格的機(jī)房均不得投入使用。第三十三條 各單位應(yīng)建立健全機(jī)房管理制度，并指派專人擔(dān)任機(jī) 房管理員，落實(shí)機(jī)房安全責(zé)任制。機(jī)房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟 知機(jī)房各類設(shè)備的分布和操作要領(lǐng)， 定期巡查機(jī)房，發(fā)現(xiàn)問題及時(shí)報(bào)告。機(jī)房管理員負(fù)責(zé)保管機(jī)房建設(shè)或改造的所有文檔、 圖紙以及機(jī)房運(yùn)行記 錄等有關(guān)資料，并隨時(shí)提供調(diào)閱。第三十四條 建立機(jī)房定期維修保養(yǎng)制度。易受季節(jié)、溫度等環(huán)境 因素影響的設(shè)備、 已逾保修期的設(shè)備、 近期維修過的設(shè)備等應(yīng)成為保養(yǎng) 的重點(diǎn)。第二節(jié) 柜面和核心業(yè)務(wù)處理環(huán)境安全管理第三十五條 向社會(huì)提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理

13、環(huán)境應(yīng)嚴(yán) 格出入安全管理，應(yīng)安裝門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)，實(shí)行 定時(shí)錄像監(jiān)控，并適當(dāng)配臵自動(dòng)監(jiān)控報(bào)警功能。第三十六條 所有門禁、防入侵報(bào)警、視頻監(jiān)視錄像系統(tǒng)的信息資 料由專人保存至少三個(gè)月。第三節(jié) 設(shè)備資產(chǎn)管理第三十七條 各單位科技部門應(yīng)建立完備的計(jì)算機(jī)設(shè)備登記制度， 嚴(yán)格資產(chǎn)管理，明確計(jì)算機(jī)設(shè)備使用者或管理者及其安全責(zé)任。第三十八條 各單位科技部門應(yīng)根據(jù)計(jì)算機(jī)設(shè)備重要程度采取不同 的安全保護(hù)措施， 制定完善的訪問控制策略， 防止未經(jīng)授權(quán)使用設(shè)備或 信息。 有特殊安全要求的計(jì)算機(jī)設(shè)備應(yīng)放臵在機(jī)房的特殊功能區(qū)， 必要 時(shí)，單獨(dú)建立門禁與監(jiān)控系統(tǒng)，或配備防電磁泄漏的屏蔽裝臵等。第五章 網(wǎng)

14、絡(luò)安全管理第一節(jié) 網(wǎng)絡(luò)規(guī)劃、建設(shè)中的安全管理第三十九條 總行科技司負(fù)責(zé)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部 署、策略配臵和網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、 IP 地址和域名等） 分配。第四十條 各單位科技部門按照總行科技司的統(tǒng)一規(guī)劃和總體部 署，組織實(shí)施網(wǎng)絡(luò)建設(shè)、改造工程。各單位局域網(wǎng)的建設(shè)與改造方案應(yīng) 報(bào)上一級(jí)科技部門審核、備案，投產(chǎn)前應(yīng)通過本單位組織的安全測試。第四十一條 各單位的網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求：（ 一 ） 符合人民銀行網(wǎng)絡(luò)安全管理要求， 保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。（ 二 ） 具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計(jì)等管理功能。（ 三 ） 針對不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。

15、第二節(jié) 網(wǎng)絡(luò)運(yùn)行安全管理第四十二條 各單位科技部門應(yīng)建立健全網(wǎng)絡(luò)安全運(yùn)行制度，配備 專（兼）職網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負(fù)責(zé)日常監(jiān)測和檢查網(wǎng)絡(luò)安全運(yùn)行 狀況，管理網(wǎng)絡(luò)資源及其配臵信息，建立健全網(wǎng)絡(luò)運(yùn)行維護(hù)檔案，及時(shí) 發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。第四十三條 網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定 的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應(yīng)對技能，緊急情況下，經(jīng)本 部門主管領(lǐng)導(dǎo)授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對措施。第四十四條 各單位科技部門應(yīng)嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入 網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過審核與必要的檢測， 審核（檢 測）通過后方可接入并分配相應(yīng)的網(wǎng)絡(luò)資源。第四十五條 各

16、單位科技部門應(yīng)嚴(yán)格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員調(diào) 整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口前， 應(yīng)書面請示本部門主管領(lǐng)導(dǎo)， 變更 信息應(yīng)做好記錄。 實(shí)施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更， 應(yīng)提 前通知所有使用部門并安排在節(jié)假日進(jìn)行， 同時(shí)做好配臵參數(shù)的備份和 應(yīng)急恢復(fù)準(zhǔn)備。第四十六條 各單位應(yīng)嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程 訪問的部門和人員應(yīng)向科技部門提出書面申請， 并采取相應(yīng)的安全防護(hù) 措施。第四十七條 信息安全管理人員經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)，有權(quán)對本 單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測、掃描和評(píng)估。檢測、掃描和評(píng)估結(jié)果屬 敏感信息，不得向外界提供。未經(jīng)總行科技司授權(quán)，任何外部單位與人 員不得檢測、掃描人

17、民銀行內(nèi)部網(wǎng)絡(luò)。第四十八條 各單位以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控 制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。 未經(jīng)總行科技司批準(zhǔn)， 不得在人民銀行 內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點(diǎn)播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。第三節(jié) 網(wǎng)間互聯(lián)安全管理第四十九條 本規(guī)定所稱網(wǎng)間互聯(lián)是指為滿足人民銀行與其他外部 機(jī)構(gòu)信息交換或信息共享需求實(shí)施的機(jī)構(gòu)間網(wǎng)絡(luò)互聯(lián)。第五十條 網(wǎng)間互聯(lián)由總行科技司統(tǒng)一規(guī)劃，按照相關(guān)標(biāo)準(zhǔn)組織 實(shí)施。 未經(jīng)總行科技司核準(zhǔn)， 任何單位不得自行與外部機(jī)構(gòu)實(shí)施網(wǎng)間互 聯(lián)。第四節(jié) 接入國際互聯(lián)網(wǎng)管理第五十一條 人民銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實(shí)行安全隔離。所有 接入人民銀行內(nèi)部網(wǎng)絡(luò)或存儲(chǔ)有敏感工作信息的計(jì)

18、算機(jī)， 不得直接或間 接接入國際互聯(lián)網(wǎng)。第五十二條 計(jì)算機(jī)接入國際互聯(lián)網(wǎng)應(yīng)通過本單位保密工作委員會(huì) 辦公室批準(zhǔn)，并確保安裝有人民銀行選定的防病毒軟件和最新補(bǔ)丁程 序?？萍疾块T憑相關(guān)批準(zhǔn)證明實(shí)施聯(lián)網(wǎng)，并做好備案。曾接入人民銀行 內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)需改接入國際互聯(lián)網(wǎng)前應(yīng)重新辦理以上審批手續(xù)， 科 技部門確保該計(jì)算機(jī)已刪除敏感工作信息后方可實(shí)施接入。第五十三條 未經(jīng)科技部門安全檢測，曾接入國際互聯(lián)網(wǎng)的計(jì)算機(jī) 不得直接接入人民銀行內(nèi)部網(wǎng)絡(luò)。 從國際互聯(lián)網(wǎng)下載的任何信息， 未經(jīng) 病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。第五十四條 使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī) 和人民銀行相關(guān)管理規(guī)定，不得從事任何違

19、法違規(guī)活動(dòng)。第六章 計(jì)算機(jī)系統(tǒng)安全管理第五十五條 本規(guī)定所指的計(jì)算機(jī)系統(tǒng)是人民銀行業(yè)務(wù)處理系統(tǒng)、 管理信息系統(tǒng)和日常辦公自動(dòng)化系統(tǒng)等， 包括數(shù)據(jù)庫、 軟件和硬件支撐 環(huán)境等。第一節(jié) 計(jì)算機(jī)系統(tǒng)規(guī)劃與立項(xiàng)第五十六條 計(jì)算機(jī)系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安 全問題，建設(shè)方案應(yīng)滿足人民銀行信息安全保障總體規(guī)劃的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全內(nèi)容：（一）業(yè)務(wù)需求部門提出的安全需求。（二）安全需求分析和實(shí)現(xiàn)。（三）運(yùn)行平臺(tái)的安全策略與設(shè)計(jì)。第五十七條 各單位科技部門負(fù)責(zé)對項(xiàng)目技術(shù)方案進(jìn)行安全專項(xiàng)審 查并提出審查意見，未通過安全審核的項(xiàng)目不得予以立項(xiàng)。第二節(jié) 計(jì)算機(jī)系統(tǒng)開發(fā)與集成第五十八

20、條 計(jì)算機(jī)系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求 進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)。第五十九條 計(jì)算機(jī)系統(tǒng)開發(fā)單位應(yīng)在完成開發(fā)任務(wù)后將程序源代 碼及其相關(guān)技術(shù)文檔全部移交人民銀行科技部門。 外部開發(fā)單位還應(yīng)與 人民銀行簽署相關(guān)知識(shí)產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議， 不得將計(jì)算機(jī)系統(tǒng)采 用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計(jì)對外公開。第六十條 計(jì)算機(jī)系統(tǒng)的開發(fā)人員不能兼任計(jì)算機(jī)系統(tǒng)管理員或 業(yè)務(wù)系統(tǒng)操作人員，不得在程序代碼中植入后門和惡意代碼程序。第六十一條 計(jì)算機(jī)系統(tǒng)開發(fā)、測試、修改工作不得在生產(chǎn)環(huán)境中 進(jìn)行。第六十二條 涉密計(jì)算機(jī)系統(tǒng)集成應(yīng)選擇具有國家相關(guān)部門頒發(fā)的 涉密系統(tǒng)集成資質(zhì)證書的單位或

21、企業(yè)，并簽訂嚴(yán)格的保密協(xié)議。第三節(jié) 計(jì)算機(jī)系統(tǒng)運(yùn)行第六十三條 各單位計(jì)算機(jī)系統(tǒng)上線運(yùn)行實(shí)行安全審查制度，未通 過安全審查的任何新建或改造計(jì)算機(jī)系統(tǒng)不得投產(chǎn)運(yùn)行。具體要求如 下：（一）項(xiàng)目承擔(dān)單位（部門）應(yīng)組織制定安全測試方案，進(jìn)行系 統(tǒng)上線前的自測試并形成測試報(bào)告，報(bào)科技部門審查。（二）計(jì)算機(jī)系統(tǒng)應(yīng)用部門應(yīng)在計(jì)算機(jī)系統(tǒng)投產(chǎn)運(yùn)行前同步制 定相關(guān)安全操作規(guī)定，報(bào)科技部門備案。（三）科技部門應(yīng)提出明確的測試方案和測試報(bào)告審查意見。 必 要時(shí)，可組織專家評(píng)審或?qū)嵤┯?jì)算機(jī)系統(tǒng)漏洞掃描檢測。第六十四條 各單位科技部門應(yīng)明確系統(tǒng)管理員，具體負(fù)責(zé)計(jì)算機(jī) 系統(tǒng)的日常運(yùn)行管理， 并建立重要計(jì)算機(jī)系統(tǒng)運(yùn)行維護(hù)檔案，

22、 詳細(xì)記錄 系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)臵要求雙人在場。第六十五條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員。系統(tǒng)管理員確需 對業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)性操作的， 應(yīng)征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員 在場的情況下進(jìn)行，并詳細(xì)記錄維護(hù)內(nèi)容、人員、時(shí)間等信息。第六十六條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導(dǎo)書面批準(zhǔn)，其他任何人不得擅 自使用業(yè)務(wù)操作人員用機(jī)，不得擅自設(shè)臵、分配、使用、修改、刪除操 作員代碼、口令和業(yè)務(wù)數(shù)據(jù)，不得擅自改變用戶權(quán)限。第四節(jié) 業(yè)務(wù)操作第六十七條 業(yè)務(wù)部門負(fù)責(zé)計(jì)算機(jī)系統(tǒng)用戶和權(quán)限設(shè)定，科技部門 根據(jù)授權(quán)進(jìn)行相關(guān)設(shè)定操作。第六十八條 業(yè)務(wù)操作人員嚴(yán)格按照安全操作規(guī)程進(jìn)行業(yè)務(wù)操作、 數(shù)據(jù)備份， 并配

23、合科技部門保障信息安全。 一旦發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)運(yùn)行異 常及時(shí)向本部門領(lǐng)導(dǎo)和科技部門報(bào)告。第六十九條 業(yè)務(wù)操作人員設(shè)臵本人口令密碼。重要計(jì)算機(jī)系統(tǒng)業(yè) 務(wù)操作人員的密碼應(yīng)由業(yè)務(wù)部門領(lǐng)導(dǎo)和系統(tǒng)管理員分段設(shè)立。第七十條 凡是能夠執(zhí)行錄入、復(fù)核制度的計(jì)算機(jī)系統(tǒng)，業(yè)務(wù)操 作人員不得一人兼錄入、復(fù)核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導(dǎo)批準(zhǔn)，不得 代崗、兼崗。第七十一條 業(yè)務(wù)操作人員離開操作用機(jī)時(shí)，應(yīng)按序退出計(jì)算機(jī)系 統(tǒng)，回到操作系統(tǒng)初始狀態(tài)，防止業(yè)務(wù)數(shù)據(jù)被復(fù)制、修改、刪除以及誤 操作。第五節(jié) 計(jì)算機(jī)系統(tǒng)廢止第七十二條 實(shí)行計(jì)算機(jī)系統(tǒng)廢止申報(bào)、備案制度。使用計(jì)算機(jī)系 統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技部門提出廢止申請， 由科技部

24、門組織進(jìn)行 安全檢查后予以廢止，同時(shí)備案。第七十三條 對已經(jīng)廢止的計(jì)算機(jī)系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì)，科技 部門按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的， 應(yīng)在本單位保密工作委員會(huì)監(jiān)督下予以不可恢復(fù)性銷毀。第七章 客戶端安全管理第七十四條 本規(guī)定所稱客戶端是指人民銀行計(jì)算機(jī)用戶、網(wǎng)絡(luò)與 信息系統(tǒng)所使用的終端設(shè)備，包括聯(lián)網(wǎng)桌面終端、柜面終端、單機(jī)運(yùn)行 （?。┙K端、遠(yuǎn)程接入終端、便攜式計(jì)算機(jī)等。第七十五條 各單位應(yīng)建立完善的客戶端管理制度，記錄所有客戶 端設(shè)備信息和軟件配臵信息。第七十六條 客戶端應(yīng)安裝和使用正版軟件，不得安裝和使用盜版 軟件，不得安裝和使用與工作無關(guān)的軟件。第七十七條

25、客戶端應(yīng)統(tǒng)一安裝病毒防治軟件，設(shè)臵用戶密碼和屏 幕保護(hù)口令等安全防護(hù)措施， 確保安裝最新的病毒特征碼和必要的補(bǔ)丁 程序。第七十八條 確因工作需要經(jīng)授權(quán)可遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)的用戶，應(yīng) 嚴(yán)格保存其身份認(rèn)證介質(zhì)及口令密碼，不得轉(zhuǎn)借其他人使用。第八章 信息安全專用產(chǎn)品、服務(wù)管理第一節(jié) 資質(zhì)審查與選型購臵第七十九條 本規(guī)定所稱信息安全專用產(chǎn)品，是指人民銀行安裝使 用的專用安全軟件、硬件產(chǎn)品。本規(guī)定所稱信息安全服務(wù)，是指人民銀 行向社會(huì)購買的專業(yè)化安全服務(wù)。第八十條 總行科技司負(fù)責(zé)信息安全服務(wù)提供商的資質(zhì)審查和信 息安全專用產(chǎn)品的選型，由集中采購部門按照政府集中采購程序選購。第八十一條 各單位購臵掃描、檢測

26、類信息安全專用產(chǎn)品應(yīng)報(bào)總行 科技司批準(zhǔn)、備案。第二節(jié) 使用管理第八十二條 各單位科技部門應(yīng)建立信息安全專用產(chǎn)品登記使用 制度，建立信息安全類固定資產(chǎn)使用登記簿并由專人負(fù)責(zé)管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用第八十三條 各單位科技部門隨時(shí)檢查各類信息安全專用產(chǎn)品使 用情況， 認(rèn)真查看相關(guān)日志和報(bào)表信息并定期匯總分析。 如發(fā)現(xiàn)重大問 題，立即采取控制措施并按規(guī)定程序報(bào)告。第八十四條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報(bào)表信 息屬于重要技術(shù)資料，應(yīng)備份存檔至少三個(gè)月。第八十五條 各單位科技部門應(yīng)及時(shí)升級(jí)維護(hù)信息安全專用產(chǎn)品， 凡因超過使用期限的或不能繼續(xù)使用的信息

27、安全專用產(chǎn)品， 按照固定資 產(chǎn)報(bào)廢審批程序處理。第八十六條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應(yīng)在本地配 臵。如需要進(jìn)行遠(yuǎn)程配臵， 由科技部門或經(jīng)科技部門授權(quán)在可信網(wǎng)絡(luò)內(nèi) 并采取了必要的安全控制措施后進(jìn)行操作。第九章 文檔、數(shù)據(jù)與密碼應(yīng)用安全管理第一節(jié) 技術(shù)文檔第八十七條 本規(guī)定所稱技術(shù)文檔是指人民銀行網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng) 和機(jī)房環(huán)境等建設(shè)與運(yùn)行維護(hù)過程中形成的各種技術(shù)資料， 包括紙質(zhì)文 檔、電子文檔、視頻和音頻文件等。第八十八條 各單位科技部門負(fù)責(zé)將技術(shù)文檔統(tǒng)一歸檔，實(shí)行借閱 登記制度。未經(jīng)科技部門領(lǐng)導(dǎo)批準(zhǔn)，任何人不得將技術(shù)文檔轉(zhuǎn)借、復(fù)制 和對外公布。第二節(jié) 存儲(chǔ)介質(zhì)第八十九條 各單位應(yīng)建立健

28、全磁帶、光盤、移動(dòng)存儲(chǔ)介質(zhì)、縮微 膠片、 已打印文檔等存儲(chǔ)介質(zhì)管理流程。 所有存儲(chǔ)介質(zhì)應(yīng)保存在安全的 物理環(huán)境中并有明晰的標(biāo)識(shí)。重要信息系統(tǒng)備份介質(zhì)應(yīng)按規(guī)定異地存 放。第九十條 各單位應(yīng)做好存儲(chǔ)介質(zhì)在物理傳輸過程中的安全控 制，應(yīng)選擇可靠的傳遞方式和防盜控制措施。 重要信息的存取需要授權(quán) 和記錄。第九十一條 各單位所有部門和個(gè)人應(yīng)加強(qiáng)對移動(dòng)存儲(chǔ)設(shè)備 （U盤、 軟盤、移動(dòng)硬盤）的管理。第九十二條 各單位應(yīng)建立存儲(chǔ)介質(zhì)銷毀制度，對載有敏感信息的 存儲(chǔ)介質(zhì)應(yīng)采用焚燒或粉碎等方式進(jìn)行處臵并做好記錄。第三節(jié) 數(shù)據(jù)安全第九十三條 本規(guī)定中所稱的數(shù)據(jù)是指以電子形式存儲(chǔ)的人民銀行 業(yè)務(wù)數(shù)據(jù)、 辦公信息、 系統(tǒng)

29、運(yùn)行日志、 故障維護(hù)日志以及其他內(nèi)部資料。第九十四條 各單位業(yè)務(wù)部門負(fù)責(zé)提出數(shù)據(jù)在輸入、處理、輸出等 不同狀態(tài)下的安全需求， 科技部門負(fù)責(zé)審核安全需求并提供一定的技術(shù) 實(shí)現(xiàn)手段。第九十五條 各單位業(yè)務(wù)部門應(yīng)嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、 刪除等變更操作， 適時(shí)進(jìn)行業(yè)務(wù)數(shù)據(jù)有效性檢查， 按照既定備份策略執(zhí) 行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性和預(yù)演數(shù)據(jù)恢復(fù)流程。第九十六條 各單位科技部門系統(tǒng)管理員負(fù)責(zé)定期導(dǎo)出網(wǎng)絡(luò)和重要 計(jì)算機(jī)系統(tǒng)日志文件并明確標(biāo)識(shí)存儲(chǔ)內(nèi)容、時(shí)間、密級(jí)等信息。日志文 件應(yīng)至少保留一年，妥善保管。第九十七條 各單位業(yè)務(wù)部門應(yīng)明確規(guī)定備份數(shù)據(jù)的保存時(shí)限和密 級(jí)，建立備份數(shù)據(jù)銷毀

30、審批登記制度， 并根據(jù)數(shù)據(jù)重要性級(jí)別分類采取 相應(yīng)的安全銷毀措施。第九十八條 所有數(shù)據(jù)備份介質(zhì)應(yīng)注意防磁、防潮、防塵、防高溫、 防擠壓存放。 恢復(fù)及使用備份數(shù)據(jù)時(shí)需要提供相關(guān)口令密碼的， 應(yīng)把口 令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。第四節(jié) 口令密碼第九十九條 各單位系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè) 務(wù)操作人員均須設(shè)臵口令密碼， 至少每三個(gè)月更換一次。 口令密碼的強(qiáng) 度應(yīng)滿足不同安全性要求。第一百條 敏感計(jì)算機(jī)系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的 環(huán)境下進(jìn)行，必要時(shí)應(yīng)將口令密碼筆錄、密封交相關(guān)部門保管。未經(jīng)科 技部門主管領(lǐng)導(dǎo)許可， 任何人不得擅自拆閱密封的口令密碼。 拆閱后的 口令密碼

31、使用后應(yīng)立即更改并再次密封存放。第一百零一條 各單位應(yīng)根據(jù)實(shí)際情況在一定時(shí)限內(nèi)妥善保存重 要計(jì)算機(jī)系統(tǒng)升級(jí)改造前的口令密碼。第五節(jié) 密碼技術(shù)應(yīng)用管理第一百零二條 人民銀行涉密網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)應(yīng)嚴(yán)格按照國家 密碼政策規(guī)定， 采用相應(yīng)的加密措施。 非涉密網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)依據(jù)人 民銀行實(shí)際需求和統(tǒng)一安全策略，合理選擇加密措施。第一百零三條 各單位選用的密碼產(chǎn)品和加密算法應(yīng)符合國家相 關(guān)密碼管理政策規(guī)定， 密碼產(chǎn)品自身的物理和邏輯安全性應(yīng)符合人民銀 行的相關(guān)安全要求。第一百零四條 各單位應(yīng)建立嚴(yán)格的密鑰管理體制，選擇密碼管 理人員必須十本單位在編的正式員工， 并逐級(jí)進(jìn)行備案， 規(guī)范管理密鑰 產(chǎn)生、存儲(chǔ)

32、、分發(fā)、使用、廢除、歸檔、銷毀等過程。第一百零五條 各單位應(yīng)在安全環(huán)境中進(jìn)行關(guān)鍵密鑰的備份工 作，并設(shè)臵遇緊急情況下密鑰自動(dòng)銷毀功能。第一百零六條 各類密鑰應(yīng)定期更換，對已泄漏或懷疑泄漏的密 鑰應(yīng)及時(shí)廢除，過期密鑰應(yīng)安全歸檔或定期銷毀。第十章 第三方訪問和外包服務(wù)安全管理第一節(jié) 第三方訪問控制 第一百零七條 本規(guī)定所稱第三方訪問是指人民銀行之外的單位 和個(gè)人物理訪問人民銀行計(jì)算機(jī)房或者通過網(wǎng)絡(luò)連接邏輯訪問人民銀 行數(shù)據(jù)庫和計(jì)算機(jī)系統(tǒng)等活動(dòng)。第一百零八條 各單位保密工作委員會(huì)負(fù)責(zé)涉密計(jì)算機(jī)系統(tǒng)和網(wǎng) 絡(luò)相關(guān)的第三方訪問授權(quán)審批， 各單位科技部門負(fù)責(zé)非涉密計(jì)算機(jī)系統(tǒng) 和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。

33、 未經(jīng)人民銀行授權(quán)的任何第三方訪 問均視為非法入侵行為。第一百零九條 允許被第三方訪問的人民銀行計(jì)算機(jī)系統(tǒng)和資源應(yīng)建立存取控制機(jī)制、認(rèn)證機(jī)制，列明所有用戶名單及其權(quán)限，嚴(yán)格監(jiān) 督第三方訪問活動(dòng)。第一百一十條 獲得第三方訪問授權(quán)的所有單位和個(gè)人應(yīng)與人民 銀行簽訂安全保密協(xié)議， 不得進(jìn)行未授權(quán)的修改、 增加、刪除數(shù)據(jù)操作， 不得復(fù)制和泄漏人民銀行任何信息。第二節(jié) 外包服務(wù)管理第一百一十一條 本規(guī)定所稱外包服務(wù)是指由人民銀行之外的其 他社會(huì)廠商為人民銀行計(jì)算機(jī)系統(tǒng)、 網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的 技術(shù)支持、咨詢等服務(wù)。外包服務(wù)應(yīng)簽訂正式的外包服務(wù)協(xié)議，明確約 定雙方義務(wù)。第一百一十二條 經(jīng)本單位科

34、技部門領(lǐng)導(dǎo)批準(zhǔn)，外包服務(wù)提供商 可提供上門維護(hù)服務(wù)并由人民銀行科技人員在場準(zhǔn)確記錄所有技術(shù)配 臵變更信息。 外包服務(wù)提供商不得查看、 復(fù)制涉密信息或?qū)⑸婷芙橘|(zhì)帶 離人民銀行。第一百一十三條 計(jì)算機(jī)設(shè)備確需送外單位維修時(shí)，各單位科技 部門應(yīng)徹底清除所存工作信息，必要時(shí)應(yīng)與設(shè)備維修廠商簽訂保密協(xié) 議。與密碼設(shè)備配套使用的計(jì)算機(jī)設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單 位拆除與密碼有關(guān)的硬件，并徹底清除與密碼有關(guān)的軟件和信息。第十一章 信息通報(bào)、災(zāi)難備份與應(yīng)急管理第一節(jié) 信息通報(bào)第一百一十四條 各單位應(yīng)按照人民銀行信息安全事件報(bào)告制 度進(jìn)行信息通報(bào)，一般信息安全事件應(yīng)逐級(jí)通報(bào)，發(fā)生因人為、自然原 因造成信息

35、系統(tǒng)癱瘓以及利用計(jì)算機(jī)實(shí)施犯罪等影響和損失較大的信 息安全事件（下稱“重大信息安全事件”）應(yīng)直接報(bào)總行科技司。第一百一十五條 重大信息安全事件發(fā)生后，各單位相關(guān)人員應(yīng) 注意保護(hù)事件現(xiàn)場，采取必要的控制措施，調(diào)查事件原因，并及時(shí)報(bào)告 本單位主管領(lǐng)導(dǎo)。第一百一十六條 各單位應(yīng)在重大信息安全事件發(fā)生后的兩小時(shí)- 15 -內(nèi)按規(guī)定程序報(bào)上一級(jí)科技部門， 由上級(jí)科技部門決定是否發(fā)布預(yù)警信 息或啟動(dòng)轄內(nèi)應(yīng)急預(yù)案。第二節(jié) 災(zāi)難備份管理第一百一十七條 災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資 源，確保已有業(yè)務(wù)數(shù)據(jù)和計(jì)算機(jī)系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖 襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)

36、事件（以 下稱“災(zāi)難”）發(fā)生后在規(guī)定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的有序管理 過程。第一百一十八條 總行科技司將按照“統(tǒng)籌安排、資源共享、平 戰(zhàn)結(jié)合”的原則，負(fù)責(zé)人民銀行重要信息系統(tǒng)災(zāi)難備份的統(tǒng)一規(guī)劃、實(shí) 施和管理。第一百一十九條 總行業(yè)務(wù)司局負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需 求，明確可容忍的業(yè)務(wù)中斷時(shí)間和數(shù)據(jù)丟失量。 總行科技司據(jù)此確定災(zāi) 難備份等級(jí)和備份方案。第一百二十條 各單位應(yīng)建立健全災(zāi)難恢復(fù)計(jì)劃， 定期開展災(zāi)難恢 復(fù)培訓(xùn)。在條件許可的情況下，由總行相關(guān)部門統(tǒng)一部署，重要信息系 統(tǒng)至少每年進(jìn)行一次災(zāi)難恢復(fù)演練， 包括異地備份站點(diǎn)切換演練和本地 系統(tǒng)災(zāi)難恢復(fù)演練。第三節(jié) 應(yīng)急管理第一百二十一條 應(yīng)

37、急預(yù)案是針對可能發(fā)生的意外事件并可能導(dǎo) 致業(yè)務(wù)差錯(cuò)和停頓，甚至系統(tǒng)混亂、崩潰等災(zāi)難而采取的應(yīng)對策略、措 施的有機(jī)集合。第一百二十二條 在計(jì)算機(jī)系統(tǒng)推廣應(yīng)用方案中應(yīng)同時(shí)設(shè)計(jì)應(yīng)急 備份策略，同步實(shí)施備份方案。第一百二十三條 各單位應(yīng)制定和不斷完善網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和 機(jī)房環(huán)境等應(yīng)急預(yù)案。 預(yù)案的編制工作由相關(guān)業(yè)務(wù)部門和科技部門共同 完成。第一百二十四條 應(yīng)急預(yù)案應(yīng)包括以下基本內(nèi)容：- 16 -（一）總則（目標(biāo)、原則、適用范圍、預(yù)案調(diào)用關(guān)系等）（二）應(yīng)急組織機(jī)構(gòu)。（三）預(yù)警響應(yīng)機(jī)制（報(bào)告、評(píng)估、預(yù)案啟動(dòng)等）。（四）各類危機(jī)處臵流程。（五）應(yīng)急資源保障。（六）事后處理流程。（七）預(yù)案管理與維護(hù)（生效、演

38、練、維護(hù)等）。 第一百二十五條 各單位定期組織應(yīng)急預(yù)案的演練，并指定專人 管理和維護(hù)應(yīng)急預(yù)案， 根據(jù)人員、 信息資源等變動(dòng)情況以及演練情況適 時(shí)予以更新和完善，確保應(yīng)急預(yù)案的有效性和災(zāi)難發(fā)生時(shí)的可獲取性。第一百二十六條 各單位計(jì)算機(jī)安全工作領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)各業(yè) 務(wù)系統(tǒng)的應(yīng)急協(xié)調(diào)與指揮，決策重大事宜（決定應(yīng)急預(yù)案的啟動(dòng)、災(zāi)難 宣告、預(yù)警相關(guān)單位等）和調(diào)動(dòng)應(yīng)急資源。第一百二十七條 總行辦公廳負(fù)責(zé)統(tǒng)一向社會(huì)發(fā)布應(yīng)急事件公 告，其他任何單位或個(gè)人不得向社會(huì)發(fā)布應(yīng)急事件公告。第十二章 安全監(jiān)測、檢查、評(píng)估與審計(jì)第一節(jié) 安全監(jiān)測第一百二十八條 各單位科技部門應(yīng)整合和利用現(xiàn)有網(wǎng)絡(luò)管理系 統(tǒng)、計(jì)算機(jī)資源監(jiān)控系統(tǒng)、 專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn) 行日志等監(jiān)控資源， 加強(qiáng)對網(wǎng)絡(luò)、 重要計(jì)